-
-
[原创]利用Qiling框架解析CTF例题
-
发表于: 2021-12-5 22:19
-
CTF题_UnPacked.exe。CTF为Win32程序。有UPX加壳。 
搜索程序字符串,无可利用信息。
脱壳后程序存在IAT修复问题。于是决定利用Qiling框架带壳运行调试。
首先要让程序可以正常运行到OEP。程序起位置。UPX壳特征码:pushad。基本找到popad的位置后,就会是跳转到OEP的位置了。
程序需要运行到jmp _unpacked.401359跳转。如果想要程序运行到0x00408043c处,需要esp寄存器与eax寄存器相等。如果不相等程序会一直循环比较。
搜索字符串
加密后的flag。在[ebx+ecx]地址位置。
完整代码:
程序运行截图:
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2021-12-6 12:07
被obabydbg编辑
,原因: 重新上传图片
|
|
|---|---|
|
|
|
|
|
|
|
|
|
