liujiayu2的专栏

玩点技术

源码免杀--反调试代码,免杀爱好者必备的利剑

源码免杀只处理特征码还是不够的,必须要加入反调试代码,这样才能更持久更耐用。这里就发几个暗夜经常用的反调试代码给大家。   1. HKEY ck; char strreg[] = {'S','O','F','T','W','A','R','E','\\','O','D','B'...

2017-09-14 19:18:34

阅读数:469

评论数:0

教你怎样源码免杀

源码免杀也离不开手动定位特征码,但是修改比较容易,灵活性也比较大,接下来就听危险漫步给各位慢慢的来分享分析。 一、如何查找特征码 查找特征码与代码的对应位置,是这篇文章首先需要了解的基础。为了方便我们查找,在编译的时候生成map文件,选择vc工程选项(project),在下拉菜单中选择...

2017-09-14 11:56:40

阅读数:1053

评论数:0

支持64位系统的XOR加密后内存加载PE绕过杀毒软件

http://bbs.pediy.com/showthread.php?t=203910 绝对自动支持32、64位的内存加载源码 无聊逛看雪时,看到了这个。 然后到github上找到了源。就是这里:https://github.com/fancycode/MemoryModule ...

2017-09-14 11:54:46

阅读数:343

评论数:0

源码免杀笔记

最近没什么心情写博客,似乎停止不前了,唉,越来越懒了,不知道怎么回事,整理以前的笔记,这个免杀的,不知道内容过时了没。 各个杀毒软件查杀特点不一样,大致总结以下,API函数,字符串,代码段,资源段。免杀方法大致有如下几种手段,动态函数调用,延迟加载DLL,合并区段,字符串隐藏,删版权换版权,...

2017-09-14 11:40:08

阅读数:248

评论数:0

源码免杀-过启发式的思路

定位免杀NOD32的一些经验 ----collect dying site:http://www.idying.cn 欢迎大家一起讨论 先说下定位方法: 1 NOD32不能正向定位的,定位出来也是不能修改的!针对nod32应该选择反向定位,开始位置为400 填...

2017-09-13 20:00:47

阅读数:347

评论数:0

小红伞和NOD32基于源码的免杀经验总结

小红伞和NOD32的杀毒引擎是非常厉害的,尤其是他们的启发式杀毒,简直快把病毒木马逼到了绝路。由于需要,这两天我和CG(一个高手)对一个远控软件进行了小红伞和NOD32的免杀。一开始很自然的拿出CCL对PE文件的病毒特征码进行定位,但是却定位到了导入表和PE文件头上(这两款杀毒软件的确太狠了)。没...

2017-09-13 18:37:17

阅读数:222

评论数:0

从内存中加载并运行exe(两种方法)

windows似乎只提供了一种启动进程的方法:即必须从一个可执行文件中加载并启动。      而下面这段代码就是提供一种可以直接从内存中启动一个exe的变通办法。      用途嘛,     也许可以用来保护你的exe,你可以对要保护的     exe     进行任意切分、加密、存储,  ...

2017-09-12 22:28:25

阅读数:511

评论数:0

直接将自身代码注入傀儡进程

EXE注入-傀儡进程 2008-08-16 16:38       直接将自身代码注入傀儡进程,不需要DLL。首先用CreateProcess来创建一个挂起的IE进程,创建时候就把它挂起。然后得到它的装载基址,使用函数ZwUnmapViewOfSection来卸载这个这...

2017-09-12 17:38:12

阅读数:145

评论数:0

直接运行内存中的代码

Windows的PE加载器在启动程序的时候,会将磁盘上的文件加载到内存,然后做很多操作,如函数导入表重定位,变量预处理之类的。这位仁兄等于是自己写了一个PE加载器。直接将内存中的程序启动。记得以前的“红色代码”病毒也有相同的特性。     直接启动内存中的程序相当于加了一个壳,可以把程序加密保存...

2017-09-12 17:37:36

阅读数:189

评论数:0

像加载DLL一样加载EXE

介绍 你可能已经被警告过,不要用LoadLibrary()加载可执行文件,你可能尝试这么做过,然后程序就崩溃了,所以你可能会认为这是不可能的。 但实际上这是可行的,本文就将介绍具体的方法。 声明 这好像跟微软说的有点不一样。实际上,微软没说不要加载,他们只是说“不要用LoadLibra...

2017-09-10 15:28:21

阅读数:146

评论数:0

异步socket优雅的关闭-CancelIO和SO_LINGER

我们在利用IOCP(完成端口)进行程序设计的时候,经常要关闭一些不满足条件的套接字。假如我们直接采用closesocket方法进行关闭的话,绑定到IO端口的此套接字的未发送的数据就会丢失,这种情况是我们不愿意发生的。下面介绍一种合理关闭此套接字的方法:   首先,利用setsockopt(MSDN...

2017-09-08 13:02:06

阅读数:825

评论数:0

高性能服务器开发-iocp

在windows下开发高性能服务器,通常采用的是iocp的模式。下面讨论几个常见的问题、解决方式。 1、WSANOBUF问题 假如我们有10000个客户端socket连接,为了接收他们发送过来的数据,我们需要预先投递10000个WSARecv。 假如每个异步读需要应用层程序员提供10k的...

2017-09-08 12:46:28

阅读数:390

评论数:0

勒索病毒WannaCry深度技术分析——详解传播、感染和危害细节

一、综述        5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击,有的单位甚至“全军覆没”,损失...

2017-09-07 13:06:41

阅读数:661

评论数:0

勒索病毒傀儡进程脱壳

样本是:wallet勒索病毒 环境:虚拟机VMWARE win7 32位 工具:OD,winhex 初次拿到样本,先用火绒剑工具监控下病毒样本的流程,可以看到有一个自创建进程的行为。 我们等找到OEP后,在CreateProcessA下断点进...

2017-09-07 09:59:46

阅读数:366

评论数:0

关于WSAEWOULDBLOCK错误

今天有朋友问我关于 Winsock 发送数据出错的问题,错误代码为 WSAEWOULDBLOCK。而刚好以前自己也遇到过这个问题,也研究过一下发生的原因,所以很顺利的帮朋友解决了问题,但由于自己语言表达能力太弱,所以干脆把原因分析写下来:“关于 Winsock Send 无法完成,返回 WSAEW...

2017-09-06 16:34:58

阅读数:139

评论数:0

send函数阻塞

以下内容转载时请注明出处。(原文链接:http://blog.chinaunix.net/uid-8489474-id-2031025.html) tcp协议本身是可靠的,并不等于应用程序用tcp发送数据就一定是可靠的.不管是否阻塞,send发送的大小,并不代表对端recv到多少的数据. ...

2017-09-05 20:26:34

阅读数:143

评论数:0

protobuf流的反解析Message

0x01 protobuf的基本概念 protobuf通过定义".proto"文件来描述数据的结构。.proto文件中用"Message"所表示所需要序列化的数据的格式。Message由field组成,Field类似Java或者C++中成员变量,通常...

2017-09-04 16:18:46

阅读数:1101

评论数:0

Burpsuite中protobuf数据流的解析 - Vincent

0×00 前言 对于protobuf over-HTTP的数据交互方式Burpsuite不能正确的解析其中的数据结构,需要Burpsuite扩展才能解析,笔者使用mwielgoszewski的burp-protobuf-decoder【1】扩展实践了protobuf数据流的解析,供有需要的同学...

2017-09-04 16:18:04

阅读数:480

评论数:0

RC4算法实现

1、密钥流:RC4算法的关键是根据明文和密钥生成相应的密钥流,密钥流的长度和明文的长度是对应的,也就是说明文的长度是500字节,那么密钥流也是500字节。当然,加密生成的密文也是500字节,因为密文第i字节=明文第i字节^密钥流第i字节; 2、状态向量S:长度为256,S[0],S[1].....

2017-09-04 15:10:59

阅读数:183

评论数:0

Protobuf 的 proto3 与 proto2 的区别

本文转自:https://solicomo.com/network-dev/protobuf-proto3-vs-proto2.html 总的来说,proto3 比 proto2 支持更多语言但 更简洁。去掉了一些复杂的语法和特性,更强调约定而弱化语法。如果是首次使用 Protobuf ,建...

2017-09-04 14:51:48

阅读数:1754

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭