-
-
[原创]看雪CTF2017第11题
-
发表于:
2017-6-21 23:41
3609
-
1. 原始文件(记为0.exe)处理逻辑
内存加载内嵌的exe, 直接dump下来(RVA: 0x1000, SIZE: 0x45000, 记为1.exe)
2. 1.exe处理逻辑
根据当前进程的父进程(explorer.exe/cmd.exe/自身)来置标志位(0x439B50, 0x439B51)
当父进程是自身时, 会将0x437A08处的值置0
当父进程是explorer.exe/cmd.exe时, 会以调试模式启动子进程
当子进程执行此处时会发生除0异常
父进程会修改子进程两处代码并继续执行(patch这两处dump, 记为2.exe)
3. 验证逻辑
载入2.exe
读取文件0x41000处, 大小为0x5000的数据(记为M)
sn格式: XXXXXXXXYYZZZZ...(XXXXXXXX记为v, YY记为k, ZZZZ...记为z)
使用v和k解密M
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
