NewStarCTF 2023 EzPE
这个EXE怎么运行不了呢?
题目给了一个文件头损坏了的PE文件
这种处理方法是找一道有关PE文件的reverse题目
WinHex对比修改即可
这是标准的PE文件头:
这是本题的文件头:
很容易就能发现区别 修改后IDA打开
发现对 Input[]做了简单的相邻元素xor
由于input[]的最后一位没修改且已知为ord('}')
从最后一位往前逆向即可得到flag
flag{Y0u_kn0w_what_1s_PE_File_F0rmat}