本文介绍了参与2022年网鼎杯网络安全大赛时遇到的re2题目解题过程。首先,通过手动脱壳解决程序的UPX壳,利用x64dbg进行动态调试,最终成功关闭动态基址实现程序正常运行。接着,详细分析了程序的算法,包括动态调试主函数,识别关键函数并理解其对输入字符串的处理规则,如字符串长度检查、异或运算等。文章适合对网络安全和逆向工程感兴趣的读者,提供了详细的学习路径和资源。
一、脱壳
PEID查不出来,用了die,显示是UPX3.96的壳,用了脱壳机,脱不了,只能手动脱壳,拖入x64dbg,F9运行到程序领空,很明显的特征,push:
无脑使用ESP定律大法,对ESP下硬件访问断点:
F9运行,在pop处停下:
F4运行到下面第一个jmp,F8,进去又是一个jmp,继续F8,到达OEP:
使用x64dbg插件dump:
第一步先dump保存,然后第二步,第三步,第四步选择刚才dump保存的程序:
脱壳成功,但是运行一闪而过,这是动态基址搞的鬼,手法很多,有脱壳机有禁用动态基址选项,这里我们直接把程序拖入010Editor修改标志位,改为20即关闭动态基址,保存退出:
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
