博客介绍了在WUSTCTF2020挑战中,面对一个无壳程序,通过IDA64分析汇编找到main函数,处理混淆代码的过程。文章提到程序包含大量变量和运算,暗示需要使用符号执行来解决。最终,博主分享了使用angr工具的解题经验,并给出了Flag:flag{1dc20f6e3d497d15cef47d9a66d6f1af}。
下载附件。无壳,直接ida64打开。发现没有main()函数。感觉应该是用了混淆。
从上往下查看汇编代码发现了main()函数的位置。
继续向下看。
上图红圈里的jz和jnz一看就有毛病!红框中没有标红的地方也是一样。
这里的代码应该都是像这样的格式。先声明地址,然后一个xor语句,一个add语句,一个cmp语句,一个jnz语句,最后再来一个xor语句。
把上面红框中的语句改成这种格式,直接nop掉这些多余的语句。下面大概还有4,5处这样的地方。
弄完这么的清爽!
到最后这里有个判断语句。对比v7和unk_4025C0这里就是进行结果判断。
整个程序定义了300多个变量,进行了1000多行的运算。明显不是让人直接算的。</
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
