这篇博客详细介绍了如何解决攻防世界中的新手题11,即CSAW2013 Reversing2。博主首先使用Exeinfo PE检查程序信息,发现这是一个未加壳的32位程序。接着,他们通过IDA分析发现程序使用HeapCreate和HeapAlloc分配内存,并通过memcpy拷贝数据到特定地址。通过深入研究,发现flag可能隐藏在内存中的某个区域,并通过静态分析确定了对变量V2的异或操作。最终,博主提供了获取flag的脚本和过程。
1. 用Exeinfo PE打开文件查看信息
没有加壳的32位程序。
2. 放入ida进行分析
HeapCreate()和HeapAlloc()函数,查阅得知这两条语句在此申请了一个大小为Maxcount=24h的空间,通过字符串拷贝函数memcpy_()将 &unk_409B10的内容给予IpMem,查看IpMem里的储存数据。
进一步分析,MessageBoxA()函数,这是一个输出的函数,而flag应该就在plMem中,主函数中sub_4010000函数用到了plMem作为参数,跟进去查看。
v2=dword_409B38,查看。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
