抱歉,您的浏览器无法访问本站
本页面需要浏览器支持(启用)JavaScript
了解详情 >

什么是JITJIT = Just In Time即时编译,是动态编译的一种形式,是一种优化虚拟机运行的技术。程序运行通常有两种方式,一种是静态编译,一种是动态解释,即时编译混合了这二者。 lujit运行过程: 解题: 得到一个.out 文件,电脑识别成Wireshark 系列文件,拉入WinHex会发现是.LJ开头,可以推断是Luajit逆向。 先编译LuaJit2.1.0Bet...
WP

TLS回调函数:TLS(Thread Local Storage, 线程局部存储)回调函数,TLS 回调函数的调用运行要先于 EP 代码的执行,并且每次创建或结束线程都会再次调用,故常用于反调试。 可以在节区表发现IMAGE_TLS_DIRECTORY,找到Address of Callbacks(注意回调函数一般不止一个) 题解: 32位无壳 首先是一个虚假的逻辑验证。 在函数栏搜索找...
WP

32位无壳程序 CEF简介: 嵌入式Chromium框架(简称CEF) 是一个由Marshall Greenblatt在2008建立的开源项目,它主要目的是开发一个基于Google Chromium的Webbrowser控件。CEF支持一系列的编程语言和操作系统,并且能很容易地整合到新的或已有的工程中去。 解题:正面去分析的话,十分困难。去搜索相应字符串无果 这里我们可以去从数据调用去分...
WP

无壳,64位 什么是WER:Windows 错误报告 (WER) 是一种灵活的基于事件的反馈基础结构,旨在收集有关Windows可以检测、向 Microsoft 报告信息以及为用户提供任何可用解决方案的硬件和软件问题的相关信息。 参考:关于 WER - Win32 apps | Microsoft Docs 其关键函数如下: 123DWORD WINAPI ApplicationRecov...
WP

先是输入flag也就是ID,然后进行check,主要考察算法。 对我们的输入进行一系列异或,最后赋值给v39,注意这里v39类型是char,接着进行sbox数据初始化, 然后进行CRC32验证,这里可以动调取到flag,这里v34的值后面会给出并进行验证。 接着先将字符转成数值,存入内存,并且如果大于58就减去55.接着用冰雹猜想验证输入的前三位。我们可以爆破得到v17的值是定值7.具体...
WP

题目打开 标准的ollvm混肴,用脚本两次去除 得到正常的程序 初步分析是以为多项式相加,疏忽了v17以及前面一大段数据的初始化。想着用z3硬解失败了。主要逻辑为读取输入,判断是否为数字,然后转换成四进制,走迷宫。前面的一大段加密是初始化迷宫地图v17,我们可以动调得到一个16*28的迷宫:(做题多尝试 123456789101112131415161,0,0,0,0,0,1,1,1,...
WP

9 / 9