网页技术：[[HDUSEC CTF]逆向分析Final

日期：2014-08-26 | 来源：易联网站建设公司 | 阅读：

深圳网站建设（www.innont.com ）作为市场资深品牌，8年来，立足广东，面向全国，已服务过3000多家具有顶级发展潜力的企业，并一直保持良好的合作伙伴关系，成为中国第一高端精品网站设计策划机构，网站建设第一品牌！

这是杭州电子科技大学信息安全竞赛（HDUSEC CTF）一个比较坑爹的题目，运行程序之后电脑就自动关了，如果直接在真机测试，那丢点数据也在所难免了，呵呵~ （注：本文是在比赛结束后发的）

这个时候，你很可能拿起你的OD准备动手了，可是当你刚载入OD的那一瞬间，屏幕又黑了，看了看主机箱，擦，灯灭了，电脑有关了，这尼玛不是坑爹么！

别哭，开机继续搞！把程序载入PEiD，看，有TLS呢！当然啦，大概就猜TLS里面有坑爹的代码。这个TLS可以看也可以不看的，但是出于好奇心，我还是忍不住看了下。那还是用IDA看一下这个样本吧。载入IDA分析，看一下导出表，有个TlsCallback_0，就是这货调用了sub_4013B0函数，对调试器进行了检测。

Tls回调函数调试器进程检测

其实在检测进程之前就注定要关机了：通过调用RtlAdjustPrivilege和ZwShutdownSystem两个函数实现瞬间关机，可以自己去网上找一下相关介绍，ZwShutdownSystem这个字符串是解密出来的，和后面的一种解密方法一致（后文提到的内联汇编代码）。

还是先看下Main函数吧，在start函数中，如果你熟悉运行库的启动代码，你就可以快速确定sub_4010A0就是main函数，不知道也没关系，可以看一下《MSVC CRT运行库启动代码分析》。

分析一下main函数，发现这货会解密两个字符串，就是Kernel32.dll和IsDebuggerPresent了，动态获取函数地址然后调用一下看看是不是被爆菊ing：

本文由深圳网站设计公司：创新互联整理，转载时请保留此链接，谢谢合作!

深圳网站建设深圳网站设计深圳网站制作

上一篇：网页技术：优化页面响应速度(第九章)
下一篇：网站代码：2013款MacBook Air装Windows7单系统

网页技术：[[HDUSEC CTF]逆向分析Final

相关文章

最新文章

—— 微信公众号 ——

热门标签

联系我们

服务优势

公司介绍