1、拿到exe文件,扔到exeinfo里面看一下,发现是32位无壳 2、扔到IDA里面,通过[shift+F12]找字符串 发现"right",双击跟过去 发现sub_401080调用了这个字符串,跟过去,F5反编译 对于23行到30行的代码我们猜测是将输入串赋值到byte_40336C里面来,但是不是很确定,我们可以去OD里面确认一下
把文件扔进OD,根据sub_401080函数在IDA中相对位置(汇编代码textview可看见)可以在OD中找到其位置,然后该循环之后打断点 从图中发现byte_40336C的地址就是0x39336C F9键开始运行程序,然后输入24个字符,我这里输入了123456789123456789123456,继续F9运行至断点处 使用db 0x39336C查看内存地址的内容,发现就是进行了赋值操作 那么这道题其实就是将输入串进行了异或后减6的操作,所以解码一下就OK了
123456789123456789123456
db 0x39336C
s = "xIrCj~<r|2tWsv3PtI\x7fzndka" flag = "" for i in range(len(s)): flag += chr((ord(s[i]) ^ 6) - 1) print(flag[::-1])