本文详细记录了一次UPX壳的脱壳过程,包括使用自解压方式脱壳、修复堆栈不平衡、IDA反编译、分析加密算法及解密脚本的编写。通过实际操作,揭示了加密循环机制,并分享了解决问题的小技巧。
一.查壳,发现是upx的壳,用自解压方式,脱下壳
二.之后发现打不开了,应该是要修复,不想修复了,直接拖入ida
找到关键函数,中间发生一点小插曲,发现堆栈不平衡,然后导致F5反编译失败,百度了下是ALT+k快捷键来修改栈顶指针,维持栈顶平衡,修改之后发现可以反编译了
发现是创建进程,再进入
这块发现是加密,而且外面还创建了一个进程,说明是一次不加,一次加,这种循环来加密的。
然后看看,输出flag需要哪种条件。
用个脚本来解密
off="QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm"
flag="TOiZiZtOrYaToUwPnToBsOaOapsyS"
w=""
for i in range(len(flag)):
j=off.index(flag[i])
if i %2!=0:
if j<=26:
w+=chr(j+96)
else:
w+=chr(j+38)
else:
w+=flag[i]
print(w)
这里看了其他师傅的wp,才知道少了一个字符,必须要填E,才能过,我也不知道为什么2333
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
