CTF REVERSE练习之病毒分析

最新推荐文章于 2024-05-29 23:36:43 发布
原创 最新推荐文章于 2024-05-29 23:36:43 发布 · 594 阅读 · 0
标签
#web安全 #网络安全 #安全
本文介绍了在CTF逆向分析中如何利用7Zip工具解压缩病毒文件,并通过在线沙箱分析程序行为。在一道实际的病毒分析题目中,通过7Zip发现并解压IMG文件,揭示了隐藏的恶意程序和关键信息。通过对在线沙箱的使用,获取了程序的详细行为报告,最终找到并计算出Flag。

首先介绍两个知识点,在后面的实验中运用到的。

1、7Zip

7-Zip 是一款开源软件。我们可以在任何一台计算机上使用 7-Zip ,包括用在商业用途的计算机。7-Zip 适用于 Windows 7 / Vista
/ XP / 2008 / 2003 / 2000 / NT / ME / 98。并且有面向 Mac OS X、Linux、Unix 平台的命令行版本。

7zip使用起来十分方便,通过添加的右键菜单,可以尝试对任意文件进行解压缩操作。7zip支持的文件格式十分丰富,其中压缩包括:7z, XZ, BZIP2,
GZIP, TAR, ZIP and WIM等格式,解压缩包括:ARJ, CAB, CHM, CPIO, CramFS, DEB, DMG, FAT,
HFS, ISO, LZH, LZMA, MBR, MSI, NSIS, NTFS, RAR, RPM, SquashFS, UDF, VHD, WIM,
XAR, Z等格式。

在一些CTF逆向分析的题目中,我们可以尝试使用7zip对其进行解压缩操作,可能就会有意想不到的效果,可以大大加快我们的分析过程。

2、在线沙箱

网上有许多公开的在线沙箱,使用这些沙箱提供的服务,我们可以方便的观察一个程序的详细行为报告,进而判断一个程序大致的内部逻辑。

在线沙箱通常用于大致判定一个程序的行为是否安全,在逆向分析中,我们可以通过提交一个文件给沙箱程序来判断程序内部的大致逻辑,通过对沙箱报告的分析,有时候可以有效加快我们的逆向分析进程。

本文涉及知识点实操练习: [CTF
REVERSE练习之病毒分析](https://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014111410071600001&pk_campaign=freebuf-
wemedia)

题目描述:

某日,一小学生弄了个U盘到打印店打印文件,U盘往计算机上一插,

最低0.47元/天 解锁文章
web老猴子
关注
[UNCTF 2020]Reverse方向
Nashi_Ko的博客
11-14 933
[UNCTF]re_checkin 0x00 逆向分析 一个简单的字符串比较 0x01 动态调试 上个断点,本地windows调试 随便输入点东西 双击Str2,选中第一个按一下A,flag就出来了
BUUCTF easy misc
wangjin7356的博客
12-25 1756
[安洵杯 2019]easy misc 有一个带密码的压缩包,一张图片和一个目录,翻翻看吧。 先从压缩包入手吧,看看有什么 发现有提示,根据提示算出答案为7。”7+NNULLULL,"是什么意思呢?试着解压也不对,暂时放一边。 再用binwalk分析小姐姐.png,没有发现什么东西,改用foremost得到两张png图片: foremost 小姐姐.png 用Stegsolve查看也没有看出所以然来。再看看read目录,有多个txt文档: 打开hint.txt,提示:hint:取前16个字符。搞不懂
Bugku-CTF(逆向篇Reverse)--不好用的ce
Nailaoyyds的博客
04-06 726
目录 第一种方法 IDA的使用 第二种方法 干了xdm 开局拿到exe文件。 运行后发现需要点击一万次,果断撤退。 第一种方法 IDA的使用 用ida打开,进去往下滑就能发现一串bese58的编码 这里需要注意一下,这一串字符串是base58加密的,怎么区分base58跟base64呢? Base58不使用数字"0",字母大写"O",字母大写"I",和字母小写"l",以及"+“和”/"符号。 拿到flag 解密以后就拿到flag了 flag{c...
CTF-RE-文件数据修复
SuperGate的博客
06-09 7229
题目大致意图是:解密CTF.ctf文件,然后再从中找到flag。 由于.ctf文件损坏,并且解密程序可以判断.ctf文件损坏,因此首先选择逆向这个判断条件。 由于有打开文件的操作,所以可以ollydbg打开,找到CreateFile函数下断点 F9在CreateFile函数停止,发现下面有一串Readfile函数,这个函数被多次调用。显然是在读取文件中的信息。 找到离我们最近的一...
BUUCTF:[SWPU2019]Network
末初 · mochu7
11-11 3034
https://buuoj.cn/challenges#[SWPU2019]Network TTL隐写 import binascii with open('attachment.txt','r') as fp: a=fp.readlines() p=[] for x in range(len(a)): p.append(int(a[x])) s='' for i in p: if(i==63): b='0
CTF-REVERSE练习病毒分析
ChuMeng1999的博客
11-29 3068
目录预备知识相关实验7Zip在线沙箱实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 相关实验 本实验要求您已经认真学习和完成了《CTF REVERSE练习之逆向初探》。 7Zip 7-Zip是一款开源软件。我们可以在任何一台计算机上使用7-Zip,包括用在商业用途的计算机。7-Zip适用于Windows 7/Vista/XP/2008/2003/2000/NT/ME/98。并且有面向Mac OS X、Linux、Unix平台的命令行版本。 7zip使用起来十分方便,通过添加的右键菜单,可以尝试对任
BUUCTF misc 专题(99)[SWPU2019]Network
tt_npc的博客
06-10 1102
BUUCTF[SWPU2019]Network
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
一个啥也不会的小菜鸡!
05-29 1206
涉及到的知识点: [IDA动态调试](IDA动态调试.md) [IDAPython脚本](IDAPython脚本.md) [用快照对进程、模块、线程进行遍历(代码段)](用快照对进程、模块、线程进行遍历(代码段).md) [WindowsAPI](WindowsAPI.md) [病毒感染实现(PE infector)](病毒感染实现(PE%20infector).md) [DLL文件分析](DLL文件分析.md)
CTF网络安全大赛学习笔记1010
qq_45134858的博客
10-10 1767
CTF
CTFHub 病毒文件恢复 WP
qq_61993117的博客
09-02 594
病毒文件恢复wp
CTF刷题笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 3831
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
内存取证大杂烩(已更新)
qq_73870170的博客
10-29 2357
拿到镜像文件现在volatility跑一下imageinfo得到镜像名,Win7SP1x64由1问可知我们的目标是Users可以用filescan来扫一下文件,因为win用户文件会有Users\名用户名为JiaJia。
BugKu CTF(杂项篇MISC)—被勒索了
网络安全
02-09 2446
CTFBugKu CTF(杂项篇MISC)攻与防被勒索了提  示: 格式:flag{}描  述: 题主遇到真实事件改编 全盘所有文件都被加密了,检查文件的时候发现了火绒的数据目录没有被加密...
2022 SMUCTF 永远都对-rui WriteUp
m0_45373799的博客
04-20 2750
2022 SMUCTF 永远都对-rui WriteUp
CTF中的加密问题
龙乐的专栏
08-15 4815
   练习题中是一些加解密小练习题,可以参考加解密小结1和加解密小结2中的特征对应进行加解密。可以利用工具。 RSA练习题:python脚本解RSA,脚本代码为(这里给出了p,q实际做题过程中是需要利用工具解p,q): #!/usr/bin/env python import gmpy from Crypto.PublicKey import RSA n = 4106906565495...
CTF部分题解
qq_72661106的博客
04-19 700
23代表#,后面是上传的文件名。进入网站,发现没有异常,尝试用蚁剑连接。进入网站先打开开发者工具没有发现任何js,尝试用御剑后台扫描目录。打开网站,发现有上传文件功能,尝试使用一句话木马上传php文件。可以看到文件上传路径,之后打开蚁剑进行连接,从而找到flag。打开网站,打开开发者工具在网络选项可以找到登陆密码,发现可以上传文件,尝试用一句话木马上传php文件,点击左侧数据库找到flags,得到flag。得到上传路径,采用zip伪压缩构造url。能够得到admin网址,再点击第一个网址。
记一次MISC记录(二)
Flamingo1998的博客
01-17 557
某个重要文件被篡改,你能还原文件下载压缩包里面有一个exe文件,双击无法打开应用把应用拖进010editor查看,看到是修改过的,是个jpg图片,文件通过base64编码需要使用脚本将base64转换成图片贴一个脚本,需要将base64编码放进src里面解出图片没用发现flag应该是个图片隐写,尝试查看文件长宽是否正确贴一个脚本查看将图片拖进010editor,发现图片高度不对,将高度修改保存查看到flag。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值