BUU reverse 新年快乐 //脱壳
BUU 新年快乐
此题用于学习逆向中如何使用软件对PE文件进行脱壳。加壳即可执行程序资源压缩,是一种对文件的保护方法,加壳的程序在执行时先执行壳代码,然后跳转到程序入口点EP执行程序本身,未加壳的程序EP区段为.text,即代码段。
首先用FFI万能脱壳工具查看程序是否加壳,发现EP区段显示有UPX壳。点击脱壳,得到脱壳后的程序新年快乐_unpacked.exe
然后IDA分析,发现如果输入的字符串是"HappyNewYear!",即可通过if判断,所以答案就是flag{HappyNewYear!}