之前的文章讲述了静态脱壳,之后想实践一下动态脱壳,对于exe文件而言,动态和静态脱壳都显得比较简单,但是当我将攻防世界上的第七题豫备拖入x64DBG里时,x64DBG雀提示我则是非法文件。不是合法的PE文件,为什么会这样呢?
询问“赛棍”大佬,得到的答复是,这可能是Linux里的elf文件,于是询问如何化解,他说唯有远程调试一法可破!
具体怎么做呢?咱不玩虚的,直接教,只讲做法,不解释原理。
1、将IDA安装目录下的dbgsrv文件夹整个都拷贝到linux下(我都拷贝到了ubuntu桌面)2、将所要调试的文件直接放在dbgsrv目录下
(此处只使用linux_server64 单独脱出,方便查看,调试目标可执行文件是847be14.........8045b 这一elf文件)
3、IDA内将后端调试器设置为远程Linux调试 4、摁下IDA工具栏的调试绿色开始标识,会出现如此弹窗
其它保持不变,返回虚拟机查看Linux虚拟机的ip地址 (Hostname)
5、查找ip地址输入指令:ifconfig -a,出现下列大段字符,用黄色边框圈起的即为ip地址。
回到IDA填入地址。
6、运行linux_server64打开命令框
随后输入$ ./linux_server64 指令,运行程序。这里根据你的elf文件类型选择的调试器,比如我要调试的是64位的,那就选择linux_server64
ps:如果执行不了,那就执行chmod +x linux_server64
随后返回IDA。
7、开始调试返回IDA,点击OK,(或者摁F9)即可开始调试。
注意,一定要运行linux_server64,否则则会像笔者一般愚钝,出现多次的目标计算机积极拒绝,无法连接。
详细调试过程等日后另出新文。谢谢
