「 CRYPTO 」 November 29, 2019
Words count 5.7k Reading time 5 mins. Read count 1000000
RC4是一种流加密算法,密钥长度可变。它加解密使用相同的密钥,因此也属于对称加密算法。RC4是有线等效加密(WEP)中采用的加密算法,也曾经是TLS可采用的算法之一。
流密码结构:
下面这个图是...
Read article
「 CRYPTO 」 November 29, 2019
Words count 5.7k Reading time 5 mins. Read count 1000000
RC4是一种流加密算法,密钥长度可变。它加解密使用相同的密钥,因此也属于对称加密算法。RC4是有线等效加密(WEP)中采用的加密算法,也曾经是TLS可采用的算法之一。
流密码结构:
下面这个图是rc4的流程图:
1、先初始化状态向量S(256个字节,用来作为密钥流生成的种子1)
按照升序,给每个字节赋值0,1,2,3,4,5,6…..,254,255
2、初始密钥(由用户输入),长度任意
如果输入长度小于256个字节,则进行轮转,直到填满
例如输入密钥的是1,2,3,4,5 , 那么填入的是...
Read article「 RE WP 」 November 29, 2019
Words count 1.7k Reading time 2 mins. Read count 1000000
动态调试即可,发现函数最后要和s比较,s经过多次加密。
上图cmp dl,al就是比较过程.
动态调试看寄存中的值就可以得到flag。
本道题有一个值得学习的算法在rc4上
使用z3求解器
from z3 import *
a = [12, 83, 78, 39, 23, 27, 4, 53, 85, 53, 78, 6, 85, 6, 6, 12, 24, 52,...「 RE WP 」 November 13, 2019
Words count 4.1k Reading time 4 mins. Read count 1000000
放到detectit看一下文件
MFC类型
微软基础类库(英语:Microsoft Foundation Classes,简称MFC)是微软公司提供的一个类库(class libraries),以C++类的形式封装了Windows API,并且包含一个应用程序框架,以减少应用程序开发人员的工作量。其中包含大量Windows句柄封装类和很多Windows的内建控件和组件的封装类。
直接查看字符串
看到一个 flag正确
可以选择直接过去查看函数
F5直接看伪代码
上图是该段代码最重要的部分
在这里,...
「 RE WP 」 November 12, 2019
Words count 1.7k Reading time 2 mins. Read count 1000000
打开字符串的话很难找到我们想要的函数的位置,所以不采取这个方法。
我们可以通过找api函数的办法来找到我们加密的位置。
这个时候需要打开输入函数,找到defwindowproc,这个api的功能是:
调用重定向的窗口过程来为应用程序没有处理的任何窗口消息提供转换的处理。该函数确保每一个消息得到处理。
这样我们双击来到这里
右键查看外部引用
一个一个查看,发现我们所需要的加密函数是在第一个交叉引用里面
进入函数
可以看到加密的函数有两个do{*(&chText + v12) ^ ...
「 RE WP 」 November 11, 2019
Words count 6.8k Reading time 6 mins. Read count 1000000
放入ida中,shift+f12查看字符串,就可以看到flag
放入ida当中,查看主函数,看到base函数,函数中是对你输入的字符串进行base16加密,base16你可以理解为将字符串转换为16进制数字。main函数最后,将你输入的字符加密后和字符串比较,如果相同则输出正确。输入的字符为flag。可以用网上的base16进行解密,我当时做的时候用的爆破(主要是当时不知道base16。 解密代码先咕咕掉吧。等我会了在补上去
放入detectit
.net文件...
「 RE WP 」 November 06, 2019
Words count 2.3k Reading time 2 mins. Read count 1000000
官方wp
https://www.yuque.com/docs/share/e6c5d1fd-8d27-456a-88ab-823226503f56#helloRE
放在od中
放在ida中,反编译
main函数:输入字符串,长度不能超过25,通过一个if语句即可获得success
查看sub_401080
sub_401080是对输入a1进行了处理
sub_401080的返回值是一个判断,函数sub_401000如果不等于0,则返回True
并且调用sub_401000时,传入...
「 RE WP 」 October 28, 2019
Words count 12k Reading time 11 mins. Read count 1000000
https://hx1997.github.io/2018/07/22/anheng-july-re-youngter-drive/
https://www.52pojie.cn/thread-994588-1-1.html
补充一些知识点:
有个PDB文件的类型
Read articlePDB(Program Database File,程序数据库文件)文件物理结构在我们目前使用的掌上电脑中,Palm操作系统由于其功能强大、应用软件多等特点,占有很大的比例。PDB文件是Palm...
「 加密与解密学习 」 October 26, 2019
Words count 702 Reading time 1 mins. Read count 1000000
本章介绍两中技术,一是SEH(结构化异常处理),二是VEH(向量化异常处理)
中断:是由外部硬件设备或异步事件产生的。
异常:是由内部事件产生的,又可分为故障,陷阱和终止。
除了CPU能够捕获一个事件并引发一个硬件异常外,在代码中可以主动引发一个软件异常,这只需要调用RaiseException()函数,实例如下:
void RaiseException(DWORD dwExceptionCode,//标识所引发的异常的代码
DWORD dwExceptionFlags...
「 逆向工程 」 October 21, 2019
Words count 8.4k Reading time 8 mins. Read count 1000000
PE文件的全称是便携式可执行文件,意为可移植的替换的文件,常见的EXE,DLL,OCX,SYS,COM都是PE文件,PE文件是Microsoft Windows操作系统上的程序文件(可能是间接被执行,如DLL)
Read article基地址定义:当PE文件通过Windows加载器被装入内存后,内存中的版本被称作模块(Module)。映射文件的起始地址被称作模块句柄(hMoudule),可以通过模块句柄访问其他的数据结构。这个初始内存弟子就是基地址。
内存中的模块代表着进程从这个可执行文件中所需要的代码,数据,资源,输...
「 Article 」 October 20, 2019
Words count 7.2k Reading time 7 mins. Read count 1000000