- 博客(22)
- 收藏
- 关注
RSS订阅
原创 PE文件格式(二)
EAT是一种核心机制,它使不同的应用程序可以调用库文件中提供的函数。也就是说,只有通过EAT才能准确求得从相应库中导出函数的起始地址。
2021-10-20 22:16:23
2372
原创 PE文件格式(一)
PE文件是Windows操作系统下使用的可执行文件文件格式。PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
2021-10-18 14:27:36
8642
2原创 命令执行漏洞
原理应用未对用户输入做严格得检查过滤,导致用户输入得参数被当成命令来执行。危害继承Web服务程序的权限去执行系统命令或读写文件反弹shell,获得目标服务器的权限进一步内网渗透远程代码执行因为业务需求,在PHP中有时需要调用一些执行命令的函数,如: eval() 、assert() 、 preg_replace() 、 create_function() 等,如果存在一个使用这些函数且未对可被用户控制的参数进行检查过滤的页面,那么这个页面就可能存在远程代码执行漏洞。...
2022-08-14 21:28:49
712
原创 逆向工程——调试upx压缩的notepad程序
一. 比较notepad.exe与notepad_upx.exe的EP代码notepad.exe:程序的EOP在0100739D处,在010073B2处调用函数getModuleHandleA()API,获取notepad.exe的Imagebase。然后在010073B4和010073C0处比较MZ和PE签名,这部分的EP代码很重要,后面分析notepad_upx.exe时会进行比较,也方便找到真正的程序的OEP。notepad_upx.exe:在地址01015330处是压缩之后的第二节部分,
2021-10-27 22:11:19
1337
原创 逆向工程之运行时压缩
1.数据压缩数据压缩是计算机工程的主要研究内容,经过数十年发展已经有了深入研究,今后还会出现更多,更好的算法。不论哪种形态的文件都是由2进制组成的,只要使用合适的压缩算法,就能缩减其大小。经过压缩的文件若能100%恢复,则称该压缩为无损压缩;若不能恢复原状,则称该压缩为有损压缩。无损压缩无损压缩用来缩减文件的大小,压缩后的文件更易保管、移动。使用经过压缩的文件之前,需要先对文件解压缩(此过程应该保证数据完整性)。还有许多其他压缩算法,它们都是在上面三种的基础上改造而成的。有损压缩有损压缩允许压缩
2021-10-21 16:00:47
1003
原创 testre WP
功防世界RE testre WP差壳2.64位文件,直接放入64位IDA中查看main函数中出现两个关键函数:sub_400D00和sub_400700;这是跟进第一个函数sub_400D00:__int64 __fastcall sub_400D00(__int64 a1, unsigned __int64 a2){ char buf; // [rsp+17h] [rbp-19h] unsigned __int64 i; // [rsp+18h] [rbp-18h] uns
2021-05-13 17:12:49
896
原创 python字符串的常用方法
##python字符串的常用方法len("hello"): 返回字符串的长度str.capitalize() : 将原来的字符串的首字母大写,并返回,返回值为str类型str.lower(): 将字符串所有字母小写,并返回,返回值为str类型str.upper(): 将字符串所有字母大写,并返回,返回值为str类型str.count('a'): ...
2021-01-21 09:43:52
815
原创 IDA快捷键
IDA快捷键空格键 反汇编窗口切换文本跟图形ESC 退到上一个操作地址G 搜索地址或者符号N 重命名分号键 注释ALT+M 添加标签CTRL+M 列出所有标签CTRL +S 二进制段的开始地址结束地址C code 光标地址出内容解析成代码P 在函数开始处使用P,从当前地址处解析成函数D data解析成数据A ASCII解析成ASCIIU
2020-11-06 21:54:17
923
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人