simple-unpack 下载附件,放进PE分析,发现是upx壳 在linux用upx -d 文件名 的命令脱壳,然后将文件拖进ida 双击flag,得到flag no-strings-attached 将文件拖入ida 点进authenticate()函数 看一下decrypt函数,发现是一个加密函数 这里采用动态调试的方法查看内存中的值,decrypt函数 结束的位置为0x08048707,在这里下断点 然后运行程序,查看eax的值