一、知识点
常见汇编指令
详情参考IDA强制转换汇编
二、查壳
三、IDA分析
摸不着头脑,换OD试试也摸不着头脑
按照提示这是一个 由8086汇编写成的程序
直接看看汇编代码试试 View--opensubview--disassembly
发现可疑字符串
应该是对这个字符串做了加密处理
看一下对这个字符串做处理的加密代码往下滑
先看到一个函数 是个循环跳转 好像没啥用 只有循环没有内容
接下去的 这一串带数字的比较可疑
我们拖动选中它。然后按C,选force,强制转换成汇编。
补充:dec是自减函数。例如:DEC AL; AL内容减1,然后zhidao再送AL
loop指令为循环指令。
就是这个字符串跟 1Fh做异或
解题脚本如下:
key1="]U[du~|t@{z@wj.}.~q@gjz{z@wzqW~/b" flag = '' for i in key1: x=ord(i)^0x1f flag+=chr(x) print(flag)
四、flag
BJD{jack_de_hu1b1an_xuede_henHa0}