考查简单的逆向分析能力,主要还是看了不了解套路。 用IDA打开flag文件,发现程序流程异常,检测不到库函数,察觉到有壳。 用任意hex编辑器打开,也可以直接在IDA中观察Hex View,可以看到是加了UPX壳。 这里便可以直接用UPX壳工具解包(https://upx.github.io/), upx -d -o flag_unpack flag 之后重新用IDA打开,查看main函数
流程已经很清晰了: 1. 使用malloc()开辟了一个堆空间,返回首地址; 2. 将flag的内容通过strcpy复制到该地址处。 这里就不用跟进到开辟的空间处去找答案,call strcpy()之前的rsi寄存器保存了flag内容所在地址,跟进到cs:flag,就能得到最终答案。
转载请注明原文地址: https://ju.6miu.com/read-39246.html
