日常0x6
2018 4 28
一道alexctf的题目,使用winhex先分析文件类型发现是elf文件。
使用die对该文件进行查壳。发现其具有upx 3.6的壳。
在linux下使用upx包进行解壳。
解出壳之后发现汇编代码全是mov指令,知道这是使用了movfuscator的花指令结果。
解决的办法:
使用ida中关联Intel的pin tracer,tracer script (cpp文件)下载之后放在source/tools/mannual examples目录之下。
///tracer原理(追踪源程序在内存中存储的变量和输入之后有什么的差异)
在pin文件夹之下执行pin命令,转到mannual examples文件夹之下, 将tracer(cpp文件)放在这个文件夹之中,进行编译(使用make命令 )【@1】
注:
【@1】:
先创建文件夹,使用make target命令进行生成,后面跟随返回文件地址
编译所有文件 make all TARGET=ia32,并且会为你创建目录(obj-ia32)
使用echo在pin工具下对程序进行输入,得到内存更改,再使用xxd转化16进制,如果对了一个字符那么该处的16进制就会更改为某个正确的。
写一个脚本进行**