首次下载并解压缩文件后,首先放入PEID检测
发现有UPX外壳,快速脱壳后再次检查,将为VC编写的32位程序引入IDA进行进一步分析
知情者打开后首先发现main函数无法编译,某个地方函数出现错误,初步判定为花指令,查看字符串列表
由此,由于关键字未被IDA解析引用,所以判断为重要的部分都在main函数内,作为下一步,知道该如何处理这个花的指令
整个这部分有jnz,有call,其中jnz函数只是向下跳了一行,所以为了花的指令掉nop,发现下面部分的函数还有错误,该函数内部有花的指令,把该函数转换成数据模式
尝试每个NOP后,发现只有0E8hNOP以后的函数数据会正常
然后,将这些数据转换成函数,进行逆编译
追溯asc_408078和dword_40807C两个重要数据
这样可以得到最终的题意。 初始坐标为(7,0 ),最后到达) 5,-4,组成迷宫