首页
社区
课程
招聘
[原创] KCTF 2019 Q3 第二题 Simpower91 3.0
发表于: 2019-9-24 22:09 5439

[原创] KCTF 2019 Q3 第二题 Simpower91 3.0

HHHso 活跃值
22
2019-9-24 22:09
5439

版本逐步加强,KCTF Q3 来到第三版。
【第一版】Simpower91 1.0

【第二版】Simpower91 2.0 

【第三版】Simpower91 3.0
在 00477DDC   Hi_TAntiDebug_anti7 的函数中引入了七种反调试机制。整体防护比前两个有所加强。
估计下一个版本就需要搞它的TVirtualMachine和TSimInstructions,
这里我们尝试利用第二版得到的攻击思路,直接用frida捕获相关信息。

这是我们第二版关注的东西(这就跟挖洞的人喜欢找敏感函数一样),


frida简单的脚本fh.py参考文末,
这里我们运行样例,key前面的部分Simpower91根据第一版或第二版可以直接搜内存得到。
key后面部分我们可以结合fh.py做跟踪测试,这里给了正确的key,
可以自行比对错误尾部key时,frida的输出情况。



后面是整个追踪情况,当尾部key错误时,其输出不会这么多,毕竟当内部比对错误后就停止执行了,
我们关注一些比较敏感的操作内容,如下,其搬动了一个样例Image自身内的地址

其实际位于特权指令clts触发的异常调用后面

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2019-9-25 11:31 被HHHso编辑 ,原因:
上传的附件:
收藏
免费 1
支持
分享
最新回复 (1)
雪    币: 5190
活跃值: (9717)
能力值: ( LV9,RANK:181 )
在线值:
发帖
回帖
粉丝
2
Frida强大,这题有没有正面刚的路子 ?
2019-9-25 10:29
0
游客
登录 | 注册 方可回帖
返回
//