这道题难度并不是太大,但是……非常鬼畜= =
程序中进行了大量的控制流混淆(类似于LLVM),整理流程如下:
首先最简单的部分是爆破ASCII范围内单个字符的FNV64值,得到flag的前9个字符为"KXCTF2018"。然后5个字符的DLL,最常见的就是NTDLL,不妨假设Flag的已知部分即为“KXCTF20189NTDLL9”。字符串长度要等于30,也就是只剩下最多14个字符来放函数名,而NTDLL中这样的函数并不多。dumpbin导出函数表,写个脚本筛选长度小于等于14的,再写一个程序一个一个爆破FNV64哈希值。
最后得到Flag:
KXCTF20189NTDLL9DbgUiContinue9
话说这样验证真的不会多解吗 = =
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
