Liv's blog

VNCTF2026 逆向题 Shadow WP考点 驱动PE手动反射注入 键盘消息监控 PTE hook 动态ShellCode 程序分析只是最简单的一个迷宫逻辑程序，并且不包含任何其他功能。 走到终点就会弹出”You reached the end!”消息框。 驱动分析1. PE反射注入Sys驱动入口开始，先根据一个全局Key，对一个0x5E00大小的数据，进行AES加密（注意是加密）。 其实尝试加密该数据，可以得到MZ文件头，也就是PE头，大概就能猜出来这边加密出来就是一整个的解密后PE文件， 解密PE文件后，进行PE拉伸、重定位修复、IAT修复、调用DriverEntry，一系列操作进行手动加载该PE文件到内存中运行，具体实现原理可以网上搜”反射注入”，实际就是手动实现加载并运行程序。 总结来说表层的这个驱动就是实现了手动加载另一个驱动到内存中运行，是一个壳性质。所以具体需要分析被加载的驱动， 2. Pte...

2025...

第五届鹏城杯 MDriver WriteUpMDriverVMP 脱壳驱动被 VMP 加壳，采用断点 KeRevertToUserAffinityThread 后 Dump 脱壳后驱动程序。 bp KeRevertToUserAffinityThread 断下后使用，查询驱动信息，得到地址和大小。 使用以下命令将驱动 Dump 内存到本地。 .writemem C:\Users\Liv\Desktop\MDriver_Dump.sys fffff80416d90000 L00427000 反调试绕过直接 g 运行后发现蓝屏，code 是 0x0deaddb9 在脱壳的驱动中搜索相关字节 搜到了调用蓝屏函数的地方。 查找函数交叉调用找到启动位置和调用位置，直接 Nop 该处 Call 即可。 eb MDriver+0x2ef4 90 90 90 90 90 运行则不再出现蓝屏 驱动分析使用 YDArk 分析，发现该驱动注册了一个 Wfp 回调。 在刚刚调用反调试的地方往上走两层这边有个关键函数。 这里有个字符串解密出来是”[MDriver] Get...

MiniVNCTF VSnake这次来给招新赛出题，想着得有点难度梯度以及区分度，基于其他已经出题的师傅的题目难度，出了这么一道游戏题，难度设为困难。 主要考验选手的综合逆向分析能力，怎么在一个复杂的游戏业务逻辑中分析找到关键函数。由于且只打算考选手对排列爆破的思想，所以三个解密算法均采用标准代码，xxtea只修改了Delta，RC4只修改了Sbox，而AES是完全标准的算法。 分析游戏业务逻辑大概如下： 最开始初始化了各种游戏全局数值，比如起始方向、坐标、以及三种食物的数据，这边是随机生成三种食物的坐标然后赋值给三种食物的结构体中。 根据代码分析，可以知道食物的结构体大概如下： 123456struct Food{ int x; int y; int...

XCTF Final FlagChecker前端代码提取Tauri程序，字符串定位到index.html，然后找交叉调用到这边，直接用一把梭解压脚本发现解压失败，应该是数据被加密了。 查找该部分的交叉调用，在他被调用代码下面部分下断，动调，发现数据被自解密了，此时再用脚本提取解压即可得到相关的前端代码。 提取代码： 1234567891011121314151617181920212223242526272829303132333435import idcimport brotliimport osimport pathlibimport shutilimport jsonstart = 0x140664738end = 0x1406647F8def extract(start_ea,end_ea,output_dir="assets"): shutil.rmtree(output_dir,ignore_errors=True) for offset in range(start,end,0x20): ...

Secured Personal Vault题目考点取证、进程&驱动逆向、msfs.sys逆向、Mailslot结构逆向 0x1 取证阶段下载题目附件，得到MEMORY.DMP，是Windows的系统转储文件格式，使用Windbg打开该文件。 点击!analyze -v，进行dmp分析。 可以发现系统是触发了蓝屏，并且能看到蓝屏时保存的栈信息，是由aPersonalVault+0x2a4b开始调用，然后到最后personalVaultKernel+0x10f5代码触发蓝屏。 跳转到触发蓝屏的汇编代码，可以看到是xor清零了eax，然后后续又访问了[rax]，导致空指针异常。 可以看到起始Call是在aPersonalVault.exe进程中，而触发蓝屏异常的是personalVaultKernel.sys，所以接下来就是Dump转储这两个文件进行分析。 使用!process 0 0命令遍历当前所有进程，发现当前运行的是存在两个aPersonalVault.exe进程。 123456789PROCESS ffffef063fbe8080 SessionId:...

WMCTF2025 逆向出题笔记这次我出的题预期难度定在了Hard，最后结束在三解，符合预期。这次的项目代码量很大，费了不少时间去构思，就是为了出不恶心人的难题，是合理的难，而且还不失乐趣。开源地址：VideoPlayer...

第四题...

SekaiCTF 2025 Reverse...

Reverse XSafe这题是这次比赛的零解驱动题，赛中看到是混淆就没有分析太多，赛后花了半天时间手动动调还是调出来了，难度就是在代码强混淆下动调分析数据（🐥神的混淆太狠了）。 R3R3层程序代码很简单，就是输入字符串然后写入到自己进程的固定一个地址，这边就可以猜到是R0驱动通过一些手段直接访问该进程，获取到存在固定地址中的字符串进行校验。 R0DriverEntry进来这边是原入口，可以发现被混淆了，并不能分析出来什么。 反调试处理由于驱动存在反调试，第一步便是要去除反调试。 最快的方法就是直接加载驱动，然后让他触发反调试导致蓝屏，这时就可以通过调用栈找到反调试的地方。 加载驱动，蓝屏触发， 使用kb命令查看堆栈，发现是调用了KeBugCheckEx触发蓝屏。 123456789101112131415161718191: kd> kb # RetAddr : Args to Child : Call Site00...