这道题要不要做.....?算了不做了,我们来一起看看writeup,分析writeup。
如果检测是动态调试就break出调试,中断指令是int 3那么在od里将int 3指令nop掉,继续往下走到sub_401000函数,函数的参数ipMem在MessageBoxA里被调用了,那么很可能ipMem就是得到的flag
writeup里面没有nop掉int 3指令,不知道这样可不可继续调试下去。在call函数上面有一个mov edx,dword ptr ss:[ebp-0xC]的命令,说明返回值在edx里。
经过运行,查看edx的值得到flag。整体来看是一道考od动态调试的不知道到底nop中断指令不,以后有机会遇到同样题了尝试下,如果你们做了欢迎在下面评论告诉我一下啊。
X-CTF(REVERSE入门) csaw2013reversing2
原文:https://www.cnblogs.com/blackicelisa/p/12263596.html