过了第一题的签到题之后，就是一道RE题打开运行了一下，看起来和去年的题目没什么区别（误）

用查壳软件查一下壳，发现用了upx壳

首先想到了用软件脱壳的方法，可是发现软件报错 :pen: ，那就只能尝试手脱（意识到和去年题目不一样了= – =）

这里要注意一下，建议在xp系统下进行，之前在win10下脱，脱完后不能运行，试了好久才意识到win10的地址要手动导入

一路f8+f4下去，很快看到个大跳转，没什么难度就脱完了，脱壳后再次查询

看到是delphi写的程序，那么拉入IDA看看，然后我就傻眼了，8000+个函数 :leng:

然后就是百度谷歌 :huaji13: ，查了一下发现delphi写的程序可以用idr查询使用到的函数，果真就查到了点线索

可以看到窗体form1指向了一个函数edtPwdChange，终于有了点眉头

在ida中搜索这个函数，f5看反编译的代码

看到几段将输入的内容做计算后与几段字符串比较，这时就猜一下做了什么，猜了一下常见的base64和md5，发现是md5

E7EE5F4653E31955CACC7CD68E2A7839 –> 52pojie

c8d46d341bea4fd5bff866a65ff8aea9 –> game

至于中间的off_617F08是什么内容，在IDA中看不出，最简单的方法就是用OD在那里下断点，

然后拉到OD里搜索了一下，发现好像断点都不用下就能出来了 :huaji15:

ea6b2efbdd4255a9f1b3bbc6399b58f4 –> 2019

那么全部字符串连起来就是52pojie2019game

试一下flag，嗯正确 :huaji2:

总结：小看这题了，以为和去年的题目差不多或者类似，没想到比去年的难多了，首先要手脱，其次是md5加密，还有OD动态的调试 :weiqv: