新手一枚,如有错误,还请各位大佬多多指正呐~
首先,解本题时,所用到的IDA相关操作:
shift+F12 定位查看字符串(strings window)
ctrl+x(交叉引用)查看是哪段函数调用了该字符串,然后点OK,进入该程序,即可查看汇编代码
F5 查看伪c代码
R 将数字转换为字符
Alt+T 查找字符串(或者函数名)
Ctrl+T 继续往下搜索
空格 在文本模式和流程图模式转换
Esc 返回上一步操作
解题时,所用到的工具
解题的详细步骤:
首先将题目直接拖入查壳工具中进行分析(这里用的Exeinfope PE)
查看结果时要注意两点: ①是否有壳 ②是多少位的(64?or 32?)
32位:则拖入IDA(32位)中
64位:则拖入IDA(64位)中
然后跟随提示,一直点击所提示的蓝色方标的内容。
选择一个文件打开后,会出现加载方式对话框,
图中上部的三种文件加载器分别是PE加载器、MS-DOSexe加载器以及binary file(二进制文件)加载器。要注意的一点是PE文件是MS-DOS EXE文件格式的扩展形式。
注意:这一步,是点击“取消”
然后,就看到了这个界面,这是汇编
左部的矩形框是函数窗口,显示ida分析出的函数。
中间包含着汇编代码的是反汇编窗口,可以通过空格在文本模式和流程图模式转换,流程图模式有助于你理解程序的执行流程。
然后,定位函数查看字符串的方法为shift+F12
找到了关于flag的信息,双击点进去找到这段字符串的位置
ctrl+x(交叉引用)查看是哪段函数调用了该字符串
点击“OK”进入该段程序,查看汇编代码
注:图中有红绿蓝三种颜色的线。在比较指令后,依据标志位(可以等同于c语言中的if等比较语句)红色是ida认为不会执行的跳转流,而绿色是ida认为会执行的跳转流,蓝线则表示下一个立即执行的跳转流(不比较)。
汇编代码对于初学者来说读懂比较困难,可以直接按“F5”查看伪C代码
代码界面如图:
然后,对关键代码进行分析即可,得出 flag{hell0_w0rld}
详细的分析过程,大家可以仔细看一下这篇文章
————————————————
re1详细解读:https://blog.csdn.net/weixin_62387234/article/details/126270239