2020年8月10日
[FlareOn4]notepad
摘要: 这题是个PE infector 用ida打开,发现start于.rsrc段 往下跳过一段到start结尾 这里有个push ret的操作使流程走向正常的notepad功能 所以需要主要分析的是这个函数 进去后发现 a1是 v20为 所以需要创建这样一个文件夹,读取到文件后会进到 这个函数里挺乱的,大 阅读全文
posted @ 2020-08-10 16:31 Harmonica11 阅读(286) 评论(0) 推荐(0) 编辑