拖入IDA查看strings,发现字符串很少怀疑被加壳

使用PEID查看出是UPX的壳,使用工具

脱壳后再次拖入IDA查看(IDA64显示无法查看伪代码,所以使用了IDA32)

buuctf 新年快乐_加壳

 

 v4即为flag

 ————————————————————————————

试一下手动脱壳

。。。。

寻找找到popad,在下一个jmp处下断点F9跳转过去,F8进入,一般就到了OEP

右键dump debugged process使用OD自带的脱壳调试,直接点击dump保存为新的exe文件

再次PEID查壳拖进IDA,下面步骤如上