- 博客(10)
- 收藏
- 关注
RSS订阅原创 加壳器的编写
加壳器的编写加壳器主要分为两个部分:编写一个加壳器:1.写一个加壳器,首先是要可以打开一个文件,如果一个文件都打不开,谈什么加壳。1.1打开一个文件需要用GreateFileA 这个API。1.2关闭一个文件,GloseHandle 。2,写完一个壳,需要保存到一个路径中。2.1将文件保存到制定路径中2.2 获取文件内容和大小3.需要释放文件内容获取文件之后,就是...
2019-03-25 09:40:03
2476
4
原创 蔓灵花APT
蔓灵花APT样本一开始文件名是:Update Required Case Enq No 192_2018.docx.com样本截图:用到的方法是文件后缀名欺骗检查一下加没加壳该程序应该是由C编写的加载IDA开始分析,加载的时候可以看到pdb备注:/PDBPATH 将沿调试器搜索 .pdb 文件的同一路径搜索计算机,并将报告哪些 .pdb 文件(若有)和 filename 中指定的...
2019-03-21 20:28:05
1031
原创 QQ防撤回
QQ防撤回版本截图收集信息这一步非常关键,因为在分析时,思路如果不对,基本上是分析不出来的,这里我们从敏感字符串开始。先搜一搜撤销的英文单词如图知道了好几个单词,锁定关键字一个一个使用Notepad++的搜索功能,再文件中搜索。查看搜索结果,发现又两个和消息有关的,message所以有限分析IM.dll和MsgMgr.dll初步分析IM.dll和MsgMgr.dll使用Lor...
2019-03-21 20:10:05
15127
1
原创 PE文件加载流程
PE加载器流程1.将PE文件用ReadFile读取数据char szFileName[] = "1.exe";//打开文件,设置属性可读可写HANDLE hFile = CreateFileA(szFileName, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, ...
2019-03-20 09:11:18
4498
1
原创 加壳
加壳整个头部是以0x200粒度对齐的, 一般情况下,头部都有0x400字节的大小. 整个头部以区段头结尾. 然而区段头并没有完全占用剩下的所有空间, 往往都会有一些剩余的空间被0填充.当添加新的区段头的时候, 其实就是将新的区段头数据填入到这些剩余的填充空间中.下面开始给你的程序开始增加内容,通过2种方法,不管用什么方法,都需要先记录入口点,一会加区段的时候需要用,如果没记住,会有很大麻...
2018-12-29 16:10:14
772
原创 010(算法)
算法上一节写了暴力破解,这次就来分析一下010是怎么完成注册的,写一个注册机。还是继续打开注册窗口,在窗口输入一些字符串,打开OD进行点击确定之后,看断点,断点停到了关键CALL处,关键CALL下面保存了两个立即数ECX传参也就是this指针,可以理解为一个函数,然后看一下ECX里面到底是什么,右键->反汇编窗口跟随。观察一下,发现,注释上有一个ArryData,可以...
2018-12-28 21:33:28
403
原创 010(暴力)
暴力破解分析思路1.找到注册窗口2.测试注册窗口的反应3.根据反应做出下一步分析的打算 3.1猜测API、API下断点动态调试 3.2挑出敏感字符串,在程序中搜索4.动态分析,定位关键跳转,修改代码5动态分析,定位关键CALL,修改代码分析打开010后,可以试用一个月,如图所示点开之后,可以看到注册窗口可以随便输入信息,做一下测试,看一下有什么方便以后可以利用的信...
2018-12-28 21:19:39
200
原创 PE文件基础(不全还在补全) V1.0
PE的基本概念地址:PE中设计的地址有四类:1.虚拟内存地址(VA):用户的PE文件被操作系统加载进内存后,PE对应的进程支配了自己独立的4GB虚拟空间。在这个空间中定位的地址称为虚拟和内存地址(Virtual Address VA),所以虚拟内存地址的范围是0000 0000h ~ 0fffffffh 在PE中,进程本身的VA被解释为:进程的基地址+相对虚拟内存地址2,相对虚拟内存(...
2018-10-05 19:53:35
522
原创 线程,进程,模块
1.什么是线程? 答:一个线程就是操作系统的一个内核对象,在Windows操作系统内核中没有进程的概念,只有线程的概念,进程只不过是在逻辑上对一组线程及相关的资源进行的一种封装。 2.什么是进程? 答:进程是一个正在运行的程序,有一个虚拟的地址空间(4gb),地址空间有加载的exe,同时也有程序运行时所必须的dll,进程内核对象,至少一个运行的线程。 3.什么是模块,模块句柄的本质是什么?...
2018-09-04 20:25:35
523
原创 C语言贪吃蛇(备注,源码都有)
贪吃蛇小游戏 实现的功能: 1、有背景音乐 2、可随机生成障碍物 3、随机生成食物 4、能够绘制地图 5、有多种游戏难度(蛇移动的速度不同) 6、可绘制地图 7、有特殊食物(吃了以后会加分,蛇身子不会变长) 8、双蛇作战(由于用的是单线程,操作会有很大延迟) 9、有草地(可隐身)// 贪吃蛇.cpp : 定义控制台应用程序的入口点。#include "stdafx.h"...
2018-07-30 10:05:06
13342
12
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人