先脱壳，观察程序，发现有proc/exe/self的字符串。搜proc/exe/self linux packer就可以知道是upx的。用upx -d脱壳，结果报not packed by upx，回头看看发现magic number被改了，把\xaa\xaa\xaa\xaa替换回UPX!。再跑，报checksum error。那么可以拉份upx源码下来，把抛checksum error的代码改掉就完事儿了。

当然你还可以直接patch upx程序本身，拖进IDA，通过字符串可以立刻定位到throw checksum error的函数，patch成ret也完事儿了。

$ src/upx -d ../c++note_magic
                       Ultimate Packer for eXecutables
                          Copyright (C) 1996 - 2013
UPX 3.91        Markus Oberhumer, Laszlo Molnar & John Reiser   Sep 30th 2013

        File size         Ratio      Format      Name
   --------------------   ------   -----------   -----------
qq
     11164 <-      6249   55.97%  linux/ElfAMD   c++note_magic

Unpacked 1 file.

$ checksec ./c++note_magic
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

大致看了下，有比较明显的三个洞。
第一个是后门，fini_array里面的逻辑，选10即可直接进shell。

第二个是UAF，delete的时候没有清空指针。

第三个是堆溢出，一个在add里面一个在edit里面，edit的里面size可以随便输入，比较好使。

这几个洞可以各自单独利用，也可以结合利用，攻击和防御都不难，不过可能还有其他不太明显的洞。

另外，由于加了壳，有很多rwx段，堆上就可以写shellcode，建议加固第一步就脱壳。