Windows安全
关注
分享
扫一扫
文章平均质量分 92
Hvnt3r
这个作者很懒,什么都没留下…
展开
-
Windows系统安全之SLMail缓冲区溢出漏洞复现
原文链接在我大二时任技术交流协会信安部部长时我曾给学弟学妹们介绍过这个关于SLMail的缓冲区溢出漏洞,给他们讲的原因是想扩展一下他们的知识面,现在我再重新温习一下这个漏洞来跟现阶段学习的Linux缓冲区漏洞做一个对比环境搭建首先需要搭建实验环境,系统可选用Windows_XP,因为Windows7及以上的系统内置了多种安全措施使得此漏洞难以利用,本实验用到的软件及下载链接如下:SLMa...原创 2019-03-06 14:01:31 · 2405 阅读 · 2 评论 -
160个CrackMe 0x05 ajj_2
0x05 ajj_2发现加了UPX壳,先脱壳,脱壳后继续分析。D:\Tools\Security_Tools\010\upx-3.95-win64\upx-3.95-win64>upx.exe -d CKme002.exe Ultimate Packer for eXecutables Co...原创 2019-04-19 08:29:36 · 409 阅读 · 0 评论 -
160个CrackMe 0x04 ajj_1
0x04 ajj_1OD可以搜索到中文字符串,但是x64dbg搜不到,可能是x64dbg对中文字符串的搜索支持不是太好吧:向上找到关键跳转:0045802F | 75 AB | jne ckme.457FDC |00458031 | 81BE 0C030000 8500 | cmp dword p...原创 2019-04-19 08:29:05 · 311 阅读 · 0 评论 -
160个CrackMe 0x03 Afkayas_2
0x03 Afkayas_2单步走找到对应name:name的serial:1066990接下来写注册机,先看算法:第一步跟上一题一样:004081F2 | 50 | push eax | eax:L"355662"004081F3 | 8B1A | ...原创 2019-04-19 08:28:38 · 349 阅读 · 0 评论 -
恶意代码行为
知识点本章中会介绍恶意代码常见的恶意行为,方便我们识别各种各样的恶意程序。**下载器和启动器:**常见的两种恶意代码是下载器和启动器。下载器从互联网上下载其他的恶意代码,然后在本地系统中运行,通常使用WindowsAPI函数URLDownloadtoFileA和WinExec,来下载并运行新的恶意代码。启动器也成为加载器,是一类可执行文件,用来安装立即运行或者将来运行的恶意代码。**后门:*...原创 2019-03-24 16:26:20 · 3419 阅读 · 1 评论 -
使用WinDbg调试内核
知识点WinDbg是微软提供的一个免费调试器,支持内核调试,也具有监控Windows系统交互的功能。**驱动与内核代码:**Windows设备驱动简称为驱动,他让第三方开发商在Windows内核模式下运行代码。驱动程序常驻与内存,并且负责响应用户态程序的请求,而且应用程序不直接与驱动程序通信,而是直接访问设备对象,向具体的物理设备发送请求。设备对象由驱动程序创建和销毁,可以被用户态的程序直接访...原创 2019-03-24 16:25:46 · 3396 阅读 · 0 评论 -
OllyDbg使用方法
知识点**加载恶意代码:**OD可以直接加载可执行文件,也可以加载DLL文件,也可以将调试器附加在进程中,我们甚至可以用命令行运行恶意代码或者执行DLL中的某个函数。**加载可执行文件:**在加载可执行文件的时候OD会使用它的加载器来加载这个程序,并可在此过程选择运行的命令行参数。如果OD能确定程序的main函数就在main处中断,否则在程序PE头提供的程序入口点中断。**附加调试器到一个程...原创 2019-03-24 16:25:15 · 6455 阅读 · 0 评论 -
分析恶意Windows程序
知识点多数恶意代码运行在Windows上,因此对Windows变成概念的深刻理解会帮助我们识别出恶意代码在主机上感染的迹象,本章会介绍一些恶意代码使用Windows功能的独特方式,并且会讨论恶意代码是如何使用内核模式来实现额外功能与自身隐藏的。**Windows API:**Windows API是一个广泛的功能集合,管理着恶意代码与微软程序库之间的交互方式,Windows API使用他自己...原创 2019-03-24 16:24:36 · 1015 阅读 · 0 评论 -
识别汇编中的C代码结构
识别汇编中的C代码结构本章将通过讨论超过十种的不同的C代码结构来分析不同的汇编代码,帮助我们快速的提升形成恶意代码功能的高级视图的能力**全局变量|局部变量:**全局变量可以被程序中任意函数访问和使用,局部变量只能在它被定义的函数中访问,在汇编代码中,全局变量通过内存地址引用,而局部变量通过栈地址引用。**识别if语句:**有if语句一定存在跳转,但是有跳转不一定是if语句,if语句前有一...原创 2019-03-10 14:15:46 · 847 阅读 · 0 评论 -
动态分析基础技术
动态分析基础技术原文链接:https://hvnt3r.top/2019/01/动态分析基础技术/知识点与静态分析不同,动态分析是将恶意代码加载运行之后观察代码运行状态的一个过程,一般来说,对恶意代码进行分析时先进行静态分析来大致了解软件的功能再进行动态分析以了解恶意代码运行时的更多细节,静态分析与动态分析都有各自的有点以及局限性,本章重点介绍了动态分析的一些手法和技巧。**用沙箱来分析恶...原创 2019-03-06 14:09:15 · 3991 阅读 · 1 评论 -
静态分析高级技术
静态分析高级技术原文链接:https://hvnt3r.top/2019/03/静态分析高级技术/知识点本章内容为静态分析高级技术,知识点内容较多,很多知识点都是与x86体系结构下的指令等相关知识。**微指令|机器码:**微指令层又称为固件,微指令只能在特定的电路上执行,其通常由更高的机器码层翻译而来,提供了访问硬件的接口;机器码层由操作码组成,操作吗是一些十六进制的数字,机器码一般由多条...原创 2019-03-06 14:08:21 · 492 阅读 · 0 评论 -
静态分析基础技术
静态分析基础技术原文链接:https://hvnt3r.top/2019/01/静态分析基础技术/知识点我觉得安全圈的思路都是差不多的,跟渗透测试一样,对一个恶意软件的分析也需要前期的信息收集阶段来帮助我们对目标有一个大致的了解和认识,方便确定下一步工作的方向。**Virus Total:**首先,拿到一个恶意软件如果不涉密的话可以直接上传到VT上看一下,这样差不多能确定此恶意软件的最早爆...原创 2019-03-06 14:07:28 · 835 阅读 · 0 评论 -
ShellCode的编写和利用
ShellCode的编写和利用原文链接:https://hvnt3r.top/2018/10/Shell-code的编写和利用/在渗透测试和漏洞利用中,Shellcode是一个十分重要的部分,在二进制的安全研究中,Shellcode也充当着十分重要的角色,本文会记录我学习Shellcode的编写和利用原理。在程序中嵌入Shellcode并执行首先拿一道十分简单的PWN题来演示程序是如何执行...原创 2019-03-06 14:06:05 · 1374 阅读 · 0 评论 -
二进制安全之NX绕过方法--ROP技术
二进制安全之NX绕过方法–ROP技术原文地址在之前的缓冲区溢出的实验中,溢出到栈中的shellcode可以直接被系统执行,给系统安全带来了极大的风险,因此NX技术应运而生,该技术是一种在CPU上实现的安全技术,将数据和命令进行了区分,被标记为数据的内存页没有执行权限,因此即使将恶意shellcode写入到执行流程中也会因缺少执行权限而利用失败,在一定程度上提高了系统的安全性,但是所有安全都是绝...原创 2019-03-06 14:04:05 · 2864 阅读 · 0 评论 -
160个CrackMe 0x06 aLoNg3x_1
0x06 aLoNg3x_1还是一个Delphi程序,DeDe看一下发现几个比较重要的事件,分别下断分析函数执行逻辑。在ResoucesHacker中可以看到窗口控件的信息:在00442E22处看到一个cmp,修改跳转路径之后发现ok按钮可用了:00442E22 | 8078 47 00 | cmp byte ptr ds:[eax+47],0 ...原创 2019-04-19 08:30:15 · 640 阅读 · 0 评论