171206 逆向-JarvisOJ(病毒数据分析)(1)
来源:互联网 发布:信息碎片化定义知乎 编辑:程序博客网 时间:2024/04/29 04:07
1625-5 王子昂 总结《2017年12月6日》 【连续第432天总结】
A. JarvisOJ-Re-病毒数据分析
B.
公司员工的计算机中招了!
在他的计算机上发现了一个病毒样本,同时网关上抓包时发现这台计算机好像传了点加密的信息出来,但是抓到的包可能有点不全,开头的一个包可能漏掉了。
请分析压缩包中病毒样本及数据包信息,解密出这台中招的计算机往外发的信息中包含的flag。flag形式为32位md5类型字符串。
题目来源:CFF2016
这次是CFF的re500,难度肯定比之前两个大咯
扫一眼数据包,是TCP来回进行通信
对程序进行分析,运行发现无反应
那就没法从相关字符串入手了……
从提示中可以看出来是网络通信,那么肯定要依靠socket相关的API
从而定位到核心函数
再向上溯源,可以发现它先读取了注册表中“Personal”的键值,调试发现就是“我的文档”的路径
然后遍历该文档下所有文件(包括子文件夹),读取数据后进行加密发送
通信过程为
发送随机8字节
接收16字节
根据刚才的发送值和接收值对数据进行加密,然后发送
最后接收8字节
每个符合条件的文件进行一遍上述循环
查看题目提供的数据包,发现缺失开头的随机8字节,仅拥有之后的16字节+data+8字节的内容
因此要了解加密方法,从而解密出data来得到flag了
大概看了一下,也挺复杂的……
而且关键是由于对方服务器是内网地址,也不知道接收方返回的数据是什么,因此socket.connect不成功,进而不会send出去,动态调试就很困难了
明天仔细逆一下加密方法把
C. 明日计划
JarvisOJ
阅读全文
0 0
- 171206 逆向-JarvisOJ(病毒数据分析)(1)
- 171207 逆向-JarvisOJ(病毒数据分析)(2)
- 171209 逆向-JarvisOJ(病毒数据分析)(3)
- 171205 逆向-JarvisOJ(文件数据修复)
- 171130 逆向-JarvisOJ(Fibonacci)
- 171223 逆向-JarvisOJ(EvilExe)
- 171202 逆向-JarvisOJ(软件密码破解-3)(1)
- 171225 逆向-JarvisOJ(DebugMe)(2)
- 171203 逆向-JarvisOJ(软件密码破解-3)(2)
- 171204 逆向-JarvisOJ(软件密码破解-3)(3)
- 171201 逆向-JarvisOJ(软件密码破解-2)
- 171219 JarvisOJ(DebugMe)(1)
- Jarvisoj 逆向总结
- 数据逆向分析(1)——开篇
- XXshenqi“超级病毒” 逆向分析
- Android逆向与病毒分析
- “机器狗”病毒驱动部分逆向分析注释(C代码)
- 转:“机器狗”病毒驱动部分逆向分析注释(C代码)
- SPI概念及使用
- nginx配置虚拟机遇到的坑
- C语言经典项目之一——三子棋
- 种草莓 HNUST 1714(求正方形边长 DP)
- C++多线程下子类"部分析构"问题
- 171206 逆向-JarvisOJ(病毒数据分析)(1)
- cpp中类和struct的区别
- Struts 2的struts.xml中配置json类型
- 内核线程绑定CPU
- bzoj 3781: 小B的询问(莫队)
- 使用log4j记录日志
- Untitled
- 循环队列
- L-System分形