1。查壳。
无壳,32位。
2.丢到IDA中,查看字符串。
找到falg字样,(在Are you happy?No!上面还看到ABCD。。。789+/猜测可能有base64加密。)
找到主函数。反编译。
3。分析代码。发现关键在sub_401080(加密过程),最后比较(给出了加密后的字符串:zMXHz3TIgnxLxJhFAdtZn2fFk3lYCrtPC2l9)
进入sub_401080分析。
发现大体是base64加密。but,在前有个sub_401000函数,在最后还有sub_401030函数。
分别进入。
sub_401000:发现是对base64的表进行的变换(即换表,很简单)。
sub_401030:是对bsae64换表加密后字符串的又一层简单算法
(大写字母转小写,小写转大写,数字不变)。
4.写脚本。
5.get flag
flag{bAse64_h2s_a_Surprise}