加密解密
`北极星
物来顺应,未来不迎,当时不杂,既过不恋
展开
-
关于Hash收邮件
在windows平台上使用NTLM Hash 收邮件,可以结合EWS接口,并在C++层IAT HOOK ncrypt.dll 导入的 bcrypt.dll.BCryptHashData函数。这个函数包含了NTLM Hash验证的明文数据,抓到NTLM验证请求的时候,用服务端返回的Challenge 和已知的密码Hash 再把各种HASH重新计算一次填充到数据包中返回给服务端。为什么要这么做?因为EWS 接口中没有带Hash的接口,只能先用一个错误的密码填充 ,然后在底层再重新用正确的HASH 填充。原创 2021-04-06 18:36:20 · 297 阅读 · 0 评论 -
反调试学习
1. INT 2DINT 2D 原为内核模式中用来触发断点异常的指令,也可以再用户模式下触发异常。但程序调试时不会触发异常,只是忽略。在调试模式中执行完INT 2D后,下条指令的第一个字节将被忽略,后一个字节会被识别为新的指令继续执行。INT 2D的另一个特征是,使用F7 F8命令跟踪INT 2D时,程序不会停在下条指令开始的地方,而是一直运行,知道遇到断点,就像使用F9命令运行程序一样,原因原创 2015-05-11 18:02:19 · 1315 阅读 · 0 评论 -
各种编程语言查找按钮事件
一、VB程序 其实,VB的按纽事件的找法是最为普遍的,也就是大家所谓的万能断点.其实也不仅仅是针对按纽事件,还有很多其他的用处,如取消NAG,启动框,灰色按纽或隐藏按纽,启动时的timer事件等等,具体的就自己去总结吧,这里只演示按纽事件!OD载入后,CTRL+B,816C24 确定后,就会来到下图处: 然后,就在下面的JMP处F2下断,下完后CTRL+L,如果还有,就转载 2013-11-15 17:36:00 · 999 阅读 · 0 评论 -
安卓动态调试七种武器之孔雀翎 – Ida Pro
作者:蒸米地址:http://drops.wooyun.org/tips/68400x00 序随着移动安全越来越火,各种调试工具也都层出不穷,但因为环境和需求的不同,并没有工具是万能的。另外工具是死的,人是活的,如果能搞懂工具的原理再结合上自身的经验,你也可以创造出属于自己的调试武器。因此,笔者将会在这一系列文章中分享一些自己经常用或原创的调试工具以及手段,希望能对转载 2015-09-07 18:36:54 · 1530 阅读 · 0 评论 -
回忆那些年我们一起爆掉的PG
*****************************************************@c:@set ENTRY_GUID={46595952-454E-4F50-4747-554944FFFFFF}@bcdedit -create %ENTRY_GUID% -d "Microsoft Windows 7" -application OSLOADER@bcded转载 2015-09-06 11:45:50 · 888 阅读 · 0 评论 -
浅谈被加壳ELF的调试
0x00 ELF格式简介:注:本文只讨论如何调试被加壳的ELF文件,包括调试中的技巧运用及调试过程中可能遇到的问题的解决方法,不包含如何还原加固的DEX本文将以某加壳程序和某加固为目标ELF全称:Executable and Linkable Format,是Linux下的一种可执行文件格式。 此种文件格式和WINDOWS一样,常见分为两种类型:可执行文件(转载 2015-09-07 17:38:03 · 2229 阅读 · 0 评论 -
检测当前进程是否存在硬件断点
当前一些外挂为了躲避检测,不会去patch游戏内存代码,而使用硬断的方式来间接修改。以下代码片段为了检测当前进程是否存在硬件断点而写:char buff[MAX_PATH] = {0};DWORD __stdcall ThreadFunc(void* param){ DWORD dwID = GetCurrentProcessId(); HANDLE hSnap = Creat原创 2015-09-18 17:44:55 · 3070 阅读 · 0 评论 -
虚拟机保护技术浅谈
转载于看雪论坛对加密与解密的内容进行了一些总结、重新归纳整理,加入了自己的理解;希望对新手有所帮助。 《加密与解密》第三版 第471页虚拟机保护技术 虚拟机概览 所谓虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始转载 2015-11-12 14:29:37 · 2179 阅读 · 0 评论 -
虚拟机检测绕过总结--不定时更新
对于一些不确定行为的程序,比如外挂、木马病毒等,需要在虚拟机里运行来观察其行为。但是很多的程序都加了壳保护,并且有检测虚拟机运行环境,如果是在虚拟机里,则退出。有什么方法可以绕过虚拟机检测呢?1. 普遍的绕过方法:disable_acceleration = "TRUE"monitor_control.restrict_backdoor = "TRUE"isolation.to...原创 2015-09-22 10:53:30 · 33652 阅读 · 5 评论 -
IDAPython的妙用
看过Python灰帽子的密友都知道IDAPython在逆向的场景中常常能够发挥出巨大的威力,笔者偶然一次在逆向的过程中使用了它,下面就来总结一下使用的一些注意事项:环境:IDA 6.1 ,android 2.3 AVD。我这个IDAPython的版本是:-------------------------------------------------------------------原创 2014-03-04 10:29:23 · 16077 阅读 · 0 评论 -
xx技术收集汇总
1. 运行后删除自身:BOOL __cdecl sub_403754(){ CHAR CmdLine; // [sp+4h] [bp-400h]@1 GetModuleFileNameA(0, PathName, 0x104u); wsprintfA(&CmdLine, "cmd.exe /c del \"%s\" ", PathName); WinExec(&CmdLin原创 2015-09-28 14:13:31 · 749 阅读 · 0 评论 -
XX游戏R3层反调试 初探
转载于织梦未来本机环境:win7 64位首先用工具PC Hunter 来查看下应用层钩子 首先直接映入眼帘的就是DbgBreakPoint,DbgUiRemoteBreakin,DbgUserBreakPoint 这三个inline hook 对反调试做得手脚 len(1) ntdll.dll->DbgBreakPoint 0转载 2015-12-24 16:12:23 · 8439 阅读 · 7 评论 -
wireshark 过滤法则
最近在学习wireshark这个强大的网络分析工具,在这里给大家分享一下wireshark的过滤法则:一、IP过滤:包括来源IP或者目标IP等于某个IP比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP ip.dst addr==192.168.0.208 or ip.dst a转载 2015-07-09 10:33:05 · 1271 阅读 · 0 评论 -
利用ACL保护游戏
使用一种比较偏僻的方法来实现应用层反调试。这个方法是windows的 访问控制列表(ACL)。应用这个方法可以阻止其他进程打开被保护进程。调试器在附加一个进程时需要OpenProcess,如果在程序中加入访问控制列表,拒绝某些程序访问,就可以阻止其他进程包括调试器打开游戏进程。使用访问控制列表保护的基本方法如下:1. 初始化一个Secrity Identifier安全身份牌,用来后原创 2016-02-24 18:17:52 · 951 阅读 · 0 评论 -
wireshark 抓取本机到本机的包
转载于:https://www.cnblogs.com/luhouxiang/p/3606976.html在进行通信开发的过程中,我们往往会把本机既作为客户端又作为服务器端来调试代码,使得本机自己和自己通信。但是wireshark此时是无法抓取到数据包的,需要通过简单的设置才可以。 具体方法如下:①:以管理员身份运行cmd②:route add 本机ip mask 255.255.255....转载 2018-11-12 13:19:19 · 1407 阅读 · 0 评论 -
utraedit 英文版安装后菜单乱码解决办法
在win10 英文版系统上安装了 UE中文版后发现菜单是乱码的,于是卸载UE,重新装了个英文版的,发现安装英文版后还是乱码。试了几种办法,最终发现是第一次安装中文版后留下了菜单相关的文件,后续安装并没有覆盖,导致乱码。具体路径:c:\users\***\Appdata\roaming\IDMComp\把这个文件夹删除就行了。...原创 2018-11-30 10:30:48 · 806 阅读 · 0 评论 -
IDA6.8 显示中文字符串
作为一个逆向工程师,经常会使用到IDA。可IDA默认不支持中文字符串,碰到有中文字符串的程序时,IDA显示的结果一点都不友好。 摸索了一下,如果要让IDA显示中文字符串,需要做一些修改。 1. 修改IDA配置文件 cfg\ida.cfg. 搜索“cp866”, 然后(CP866 version)的AsciiStringChars 注释掉, 将(...原创 2019-05-15 17:42:11 · 3398 阅读 · 0 评论 -
命令行关闭开启和删除驱动服务
停止服务:net stop cryptsvc设置服务为禁用:sc config cryptsvc start = disabledsc delete cryptsvc原创 2014-10-11 18:26:04 · 17062 阅读 · 0 评论 -
Ollydbg 编写脚本的一些语法及例子(OD脚本)
OllyScript脚本语言是一个种类汇编的语言。你使用它来控制ODbgScript和脚本运行.在后面的文档中, “源操作数” 和 “目的操作数”表示以下含义:- 十六进制常数,既没有前缀也没有后缀。 (例如:是00FF, 而不是 0x00FF 和 00FFh的形式)十进制常数,在后缀中加点. (例如:100. 128.也可以是浮点数128.56,浮点数只能保留小数点后2位)转载 2014-08-15 21:32:26 · 3082 阅读 · 0 评论 -
详解OD脚本的写法续之进阶篇
昨天给大家写了简单壳的脚本的写法,相信大家对一些简单壳都已经学会自己去写脚本了,至少已经能看懂脚本了吧。好,今天就继续给大家讲稍微难点的壳的脚本的写法,希望大家能好好掌握。前提是,你已经看了昨天的基础篇,并已经学会写一些简单的脚本。废话不多说,开始今天的内容。首先来个稍微简单点的壳的脚本的写法:MoleBox 2.x的壳当然,我们首先还是来手脱一下这个壳。所以说,写脚本转载 2014-08-15 21:33:10 · 2977 阅读 · 0 评论 -
[Debuggers] OD加强版 自动过anti,不飞不飞
来源:http://www.52pojie.cn/forum.php?mod=viewthread&tid=35713&reltid=15368&pre_pos=9&ext=CBOD载入程序就自动退出是比较恼人的,还没开始调试呢就退出了,这可让人如何是好。不过初学破解的人一定会遇到这个问题。网上虽然有零星的介绍但都不全面,以下是我总结的一些,希望能对各位初学者有所帮助。(比如Peid、FI转载 2012-05-09 15:44:09 · 3400 阅读 · 0 评论 -
IsDebuggerPresent解密
看看IsDebuggerPresent函数的秘密:7C812E03 > 64:A1 18000000 mov eax, dword ptr fs:[18]//指向TEB自身,也就是FS7C812E09 8B40 30 mov eax, dword ptr [eax+30]//指向PEB7C812E0C原创 2012-05-09 16:49:37 · 1703 阅读 · 0 评论 -
利用Windows异常处理和RDTSC指令反调试学习
利用Windows异常处理和RDTSC指令反调试学习 最近在学习反调试,刚好学到用rdtsc指令反调试。学习加密解密这么久了,感觉自己对Windows的异常处理还是了解得不透彻,所以决心自己好好学习跟踪一把。 于是自己写了个小对话框程序,添加了一个按钮,按钮单击代码如下:voidCAnti_debugDlg::OnTest(){原创 2012-05-15 17:10:33 · 5113 阅读 · 0 评论 -
破解常用的断点设置
转载于看雪论坛:http://bbs.pediy.com/showthread.php?t=31609设置好断点对于破解的成功是非常重要的,下面列举了一些常用的断点设置. bpx hmemcpy 破解万能断点,拦截内存拷贝动作(注意:Win9x专用断点) bpx Lockmytask 当你用其它断点都无效时可以试一下,这个断点拦截按键的动作(Win9x专用)转载 2012-05-02 20:26:37 · 917 阅读 · 0 评论 -
几种典型程序Button处理代码的定位
原文:http://bbs.pediy.com/showthread.php?t=20078首先1 od 下运行程序,F12 暂停;2 View菜单中选击Windows项,在打开的窗口中可以从Title栏看到目标按钮,从而找到它的Handle(xxxxxxxx) ;对不同平台生成的程序,分别处理:一、VB, Delphi, CBuilder 程序:3 在CallWi转载 2012-05-02 21:27:44 · 2508 阅读 · 0 评论 -
几个重要的数据结构
用windbg看比较直观0:000> dd fs:[0]003b:00000000 0012fd0c 00130000 0012e000 00000000003b:00000010 00001e00 00000000 7ffdf000 00000000003b:00000020 00000240 00000524 00000000 00000000003b:0000003原创 2012-05-18 14:53:09 · 934 阅读 · 0 评论 -
我的VC花指令方法,VC花指令,反跟踪技术
在VC加入花指令,我在几年前就尝试使用了,一点心得,大家交流:-----------------------------------------------------------1、首先,定义各种花指令的宏,可以单独放到一个.h文件中,也可以直接在程序的首部定义,我建议放到.h文件中。注意,所有转移标号和call的地址用相对地址符号$表示,以楼上的问题为例,格式如下:转载 2012-05-21 20:07:03 · 2573 阅读 · 0 评论 -
第三方库汇总
压缩解压类Libmspack: A library for Microsoft compression formats 地址:http://www.cabextract.org.uk/libmspack/ 加密算法类原创 2013-12-05 10:58:56 · 816 阅读 · 0 评论 -
加密解密心得
1. 破解按钮对话框,先下相应对话框的消息断点,断下来之后,再下GetWindowTextA/W和GetDlgItemTextA/W的断点,顺序不对的话,会严重影响调试的效率原创 2012-05-14 17:06:53 · 2476 阅读 · 0 评论 -
How to read a PCap file from Wireshark with C++
C++解析pcap文件,循环处理每个数据包。以下为转载:In my Computer Security class I am taking as part of my Masters of Computer Science course, we need to parse a Pcap dump file.PrerequisitesIt is expected you have V原创 2014-03-19 13:58:34 · 1658 阅读 · 0 评论 -
于破解过招,保护你的共享软件
——此文曾作为连载刊登于《电脑报》2003年41、42期,如要转载,请注明出自《电脑报》——本人仅是一名初学者,如有疏漏之处,还请列位前辈们指教,谢谢![email protected] 共享软件是软件业目前世界上比较热门的话题,国内更是如此。成千上万的中国程序员以极大的热情投入到这个领域来,都憧憬着用辛勤的劳动来获得丰厚的回报;但,实际并非如此,绝大多数的人都弑羽而归。值得注意的是转载 2014-05-09 15:37:59 · 814 阅读 · 0 评论 -
IDA base64 F5
Base64 解码特征signed int __cdecl base64_decode(BYTE *p_str_base64, int str_len, int p_out_bytes, int p_bytes_get){ signed int result; // eax@3 int v5; // [sp+0h] [bp-1Ch]@11 int sum; // [sp+4h]原创 2014-05-27 10:24:21 · 1799 阅读 · 0 评论 -
PE完整结构图
从网上转过来的一张PE结构图,转载 2014-08-07 15:16:29 · 7013 阅读 · 0 评论 -
第一次碰到VMProtect
第一次碰到虚拟机保护技术,确实很强大!用OD和ImunityDbg一加载,直接退出,不给任何跟踪的机会!用windbg打开,因为默认不是停在程序的入口,故一打开直接报 凭着自己已往的经验,找到程序的入口点,直接修改入口的两个字节(INT 3),程序爆出异常,再选择调试,却还是静静地退出了。好比你想去参加一个盛会,但是却连入场的资格都没有~ 心里那个苦!闷!然后就在网上到处寻找方法,原创 2012-05-09 16:04:31 · 2494 阅读 · 1 评论