首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

打个3dsctf,电脑机都开不了?

快,关注这个公众号,一起涨姿势~

3DSCTF Malware 3道题 writeup

tags:

- Reverse

- malware

Ransomware

这个题模拟一个勒索病毒,解密这个被加密的flag文件

在调试中我们可以看到比较代码,一次比较两个字节

继续看看,那么输入正确的密码,应该是打开这个目录解密flag文件

我们创建目录,flag.mocoh文件放进去,输入正确的密码25031979,再打开文件,即可看到flag

IRC Bot Takeover

这个很坑,这个企图连接irc服务器,结果是连不上的

后来看来下strings,这个感觉就是flag相关的

看看在哪里,向上看了看,刚好是ird验证成功的代码

后来直接将eip设置成0040142B,调试的时候改下strcmp完的跳转标志位

到下面即可出flag的前面一部分

最后整个就出来了

W32.killah

就是这个题,差点费了我的虚拟机,之后分析看了看,修复mbr就好了,就改了mbr的引导代码

在感染代码的后面发现

之后发现这两段是解密代码,但是解密之后还是乱码(直接将eip设置到那里运行就行)

突然我发现入口点也是解密的,那我先运行这里再将eip设置到那里

结果发现只出来了上半段

我就很纳闷,突然灵机一动,为什么前面的只有一段代码,而后面两段

于是我跟着规则在入口点也加了段代码

运行到nop,我再将eip设置为40111c再运行即可获得flag

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180119G045KR00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券