-
-
[原创]KCTF2020秋季赛 第七题 鱼目混珠 WP
-
发表于: 2020-12-2 11:36
-
NtReadFile函数Ret处下断, 输入序列号, 回车, 成功断下.
"1234567887654321"为我们输入的测试序列号.
查看调用栈:
继续跟踪到下面的位置:
依次读取输入数据的一个字节并存储到[esp+94]缓冲区.
跟踪到函数返回, 会发现代码有做混淆处理.
代码中存在一定程度的代码混淆:
去混淆后, 如下图(可以先尝试手动恢复, 若发现工作量较大, 则需要编程处理):
|
|
|---|---|
