>
>
红包题 武穆遗书
shenshuoyaoyouguang
upx壳
脱壳过程
调试器载入
向下拉,找到这种jmp 后面都是0000 的代码,下断 这个jmp 过后就是oep
使用x64dbg自带的工具,脱壳
最后会得到dum_SYC结尾的文件,打不开没关系,反正已经脱过壳了,可以直接拉到ida
ida分析部分
不能确定还有没有其他的反调试,直接动态调试试试
找到main函数,尝试nop代码
发现可以直接运行到这边,nop,得到flag
ce也可以,只是当时没有想到,后来群里的师傅讲了
反调试部分分析
第一个函数
peb 了解过,但想不到这个(学艺不精)
找到一篇帖子https://bbs.pediy.com/thread-202255.htm
用到两个
第二个函数
原来还有未公开的api
i了i了https://www.cnblogs.com/this-543273659/archive/2013/03/04/2943380.html
第三个函数
f5失效,看汇编
fs[0] 好像也和teb 有关
这个帖子很详细 我现在的水平看不懂
https://bbs.pediy.com/thread-9023.htm
第四个
哇,这是啥,完全看不懂啊
https://blog.csdn.net/yuzl32/article/details/5383542
很多新东西,虽然看不懂
第五个
win32学的不是很好,溜了溜了
算法分析
大数组???
下辈子再见
fgfxf
进程监控了各大调试器,却忘记了CE游戏机
fgfxf
下次搞一个IDA混淆让大家玩玩
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论