# HW5 ## dropper ### 觀察&解題 1. 首先由於dropper有透過UPX加殼,用IDA分析前須先解殼,不過我解完殼後用IDA分析沒看到關鍵的地方,不過幫助了我看main function,而此題有個函式為sleep就在main中 2. 我以x64-dbg執行時在一些地方程式有卡住,這些地方必須解決,比如下圖就是我卡住的其中之一 ![](https://i.imgur.com/RalCBDv.png) 3. 我解決那些卡住的方法就是找出call卡住點所在函式的指令,對那個call指令設中斷點,再慢慢步入找出問題,下圖就是造成卡住的call ![](https://i.imgur.com/Dx8HrNt.png) 4. 但以上都還不是此題的關鍵,重要的地方在下圖,這個call一樣會卡住,而我一樣慢慢步入 ![](https://i.imgur.com/BTBjStV.png) 5. 用耐心慢慢步入後,發現了在IDA分析中出現的sleep,出現在了x64-dbg ![](https://i.imgur.com/qynxwr6.png) 6. 這個sleep會導致程式停很久,所以我的作法是去修改sleep的時間,避免過久的等待 7. 修改完時間後,我繼續土法煉鋼,按F7慢慢步入,之後可以發現FLAG ![](https://i.imgur.com/rsLY0oK.png) ### 結論 FLAG為FLAG{H3r3_U_G0_iT_Is_UR_flAg} 此題重點是需要慢慢地觀察,需要耐心慢慢按F7,並且觀察卡住的點,多找幾個中斷點,可以避免重新執行時又重頭來過,有耐心就能解開這題。