稍微......有那么一点离谱     程序无壳，可以直接放入IDA，通过字符串找到如下函数： __int64 sub_4009C6(){__int64 result; // raxint i; // [rsp+Ch] [rbp-114h]__int64 v2; // [rsp+10h] [rbp-110h]__int64 v3; // [rsp+18h] [rbp-108h]__i

0x01 思路 下载下来解压获得 easyre.exe 直接放入IDA，获得 flag flag{this_Is_a_EaSyRe}

目录 0x0 新知识0x1 运行0x2 查壳0x3 载入IDA 32bit0x4 关闭ASLR，地址对齐0x5 分析0x6 总结0x7 脚本编写0x8 尝试IDA一键反编译 题源：XCTF-Reverse进阶-004 0x0 新知识 XOR 常用于置0 XOR 运算可逆 0x1 运行 运行提示输入，回车后即退出 0x2 查壳 0x3 载入IDA 32bit

1.拿到文件，老规矩，查壳 收集信息，无壳，64位程序（使用64位ida） 2.拖入ida 寻找main函数 没找到，那就换种方式，我们找字符串 发现可疑字符串 跟进该字符串 发现了类似主函数的东西 分析它    写个异或脚本，解出v12 这个时候得到一个提示：求的最后的flag的前四位为“flag”（好像没什么用） 接下来继续分析 可以看到接

首先ida64打开，shift+f12查看字符串，发现有you found me字段，跟进查看调用了它的函数。 发现是sub_4009C6()函数，分析 __int64 sub_4009C6(){__int64 result; // raxint i; // [rsp+Ch] [rbp-114h]__int64 v2; // [rsp+10h] [rbp-110h]__int64 v3;