-
-
[原创]看雪CTF2017 第五题分析
-
发表于:
2017-6-10 17:31
3421
-
od无法调试,先使用ida静态分析,发现该程序加载驱动,patch掉驱动后再动态调试。
在 DeviceIoControl和 CreateFileA处下断,查看调用栈,来到004013E0 函数
如下地址
将 0040158D - 00401593 NOP掉,过掉驱动,注意:当运行到此处时将exe所在目录下的vmxdrv.sys改个名,后面我们用IDA分析。
往下走来到
将 004015D0 - 004015D4 NOP掉,过掉线程检查
在GetWindowTextA处下断,运行程序输入1111111111111,回车断下,查看调用栈来到
确定sn长度为6,继续往下分析
将sn反向,然后通过00401D50 函数传到驱动进行处理
对驱动传出来的数据进行md5,在线md5验证一下可确定
获取md5后的字符串2-12,共10个字符的子串
结果与"888aeda4ab"比较
下面使用ida分析驱动,驱动很小,只分析一下主要功能
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
