mozhucy's blog.

ichunqiu-NoExec-200pt

字数统计: 249阅读时长: 1 min
2018/04/16 Share

初探NoExec

  • 看到了题目名,感觉会有一点弯子,010查了一波..随便扫了一眼感觉没啥问题,IDA启动!
  • GG了,IDA不能识别程序,跑一下模板好了
  • 模板跑完后发现好像只有程序前半段被识别出来,查一波文件结构顺便复习下
  • 对照后发现,DOS头的e_lfanew被改动过了,观察NT头的位置可以复现,e_lfanew应该是10010000(小端序)
  • NT头仿佛也出现了问题,e_magic居然被改成了PEHA,改回来,Machine改成0x014c的小端形式(I386)
  • 此时文件已经被电脑识别出来,原来是个MFC
  • 双击运行….GG,没跑起来,IDA启动,继续分析,不过这个时候,IDA可以成功的分析出程序的所有结构了.
  • 修改下代码段可执行就就好了啊,现在可以跑了
  • 分析文件,发现貌似是DES,先去学一波密码学,几个月后再回来补.
CATALOG
  1. 1. 初探NoExec