[FlareOn4]notepad

这题是个PE infector

用ida打开，发现start于.rsrc段

 

往下跳过一段到start结尾

 

这里有个push ret的操作使流程走向正常的notepad功能

所以需要主要分析的是这个函数

 

进去后发现

 

a1是

 

 v20为

 

所以需要创建这样一个文件夹，读取到文件后会进到

 

这个函数里挺乱的，大致是对文件进行了一些检验，如果符合要求就进到

 

这个函数里对pe头加8的位置，也就是时间戳进行判断

 

前一处比较为病毒本身的时间戳，后一处为被感染文件的时间戳，符合条件就会感染，start会放到.reloc段

之后会将一些字节写入key.bin文件中

因为文件夹是flareon2016，也就是这道题的前一届比赛，所以我把flareon3的题都下了下来，经过比对，四个文件为

 

先运行notepad，再依次运行这几个文件就得到flag了