-
-
[原创] KCTF 2023 第十二题 深入内核
-
发表于: 2023-10-4 12:03
-
输入时,暂停程序,输入完后返回程序领空
发现是内联vc++库函数,找到调用位置
看着IDA分析出一片空白(x),看来IDA是不太好使了
下硬件断点(函数返回的存放Serial输入内容的地址)
1 类似于 strcpy
2 memmove
发现有xor操作,比较可疑
3 疑似加解密操作
4 将byte 赋值0,观察后发现可能是另外一种加解密
随后是计算md5
调试时尝试故意输错serial,发现程序还能出现正确serial
那基本不用逆了,直接输入KCTF在这里拿答案就是
35090e1336f1d1e872ba798256db1bfb
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
