这道题要不要做.....?算了不做了,我们来一起看看writeup,分析writeup。
图1
如果检测是动态调试就break出调试,中断指令是int 3那么在od里将int 3指令nop掉,继续往下走到sub_401000函数,函数的参数ipMem在MessageBoxA里被调用了,那么很可能ipMem就是得到的flag
图2
writeup里面没有nop掉int 3指令,不知道这样可不可继续调试下去。在call函数上面有一个mov edx,dword ptr ss:[ebp-0xC]的命令,说明返回值在edx里。
图3
经过运行,查看edx的值得到flag。整体来看是一道考od动态调试的不知道到底nop中断指令不,以后有机会遇到同样题了尝试下,如果你们做了欢迎在下面评论告诉我一下啊。
