re学习（22）伪造CTF（谜之操作）

思维导图：找flag关键之处

                  1.字符串 （flag， sorry）

                  2.导入函数：（Import    _scanf ）        

                             其他函数（敏感函数）    createfileA:将flag放在一个文件中

                                                                     Createprocess：通过指令创建一  个进程

                  3.IDA结构体窗口（structure）

                  4.伪代码

参考视频：

Bili:  https://b23.tv/aoplXCv

1.伪代码查看

2.字符串查看

3.import函数判断

4.检测import函数时无意发现问题（检测：下断点+远程调试，看看是否运行了。如果没有运行说明调用了函数）

正常程序：当前路径+程序名称

但cmd.exe结尾，有问题 .bat文件 说明调用了一个.bat文件

.bat是指批处理文件，是一种可执行文件，由一系列命令构成，其中可以包含对其他程序的调用。该命令提示下输入批处理文件的名称，或者双击该批处理文件，系统就会调用cmd.exe按照该文件中各命令出现的顺序逐个运行他们

 

在网上查找这个函数，看看这个函数有哪些部分组成，以及有什么样的功能

 

 

 

 

推断： 将压缩包存放到了程序当中

 

操作：

将.zip文件压缩包保存到.exe程序中，6

用7.zip打开，真的可以打开，6