bailing1370-优快云博客

转载【逆向】RSA编码解码基础

【逆向】RSA编码解码基础转载于:https://www.cnblogs.com/SunsetR/p/11478337.html

2019-09-06 21:23:00 456

转载【逆向】Delphi程序逆向之熊猫烧香病毒分析

1、前言本文主要用于记录Delphi程序逆向的一些方法和技巧，以及熊猫烧香病毒的分析过程。2、分析技巧2.1 使用IDR或DEDE加载Delphi程序，导出Map文件，将Map文件导入OD。2.2 IDA加载Delphi程序后，根据实际情况修改编译器选项，ASCII字符串风格，增加代码可读性。2.3 IDA添加Delphi程序签名文件，识别常用系统函数调用。2.4...

2019-08-15 15:44:00 1516

转载【逆向】AES编码解码基础

预留转载于:https://www.cnblogs.com/SunsetR/p/11333738.html

2019-08-11 02:17:00 658

转载【逆向】Base64编码解码基础

序言：1、Base64将一段二进制数据转换成由64个字符组成的字符集合。2、在使用Base64编码后，数据长度会比原始数据长。3、Base64按每3个字节的方式进行编码，不足3字节时用0填充，直到其位数能够被6整除。4、Base64编码后的字符数是4的倍数，不足时使用指定字符(通常是“=”)进行填充。关于Base64起源等其它信息，请自行百度，本文主要讲述Base4编...

2019-08-02 21:14:00 1020

转载【逆向】PDF CVE-2008-2992 ShellCode分析

上一篇文章里提取的shellcode样本，简单分析下吧，主要是对shellcode分析方法步骤做一个简单记录。之前文章链接：https://www.cnblogs.com/SunsetR/p/11270981.html分析方法：使用IDA和OD配合分析，IDA可以查看主体流程，标注识别一定代码后可以使用Graph view视图进行查看。去除花指令等反反汇编代码后可以F5查看伪...

2019-07-31 18:05:00 400

转载【逆向】PDF CVE-2008-2992 ShellCode提取

本文主要内容为记录从PDF文件中提取漏洞利用shellcode过程。分析工具：1、可以使用010Editor的PDF模板进行分析。2、也可以使用PDFStreamDumper进行分析。3、使用PDFStreamDumper加载PDF文件后，使用“Exploit Scan”菜单检查漏洞利用。结果显示Obj对象9中存在CVE-2008-2992漏洞利用代码，该漏洞为Adobe...

2019-07-30 16:38:00 697

转载【逆向】ShellCode分析基础

1、shellcode经常与漏洞利用一起使用，或者被病毒等恶意代码用于进程注入。所以它们总是在一个程序中被植入运行。2、shellcode是一段与位置无关的代码。因为它在内存中的位置是随机不可控的，所以在编写shellcode时应该避开对内存地址进行硬编码。3、shellcode中包含数据和代码。所以在以位置无关的方式访问数据时，需要有一个基础地址(基址)加上或减去偏移的方式来访问。sh...

2019-07-25 16:09:00 761

转载【CTF】看雪CTF第一题流浪者

下载题目，从图标初步判断是一个MFC程序，其它也没什么好看的，直接拖入虚拟机双击运行看下显示效果。双击后程序显示一个输入框，提示输入passwod，并验证。首先什么都不输入，直接验证，程序弹窗输出提示字符串：“请输入pass！”。而随意输入pass，则弹窗输出提示字符串：“错了！加油！”，并且程序退出。从以上信息我们猜测：1、如果pass正确，程序应该会和失败时...

2019-07-24 18:42:00 635

转载【PE文件】导出表

1、数据目录表第一个成员指向导出表IMAGE_DATA_DIRECTORY[1] -> IMAGE_DIRECTORY_ENTRY_EXPORT。 1 struct _IMAGE_EXPORT_DIRECTORY 2 { 3 0x00 DWORD Characteristics; 4 0x04 DWORD TimeDateStamp; 5...

2019-07-23 20:03:00 252

转载【PE文件】导入表

1、数据目录表第二个成员指向导入表IMAGE_DATA_DIRECTORY[1] ->IMAGE_DIRECTORY_ENTRY_IMPORT。2、导入表以一个IMAGE_IMPORT_DESCRIPTOR（IID）数组开始。并且一个DLL文件对应一个IID结构，最后以一个全0的IID结构作为结尾。有多少个IID就有多少个DLL被导入。 1 struct _IMAG...

2019-07-16 01:11:00 281

bailing1370的博客