- 博客(21)
- 收藏
- 关注
RSS订阅转载 应用层常见的反调试方法
转载于:https://www.cnblogs.com/lanrenxinxin/p/5193920.html稍稍总结一下在Crack或Rervese中比较常见的一些反调试方法,实现起来也比较简单,之后有写的Demo源码参考,没有太大的难度。①最简单也是最基础的,Windows提供的API接口:IsDebuggerPresent(),这API实际上就是访问PEB的BeingDebugged标志...
2019-07-10 13:10:28
1013
转载 一张图看从CreateProcess到main函数的过程
整体过程如下:技术分享需要说明两点:1.在XP中,新进程主线程的启动,会先执行一个用户态的APC,会执行ntdll!LdrInitializeThunk进行程序执行前的一些列初始化操作。其中很重要任务就是加载从Kernel32.dll开始的系统DLL。注意的是,这个APC的插入,根据WRK中的代码看来是在PspUserThreadStartup中进行的:技术分享但实际调试XP SP3发...
2019-06-25 21:04:34
412
转载 (Win7) PspCidTable遍历进程句柄表,枚举进程
本文出自悠然品鉴小悠,转载请注明出处http://www.youranshare.com/blog/sid/102.html先说一下句柄表是什么在windows内核中定义了很多内核对象,像文件对象,线程对象,信号量对象啊等等;而Windows中并没有让我们直接去使用这些对象资源,而是通过句柄让我们去引用这些资源,句柄表就相当于资源的数组,而句柄就是对应资源的索引,每个进程内部都有一个自己的私有...
2019-06-14 16:35:43
1514
转载 软件调试——IA-32 保护模式下寄存器一览
原文:https://www.cnblogs.com/atlaser/archive/2016/09/08/5853604.html最近在看张银奎先生的《调试软件》一书,想将关键的技术记录下来,以便日后查阅,也分享给想看之人吧。1 通用寄存器EAX,EBX,ECX,EDX:用于运算的通用寄存器,可以使用AX,BX等16位或AL,AH等8位短寄存器,访问长寄存器的相应地址ESP,EBP:Ex...
2019-05-29 16:51:15
420
转载 Win10遍历句柄表+修改权限过Callback保护
本帖转载于http://www.m5home.com/bbs/thread-8847-1-1.html本想发到看雪,但自己太菜,看雪“牛人”又太多,想想还是发到紫水晶吧。感谢 TA 的 WIN64 教程带我走上驱动之路,想想除了个 VIP 账号就没教过学费,以后多在论坛发帖来回报一下吧。正篇:XP 和 Win7 上关于句柄表的文章不少,一点不懂的朋友请自行百度谷歌搜索,方法没变,依旧使用 ...
2019-05-26 16:33:25
3723
1
转载 PspCidTable攻与防
PspCidTable的攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到对PspCidTable的遍历.所以如何安全正确地遍历PspCidTable才是该技术的关键一、获取PspCidTable的地址常用的方法是从前面提到的三个查询PspCidTable的函数中特征搜索.PsLook...
2019-05-23 22:22:24
1074
转载 PspCidTable概述
原文发表于百度空间,2009-03-28PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)3...
2019-05-23 22:21:40
694
转载 Windows句柄表格式
原文发表于百度空间,2009-02-28句柄是Windows对象管理中引入的一个东西,它的实际意义是对象在句柄表中的索引。Windows2000使用的是固定的三层句柄表,而WindowsXP和Windows2003都是使用的动态可扩展的三层句柄表,这是一种很优秀的结构,易扩展,且查找迅速,值得学习。通常情况下每个进程的句柄表都是一级表,当句柄数超过一级表的容量时,就会扩展为二级表,此时二级表中放...
2019-05-23 22:17:27
544
转载 IA32和x64架构分段数据结构
原文:https://blog.youkuaiyun.com/firas/article/details/17207353IA-32系统级寄存器和数据结构:内存管理寄存器:分段和分页:逻辑地址到线性地址的翻译:段选择子:32位段描述符:32位调用门描述符:64位调用门描述符:32位IDT门描述符:64位中断/陷阱门:32位TSS:64位TSS/LDT描述符:全...
2019-05-16 20:49:10
1129
转载 关于Win7 x64下过TP保护(应用层)(转)
非常感谢大家那么支持我上一篇教程。Win10 快出了,所以我打算尽快把应用层的部分说完。调试对象:DXF调试工具:CE、OD、PCHunter、Windbg调试先言:TP的应用层保护做得比较多,包括对调试器的检测,比如CE工具会被DXF报非法。有的保护还是内核与应用层交替保护。应用层:1、TP让调试器卡死(内核互动)现象: <ignore_js_op>如图,TP会检测调...
2019-03-26 14:41:43
1098
转载 C & C 深入理解Windows X64调试
http://www.cnblogs.com/lanrenxinxin/p/4762858.html
2019-03-14 15:58:09
255
转载 32位保护模式下中断发生时的压栈情况
我们知道,中断在发生时,处理器根据收到的中断向量号在中断描述符表中找到相应的中断门描述符。处理器从该描述符中加载目标代码段选择子到代码段寄存器 cs 及偏移量到指令指针寄存器 EIP。注意,由于 cs 加载了新的目标代码段选择子,处理器只要发现段寄存器被加载,段描述符缓冲寄存器就会被刷新,因为处理器认为是换了一个段,属于段间转移,也就是远转移。所以,当前进程被中断打断后,为了从中断返回后能继...
2019-02-19 14:06:20
1006
转载 特权级代码段之间的转移---任务切换
一、任务切换利用段间转移指令 JMP 或者段间调用指令 CALL,通过任务门或直接通过任务状态段,可以切换到别的任务。此外,在中断/异常或者执行 IRET 指令时也可能发生任务切换。需要注意的是,因为 RET 指令的目标地址只能使用代码段描述符,所以,不能通过 RET指令实现任务切换。1.直接通过TSS进行任务切换段间转移指令 JMP 或段间调用指令 CALL 所含指针的选择子指示一个可用任...
2019-02-02 21:57:34
875
转载 完成端口(CompletionPort)详解 - 手把手教你玩转网络编程系列之三
手把手叫你玩转网络编程系列之三 完成端口(Completion Port)详解 &
2018-12-01 13:22:16
366
1
转载 http请求报文详解
我们点击连接打开的每一个网页,都是网站的服务器发送给我们的,而点击连接这个动作,其实就是在向网站的服务器发送一个请求,告诉网站的服务器我们想要的东西是什么。网站服务器每天要面对很多的请求,如果每个请求都按照自己的意愿发送有个性的请求,显然,服务器是要崩溃的,因为,它忙不过来嘛,于是,聪明的人类坐在一起商量了一下,仔细的指定了请求的方式和服务器应答的方式,这就是大家耳熟能详的http协议。协议是个...
2018-11-04 16:10:27
915
转载 关于HTTP的GET请求参数长度限制问题和我对中国式教育的吐槽
隐隐约约记得,http的get请求的参数长度是有限制的,所以当从客户端向服务端发送数据时,如果数据量太大,那么就不要用get方法,而要用post方法。我相信,很多人同我一样,对这个问题的认识仅仅停留在上一段文字所描述的水平内,含糊不清,似懂非懂,好像知道,但是又拿不准。我们喜欢批评中国的教育,常常列举出各种弊病,这里,我很想说,我们的教育,很失败的一个地方就是,培养了数以百万计的大学生,可数以百...
2018-11-04 16:09:33
297
转载 http协议请求部首详解以及用c++写socket下载文件
本篇博文将介绍几个我认为比较有作用的请求部首Connection ,这个部首常见的值是keep-alive 和close。close的意思是说,我发一次请求,你回复给我消息,那么咱俩就立刻断开,等我下次想请求数据时,我会再次发起tcp连接。而keep-alive的意思是说,这一次,咱俩好不容易建立起连接,不要那么快断开,多保持一段时间,我还有很多请求要发送呢。当你看到这篇文章时,浏览器里只有一个...
2018-11-04 16:06:25
915
转载 六种Socket I/O模型幽默讲解
老陈有一个在外地工作的女儿,不能经常回来,老陈和她通过信件联系。他们的信会被邮递员投递到他们的信箱里。这和Socket模型非常类似。下面就以此为例讲解Socket I/O模型。零:阻塞模型老陈非常想看女儿的信,以至于他什么都不做,就站在门口等。直到接到邮递员给他的信件才开心的看信回信。这就是阻塞模型,进程阻塞在socket的接收函数上。一:select模型但是不吃不喝一直站门口等着总不...
2018-11-01 17:47:30
326
转载 关于滴水的VT调试器
关于滴水的VT调试器论坛上今天吵的比较火热,主要是关于滴水的VT调试器,很多人不了解这个东西,我对Intel的VT技术略有了解,所以我来简单的介绍一下。第一,什么是VT技术VT是Intel的硬件虚拟化技术,说到VT,就不得不提虚拟机(例如VMWare)。在硬件还没有支持VT前,系统级的虚拟机其实是很难做的,要考虑的东西非常多(主要是效率问题,因为用软件模拟东西资源开销比较大)。VT技术主要就...
2018-10-21 19:18:26
4822
转载 GetLastError返回值
GetLastError()返回值列表:〖0〗-操作成功完成。 〖1〗-功能错误。 〖2〗-系统找不到指定的文件。 〖3〗-系统找不到指定的路径。 〖4〗-系统无法打开文件。 〖5〗-拒绝访问。 〖6〗-句柄无效。 〖7〗-存储控制块被损坏。 〖8〗-存储空间不足,无法处理此命令。 〖9〗-存储控制块地址无效。 〖10〗-环境错误。 〖11〗-试图加载格式错误的程序。 ...
2018-09-13 20:50:46
784
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人