
工具使用
kernweak
日子越来越有判头了
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
windows取证之镜像取证仿真步骤
工具使用取证工具:winhex,FTK Imager,VMware-converter挂载工具:Arsenal-Image-Mounter-v3.1.107简介在windows平台中一般使用VMware-converter来进行取证,因为这种方式是在系统跑起来之后进行取镜像,而且取出来直接是vmware可以识别的格式,直接可以在分析时仿真起来,但是有时候由于任务限制,取证不允许在对方主机上安装任何软件,所以只能使用winhex,或者FTK,但是winhex在本人非盘对盘对拷试验时,无法挂载,原创 2020-06-19 19:17:58 · 14642 阅读 · 0 评论 -
x86下windbg查看SSDT表与SHDOWSSDT
x64下这两个表是未导出的,不能用这种首先系统符号要加载SSDT表:x nt!kes*des*table*kd> x nt!KeServiceDes*83f74a00 nt!KeServiceDescriptorTableShadow = <no type information>83f749c0 nt!KeServiceDescriptorTable = ...原创 2019-05-23 14:25:22 · 2278 阅读 · 0 评论 -
Windbg使用笔记
windbg使用教程,attach 的左下角非入侵式就是不能下断点。应用层常用命令~* 显示当前活动进程~. 显示异常线程~X 显示第X个线程~X s 选择第X个线程~* kb 显示每个线程的栈!runaway 线程执行时间排队.attach pid 附加Pid.detach 释放断点管理断点命令(支持通配符比如 bc ...原创 2019-05-23 14:27:35 · 1085 阅读 · 0 评论 -
xuetr使用注意笔记
1.查看进程模块,观察dll可以看谁注入了他。2.查看进程的线程,列出线程,如果是红色线程,说明不在任何模块内。3.驱动模块会把所有当前驱动列出,比较重要的是加载顺序,如果木马驱动也会在这显示。4.内核部分比较重要的是系统回调其中LoadImage很多木马会放止安全软件,会在LoadImage检测,在这里进行patch。cmpCallback注册表回调。如果注册表禁止操作,很...原创 2019-06-25 03:20:42 · 2181 阅读 · 0 评论 -
IDA相关功能和快捷键
Windows-》Reset/Save Desktop恢复/保存窗口和GUI元素到默认位置当IDA Pro无法识别出一个函数,如果发生了这种情况,按P键创建一个函数,也可能无法识别出基于EBP的一个栈帧,并且指令mov [ebp-0Ch],eax和push dword ptr[ebp-010h]可能不是按便于理解的记号出现。多数情况下可以按Alt+p来修正,选择BP Based Frame,然...原创 2019-08-22 13:20:37 · 788 阅读 · 0 评论 -
IDA6.8显示中文字符串
IDA6.8里中文字符串显示乱码,让其显示正常字符串如下找到IDA安装路径下的cfg\ida.cfg文件,记事本打开,将ida.cfg中cpp866 version的AsciiStringChars注释掉,把full version的AsciiStringChars取消注释// (cp866 version)//AsciiStringChars =// "\r\n\a\v...原创 2019-08-21 16:59:47 · 1039 阅读 · 0 评论