X-NUCA(牛咖)联赛8月逆向专题赛赛前--寻找二维码的解题思路

发表于:2016-08-25 08:40:00 来源:  合天网安实验室 阅读数(0人)

题目是个Flag.exe的文件,下载到本地后,先进行简单的分析,直接上PEid,可以看到加了VMP的壳,一般CTF这种比赛是不用花时间去脱这种壳的。所以我们直接dump内存即可。


不得不说VMP的壳还是很厉害的,反调试的地方非常之多,直接用调试器打开是肯定不行的。但是先打开,等程序运行一段时间,等待壳的程序走完,再用调试器attach上去应该是可以的。


Attach上去后,使用OD的dump插件直接dump内存即可。首先查看字符串,然后使用strings.exe工具或IDA都可以查看字符串。其中可以的是:


开头部分iVBOR很明显是个Base64编码的图片(PNG)格式。使用相关工具还原即可,扫描二维码即可获得flag。



相关新闻

大家都在学

课程详情

Serial算法分析

课程详情

去除程序弹窗

课程详情

Serial/Name算法分析