新年快乐
将文件直接放入PEID中去分析,发现是有shell的exe(upx)
所以要进行去shell的处理
-
手工去壳
将exe文件放入吾爱破解单步执行一下,发现了是只有esp显红的情况,所以可以使用esp定律来破解执行文件的shell;
(1)右键点击esp进行窗口跟踪,然后选择前面几个HEX数据右键点击断点
选择硬件访问-->word or dword
(2)f9单步执行一波,然后通过f4,f8,f7进行单步执行,单步越过,跳转等方法
(注:一般在看到pop ax或者看到有大的跳转就说明要遇到oep)
在遇到pop ax之后可以跳转到之后的jmp指令 下一个断点
(3)然后重新调试,利用f9执行到下断点的位置,然后f8单步一波,一般到达主函数的入口了,
然后右键选择od脱壳,记下现在的入口点地址
一般来说的话,正常的upx shell就可以脱完了
(4)假如脱完之后的exe文件不能进行反编译或者利用ida无法打开就可以使用ImportREC 1.7汉化版
加载不能正常使用的需要进行文件修复的exe文件,然后输入oep地址,进行获取输入表,和自动获取
最后修复转存文件,得到最终的文件;
-
文件去壳
作为upx的shell是有自动可以脱壳的软件的
upx.exe,进入下载的upx.exe目录下打开cmd
输入 upx -d +文件路径
可以直接得到去壳之后的exe文件
(注:在使用upx指令时可以会遇到系统所给权限不够,可以以管理员的身份在该目录下运行
使用 .\upx -d +文件路径
最后就可以得到去壳之后的文件了
打开文件之后就是一个明文加密了,直接得到flag