- 博客(53)
- 资源 (6)
- 收藏
- 关注
RSS订阅原创 x6dbg配色方案的导入导出
x64dbg 的强大就不用我多说了,感觉早晚会替代 od 。最近虚拟机上装 x64dbg , 想把主机上的配色方案导过去。在 x64dbg 上找了半天居然没有配色导出 选项, 只有一个导入设置。试了半天, 终于找到了方法。找到你的 x64dbg 的安装目录,进入对应版本的文件夹下。比如 snapshot_2019-05-09_21-11-》 release-》 x32这个文件夹...
2019-07-30 11:33:27
1359
原创 如何在 64位的linux 上安装32位的库
sudo apt-get install libc6:i386sudo apt-get install librt:i386sudo apt-get install libssl-dev:i386是对,只需要在后面加上 :i386 就可以了。
2019-07-03 17:58:17
3404
1
原创 VS2017 编译 libpeg
libjpeg 是一个 jepg 的 编/解码 库, 你可以在 http://www.ijg.org/ 下载到这个库的源码。这个库只提供了源码,需要我们自己编译,比较让我难受的是,这个项目居然是用 makefile 组织的。先来看看提供的 install.txt 说明:里面提到,如果你用 vs2017 编译的话,需要用到 makefile.vs 和 jconfig.vc 两个文件。第一...
2019-05-31 10:24:47
458
原创 Visual Studio “无可用源“ 问题
报错就是” 无可用源 ” , “此模块的调试信息中缺少源信息”这个报错经常出现在我们 调试的时候, 所谓的源信息,其实就是我们的源码文件。明明有源文件,又为什么会找不到呢?我两次遇到这个问题,。第一次的解决方法是:修改项目配置进入项目的属性页 -》 C/C++ -》 常规 -》 调试信息格式 -》 用于”编辑并继续“ 的程序数据库。这里大家可以做个尝试,将 调试信息格式 设置为 无,重新...
2019-04-04 13:33:48
25870
5
原创 【DynamoRIO 入门教程】六:inline.c
DynamoRIO 入门教程 自定义trace一、功能说明执行优化,使用自定义跟踪API将整个callees 内联到跟踪中。二、主要主句结构 和 配套函数typedef struct _hashtable_t { hash_entry_t **table; hash_type_t hashtype; bool str_dup; void *lock; uint table_bits; bo...
2019-03-08 10:16:07
1172
1
原创 cmake的CMAKE_CONFIGURATIO_TYPES 变量与 ZERO_CHEK项目编译失败 问题
最近学习DynamoRIO 的时候,想手动编译一下该项目自带的例子,结果却总是报错我的编译方式类似与下面这种cmake -G "Visual Studio 15 2017 Win64" .. -DDynamoRIO_DIR=/我的参数/ cmake --build . --config Release然后就会报错:“C:\Users\Mr\Documents\WIN_AF...
2019-02-22 21:44:42
4262
原创 windbg 调试堆时 遇到调试堆 baadfood feeefeee 关闭方法
用windbg 调试堆时,遇到了一些问题。我发现堆的末尾都是以 8ab + 800 结尾的。而且删除的堆内容被填充为 feeefeee , 而那些新申请没有初始化的堆,则被填充为 baadfood 。这是因为系统检测到了调试器,堆管理器自动使用了调试堆。即便你使用attach 也是一样的。查了一下,一些人用了和0day安全一样的方法,就是在程序中加 int 3 断点,然后在堆完成初始化后进...
2018-11-22 10:57:42
448
原创 ida “ failed to load pdb info. 不支持此接口” “DIA: No such interface supported”问题
在用ida逆向文件时,我们可能会遇到下面的问题:在进一步选择pdb文件后会有下面的报错:遇到这样的问题,安装vc ++ 2008 运行库即可。在用ida逆向 vs 2017 x64 debug 模式下的程序时,也会遇到上面的问题,同样是安装vc++ 2008 运行库即可。...
2018-11-21 11:50:56
5133
3
原创 Windows下pdb符号文件找不到的问题
在windows下用windbg调试时,符号文件是很重要的。没有符号文件就先废掉了windbg的一半功力。对于window xp 的系统,微软官方已经不再提供符号文件了,所以只能自己下载离线符号文件包用了。可以在网上找一找,如果找不到,可以去我的csdn 下载资源里。对于windows 7系统,微软虽然提供符号文件(在线符号服务器),但是有时因为某些文件版本过老的问题,会出现找不到符号文件的情...
2018-11-10 23:57:17
1111
原创 使用ida 对任意一段机器码进行反汇编
有时候我们需要对一段机器码进行反汇编,但这段机器码又不是完整的pe格式,那么我们该如何用ida对其进行反汇编呢?首先将这段机器码保存为一个二进制的 .exe文件。这里我们的winhex ,选择对应的块,燃火右键 编辑->复制选块->至新文件,保存的时候后缀名设为.exe 。然后用ida 将其打开注意这里要选择 binary file 。选择yes , 我们对其进行32位...
2018-11-06 13:27:39
7431
3
原创 小白分析漏洞之Microsoft Edge Chakra OP_NewScObjArray Type Confusion 远程代码执行
参考: https://paper.seebug.org/692/#1原文作者的分析环境是:Windows 10 x64 + Microsoft Edge 42.17074.1002.0我的分析环境是:Windows 10 X86_1803_march + Microsoft Edge 42.17134.1.0poc地址 : https://github.com/bo13oy/Chakr...
2018-10-19 13:44:58
858
原创 win10 查询 uwp 安装包 信息
PS C:\Users\Mr.wang> Get-AppxPackage *MicrosoftEdgeName : Microsoft.MicrosoftEdgePublisher : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=U...
2018-10-19 11:55:20
2269
原创 WinDbg 调试 Edge
我们用windbg 在 user model 下调试程序时, 经常是直接 file->attach to a process 这样附加到一个进程上。但是我在调试 edge 时遇到两个问题:edge 有许多进程,要附加到哪个上?edge 是 Universal Windows Platform (UWP) app , 官方文档上说:A UWP app will not be sus...
2018-10-17 10:48:42
1193
2
原创 调试器无法正常中断 IE8
这两天分析 cve-2011-0027 的时候,一直遇到一个问题,windbg 或者 od没有办法正常中断 ie8。什么意思呢?就是我用调试器附加了进程。当进程遇到异常时会弹出下面的窗口:这就很奇葩了, 调试器:我都附加你了,为啥你遇到异常不告诉我呢?!!我也不明白。找了挺久的原因,终于找到了。IE8的一个重要特性就是每个Tab 页在独立的进程中运行,我们称之为LCIE (Loose...
2018-10-11 10:15:59
484
原创 win10 配置 cmder
最近一直在win10 下办公,非常想念linux的感觉。恰好最近需要在终端下运行一些脚本,所以尝试了一下windows 下的终端利器: cmdercmder 如何安装和基础配置我就不说了,网上一大堆。这里主要讲讲我遇到的问题。配置好后,我对cmder 最难以忍受的就是, 太慢了。cmder太慢了,一个ls命令几乎要延迟1s, 这对于有轻微强迫症的人来说,几乎可以成为放弃cmder的理由。怎...
2018-10-04 16:21:34
13598
7
原创 win10 安装 wireshark 无法安装 winpcap 的问题
今天想安装以下wireshark ,结果没想到会安装出错。什么玩意,wireshark 不是应该对windows很友好吗?具体情况如下:安装的时候提示 a newer version of winpcap is already installed on this machine 。 大致意思就是我电脑上本身已经安装了一个比较新的winpcap ,导致不能看装wireshark 对应的较老版本...
2018-10-03 15:00:37
23847
19
原创 OllyDbg调试总是进入RtlRaiseException 异常处理函数
用OllyDbg调试软件时,有时候会遇到一些奇怪的异常,莫名就进入了一个异常处理函数。让人很是苦恼,不能正常的进行调试。比如我在分析cve-2010-2883 漏洞时,用Od调试Adobe reader时,就会莫名进入异常处理函数中,如下:这种异常是很不正常的,为了证明不是漏洞文件的问题,我特意在进程正常附加的情况下,用adobe reader打开一个正常的pdf文件。 然后发现,当我在a...
2018-09-16 00:05:14
3107
原创 Windows 子系统窗口管理
当用户登录到Windows 系统中时,winlogon 进程会创建一个交互式窗口站,和三个桌面。应用程序所创建的窗口,一定属于某一个桌面。 交互式窗口站包含剪贴板,键盘,鼠标,显示器和三个桌面。三个桌面分别是登陆桌面,交互桌面,屏幕保护桌面。 当一个进程调用NtUserCreateWindowStation 系统服务创建一个窗口站时,此窗口站与该调用进程相关联,并且属于该进程所在的会话。 当...
2018-09-12 19:38:52
885
原创 通过kpcr 找到system 进程的地址
__asm { pushad int 3 mov eax, fs:[0x124] mov ebx, [eax + 0x50] mov eax, 4 mov ecx, ebx SEARCH: mov ecx, [ecx + 0xb8] sub ec...
2018-09-12 00:39:08
583
原创 获取HMValidateHandle的地址
该函数并未在用户态中导出,不过有个用户态函数IsMenu调用了它,可以通过判断IsMenu中相关字节码的位置获取HMValidateHandle的地址。bool FindHMValidateHandle(HMODULE user32){ bool result = false; do { PBYTE is_menu = (PBYTE)GetProcAddr...
2018-09-11 19:41:56
746
原创 权限令牌token 提权
EPROCESS 里有个token结构,是进程的权限令牌,如果能把system进程的token 替换到 一般进程的eprocess里,则一般进程也可以获得system权限。但是这个操作需要Ring0的权限,因为system的eprocess在系统内存空间里。所以问题有二: 1. 如何获得Ring0权限? 可以通过调用门的方式暂时提权到Ringi0 2. 如何找到system进程和当前...
2018-09-11 16:39:39
1533
原创 提权调用门 ret返回测试
kd> p001b:00c91874 ff5dfa call fword ptr [ebp-6]kd> reax=00000001 ebx=7ffd6000 ecx=0012f9ec edx=778570b4 esi=0012f9f8 edi=0012fb18eip=00c91874 esp=0012f9e0 ebp=0012f9f0 iopl=0 ...
2018-09-10 22:16:55
612
原创 ZwQuerySystemInformation 学习
https://blog.youkuaiyun.com/suppercoder/article/details/9341941 这是一篇介绍分别在Ring0 和 Ring3 下是使用ZwQuerySystemInformation 函数来获取一些系统信息的函数。比如可以获取进程表和句柄表。可以参考看看。//声明ZwQueryAyatemInformationNTSTATUS ZwQuerySystemI...
2018-09-09 19:17:45
2188
原创 emit指令分析
emit指令的作用:编译器不认识的指令,拆成机器码来写。插入垃圾字节来反跟踪,又称花指令。用emit就是在当前位置直接插入数据(实际上是指令),一般是用来直接插入汇编里面没有的特殊指令,多数指令可以用asm内嵌汇编来做,没有必要用emit来做,除非你不想让其它人看懂你的代码。_emit是伪指令 一个简单的例子 int main() { __asm{ _em...
2018-09-08 15:54:21
7323
原创 WindbgPreview虚拟机双机内核调试
#Windbg虚拟机双机内核调试 做内核调试时,我们经常使用到windbg的虚拟机双机调试,所以这里记录一下配置双机调试的过程,方便查询。另外,微软提供了一个windbgpreview 工具,算是windbg的升级版本,ui更好看了,并且把x86和 x64合在了一起,还不需要管理员权限运行。比较方便。首先选择连接方式,用虚拟机只有一种串口方式,通过虚拟机模拟的串口输出到主机上的命名管道,...
2018-09-07 13:14:42
2510
转载 windows API 前缀
Cc Cache manager Cm Configuration manager Ex Executive support routines FsRtl File system driver run-time library Hal Hardware abstraction layer Io I/O manager Ke Kernel Lpc Local Procedure Cal...
2018-08-22 13:02:02
546
原创 ida 遇到的 sub_地址 问题
在使用ida 分析 .sys文件时,发现几乎所有的函数名都是 sub_地址 的形式,和别人的不一样,一开始没想明白为什么? 后来查了一下,发现是因为.sys文件里没有符号表导致的。 为什么会没有符号表呢?一般的可执行文件或库文件都会有符号表,但符号表会占据一定的体积。所以为了减小内核的体积,会把符号表去除。 要想进行分析,我们就要拿到符号表,而windows 的符号表其实可以从网上下载...
2018-06-17 22:48:07
6825
1
原创 pwn 工具使用小技巧
pwn 工具使用小技巧使用 checksec file_name 来查询该文件使用了哪些防护技术 gdb 的disas 命令,进行反汇编 是用objdump 命令,查看文件的一些表信息 比如查看got表: 还可以把整个程序反汇编,然后我们使用 | grep 配合,查找我们想要的汇编指令地址 使用msfvenom生成shellcode...
2018-06-06 14:10:26
1632
转载 服务器配置的有关文章记录
centos 安装mysql5.7: https://www.linuxidc.com/Linux/2016-09/135288.htm
2018-05-31 20:55:45
246
转载 redhat 安装 mysql 8.0
转载自: https://www.linuxidc.com/Linux/2018-05/152409.htm我这里是RHEL6.5的系统,因此选择RedHat 6 x86,64bit操作系统—下载第一个RPM Bundle即可–mysql-8.0.11-1.el6.x86_64.rpm-bundle.tar。目前MySQL8.0.11社区版提供了多种多样的安装方式,但是并未发现针对Linu...
2018-05-31 15:59:37
3774
3
原创 YouCompleteMe 延迟加载
YouCompleteMe 延迟加载我的vim 用的是github上的k-vim配置,发现启动很慢,用 “vim –startuptime 日志文件名 ” 命令看了一下启动时间:318.998 000.004: editing files in windows319.787 000.306 000.306: sourcing /root/.vim/bundle/rainbow...
2018-05-20 15:42:42
848
原创 《Q版缓冲区溢出教程》读书笔记
《Q版缓冲区溢出教程》读书笔记每个进程都会有一个独立的栈空间。每个函数都会有一个自己的栈帧,当前函数的栈帧以ebp(栈基址寄存器)开头,到esp。不用的语言有不同的调用个约定,下面是cdecl调用约定:int subtract(int a, int b); //被调用者int sub = subtract(3, 2); //主调用者主调用者:;从右到左将参数入栈1 pus...
2018-05-14 14:03:07
942
WindowsXP-KB936929-SP3-x86-symbols-update-ENU
2018-10-02
windows xp sp3 symbols full enu
2018-10-02
前端架构设计
2018-06-22
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人