-
-
[原创] KCTF 2019 Q3 第二题 Writeup by Nu1L
-
发表于:
2019-9-25 21:58
6094
-
[原创] KCTF 2019 Q3 第二题 Writeup by Nu1L
Delphi程序,有部分符号
又是那个JS+VM
解密代码
看上去是simpower91+Flag,但是好像不对,怀疑运行时改了
经过静态分析,js代码被替换过,sim被替换成了Sim,所以是Simpower91+flag
patch反调试,程序通过clts异常触发SEH,进入vmp,在一个回调函数的位置下断点,可以看到vm的逻辑,程序先比较后面的长度是否为4,然后加0x7f,再与clts下面的机器码的值进行比较,xor清零,最后得到Simpower91a321
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
