strings 命令查看字符,看到UPX,但是直接UPX脱壳,提示压缩数据异常,不知道怎么回事。
放到IDA看看,也不懂,向大佬学习吧。
动态调试这段代码,能得到这个结果,
正好是路径和这个进程号,
/proc目录是一种文件系统,即proc文件系统。与其它常见的文件系统不同的是,/proc是一种伪文件系统(也即虚拟文件系统),存储的是当前内核运行状态的一系列特殊文件,用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息,甚至可以通过更改其中某些文件来改变内核的运行状态。 /proc/pid/exe 包含了正在进程中运行的程序链接,也就是说这个exe实际上是当前pid对应的程序。
然后继续运行,过程中会生成一个执行文件。
我们使用IDA加载这个文件。
关键是这个部分,我们可以手动修改汇编代码,跳过判断,来到lol函数处,动态调试出flag。还有最后格式是RCTF{}。