题目附件打开后发现是个exe文件,先查壳,发现一个UPX壳直接命令去壳,这里我改了一下文件名
之后在查壳就没有了直接用ida打开,找main函数,追踪到sub-401000、byte-402FF8
开始以为是base64,发现不是,是ASCII码,shift+e找到a1
上脚本
最后包上flag{}
题目附件打开后发现是个exe文件,先查壳,发现一个UPX壳直接命令去壳,这里我改了一下文件名
之后在查壳就没有了直接用ida打开,找main函数,追踪到sub-401000、byte-402FF8
开始以为是base64,发现不是,是ASCII码,shift+e找到a1
上脚本
最后包上flag{}