NewStarCTF 2023 EzPE

这个EXE怎么运行不了呢?
题目给了一个文件头损坏了的PE文件
这种处理方法是找一道有关PE文件的reverse题目
WinHex对比修改即可

这是标准的PE文件头:
image

这是本题的文件头:
image

很容易就能发现区别 修改后IDA打开
发现对 Input[]做了简单的相邻元素xor
由于input[]的最后一位没修改且已知为ord('}')
从最后一位往前逆向即可得到flag

flag{Y0u_kn0w_what_1s_PE_File_F0rmat}
posted @ 2023-09-29 14:33  N0zoM1z0  阅读(150)  评论(0编辑  收藏  举报