这道题我是使用动态调试的方法做的,没有对图片进行steghide。看了其余师傅的wp都太简洁了,就自己摸索出了一个方法,也不知道对不对。大佬勿喷
这里我直接从分解的程序入手,就不再说名分解的过程了
分解完程序,查壳,发现是vmp壳,自己查了好多方法,表示都不太会(还是太菜),然后就去下载了一个插件叫sharpod,这个插件在吾爱的论坛上的爱盘里就有。
然后用ce载入程序进程,在程序里输入随意的字符,搜索刚才输入过的字符,然后把地址小的那个拖到下面的窗口,右键找出什么地方访问了这个地址,然后再去程序里进行输入,直到出现字符串,然后在ce的窗口里就可以看到,两个地址,分别都查看一下,发现第二个地址,下面紧跟着一个cmp判断,所以初步判断,那个cmp就是关键的判断,查看cmp的地址是flag.exe+156E,flag的基质是400000,所以程序里的地址就是40156E。
然后用x64dbg载入程序,转到地址40156E。这里转到地址,是需要先将程序运行,可以输入字符的时候再转,然后到了这个地址下一个断点,去程序里输入字符,到最后判断的时候,程序果真就停下来了,于是修改cmp下面的jnz为jmp,然后取消断点,再随便输入字符,就可以直接出flag。
即可得到flag{zhong_guo_jia_you}
个人学习,大佬勿喷