新年快乐

1

需要下载查壳和脱壳软件

我用的是Exeinfo PE和upx

解题:

有壳upx 1

upx脱壳

这里怎么直接看是否有壳呢?

ida一打开函数很少就两三个

为什么函数少就说明有壳?

正常的程序在编译时会引入大量的库函数和初始化代码,F5 之后你会看到一长串函数名。

  • 加壳的逻辑:壳本质上是一个“外壳程序”,把真正的代码压缩并加密存在数据段里。 当你打开加壳的文件时,IDA 看到的只是壳的自解压代码
  • 两三个函数:这通常就是壳的全部——一个负责解压的函数,一个负责跳转到真实入口点(OEP)的函数。

image-20260129115417270

在按照前面 reverse1和2 内涵的软件1的思路:查可疑字符串,定位后交叉搜索,再看反汇编代码

image-20260129115632986

得到flag{HappyNewYear!}