zoukankan      html  css  js  c++  java
  • [FlareOn4]notepad

    这题是个PE infector

    用ida打开,发现start于.rsrc段

    往下跳过一段到start结尾

    这里有个push ret的操作使流程走向正常的notepad功能

    所以需要主要分析的是这个函数

    进去后发现

    a1是

     v20为

    所以需要创建这样一个文件夹,读取到文件后会进到

    这个函数里挺乱的,大致是对文件进行了一些检验,如果符合要求就进到

    这个函数里对pe头加8的位置,也就是时间戳进行判断

    前一处比较为病毒本身的时间戳,后一处为被感染文件的时间戳,符合条件就会感染,start会放到.reloc段

    之后会将一些字节写入key.bin文件中

    因为文件夹是flareon2016,也就是这道题的前一届比赛,所以我把flareon3的题都下了下来,经过比对,四个文件为

    先运行notepad,再依次运行这几个文件就得到flag了

  • 相关阅读:
    论文笔记4
    论文笔记3
    论文笔记2
    论文笔记1
    论文笔记
    AFG与AWG的比较
    Linux下“有线线缆被拔出”问题的解决
    python生成excel格式座位表
    PythonTip--一马当先--bfs
    python pygame--倒计时
  • 原文地址:https://www.cnblogs.com/harmonica11/p/13470519.html
Copyright © 2011-2022 走看看