-
-
[原创] KCTF 2019 Q3 第二题 Simpower91 3.0
-
发表于: 2019-9-24 22:09
-
版本逐步加强,KCTF Q3 来到第三版。
【第一版】Simpower91 1.0
【第二版】Simpower91 2.0
【第三版】Simpower91 3.0
在 00477DDC Hi_TAntiDebug_anti7 的函数中引入了七种反调试机制。整体防护比前两个有所加强。
估计下一个版本就需要搞它的TVirtualMachine和TSimInstructions,
这里我们尝试利用第二版得到的攻击思路,直接用frida捕获相关信息。
这是我们第二版关注的东西(这就跟挖洞的人喜欢找敏感函数一样),
frida简单的脚本fh.py参考文末,
这里我们运行样例,key前面的部分Simpower91根据第一版或第二版可以直接搜内存得到。
key后面部分我们可以结合fh.py做跟踪测试,这里给了正确的key,
可以自行比对错误尾部key时,frida的输出情况。
后面是整个追踪情况,当尾部key错误时,其输出不会这么多,毕竟当内部比对错误后就停止执行了,
我们关注一些比较敏感的操作内容,如下,其搬动了一个样例Image自身内的地址
其实际位于特权指令clts触发的异常调用后面
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2019-9-25 11:31
被HHHso编辑
,原因:
|
|
|---|---|
|
|
|
