1. a27@hack-stuff.com
2013年6月1號

2.  調試器駭客之瞳
 追蹤一個進程運行的狀態
 追蹤一個進程的狀態又大致上分為兩種
▪ 動態分析追蹤 & 靜態分析追蹤
 調試器經常使用於
▪ Exploit程序
▪ Fuzzing測試框架運行漏洞挖掘
▪ 惡意軟件分析

3. • 白盒調試器
 開發平台 & IDE 通常會配置的內建調試器
 提供開發者更高級別的進程控制能力
 黑盒調試器
 目標行程的跟蹤
 用戶態調試器(ring 3)V.S 內核態調試器 (ring 0)

4.  原始且富有強大功能調試器
 微軟WinDbg
 OlehYuschukollyDbg
 標準的GUNgdb
 駭客能自行編寫腳本插件 ex:hook
 純python的調試器PyDbg
 有python調試庫Immunity Debugger

5.  CPU內有八個通用暫存器 : EAX、EDX、ECX、
ESI、EDI、EBP、ESP、EBX
 每種暫存器都有它不同的功用
 稍後會個別講解

6.  FILO的參數結構
 堆疊由內存高的位址向內存低的位址增長
 EX :
int my_socks(a27_one, a27_two, a27_three)
組語型態
push a27_one
push a27_two
push a27_three
Call my_socks
Hint:
ESP暫存器用於紀
錄當前堆疊的頂部
EBP暫存器用於紀
錄當前堆疊的底部
返回地址
a27_one
a27_two
a27_three
堆疊基地址
ESP暫存器
EBP暫存器
堆疊增長方向
進程執行方向

7.  ollDbg

8.  IDA-pro

9.  工具 : Lazy Engine
 鎖定記憶體
 更改描述
 更改地址
 更改數值
 更改類型

10. 題目 :
[Neo]
Hmm... there is no clue to track down the
criminals.
But, there is one way I love to use.
Getting myself into the virtual world.
It risks my life, but saving the world is worth
risking!
I will get into the virtual world for clues!

12.  看到遊戲感覺就是把它破完key就會彈出來
 先去打大魔王，發現空白鍵一直按著有機
會把牠打死，可是我懶(因為失敗很多次)
 找存大魔王的血量的記憶體位址
 去鎖定記憶體，更改記憶體內容

15. 把999999
改成0

17.  F423F(十六進位)999999(十進位)

18.  題目:
We think something is hidden to this file…
這句話不是廢話嗎…

19.  這個PE文件不是32位元的文件類型
 放進64的VM
 一開始的歡迎詞(感覺等等用的到)

20.  思考模式
 沒有動作
 單純的背景
 動漫
 蠻美的

21.  找到最一開始的歡迎詞
 接著向下繼續分析

22.  同一個Functions windows裡有歡迎詞跟恭
喜詞
 Key應該在裡面?!

23.  if ( Msg != 273 )
 return
DefWindowProcA(hW
nd, Msg, wParam,
lParam);
 if ( (unsigned
__int16)wParam == 1 )
 {

GetWindowTextA(::hW
nd, &String, 128);

SetWindowTextA(hWn
d, &String);
 v16 = 5;
 do
 {
 String -= v16;
 String ^= 3u;
 --v16;
 }
 while ( v16 );
 v17 = 4;
 do
 {
 v23 -= v17;
 v23 ^= 4u;
 --v17;
 }
 while ( v17 );
 v18 = 3;
 do
 {
 v24 -= v18;
 v24 ^= 5u;
 --v18;
 }
 while ( v18 );
 v19 = 2;
 do
 {
 v25 -= v19;
 v25 ^= 6u;
 --v19;
 while ( v19 );
 v20 = strcmp(&String,
"C;@R");
 if ( v20 )
 v20 = -(v20 < 0) | 1;
 if ( v20 )
 {
 MessageBoxA(hWnd,
";;", "ohtahacker", 0);
 exit(0);
 }
 MessageBoxA(hWnd,
"congratulation",
"ohtahacker", 0);
 加密的地方找到了

25.  從IDA & OD 看出簡單的迴圈
 Pseudocode ex :
 while(LoopCount--)
 {
 InputText[i] -= LoopCount;
 InputText[i] ^= XorKey;
 }

26.  正確的flagSECU