看雪CTF2017第十一题简单解析
作 者:loudy
使用工具:IDA6.8(反汇编分析) notepad(记录) vc6.0(解码) OD(调试)
步 骤:( 此题多解,原因请看最后)
一、代码自解密
IDA载入看入口点和导入表,没有发现任何有用的东西,考虑该程序已经加密处理。
二、识别真正流程
继续OD动态跟踪,在此处发现DialogBoxParamW,有过MFC编程经验的朋友应该不陌生,说明我们已经找到关键点了(其实不然)。
三、第一个关键算法
实际调试时可以在4016AF处将JE用NOP代替,将401A43处修改为jmp 402303,即可绕过,直接调试主进程。
另外,此题动态内存执行代码较多,建议关键位置下好“硬件执行”断点,便于调试。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
