逆向
文章平均质量分 83
basketwill
愿意为中国软件的发展作出一番贡献
展开
-
chrome的配置文件加密校验的hash算法(逆向所得)
chrome的代码开源的,但是代码量有2g,懒得看,经过一个多星期的逆向获得了其加密校验配置文件的算法: 有四、五轮的 sha256非标准的加密算法,下面是我的逆向的代码调试与程序调试的对比第一轮:hash 第二轮:hash第三轮 hash第四轮:hash第五轮 也就是最后一轮:输出原创 2015-08-14 16:13:54 · 4797 阅读 · 7 评论 -
微软轻量级监控工具sysmon原理与实现
Sysmon是微软的一款轻量级的系统监控工具,被常常用来进行入侵检测分析,它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在windows的日志事件里。经常有安全人员使用这款工具去记录并分析系统进程的活动来识别恶意或者异常活动,下面开始讲解该软件的原理与实现。 下面开始上篇的讲解,ring3实现对网络数据记录以及对驱动返回的数据进行...原创 2018-12-26 10:23:12 · 7038 阅读 · 0 评论 -
如何实现自己的ollydbg调试器 (1) 界面的实现
在逆向时候我们需要一些工具,但是很多工具毕竟是别人写的,我们无法改变,一套好的工具就会事半功倍,如果我们自己实现一套自己的工具的话,那就更加完美了,读者如果有兴趣可以自己去实现一套全新的调试器。Windows程序的调试器有很多,比如windbg、ollydbg 等等,但是大多数搞逆向的人都喜欢使用ollydbg来动态调试程序,因为它的快捷键丰富,众多的插件,以及稳定的调试功能,但是还有一个原创 2017-11-20 08:54:23 · 1611 阅读 · 1 评论 -
一个钓鱼木马的分析(二)
这个木马隐蔽性很强,内存中不存在任何明文字符串,很难用内存搜索去搜索一些明显字符串,内存的数据都是加密存在需要时才解密,然后立即释放,不会长期驻留在内存,所有的内容计算校验使用的是hash值来对比查找,而且还是用双重加密,给分析人员增加了不小的难度, 上次讲到此木马在内存里有个加密的pe文件存在,接下来我们就来讲解这个从内存里扣出来的pe文件到底怎么工作的。原创 2017-08-07 09:18:55 · 1059 阅读 · 0 评论 -
一个邮件钓鱼木马的分析 (一)
已发表于本人专栏: http://www.freebuf.com/column/142406.html最近收到一个钓鱼木马邮件,内容形式如下: 邮件里有个链接,当点开链接后会下载一个doc文档,打开文档会发现有宏代码 经过一些列解密后悔执行shell执行宏命令,打印出这个信息出来后发现,原来执行了powershell命令 是从网原创 2017-07-31 09:18:40 · 14732 阅读 · 0 评论 -
Win7、win10下利用ETW Trace跟踪用户的文件读写信息
发表于freebuf : http://www.freebuf.com/column/138862.html Windows® 事件跟踪 (ETW) 是操作系统提供的一个高速通用的跟踪工具。ETW 使用内核中实现的缓冲和日志记录机制,提供对用户模式应用程序和内核模式设备驱动程序引发的事件的跟踪机制。自windows2000开始,各原创 2017-06-30 22:37:13 · 8395 阅读 · 2 评论 -
Win7、win8、win10下实现精准截获Explorer拷贝行为
已经发表于freebuf ( http://www.freebuf.com/column/134192.html)在企业数据安全中我通常需要监测用户的拷贝行为,特别像explorer这样的进程,方法很多比如文件过滤驱动监测文件的打开与读写,但是这样会有很多噪音产生,实现的不好的话也可能会造成用户在桌面操作感受不良好,比如卡,所以我们需要的是一种更精准地方法,下面我们就来分析原创 2017-05-22 16:43:08 · 2519 阅读 · 1 评论 -
细说Wannacry勒索软件所使用的木马技术
已经发表于freebuf: ( http://www.freebuf.com/column/134855.html)5月12日晚突然爆发的Wannacry勒索病毒给人们也给各大安全厂商一个措手不及,360追日团队也第一时间给出了完整的木马分析,结合我自己的逆向以及分析我们来细说Wanncry使用了哪些木马技术。 1. 资源释放文件这个技术最早始于root原创 2017-05-22 16:39:53 · 1752 阅读 · 0 评论 -
Wannacry之t.wnry核心库解密算法完全分析
已经发布于freebuf : http://www.freebuf.com/column/135103.html Wannacry机理很多安全厂商都已经分析透了,他的加密核心功能就在他释放的t.wrny这个文件里,这个文件实际上是个动态链接库,是被Wanncry通过他自己的RSA+AES加密存放的,Wannacry在释放的时候会先读取到内存,然后通过RSA还原AES的key密码,最后原创 2017-05-22 16:37:23 · 1070 阅读 · 0 评论 -
Windows资源监视器软件的原理
微软给我们提供了一些很好的程序,比如资源监视器,可以从这个软件里获取分析windows的自身的一些性能数据,比如CPU、内存、磁盘数据、文件读写、进程线程等,他具体怎么实现呢,今天这天文章就带你去获取其真实的原理。原创 2017-06-17 11:59:13 · 1306 阅读 · 0 评论 -
通过Hook技术对浏览器HTTPS劫持
https 浏览器 ssl https劫持原创 2017-04-14 12:23:32 · 3777 阅读 · 4 评论 -
360极速浏览器和360chrome首页设置加密算法
freebuf 已经发布该文章(http://www.freebuf.com/articles/terminal/128902.html) 如今浏览器经常会面临被其他软件劫持主页的风险,浏览器该如何自保呢。今天给出360浏览器的主页设置算法一些分析。360浏览器设置主页大致有两次计算机器码:一次是磁盘id,一次是计算网卡mac地址。两种md5计算方法,两原创 2017-04-14 12:18:42 · 2348 阅读 · 0 评论 -
如何分析解决COM接口IFileOperation的hook去支持vista、win7、win8、win10 x86 x64系统
怎么进行COM接口IFileOperation hook我就不讲了,下面这个链接有讲解,http://blog.csdn.net/wzsy/article/details/17665311 ;他的hook方法我实验了可用于win8、win10,包括x64位系统,但是他这个有个缺点是在获取源复制文件路径信息的时候,只适用于win7,不适用于win8、win10.上面那个文章用的是原创 2016-08-03 12:54:05 · 4085 阅读 · 2 评论 -
chrome配置文件校验初始化隐含参数的逆向
这篇文章接上一篇文章进一步升华:花了4个小时获得该信息的计算方式比如在 chrome目录下的\Chrome\User Data\Default目录下的Secure Preferences,需要设置"startup_urls":["http://www.baidu.com/"]改参数时,chrome会在该文件中生成"startup_urls":"651507D384340BD7A56E3D3D7原创 2015-08-17 17:55:47 · 3343 阅读 · 8 评论 -
360安全浏览器和360chrome 首页设置加密算法(逆向所得)
(为了避免被360公司的法律问题,该不能写的很详细)360首页设置函数01D29F17 56 PUSH ESI01D29F18 53 PUSH EBX01D29F19 57 PUSH EDI01D29F1A E8 617AF2FF CALL chrome.0原创 2015-07-14 14:59:03 · 4204 阅读 · 4 评论 -
微软轻量级系统监控工具sysmon内核实现原理
上文讲解了sysmon的ring3部分实现原理,本文则开始讲解ring0部分。Sysmon的ring0是一个minifilter类型的驱动,内部实现了进程信息、文件访问信息以及注册表访问信息的记录,下面开始具体讲解它的实现流程。 一、 驱动DriverEntry的初始化 从DriverEntry(PDRIVER_OBJECTDriverObject, UNICODE_ST...原创 2018-12-26 10:24:51 · 1131 阅读 · 0 评论