安全
关注
分享
扫一扫
文章平均质量分 71
dmbjzhh
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
搜索引擎语法
搜索引擎语法使用搜索引擎搜索的时候,可以使用特定的语法来筛选搜索结果,达到精准搜索的目的。1. + (加号)搜索结果要求包含两个及两个以上关键字。【用法】:关键词【示例】:疑犯追踪+资源【说明】:相当于空格和AND2. - (减号)排除特定关键词。【用法】:关键词 空格 - 关键词【示例】:考研 -推广 -推广链接【注意】:百度有些关键词用减号没用3. " "(双引号)完全搜索匹配,搜索结果必须包括双引号中出现的所有词,连顺序也要保持一致,可用来搜索完整句子。【用法】:“关键词”原创 2021-01-24 17:03:20 · 4804 阅读 · 0 评论 -
07 - 运行pyrebox mw_monitor的api tracer的步骤
在pyrebox.conf中有一个mw_monitor.mw_monitor: False的参数,将其设为True将mw_monitor/config_examples中的两个配置文件复制到pyrebox.conf所在的文件夹下将生成的500MB的数据库文件deviare32_populated.sqlite替换掉原有的50MB的mw_monitor/third_party/dev...原创 2018-10-24 11:38:31 · 432 阅读 · 0 评论 -
06 - pyrebox的所有API
Pyrebox APIclass api.BP(addr, pgd, size=0, typ=0, func=None)用于创建执行类断点,内存读取类断点和内存写入类断点的类__init__(addr, pgd, size=0, typ=0, func=None) 断点类的构造器参数:addr(int):我们想要设置断点的(起始)地址pgd(int):我们想要设置断点的PGD或...原创 2018-09-05 21:16:44 · 531 阅读 · 0 评论 -
02 - pyrebox shell
Shell 环境基础 有两种不同的shell环境,一个是QEMU,另一个是pyrebox的shell。 启动虚拟机后,先启动的就是QEMU,然后键入sh进入shell环境。shell环境中列出所有命令的命令是:%list_commands 列出所有pyrebox的命令,包括用户自定义在动态加载的脚本里的命令 %list_vol_commands 列出所有volat...原创 2018-09-02 16:42:44 · 347 阅读 · 0 评论 -
01 - pyrebox基础信息
What:pyrebox是一个python可编程的逆向工程沙箱 Why:为什么使用pyrebox使用简单,提供了一套命令来检查或者修改正在运行的虚拟机的状态 使用QEMU支持多系统,集成了volatility 用pyrebox调试系统(或特定进程)相当隐蔽,和传统的调试器完全不一样。传统调试器会存在在被调试的系统中,升职修改调试进程的内存来插入断点;而pyrebox完全留...原创 2018-09-02 16:41:50 · 415 阅读 · 0 评论 -
05 - 恶意软件监视器
恶意软件监视器是一组pyrebox脚本,用于在分析恶意软件的时候自动提取有用的信息。另外,它通过分析恶意软件样本如何部署它的主要操作(即,解包、进程注入、进程挖空、丢弃文件、下载文件等)来帮助分析人员分析恶意软件的第一阶段。而且,它还会收集各种类型的信息来丰富IDB数据库,这些类型的信息可以导入到IDA中。它由几个模块组成,可以通过编辑一个json文件来停用、激活和配置这些模块。每个模...原创 2018-09-04 11:02:38 · 649 阅读 · 1 评论 -
04 - pyrebox Guest Agent
agent的用途是虚拟机和主机之间传输文件和执行文件和虚拟机之间的通信是通过无效的操作码(invalid opcodes)Windows 可以在guest/win文件夹下找到windows的Guest Agent 编译Guest Agent 可能需要安装mingw-w64包,比如在Ubuntu或Debian上:apt-get install gcc-mingw-...原创 2018-09-04 11:01:54 · 718 阅读 · 0 评论 -
03 - pyrebox中编写脚本
官方示例在scripts文件夹下,示例的说明已经很详细了pyrebox脚本功能:给pyrebox环境定义新的命令 定义回调函数(会在每个受监视进程的不同事件发生时调用的函数) 给回调函数增加触发器 使用pyrebox提供的python API允许: 查询进程、模块 查询symbols(API名字解析) 读取和操作寄存器和内存 启动shell 利用volatility...原创 2018-09-04 11:00:39 · 420 阅读 · 0 评论 -
00 - pyrebox安装和使用
测试pyrebox能否完整支持volatility的功能PyREBox是一个Python可脚本化逆向工程沙箱。它基于QEMU,其目标是通过从不同角度提供动态分析和调试功能,从而协助逆向工程。PyREBox允许用python创建简单的脚本来自动化任何类型的分析,从而检查正在运行中的QEMU VM,修改其内存或寄存器,并指示其执行。QEMU (作为一个完整的系统仿真器工作时) 模拟完整的系统 ...原创 2018-07-23 10:26:20 · 1271 阅读 · 2 评论 -
VMI原理
VMI原理初始化VMI_init() block_end_cb()回调函数,探测OShandle_funds_c()中调用每个OS的find函数,找到可能的操作系统find方法中调用probe_windows()get_kpcr(),得到KPCR地址从虚拟地址0x80000000开始扫描,因为KPCR结构在系统空间当前扫描地址偏移0x1c处的值就是当前的扫描地址当前扫描地址偏移0x020和0x1...原创 2018-06-14 09:51:17 · 1664 阅读 · 0 评论 -
Volatility中Windows有关的插件功能说明
Windows Core镜像识别插件:imageinfo:显示目标镜像的摘要信息kdbgscan:kernel debugger block,KDBG是由Windows内核维护的用于调试目的的结构。它包含正在运行的进程和加载的内核模块的列表。它还包含一些版本信息,可让您确定内存转储是否来自Windows XP系统与Windows 7,安装了哪个Service Pack以及内存模型(32位与64位)...原创 2018-03-02 17:17:27 · 6555 阅读 · 1 评论