关于逆向入门。
一、语言
1.汇编。
分Inte|和AT&T两种语法。获胜平台主要是英特尔,Linux反汇编默认是AT&T ,目前CTF里Intel汇编占据主导地位。介绍了王庄的汇编语言,视频教程建议B站搜索小型装甲鱼,他的教学对初学者非常友好
2.编程。
如果你想获得一个win平台,你需要了解Windows机制,这将使win编程更好。 Windows程序设计,但API可以重新检查。
如果你对语言有一定基础,你可以参阅加密和解密
建议从Win平台开始玩。
如果读书太无聊,我们建议在B网站上进行搜索,以发布基于逆向的文档,有大量水滴逆向视频教学,适合初学者
工具(调试器、反编译器)
1.Win under OD, IDA, windbg
2.gdb,objdump,nm,Itrace和其他在Linux下支持的工具都是自定义的
三、关于学习
1.做更多的手动,做更多的自调分析,真正的反向水平不能通过阅读书籍来提高,可以自己编写程序自调分析。
2.熟悉调试工具
3.在分析Linux程序之前,了解Linux系统的基本操作
适合玩 crackme.crackme.Reversing.kr
5.找出一些简单的反向,pwn ctf问题侧边练习边界
英译汉我喜欢裂缝、看到雪花、烟雾和雨水,这些车站可以参观
中产阶级的网络安全-2022年全国运动会解决体育逆转问题的思路
1.对靶机服务器场景桌面上的PE01.exe二进制文件进行静态调试,将main函数的入口地址作为Flag值提交;
ida pro
打开ida文件并拖入x64位ida程序
我们进入ida,我们可以开始对该程序进行静态分析,ida也可以动态分析该程序。
题目是(对靶机服务器场景桌面上的PE01.exe二进制文件进行静态调试,将main函数的入口地址作为Flag值提交;)
也就是说,我们只需要找到程序的主要功能才能进入
在ida左边的工作栏里,会显示程序和系统各种函数的入口地址,我们可以看到,这个程序main函数的入口地址为
0x00000000004005BD
1
或者按下空格
这里还可以看到入口地址,如果不能看到,请双击该程序左任务栏的主功能
0x00000000004005BD
1
2.在目标服务器场景桌面上对PE01二进制文件进行静态调试,并将二进制文件中的许可证检查的关键函数提交为旗号值。
在这个界面按下f5
ida将设法帮助我们恢复该程序的源代码。可以找到该程序的源代码的分析,检查许可证的关键功能是
strcmp
strcmp函数比较两个字符串的大小,同时返回0。如果第一个字符串比第二个字符串大,则返回一个正值或负值
1
3.在目标服务器场景桌面上执行PE01二进制文件的静态调试,找到 Flag1值并提交;
你可以在ida中按Shift+f12来找到程序中的字符串
这里我们可以看到程序中的所有字符串
可以在这里看到旗字符串,但我没有在程序中写旗字符串,所以我们去下一题
在目标服务器场景桌面上对PE01二进制文件进行静态调试,尝试解密二进制文件,并在成功注册后作为旗号值提交复发信息;
如果你不想解锁它,那么我会设法解锁它,或者按Shift+f12
登记成功后反馈如下:
Access Granted!
1
5.在目标服务器场景桌面上对PE01二进制文件进行静态调试,将所需的许可证代码提交为激活的旗号值;
或者按Shift+f12
激活所需的许可证代码是:
AAAA-Z10N-42-OK
因为主题不叫我们动态调试程序,它只叫我们静态分析,所以程序的srodata节中写的字符串是死的,按 shift+f12慢慢找到它们
关注我,之后会发ctf逆向相关的入门教程