WP-南邮CTF逆向第五题maze用记事本打开maze,发现是elf文件将maze载入idaPro,找到main函数,按下F5查看其伪代码。分析伪代码根据分析,可知0X601060处是一个迷宫(maze),我们对sub_400690这个函数进行分析然后观察0X601060处的数据,是保存了64个数据,再根据sub_400690这个函数中的可以判断出,这是一个8 * 8的迷宫,写...
打开题目后,从题目描述中看到了“迷宫”俩字,立马就联想到逆向中的迷宫问题。(ctf—wiki的链接https://ctf-wiki.org/reverse/maze/maze/) 将附件下载下来后放入脱壳软件exeinfo中 可以看出是64bit文件,用64bit-IDA打开并在左边先找到main函数 可以用Ctrl+F输入main搜索,也可以直接在左边一列直接... ...
找到关键代码,发现v5有四种情况O o . 0,每种情况对应一个函数,执行完函数后goto_LABEL_14。 输入O,因为(*a1) - 1,所以位置往前移动1位 输入o,因为*(a1+ 1),所以位置往后移动8位 输入. ,因为(*a1)-1 ,所以位置往前移动1位 输入0,因为*(a1+1),所以位置往后移动8位 这里的移动后来知道是错误分析。。
去壳 去upx壳 upx -d maze_behind_junk.exe 去花 对main_按U取消定义函数,按P重新分析函数 分析 很简洁的迷宫程序 (5,-4)应该就是终点 点进汇编界面,可以看到疑似地图的字符串 +应该是起点,F是终点 编写脚本求地图长宽 maze ='***+*** *** *** *** **F*** ***'end = maze.index('F') ...
南邮CTF RE5——MAZE 链接:https://pan.baidu.com/s/174v4vI4760V-QnD4yW7Z5A密码:ml6n MAZE拖进winhex发现是elf文件,ida64打开,调出main函数,反编译: __int64 __fastcall main(__int64 a1, char **a2, char **a3) { signed __int64 v3; // rbx@4...
[HDCTF2019]Maze(初识逆向) 下载附件解压,为了方便,我将文件名改为了maze.exe 一般我们先查壳,确实存在UPX壳 对于刚接触逆向的我,一键脱掉哈哈哈 不过还是要说一下,这种脱壳处理有可能会产生其它损坏或者影响,需要进行一定的修复 可以看到已经没壳了,我们尝试运行exe文件...
[HDCTF2019]Maze Exeinfo 用工具一键脱 :) 肯定姿势不对,重来 用upx脱 成功没有报错的进入了。但是这是什么意思,整爷玩? ---正题--- 进了ida之后就像上面一样,有花指令干扰ida反汇编呗 哪里有呢,0x40102c这个地方jnz很明显凭空多出来了一个跳转,nop掉即可。 patch programe里有一个汇编,改...
题目链接:[HDCTF2019]Maze 分析 查壳, 有壳,直接工具去壳, 拖入ida, 可以看出这应该是核心代码,直接按F5,没有反应,分析一下代码, 这里jnz指令跳转到了下一行代码,相当于没跳转,可以推断出这段代码添加了花指令,导致ida分析失败, 直接将这里的jnz指令nop掉, ...
[HDCTF2019]Maze 题解 首先尝试运行 runn.png 使用exeinfo查壳,显示upx壳。 peinfo.png 使用IDA Pro进行分析,发现尾部跳转,进行脱壳。 unpack.png 脱壳完毕后拖进IDA Pro中分析 寻找main函数没有找到 查看start函数。找到了_main函数,但是functionns窗口并没有识别,进入_main函数。 01.png jnz.png 发现有很多不...
Patch Motion correction and Patch CTF estimation were used to align and calculate the contrast transfer function (CTF), respectively. The cryoSPARC blob picking utility19 was used to pick initial particles to develop a training data set of 3,154 particles that was fed into the Topaz particle ...