深耕安全技术研究

链接: 安全合规

文章目录1.技术背景2.效果展示3.代码实现4. 知识清单PE结构概述PEB结构概述调用系统未导出函数方法5. 关键函数及结构解析1.ReadProcessMemory函数2. _LIST_ENTRY结构3. _PEB_LDR_DATAS结构4. _LDR_MODULE 结构1.技术背景在病毒查杀，应用安全对抗，静态逆向应用，动态逆向应用，最重要的对象就是，应用程序的内存数据。病毒查杀对抗：需要获取查杀对象的内存数据进行和病毒库的特征做比对。应用安全对抗：需要保护自身的内存数据不被转存。静态逆向

链接: 内存获取.

分析木马，病毒，主要是要分析出该exe的流程，一般通过网上找资料，IDA逆向，主要通过分析出进程中的网址、收信息的地址。验证下文件或exe是否是pe结构。 分析盗号木马或者病毒，一般可以通过木马或病毒的接收服务器已经本地保存的进行入手分析整个的流程。盗号的一般都是用LSP注入方式（注册表注入）。 远控木马和最近非常流行的白加黑远控木马存在较大的差异，最近发现的白加黑远控最大的特点就是利用了系统文件rundll32.exe文件外加一个黑的dll文件，在传播方面至少需要三个文件，分别是rundll32.ex

文章目录1.技术应用背景2.效果展示3.功能代码实现4.知识背景清单5.WMI相关概念6.WMI架构解析1.技术应用背景目前已知在杀毒厂商以及游戏厂商的安全对抗过程中，常常需要准确的监控收集并进行检测用户创建打开的EXE应用程序是否是安全的。同时也可以将此技术应用于其他应用的安全对抗方案中。那么如何去准确的监控和收集用户每次点击打开的EXE应用程序信息呢？接下来我就进行还原实现下如何准确的监控并收集用户每次点击打开EXE应用程序技术。2.效果展示下图展示的是开启监控程序，这是进行监控电脑上包括系统自

链接: [监控方案]https://mp.weixin.qq.com/s?__biz=MzUxODkyODE0Mg==&mid=2247484190&idx=1&sn=3bcd6f613a2a16d058b40d73f33d5ffc&chksm=f980217fcef7a869ebcb150571bde3262dbfb4318261b72dde531423364ab7d151f8d1b40292&mpshare=1&scene=1&srcid=0226

以下代码基于inotify进行内存监控实现JNIEXPORT jboolean JNICALL Java_com_TeSo_testinotify (JNIEnv *, jobject){ LOGD("start work==============="); int ret, len, i; int pid = getpid(); const int MAXLEN = 2048; char buf[1024]; char readbuf[MAXLEN] =

文章目录1.目录结构2.生成的四个文件扩展名3. 基本规则4.常见前缀1.目录结构cfg(配置文件)idc(包含IDA内置脚本语言IDC所需的核心文件)ids(目录包含一些符号文件【IDA语法中的IDS文件】，这些文件用于描述可被加载到IDA的二进制文件引用的共享库的内容，包括 函数所需参数的数量，信息和返回类型。)loaders(目录用于识别和解析PE或ELF等已知文件格式的IDA扩展)plugins(目录包含IDA所需的插件)procs(目录包含IDA版本所支持的处理器模块，处理器模块为

链接: 逆向分析某手游的反外挂检测

游戏外挂样本逆向详细步骤.

移动的游戏能够稳定健康的上线。主要需要依赖以下在四个方面：第一是前端展示，或者说客户端正常运行。性能稳定不崩溃，不过热能够稳定运行。第二是后端，或者游戏后台服务端的。不但要稳定。还有能在有限的服务器资源下，能承受大量的同时在线用户。而且要让游戏中的每个模块都能够承受承受大量的同时在线用户。第三是安全也是重点之中。这既包括客户端，又包括服务端。客户端的安全，包括要防被破解，要防外挂，防协议被解析，防客户端本地数据的泄密。服务端的安全，主要包括防渗透，防中间人攻击，防加速齿轮，防DDOS分布式拒绝访问攻

分析外挂需要考虑是否修改了代码，数据，是否有模块注入。可以用pchunter中dump外挂运行前后的代码段来判断。如果发现外挂有驱动文件，那么就把驱动文件dump出来，用ida静态分析下，如果发现有大量的读写操作。驱动文件肯定会和应用层进行通信，我们可以hook DeviceIOControl来打印通信的数据。 外挂无注入模块，猜测通过跨进程读写内存，修改代码或模拟协议实现。使用netpeeker网络抓包工具,观察外挂网络收发包情况，发现并没有大量发包过程，猜测可能通过跨进程读写实现或修改代码实现。...

从分布式系统设计来进行设计排队系统。它有以下特点：1、它具有一致性（Consistency）和事务完整性（Tansactions）要求不高。目的只是控制流量，所以如果一定程度的数据不一致的最糟结果只是进入顺序不一致，或者多进入10%的用户，都是可以容忍的。2、延迟（Latency）尽量低。虽然不追求毫秒级的响应，但是系统处理的速度越快，对系统的压力也就越小。所以还是尽量低。3、流通量（Throughput）要求非常高。要能承受巨大请求压力。4、它对于数据丢失（Data Loss）可容忍。排队的数据

1.当我们的主机实例和数据库实例分别部署在同城的两个可用区时候，虽然两个可用区之间的延迟相对比较小，但它仍然存在一定的影响。2.如果刚好游戏业务的数据库操作大部分是使用单线程链接的情况（通常是出于保障事务一致性的考虑），那么各个数据库事物操作都只能顺序发生。3.如果每个的操作都出现了一点点网络延时，那么就会出现了瓶颈。就会导致的结果数据库QPS和TPS远远低于压测的数据。最终导致游戏数据出现问题。3.在开发游戏过程中，对大部分游戏的后端架构来说，没有主备切换机制的多可用区部署是没有意义的。4.游戏业

更多安全技术文章，请关注“游戏安全攻防”公众号，一起学习，一起进步。直接上源码，直接看吧。private static int l(Context context) {int i = 0;PackageManager packageManager = context.getPackageManager();try {packageManager.getInstallerPackageName(“de.robv.android.xposed.installer”);i = 1;} catch

更多安全技术文章,请关注“游戏安全攻防”，一起学习，一起进步。常用的汇编指令有：add sub mov cmp ret nop push pop call jmp je或jz jne或jnz jb ja jg jge jladd为加法 例：add a,b // 把a值加b值然后储存到a里面sub为减法 例：sub a,b // 把a值减b值然后储存到a里面mov为传递值 例：mov a,b // 把b值送给a值，使a=bcmp为比较 例：cmp a,b // 比较a与bret为返回 例：

数据库SQL语句的安全方案1.必须禁用字符串操作的方式来组合执行SQL语句。而使用预编译语句 Prepared statements 来生成 并执行SQL 的请求。2.服务端代码中使用字符串拼接的方式来生成SQL语句进行UPDATE，INSERT是很常见的。我们通常会用 escape_string 的方式进行转义来防止SQL注入。这种方式来操作数据库的风险很高。除了SQL注入漏洞的风险之外。在实际项目中它还会出现一些更难以预防的风险，内存错误等问题。根据谷歌曾经披露的数据，繁忙的业务集群中，每8G

客户端版本号也能让游戏客户端变得不安全。移动端的游戏通常都会根据客户端版本号决定是否要提示客户端升级或下载新的资源。开发通常都会使用 1.1, 1.3, 1.6 这样的版本号。连入网络后和最新客户端版本号进行比较，决定是否升级。进行版本比较的代码，使用了字符串比较。我们都应该知道对于字符串来说： "1.2" 是大于 "1.1"， "2.0" 是大于 "1.9" 。而且支持含有多个小数点的版本号，例如 "1.1.0" 是大于 "1.0.9" 的。一行代码，看上去很简单不会有什么问题。在实际

在NDK中实现代码如下，可以直接拷贝就可以用。原理：先用fork()把自身的进程先给附加了，其他进程就附加了，这样就能实现反调试。JNIEXPORT jboolean JNICALL Java_com_protectSelfPid(JNIEnv *, jobject){ pid_t child; child = F(); long orig_eax; if(0 == child) { ptrace(PTRACE_TRACEME, 0, N......