<span style="font-family: Arial, Helvetica, sans-serif; background-color: rgb(255, 255, 255);">下载 http://my.serverspeeder.com/d/ls/serverCheck.tar.gz ,解压后发现只有一个 ServerCheck.sh 脚本</span>
文件末端有乱码,看脚本发现,后部分是个压缩包,通过脚本本身提取出自身的文件执行整个ServerCheck的流程。
这边可以直接
binwalk -e ServerCheck.sh
提取出apxbins这个压缩包,其中有sysid-32,sysid-64和apxinstall.sh
阅读apxinstall.sh 知道在64位机器上调用sysid-64计算序列号。
file sysid-64
发现是个静态链接libc,并且Strip了符号信息。
把该文件扔进ida,找到start函数最后的call之前的传参就是主函数。 [我是通过笨办法自己写了helloworld,并编译后,对比strip后版本和strip前版本得到的特征]