T-shirt 尺寸登记
牛们都太谦虚了。。。。。不来投票

[结束][第二阶段◇第二题]看雪论坛.珠海金山2007逆向分析挑战赛
我的也能杀掉啊

[ohyeah]show一下2.1
以****00 00 00 00为格式的前八个字节满足条件的有好多，肯定是10个以上

[原创]第二阶段第一题我的方法(135bytes,比较弱)+总结(看雪金山2007逆向分析挑战赛)
真详细，学习一下

[原创]完全不懂shellcode解第二阶段第一题
爆破以后选择就需要人品了，哈哈，我没看你的程序，但是如果按照这样算结果肯定不止那么多。而是有N个满足条件。不信把后四位写成00 00 00 00爆前几位试试

[原创]完全不懂shellcode解第二阶段第一题
试过从指定高位的值，爆不出来，只好换低位。 也没看出来什么算法，就知道是自己不懂的算法。

[原创]完全不懂shellcode解第二阶段第一题
牛们说的话都像天书，听不懂呀

[调查]关于 T-shirt 款式调查
要是每人都有，就不会等到“比赛一结束”了

[调查]关于 T-shirt 款式调查
左胸印logo，手臂印ID

[建议]关于T-shirt!
批准了批准了

[原创]第二阶段第一题
51字节版本，要去实习，下面的比赛参加不了，不顾分了再来一个，哈哈

[原创]第二阶段第一题
修改字符后的结果，呵呵

[原创]第二阶段第一题
02A30000    A9 9ABDBD1C     TEST EAX,1CBDBD9A
02A30005    1C 1C           SBB AL,1C
02A30007    1C C7           SBB AL,0C7
02A30009    C705 60024000 6>MOV DWORD PTR DS:[400260],6B6F；ok
02A30013    68 83034000     PUSH 400383
02A30018    8BEC            MOV EBP,ESP
02A3001A    83C5 24         ADD EBP,24
02A3001D    C3              RETN

这是我的shllcode，修改一下02A2009为movdword ptr 【400260】，214B4F
就内容就出现叹号了，ok也变成大写
再添加个mov dword ptr 【400268】，21484F，题目也出现OK!  
添加以后shellcode大小并不改变，因为我中间留了好多0.

[原创]第二阶段第一题
下下来就没仔细看， 修改标题和内容也不改变shellcode大小啊，觉得这都不是技术上的问题所以没太注意。版主能通过吗？

[分享]发现上当了，还在做第二轮第一题的注意了
发现对话框和题目上不一样 是字不太一样 晕倒
不过修改一下也不改变shellcode大小，不知道能通过不。

[原创]第二阶段第一题
那里面那个文件夹是没用的，那里面的东西和外面一样。请以外面的为准。

[求助]Import Table RVA怎么根据.rdata section 找
搜索dll位置的后两位来确定那个结构位置。
不过在刚开始的时候我不知道文件头大小，搜索到一堆不能确定哪个是。
所以是通过搜索api名称位置来推的，麻烦但定位快点。

通过搜索AC就可以找到kernel32对应的那个结构位置了。

[求助]Import Table RVA怎么根据.rdata section 找
首先在rdata文件里面找到下面的内容，api的名字一堆，就根据这个来找输入表。可以确定的是，必定会有一个指针指向这个名称，事实上这个指针就是IMAGE_THUNK_DATA结构。
下面来找这个指针的位置。lstrcpyA在rdata文件中的位置是794H（注意名称前面有一个dw）.text文件大小是6000H，无论在内存和磁盘中都是对齐好了的，而文件头也应该是相对于磁盘对齐好的，200H的倍数。
于是可以确定lstrcpyA函数的名称在内存中的位置后两位必定是94H。搜索94H，可以找到好多还不能确定哪个是，没关系，因为同一个dll中的IMAGE_THUNK_DATA总是排列在一起的，再搜索lstrlenA位置的后两位a0h，这样就可以确定Kernel32.dll所对应的一堆TMAGE_THUNK_DATA的大概位置了,你还可以再找几个确认一下。（请注意根据这个还可以确定文件头的大小，可以看出lstrlenA名称的rva是A0 77 00 00 ，77A0-（该名称在rdata文件中的偏移量）7a0就是rdata段的rva，根据题意，rdata段的rva=文件头大小+text段的大小，于是乎文件头大小就是1000H）
然后找Kernel32.dll所对应的FirstThunk位置，其实就是这一堆IMAGE_THUNK_DATA结构的开头，刚才找到的位置往上找扒拉扒拉找到连续四个字节都是00的地方就是了.位置是04CH，rva=7000+4c=7068，搜索4c 70 就可以确定输入表的大概位置了，7068就是输入表中kernel对应的IMAGE_IMPORT_DESCRIPTOR结构的FirstThunk
       
输入表的开始比较好找，从刚才位置往上，找到不像输入表的就是开始了，结束是14H个0字节结束的.于是乎可以确定输入表的开头和大小。
注意：在搜索lstcpyA等位置的时候，会碰到两个内容一摸一样的地方，于是会找到两个“FisrtThunk”,他们分别代表kernel32.dll所对应的IMAGE_IMORT_DESCRIPTOR结构中的OriginalFirstThunk和FirstThunk，
你用哪一个都能找到输入表。
也可以直接搜索dll名称的位置，来定位IMAGE_IMPORT_DESCIPTOR结构的位置，都一样，后者更简单些