日常0x6

2018 4 28

一道alexctf的题目，使用winhex先分析文件类型发现是elf文件。

使用die对该文件进行查壳。发现其具有upx 3.6的壳。

在linux下使用upx包进行解壳。

解出壳之后发现汇编代码全是mov指令，知道这是使用了movfuscator的花指令结果。

解决的办法：

    使用ida中关联Intel的pin tracer，tracer script （cpp文件）下载之后放在source/tools/mannual examples目录之下。

///tracer原理（追踪源程序在内存中存储的变量和输入之后有什么的差异）

    在pin文件夹之下执行pin命令，转到mannual examples文件夹之下， 将tracer（cpp文件）放在这个文件夹之中，进行编译（使用make命令 ）【@1】

注：

【@1】：

先创建文件夹，使用make target命令进行生成，后面跟随返回文件地址

编译所有文件 make all TARGET=ia32，并且会为你创建目录（obj-ia32）

使用echo在pin工具下对程序进行输入，得到内存更改，再使用xxd转化16进制，如果对了一个字符那么该处的16进制就会更改为某个正确的。

写一个脚本进行**