攻防世界-Re150
学会dump程序
分析
用ida打开文件,可以看到只有start函数,里面是一个类似壳一样解密程序的代码
1 |
|
于是乎我们可以在循环后打一个断点,逐步调试,观察情况
可以发现代码已经解密
这里我们将解密后的整个程序dump出来。可以用ida的script:
1 |
|
1 |
|
或者是gdb调试到解密后运行dump memory dump_filename start_address end_address
将dump出来的程序去除花指令后整理可得到以下函数
1 |
|
1 |
|
1 |
|
结果
写出对应解密脚本
1 |
|