- 博客(28)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 通过BlueNoroff攻击手法发现使用新文件类型绕过MoTW
(MOTW)标志,是一种安全措施,当用户尝试打开从互联网下载的文件时,Windows会通过检查对应的标志显示警告消息,并作出有效限制。例如,当从`internet`获取`Microsoft Office`文件时,
2022-12-28 19:28:28
275
原创 剖析Gorgon APT的新变体GuLoader(CloudEyE)对抗技术
GuLoader,或者也被称为 CloudEye,是一个小型 VB5/6 下载器恶意软件。通常,它会从 Google Drive 下载远程访问工具(RAT)和窃取程序,例如 Agent Tesla,Arkei/Vidar,Formbook,Lokibot,Netwire 和 Remcos。
2022-11-24 11:42:22
1183
原创 anti-debug你必须知道的基础篇 All in one
这将是一个进阶的系列,当全部完成的时候笔者会弄成一个git手册供自己以及有需要的人查看。在实际对抗中,可能有些别样的代码的Anti结构似曾相识,或许是一个结构体,或许是一段赋值,但是在找这些结构体的时候经常需要东查西查,所以,here we go~~
2022-10-24 20:58:35
883
原创 从LLVM IR 来看编译器“优化”都在做些什么(release)
这些东西可以讲很深,但今天只会带大家看些简单的LLVM IR跟 组合语言,并且举一些例子来讲 编译器”优化” 在做些什么。今天的示例会以Rust 为主,因为Rust 编译器的核心是建立在LLVM 之上,所以也支持编译成LLVM IR。虽然如此,就算你完全不了解LLVM 跟Rust 也还是可以读,因为今天会从LLVM 是啥开始讲,而且用到的Rust 语法也超超简单。...
2022-08-29 19:40:59
838
翻译 在 Trezor One 上重现故障注入攻击
这篇文章旨在提供一个路线图和示例,说明如何复制故障注入攻击以及尝试这样做时可能出现的障碍和缺点。此外,通过概述复制其中一种攻击的过程。
2022-08-23 20:44:20
350
原创 [FlareOn4]IgniteMe
没有壳,也看不出什么语言写的,逆向分析一波:用writeFile函数伪装起来的printf函数,但是功能一样,sub_4010F0卵用没有,sub_401050函数是主要判断:v4返回的是一个定值,动态调试就能出来,v0就是接收函数的整的花里胡哨。对输入的字符串,最后一个字符xor 0x4,然后之后按位和前一个异或,最后和403000比较,keygen:byte_403000=[0x...
2020-03-31 20:48:33
1586
原创 看雪Q1流浪者 简单 wp
资源见上传文件,这里很多人使用ida进行静态分析,但是这样太依赖那个F5键了,我会用od进行一步步反调试得到keyGen.先根据关键字符串得到主要跳转(我是这个办法),然后可以看到附近时一个简单的跳转语句:只是定位到跳转还不行,往上稍微翻一下,就可以看到一个按照一个序列取出相对应ascii的操作,代码如下:我一开始在这停留了比较久的时间,是因为我看到栈控件已经有输入的字符串,以为之前的...
2019-11-20 00:26:17
223
原创 加密与解密 第四版第 5 章学习笔记
由于之前比赛当中反复遇到反调试程序,并且一直都掉在这个坑里面,现在开始着手对反调试技术的学习。第五章的基本概念就不对赘述,现在直接展示它所提到的调试代码方式:TraceMe.exe文件在附件里面有。本章提到的破解是数据约束性原理破解程序:首先运行程序,然后输入用户名jt123,密码是123,然后checK会提示错误信息:然后用winhex打开程序,按ALT+F9,打开内存编辑窗口,选定T...
2019-11-11 11:58:24
299
原创 XCTF 逆向 easyre-153 简单wp
先附上题目链接下载链接讲真,这道题让我的感受到了自己的菜,连这个题目都要考虑这么久,甚至最后需要看wp我有点虚。不废话直接上解题步骤:下载完之后发现是elf文件,拖入到kali中运行,发现没反应:查看一下文件格式file命令:很明显没有section header,这就说明是加过壳的程序,可以使用die查壳,我这边猜他是正常upx壳,直接放到upxshell中果然:只要拖进去就可...
2019-10-18 19:55:34
1023
原创 XCTF 逆向 re1-100简单wp
题目下载链接:re1-100下载之后拖到kali中运行一下发现,超级简单的demo,直接让输入密码:查看文件属性,发现是64位的elf:拖到ida 64进行分析,讲真,第一眼看到这个缩略图我以为进行了代码混淆,后来发现是我想多了。第一个IF语句判断就是liunx正常创建管道读写我们输入的值(应该是我理解的),后面的才是有意思的部分:直接了当的判断,然后前十个数字必须是53fc27...
2019-10-17 21:27:26
758
原创 XCTF 逆向 simple-check-100 简单wp
国庆最后几天忙着出去玩耍了,还是刷一道题目保持手感,附上题目链接:simple-check-100下载之后就是三个文件,其实就是一个exe,另外是elf文件,只是环境不一样而已的程序而已。直接双击运行,发现题目意思超级简单就是输入key,得到flag。然后拖到ida进行逆向分析:意思超级简单,就是判断输入的值是否满足条件,然后得到flag,起初我还试图去逆向intersecting_fun...
2019-10-06 22:56:45
792
原创 反调试技术(1) 函数检测
什么是反调试反调试是一种重要的软件保护技术,特别是在各种游戏保护中被尤其重视。另外, 恶意代码往往也会利用反调试来对抗安全分析。当程序意识到自己可能处于调试中 的时候,可能会改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试 时间和复杂度。反调试技术(1)函数检测函数检测就是通过 Windows 自带的公开或未公开的函数直接检测程序是否处于调 试状态。最简单的调试器检测函数是 I...
2019-10-04 23:05:27
1426
原创 XCTF 逆向 catch-me wp
##这是一个简单的wp,我将介绍我下载之后的处理过程。下载完之后在kali上用file函数看一下文件类型:也可以用python的magic库进行查看(这是我借鉴别人的思路):知道是XZ comressed data之后,需要进行解压,直接在windows下把文件名后缀加上.zip就可以进行解压。这里我出了一点小问题,我是现在win解压之后再拖到kali下面,再解压一次才得到的源码然...
2019-10-04 15:19:01
390
原创 xctf re2-cpp-is-awesome
这是一篇简单的wp,下载二进制文件在kali上面跑一下,可以看到是命令行函数估计是C++写的然后file指令看一下文件属性:发现是64位x86的。然后拖到ida分析:直接string进入到字符串找到我们需要的字符串位置,然后定位到函数所在位置:发现有特殊字符串Better …我们定位到相关函数所在位置然后交叉引用一下,定位到主函数位置:对伪C代码进行分析可以看到判断输入错误函数:...
2019-10-01 22:11:18
205
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人