利用未开启SafeSEH的模块绕过SafeSEH机制的细节问题

SafeSEH机制及绕过方式简介 1.SafeSEH会在程序编译的时候保存一份程序所使用的所有异常处理函数的地址 如列表 table[0]:0x40000100 handler1 table[1]:0x40000200 handler2 table[2]:0x40000300 handler3 2...

2019-03-12 00:19:28

阅读数 25

评论数 0

使用C调用Python,混合编程笔记

目的 1.由于微博网页结构再次更新导致之前的微博爬虫版本已经不能使用,所以对Python爬虫进行了一次更新 2.学习下如何使用Python与C进行交互,即如何将Python嵌入C++程序中 3.记录下进行此项工程时遇到的几个坑,以及如何结果/规避 前段时间实习工作的时候有听过Electron架构,...

2019-01-04 20:51:19

阅读数 33

评论数 0

LoadLibrary----windows10/7/xp

之前写的dll注入工具在windows 10下始终没法使用,跟踪调试后发现问题不在NtCreateThreadEx这里而在LoadLibraryW函数的使用上…………….. LoadLibraryW函数想加载D盘下的hack.dll时 如果写成 LoadLibraryW(L&quot...

2018-07-03 18:25:49

阅读数 129

评论数 0

MFC框架的DES文件加密机

TIPS: 1.选择 项目 属性,字符集哪里选择使用多字节字符集,不要用UNICODE字符集 2.项目在Windows 10 + VS2017 + X64 +Release下编译测试通过,非X64版本部分API接口可能不一样 3.肯定有BUG,后续有机会就修,暂时没发现 4.DES算法接口...

2018-06-26 15:46:34

阅读数 338

评论数 0

C++实现DES加密----算法

我的第一篇博客就是:C语言实现DES加密 今天重写的时候发现好像代码传错了,有些尴尬,其中有各种奇怪的问题….. 问题1.好多表,包括s盒之类的写成char类型了,应该写int类型才对 问题2.好多变量没声明就用了 问题3.为啥我当时要写这么多static??? 问题4.没头文件,代码全...

2018-06-26 15:31:55

阅读数 3492

评论数 7

X64下进程隐藏实现与Debug

之前写过几篇进程隐藏的技术贴,但是在X64下代码没有成功,昨晚深入调试了一会儿发现了问题所在,这里详细探讨下 先贴上完整的Hide.dll的cpp代码: #include "Hide.h" #define SystemProcessInformation ...

2018-06-26 15:31:06

阅读数 732

评论数 1

破解WinRAR去广告弹窗

WinRAR每次启动都会弹出广告,分析后发现去广告挺容易的…..仅作技术交流使用,切勿用于破解传播哦~ 1.目标:32位WinRAR去广告弹窗,单文件ko 2.OD载入找窗口相关的API调用发现有CreateWindowEx的调用,全部下断 3.F9运行记录哪个调用负责创建广告弹窗. ...

2018-06-24 01:27:33

阅读数 440

评论数 0

Windbg Preview调试分析CreateToolhelp32Snapshot

进程隐藏的时候并没有对CreateToolhelp32Snapshot进行Hook,而是Hook了ZwQuerySystemInformation,写了一个调用CreateToolhelp32Snapshot显示进程的小程序,分析一下,顺便了解下Windbg Preview怎么用. 1. 应用...

2018-06-03 18:18:26

阅读数 1028

评论数 1

逆向分析从x86到x64Tips

Tips1 在之前写的一篇文章 3环下的进程隐藏—-64位windows 10 中的提出的一个疑问: 本来以为x64下的地址为8字节,所以jmp 的address需要 -9 的,结果调试发现还是和x86一样 -5 就行了….. 这里就是 x86—->x64 逆向...

2018-05-31 20:19:16

阅读数 154

评论数 0

远程代码注入

TIPS 1. 之前写进程隐藏的时候写了个dll注入工具,这个工具会想目标进程写入dll名称,然后利用loadlirary加载dll。如何让那个程序调用loadlirary的呢?是用了CreateRemoteThread这个函数,翻译过来就是创建远程线程,为什么微软要提供一个这样的函数呢?其实...

2018-05-29 22:16:14

阅读数 289

评论数 0

IAT-Hook 劫持进程Api调用

✪ω✪ 鹅厂面试的时候回答劫持API的各种Hook方式的时候,IAT-Hook应该算是最简单的一个。比IAT-Hook更难的是R3的5字节Hook,然后是热补丁Hook,SSDT-Hook….. 5字节Hook在前两篇进程隐藏中用过了,7字节主要是对API的要求比较高,这篇就更新IAT-Hoo...

2018-05-28 16:40:45

阅读数 581

评论数 0

3环下的进程隐藏----64位windows 10

搞了两天还没搞定,记录下这两天分析的结论和疑惑吧。。。。。 1. MSDN说ZwQuerySystemInformation这个API在windows 8以上取消了,x86的GetProcAddress是可以找到ZwQuerySystemInformation这个API的,x64的GetPro...

2018-05-27 15:24:01

阅读数 587

评论数 0

3环下进程隐藏------持续隐藏防新开

因为上篇进程隐藏存在这一些缺陷,比如只能对当前打开的任务管理器隐藏,关闭任务管理器重开就无法隐藏了,原因很简单,因为重开的任务管理器并没有被我们Hook,自然无效 Notes: 1.新版进程隐藏致力于解决这个问题 HideProc负责将Dll注入explorer.exe 和已经运行的 tas...

2018-05-23 18:29:45

阅读数 220

评论数 0

3环下进程隐藏

分析&注意事项 1.隐藏指定进程,即程序调用CreateToolhelp32Snapshot这个函数得到的进程链表中不能有我们需要隐藏的进程 2.除了CreateToolhelp32Snapshot可以遍历进程外还有EnumProcess也可以。逆向显示,这两个API都...

2018-05-22 22:57:21

阅读数 120

评论数 0

CyxvcProtect加壳程序研究与改进

花了2天时间读了一份完整的PE文件加壳源码,源码比较基础,没有使用代码偷取技术也没有使用反调试的应用。作为学习加壳程序编写的典型项目非常好用,原作者编码习惯非常棒,条例十分清晰,非常适合初学者学习。所以我在一边学习他的编写思路的情况下一边学习加壳技术,后续学习到的新技术都会在这个代码的基础上加以改...

2018-05-19 17:45:30

阅读数 139

评论数 0

还原0day----覆盖虚函数突破GS

接上一篇,与vc++6.0(并没有GS安全机制)不一样的是,vs2008启用GS后的实例内存布局有些不一样,结合0day代码探究下突破GS的具体细节 C++代码:vs2008 release 优化禁用 #include "stdafx.h" #include...

2018-05-12 22:23:05

阅读数 82

评论数 0

堆溢出&异常处理&探究虚函数&多态的实质

前两天跟着《0day》堆溢出部分研究了一下一直不太清楚的堆溢出原理,不同于栈溢出,堆溢出的难度确实很大,但是理解了之后其实也不难,栈溢出后可以通过返回地址的修改控制EIP寄存器从而得到程序的控制权。但是堆区写入得都是纯数据啊,怎么可能能控制EIP寄存器呢?堆溢出是怎么获得程序控制权的呢,这是我一直...

2018-05-12 13:19:45

阅读数 71

评论数 0

修改PE文件实现静态DLL注入

向PE文件注入DLL一般来说分为两种,一种是动态的,就是在程序运行中注入。还有一种是静态的,也就是修改PE文件达到DLL注入的效果。直接上实验步骤 实验(经过处理的NotePad,输入表下面有大量0000空余,无需进行移位操作): 1.LoadPE查看输入表 可以看到输入表的RVA是00...

2018-05-07 19:39:00

阅读数 1025

评论数 0

PE文件填充.dll原理解析

作为和杀毒软件的对抗技术出现的无特征码处理中一个比较小众,但是效果明显的技术就是.dll填充。而且作为一个上手即可使用毫无副作用的技术,作为预处理效果也非常明显。但是一直很疑惑为什么可以把输入表中的.dll填充了却不会影响程序的运行。下面会从PE装载器和loadlibrary的汇编代码角度解析这个...

2018-04-08 13:33:25

阅读数 126

评论数 0

com感染病毒分析

先附上com病毒的源码 virus.asm CSEG SEGMENT ASSUME CS:CSEG,DS:CSEG,SS:CSEG main PROC NEAR mainstart: CALL vstart vstart: POP SI MOV BP,SI PUSH SI MOV...

2018-04-02 16:51:17

阅读数 421

评论数 0

提示
确定要删除当前文章?
取消 删除
关闭
关闭