[原创]CTF2017第五题分析-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

Fpc

2017-6-11 21:51

6971

这题对自己也是挑战，因为它用到了驱动。

驱动之前了解过，就是在内核编程，里面比较复杂，而且容不得错误，所以一直没深入，仅限于了解。

这次用到了硬着头皮上吧

工具：vmware, od, ida, lordpe, winhex, masm

在虚拟机内，用OD加载，不能下断点了，有反调试，根据题目描述，应该是用到驱动了，是不熟的领域。因为程序只有一个文件，猜想是动态释放，就想把这个驱动摘出来。

因为程序没加壳，用winhex打开，搜索MZ文件头，能找待释放的文件。但一开始走弯路了，从MZ头整个到文件尾都复制下来，大于应有的文件，是不能运行的。后来下断点CreateFileA，可以拦到建立vmxdrv.sys的过程，得到正确的结果。

用IDA分析这个文件

这里是清debug端口的，nop掉

收藏・0

免费・1

支持

最新回复 (2)
瞧红尘雪币： 166 活跃值： (392) 能力值： ( LV13，RANK：357 ) 在线值：发帖 13 回帖 101 粉丝 2 关注私信	瞧红尘 2 2 楼他的PE资源里面就有,用资源工具直接提取...驱动部分函数不多,IDA可以直接看....看了下,没精力继续 2017-6-13 14:07 0
Fpc 雪币： 598 活跃值： (282) 能力值： ( LV13，RANK：330 ) 在线值：发帖 26 回帖 169 粉丝 1 关注私信	Fpc 4 3 楼 createfile下断点，等文件生成可以copy一份出来 2017-6-14 11:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Fpc

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
瞧红尘雪币： 166 活跃值： (392) 能力值： ( LV13，RANK：357 ) 在线值：发帖 13 回帖 101 粉丝 2 关注私信	瞧红尘 2 2 楼他的PE资源里面就有,用资源工具直接提取...驱动部分函数不多,IDA可以直接看....看了下,没精力继续 2017-6-13 14:07 0
Fpc 雪币： 598 活跃值： (282) 能力值： ( LV13，RANK：330 ) 在线值：发帖 26 回帖 169 粉丝 1 关注私信	Fpc 4 3 楼 createfile下断点，等文件生成可以copy一份出来 2017-6-14 11:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复