是哪个比赛的题目忘记截图。
dmd-50
拖入IDA查看主函数。看名字猜知道为md5,直接md5解密得到答案。
crackme
这题给自己练习了一下手动脱壳。
使用PEID查壳显示无壳,但是拖入IDA查看时显示输入表被破坏什么的,明显有壳。
所以使用手动脱壳
使用OD打开,利用堆栈平衡原理寻找OEP。
执行完pushfd时候,记录下ESP,对此ESP值下内存读断点 HR 0x19FF80,F9运行至断点处
,然后F8跟进几步到达一块全是数据的地方。
此时右键 [分析]-[从模块中删除分析],可以看到已经到达OEP处。此时再利用LoadPE 完整dump出内存镜像。
找到对应进程,完整dump出内存镜像。得到dumped文件。打开该文件会显示
h何使因为IAT表被破坏,需要去修复它。
此时可以手工填也可以利用import REC去修复,我选择使用import REC
首先选择对应的进程,然后将OEP修改为刚刚在OD里找到的内存偏移。
点击自动搜索IAT,如果可以找到,点击fix dump选择刚刚的dumped文件即可完成修复。至此,脱壳完毕。
再用IDA打开该脱壳修复后的文件
可以看到主函数非常简单。利用IDA里的python脚本
flag=""
add1=0x402130
add2=0x402150
for i in range(0,42):
flag += chr(Byte(add1+i%16)^Byte(add2+i*4) )
print flag
#flag{59b8ed8f-af22-11e7-bb4a-3cf862d1ee75}
两题都比较简单,但是学习了一下脱壳也不算没有收获。