CTF挑战赛-合天网安实验室-Reverse逆向200writeup

自己做的时候  那个INT3断点一直搞不定 后来按照这篇文章的方法成功

转载自合天小逆向探究断点异常   作者iFurySt

东搞西搞都在瞎搞,今天到合天上面看到一个逆向题(RE200),拿下来搞了一下,学到了点东西,分享一下。

首先当然是运行一下摸摸套路,接着查了一下无壳,之后就是丢进OD开始调试。

可以根据运行看的字符串找个大概位置,往上翻找到函数入口:

functionEP.png

调试一下就到这边了,往下走,password1简单,就是简单的对比字符,直接拿到:

pw1.png

接着看关键的password2,进入函数,跑一下程序死掉了,发现里面有INT3中断,INT3是怎么回事呢,正常运行的时候INT3会交给系统SEH(异常处理)进行处理,而在调试的时候,中断会交给调试器,之后就会异常退出(若想了解更多请移步google,网上资料很多,不赘述)。

intofuntion2.png

INT3.png

这时候我们打开ODDebugging options,选上INT3 breaks,因为之前代码有加载SEH,所以会自动交给SEH处理,处理完再返回函数接着执行。

Debugging options.png

重新调试发现程序还是跑到结束,没办法调试,因为我们不知道SEH结束后返回的地址,查看上面加载SEH的代码可以发现返回的地址40157F,

SEH.png

但是过去看了一下一堆乱码,此时我们打开IDA看一下,真正关键代码是401547(IDA这边已经能看到算法了),我们下个断点,调试一下就知道原始字符串了,再拿出来与2异或一下就得到结果了:

f2.png

password2.png

1

2

3

4

5

s='75316E6E66326C67'

result=''

for i in range(0,len(s),2):

    result+=chr(int(s[i:i+2],16)^2)

print(result)

在《逆向工程核心原理》里面有一句话:

有时,在某些环境(OS,调试器插件Bug等)中使用StepInto(F7)或StepOver(F8)命令跟踪INT3指令会导致调试器非正常终> 止。当遇到这种情况时,请按照以上说明设置好断点后再按F9运行程序。

我就是这样的,就是到SEH里不能再F7或者F8的,必须先找到SEH结束后返回的地址,在那之后下断点F9。

参与评论 您还未登录,请先 登录 后发表或查看评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:编程工作室 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值