magictong的专栏

      汇编中的CMP指令是一条比较指令，对比两个操作数的大小，但是计算机并不理解大小，它只是对两个操作数进行了一次减法操作，然后对一些标志位进行了一些逻辑运算来判断哪个数大，涉及的标志位有如下一些：      CF：是否有进位或者借位      ZF：0标志位，就是结果是否为0      OF：溢出标志位，是否计算机结果溢出了      SF：符号位，0为正，1为负 

一些安全软件出于安全考虑，会把安全模块注入到IE，Office等软件里面，而很多注入模块里面使用Detours库对系统API进行Hook操作，Detours库进行Hook操作时（DetourAttachEx函数）会将相关模块的PE头（具体是DosHeader，不可写段）修改为可写可读可执行，然后写入一些特殊数据，但是后面没有修改成原始属性。这样就会破坏这些模块的段属性，造成一些其它漏洞利用时降低了绕过DEP的难度。

ShellCode的调试方法和常见问题的解决方法 ShellCode的调试方法，我这里总结了四种方法，其实原理都一样，就是通过几种指令的组合，把EIP改为shellcode的地址，然后跳到shellcode去执行，再调试shellcode。代码如下：//ShellCodeDebug.cpp : Defines the entry point for the console applic

<!----><!----><!--@font-face {font-family:宋体}@font-face {font-family:"Cambria Math"}@font-face {font-family:Calibri}@font-face {font-family:微软雅黑}@font-face {font-family

本来想使用Metasploit的控制台来测试，但是控制台怎么也找不到这个exploit，暂不知道原因，后来使用msfgui来测试的。        1、rb文件下载地址：http://dev.metasploit.com/redmine/projects/framework/repository/revisions/6abb7bb987a11dbcda8eb611831bcb2ff65070e

Metasploit下載地址（現在的最新版本是4.3）：http://www.metasploit.com/download/      安裝環境：Windows XP SP3 無安全軟件    最近要進行一些POC的測試，需要裝在一台物理機上面，以前都是直接把別人裝好的MSF直接整個虛擬機拷貝過來使用，反正是工具性質的，問題也不大。在安裝要注意以下幾個問題。

原文地址：http://blogs.technet.com/b/mmpc/archive/2012/05/24/a-technical-analysis-of-adobe-flash-player-cve-2012-0779-vulnerability.aspx作者：Jeong Wook Oh & Chun Feng (msft-mmpc)翻译：magictong 2012年5月

在进行病毒分析时，或者调试漏洞的shellcode时，经常看到标题中的指令流（E800000000 58，第二条肯定是pop指令，但是目的寄存器不一定是eax），这是干什么的呢？      看起来貌似很神秘，其实结合前后代码的意图可以知道（进行实时调试），最终eax中存放的数据是0x00413935（就上面的代码），而这个0x00413935，恰好就是pop eax指令的地址，因此实际

SafeSEH原理及绕过技术浅析  作者：magictong时间：2012年3月16日星期五 摘要：主要介绍SafeSEH的基本原理和SafeSEH的绕过技术，重点在原理介绍。关键词：SafeSEH；绕过技术；异常处理 目录前言SafeSEH的保护原理（1）      二进制层面（2）      系统层面怎么关掉编译器的SafeSEH支持

Heap Spray原理浅析Magictong 2012/03 摘要：本文主要介绍Heap Spray的基本原理和特点、以及防范技术。关键词：Heap Spray、溢出攻击、漏洞利用、堆溢出 Heap Spray定义基本描述Heap Spray并没有一个官方的正式定义，毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。Heap Spray是在sh

某对抗型下载器分析报告   magictong 一、样本基础信息MD5：7e130014aa5af499271156a3d0166026大小：64,512 字节文件名：7e130014aa5af499271156a3d0166026.exe 其它：无签名，无壳（释放的文件也无壳）调试运行环境：XPSP3调试工具：OD IDA PEID

SEHOP原理浅析 前言SEHOP的全称是Structured Exception Handler Overwrite Protection（结构化异常处理覆盖保护），SEH攻击是指通过栈溢出或者其他漏洞，使用精心构造的数据覆盖结构化异常处理链表上面的某个节点或者多个节点，从而控制EIP（控制程序执行流程）。而SEHOP则是是微软针对这种攻击提出的一种安全防护方案。微软最开始提供这

灰鸽子分析报告        magictong 2012/2    一、样本基础信息    MD5：cf6d4d8250e4ba8b5fe87fa4eb940ea8    大小： 300,703 字节    文件名：999.v        壳信息：NsPack    解壳后信息：Borland Delphi 6.0 - 7.0    其它

CVE-2011-4691Google Chrome IFRAME装载信息泄露漏洞  漏洞基本描述      URL：http://sebug.net/vuldb/ssvid-26080     发布时间：2011-12-14     漏洞版本：Google Chrome      漏洞描述：     Bugtraq ID: 51068

108.exe下载器分析报告  P.S.这块刚刚才入门，比较粗糙，请多多指教。更新样本下载链接：http://download.youkuaiyun.com/detail/magictong/3898092基本信息文件名：108.exeMD5：d7d7b22d096fc1568d5781e2df614734属性：16372字节，无签名调试运行环境：XPSP3调试

DLL搜索路径和DLL劫持 环境：XP SP3 VS2005作者：magictong       为什么要把DLL搜索路径（DLL ORDER）和DLL劫持（DLL Hajack）拿到一起讲呢？呵呵，其实没啥深意，仅仅是二者有因果关系而已。可以讲正是因为Windows系统下面DLL的搜索路径存在的漏洞才有了后来的一段时间的DLL劫持大肆流行。      最近（其实不是最

【脱壳】手脱NsPack1.4壳   Magictong2011-11-23 调试环境：xpsp3 调试工具：OD PEID WinHex           这是一个比较简单的壳，手脱步骤不难。通过堆栈平衡原理找OEP的方法就可以搞定了。           脱壳步骤         第一步：查壳         拿到样本之后，要使用PEID查看一下是

Python调用windows下DLL详解 作者：童磊（magictong） P.S. 之前的排版乱掉了，这里做一下排版，顺便改一下里面的一些用词错误。2011-08-04 在python中某些时候需要C做效率上的补充，在实际应用中，需要做部分数据的交

很多安全软件出于安全考虑，会把很多模块注入到IE，Office等软件里面，而很多注入模块里面使用Detours库对系统API进行Hook操作，Detours库里面存放系统API原始地址的内存有信息泄漏漏洞，这样就会破坏这些软件的ASLR安全机制，继而进行漏洞利用。