Trước khi vào bài thì mình sẽ để các công cụ và trang web giúp mình giải bài này:
bless, hexeditor : phần mềm xem và chỉnh sửa hex trên linux
List of file signatures - Wikipedia . xem chữ kí của tệp
Vào bài.
Bài này khá dễ vì ta có gợi ý đây không phải là hình ảnh.
Mình dùng bless kiểm tra hex luôn
Kiểm tra chữ kí của tệp thì không ra kết quả gì.
- 4D 7E 5A 90
- 4D 7E 5A
- 4D 7E
Nhìn sang phần text thì mình thấy 2 dấu hiệu
- M~Z
- !This program cannot be run is DOS mode
Sau khi tìm hiểu thì mình biết đa số đây là thông báo lỗi của tệp exe
Tìm lại phần chữ kí của tệp exe
Phần chữ kí của tệp exe này là MZ và mã hex là 4D 5A
Vậy tệp này có 2 vấn đề, bị chèn thêm hex vào chữ kí và sai phần đuôi tệp (file extension) hoặc còn được gọi là loại tệp
Xoá hex thừa và lưu lại với tên heheu.exe
Chạy thử tệp trên máy ảo window thì ta được kết quả
