1、题目
链接:http://pan.baidu.com/s/1qX8PHnA 密码:34yi
2、查看文件
ida打开exe
发现加壳程序,pedi没有检查倒是什么壳,放到kali用strings一下
尝试upx脱壳机脱,然而脱不下来,手动脱了,UPX的脱壳比较简单,找到pushad 和popad下断点,然后往下跟就好,找到的OEP
OEP开始一般都这样的
右键使用OllyDump将程序dump出来即可,UPX加壳的程序不需要修复IAT就可以直接运行
用ida打开,已经可以看见代码啦
sub_401370函数的逻辑如下,主要行为为拷贝evil.exe到%temp%下一份,在从资源中释放evil.docx文件到当前目录
sub_401620的功能很简单,就是如果命令行参数个数为2(即之前新创建的进程),则循环删除evil.exe文件
创建一个进程evil.exe “evil.exe”,然后打开docx
sub_4018F0从http://www.ddctf.com/x.jpg中读取数据。x.jpg即题目中的x.jpg,自建服务器然后将x.jpg放在
之后是两个解码函数,这里可以直接忽略其中的逻辑。
然后是执行sub_401220的函数,OD动态跟一下看
3、搭建环境
我们用IIS在本地搭建web服务,使得程序能访问 http://www.ddctf.com/x.jpg。
3、OD动态
0x402476(main)
