七月 28, 2017
七月 26, 2017
题目简述
本题分数500分,直接等于前面两题的分数总和,明显不是善茬,差不多都要准备放弃了,抱着学习的心态再看看吧。
题目给了三个文件,主程序main.exe,运行库mscorlib.dll,和一个被加密过的文件data.encrypted,最终目标是要分析程序后解密该文件得到一张图片。
反调试
老样子,把main.exe拖IDA分析,能够直接看到主函数,并且一来就有创建一个反调试的线程:
先看一下这个反调试吧,其实就是一个不断触发异常然后自动处理异常的动作(包括关闭错误句柄、除0异常,涉及异常处理机制、栈恢复等内容,这里没有细究),如果挂上调试器异常就会不断被调试器接收将会很烦: