本文介绍了一种针对UPX壳的解包方法,并详细解释了如何使用IDA进行逆向分析,找到flag的位置。通过解包操作,可以揭示程序的真实行为。
考查简单的逆向分析能力,主要还是看了不了解套路。
用IDA打开flag文件,发现程序流程异常,检测不到库函数,察觉到有壳。
用任意hex编辑器打开,也可以直接在IDA中观察Hex View,可以看到是加了UPX壳。
这里便可以直接用UPX壳工具解包(https://upx.github.io/), upx -d -o flag_unpack flag
之后重新用IDA打开,查看main函数
流程已经很清晰了:
1. 使用malloc()开辟了一个堆空间,返回首地址;
2. 将flag的内容通过strcpy复制到该地址处。
这里就不用跟进到开辟的空间处去找答案,call strcpy()之前的rsi寄存器保存了flag内容所在地址,跟进到cs:flag,就能得到最终答案。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
