day01 攻防世界Window_Reverse1
攻防世界Window_Reverse1
1.发现是upx壳,使用手工脱壳
2.可以发现pushad,这是加壳前的表现,先保存现场,可以看见被push进去栈中的全部寄存,我们只要对这些数据下硬件访问断点,就可以发现这些数据什么时候被恢复。
3.可见popad指令,恢复现场,准备运行主程序
4.跳到程序主入口,dump下来,修复iat表,这个程序就能脱掉upx壳
修复IAT
5.我们可以看见我们输入的内容是v6,传给sub_401000函数,一开始我很很好奇,为啥这个函数传v4,如何传出来,为啥
原创
2022-05-25 20:40:50 ·
349 阅读 ·
0 评论