buu Youngter-drive

本文详细记录了一次UPX壳的脱壳过程,包括使用自解压方式脱壳、修复堆栈不平衡、IDA反编译、分析加密算法及解密脚本的编写。通过实际操作,揭示了加密循环机制,并分享了解决问题的小技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.查壳,发现是upx的壳,用自解压方式,脱下壳
在这里插入图片描述
二.之后发现打不开了,应该是要修复,不想修复了,直接拖入ida
找到关键函数,中间发生一点小插曲,发现堆栈不平衡,然后导致F5反编译失败,百度了下是ALT+k快捷键来修改栈顶指针,维持栈顶平衡,修改之后发现可以反编译了
在这里插入图片描述
发现是创建进程,再进入
在这里插入图片描述
这块发现是加密,而且外面还创建了一个进程,说明是一次不加,一次加,这种循环来加密的。
然后看看,输出flag需要哪种条件。
在这里插入图片描述

用个脚本来解密

off="QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm"
flag="TOiZiZtOrYaToUwPnToBsOaOapsyS"
w=""
for i in range(len(flag)):
    j=off.index(flag[i])
    if i %2!=0:
        if j<=26:
            w+=chr(j+96)
        else:
            w+=chr(j+38)
    else:
        w+=flag[i]
print(w)

在这里插入图片描述

这里看了其他师傅的wp,才知道少了一个字符,必须要填E,才能过,我也不知道为什么2333

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值