之前复习了汇编等知识,这是人生中第一个逆向题目,嘻嘻。
启程。
对于执行文件,首先需要看它是32位还是64位的。这里了解到静态工具IDA的启动程序为idaq.exe和idaq64.exe(可处理64位执行程序),它们本身都是32位程序。所以当执行文件是32位时使用idaq.exe打开即可。
1.判断执行文件位数
可以使用notepad++查看,它的第三行找到PENULNUL,如果紧跟的是L,即是32位程序;如果紧跟的是d?,即是64位程序。
本程序是32位,如下图。
可以使用idaq.exe查看分析源码。
2.分析源码
打开源码后,emmmmmmmmmmmmmm,没什么技术,就是狂翻代码,找到了flag。
目前还是不会使用工具正常分析,没事,下周正式转战逆向实战中-。-