这题是个PE infector
用ida打开,发现start于.rsrc段
往下跳过一段到start结尾
这里有个push ret的操作使流程走向正常的notepad功能
所以需要主要分析的是这个函数
进去后发现
a1是
v20为
所以需要创建这样一个文件夹,读取到文件后会进到
这个函数里挺乱的,大致是对文件进行了一些检验,如果符合要求就进到
这个函数里对pe头加8的位置,也就是时间戳进行判断
前一处比较为病毒本身的时间戳,后一处为被感染文件的时间戳,符合条件就会感染,start会放到.reloc段
之后会将一些字节写入key.bin文件中
因为文件夹是flareon2016,也就是这道题的前一届比赛,所以我把flareon3的题都下了下来,经过比对,四个文件为
先运行notepad,再依次运行这几个文件就得到flag了