Liv's blog

2025...

第五届鹏城杯 MDriver WriteUpMDriverVMP 脱壳驱动被 VMP 加壳，采用断点 KeRevertToUserAffinityThread 后 Dump 脱壳后驱动程序。 bp KeRevertToUserAffinityThread 断下后使用，查询驱动信息，得到地址和大小。 使用以下命令将驱动 Dump 内存到本地。 .writemem C:\Users\Liv\Desktop\MDriver_Dump.sys fffff80416d90000 L00427000 反调试绕过直接 g 运行后发现蓝屏，code 是 0x0deaddb9 在脱壳的驱动中搜索相关字节 搜到了调用蓝屏函数的地方。 查找函数交叉调用找到启动位置和调用位置，直接 Nop 该处 Call 即可。 eb MDriver+0x2ef4 90 90 90 90 90 运行则不再出现蓝屏 驱动分析使用 YDArk 分析，发现该驱动注册了一个 Wfp 回调。 在刚刚调用反调试的地方往上走两层这边有个关键函数。 这里有个字符串解密出来是”[MDriver] Get...

MiniVNCTF VSnake这次来给招新赛出题，想着得有点难度梯度以及区分度，基于其他已经出题的师傅的题目难度，出了这么一道游戏题，难度设为困难。 主要考验选手的综合逆向分析能力，怎么在一个复杂的游戏业务逻辑中分析找到关键函数。由于且只打算考选手对排列爆破的思想，所以三个解密算法均采用标准代码，xxtea只修改了Delta，RC4只修改了Sbox，而AES是完全标准的算法。 分析游戏业务逻辑大概如下： 最开始初始化了各种游戏全局数值，比如起始方向、坐标、以及三种食物的数据，这边是随机生成三种食物的坐标然后赋值给三种食物的结构体中。 根据代码分析，可以知道食物的结构体大概如下： 123456struct Food{ int x; int y; int...

XCTF Final FlagChecker前端代码提取Tauri程序，字符串定位到index.html，然后找交叉调用到这边，直接用一把梭解压脚本发现解压失败，应该是数据被加密了。 查找该部分的交叉调用，在他被调用代码下面部分下断，动调，发现数据被自解密了，此时再用脚本提取解压即可得到相关的前端代码。 提取代码： 1234567891011121314151617181920212223242526272829303132333435import idcimport brotliimport osimport pathlibimport shutilimport jsonstart = 0x140664738end = 0x1406647F8def extract(start_ea,end_ea,output_dir="assets"): shutil.rmtree(output_dir,ignore_errors=True) for offset in range(start,end,0x20): ...

Secured Personal Vault题目考点取证、进程&驱动逆向、msfs.sys逆向、Mailslot结构逆向 0x1 取证阶段下载题目附件，得到MEMORY.DMP，是Windows的系统转储文件格式，使用Windbg打开该文件。 点击!analyze -v，进行dmp分析。 可以发现系统是触发了蓝屏，并且能看到蓝屏时保存的栈信息，是由aPersonalVault+0x2a4b开始调用，然后到最后personalVaultKernel+0x10f5代码触发蓝屏。 跳转到触发蓝屏的汇编代码，可以看到是xor清零了eax，然后后续又访问了[rax]，导致空指针异常。 可以看到起始Call是在aPersonalVault.exe进程中，而触发蓝屏异常的是personalVaultKernel.sys，所以接下来就是Dump转储这两个文件进行分析。 使用!process 0 0命令遍历当前所有进程，发现当前运行的是存在两个aPersonalVault.exe进程。 123456789PROCESS ffffef063fbe8080 SessionId:...

WMCTF2025 逆向出题笔记这次我出的题预期难度定在了Hard，最后结束在三解，符合预期。这次的项目代码量很大，费了不少时间去构思，就是为了出不恶心人的难题，是合理的难，而且还不失乐趣。开源地址：VideoPlayer...

第四题...

SekaiCTF 2025 Reverse...

Reverse XSafe这题是这次比赛的零解驱动题，赛中看到是混淆就没有分析太多，赛后花了半天时间手动动调还是调出来了，难度就是在代码强混淆下动调分析数据（🐥神的混淆太狠了）。 R3R3层程序代码很简单，就是输入字符串然后写入到自己进程的固定一个地址，这边就可以猜到是R0驱动通过一些手段直接访问该进程，获取到存在固定地址中的字符串进行校验。 R0DriverEntry进来这边是原入口，可以发现被混淆了，并不能分析出来什么。 反调试处理由于驱动存在反调试，第一步便是要去除反调试。 最快的方法就是直接加载驱动，然后让他触发反调试导致蓝屏，这时就可以通过调用栈找到反调试的地方。 加载驱动，蓝屏触发， 使用kb命令查看堆栈，发现是调用了KeBugCheckEx触发蓝屏。 123456789101112131415161718191: kd> kb # RetAddr : Args to Child : Call Site00...

NepCTF2025 WP这次逆向的题目质量都挺好的，各个考点都不错，拿下三个一血和一个三血。 CryptoNepsignGemini 2.5Pro一把梭。 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136import socketimport sslfrom gmssl import sm3import osfrom ast import literal_evalfrom tqdm import tqdmHOST =...