本文介绍了一个简单的逆向工程挑战,通过分析一个加壳程序来找到隐藏的Flag。首先使用PEID识别并脱壳UPX壳,然后利用IDA查找关键字符串。接着通过分析XOR异或运算来解密另一个Flag。
新年快乐
得到exe文件,查看函数,发现只有两个函数,上网搜索了解到,这种情况可能是被加了壳,加了壳的程序可以正常运行,一般作用有压缩文件大小或者加密程序。
把程序拖到PEID了解到这是一个加了UPX壳的应用程序。
用OB手动脱壳
单步法轻松找到popad,下面有一个大跳转到401280,这大概就是真实的OEP
脱壳后把程序拖入IDA。
轻松找到flag{HappyNewYear!}
XOR
上网了解到XOR意为异或运算。
先把文件拖入到IDA
大概是说用户输入一个长度为33的字符串,字符串中的字符分别和前一个字符异或(对应得ASCII码)后和global比对。
先找找global吧。
global很好找,直接将其导出数据,导成十进制。
用C语言写一个程序,将其进行异或运算。
代码如下:
#include<stdio.h>
#include<stdlib.h>
int main()
{
int a[34]={102,10,107,12,119,38,79,46,64,17,120,13,90,59,85,17,112,25,70,31,118,34,77,35,68,14,103,6,104,15,71,50,79,0};
int i=0;
for(i=0;i<=32;i++)
{
printf("%c",a[i+1]^a[i]);
}
system("pause");
return 0;
}运行:
再加上前面的f,就是flag{QianQiuWanDai_YiTongJiangHu}
正确。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
