前言 这个题说难似乎也不是很难，但就是十分的麻烦，将虚拟机VM与XTEA魔改进行了结合，同时写对应脚本也比较费时间…总感觉这个题出出来是用来拖Re的解题时间的(可能对于一些佬来说不是) 加密 我们将程序拖入到IDA中可以清晰地看到其加密逻辑，程序分别进行了三个阶段，将我们的输入进行处理 ——> XTEA加密 ——> VM 因此对于逆向而言我们需要的是先去解密对应的VM虚拟机部分，我们

整体而言是一个比较好分析的一个VM题目，对得起其easy的名字？ 拖入IDA进行反编译，可以清楚的发现对应的结构特点 我们跟进到创建栈空间的函数可发现其对应的操作函数集合 我们可以发现里面的运算，可以进行简单的标注一下。 我们在这个函数的集合中可以发现第一个run_vm中存在有switch - case结构，因此可以推断出来这个函数就是在执行对应的操作指令判断，来进行执行后面的函数 进行简单的

前言 近期才打完蓝帽杯，发现基本上自己除了取证啥也不会，完完全全成了取证大赛…于是计划总结一下比赛过程中所用到的volatility取证有关的知识点 有关命令 命令格式：volatility -f [文件名] --profile=[dump的系统版本] [命令] 12345678910111213141516171819202122232425262728293031323334353637vol

前言 随着CTF的兴起，有着越来越多样化的逆向题目(各种不会的语言被出出来折磨人)，我们可以比较常见的是C、C++语言的逆向题目，而Python题目出现也算是较为常见，题目多为pyc或者是exe，今天与大家一起分享一下关于Python逆向的一些东西 前言 随着当下CTF比赛的发展，各种各样的语音逆向逐渐产生，如C、C++、Python等一些常见语言用于出题也是常规题型，而我们此次所初步了解的是Py

前言 逆向这个属于是费神，费力…主要函数功能还是要靠调试和猜测来进行得出…写此篇文章也希望能对后续的复现者能够有所帮助 子程序程序主函数 直接拖到IDA中，程序会分析出来对应的主函数，在主函数我们可以观察到一个VirtuaalProtect函数，通过程序名称我们也可以知道程序是一个加载一个新的PE来完成对应的功能。为了到新的子程序中，我们采用调试将对应的数据段按P进行构建函数，通过不断的测试哪些

前言 整个比赛下来十分坐牢，就只有取证能稍微动一下下，真 —— 取证大赛，比赛结束了，也就只有取证是有解，其他的题目一个没动… 以下仅有的也是取证的 wp 题解… 电子取证 手机取证_1 Q：现对一个苹果手机进行取证，请您对以下问题进行分析解答。627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是？ A： 直接在目录下找到这个图片查看对应分辨率即可 只后

IDAPython 背景 IDAPython 创建于 2004 年。这是Gergely Erdelyi和Ero Carrera的共同努力。他们的目标 是结合强大的python与自动化分析的IDA的类C脚本语言IDC。IDAPython 由三个独立模块 组成。第一个是idc，它是封装IDA的IDC函数的兼容性模块。第二个模块是idautils，这是IDA里的一个高级实用函数。第三个模块是idaapi

前言 VM逆向对于Re老手肯定是不陌生的，但是对于我一个Re废物来说，之前一直有听说过VM的逆向题目，但是因为时间原因一直没有去实践过一个题目，基本上是遇到就溜，感觉到十分棘手，因此在此次学习中将其进行记录，也希望对后来学习的同学有所帮助 基本介绍 VMP：也就是虚拟机保护技术，它是将基于x86汇编系统的可执行代码转换为字节码指令系统的代码，以达到保护原有指令不被轻易逆向和篡改的目的。这种指令执行

拿到程序拖入PE中可以发现是一个UPX壳的 64 位程序，我们如果直接upx -d进行脱壳可以发现程序无法运行，因此我们运行x64dbg开始尝试手动脱壳。 脱壳完后的程序在修复一下IAT，之后拖入IDA中,依次进入 可以看出来程序创建了一个线程，在运行些什么东西，我们运行原来的程序，打开任务管理器进行查看 可以看到多出来一个进程，而且在跑一个可执行的程序，我们对此需要想办法将其dump出

简单举例 以7546除23为例。 先减去23的100倍，就是2300，可以减3次，余下646。 此时商就是300； 然后646减去23的10倍，就是230，可以减2次，余下186。此时商就是320； 然后186减去23，可以减8次，此时商就是328. 原因说明 对于大数除法来说其本质上也是大数减法的一种延续，我们除以一个数字可以采用多次减去该数，而能减去的次数便是我们所需要的商，但是一个很大的数