新年快乐
点进去就三个函数,而且很乱,啥也看不懂。推测加了壳。
所谓壳,就是一种压缩或加密程序内容的手段,运行时先根据壳把真正的程序解析出来放到内存里,再转过去执行。常见的壳还好,如果是魔改的可能就需要从内存里dump真正的程序来手动脱壳。
拖到ExeinfoPe里发现是upx壳,可以用官方工具upx.exe脱壳(upx -d 新年快乐.exe -o target.exe),也可以用万用脱壳工具之类的。
这下看懂了。
xor
找一下global的内容就好了,点进去看一下。
global是在data段上字符串指针。那个aFKWOX什么的是IDA给字符串的编号(一般都是a开头),其内容为"f\nk\fw"...,后面省略号了没写完。点进字符串编号再详细看一下。
这些就是字符串内容。要注意C程序的\x容易触发hex escape sequence out of range警告,最好使用字符串拼接来处理问题。