- 博客(70)
- 资源 (6)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 Python 从入门到精通视频下载
无论是零基础小白还是想系统提升编程能力的学习者,这份《叩丁狼教育:Python 轻松入门到项目实战(经典完整版)》都堪称「宝藏级学习包」!9 大模块覆盖理论、语法、实战全流程,搭配高清视频 + 源码 + 笔记,助你快速从编程菜鸟蜕变为项目能手。,包含,覆盖 Python 编程从基础语法到企业级项目实战的完整路径。内容形式以视频教程为主,搭配配套源码、笔记和练习素材,适合零基础入门者、在校学生、职场技能提升者及编程爱好者系统学习。
2025-05-31 21:40:48
1029
1
原创 零基础一站式端游内存辅助编写教程(无密)
《端游内存辅助开发指南》摘要(150字) 本教程系统讲解端游内存辅助开发技术,分为四大模块:1)基础理论涵盖内存地址、数据类型及游戏内存分配机制;2)工具篇介绍CheatEngine、x64dbg等分析工具及开发环境配置;3)实战部分详细演示内存扫描定位、数值修改与代码注入技术;4)通过完整案例解析开发流程,并强调反作弊规避与法律风险。特别声明本教程仅供学习研究,严禁用于非法用途。配套资源已上传至夸克网盘(链接见正文),开发者需遵守游戏安全合规要求。
2025-05-31 21:40:11
274
原创 最适合新手学习的python教程
这是一份面向零基础学习者的Python编程系统课程,包含基础语法、核心编程思想和实战项目。课程采用体系化教学,从环境搭建到面向对象编程逐步进阶,强调实战导向,配有计算器、学生管理系统等案例。内容完整无需追更,包含视频、代码等配套资料,链接为Quark网盘资源。适合编程入门者系统学习Python开发。
2025-05-28 23:38:13
239
原创 揭秘 “黑 U 搬砖“ 骗局:警惕数字资产安全陷阱
近期,虚拟货币领域出现 "黑 U 搬砖" 相关骗局,宣称 "1 个白幽可兑换 2-3 个黑幽" 甚至 "汇率将升至 1:5"。此类话术实为黑产集团制造的投资假象。本文将从技术原理、风险识别及反诈要点展开分析,助您规避资产损失。"黑 U" 通常指涉及违法犯罪活动的 USDT(泰达币),其核心特征并非货币本身被标记,而是关联的钱包地址因涉嫌盗窃、诈骗等违法行为被追踪。远离 "黑 U" 灰色地带,才是对自身财富最有效的保护。虚拟货币交易缺乏法律保障,黑产往往通过 "高收益"" 短平快 " 话术制造信息茧房。
2025-05-27 22:17:23
574
原创 [原创]X86C++反汇编01.IDA和提取签名
IDA可以识别函数名以及参数等信息,IDA是用过SIG文件识别已知函数信息。在安装IDA的时候,已经将常用的库制作为SIG文件,放置在安装目录的SIG文件夹下。函数签名:SIG文件也成为签名文件作用:利用此功能可识别第三方提供的库函数,从而简化分析流程以低版本C库函数为例。
2025-05-24 18:04:46
766
原创 黑产档案:警惕话费电费代充背后的洗钱陷阱
看似普通的话费慢充折扣、电费代充优惠,实则可能暗藏洗钱陷阱 —— 当你为 "100 元话费仅需 85 元" 的低价心动时,或许已悄然卷入违法犯罪链条。今天,我们将揭开这一现象背后的黑色产业生态,及其每年为犯罪分子创造的巨额非法收益。
2025-05-19 23:38:08
466
原创 黑灰产业链深度解析
要理解产业链全貌,需先明确「黑灰产」的概念:这是指通过非法或不正当手段谋取利益的行业及活动。以诈骗为例,犯罪链条往往涵盖多个环节 —— 有人通过非法途径获取公民个人信息、手机卡、银行卡、对公账户、营业执照、社交账号、支付账户等资源,转售给诈骗团伙;有人负责「打粉引流」,为骗局物色目标;还有人参与资金收取与洗白。这些参与者虽分工不同,却共同构成完整的利益链条,其行为均属于黑灰产范畴。
2025-05-18 16:22:58
959
原创 WindowsPE文件格式入门10.TLS表
当一个全局变量,所有的线程都会同时访问这个全局变量,其实就是访问同一块内存,有时我们希望所有的内存访问同一块内存,它们的值是不一样的,同一个线程里面是同一个值,不同线程里面是不同的值.// Project1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。//g_n = 88;
2025-05-02 14:15:12
795
原创 WindowsPE文件格式入门09.RadAsm的bug和重定位表
RadAsm的bug创建程序工程:●项目选项:控制台"hello,World"程序,不使用预编译头2、创建程序2:汇编工程:●radasm工程选项:控制台●将程序1中的obj拷贝至本工程中并添加至工程连接选项,用程序2调用程序1中的TestFunc函数获取并解决BUG1.非预期BUG:提示缺少lib,"LIBCD.LIB"、"OLDNAMES.lib"。●解决办法:从VC库中获取并拷贝过来。2.预期BUG1:LIBCD.lib BUG:LNK2001:无法处理的外部符号 _main。
2025-05-01 13:38:24
972
原创 WindowsPE文件格式入门08.导出表
通过cff , depends灯等软件可以看到dll,导出函数的信息,因为dll中本身就存了这些信息,存了dll中有哪些导出函数,导出函数的序号是什么,名字是什么,以及他们的地址是什么,这些东西都存在导出表里面。
2025-04-12 22:41:49
655
原创 WindowsPE文件格式入门06.手写最小PE
有一个标志 Win32VersionValue ,xp必须为0,win7 和win10不用管。
2025-04-09 22:58:01
1092
原创 WindowsPE文件格式入门05.PE加载器LoadPE
LoadPE - pe 加载器 壳的前身如果想访问一个程序运行起来的内存,一种方法就是跨进程读写内存,但是跨进程读写内存需要来回调用api,不如直接访问地址来得方便,那么如果我们需要直接访问地址,该怎么做呢?.需要把dll注进程,注进去的代码跟他在同一块进程里面,这样我们就可以直接访问这个进程的地址,但是不想注入,也不想跨进程读写地址,就直接读进程地址,有什么方法呢?
2025-04-05 20:55:14
926
原创 WindowsPE文件格式入门04.导入表
从下图可以看出导入表的地址是内存偏移从节表可以看出,内存偏移2000的地方,对应得文件偏移是 600 ,因此内存偏移位 002010的地址对应的文件偏移为610遍历函数的时候,如果 NAME 或者 IAT 为 0,则遍历结束如果 NAME 或者 IAT 都不为0 情况下如果 INT 不存在,那么加载函数就会用 IAT 表如果 INT 存在,那么加载函数就会用 INT 表,但是会检查 IAT 表第一项是否为0, 0就结束。
2025-04-01 22:57:24
1039
原创 第一章 科大的代码实验室
陈墨低头看着自己的帆布鞋,鞋尖沾着从老家带来的红土。他握紧手中的 U 盘,里面不仅存着《仙侠 OL》的漏洞报告,还有一段未被解密的神秘代码。" 他的语气变得严肃,"因为只有你能破解这种加密 —— 用你在图书馆修服务器时发现的漏洞。陈墨摇摇头,看着她走进旋转门时,注意到她胸前的工牌写着 "林科大 ACM 队"。" 男生将工业级笔记本推过来,屏幕上是密密麻麻的十六进制代码,"《仙侠 OL》长沙服务器连续崩溃,游戏公司在校园 BBS 悬赏十万找漏洞。那个熟悉的黑客论坛图标在闪烁,发来新消息的正是 "岳麓剑客"。
2025-03-29 18:41:07
906
原创 WindowsPE文件格式入门03.节表
思路是直接将注入的代码当作最后一个节的内容,需要修改的地方首先能想到的就是节数组中最后一个节的文件大小,以及内存大小。比较隐秘的坑,由于原PE文件,节的大小是按照文件对齐值来设置的,现在新增了数据,新增的数据要以文件对齐值的大小为单位。如新增的数据超过内存对齐值,我们就要相应的修改PE镜像大小。缺陷:这种方式最方便,但是修改的代码很大,稳定性很差。必须是最后一个,前面不可以。
2025-03-27 22:04:03
1056
原创 WindowsPE文件格式入门02.选项头其它和节表
/模块在内存中总大小,与 SectionAlignment 对齐,改的话不可以改变分页数量(但最好对齐)//校验值 3环程序随便改,0环程序会检查,不允许改 可以用 MapFileAndCheckSum 计算值。//下面数组个数(最小可以改为2,最大为16,前2个表是导入,导出表,必须要有)// 32位PE: IMAGE_NT_OPTIONAL_HDR32_MAGIC , 0x10b.// 64位PE: IMAGE_NT_OPTIONAL_HDR64_MAGIC , 0x20b.
2025-03-24 23:16:59
1087
原创 WindowsPE文件格式入门01.PE头
portable excute 可移植,可执行的文件(exe dll)能够解析的文件,其内部都是有格式的,不是随随便便放的,都是按照某种规律放的,可执行文件也是如此,他有自己的格式,exe 和 dll 的格式是一样的微软由dos 到 windows 文件格式发生了改变,所以要出新的文件格式,因此微软要求文件要兼容 dos 系统,其次要兼容其他的所有操作系统IMAGE_FILE_MACHINE_AM33 希望兼容所有的cpu。
2025-03-16 23:19:57
838
原创 Windows平台调试器原理与编写05.内存断点
第一种和第二种没有太多需要解释的地方,至于第三种的MEMORY_MAPPED_FILE_NAME_INFORMATION的定义形式需要说明一下,第三种使用方法目前资料很少,我看多资料都是直接直接传了个数组进去,然后很多人就发表评论说为什么要传那个长度呢?指的是当软件试图访问已映射在虚拟地址空间中,但是并未被加载在物理内存中的一个分页时,由中央处理器的内存管理单元所发出的中断。(导出但未形成文档),他的作用主要是查询指定进程的某个虚拟地址控件所在的内存对象的一些信息。当内存断点需要支持多个,会面临很多问题。
2025-03-09 18:02:03
785
原创 Windows平台调试器原理与编写04.硬件断点
每个线程最多只能四个硬件断点,每一个可以设3种类型 ,硬件断点是由 CPU 支持的硬件断点是为了解决某些情况下软件断点用不了的情况(例如软件中带有自修改,下断点处的代码被软件自身执行过程中把值改了)硬件断点有3种类型。
2025-03-04 22:15:21
655
原创 Windows平台调试器原理与编写03.单步
但是通过调试发现并不能实现,应该 代码执行完 TF 已经被还原为0 了此时在入栈,它的值就是0 ,所以没办法检查判断是否为1,因此要反其道行之 ,自己置个单步, 正常情况下自己可以收到一个单步异常,但处于调试状况时就无法收到,因为被调试器收了,调试器收到之后就继续往后执行。异常被调试器收了,会继续执行下面的代码,自己异常无法收到,无法进SEH异常函数,所以无法跳过下条指令。
2025-03-03 22:56:45
674
原创 Windows平台调试器原理与编写02.一般断点与反汇编引擎
OD下断点实际是把指令的第一个字节改成了CC,当程序执行到CC的时候其实是抛了一个异常(EXCEPTION_BREAKPOINT),这个异常就会进入调试器里面因为处于调试状态,调试器拿到这个异常之后就会知道程序要断到这里,写了CC之后,这条指令正常的功能就被破坏了,但是这条指令正常功能中他还是应该执行的,那怎么让他走过去呢,那就是把这条指令恢复,下次再来只需要走过去之后再把它写回CC,这条指令执行完可通过 TF 标志位 来实现, (TF置1就会抛出异常(EXCEPTION_SINGLE_STEP)),
2025-02-23 14:39:36
357
原创 Windows平台调试器原理与编写01.调试框架
调试器也是类似,调试器有各种跟调试相关的事情发生,这些事情会被封装成一个个结构体传给我们,我们只需要一直处理这样一个个的结构体的信息,这些结构体就是调试事件,调试事件 90% 都是处理异常,调试器本身就是依托于系统的异常机制实现的。当调试器调试进程时, 被调试进程处于挂起状态,当调试事件处理完之后,被调试进程是处于运行还是挂起要看我们的操作,返回结果就是告诉系统 被调试进程 是 继续挂起还是运行。当调试器开始调试另一个进程的时候称为调试会话的建立,当调试器没有调试进程时,就叫没有调试会话。
2025-02-22 13:36:51
370
原创 Win32汇编学习笔记10.OD插件
第二次派发是一个分支,会判断是否有调试器,有的话就给调试器,没有的话直接给筛选器,因此系统会检查软件是否处于调试状态 即检查调试端口是否存在,如果存在,异常就会给调试器,否则给筛选器,所以我们在用 OD 调试筛选器异常时,是不可能再筛选器这下断点的,因此系统检测到了调试器,异常就不会给筛选器。因此我们可以欺骗系统,告诉系统,不存在调试器,直接给筛选器,因此我们需要找到 异常派发时,系统在哪判断是否有调试器存在的,找到后我们可以更改判断结果 或者跳转 的地方。
2025-02-15 22:07:53
927
原创 Win32汇编学习笔记11.游戏辅助的实现
您会发现显示的竟然是 Tutorial.exe+60C34 而不是 00460c34 这是为什么呢?其实 Tutorial.exe+60C34 就等于 00460c34一般来说游戏在电脑中申请的地址是从00400000开始的,Tutorial.exe代表的就是 00400000 然后加上 60c34 自然就等于 00460c34。但是在某些情况下游戏的起始地址并不是从00400000开始的,或者说每次启动申请的地址都不相同;
2025-01-13 21:53:10
1087
原创 Win32汇编学习笔记10.OD插件
第二次派发是一个分支,会判断是否有调试器,有的话就给调试器,没有的话直接给筛选器,因此系统会检查软件是否处于调试状态 即检查调试端口是否存在,如果存在,异常就会给调试器,否则给筛选器,所以我们在用 OD 调试筛选器异常时,是不可能再筛选器这下断点的,因此系统检测到了调试器,异常就不会给筛选器。因此我们可以欺骗系统,告诉系统,不存在调试器,直接给筛选器,因此我们需要找到 异常派发时,系统在哪判断是否有调试器存在的,找到后我们可以更改判断结果 或者跳转 的地方。
2025-01-12 21:59:42
687
原创 Win32汇编学习笔记09.SEH和反调试
跟筛选一样都是用来处理异常的,但不同的是 筛选器是整个进程最终处理异常的函数,但无法做到比较精细的去处理异常(例如处理某个函数的异常), 跟 C++ 的 try { } catch { } 的思路一脉相承, SHE 实现的 就是 函数自己 来处理自己的异常,实现方式就是通过回调函数实现的,把回调函数注册给操作系统,当你函数内部出现异常时,系统就会调用你的回调函数,此时就可以处理了,处理完之后可以继续执行代码或者把异常交给筛选器。可以看到 偏移为0 的位置 是一个异常链 表, , 记录的是一个结构体指针。
2025-01-09 21:13:01
641
原创 Win32汇编学习笔记07.筛选器异常
可以看到调用这个函数的地方思路回到打开文件对应函数上点击其中一个转到对应调用处再起上面那个push再来转到转到的是下面这个jmp,然后再看sub又是哪里跳过来的呢?转到下面所示的jg 另外一个mov ecx,dword ptr [ebp+10]是commad消息!!!我们猜测这里应该有拿资源id的操作利用vs:文件->打开->文件选择该exe情况如下点开快捷键查看32772->对应上面我们怀疑是拿资源id那个立即数的8004h,十分巧合?再去回想之前的转到那。
2025-01-08 21:36:35
1149
原创 Win32汇编学习笔记06.APIHook
api hook 称为 api 钩子,也称为 内联apihook我们程序使用时,有时候需要获得程序的一些其他信息,例如,网络发包是获得包数据,打开文件时,获得文件信息等,这是,我们就可以给这些api下个钩子,当他操作时可以把它的数据抓下来,保存钩子类似起监控作用网络,文件,注册表自己实现需要进内核API Hook简介:API Hook 是通过拦截 Api 的调用,使其流程转移到我们指定的地方,同时为了保持原有程序的健壮性,需要执行完我们流程后再转移会自身的流程。
2025-01-07 22:19:09
798
原创 Win32汇编学习笔记05
定位关键点3种方法: 过程函数 api 字符串但是不确定用要哪一种方法,可以3种方法都用一下,因为在不同的程序,实用的方法是不一样的。
2025-01-05 12:14:58
484
原创 Win32汇编学习笔记04.重定位与汇编引擎
注机器码就是 把机器码写到对应进程里面去,写的地方不能覆盖它原本代码,否则会影响它原本的功能 ,可以去找一些空隙,但是这种方法不是很通用.最好的办法是 申请一块内存,把代码写进去,在调用线程去跑这个段代码。把字符串移进来,调试发现地址还是我们自己的地址,字符串地址需要调整,最好让他自己算.我们只要原来代码所在的地址,与新地址所在的差值,就可以推算出新字符串所在的地址。user32 在 同一台电脑上的 不同进程的地址是一样的,因此可以利用这一点,还要注意,我们写的代码位于代码段,必须修改才能写入。
2025-01-04 22:47:25
1166
原创 Win32汇编学习笔记03.RadAsm和补丁
可以看出它调用了 默认过程函数,并没有自己处理关闭消息,所以我们只能 自己来 判断是不是WM_CLOSE 消息,然后我们自己来处理 ,如果是 WM_CLOSE ,那么就需要我们去弹窗,不是的话就交给过程函数去处理。因此可以分析出,程序是那我们输入的字符串做一系列运算,再把结果格式化后去跟第二个字符串 作比较,我们把上面格式化后的字符串拿去测试,可以发现通过了,所以猜想是正确的。可以看到,运行到系统的 dll 中,所以这不是一个 重叠类窗口,所以过程函数不是自己的,无法用上面方法,所以要换个f方法。
2025-01-03 22:51:42
1146
原创 Win32汇编学习笔记02.RadAsm和联合编译
从语法上来将,c和汇编的语法是相互不兼容的,所以想在源码上进行相互间的调用是不可能的事情, 所以只能退而求其次 使用obj文件, 把 c 的 obj文件给汇编去用,把 汇编的 obj 文件 给 c 去用。在c,c++中写汇编代码 ,在内联汇编中,宏汇编是无法使用的,但是部分伪指令是可以用的,而且只有 32位程序可以写,64位程序是无法内联汇编的。当我们想把某个函数注入到对方进程里面,这样就要求我们的代码是纯汇编的,因为一旦用到vs的代码,vs就会加一堆检查。查看 生成的obj 文件, 我们的 函数的名字。
2025-01-02 23:19:40
1092
原创 Win32汇编学习笔记01.环境配置
32位 扩充了 8 个通用寄存器 和2个 ip 一次 flag 寄存器 , 扩充成了32位,, 低16位仍然保留原来的名字, 高16位没有名字,要访问需要自己移位 , 段寄存器没有扩充且其功能发生了改变。32位汇编调试⼀般使⽤OD或者x64dbg,前者可以到看雪下载,后者可以到官⽹下载,两者建议都下。鼠标点击有时候高亮不准是因此你改动了代码,但是软件保存了上次的调试信息,删除即可。x32dbg 调32位 x64dbg 调 64位。movsx:高位补0,低位补1。解压密码: pediy.com。
2025-01-01 22:58:43
1219
原创 8086汇编(16位汇编)学习笔记10.寄存器总结
IP 它与代码段寄存器 CS联用,永远存储着即将执行的指令的地址,每执行完一条指令,CPU都会根据CS:IP找到下一条指令,同时IP被赋值为再下一条指令的地址。如果运算结果超过当前运算位数所能表示的范围,则称为溢出,OF的值被置为1,否则,OF的值被清为0。(1)如果TF=1,则CPU处于单步执行指令的工作方式,此时每执行完一条指令,就显示CPU内各个寄存器的当前值及CPU将要执行的下一条指令。8086有一个18位的标志寄存器FR,在FR中有意义的有9位,其中6位是状态位,3位是控制位。
2024-12-30 20:50:46
1419
原创 8086汇编(16位汇编)学习笔记09.宏汇编
宏汇编在文件中是当做关键字的,但是在bug中运行时并没有这些指令,这些关键词被称为伪指令,cpu并不认识他们,需要经过编译器转化成 cpu认识的代码,但是他多我们写代码帮助又很大表达式表达式中的求值是在程序链接时完成的,所以表达式中的各值必须是在汇编或链接期就能确定,也就是 说不能将寄存器或者变量运⽤于表达式。算术表达式逻辑运算符逻辑运算即位运算,逻辑运算符与对应的指令助记符单词是相同的,当它们出现在操作码部分时是指 令,出现在操作数时是逻辑运算符关系运算符。
2024-12-29 13:26:26
1314
原创 8086汇编(16位汇编)学习笔记08.函数
当我们调用函数时,函数如果使用了我们之前保存数据的寄存器,那么函数是用之后,我们保存的数据将会丢失,因此函数在使用寄存器之前,需要先保存寄存器数据,使用之后再恢复,但是调用者并不知道函数用到了哪些寄存器,因此这件事需要函数内部来实现,但是函数自己保存寄存器环境好之后有一个问题,就是参数取值问题,解决方法是 bp,sp分离,这样每次我们跳转前都需要 将返回地址入栈 , 再进行跳转, .函数返回时 需要先将地址出栈 ,再跳转.比较麻烦,因此汇编提供了相同功能的指令 call。
2024-12-28 18:02:02
931
原创 8086汇编(16位汇编)学习笔记06.串操作、流程转移指令
从表格中我们不难分析出来 EB 代表 jmp 指令 ,其机器码中并没有直接存储 目标地址的 ip信息 ,也不是直接存储偏移,而是地址偏移值 - 2 , 即 下一条指令 到 目标地址的偏移,那为什么不存储本条指令地址和目的地址的偏移,而要存下一条的呢,因为当一条指令执行完,IP地址就指向了下一条指令的ip地址,如果要储存自己和目标指令的偏移,需要先 - 2 ,把ip地址 改回当前自己的,再去算偏移,所以就直接存储 下条指令的 ip 地址 和目标地址的偏移。上面是考虑的是 从上往下跳,如果从下往上跳呢。
2024-12-27 21:14:39
1383
原创 8086汇编(16位汇编)学习笔记05.asm基础语法和串操作
每一个文件 以end作结尾,每个文件至少有一个段,程序的入口点用标号 ,标号名放在end后面.多个文件只能有一个标号放在end后面,一个段里面可以定义变量,可以写代码,但是一般我们会把,代码,数据,栈分开,放在不同段里面。
2024-12-26 22:03:47
1269
原创 8086汇编(16位汇编)学习笔记04.乘除和移位指令
SAL:把目的操作数的低位向高位移,空出的低位补0,移出来的最后一位 进 CF;SAR:把目的操作数的高位向低位移,空出的高位用最高位(符号位)填补,移出来的最后一位 进 CF。可用于有符号位除法(除 2 的 n次幂)
2024-12-25 22:25:03
1315
C语言写windows窗体
2012-09-30
Qt局域网聊天软件
2013-01-25
Com操作Excel 弹出被呼叫方拒绝呼叫
2016-04-29
TA创建的收藏夹 TA关注的收藏夹
TA关注的人