乱七八糟の中转站

转自运行时压缩&调试UPX压缩的notepad。运行时压缩对比upx压缩前后的notepad可以看到如下特点：PE头的大小一样节区名称改变（.text -> .UPX0, .data -> .UPX1）第一个节区的SizeOfRawData=0,即第一个节区在磁盘上的大小为0，但是第一个节区的VirtualSize的值被设置为0x10000notepad_upx.exe的EP位于第二个节区，原

总结：ASLR 不负责代码段以及数据段的随机化工作，这项工作由 PIE 负责。但是只有在开启 ASLR 之后，PIE 才会生效。

略凌乱…一、拒绝服务TCP SYN泛洪ping泛洪放大攻击 分布式Dos泛洪 二、畸形数据死亡之ping泪滴 SYN比特和FIN比特同时设置没有设置任何标志的TCP报文攻击设置了FIN标志却没有设置ACK标志的TCP报文攻击在TCP报文的报头中，有几个标志字段： 　　1. SYN：连接建立标志，TCP SYN报文就是把这个标志设置为1，来请求建立

其它设置按网上教程不会有什么问题，可能存在的问题的地方有两处multi(0)disk(0)rdisk(0)partition(1)WINDOWS="Microsoft Windows XP Professional Debug" /fastdetect /debugport=com1 /baudrate=115200其中的com1处应根据虚拟机分配的com口来设置，我试的几台电脑，默认都是

转自：CreateFile DeviceIoControl dwIoControlCode——应用程序与驱动程序通信　　在“进程内存管理器中”的一个Ring0，Ring3层通信问题，之前也见过这样的代码，这次拆分出来详细总结一下。　　先通过CreateFile函数得到设备句柄，CreateFile函数原型：　　HANDLE CreateFile( LPCTSTR l

PE格式图

From：http://www.freebuf.com/sectool/15266.html近期网络上爆发的厂商固件后门漏洞，如D-LINK  腾达路由器后门时用到的分析工具是Binwalk，最近又更新到最新版本。周五抽空翻译了下工具使用方法和例子。Binwalk介绍Binwalk是一个固件的分析工具，旨在协助研究人员对固件非分析，提取及逆向工程用处。简单易用，

（代码略搓，大神请飘走~~~）cutePE基于Qt5.5开发，可以查看PE文件结构。开发过程如下：0x01 读取文件要【通过signature判断是否为PE文件】其实是件简单的事，but，首先得需要读取文件呀。所以第一步，实现Qt读取文件，以Hex形式打印：#include <QCoreApplication>#include <QFile>#include <QDebug>#include

我的上一篇博客Analysis of notepad process loading涉及的程序是没有ExportTable的，所以这一篇呢，就分析一下DLL里的ExportTable，以KERNEL32.dll为例。 首先在Hex Edit里打开KERNEL32.dll： 可以看出，KERNEL32.dll还是符合PE文件格式滴~① ExportTable(RVA)：00 0B 4D E0，Si

因为上一篇博客PE文件格式学习笔记 ，我萌生了分析Windows7系统自带记事本程序的process loading过程的念头。正好，自己也亲自计算一下其中的细节，毕竟这都是逆向的基本功呀。当然文中可能有些许错误，恳请大家指正 :)①Headersthe DOS Header is parsed.the PE Header is parsed. (its offset is DOS Hea

浏览器要设置代理，要抓取https的话记得装BurpSuite的证书。不知道为啥，有些带两个双斜杠的url请求抓不到包，比如http://test.test.com//files/firmwareV3.22（某固件的下载链接）。所以在爆破固件地址时，先抓包http://test.test.com/files/firmwareV3.22，再发送给intruder，再加一个斜杠进行爆破...