无论是OD的提示,还是题目的提示,都表明这是个有壳的程序,同时可以知道,我们的任务就是找到OEP的地址。
放入工具试一下,
确实有壳,但却不知道是什么壳。
下面,脱壳技巧上阵.
一,单步调试法
一步一步来,最终会看到熟悉的代码
这个地址就是最终的flag了。
flag:00401150
二,ESP定律
载入程序,F8一下,看见ESP,EIP同时是红的,在寄存器窗口的ESP处右键,选择‘在数据窗口中跟随’,
在左下角的数据窗口右键,断点->硬件写入->word
F9运行,会断到一处地方。这个程序不适合ESP定律,不太行。
之后单步调试法,找到OEP