isinstance的博客

Lab 8问题

Lab 7-3问题1.这个程序如何完成持久化驻留，来确保在计算机被重启后它能继续运行？解答： 我们还是先开始按静态分析来开始我们的分析（这里同时要分析.dll和.exe）我们会发现这里有一个CreateFileA和CopyFileA这两个函数，说明会创建一个文件和复制一个文件，这个创建文件可能会是什么日志之类的，复制文件可能是把病毒复制到某个地方然后是FindFirstFileA和FindNextF

0×1 Exploit Tutorial: XSS翻译风格遵循0x0 本漏洞教程将简要介绍跨站脚本漏洞（XSS），以及如何利用它来控制受害者的浏览器。 XSS是一个非常常见的Web应用程序漏洞，许多人将其视为低风险，因为他们不了解可能的情况。 如果你想下载一个快速的ISO来玩XSS，请查看一些伟大的工程推出的pentesterlab.com。 XSS缺陷通常发生，因为输出没有被正确编码

说明一、在下面这样的框框里面的是原文翻译后的语句 本博客将介绍一些开发研究和开发的基本概念。 我们将通过使用Freefloat FTP服务器的基本缓冲区溢出示例二、其他像如下的正文格式的是本中文优快云博主的一些补充说明和注释于是我们肯定要先部署一个Freefloat FTP三、这里会同时提供原文中的下载连接和本文博客下载以后上传百度云的连接（防止原作者跑路）四、所有0x系列的翻译文章遵循

Lab 5-1问题1.DllMain的地址是什么？解答： 这个我们用IDA Pro打开来查找，因为最新的IDA Pro不支持我们运行病毒那个虚拟机的版本（xp pro 32），所以下面的分析都是在win7上的打开IDA Pro之后就会提示你是否打开一个叫proximity browser的东西，然后打开这个东西就可以看到DllMain的位置如果没有跳出来，这里可以点开这个窗口然后右键选择Text v

Lab 7-2问题1.这个程序如何完成持久化驻留？解答： 我们可以先从静态分析开始，然后这里估计会用一下动态分析看看 我们会发现这个导入库OLE32.DLL，然后导入了CoCreateInstance, OleInitialize, OleUninitialize这三个函数，这三个函数不是很常见的样子，但是导入了肯定有他的作用，我们查查看第一个函数CoCreateInstance这个函数是这样的看

Lab 6-4问题1.在实验6-3和6-4的main函数中的调用之间的关系的区别是什么？解答： 和以前一样，先按照书中的步骤走一遍先是静态分析导入的函数都和Lab 6-3一样字符串的话也基本差不多，都和上一个程序一样，除了这点之外然后这里会出现一个格式输出符%d这是上一个程序里没有的然后会发现这个代码的结构和上三个都不一样我们从开始，这里和原来一样，调用sub_401000，sub_401000返回

Lab 4本身Lab 4是没有习题然后本身在大学就学过两个学期两门课的汇编（第一门好像是和数电更接近一点，另一门就是汇编语言）然后这章，如果大学学的不是信息安全，或者连计算机都不是的同学， 我还是建议大家买本有关汇编的书看看，这样后面的分析可能会更有用一点然后我们这次来讲讲汇编的各种跳转指令（这是我写到Lab 7-2的时候觉得还有是必要写一下，因为中文搜索引擎是找不到特别详细的介绍的，只有一些肤浅的

Lab 6-3问题1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么？解答： 我们也是先跟着书走一遍先静态分析（基本都是静态分析）可以清楚的看到，这个函数有创建文件夹（目录）的能力，还有删除一个文件，复制一个文件的能力和Lab 6-2一样，也有打开一个URL的并从里面读取文件的能力然后我还会发先，这个函数有打开一个注册表和设置值的能力然后我们查看一下字符串有那些

Lab 6-2问题1.main函数调用的第一个子过程执行了什么操作？解答： 也是一样的，先按照书中的步骤走一遍先是静态分析一下导入的有文件操作的相关函数，和Sleep这个函数然后我们再看下一个导入的DLL会发现这里导入了这些东西，InternetOpenA、InternetOpenUrlA、InternetReadFile这三个函数比较有趣，估计是会打开一个网络里面的URL然后在读取一些东西下来本地

先声明一点，本文作者不是搜狗的然后 只是从技术的角度探讨问题前提背景最近我用搜狗的搜索的时候，就发现搜索结果会跳转到百度搜索，但是没注意，但是最近这个频率越来越高了之后，开始关注这个事，本人的这些分析只是抛砖引玉，欢迎更多的大神来加入分析我们先看一段视频，这是我差不多一两个月之前录的，然后这个因为还原比较难（随机的因素），毕竟<黑产帝>也不是吃素的，所以我就录了一段屏，录了好几次，只有那么一

Lab 7-1问题1.当计算机重启之后，这个程序如何保证它继续运行（达到持久化驻留）解答： 我们还是按照书上的步骤走一遍看看先是静态分析我们会发现这里有一个CreateMuteA和CreateThread的函数，会操作一个互斥量和一个线程还有这些好玩的函数，比如SetWaitableTimer，这是由于设置一个定时的函数，可以在时间到来的时候发出一个信号来激活一个线程然后就是Sleep，这个说明这个

Lab 9-1问题1.如何让这个恶意代码安装自身？解答： 这个既然开始了动态调试的部分，我们就只用OD来进行操作了，因为这个版本的恶意代码都是针对XP的，所以我打算是把OD装到XP那台运行代码的机器上这里我们还是跟这书上的步骤走走，先摸清摸清一下套路我们先打开OllyDbg，我这个是从官网下载的，原版的1.x的东西，然后大概是这样这里稍微说一下这个OllyDbg调整字体的方式如果你用是吾爱破解版的话

前言这是某位前辈的软件，因为加密狗丢了，所以没法用，叫我帮他破解一下看看，我也不确定破解能成功与否，然后这里记录一下过程刚刚试了一下大概的破解，都不行，这个程序会在运行的时候，先和加密狗通信，确定加密狗存在之后，才会继续运行程序，现在我们就试试，就当练练手1.软件截图当我们运行这个软件的时候，如果没有加密狗，会崩出这个东西然后用IDA打开看看这里很奇怪因为一般IDA打开之后，会提示你要不要看那个关系

本文是一篇散文今天我们就来说一下KVM的安全配置KVM的安全实现有很多类型比如用SSH来连接KVM管理器但是SSH这个方法有个不好的地方就是没法对我们的VNC加密或者就是我们这里的TLS配置既然涉及到了TLS肯定离不开证书我们就先从证书开始一. CA证书生成我们这里的KVM是运行在内网中的CentOS7上的，如果是公网注意这里配置文件会有些许的不同如果其...

问题分析恶意代码Lab11-03.exe和Lab11-03.dll确保这两个文件在分析时位于同一个目录下1. 使用基础静态分析过程，你可以发现什么有趣的线索？解答：我们还是按照书上的步骤走一遍我们想做基本的静态分析我们查看Lab11-03.exe的导入函数，这里我们会看到，从KERNEL32.DLL中导入了这些函数，其中几个被标黄的比较有趣，比如这个Compar...

问题题目提示是：假设一个名为Lab11-02.ini的可疑文件与这个恶意代码一同被发现我们这次把分析过程放在上面我们还是一样的先做一些静态的分析这里有一个我们以前没见过的函数叫CreateToolhelp32Snapshot这个函数在MSDN里面的定义是这样的 获取指定进程的快照, 以及这些进程使用的堆、模块和线程书中对这个导入函数的解释是 搜...

问题1.这个恶意代码向磁盘释放了什么？解答： 我们刚刚完成了Windows内核病毒的分析，包括了一些过时的RootKit技术的分析，现在我们回归二进制分析这里要分析的文件是Lab11-1这个文件，我们先做一些基本的静态分析我们先看KERNEL32.DLL这个导出DLL我们可以看到这里有个我们需要注意的CreateFileA导出函数，还有下面那个ExitProcess函数...

问题1.这个程序做了些什么？解答：书上说本次实验包括一个驱动程序和一个可执行文件，还要把驱动程序放到C:\Windows\System32目录下面，我们试试把文件放到那个目录之后，点击执行就会跳出这个IE，然后不断的跳IE出来，到我打完这段话，已经跳了这么多的窗口出来了然后我们开始分析，先是安装书上的开始静态分析我们先分析的是exe文件在KERNEL32.DLL...

Lab 10-1问题1.这个程序创建文件了吗？它创建了什么文件？解答： 我们依旧先从静态分析开始，这里我们在第一个导入DLL里面注意到的有趣的函数是这个WriteFile，说明这个代码会改变这个文件然后我们看第二个导入DLL的函数有哪些这里有几个我们已经见过好几次的函数，OpenSCManagerA是用来打开服务管理器的函数，StartServiceA是用来启动...

Lab 10-1一些准备工作首先就是配置内核调试的环境我这里用的是VirtualBox而不是书上的VMware所以这里可能会有一些的不同书上说的是这样的 与用户态调试不同，内核调试需要一些初始化配置。首先需要配置虚拟操作系统并开启内核调试，然后配置VMware使虚拟机和宿主操作系统之间有一条虚拟化的串口，同时还应该配置宿主操作系统中的WinDbg我们按照书上的...

这个本身我已经安装好了，然后这里有现成的环境ova格式，直接用虚拟机打开然后设置网卡为桥接模式就行了密码：e6k7原文地址: http://blog.youkuaiyun.com/isinstance/article/details/54090936方法呢还是记录一下：1.肯定是安装虚拟机嘛这个就不多说了，安装一个centos7最小模式就行然后配置sshyum install...

笔者写文章这个时候，也就是2016年10月1日的最新Kali系统版本，依然装VB增强功能的时候，依旧报错解决方法也很简单吧，但是也是挺折腾的转载记得注明出处http://blog.youkuaiyun.com/isinstance/article/details/52718237首先我们先更新一下Kali的源vim /etc/apt/sources.list增加一下内容deb ...

Lab 9-3问题1.Lab09-03.exe导入了哪些DLL？解答： 我们还是跟着书上的步骤开始，先看看Lab09-03.exe导入了哪些DLL这里我们可以看出，导入了KERNEL32.DLL、NETAPT32.DLL、DLL1.DLLL和DLL2.dll这四个DLL ，然后我们去IDA里面看看我们跟随书中做法，找到LoadLibrary调用并检查反正我是

官话套话不想讲，介绍也不想打，都知道pyspark和KDD-99是啥吧？ 不知道的话．．．点这里1 或者这里2转载记得注明出处 http://blog.youkuaiyun.com/isinstance/article/details/51329766Spark本身是用Scala语言编写的，而Scala语言呢又是Java的变形状态，虽说spark也支持Python，但是还是没有Scala支持的好...

Lab 9-2问题1.在二进制文件中，你看到的静态字符串是什么？解答： 我们先查看一下静态字符串的在IDA中，这里用IDA来查看比较方便点这里显示了在二进制文件中的静态字符串2.当你运行这个二进制文件时，会发生什么?解答： 运行我就不运行了，书上说了运行之后立刻就退出了，所以还要重置虚拟机，懒得做了，运行会发生的就是立刻退出了这个函数下面开始二进

问题1.当你使用Process Explorer工具进行监视的时候，你注意到了什么？解答： 这种没有明确目的的题目，我们先开始运行很多次之后会发现，Lab03-03.exe会启动svchost.exe，每点一次启动一个 svchost.exe然后仔细观察（把系统cpu和内存调小点，这样运行起来就会慢一点）会发现Lab03-03.exe创建了一个svchost.exe然后Lab03-03.exe退出

Lab 1-2问题1.将Lab01-02.exe文件上传至http://www.virustotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗？解答： 这个传就行了。2.是否有这个文件被加壳或混淆的任何迹象？如果是这样，这些迹象是什么？如果改文件被加壳，请进行脱壳，如果可能的话。解答： 因为这个我是看过一遍书才来看这些题目的，所以，可能刚开始看这本书的同学会有些不理解，没事，慢

本此实践的WebGoat版本如下所示Phishing with XSSLesson Plan Title: Phishing with XSS（网络钓鱼与 XSS）这个看题目就知道要我们做什么了，主要就算通过XSS来让受害者输入自己的邮箱和密码来达到钓鱼的结果It is always a good practice to validate all input on the server side.

这篇文章不是百度上你抄我，我抄你的软文百度上的各种做法都是用代理像brupsuite和webscrab来改包，但是这个题目改了之后是传成功了，但是没法显示Congratulation我的做法就是下面这样定位confirm按钮触发的操作发现，confirm最后是调用了一个processData()的函数来处理，然后我们查找这个函数<input onclick="processData();" id="

这里有个视频是讲过程的，但是都是英文。。。 part1pwnable第一题的题目是这样的Mommy! what is a file descriptor in Linux?* try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link: https://www.youtu

我是先从openvas-libraries-9.0.0这个包开始的安装顺序呢是根据那个Openvas官网上那个列表的顺序的，其实从哪个开始都无所谓，但是包太多，为了知道哪个包没有装，我决定还是安装官网上的那个源码包从上到下的安装。首先我们看一下他的INSTALL文件截取的一段General build environment:* a C compiler (e.g. gcc)* bison*

前言：因为笔者有两个开发环境，一个是Ubuntu16.04的虚拟机，一个是Linux Mint 18的物理机，然后Mint的好弄，基本就是按照教程来就行了，就是这个Ubuntu的有点逻辑问题，什么问题，下面说第一步肯定是生成id_rsa.pub啦Github官方的做法是这样的ssh-keygen -t rsa -b 4096 -C "you_email@mail.com"但是如果你这样在Ubuntu

usermap_script：CVE-2007-2447Samba用户名映射脚本命令执行这个模块利用漏洞执行命令，在Samba版本3.0.20到3.0.25rc3当使用非默认用户名映射脚本配置选项。 通过指定一个用户名包含shell元字符,攻击者可以执行任意命令。 不需要身份验证来利用此漏洞，因为此选项用于在身份验证之前映射用户名！模块的位置 exploit/multi/samba/userm

libcurl库在C语言中使用主要就是一个一个从远端取下数据然后通过curl的库来将数据保存在本地上，然后通过分割处理和cJSON读取其中json数据达到显示数据的作用Github传送门

原文链接 原文Burp Suite是Web应用程序测试的最佳工具之一，其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。本文将做一个Burp Suite完全正的演练，主要讨论它的以下特点.1.代理–Burp Suite带有一个代理,通过默认端口8080上运行，使用这个代理，我们可以截获并修改从客户端到web应用程序的数据包

最近有个项目需要加密数据，然后密码学中的定律就是：硬件加密快于软件加密编译加密快于脚本加密所以基于硬件不可能，脚本又太慢的情况下，我们就开始用C语言写Python的模块扩展写的方法网上有很多，我就不一一赘述了主要想实现的功能就是通过Python向模块中传入一个字符串和一个密钥然后解密的时候再根据密钥解密，我采用的AES是256bit的密钥。。。也是最大密钥长度初始密钥长32bit,每次加密的明

debian安装配置snort

因为笔者是Debian系的用户，所有红帽系的东西没研究转载注明出处 http://blog.youkuaiyun.com/isinstance/article/details/52830169这也是在外网Google发现的方法，加上我使用的一些经验，翻译和加上一些自己的心得而成的在Github上有个项目，就是给其他linux系统的用户安装Kali上的工具的所以第一步：我们先将这个仓库clone下来sudo

Lab 1-1问题1.将文件上传至http://www.virustotal.com/ 进行分析并查看报告。文件匹配到了已有的反病毒的特征吗？解答：这个上传就行了，不过就是要注意www.virustotal.com已经被墙了2.这些文件是什么编译的？解答： 根据本书结尾附录的方法是 使用PEview来打开文件。对于每个文件，我们可以浏览 IMAGE_NT_HEADERS > IMAGE_