做题过程
下载后打开文件
1、双击打开,没有显示东西
2、使用软件进行查壳(可以知道这是64位的文件)
。。。。。。
以下为查文件有无壳的一般过程
点击齿轮图案
勾选外壳整合
然后点击提取
选择提取所有文件
运行结果如下,说明该程序无壳
(这张图是我录屏后截下来的,因为运行的过程很快,并且程序不会在这个界面停留)
(运行结束后会自动返回下面这个界面)
查壳结束
。。。。。。
3、将文件放到ida64位中分析(由前步骤可知文件是64位的)
先用Shift+F12查看一下字符串(一下就看到了flag!)
flag{this_Is_a_EaSyRe}
过程总结
题目条件:
- PE文件(exe文件是属于PE文件的一种)
做题步骤:
- 双击exe文件看有无信息
- 使用查壳软件查壳,了解程序是多少位的(64位或32位)
- 使用ida进行分析(用Shift+F12查看一下字符串,寻找关键词(如flag等))