-
-
[求助]小弟最近在做 西安华山杯安全赛逆向题的最后一题遇到麻烦了
-
发表于: 2015-11-5 20:49
-
比赛已经结束了,这一题我也思考两天了还是没有头绪,目前感觉应该是个加密壳。
第一次在看雪发主题帖,不会插入图片。
这是od载入时的代码,
004014E0 > $ 83EC 0C sub esp, 0C
004014E3 . C705 18784C00> mov dword ptr [4C7818], 0
004014ED . E8 5EBF0000 call 0040D450
004014F2 . 83C4 0C add esp, 0C
004014F5 .^ E9 76FCFFFF jmp 00401170
我尝试着找oep :
004015E9 . 55 push ebp ; oep
004015EA . 89E5 mov ebp, esp
004015EC . 57 push edi
004015ED . 56 push esi
004015EE . 53 push ebx
004015EF . 51 push ecx
004015F0 . B8 58AD0000 mov eax, 0AD58
004015F5 . E8 76CD0000 call 0040E370
004015FA . 29C4 sub esp, eax
004015FC . C785 CC52FFFF> mov dword ptr [ebp+FFFF52CC], 004B6EE0
00401606 . C785 D052FFFF> mov dword ptr [ebp+FFFF52D0], 004B7B1A
00401610 . 8D85 D452FFFF lea eax, dword ptr [ebp+FFFF52D4]
00401616 . 8D5D E8 lea ebx, dword ptr [ebp-18]
脱壳后显示iat出问题了,我尝试着修复,但可能方法不对,还是不行。
最后拿着iat有问题的,放到ida中,原先加密的,能F5了,有个函数中的一个变量在f5后感觉逻辑不对,
希望大家能在百忙之中帮小弟看一下 !
由于附件大小限制,上传到网盘了
地址::http://pan.baidu.com/s/1pJH2k3L 密码:nmzb
第一次在看雪发主题帖,不会插入图片。
这是od载入时的代码,
004014E0 > $ 83EC 0C sub esp, 0C
004014E3 . C705 18784C00> mov dword ptr [4C7818], 0
004014ED . E8 5EBF0000 call 0040D450
004014F2 . 83C4 0C add esp, 0C
004014F5 .^ E9 76FCFFFF jmp 00401170
我尝试着找oep :
004015E9 . 55 push ebp ; oep
004015EA . 89E5 mov ebp, esp
004015EC . 57 push edi
004015ED . 56 push esi
004015EE . 53 push ebx
004015EF . 51 push ecx
004015F0 . B8 58AD0000 mov eax, 0AD58
004015F5 . E8 76CD0000 call 0040E370
004015FA . 29C4 sub esp, eax
004015FC . C785 CC52FFFF> mov dword ptr [ebp+FFFF52CC], 004B6EE0
00401606 . C785 D052FFFF> mov dword ptr [ebp+FFFF52D0], 004B7B1A
00401610 . 8D85 D452FFFF lea eax, dword ptr [ebp+FFFF52D4]
00401616 . 8D5D E8 lea ebx, dword ptr [ebp-18]
脱壳后显示iat出问题了,我尝试着修复,但可能方法不对,还是不行。
最后拿着iat有问题的,放到ida中,原先加密的,能F5了,有个函数中的一个变量在f5后感觉逻辑不对,
希望大家能在百忙之中帮小弟看一下 !
由于附件大小限制,上传到网盘了
地址::http://pan.baidu.com/s/1pJH2k3L 密码:nmzb
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
西安 好熟悉的地方
|
