- 博客(6)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 安卓防附加和防调试源码实现。
在NDK中实现代码如下,可以直接拷贝就可以用。原理:先用fork()把自身的进程先给附加了,其他进程就附加了,这样就能实现反调试。JNIEXPORT jboolean JNICALL Java_com_protectSelfPid(JNIEnv *, jobject){ pid_t child; child = F(); long orig_eax; if(0 == child) { ptrace(PTRACE_TRACEME, 0, N......
2020-12-29 15:10:26
1903
3
原创 木马病毒外挂的5点思考。
分析木马,病毒,主要是要分析出该exe的流程,一般通过网上找资料,IDA逆向,主要通过分析出进程中的网址、收信息的地址。验证下文件或exe是否是pe结构。 分析盗号木马或者病毒,一般可以通过木马或病毒的接收服务器已经本地保存的进行入手分析整个的流程。盗号的一般都是用LSP注入方式(注册表注入)。 远控木马和最近非常流行的白加黑远控木马存在较大的差异,最近发现的白加黑远控最大的特点就是利用了系统文件rundll32.exe文件外加一个黑的dll文件,在传播方面至少需要三个文件,分别是rundll32.ex
2020-12-29 10:59:08
3604
12
原创 c++中接口文件导出接口FAQ
隐式加载lib:需要xxx.lib,xxx.h两个结合。显示加载dll: 需要xxx.dll文件。(更具灵活性)1.如果选择MFC静态库,那么调用lib的函数名称不用写上Extern”C”可以直接写上__declspec(dllexport) int WinLinCense_add(int a, int b)调用也是一样的,而且函数名称不会被修改,如果要保证不被修改,那么要写上exetern“C”如果选择如果要让导出的函数名称不发生变化...
2020-12-29 10:53:56
1808
3
原创 分析游戏外挂样本的9大诀窍
分析外挂需要考虑是否修改了代码,数据,是否有模块注入。可以用pchunter中dump外挂运行前后的代码段来判断。如果发现外挂有驱动文件,那么就把驱动文件dump出来,用ida静态分析下,如果发现有大量的读写操作。驱动文件肯定会和应用层进行通信,我们可以hook DeviceIOControl来打印通信的数据。 外挂无注入模块,猜测通过跨进程读写内存,修改代码或模拟协议实现。使用netpeeker网络抓包工具,观察外挂网络收发包情况,发现并没有大量发包过程,猜测可能通过跨进程读写实现或修改代码实现。...
2020-12-22 15:14:02
5204
15
原创 游戏安全的一点思考
移动的游戏能够稳定健康的上线。主要需要依赖以下在四个方面:第一是前端展示,或者说客户端正常运行。性能稳定不崩溃,不过热能够稳定运行。第二是后端,或者游戏后台服务端的。不但要稳定。还有能在有限的服务器资源下,能承受大量的同时在线用户。而且要让游戏中的每个模块都能够承受承受大量的同时在线用户。第三是安全也是重点之中。这既包括客户端,又包括服务端。客户端的安全,包括要防被破解,要防外挂,防协议被解析,防客户端本地数据的泄密。服务端的安全,主要包括防渗透,防中间人攻击,防加速齿轮,防DDOS分布式拒绝访问攻
2020-12-19 10:43:16
3854
12
原创 安卓逆向:重温Thumb汇编指令细节
主要内容1.Thumb指令集详解2.Thumb直接访问的寄存器3.Thumb指令集组成部分详解4.Thumb和arm状态却换5.Thumb的常见应用场景1.Thumb指令集详解•ARM处理器支持两种指令集:ARM指令集和Thumb指令集。•ARM指令集指令长度为32位,Thumb指令集指令长度为16位。在16位外部数据总线宽度下,ARM处理器上使用Thumb指令的性能要比使用ARM指令的性能更好。•存在Thumb指令的意义:兼容数据总线宽度为16为的应用系统。2.Thumb直接
2020-12-16 10:19:50
3122
3
当前最全安全资料汇总
2019-04-23
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人