题目 分析过程 是一个无壳，64位的文件丢到IDA里面，找到main函数1int__cdecl__noreturnmain(intargc,constchar**argv,constchar**envp)2{3__int64v3;//rdx4char*v4;//[rsp+20h][rbp-18h]56qword_140004618=(__int64)malloc(1

碎碎念咱就一纯小白，以为带了Begin这一单词的CTF能对我仁慈一点，结果吧，太喜欢了，被狠狠拷打，从头自闭到尾，属于是从这次比赛又狠狠学习到不少知识了废话不多说，上正文嘞BeginCTFOne_bytechecksec嗯，基本啥都开了，喜欢捏。但是尊贵的CTFer，该“源审，启动！”了可以看到两个read，一个是

以后我会尽量少用图片，因为我经常在翻别人博客时发现图片加载不出来，很烦。看看checksec再看看IDAint__cdeclmain(intargc,constchar**argv,constchar**envp){__int64v3;//rbx__int64v4;//rbx__int64v5;//rbxunsigned__int64v7;//[rsp+8h][rbp-2

汇编语言是一种面向机器的低级语言，用于编写计算机程序。汇编语言与计算机机器语言非常接近，汇编语言程序可以使用符号、助记符等来代替机器语言的二进制码，但最终会被汇编器编译成计算机可执行的机器码。浮点运算单元是从80486处理器开始才被集成到CPU中的，该运算单元被称为FPU浮点

这个app使用MFC制作，未加密。所以直接使用x64dbg或者idapro都可以直接调试。在idapro中可以直接在CDialog::DoModal中下断点，当未注册版本启动时，第一个界面就是注册对话框。因此这是最佳切入点。在调用堆栈中可以轻松找到检查注册状态的代码：__int64__fastcallsub_1401D3AD0(int

PVS-Studio是一个静态代码扫描工具，还不错。先通过dnspy调试主进程可以发现检查授权文件的的进程是一个子进程，如：PVS-Studio.exe--checkreg=yes--lic-file="D:\pvs.lic"因此要解决授权问题，核心应该是调试PVS-Studio.exe这个进程。通过命令行分析我们可以知道该进程肯定是要读

关于strcpy函数的赋值语句如何理解while(*s++=*t++)？voidstrcpy(char*s,char*t){while(*s++=*t++);}该语句等价于while(*(s++)=*(t++))。赋值

BabyRE有人昨天以为rc4用的就是空秘钥，那么他是谁呢通过在字符串里找到DASCTF的关键字，一直交叉引用可以找到主要逻辑这里注册的三个函数就是整个题的流程了第一个函数

作者：selphHITCONCTF2022Writeup-checker挺有意思的一道题，这里的关键函数是使用的动态生成执行操作，按照特定参数序列进行解密才能正常执行，否则一定会报错异常checker

一些零碎的东西栈迁移0x7ff5a2911dea<svcudp_reply+26>:movrbp,QWORDPTR[rdi+0x48]0x7ff5a2911dee<svcudp_reply+30>:movrax,QWORDPTR[rbp+0x18]

一些零碎的东西栈迁移0x7ff5a2911dea<svcudp_reply+26>: movrbp,QWORDPTR[rdi+0x48]0x7ff5a2911dee<svcudp_reply+30>: movrax,QWORDPTR[rbp+0x18]

楔子有小伙伴被面试官问到这个问题，本篇彻底解析下这个问题。为了彻底点，注意本篇是最底层的.Net7RCCLR运行模型（汇编）为基础进行全局剖析，局部业务分析。如有疏漏，请斧正

Hsdis（HotSpotdisassembler）HSDIS，一个Sun官方推荐的HotSpot虚拟机JIT编译代码的反汇编插件。windows电脑上，在hsdisHotSpotDisassemblyPluginDownloads(chriswhoc

一：背景C#程序内存泄漏的诱发因素有很多，但从顶层原理上来说，就是该销毁的用户根对象没有被销毁，从而导致内存中意料之外的对象无限堆积，导致内存暴涨，最终崩溃，这其中的一个