ret-sync插件:windbg/ollydbg+ida逆向调试神器

ida有不少主流调试器的扩展插件,如windbg/gdb等,可以在静态分析的基础上动态调试二进制文件。可是众多调试器扩展中没有兼顾ollydbg,难免觉得是一项缺憾。 最近在github上发现一个插件:ret-sync,不仅弥补了ida对ollydbg支持的空白,还额外支持x64dbg/ll...

2019-07-15 21:55:28

阅读数 150

评论数 0

借助Process Monitor(ProcMon.exe)逆向一个CrackMe

一位名为Arkantos的作者,在Crackmes.cf(Crackme.de的镜像站点)站点上提交了一个Crackme,难度级别为1-very_easy_for_newbies。这种入门级别的Crackme其实不足以写博客,只是它的逆向过程正好可以用Process Monitor来完成,写这篇文...

2019-06-27 23:46:26

阅读数 89

评论数 0

gdb 查找动态库方法

转自:IT超人 当GDB无法显示so动态库的信息或者显示信息有误时,通常是由于库搜索路径错误导致的,可使用set sysroot、set solib-absolute-prefix、set solib-search-path来指定库搜索路径。 1. set sysroot 与 set soli...

2019-06-03 16:39:53

阅读数 34

评论数 0

Debugger commands (!poaction, !poreqlist) that make my life easier (part 2)

Today's commands are related to power, they are: !poreqlist !poaction !podev (covered in the last topic) !poreqlist will list all outstanding PIRP...

2019-06-01 21:06:50

阅读数 29

评论数 0

Debugger commands (!drvobj, !devobj, !podev, !devstack) that make my life easier (part 1)

Over the next few days I'll talk about different debugger commands which I use to make driver development easier, especially when debugging my driver...

2019-06-01 20:55:18

阅读数 12

评论数 0

Debugging Bug Check 0x9F: DRIVER_POWER_STATE_FAILURE

In Windows Vista and later version of Windows, when the system changes power states i.e. transitions from a working state (S0) to a lower power state...

2019-06-01 20:19:51

阅读数 44

评论数 0

How to debug Windows bugcheck 0x9F, parameter 3

转自:Michelle Bergeron This post is for driver or kernel developers/enthusiasts who have encountered a Blue Screen of Death on Windows where thebugche...

2019-06-01 19:25:44

阅读数 18

评论数 0

取巧方式无限制试用Source insight3.5

这周一直在逆向Si3.5(版本号3.5.66.0),加密算法被还原出来了,但是因为懒惰,不想写注册机。没有注册机,其实等于没有破解SI,于是,我尝试各种取巧的办法可以无限制使用si。 以试用方式激活si后,每次启动时,都会显示剩余的试用天数: 红字部分应该是形如"Trial ...

2019-03-22 14:24:12

阅读数 231

评论数 0

Ettercap系列IV:闭嘴吧天猫精灵----ettercap过滤器的应用 [Ettercap系列完结撒花]

年前给儿子买了个天猫精灵,广告说这是智能音箱提供海量音乐!有很多音乐不假,但是为什么还附带一堆的儿歌?每次回家想听音乐,儿子就会强行播放儿歌。遥想起: When I was a boy,跟我妈抢遥控器,抢赢了,下图你们熟悉吗?抢输了,陪着看TVB妈妈剧。 When I was a youn...

2019-03-02 01:57:53

阅读数 812

评论数 0

使用USB 3.0进行windbg调试

转自:debug_master 1. 名词约定 目标机(target):被调试机器 主机(host):运行调试工具(windbg)的机器 2. 系统要求 1> USB 3.0调试线 特殊定制的USB 3.0 AM-AM线缆,淘宝可以直接买到 2&gt...

2019-02-25 14:17:39

阅读数 122

评论数 0

Cheat Engine进阶教程:gtutorial-i386闯关记 第三关 [完结撒花]

    作者续前一关变态作风,gtutorial第三关依然是不修改游戏无法过关(至少我不能!):左下角那个白色小人是玩家,画面上3个刺猬是移动障碍物,玩家触之即死。游戏提示为:将所有红色平台变绿即可开门。     整个游戏有2个难点:难点1,如果不修改游戏,玩家无法从平台A跳上平台B,更何况地面...

2019-02-20 14:13:05

阅读数 242

评论数 0

Cheat Engine进阶教程:gtutorial-i386闯关记 第二关

    进入第二关后会看到如下界面:     第二关简直丧心病狂,除了要1vs2,电脑攻高血厚(攻击力和血都是玩家的2倍);更要命的玩家一次只能攻击一个目标,但是会同时受到2个目标的还击,躲都躲不了。换句话说,除非改代码,否则根本无法过关。如果Freeze玩家HP,侥幸干掉一个目标,剩下的一...

2019-02-16 17:22:55

阅读数 156

评论数 0

Cheat Engine进阶教程:gtutorial-i386闯关记 第一关

    网上清一色介绍Cheat Engine目录下Tutorial-i386.exe的闯关教程,几乎没人关注过gtutorial-i386.exe的闯关步骤。那就容我抛砖引玉,能过几关就写几篇教程。     运行gtutorial-i386.exe,第一关作者意图为:玩家操作小飞行器射击目标,...

2019-02-16 11:57:29

阅读数 302

评论数 0

x64位软件调用约定II

x64 calling convention [节选] This section describes the standard processes and conventions that one function (the caller) uses to make calls into ano...

2019-02-14 23:28:55

阅读数 663

评论数 0

x64位软件调用约定I

1.Common Visual C++ 64-bit Migration Issues When you use Visual C++ to create applications to run on a 64-bit Windows operating system, you should b...

2019-02-13 23:42:14

阅读数 683

评论数 0

windbg .kdfiles 命令替换驱动程序

How Do I Replace A System File? Try .KDFILES 如何替换系统文件?试试 .kdfiles命令 While the Windows DDK includes numerous buildable driver samples, including a n...

2019-01-30 17:17:49

阅读数 104

评论数 0

Ettercap系列番外篇:Arpspoof断网攻击

    写了这么多Ettercap,插一个小插曲,简单提一下arpspoof。arpspoof也是ARP嗅探工具,用于断网攻击就像是提炼石油时获得沥青一样,并非主要用途。arpspoof需要用到linux内核转发功能。内核转发一般用在2种场景: 1.主机上2块网卡,一块接内网,一块接外网;将内网...

2019-01-29 17:06:38

阅读数 303

评论数 0

调试运行在Wow64子系统下的程序----x64版windbg调试win32程序

    大家有没有遇到过这种情况:程序崩溃了,windbg分析线程堆栈时,输出了一堆乱七八糟的调用栈。更烦心的是,这堆调用栈中根本找不到跟自己程序相关的信息。来看一个类似的场景:运行C:\Windows\SysWOW64\calc.exe (win32版的calc.exe),windbg(x64 ...

2019-01-29 14:15:35

阅读数 132

评论数 0

Ettercap系列III:ettercap插件/DNS欺骗

    不知道大家有没有用过cain&abel这款软件,它是一款集成化的套件,除了可以执行ARP毒化,还可以用来收集OS指纹等。Ettercap也是类似的一款套件,它的插件提供了DNS欺骗/采集OS指纹等功能。通过ettercap -P list查看可用的插件及其简介: ...

2019-01-24 16:33:45

阅读数 105

评论数 0

去除WinRAR 5.01(32位) NAG窗口

    前阵子重装系统,顺手下了一个免费的WinRAR(32位 版本号5.01)。用了没多久发现这货带NAG窗口,关闭NAG窗口后居然还跳出广告窗口,如下图,不胜其扰下决定去除NAG窗口。     毕竟WinRAR是商业软件,鬼知道有没有反调试机制,先把它拖进WinDIE发现无壳,还是c++...

2019-01-23 13:50:05

阅读数 113

评论数 0

提示
确定要删除当前文章?
取消 删除