windows安全研究
关注
分享
扫一扫
文章平均质量分 58
PwnGuo
主要研究方向:windows逆向,android 逆向,windows开发。恶意代码分析
展开
-
Visual Studio 2019配置 vcpkg C++包管理工具
vcpkg 可帮助您在 Windows、 Linux 和 MacOS 上管理 C 和 C++ 库。原创 2022-07-07 09:39:32 · 5789 阅读 · 0 评论 -
Visual Studio2019配置Lua及sol2框架
因为在使用过程中错误配置导致花了不少时间,因此写一下具体配置sol2 是绑定到 Lua 的C++库。它目前支持所有Lua版本5.1 +(包括LuaJIT 2.0 +和MoonJIT)。sol2旨在易于使用且易于添加到项目中。该库是仅标题库,以便于与项目集成,并且单个标题可用于拖放启动。...原创 2022-07-06 10:02:01 · 1452 阅读 · 0 评论 -
Windows蓝屏分析
Windows 11 蓝屏分析原创 2022-06-15 17:35:45 · 3927 阅读 · 0 评论 -
攻击C++的虚函数
例题为:0day安全:软件漏洞分析技术(第二版)虚函数入口地址被统一存在虚表中,对象使用虚函数时通过调用虚表指针找到虚表,然后从虚表中取出最终的函数入口地址进行掉用,虚表指针保存在内存空间中,紧接着虚表指针的时其他成员变量,虚函数只有通过对象指针的引用才能显示出其动态调用特性。虚函数实现通过对象中的成员变量溢出修改对象中的虚表指针或修改需表中虚函数指针,程序调用虚函数时就会执行指定地...原创 2019-09-17 13:55:35 · 1222 阅读 · 1 评论 -
GS保护技术
GS保护检测栈溢出,在函数调用时向栈帧中压入一个额外的随机DWORD,就是常见的逆向代码中的Security Cookie.带有Security_cookie的函数Security Cookie 位于EBP之前,系统还将在.data的内存区域中存放一个Security Cookie的副本。GS保护机制下的内存布局系统比较栈帧中原先存放的Security Cookie和.data...原创 2019-09-18 20:06:32 · 2105 阅读 · 0 评论 -
Windows驱动开发二:Windbg源码调试
在windbg中的源码调试原创 2021-09-09 10:01:58 · 1165 阅读 · 0 评论 -
Windows驱动内存操作
内存复制内存复制分两种情况,非重叠和可重叠如图:当复制A~C到B~D段内存b-c段内存重叠RtlCopyMemory为非重叠复制,即不能使用RtlCopyMemory操作上图中的内存段,RtlMoveMemory为可重叠复制,此函数对内存是否重叠进行判断。void RtlCopyMemory( Destination, //表示要复制内存的目的地址 Sourc...原创 2019-05-25 22:20:54 · 2732 阅读 · 0 评论 -
Windows驱动开发三:windbg无源码调试
加载某个模块sxe ld:[dll name]卸载某个DLL 的时候下断点的WinDBG命令:sxe ud:[dll name]比如:sxe ld:wininet (在wininet.dll 被装载的时候断点)还可以通过直接在DllMain下断点来达到相同目的:bu wininet!DllMain...原创 2021-09-15 14:27:01 · 881 阅读 · 2 评论 -
window 11 环境下WDK版本已更新
下载 Windows 驱动程序工具包 (WDK) - Windows drivers | Microsoft Docswindows 11最新的WDK版本已出,对应的SDK版本 22000.1.210604-1628,目前无法在Visual Studio Installer中下载驱动环境配置与安装1.首先安装Visual Studio 2019或其他版本2.下载SDK22000.1.210604-1628.co_release_WindowsSDK.ISO直接解压安装。一直...原创 2021-07-20 18:55:53 · 3049 阅读 · 3 评论 -
驱动中双向链表
链表结构DDK中标准双向链表形成一个环结构,结构体定义:// Doubly linked list structure. Can be used as either a list head, or// as link words.typedef struct _LIST_ENTRY { struct _LIST_ENTRY *Flink; struct _LIST...原创 2019-05-23 19:20:47 · 900 阅读 · 0 评论 -
Windows驱动开发一:内核调试环境配置
VM虚拟机配置bcdedit 获取guid并设置bcdedit /dbgsettings serial baudrate:115200 debugport:1bcdedit /copy {current} /d DebugEntrybcdedit /displayorder {current} {guid}bcdedit /debug {guid} ON添加串行端口,使用命名管道...原创 2021-08-10 14:22:54 · 854 阅读 · 0 评论 -
消息摘要算法:MD5
MD5介绍MD5以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。算法原理1.数据填充填充消息使其长度与448mod512同余(即长度=448mod512).填充后的消息长度比512的倍数仅小64位的数,即使消息长度本身已经满足上述长度要求,然然要填充。...原创 2018-09-18 10:16:50 · 883 阅读 · 0 评论 -
对称加密算法:BlowFish
1.算法原理BlowFish算法基于Feistel网络,加密函数迭代执行16轮,分组长度为64位,密钥长度可以从32位到448位。算法由两部分组成,密钥扩展部分和数据加密部分,密钥扩展部分将最长最长为448位的密钥转化成共4168字节长度的子密钥数组,其中,数据加密由一个16轮的Feistel网络完成,每轮由一个密钥相关置换和一个密钥与数据相关的替换组成。(1)子密钥BlowFish算...原创 2018-09-18 09:51:35 · 8221 阅读 · 0 评论 -
SetWindowsHookEx全局钩子
SetWindowHookEx全局钩子将应用程序定义的挂钩过程安装到挂钩链中。您将安装挂钩过程来监视系统中某些类型的事件。这些事件与特定线程或与调用线程同一桌面中的所有线程相关联.idHook要安装的挂钩过程的类型。此参数可以是以下值之一。Value Meaning WH_CALLWNDPROC 4 安装一个挂钩过程,在系统将消息发送到目标窗口过程...原创 2019-08-06 09:50:54 · 2356 阅读 · 0 评论 -
简单注册表注入原理实现
注册表中默认提供了AppInit_Dlls与LoadAppInit_Dlls两个注册表项在注册表编辑器中,将要注入的DLL路径字符串写入AppInit_Dlls项目,然后把LoadAppInit_Dlls项目值设置为1,重启后,指定DLL会注入所有运行进程。工作原理:User32.dll被加载到进程是,会读取AppInit_DLLs注册表项,若有值,则调用LoadLibrary()API加...原创 2018-06-20 23:23:19 · 1420 阅读 · 0 评论 -
安全研究学习流程
windows安全研究及方向选择原创 2021-01-04 16:30:53 · 310 阅读 · 1 评论