kinghzking的专栏

[ScyllaHide] 文章列表-优快云：00 简单介绍和使用01 项目概览02 InjectorCLI源码分析03 PEB相关反调试04 ScyllaHide配置报错原因定位05 ScyllaHide的Hook原理ScyllaHide简介和使用2019-1-26， by khzScyllaHide是最近才半年开始用的，当时想写一个反调试的功能，经过一番搜索，发现这款开源神器，不敢独享，特将之分享出来，真的很好用。这篇文章准备从ScyllaHide的使用开始介绍，之后通过一些反调

通过 runas 命令实现多用户权限测试的完整流程

自主访问控制列表（DACL），是安全描述符中最重要的，它里面包含零个或多个访问控制项（ACE，Access Control Entry），每个访问控制项的内容描述了允许或拒绝特定账户对这个对象执行特定操作。也叫主令牌，是由windows内核创建并分配给进程的默认访问令牌，每一个进程有一个主令牌，它描述了与当前进程相关的用户帐户的安全上下文。与安全对象关联的安全信息。：系统访问控制列表（SACL）， 主要是用于系统审计的，它的内容指定了当特定账户对这个对象执行特定操作时，记录到系统日志中。

Rundll32是Windows操作系统中非常有用的一个工具，它可以用来加载DLL文件中的函数，还可以用来修复Windows系统中的一些问题。Windows操作系统是全球最流行的操作系统之一，但是在使用过程中，用户可能会遇到各种各样的问题，例如程序无法正常启动、系统崩溃等等。其中，[dll文件名]是需要加载的DLL文件的文件名，[函数名]是需要调用的函数的名称， [Arguments]是参数，一个字符串。然后执行命令，会增加一个名字为inetsvr的服务。需要注意的是，不同系统中命令的运行结果是不一样的。

查资料，发现：如果函数声明增加了__declspec(dllimport) ，链接的时候函数名会加上__imp_前缀，所以如果链接静态库， 函数的声明不用增加__declspec(dllimport)。（web::websockets::client::details::websocket_client_task_impl::close_pending_tasks_with_error）的错误。想来想去只能是编译的类型不一样，通过BCompare工具，比较两个函数名，可以看出，需要的函数带。

调试是编程中常见的定位手段，打印合适的调试信息能帮助我们快速定位问题，大多数程序都会有很多调试日志代码，Qt中使用qDebug进行日志调试，通过qInstallMsgHandler和qInstallMessageHandler进行调试信息定制，我们也将根据这两个函数将程序中未显示的调试信息显示出来。其它程序可以根据hook指定的函数实现调试信息的显示。由于我使用的MingW的工程写的Demo，我们这里也使用MingW的编译器创建工程mydll，工程为dll工程。3️⃣ 编写功能（VS版本）

从图中可以看到，android模拟器、魔兽战网平台、Origin游戏平台、x64dbg都使用了qt框架，除此之外还有很多应用使用了Qt，市面上对Qt的逆向也很多，在这里我们将分析如何导出Qt中的图片资源，其他资源暂时未找到方法，有大神知道的不吝赐教。Qt中加载文件是通过路径“:/new/prefix1/logo.ico”加载的，直接构造对象QPixmap，即可加载图片资源，调用QPixmap的save函数即可将文件保存起来，那么我们写个dll，直接执行这些函数是不是就可以了呢。但是frida中必须。

表示了RTTI的数据结构。

文章目录环境搭建确认proto所在模块工具使用参考资料导读：Protobuf 是由 Google 开发的一种序列化格式，并在越来越多的 Android、Web、桌面和更多应用程序中使用。在逆向工作中的，protobuf逆向的重要性也越来越多的体现来。今天就跟大家一起使用pbtk神器，对steam平台协议，进行简单的分析。pbtk的github地址：https://github.com/marin-m/pbtk小编克隆岛gitee地址，方便国内用户下载：https://gitee.com/yea

文章目录导读参数打印/修改参数 - 界面方式参数打印 - 日志参数（红色）修改参数 - 命令参数（绿色）参数打印/修改参数 - 脚本方式参考资料导读x64dbg是小编目前用的最多的windows调试器了，可以说是不得不用，因为64位调试器，也就它好用了，以前的神器OD没有更新，出现的各种问题，让人头痛不已，弃之。另外x64dbg也的确有很多优点：开源！！！更新频率高，兼容最新操作系统各种操作页面（内存、符号、线程、源码……）支持插件、命令、脚本（Python）x64dbg的资料不多，使用

一个内核对象有两个计数器：一个是句柄计数，句柄是给用户态用的；另一个是指针计数，也叫引用计数，因为核心态也常常用到内核对象，为了方便，在核心态的代码用指针直接访问对象，所以Object Manager维护了这个指针引用计数。只有在句柄计数和引用计数都为0时，对象才被释放。一般而言，指针引用计数值比句柄计数值大。再进一步，实际上，在用户态其实是可以查询一个内核对象的句柄计数和引用计数

文章目录导读开发环境管理员权限启动实现原理-二进制查看原理-清单文件参考资料导读最近写了个关闭进程的功能，发现部分电脑关闭操作没反应。尝试使用管理员启动就可以正常关闭了，所以这里进行两部分改进：管理员权限启动提权开发环境版本号描述操作系统Win7-7601:SP1VS201916.11.3Beyond Comparehttps://down.52pojie.cn/Tools/Editors/Beyond.Compare.Pro.v4.x.Wi

[ScyllaHide] 文章列表-看雪地址：00 简单介绍和使用01 项目概览02 InjectorCLI源码分析03 PEB相关反调试04 ScyllaHide配置报错原因定位05 ScyllaHide的Hook原理项目概览术语被调试进程项目依赖关系Scylla项目不算复杂，项目间的依赖关系也很简单。可以分为下面三层：底层库/第三方库：distorm.lib（反汇编引擎）基础库：Scylla.lib（Scylla通用库）可执行文件：其他所有可执行文件项目基础库依赖于底

[ScyllaHide] 文章列表-看雪地址：00 简单介绍和使用01 项目概览02 InjectorCLI源码分析03 PEB相关反调试04 ScyllaHide配置报错原因定位05 ScyllaHide的Hook原理InjectorCLI源码分析从项目名字，我们可以看出，该项目是注入功能的命令行程序。它实现了HookLibrary.dll的命令行注入，并启动反调试功能。面对一个开源的、强大的反调试工程，我做了几个简单的测试：执行命令：InjectorCLIx86.exe MyT

[ScyllaHide] 文章列表-看雪地址：00 简单介绍和使用01 项目概览02 InjectorCLI源码分析03 PEB相关反调试04 ScyllaHide配置报错原因定位05 ScyllaHide的Hook原理PEB相关反调试反调试，接触算是有四五年了，每次遇到问题，都是一头雾水，不知如何下手，总是通过换调试器、找插件进行各种测试。翻看过很多文章，却又总是蜻蜓点水，希望通过ScyllaHide的源码分析，能对反调试有进一步的了解吧。先说下，最近翻看资料对反调试的理解吧。首先

[ScyllaHide] 文章列表-看雪地址：00 简单介绍和使用01 项目概览02 InjectorCLI源码分析03 PEB相关反调试04 ScyllaHide配置报错原因定位05 ScyllaHide的Hook原理ScyllaHide配置报错原因定位使用OD进行调试的时候，一直报错，如下图所示：下面我们一步一步的开始分析错误原因，分享下解决问题的思路，希望对大家有一定的帮助。定位问题通过关键字“[ScyllaHide] NtUser* API Addresses are m

[ScyllaHide] 文章列表-看雪地址：00 简单介绍和使用01 项目概览02 InjectorCLI源码分析03 PEB相关反调试04 ScyllaHide配置报错原因定位05 ScyllaHide的Hook原理ScyllaHide的Hook原理Hook是通过修改程序代码或数据，达到改变程序逻辑的目的。Hook种类很多，ScyllaHide主要使用的是inline hook，也就是在运行的流程中插入跳转指令（call/jmp）来抢夺程序运行流程的一个方法。Hook根据系统版本（