攻防世界——csaw2013reversing2

最基本反调试

借鉴博客

运行完是乱码

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  int v3; // ecx
  CHAR *lpMem; // [esp+8h] [ebp-Ch]
  HANDLE hHeap; // [esp+10h] [ebp-4h]
  hHeap = HeapCreate(0x40000u, 0, 0);建立堆
  lpMem = (CHAR *)HeapAlloc(hHeap, 8u, SourceSize + 1);申请空间使用堆
  memcpy_s(lpMem, SourceSize, &unk_409B10, SourceSize);将unk复制给lpmem
  if ( !sub_40102A() && !IsDebuggerPresent() )sub返回就是0不管——IsDebugg就是反调试
  {
    MessageBoxA(0, lpMem + 1, "Flag", 2u);
    HeapFree(hHeap, 0, lpMem);释放空间
    HeapDestroy(hHeap);
    ExitProcess(0);
  }
  __debugbreak();防止动调
  sub_401000(v3 + 4, lpMem);生成flag函数
  ExitProcess(0xFFFFFFFF);退出
}

这逻辑图

在第一个jnz，我们要直接跳到生成flag函数，不判断

这里就跳掉结束了，我们改成跳入输出flag

（注意！！int3在汇编中是中止的意思，所以我们还要nop掉）

成果图

再保存一下，运行

————————————————————————————————