- 博客(23)
- 收藏
- 关注
RSS订阅原创 汇编
指令mov两个操作数必须是同样的大小。两个操作数不能同时为内存操作数。指令指针寄存器(IP、EIP 或 RIP)不能作为目标操作数。64位模式 可以将8位 16位 32位常数送入 高位清零 32位寄存器送入会使高危清零movzx 全零扩展 无符号整数movsx 全符号扩展 有符号整数 不能为常数lahf 将标志寄存器低八位加载到ahsahf 将ah保存到标志寄存器xchg 交换操作数 不能同时为内存操作数 不能为立即操作数,不影响标志位inc dec 加一 减一 不会影响进位标志位.
2021-03-22 17:51:44
1021
原创 内核编程
内核编程一. 驱动程序概述1. 介绍每一个进程都有一个4GB的进程空间,储存了进程需要的所有代码和数据,并分为用户空间和内核空间不同进程的用户空间相互隔离,互不影响,共享内核空间,操作系统通过内核层代码给应用程序提供支持用户空间代码不能直接访问内核空间,执行的命令也有限制,内核空间代码可以执行特权指令,用户层访问内核层也需要通过特定的接口我们编写的驱动程序,并非是平时我们看到的一个能够运行的程序,而是加载到内核空间中,成为操作系统的一部分,作为应用程序与硬件的桥梁,为应用程序提供支持的一个模块
2021-03-22 17:50:34
2228
原创 异常处理分发机制
异常分发原理详解1详解2TEB结构体详解- 解析SEHint main(void){55 push ebp 8B EC mov ebp,esp 6A FE push 0FFFFFFFEh 68 C0 8E 43 00 push 438EC0h 68 A0 1A 43 00 push off
2021-03-22 16:13:59
997
原创 中断与异常
中断与异常- 中断与异常中断:主要由外部硬件产生,被操作主动通知CPU,产生中断,异步事件,可以不处理外部硬件与CPU通过PIC(pragmmtable interrupt controller)进行通信(共16根,主IRQ(0-7),从(IRQ2引出))当外部硬件产生中断,CPU会从PIC读取两个字节(0xcd 0x中断编号)异常:CPU(程序)内部产生的中断称为异常,同步事件,必须处理相同:都会产生一个中断号,就是IDT(interrupt descriptor table)的索引号
2021-03-21 11:16:40
533
3
原创 调试器原理
调式器原理1. 对目标进程进行调试创建进程调试: //保存启动信息的结构体 第一个变量cb为结构体大小 STARTUPINFO si = { sizeof(STARTUPINFO) }; //保存进程信息的结构体 PROCESS_INFORMATION pi = {}; //以调式的方式创建进程 bool result = CreateProcess( path, //文件路
2021-03-21 11:15:24
401
原创 逆向基础特征分析
逆向基础特征分析栈帧通常开始需要开辟栈帧,初始化安全cookie, (j_CheckDebuggerJustMyCode)通常一个函数的结束需要对eax即对返回值赋值,恢复寄存器环境,检测安全cookie是否被改变,平衡堆栈(esp+xx),检查(CheckEsp),关闭栈帧开栈操作 通常初始化安全cookie(ebp-4),保存非易失性寄存器(如ebp,esi,edi),初始化栈帧开辟栈帧的作用是把ebp作为基址调用参数和变量参数通常大于8字节的参数,先开辟栈帧在赋值小于四字节的参数会被
2021-03-21 11:10:33
622
原创 010EditorV8.0.1逆向分析
1.样本概况1.1 应用程序信息 ----------------------应用程序名称:010Editor V8.0.1 32位MD5值:9288F75678EB40C94398DD9F86E1C378SHA1值:9B5891A124EF051A1175CB5249633AB956474A39简单功能介绍:1. 010 Editor是一个专业的文本编辑器和十六进制编辑器2. 同时也是强大的二进制编辑工具,能查看和编辑硬盘驱动器上的任何二进制文件(文件大小无限制)和..
2021-03-21 10:49:19
630
原创 QQ连连看逆向分析
1.样本概况1.1 应用程序信息 ----------------------应用程序名称:QQ连连看MD5值:05C759844703E7D4822DDE966284ABABSHA1值:48C1D825C230196BD962AC294FA1990B6D41AD7F简单功能介绍: 1. 游戏模式:点击练习开始 2. 规则:选中两个相同的图案,直接的连线转弯不超过2次就可以消除 3. 道具:指南针可以自动消去两个可以消除的相同图案,初始有三个...
2021-03-21 10:26:27
1052
原创 扫雷逆向分析
1.样本概况1.1 应用程序信息 ----------------------应用程序名称:扫雷(基于Windows xp系统)MD5值:16A4FD569A3EB5CEBEB3DA99EF1D17E1SHA1值:31A1A89BA067EA95F117754818429D6D8E8E59CF简单功能介绍:1. 游戏模式:分为初级,中级,高级,自定义模式2. 自定义:可以设置游戏界面的高度(max=24),宽度(max=30),雷数(max=667)3. 游戏窗口..
2021-03-21 10:11:57
2435
原创 CVE-2017-11882漏洞分析
1. 软件简介Office 是一套由微软公司开发的办公软件,为Windows和AppleMacintosh操作系统而开发。与办公室应用程序一样,它包括联合的服务器和基于互联网的服务。Eqnedt32.exe为各版本的微软Office公式编辑器组件2. 漏洞成因CVE-2017-11882属于缓冲区溢出类型漏洞,产生漏洞原因于EQNEDT32.EXE(微软office自带公式编辑器)进程在读入包含MathType的ole数据时,在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校
2021-03-21 09:56:27
1646
原创 PCManFTP v2.0(CVE-2013-4730)漏洞分析
1. 软件简介PCMan's FTP Server是洪任谕程序员所研发的一套FTP服务器软件。该软件具有体积小、功能简单等特点。2. 漏洞成因PCMan's FTP Server 2.0.0版本中存在缓冲区溢出漏洞。该软件由于未能有效处理FTP命令的长度字符(最大0x1000),进而在调用字符串拷贝函数时(和sprintf功能相同)未判断长度引发栈溢出漏洞,导致攻击者可以远程执行任何命令。用于FTP登录的“USER”命令即可以触发此漏洞,也就是可以在未获取FTP的访问权限的前提下,就
2021-03-21 09:44:49
744
原创 CVE-2012-0158漏洞分析
1. 软件简介Microsoft Office 2003 sp3是2007年9月18日由微软公司创作的一个办公软件。精简版包含 Word、Excel、PowerPoint、Access、OutLook 五大组件常用功能(可选安装)2. 漏洞成因CVE-2012-0158发生在office的一个组件MSCOMCTL.OCX,多个版本office的该模块都存在这个漏洞,MSCOMCTL.OCX这个漏洞模块是office解析activeX控件用到的一个动态库,如果一个office文档中包含acti
2021-03-21 09:36:03
1325
原创 CVE-2012-1889(暴雷)漏洞分析
1. 软件简介IExplorer为微软公司开发的浏览器。Microsoft XML Core Services(MSXML)微软XML分析程序是一组用于用Jscript、VBScript、Microsoft开发工具编写构筑基于XML的Windows-native应用的服务,用于处理XML中可扩展样式表语言(XSLT)。XML分析程序基于微软的元件对象模型(COM),它实质上是XML语法分析器和XPath处理器的应用编程接口(API)。语法分析器将XML数据组织成树状结构以便于处理,处理器将XML转换
2021-03-21 09:18:04
1379
原创 3601病毒分析
1.样本概况1.1 样本信息病毒名称:3601所属家族:ZardMD5值:B5752252B34A8AF470DB1830CC48504DSHA1值:AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18CRC32:4EDB317F病毒行为概述:- 文件操作行为:0. 删除病毒进程文件,使用随机文件名创建新的病毒文件并启动进程1. 遍历目录生成lpk.dll文件,覆盖原dll文件,同时还创建其他文件- 系统操作行为: ...
2021-03-20 19:57:42
1332
原创 熊猫烧香病毒分析
1.样本概况1.1 样本信息病毒名称:熊猫烧香所属家族:FujackMD5值:512301C535C88255C9A252FDF70B7A03SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870CRC32:E334747C病毒行为概述:- 文件操作行为:0. 自我复制到C盘,C:\Windows\System32\driver目录下,结束自身并启动C:\Windows\system32\drivers\spo0lsv.exe .
2021-03-20 19:41:42
3514
1
原创 Wannacry病毒分析
1.样本概况1.1 样本信息病毒名称:Wannacry所属家族:WannaCryptMD5值:DB349B97C37D22F5EA1D1841E3C89EB4SHA1值:E889544AFF85FFAF8B0D0DA705105DEE7C97FE26CRC32:9FBB1227病毒行为概述:1. 创建服务并已服务的方式启动,并释放tasksche.exe文件在系统目录下并启动2. 设置服务主函数,在局域网,互联网内445端口连接SMB漏洞攻击3. tasksche.e
2021-03-20 19:09:26
2663
原创 64位PE
PE64(x64)注意事项64位PE文件被称为PE32+,PE+, PE64解析x64位PE时应该注意地址大小,PE64涉及到指针时应该都是64位PE64结构IMAGE_DOS_HANDLEPE64的DOS头与PE32没有区别typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp;
2021-03-20 08:43:38
935
原创 DLL
DLLDynamicLinkableLibrary,是实现共享函数库的一种方式通常来说,动态链接库文件里面也包含了程序运行所需要的代码和数据。也就是说动态链接库文件也是可执行文件,但是它不能单独运行,动态链接库是给其他可执行文件提供函数的。分类:导入库随着dll一起生成的就是导入库,里面不包含任何代码,只给链接器提供信息用于导出DLL中的函数优点:模块性,只需要调用,不需要关注实现更新方便,只需要替换dll文件节约内存,共用一份dll缺点:缺失dll,程序无法运行对象库(静态库)
2021-03-20 08:41:03
150
原创 解析数据目录表
解析数据目录表- 导出表void AnalyzeExportsTabel(char* lpImage){ //1 获取到导出表的结构 PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)lpImage; PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + lpImage); //1 获取到导出表的数据目录结构 PIMAGE_DATA_DIRECTORY
2021-03-20 08:28:31
292
原创 二. 计算机中的数据
二进制B 八进制O 十进制D 十六进制H 一位八进制等于三位二进制,一位十六进制等于四位二进制 高进制转向低进制 用辗转相除,逆向取余法 小数部分用正向取整法 转成十进制用权位相加法如何理解不同进制和十进制之间的关系:比如我们有一个十进制数:3245.89D3x1000+2x100+4x10+5x1+8x0.1+9x0.013x10^3+2x10^2+4x10^1+5*10^0+8x10^-1+9x10^-2比如我们有一个二进制数:4...
2021-03-01 15:06:18
122
原创 一. 计算机的基本认识
逻辑与逻辑电路 1.联言命题,选言命题。 2.布尔代数的基础:并且x,或者+,非!,它的出现宣告了用数学处理逻辑问题的开始。 3.香农,将逻辑代数与电路结合到一起 逻辑电路 与门 或门 非门冯诺依曼的核心思想 计算机:是能够按照事先存储的程序高速,自动的对数据进行输入,处理,输出,存储的系统 程序:程序是一组计算机能够识别并执行的指令(指令无非就是数字),程序就像人类的传令官,将旨意传达给计算机,让计算机去执行。 指令和数据:指令是指计算机能...
2021-03-01 14:59:13
599
原创 C语言运算符优先级
C括号成员第1 //括号运算符 [] ()成员运算符 . →全体单目第2//所有的单目运算符比如++、--、+(正)、-(负)、指针运算*、&乘除余三,加减四: //这个余”是指取余运算即%移位五,关系六; //移位运算符 << >>:,关系:< > >= <=等等于(与)不等排第七: //即==和!=位与异或和位或三分天下八九十://这几个都是位运算:位与(&)异或(^)位或(|)逻辑或跟与: //逻辑运算符:..
2021-03-01 14:48:11
634
转载 PE详解
(一)基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。 PE文件的结构一般来说如下图...
2020-12-24 08:45:53
1328
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人