灰帽子Python 学习记录 5

最新推荐文章于 2024-09-26 19:15:00 发布
最新推荐文章于 2024-09-26 19:15:00 发布
阅读量558 收藏
点赞数
分类专栏: 学习记录 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MarStarck/article/details/51420039
版权

WaitForDebugEvent


这个函数是等待调试事件,每次捕捉到的时候就返回一个debug_event


然后同样用notepad ++ 做实验,记录每次的eventCode:

Enter pid:75160
OpenProcess Successful, HANDLE 504
Event Code: 3 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 2 Thread ID: 160916
Event Code: 2 Thread ID: 74764
Event Code: 2 Thread ID: 79780
Event Code: 2 Thread ID: 355492
Event Code: 2 Thread ID: 364512
Event Code: 2 Thread ID: 26488
Event Code: 2 Thread ID: 357596
Event Code: 2 Thread ID: 358200
Event Code: 2 Thread ID: 358180
Event Code: 2 Thread ID: 353488
Event Code: 2 Thread ID: 26904
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 6 Thread ID: 92528
Event Code: 2 Thread ID: 48852
Event Code: 1 Thread ID: 48852
[*] Exception address: 0x77e68d20
[*] Hit the first breakpoint.
Event Code: 4 Thread ID: 48852


可见一开始的时候,捕捉到3号事件码,对应含义为创建一个新进程。然后6号,载入dll。随后一连串的2号码创建新线程,刚好和上文的11个线程对应。随后又是一连串6号码载入dll,估计和这个exe关联的dll个数也是对应的。最后214发生例外,结束。

这样,根据eventCode可以得知不同的例外事件类型。

奇怪的是明明程序早就打开了,为什么还会捕捉到一堆创建程序时的线程呢?对这方面不怎么懂。

MarStarck
关注
专栏目录
Python 帽子笔记之调试器
Teman的博客
03-10 4071
前言:近日阅读《Python帽子-黑客与逆向工程师的Python编程之道》看的我是云里雾里,单单这个调试器就各种Google资料,现在也是懂了点点,感觉做下笔记,以便后续继续学习手写一个调试器有助于我们理解hook、进程注入等底层黑客技术具体实现,在编写过程中需要涉及大量Windows内核编程知识,因此手写调试器也可以作为启发式学习内核编程的任务驱动。要想调试一个程序, 就需要与目标程序建立某种联
帽子python学习(2)--ctypes的了解
lijunw101的专栏
07-03 659
被动态链接的库(dynamically linked library)本质是一个二进制文件,自己并不运行,而是被调用后执行。 在windows上叫dll文件,在linux上叫shared objects共享库即.SO文件。 无论怎样的平台,我们对函数的调用通过函数名来完成,然后在内存中找出真正地址,so要调用函数需先解析出函数地址。 ctypes解决上述问题提供了三种方法:cdll(),wi
python帽子入门_《python帽子学习笔记:调试器设置
weixin_39820136的博客
12-04 99
一、构造 C 数据类型C Type        | Python Type      | ctypes Type_______________________________________________________________________________________char         | 1-character      | string c_charwchar_t ...
python帽子入门_《python帽子学习笔记:写一个windos 调试器(一)
weixin_39779032的博客
12-04 206
lpApplicationName指向一个NULL结尾的、用来指定可执行模块的字符串。这个字符串可以是可执行模块的绝对路径,也可以是相对路径,在后一种情况下,函数使用当前驱动器和目录建立可执行模块的路径。这个参数可以被设为NULL,在这种情况下,可执行模块的名字必须处于 lpCommandLine 参数最前面并由空格符与后面的字符分开。lpCommandLine指向一个以NULL结尾的字符串,该字...
帽子Python 学习记录 6
MarStarck的专栏
05-16 1738
啊啊啊啊啊今天搞了一天总算tm搞定了 topic:软件中断INT3 首先回顾一下理论原理。INT3中断就是将断点位置的第一个字符替换为CC,然后将原来的字符保存起来。这样遇到CC开头的就会停下,等中断处理完后再用原来的字符替换回去。 实验:运行print_loop.py,里面的内容为一个死循环,不断地调用msvcrt里的printf函数打印数据。然后找到printf函
帽子Python 学习记录 8 内存断点
MarStarck的专栏
05-18 626
内存断点原理:就是通过设置内存块页面的权限,使其成为保护页。这样当CPU访问该页面时,就会触发保护页的访问异常,产生中断。需要调用异常处理函数将权限恢复从而继续执行。 实现步骤: 1. 找函数的地址还是和前面一样 2. 通过VirtualQueryEx传入地址,获取一个填充好的MEMORY_BASIC_INFORMATION结构,里面包含页基址、页大小等信息。 3. Virtu
帽子Python 学习记录 4
MarStarck的专栏
05-15 616
今天一直在撸,以及有点别的事,所幸晚上有点愧疚,还是抽出半个小时搞了一下。 本篇的课题是读取CPU寄存器的值,步骤如下: 1. CreateToolhelp32Snapshot:根据pid获取进程详细信息,如堆、线程、模块等,返回值为一个句柄 2. Thread32First:根据1中句柄获得一个指针,指向包含第一个线程信息的结构 3. Thread32Next:下一个线程的条
帽子python 学习记录 3
MarStarck的专栏
05-14 1151
本篇的课题是附加进程。这个常坑爹,昨天没搞定,今天才搞好。 跟上篇产生进程不同,附加进程为附加到一个指定的进程,这样可以跳过启动步骤。 首先还是惯例,按书上的代码抄了一遍,写下一点理解吧: 步骤: 1,通过pid获取进程句柄,调用函数为OpenProcess 2,通过句柄附加进程,调用函数为DebugActiveProcess 3,通过WaitForDebug
帽子python学习(1)
lijunw101的专栏
06-01 714
无意中发现帽子python中文版,等学习完了,再找个英文版的学习一下吧。 今天主要记录 下载工具,我本本上已安装python3.3 vmware虚拟机上安装ubuntu自带安装了python2.5 在linux测试是否安装,同样输入python,是否有版本信息输出,打印一个欢迎世界也ok,退出exit()即可。 在http://debugger.immunityinc.com/下载im
python学习源码和开发应用技术
07-30
- **Python帽子中文**:此资源聚焦于安全领域的Python编程知识,适合对网络安全感兴趣的读者深入学习。 - **80个Python经典资料(教程+源码+工具)汇总**:这是一个非常全面的学习资源集合,涵盖了从基础到进阶的...
Python帽子学习笔记(一)—— pydbg软钩子部署
PoXiaoFeng的博客
05-25 1214
利用pydbg库实现软钩子挂载,获取并修改目标进程数据。
Python帽子学习笔记(二)——Immunity Debugger部署硬钩子
PoXiaoFeng的博客
05-26 2396
本文利用python帽子第六章硬钩子脚本框架,完成对自编译软件printf函数入口、出口的硬钩子部署工作。
解决vs2012报错 无法打开包括文件“SDKDDKVer.h”: No such file or directory
MarStarck的专栏
12-01 5250
解决方法: 在项目的包含目录里添加: $(WindowsSDK_IncludePath) 在项目的库目录里添加: $(WindowsSDK_LibraryPath_x86)或者 $(WindowsSDK_LibraryPath_x64)
latex够用手册
MarStarck的专栏
12-08 922
每次用完就忘了,所以整理起来备忘 - -   插入图片: \begin{figure} \centering \centerline{\includegraphics[width=8.5cm]{picturename.jpg}} \label{fig:eg} \caption{这张图用来阐述一个艰深的问题.} \end{figure} 引用图片: \ref{fig:eg}
帽子python 读书笔记 1
MarStarck的专栏
05-13 745
论文交上去坐等答辩毕业,于是闲来看看这本书。 书里的代码用python 2.5 + win32系统,我手头的是python3.4 + win64系统,所以会有点不一样,就当做是读后实践的考验了。在这里记录一下遇到的问题,也方便后来参考吧。 废话不多说,第一章,导入ctypes并调用printf。 书中代码: from ctypes import * msvcrt =
帽子Python 学习记录 7 硬件断点INT1
MarStarck的专栏
05-17 745
原理回顾:硬件断点就是通过对cpu的寄存器进行设置,把断点的地址存在dr0~dr3里,然后在dr7设置属性。在跑到该地址时,进行中断处理。同样处理完后要把寄存器里这些改动再改回去。 在实现上,需要添加2个函数:bp_set_hw用来添加硬件断点和exception_handler_single_step用来处理中断事件。 添加硬件断点的步骤: 1. CreateToolhel
帽子python 读书笔记 2
MarStarck的专栏
05-13 746
今天的学习点是调用ctypes的createProcess函数来启动程序。 主要包括数据类型的映射和结构的映射等。 按书中的代码边抄边理解了之后,调用calc.exe,出现结果: [*] Error: 0x00000002. 查了错误表,说是没找到文件。 机智的我把path_to_exe打出来: C:\Windows\WinSxS\amd64_m
VeighNa:强大的Python开源量化交易平台
最新发布
Unity打怪升级
09-26 710
VeighNa(简称 VN 或 vn.py)是一个基于 Python 的开源量化交易平台,专为量化交易爱好者和专业交易员设计。VeighNa 是由国内开发者社区推动的开源项目,旨在提供一个功能丰富、灵活且易于扩展的量化交易解决方案。该框架不仅支持多种资产类别的交易,如股票、期货、期权、加密货币等,还支持多种交易接口和协议,使得用户能够轻松进行多市场、多品种的交易策略开发和部署。
黑客与逆向工程师的Python编程指南:《帽子Python
"《帽子Python编程》是一本专为黑客和逆向工程师编写的书籍,由Justin Seitz撰写。这本书是关于如何利用Python这一强大工具进行技术探索和安全领域的实践。作者以其在信息安全领域的专业知识,深入浅出地讲解了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值