-
-
[原创]利用Qiling框架解析CTF例题
-
2021-12-5 22:19
-
CTF题_UnPacked.exe。CTF为Win32程序。有UPX加壳。 
搜索程序字符串,无可利用信息。
脱壳后程序存在IAT修复问题。于是决定利用Qiling框架带壳运行调试。
首先要让程序可以正常运行到OEP。程序起位置。UPX壳特征码:pushad。基本找到popad的位置后,就会是跳转到OEP的位置了。
程序需要运行到jmp _unpacked.401359跳转。如果想要程序运行到0x00408043c处,需要esp寄存器与eax寄存器相等。如果不相等程序会一直循环比较。
搜索字符串
加密后的flag。在[ebx+ecx]地址位置。
完整代码:
程序运行截图:
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2021-12-6 12:07
被obabydbg编辑
,原因: 重新上传图片
|
|
|---|---|
|
|
|
|
|
|
|
|
|
