QEMU on PseudorandomDog's Blog https://binarydog.top/tags/qemu/ Recent content in QEMU on PseudorandomDog's Blog Hugo zh-CN Sun, 28 Dec 2025 00:00:00 +0000 CISCN2025 初赛简单题 vvvmmm https://binarydog.top/posts/ctf/ciscn2025-vvvmmm/ Sun, 28 Dec 2025 00:00:00 +0000 https://binarydog.top/posts/ctf/ciscn2025-vvvmmm/ <p>DIE 查壳,有 UPX 壳,没有魔改对抗,直接 <code>upx -d</code></p> <p>静态链接,需要还原一下 libc 符号,可以看到还有一大堆没有识别的,推测还静态链接了别的库</p> <p>主函数有一点平坦化和 data 解密的内容,可以使用调试来 dump 这些数据,在 puts 下断点</p> <p> <figure class=""> <div class="img-container" > <img loading="lazy" alt="" src="https://binarydog.top/images/image-1766921070677.webp" > </div> </figure> </p> <p>可以看到比较关键的数据是 0x64c3f0 的 662 字节数据和 0x64C6C0 的 32 字节字符串,点进下面的疑似进入 vm 的函数 sub_4099D0 可以看到字符串 timeout,再点进去,可以看到 qemu_thread_create 字串引用</p> <p> <figure class=""> <div class="img-container" > <img loading="lazy" alt="" src="https://binarydog.top/images/image-1766921289965.webp" > </div> </figure> </p> <p>搜索字符串 qemu 有 riscv 相关字串</p> <p> <figure class=""> <div class="img-container" > <img loading="lazy" alt="" src="https://binarydog.top/images/image-1766921321213.webp" > </div> </figure> </p> <p>大胆猜测 662 字节的数据是 riscv 字节码,调试 dump 出来</p> <p>算法比较容易,但是这里有个坑,最后一个基本块因为没有 ret 函数,没有反编译出来</p> <p> <figure class=""> <div class="img-container" > <img loading="lazy" alt="" src="https://binarydog.top/images/image-1766921426064.webp" > </div> </figure> </p> <p>它实际上就是把上面 32 字节的字符串(key)用哈希压缩,然后通过不断的 13 次方生成 12 个 4 字节数,和 48 字节的输出逐个异或,最后比较</p> <p>比较的方法是 xor,试图检测 xor 完是否为 0</p> <p>最后一个没反编译出来的基本块正好有 12 个 xor,但这里因为 RISCV 的编码位宽不够,加载立即数时有一些间接的计算,直接把汇编拖到 AI 中让它算出 12 个常数即可</p> 强网杯S8 https://binarydog.top/posts/ctf/%E5%BC%BA%E7%BD%91%E6%9D%AFs8/ Mon, 11 Nov 2024 00:00:00 +0000 https://binarydog.top/posts/ctf/%E5%BC%BA%E7%BD%91%E6%9D%AFs8/ <h2 class="heading" id="mips"> mips <a class="anchor" href="#mips">#</a> </h2> <pre tabindex="0"><code>Someone has found the mips binary, along with an emulator to execute it. What can you find in them? USAGE:./emu ./mips_bin </code></pre><p>32 位大端 mips 程序,拖到 IDA 里即可</p> <p>程序会在 0x23000 处开辟一个可执行空间,写入解密的机器码,然后执行</p> <p>这样得到的 flag 是 <code>flag{dynamic_reverse}</code>,是个假的 flag,交不上</p> <p>一开始的想法是 emu 在加载时动态修改了程序,故修补程序使之在结束时打印字节码的内容,没有收获,但有个意外发现:在跳到 0x23000 前的 write 函数可以调用成功,之后的所有 patch 全都失效了</p> <p> <figure class=""> <div class="img-container" > <img loading="lazy" alt="" src="https://binarydog.top/images/image-1763913623463.webp" > </div> </figure> </p> <p>所以推测是 emu 在 0x23000 或那条 if 语句处下了钩子</p> <p>IDA 打开 emu 直接搜索 0x23000 立即数</p> <p> <figure class=""> <div class="img-container" > <img loading="lazy" alt="" src="https://binarydog.top/images/image-1763913777897.webp" > </div> </figure> </p> <p>定位到 hook 的地方,这里有一个独立的检测,对 encrypt 的参数下交叉引用可以找到检测 flag 前缀的代码,推测出参数就是输入</p> <p> <figure class=""> <div class="img-container" > <img loading="lazy" alt="" src="https://binarydog.top/images/image-1763913914588.webp" > </div> </figure> </p> <p>encrypt 函数是一个稍微有点绕的魔改 RC4,KSA 部分使用乘以常数来优化了除法,实际上 KSA 和标准实现一致(见注释),PRGA 也一致,只是最后的加密多做了一些 XOR</p>