re
关注
分享
扫一扫
文章平均质量分 93
CodeStarr
Make good use of your time
展开
-
QilingLab练习
文章目录1. 简介安装2. QuickStart3. qltool4. QilingLab练习challenge 1 - memory map解challenge 2 - set_syscall解challenge 3 - add_fs_mapper解challenge 4 - hook_address解challenge 5 - set_api解challenge 6challenge 7 - 3种思路解1解2解3challenge 8逆向解1-读栈解2-搜索内存challenge 9challenge原创 2022-04-25 19:51:47 · 3307 阅读 · 3 评论 -
CSAPP-bomblab-writeup
文章目录phase 1phase 2phase 3phase 4phase 5phase 6文章已首发于看雪论坛Bomb这个程序是《深入理解计算机系统》的配套实验的一部分,一共6关。原地址:http://csapp.cs.cmu.edu/3e/labs.htmlhttp://csapp.cs.cmu.edu/3e/bomb.tar环境:Ubuntu 18.04IDA 远程调试phase 1第一关热身题,输入一段明文保存的字符串:.text:0000000000400EE4 mo原创 2022-03-26 12:40:39 · 1505 阅读 · 0 评论 -
010Editor逆向分析
010Editor 逆向分析文章目录1. 暴力破解分析1.1 API下断1.2 字符串2. check1算法分析第1个call第2个call第3个call修改第二个call3. 网络验证分析4. 小结用于测试的用户名为foobar,序列号为1112-2233-3444-5556-66771. 暴力破解分析思路:找到注册窗口测试注册窗口反应根据反应做出下一步分析(猜测api,敏感字符...原创 2019-11-15 09:43:37 · 1995 阅读 · 0 评论 -
熊猫烧香分析加专杀
熊猫烧香病毒分析文章目录熊猫烧香病毒分析0. 样本信息1. 提取样本进程启动项网络2. 行为分析执行监控文件监控注册表监控进程监控网络监控行为监控小结3. 详细分析3.0 初始化3.1 func_0-sub_4052503.2 func_1-sub_40819c3.2.0 判断ini文件是否存在3.2.1 拷贝自身到系统路径3.2.2 感染函数3.3 func_2-sub_40d18c3.3...原创 2019-12-18 16:43:56 · 2215 阅读 · 0 评论 -
SEH及逆向调试
SEH文章目录SEH1. 异常处理方法正常运行的异常处理调试运行的异常处理2. 常见异常EXCEPTION_ACCESS_VIOLATIONEXCEPTION_BREAKPOINTEXCEPTION_ILLEGAL_INSTRUCTIONEXCEPTION_INT_DIVIDE_BY_ZEROEXCEPTION_SINGLE_STEP3. SEH详细说明回调函数ExceptionRecordEs...原创 2019-10-10 20:48:25 · 3064 阅读 · 0 评论 -
windows-PEB&TEB
文章目录结构体BeingDebuggedLdr老版本成员Process Environment Block,另一个很重要的是TEB,都是高级调试的基础。MSDN文档给的资料很少,以后练习调试会慢慢补充。FS:[30] == TEB.ProcessEnvironmentBlock == address of PEB获取PEB地址:mov eax, dword ptr fs:[30h]或者...原创 2019-10-08 20:18:27 · 922 阅读 · 0 评论 -
脱壳八法
文章目录1. ESP定律2. 单步跟踪3. 两次断点4. 最后一次异常5. SFX6. 模拟跟踪7. 出口标志8. 秒到OEP第一个esp定律会写得详细一些。1. ESP定律有pushad,寄存器只改变esp,基本上就能用。硬件断点只要从这个地址开始就行,选多少个字节都行。注意观察大的跳转,ctrl+a或删除分析。用完后记着删除,不然可能影响后面分析。如果不知道是否重建输入表,那就两...原创 2019-10-03 16:22:40 · 518 阅读 · 0 评论 -
输入函数的高效和低效调用
文章目录源码OD调试func1func2原理源码//dll.h#pragma oncevoid func1();__declspec(dllimport) void func2();#include "dll.h"#pragma comment(lib,"../Debug/Dll.lib")int main(){ func1(); //输出"func1" fun...原创 2019-09-24 09:36:35 · 322 阅读 · 0 评论 -
逆向病毒要注意的函数
文章目录进程(注入,创建)AdjustTokenPrivileges()CreateRemoteThread()SetWindowsHookEx()CreateToolhelp32Snapshot()ShellExecute()关于动/静态分析CreateProcess()注册RegOpenKeyEx(), RegCreateKeyEx()文件FindFirstFile(), FindNextFi...转载 2019-09-24 20:25:09 · 399 阅读 · 0 评论 -
[fishc]-调试篇21-变形&多态NAG修改
文章目录0x00. 分析入口第1次解密第2次解密第3次解密第1次加密第2次加密退出整体流程0x01. 打补丁第1种方法第2种方法本文已发于鱼c论坛0x00. 分析入口00401288 > $ 6A 00 push 00040128A E8 db E80040128B EF db ...原创 2019-08-16 21:30:18 · 526 阅读 · 0 评论 -
《逆向工程》通过修改PE注入DLL
文章目录通过修改PE加载DLL修改导入表查看IDT空间是否足够移动IDT通过修改PE加载DLLTextView是一个文本查看工具,将文本文件拖入即可显示。代码如下,注意按照32位编译,否则PEView不能分析64位IDT。#include "windows.h"#include "stdio.h"LRESULT CALLBACK WndProc(HWND, UINT, WPARAM,...原创 2019-08-01 19:21:45 · 1060 阅读 · 0 评论 -
《逆向工程》dll注入基础
第三部分-dll注入-上文章目录第三部分-dll注入-上21. windows消息钩取21.2 消息钩子21.3 SetWindowsHookEx21.5.1 调试23. dll注入CreateRemoteThread()AppInit_DLLsSetWindowsHookEx24. dll卸载原理实现21. windows消息钩取偷看或操作信息的行为就是钩取(hooking),其中最基本的...原创 2019-08-01 19:20:44 · 928 阅读 · 0 评论 -
《逆向工程》之PE文件结构补充
PE文件格式文章目录PE文件格式13. PE文件格式13.4 RVA to RAW13.5 IAT13.6 EAT14-15. 运行时压缩压缩器保护器upx举例16. 基址重定位17. 从可执行文件中删除.reloc18. UPack PE文件头重叠文件头_IMAGE_FILE_HEADER.SizeOfOptionalHeader_IMAGE_OPTIONAL_HEADER64.NumberO...原创 2019-08-01 19:19:00 · 459 阅读 · 0 评论 -
《逆向工程》基础
文章目录1. RCE1.1 逆向分析法静态分析法动态分析法2. hello world2.1 设置大本营2.1 查找代码2.3 修改字符串2.4 ollydbg常用命令归纳3. 小端序标记法3.1 字节序4. IA-32寄存器基本程序运行寄存器5. 栈7. 栈帧8. abex'crackme#210. 函数调用约定1. RCERE在软件领域的应用j叫做代码逆向工程(Reverse Code E...原创 2019-08-01 19:13:20 · 387 阅读 · 0 评论