一、脱壳

PEID 查不出来，用了 die，显示是 UPX3.96 的壳，用了脱壳机，脱不了，只能手动脱壳，拖入 x64dbg，F9 运行到程序领空，很明显的特征，push：

无脑使用 ESP 定律大法，对 ESP 下硬件访问断点：

F9 运行，在 pop 处停下：

F4 运行到下面第一个 jmp，F8，进去又是一个 jmp，继续 F8，到达 OEP：

使用 x64dbg 插件 dump：

第一步先 dump 保存，然后第二步，第三步，第四步选择刚才 dump 保存的程序：

脱壳成功，但是运行一闪而过，这是动态基址搞的鬼，手法很多，有脱壳机有禁用动态基址选项，这里我们直接把程序拖入 010Editor 修改标志位，改为 20 即关闭动态基址，保存退出：

可正常运行，接下来分析算法。

【一一帮助安全学习【点我】一一】①网络安全学习路线②20 份渗透测试电子书③安全攻防 357 页笔记④50 份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍⑦100 个漏洞实战案例⑧安全大厂内部教程

二、算法分析

1、进入主函数（很明显是 vs 写的程序，根据步骤找主函数就行）F9 进入程序领空，进入第一个 call：

再进入第二个 call：

找特征码，进入标记的 call：

进入第四个 call：

走过一个跳转，进入主函数：

2.动态调试标记的函数是输入 flag 后第一个 call，并且传参进去，所以这里可以跟进去看一看：

随便输入一部分数,回车并跟进标记函数：

从下面可以看到这边传入我们输入 flag，是关键函数，跟进去：

分析函数：

可以猜到 flag 的长度为 20，如果不是 20，直接到打印错误的地方，继续向下看，下面对字符串进行第一次处理。亦或 66，继续看下去，又是一个比较长度函数，之后没什么了，这个函数结束，直到返回主函数：

下面就是打印 wrong，长度为 20 会跳过这个打印：

我们看当前标记的函数，传入参数是我们 flag 亦或 66 之后的字符串，绝对关键函数，跟进去，F8 一直运行：

我们发现又对字符串处理，先+A，再亦或 50：

继续运行发现关键函数，F8 走过直接失败，重新到这个位置，发现传入处理后的第一个字符，跟进去：

我们发现一个 cmp，和我们字符串第一个字母比较：

查看另一个地址的值：

继续跟，会发现直接退出，所以这里是比较函数，直接写脚本：

#includeint main(){unsigned int dword_14001D000[20] = {0x0000004B, 0x00000048, 0x00000079, 0x00000013, 0x00000045, 0x00000030, 0x0000005C, 0x00000049,0x0000005A, 0x00000079, 0x00000013, 0x00000070, 0x0000006D, 0x00000078, 0x00000013, 0x0000006F,0x00000048, 0x0000005D, 0x00000064, 0x00000064};
char flag[21] = { 0 };
for (int i = 0; i < 20; i++){flag[i] = ((dword_14001D000[i] ^ 0x50) - 10) ^ 0x66;}
printf(flag);
return 0;}

flag：why_m0dify_pUx_SheLL