• content {:toc}

Challenge RE SharifCTF 2016 UnloadMe berupa file PE32 Windows Executable

root@kali:~/Desktop/SU CTF/RE# file UnloadMe
UnloadMe: PE32 executable (native) Intel 80386, for MS Windows

Proof Of Concept

Saya melakukan disassembly menggunakan Hopper, ditemukan Hex String mencurigakan pada register.

UnloadME.png

Apabila Hex String tersebut didecode akan menghasilkan cc043056a0a32cb5e104aeb2cf4ff7ba flag : SharifCTF{cc043056a0a32cb5e104aeb2cf4ff7ba}