IDA e语言逆向初探-以一道CTF题为例

发表于2025-11-04|更新于2025-11-05|Re

|总字数:400|阅读时长:1分钟|浏览量:|评论数:

IDA e语言逆向初探-以一道CTF题为例

题目附件可以留言找我拿

IDA易语言反编译插件E-Decompiler - 吾爱破解 - 52pojie.cn

e语言逆向，安装这个插件然后运行IDA分析

转到可疑函数

url解码后是HXB{YAO-YAO-QIE-KE-NAO}

假的

还发现

这几个串

交叉引用过去

有点像校验了

sub_404196应该是加密函数

有点像rc系列的加密，不知道是不是Rc4，可以猜测它为流加密的算法

如果是流加密的算法最好的解密方式就是再跑一边，看看动调能不能出

x32dbg打开，直接断点到这个大函数调试

调试可能有反调试，注意开下sharpod这个插件

基于假设我们可以试试看直接把密文patch回去

可以看到我输入的123

下面在ebp-4的地方是密文

在内存中修改为下面那段，注意的是patch记得别把最后的00字节给删了

要修改的字节粘贴进去这个串

一开始patch错了patch的第一个字符是88，后面也没保存结果所以是HXB{HAHA-HEHE-HEIHEI-HUOHUO-XIXI}

enc = "49,58,42,7B,48,41,48,41,2D,48,45,48,45,2D,48,45,49,48,45,49,2D,48,55,4F,48,55,4F,2D,58,49,58,49,7D,"

data = bytes(int(x, 16) for x in enc.strip(',').split(','))
print(data)
b'IXB{HAHA-HEHE-HEIHEI-HUOHUO-XIXI}'

走59XXX这个分支是

根据判断，一个是打开资源管理器，另一个是搞一个yaoyaoqiekenao的fake password

文章作者: Matriy

文章链接: http://matriy330.github.io/1e7e61d9/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Matriy's blog！

赞助

wechat
alipay

相关推荐

Angr 学习文章参考：angr初探 | moyaoxueの小屋和Angr入门和Angr：一个具有动态符号执行和静态分析的二进制分析工具-腾讯云开发者社区-腾讯云 Angr简介angr是一个支持多处理架构的用于二进制文件分析的工具包，它提供了动态符号执行的能力以及多种静态分析的能力。项目创建的初衷，是为了整合此前多种二进制分析方式的优点，并开发一个平台，以供二进制分析人员比较不同二进制分析方式的优劣，并根据自身需要开发新的二进制分析系统和方式。也正是因为angr是一个二进制文件分析的工具包，因此它可以被使用者扩展，用于自动化逆向工程、漏洞挖掘等多个方面。 angr 官方文档 angr_ctf项目GitHub - jakespringer/angr_ctf angr_ctf则是一个专门针对angr的项目，里面有17个angr相关的题目。这些题目只有一个唯一的要求：你需要找出能够使程序输出“Good Job”的输入，这也是符号执行常见的应用场景。本系列教程是angr的入门教程，将通过做angr_ctf中的题目的形式来介绍angr。 Angr初探Angr...

CTF逆向常见反调试技术总结

CTF逆向常见反调试技术总结反调试主要为了干扰动态调试反调试是一种用于阻碍程序动态调试的技术，首先大致说明一下反调试的工作原理。在操作系统内部提供了一些API，用于调试器调试。当调试器调用这些API时系统就会在被调试的进程内存中留下与调试器相关的信息。一部分信息是可以被抹除的，也有一部分信息是难以抹除的。当调试器附加到目标程序后，用户的很多行为将优先被调试器捕捉和处理。其中大部分是通过异常捕获通信的，包括断点的本质就是异常。如果调试器遇到不想处理的信息，一种方式是忽略，另一种方式是交给操作系统处理。那么目前为止，程序就有两种方式检测自己是否被调试：检测内存中是否有调试器的信息。通过特定的指令或触发特定异常，检测返回结果。通常来说，存在反调试的程序，当检测到自身处于调试状态时，就会控制程序绕过关键代码，防止关键代码被调试，或者干脆直接退出程序。 API反调试1BOOL IsDebuggerPresent(); 返回值为1表示当前进程被调试的状态，反之为0. 123call IsDebuggerPresenttest al, aljne...

CTF逆向常见加密算法总结

CTF逆向常见加密算法总结流密码系列只要识别出流密码，我们就可以选择动态调试获取密钥流或者直接把目标密文 patch 进去拿输出就可以了这句话参考自 Sink 的 https://iseal.ac.cn/2022/12/18/%E9%80%86%E5%90%91%E4%B8%AD%E7%9A%84%E5%B8%B8%E8%A7%81%E5%AF%86%E7%A0%81%E7%9A%84%E8%AF%86%E5%88%AB%E2%80%94Sink/ RC4比较常见，原理不赘述，可以看我的RC4&RSA | Matriy’s blog RC4常见时会有一个初始化256个的S盒操作解密代码 12345678910111213141516171819202122232425262728293031key = list('RC4_1s_4w3s0m3')content = [0xA7, 0x1A, 0x68, 0xEC, 0xD8, 0x27, 0x11, 0xCC, 0x8C, 0x9B, 0x16, 0x15, 0x5C, 0xD2, 0x67,...

IDAPython脚本(7.5以上)

IDAPython脚本(7.5以上)IDAPython是很强大的功能. 但是在7.5支持python3之后很多函数都改变了. 所以从头开始学一下. IDAPython官方函数文档: IDAPython官方文档函数查询 IDC函数官方文档查询: IDC函数 IDA版本与版本之间的差异化函数查询: IDA版本函数差异化指令相关 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162from idaapi import *from ida_dbg import *from ida_bytes import *# 返回目标地址指向的指令的前一条指令的地址# 参数一是查找的开始地址，参数二是往前查找的最小地址（在范围内）prev_1 = prev_head(0x00007FF6A1AA2577, 1)prev_2 = prev_head(0x00007FF6A1AA257a,...

UE4逆向初探-OverWatch

UE4逆向初探-OverWatch可以看这个线上培训 -先知社区赛后下面那个偏移问题(主要是被网上某篇瞎写的博客和IDA字符串加载给暗算了)解决了自己做了下直接出了一段flag，后一段flag没找到只能看wp了好的!我知道了尴尬了，我还是太着急了，刚刚写这个wp的时候又打开来了(之前保存的i64)，搜了一下seamless，发现直接出现了，原来是IDA加载太慢了，我太急了，我就不该上课 T.T dump工具：Spuckwaffel/UEDumper: The most powerful Unreal Engine Dumper and Editor for UE 4.19 -...

ios逆向初探

ios逆向初探ios 信息iOS的越狱（Jailbreaking）是指通过绕过Apple设备上的操作系统限制，从而获得对设备操作系统更深层次的访问权限的过程。这通常是为了能够安装和运行未经Apple认证的第三方应用程序和修改系统设置，提供更大的自由度。 iOS砸壳是指通过技术手段解密和破解iOS应用程序的加密保护，以便绕过App Store的审查机制，查看应用的内部代码，或修改其行为。解密IPA文件：iOS应用程序通常以IPA文件格式存在，其中包含了应用的二进制文件、资源和相关数据。这些文件在发布到App Store之前，Apple会对其进行加密处理，以防止逆向工程和破解。砸壳的目的是通过绕过或破解这种加密，提取出应用的二进制文件。绕过代码签名：iOS应用程序在执行时需要通过Apple的代码签名验证，确保应用来自合法开发者且未被篡改。砸壳通常包括绕过这个签名机制，使应用可以在越狱设备或非App Store渠道上运行。 ios一般逆向流程一般来说流程为...

评论

数据加载中