- 博客(36)
- 收藏
- 关注
RSS订阅转载 XueTr查找到未知内核模块如何定位这个模块的位置
有时候用XueTr能发现内核模块是未知的,很想知道这个未知的内核模块到底是个什么文件,躲在硬盘的哪个角落?可以用WINDBG 更改物理内存,这样就会蓝屏,然后再用WINDBG 分析dump文件。先反汇编那个未知模块某个地址处(用XueTr是可以看到未知模块的地址的)的代码,然后u XXXXXXXX,反汇编用eb XXXXXXXX 12 34 56 78 把XXXXX...
2012-09-04 07:55:00
136
转载 根据窗口找关键代码的一种方法
窗口→线程ID→线程开始地址→关键代码在破解一些软件的时候,程序经常会弹出一些对话框,说注册码不对啊之类的,用vc6.0的spy++可以这个对话框的一些信息,比如HANDLE name class 还有这个窗口所在的线程ID和进程ID,有了线程ID能不能得到线程开始的地址呢? 能,XueTr能够根据TheadID获取到线程的开始地址,网上看了下相关资料,是用 ZwQu...
2012-09-03 19:41:00
147
转载 指定窗口截图
这段代码是网上找来的,自己消化精简了一下。void CaptureWindow(HWND hwnd){ //获取窗口的width和height RECT rect; GetWindowRect(hwnd,&rect); //这个函数得到的是整个窗口的Rect,包括非客户区,而近要得到客户区的rect,请使用GetClientRect DWO...
2012-08-27 09:19:00
198
转载 根据文件句柄获得文件名
今天心血来潮,在MSDN中看到了一篇Obtain file name from Handle的文章,貌似是这么个标题,看到文章中用到了一个很重要的函数GetMappedFileName,缺点就是只能获得自己进程打开的文件,其它进程打开的文件貌似不行。基本思路就是根据HANDLE 创建映射文件,调用GetMappedFileName获得一个DosDevice路径,然后GetLogi...
2012-08-23 18:28:00
822
转载 最近收获的一些经验
patch代码或者数据一定要先调用VirtualProtect函数来修改内存的属性为最起码有可写属性,patch完毕要把内存的属性修改回来,最后FlushInstructionCache一下。转载于:https://www.cnblogs.com/shremie/archive/2012/08/19/2646057.html...
2012-08-19 06:29:00
70
转载 关于PDF文件加密器内存截取虚拟文件的一点想法
PDF文件加密器是利用acrobat SDK开发的一款APP。用这个APP加密的文件有好几种情况,我说的是知道了阅读密码,但是有阅读次数限制和阅读时间限制的情况,加密后的文件为一个exe文件,exe文件运用了BoxedAppSDK把解密后的pdf文件释放到内存中而不是硬盘上,下面细细说来。先说下我对BoxedAppSDK的一些理解吧。"BoxedAppSDK能够创建虚拟文件和虚拟注册...
2012-08-17 18:48:00
127
转载 最近在看PDFEncrypt
PDFEncrypt这个工具是利用acrobat SDK开发出来的应用程序,它可以用来加密pdf文件,加密后的文件是一个exe文件,运行exe文件之后输入password才能查看pdf文件,对于保护pdf格式的电子书还是比较有用的,这个exe会anti vmware,如果再虚拟机中跑的话,会有msgbox,另外还会kill 录频软件一些进程ly.exe,某些安全软件 XueTr,最后e...
2012-08-15 01:49:00
61
转载 dump文件失败?
前几天从卡饭样本区发现了一个456游戏的样本,该样本被恶意捆绑了远控,具体步骤是这样的,456游戏安装包安装完成之后,会在桌面生成一个快捷方式,这个快捷方式指向的却是一个52hxw.exe,52hxw.exe是一个白文件,它会加载目录下的hxw.dll并调用其中的EnableConversion导出函数,作者恶意构造了一个hxw.dll文件并导出EnableConversion函...
2012-08-13 02:33:00
436
转载 今天犯了个严重的错误,ReafFile之后没有SetFilePointer,就WriteFile
int main(int argc, char* argv[]){ WSAData wsadata; WSAStartup(MAKEWORD(2,2),&wsadata); char file[MAX_PATH]="c:\\WebGame.dll"; HANDLE hFile=CreateFile(file,GENERIC_READ|GENERI...
2012-08-13 02:19:00
118
转载 关于beginthreadex的一点说明
__beginthread函数的第三个参数是线程函数的地址,第四个参数是可以是一般的变量,也可以是一个函数的地址,如果是后者别玩了忘记分析这个函数,我遇到太多这种情况了,把线程函数分析了,却忘记了第四个参数也可能是一个函数。转载于:https://www.cnblogs.com/shremie/archive/2012/08/12/2634849.html...
2012-08-12 16:36:00
62
转载 关于VirtualAlloc
感觉windows分配内存就和人订酒店一样,你和前台说我要预订一个房间,不过我现在不住,这就是MEM_RESERVE。你和前台我现在要开个房间,现在就住这就是MEM_COMMIT.转载于:https://www.cnblogs.com/shremie/archive/2012/08/09/2629549.html...
2012-08-09 01:38:00
105
转载 分析Delphi程序的一些技巧
Delphi程序中一般会包含很多delphi的库函数,这些库函数往往是又臭又长的,用OD调试Delphi程序又不知道哪个call是库函数的call,哪个才是有用的call。怎么办?用ida加载下,然后选择合适的SIG文件(点下工具栏红色的小花),ida会标注库函数的名字,然后我们导出map文件,再用OD加载这个map文件,这样我们调试delphi程序就会省事许多了。转载于:https...
2012-08-03 23:49:00
193
转载 OrdinalFirstThunk
typedef struct _IMAGE_THUNK_DATA32 { union { PBYTE ForwarderString; PDWORD Function; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; } u1;} IMAGE_THUNK_DAT...
2012-07-25 00:49:00
92
转载 PEtools
改了改输出格式,之前的那个格式太乱了,今天改了改,发现不会控制输出格式啊。好看多了哈。Export Directory RVA:0x00000000 SIZE:0x00000000Import Directory RVA:0x000EBD7C SIZE:0x00000140Resource Directo...
2012-07-24 23:28:00
128
转载 最近在写一个PE工具
这东西很多人都已经写的不想写了,对于我来说,才是第一次啊现在已经完成了IsPeFile(判断一个文件是否为PE文件) ,ShowPeInfo(显示出IMAGE_DOS_HEADE\IMAGE_FILE_HEADER\IMAGE_OPTIONAL_HEADER的各个成员的值),RVA2Offset(相对虚拟地址转化为文件偏移),PrintfImportTable(打印处输入表的...
2012-07-22 00:51:00
154
转载 FFI中壳的特征码结构
今天心血来潮,想看下FFI是怎么判断一个EXE加的什么壳的,流程到底是怎样的呢?很明显的一点就是FFI最后是要把结果显示出来的,所以我们可以尝试下段SetWindowText函数,然后看栈中的数据,如果有MD5 ASPack等字符出现的时候那么说明判断壳流程的那个函数就在附近,根据这点就能找到关键代码了。我这里的是00410830。找到之后略微跟踪了下,不小心把特征码的结构...
2012-07-20 02:08:00
150
转载 一些指令
stc是set carry flag的简写,它会设置CF标志位为1,stc一般与jb指令配合相当于一个jmp。clc是clear carry flag的简写,它会清零CF标志位,cls指令一般与jnb指令配合相当于一个jmp。这两个指令我壳中见的比较多。转载于:https://www.cnblogs.com/shremie/archive/2012/07/17/25952...
2012-07-17 14:47:00
98
转载 asprotect的stolen code
最近研究asprotect的壳,真是我的一块心病啊,这asprotect,真心不好搞。01280253 68 26AE4500 push 45AE26 ; 40152401280258 66:9C pushfw0128025A 52 push ...
2012-07-17 01:45:00
132
转载 最近看了一个FakeQQ样本
收信地址为:173.252.194.248:1000,盗取的账号和密码发送的格式:ID=92|账号|密码刚又看了一个盗qq的,用的技术还是FakeQQ,收信地址为:http://173.252.1240/wj/user/mail.asp?ID=143-账号-密码100.bbaiduu123.bbaiduu123.com转载于:https...
2012-07-15 05:22:00
137
转载 Tengine
一边分析样本,一般在土豆听歌,突然没声音了,一看网页,原来是502 Bad GateWay错误信息如下502 Bad GatewayThe proxy server received an invalid response from an upstream server. Sorry for the inconvenience.Please report this mess...
2012-07-14 13:50:00
74
转载 RatMsgFlood 消息溢出工具
从卡饭弄到一个样本,虚拟机中跑了下,发现是个消息溢出工具,能够使窗口程序进程莫名崩溃。想看下实现原理,一看是vb写的,想当初就最怕遇到vb的和易语言的程序了,相当蛋疼,汇编代码又臭又长,这几天研究了下VB的程序,发现也不是那么难。在FindWindow下断点,很快就找到了关键点。程序中用的是PostMessage,实际上经过我的测试SendMessage也是可以的,自己用v...
2012-07-13 14:28:00
70
转载 VB程序中如何找到自定义函数
1.VB的程序从入口点从进入了VBVM60.DLL中的ThunRtMain之后就不知道什么时候回到主模块中,让人很是费解,实际上在VBVM60.DLL中有段专门计算返回到主模块地址的代码。红色部分为HEX特征码。733BAE5A 8B7C81 0C mov edi, dword ptr [ecx+eax*4+C] ; 这里是计算地址的733BAE5E 57 ...
2012-07-13 10:06:00
413
转载 最近流行的过杀软方法
白加黑,所谓白加黑就是用第三方的软件的某个模块实现加载,而这个模块是完全没毒的,而且还有数字签名,该模块会加载dll文件,我们写一个恶意的dll,这个dll导出那个模块需要的函数。典型的,就是暴风影音的升级程序。BaofengUpdate.exe会加载目录下的Update.dll中的RunUpdate函数。所以我们自己写一个Update.dll并且导出RunUpdate...
2012-07-12 22:58:00
414
转载 VB6.0的DllFunctionCall
00402183 68 60214000 push 0040216000402188 B8 00124000 mov eax, <jmp.&MSVBVM60.DllFunctionCall>0040218D FFD0 call eax而00402160地址处的数据如下00402160 FC 20 4...
2012-07-12 14:12:00
276
转载 关于对抗获取SSDT地址的一点想法
分析某样本的时候我发现此样本中某函数是通过重定位表获取SSDT表RVA的,其中某段代码会检测ntkrnlpa.exe IMAGE_FILE_HEADER中的chracteristic是否有relocation stripped属性,如果有则直接返回。据此,我们是否可以把ntkrnlpa.exe添加上relocation stripped属性,添加上这个属性的话,该文件的checksum...
2012-07-12 10:31:00
66
转载 一些关于SSDT的东西
先转载下某个博客园网友的文章,这里表示下感谢。http://www.cnblogs.com/hhuai/archive/2010/03/01/1675389.html//////////////////////////////////////////////////////////////////////////////////////////////////////////////...
2012-07-12 09:50:00
85
转载 asprotect的入口点变形
一个程序如果用普通的加壳程序处理之后,脱壳之后的程序应该和原来的程序是一模一样的,压缩壳普遍都是这种情况,但是对于某些加密壳来说有入口点保护的功能,会把你原本程序的入口点的代码改变,同时在其中加入一些垃圾代码,导致你脱壳后的入口点代码和未加壳程序入口点代码是不一样的,但是不影响程序的结果,相当于把你入口点的代码给变形了。某个vb程序用asprotect 加壳之后用脚本顺利到达入口点处,我...
2012-07-12 01:08:00
78
转载 wikitionary
一直以来用的最多的就是wikipedia了,今天在搜索的过程中发现还有个wikitionary,不错,有音标,有发音,解释也专业。转载于:https://www.cnblogs.com/shremie/archive/2012/07/07/2580658.html...
2012-07-07 15:39:00
339
转载 sys文件的checksum
驱动文件在编译时会按照某种算法把这个文件的checksum值写入到PE头中,在加载sys文件的时候,系统会按照这种算法计算一下这个sys文件的checksum值,把结果和PE头中的checksum比较,相等则加载成功,反之则加载失败。下面是我最近分析过的一个样本的某段代码:释放的sys文件末尾被追加了随机数据,如果加载的话,操作系统计算该sys文件的checksum值和该文件...
2012-07-07 12:51:00
82
转载 如何用Source Insight 在reactos源码中快速找到某个函数的源码
方法:先找函数的头文件,在头文件中找函数的声明。下面是摘自百度知道的回答http://zhidao.baidu.com/question/205546175.html1.打开窗口:view->relation windows2.鼠标移动到你需要的函数处,点击relation windows窗口的刷新按钮(你懂的).3.在relation windows下,...
2012-06-29 02:37:00
357
转载 关闭UAC
转载于:https://www.cnblogs.com/shremie/archive/2012/06/26/2563272.html
2012-06-26 10:37:00
103
转载 突然明白了原来我的QQ密保是这样被盗的
盗QQ,也不一定非要用上什么高深的技术才行,你需要的只是一个思路,要另辟蹊径。比如当用户发现密码被盗后,要通过密保找回,这时候会弹出一个网页。就是这里,我们想办法把这个网页替换成我们的自己的网页,这样,用户的密保什么的都妥妥的知道了。 有密保,照样盗。转载于:https://www.cnblogs.com/shremie/archive/2012/06/13/2548264.htm...
2012-06-13 17:52:00
350
转载 DLL导出表会保存这个DLL原始的名字
我们知道DLL在编译时会把这个dll的名字写入到DLL的导出表中。有很多病毒在释放dll的时候,都会用GetTickCount或者其它包含随机性质的函数来生成一个随机名字的dll,虽然你名字是随机的,但是导出表中的DLL名字就把你出卖了。这点可能对计算机取证有点帮助吧。转载于:https://www.cnblogs.com/shremie/archive/2012/06/13/2...
2012-06-13 02:30:00
94
转载 一个字节干扰OD分析
看上面这段代码是不是感觉很奇怪??根据汇编代码的意思不管标志位是多少都要跳转到00401012处执行,此处的机器码是8B 45 08 对应的汇编代码其实是mov eax,dword ptr[ebp+8]。 而00401011处的E8(对应的汇编代码是call)导致反汇编引擎反汇编出错误的代码,但实际上执行的代码还是正确的。有时候你在反汇编窗口看到的代码和执行的代码是不一样的。执行...
2012-06-13 00:15:00
116
转载 点一下就安装
以前见到的网页中的软件,你点击一下是浏览器开始下载,然后浏览器下载好,你要手动运行安装的。刚刚在游民星空看到一软件,你点击一下网页上面的图片,浏览器下载之后然后自动安装,测试网址(http://www.gamersky.com/Soft/201110/30850.shtml快快游戏)通过任务管理器可以看到相关的进程却是存在,不知道这种效果是怎么实现的? 如果把那个软件替换成一个木马的...
2012-05-30 22:10:00
73
转载 验证PE文件有效性
1 // IsPE.cpp : Defines the entry point for the console application. 2 // 3 4 #include "stdafx.h" 5 #include "windows.h" 6 BOOL IsPeFile(char szFile[]); 7 int main(int argc, cha...
2012-05-30 06:59:00
141
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人