3lioo

  The challenge: Category : Malware Reverse Engineering Level : easy   Points : 50 The correct input is the flag,format flag{xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx} Challenge Link : https://s3-eu-west-1.amazonaws.com/hubchallenges/Reverse/GUI.exe The solution :  I open the GUI.exe using dnspy tool because it is a .net file  it contains form with 8 check boxes and button and 4 labels when you hit the button the label will change to number  when i take a look at the button click event i saw this the code is very simple  every time the button clicked it takes the number 2 raised to the power num2 num2 is the index of the checkbox that we checked it from array  then calculate the result and store it in num  so we Jumped into conclusion : checkbox1.checked = array(0) >> num = math.pow(2,0) = 1 checkbox2.checked = array(1) >> num = math.pow(2,1) = 2 checkbox3.checked = array(2) >> num = math.pow(2,2) = 4 checkbox4.checked = array(3) >&g

hi there  in this article i'll tell you how i solved the rev me easy  challenge in can-cwic ctf 2017,so let's go first the challenge look like the image below   after downloading the file  Let’s take a look at the binary in IDA    so as we saw it is pretty simple  it is just move group of values one by one to edx then xor it with the value in eax  now what is the value in eax  let's scroll up a little bit and we found it it is 0x10 so after i collect all the values that been mov to edx and xored  in order to solve the challenge i wrote a python script that do  the same operation the app do and print the result  wish supposed to be the flag cc = "" bb = [] aa = [ 0x56 , 0x5c , 0x51 , 0x57 , 0x6b , 0x42 , 0x23 , 0x66 , 0x75 , 0x62 , 0x63 , 0x79 , 0x7e , 0x77 , 0x4f , 0x79 , 0x25 , 0x4f , 0x7e , 0x20 , 0x64 , 0x4f , 0x64 , 0x78 , 0x71 , 0x64 , 0x4f , 0x78 , 0x71 , 0x62 , 0x74 , 0x2f , 0x6d , 0x7 ] for a

في هذا المقال سأشرح فك تلغيمة autoit مشهورة جدا  أولا نفحص الملف و النتيجة كانت مثل ما شفنا autoit الأن سأستخدم الأداة المشهورة Exe2Aut بسهولة نسحب الملف عالأداة و رح يظهرلنا الأتي كما نرى وظيفة السكربت نسخ الملف 111 للتيمب و نسخ الملف الملغوم add list أيضا و تشغيل الملفين  الأن سأنتقل لتحليل الملف 111 يبدو إنه مبرمج بمنصة دوت نيت و سأقوم بتحليله باستخدام dnspy ندخل لنقطة دخول البرنامج و نستعرض  أولا يتم عمل سليب لمدة 25000 ميلي ثانية ثم يتم اضافة قيمة ريجستري لتشغيل الملف مع كل بدء تشغيل ثانيا يتم تنفيذ دالة wde() التي كما سنرى الأن مسؤولة عن فك الملف و تشغيله لذلك سأضع نقطة توقف و أشغل البرنامج عند الوصول كما في الصورة بالأسفل سيكون قد تم فك الملف و حفظه بالذاكرة يالي بمثله المتغير rawassemply رح نستعرضه و نعمله حفظ  طبعا بعد ما حفظناه للملف بعد الفك نفحصه و نرى إنه أيضا مبرمج بالدوت نت لذلك بعد استعراضه بال dnspy نرى التالي و يبدو كل شيء واضح