题目地址:https://adworld.xctf.org.cn/task/answer?type=reverse&number=4&grade=0&id=5077&page=1
工具:ExeinfoPE(查壳工具)、kali系统、ida pro
知识:学习 UPX脱壳
方法一、
发现不少我们熟知的e可执行文件——》考虑用十六进制编辑器打开——》.ELF文件
ELF文件格式:
在计算机科学中,是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件。
是UNIX系统实验室(USL)作为应用程序二进制接口(Application Binary Interface,ABI)而开发和发布的,也是Linux的主要可执行文件格式。
搜索flag:
flag{Upx_1s_n0t_a_d3liv3r_c0mp4n嗊驰y}——》提交错误
再试一下flag{Upx_1s_n0t_a_d3liv3r_c0mp4ny}——》提交成功
方法二、
用IDA pro打开
老套路:shift+F12查看字符串——》双击
交叉引用——》F5查看伪代码(发现按完F5不管用)因为被加了壳
题目描述:菜鸡拿到了一个被加壳的二进制文件
怎么知道加了什么壳:有一款查壳工具叫ExeinfoPE.exe
把文件拖入ExeinfoPE:
得知是UPX壳,用kalilinux脱壳
复制到Windows环境下——》再用IDA pro打开
当脱壳之后,ida就可以正常的把一些数据显示出来——》shift+f12
出现flag
还可以查看主函数——》双击——》映入眼帘的就是flag