X-CTF(REVERSE入门) csaw2013reversing2

这道题要不要做.....？算了不做了，我们来一起看看writeup，分析writeup。

图1

 

如果检测是动态调试就break出调试，中断指令是int 3那么在od里将int 3指令nop掉，继续往下走到sub_401000函数，函数的参数ipMem在MessageBoxA里被调用了，那么很可能ipMem就是得到的flag

图2

writeup里面没有nop掉int 3指令，不知道这样可不可继续调试下去。在call函数上面有一个mov edx,dword ptr ss:[ebp-0xC]的命令，说明返回值在edx里。

图3

经过运行，查看edx的值得到flag。整体来看是一道考od动态调试的不知道到底nop中断指令不，以后有机会遇到同样题了尝试下，如果你们做了欢迎在下面评论告诉我一下啊。