之前复习了汇编等知识,这是人生中第一个逆向题目,嘻嘻。
  启程。
  对于执行文件,首先需要看它是32位还是64位的。这里了解到静态工具IDA的启动程序为idaq.exe和idaq64.exe(可处理64位执行程序),它们本身都是32位程序。所以当执行文件是32位时使用idaq.exe打开即可。
1.判断执行文件位数
  可以使用notepad++查看,它的第三行找到PENULNUL,如果紧跟的是L,即是32位程序;如果紧跟的是d?,即是64位程序。
  本程序是32位,如下图。
http://www.bugku.com:Bugku——Easy_vb-LMLPHP

http://www.bugku.com:Bugku——Easy_vb-LMLPHP
  可以使用idaq.exe查看分析源码。
 
2.分析源码
  打开源码后,emmmmmmmmmmmmmm,没什么技术,就是狂翻代码,找到了flag。
http://www.bugku.com:Bugku——Easy_vb-LMLPHP
  http://www.bugku.com:Bugku——Easy_vb-LMLPHP

  目前还是不会使用工具正常分析,没事,下周正式转战逆向实战中-。-
 
http://www.bugku.com:Bugku——Easy_vb-LMLPHP
 
 
05-11 22:13