-
-
[原创]reversing.kr第9题ransomware
-
发表于: 2019-1-16 17:48
-
这是写的第二遍,第一遍快写完的时候,点错了全部没了
1.peid查壳,简单的upx壳,esp定律就能搞定,运行程序,随便输入密码,发现输出一堆文字
2.ida加载程序,定位关键字符串file,file文件名,要对文件进行解密操作,一定会加载文件,所以可以试试搜索文件名之类的,这里恰巧能够搜索到
3.定位关键字符串之后发现不能用F5反汇编,一看是程序里面加了很多垃圾指令。作为一个新手我第一个想法当然是跳过这些指令啦,然后单步运行程序,发现0x44ab75处是跳转到main函数处的call
进去之后会发现很多相同的垃圾指令。现在将开头部分的指令复制到0x44a775上面,然后修改0x44ab75处的call,就能够正常返回编了。
sub_401000()处的代码对分析没有影响,可以不用管。但是看了别人的writeup发现有更简单的方法,这里附上修改的代码
data = open('run.exe','rb').read()
data = data.replace('\x60\x61\x90\x50\x58\x53\x5b','\x90\x90\x90\x90\x90\x90\x90')
open('run_dejunk.exe','wb').write(data)
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2019-1-17 14:23
被wwzzww编辑
,原因:
