字符串混淆去除 | moyaoxueの小屋

type

status

date

slug

tags

summary

category

icon

password

以这个题目为例子，包括自己搞那个也是这样的结构

大概长这样，字符串加密：

notion image

notion image

恢复、去除思路：

这里用的idapython（ida api是ida9.0）

观察到比较重要的参数是[esp+4] [esp+8]，xref拿到所有调用地址，递归向上匹配参数，解密，打印：

作者:moyaoxue
链接:https://moyaoxue.de/article/14f25ac9-6ea8-80cf-b44e-cbab5b532abe
声明:本文采用 CC BY-NC-SA 4.0 许可协议，转载请注明出处。

相关文章

虚假控制流去除

Lazy loaded image

控制流平坦化混淆去除

Lazy loaded image

间接跳转混淆去除

Lazy loaded image

Lazy loaded image

mingw启动项学习

Lazy loaded image

windows 反调试记录

Lazy loaded image

house of force realloc_hook 调整栈帧

Loading...

moyaoxue

moyaoxue

最新发布