1.先查壳,看到是Enigma Virtual Box,是一个虚拟文件打包系统,可以将程序和配套文件打包成一个可执行文件
- 脱壳后拖进IDA,在
WinMain函数里看不出来个啥,用OD试试。
先查找所有字符串,看到这里大概是flag,点击去
然后到IDA中找到相应位置,f5反汇编得到如下
这里是函数sub_4012F0(),可以看到很明显用的是Base58加密,加密后与“56fkoP8KhwCf3v7CEz”字符串进行对比,所以直接找一个网络工具解码得到
flag{12t4tww3r5e77}