前言 做题笔记。
UPX 64 有壳脱呗。
ok,脱壳机脱不了。
手动脱壳吧,宝子。(感兴趣可以去了解ESP脱壳定律)
拉入X64dbg。
ALT +B 打开断点页面。
F9 然后在堆栈窗口给其下断点执行F9。
F8/F7追踪。这里就是我们的main函数了。
dump出来就行了。
修复表一样。
完成了,ida打开分析程序。
先看字符串
粗略看出,这有关base64的加密。
main函数中看看。
跟进看看。
长度一样。
说明是一个自定义表的base64加密。对密文进行解密即可。
脚本:
我脚本有瑕疵,不过无伤大雅,猜出来了。哈哈哈哈。。