- 博客(20)
- 资源 (40)
- 收藏
- 关注
RSS订阅转载 IP分片和TCP分段
转自:IP分片和TCP分段MTU和MSS的概念MTU最大传输单元(Maximum Transmission Unit,MTU)是指一种通信协议的某一层上面所能通过的最大数据包大小(以字节为单位)。例如:以太网MTU值为1500字节,802.3的MTU值为1492字节。MSS最大分段长度(Maximum Segment Size)是TCP协议头部的一个选项,MSS是指TCP报文...
2018-08-24 13:10:07
2372
转载 IDA-创建自己的sig文件
转自: 花熊工具flirt68.zippcf.exe/pcf: 生成一个模式文件.patsigmake.exe: 生成一个签名文件.sig流程创建PAT生成pat文件,pat.txt文件说明各个模式的格式。第一部分列举了它所代表的函数的初始字节序列,最长为32个字节。一些字节因为重定位的入口而有所不同,这些字节将得到“补偿”,每个字节以两点显示。。如果一个...
2018-08-24 11:40:02
3087
转载 TCP Reassembly
转自:wiki.wireshark.orgWireshark supports reassembly of PDUs spanning multiple TCP segments for a large number of protocols implemented on top of TCP. These protocols include, but are not limited to, ...
2018-08-24 11:20:20
1159
转载 关于wireshark中“TCP segment of a reassembled PDU”
转自:dog250. 这篇应该是网上解释wireshark info栏中"TCP segment of a reassembled PDU"比较合理的一篇,以下是正文。为什么大家看到这个以后总是会往MSS,TSO上联系呢?也许第一个解释这个的人是个高手,而且以MSS/MTU/TSO的观点解释了这个问题,还有一种可能就是TSO等技术让人觉得太牛逼,毕竟是底层硬件机制吧,抓包机制又是作用于网卡层面...
2018-08-24 10:49:09
1635
转载 Wireshark系列之7 利用WinHex还原文件
转自:yttitan接下来我们利用WinHex从保存的原始文件中将上传的图片还原出来。将之前保存的temp.bin用WinHex打开,可以看到文件中包含HTTP请求信息以及我们的图片信息,还有文件结尾的尾部信息。我们需要做的事情是确定图片文件的原始信息头和尾,并去掉多余的部分。回到Wireshark中,会看到我们刚才的数据流中关于图片的头部分。在Content-Type: ...
2018-08-17 14:37:34
1682
转载 Wireshark系列之6 数据流追踪
转自:http://blog.51cto.com/yttitan/1738099以下内容主要是引用自合天网安中的一个实验案例:黑客A通过ARP欺骗,使用Wireshark获取了整个局域网内的网络流量信息。无意之中,他发现有人在某个网站上上传了一份文件。但是他不知道怎么样通过Wireshark去还原这份文件,没办法,他将监听到的数据包保存为了一份Wireshark的监听记录,打算去向你请教。你能...
2018-08-17 13:47:59
15153
转载 逆向看C++ new申请堆对象的构造,析构函数调用
转自:coNgY1先来放总结,以后回看的时候方便回忆:对new 而言,如果是空类也会分配一字节。对 new x[],这种在地址最前面会多分配四字节的空间来保存分配的对象个数。new x[]这种会进行调用构造代理函数进行调用构造函数。delete 分三种情况,delete x, delete []x ,delete 多继承。分别对应的参数为1 , 3 , 0不同情况不...
2018-08-16 21:28:10
644
转载 一站式学习Wireshark(十):应用Wireshark显示过滤器分析特定数据流(下)
介绍掌握显示过滤器对于网络分析者来说是一项必备的技能。这是一项大海捞针的技巧。学会构建,编辑,保存关键的显示过滤器能够节省数小时的时间。与捕捉过滤器使用的BPF语法不同,显示过滤器使用的是Wireshark特定的格式。除了某些特例之外,Wireshark显示过滤器和捕捉过滤器有很大的区别。更多信息过滤HTTP数据流:在排查网页浏览器会话或检查网速过慢问题时,对浏览器会话进行过滤...
2018-08-14 16:37:07
887
转载 一站式学习Wireshark(九):应用Wireshark显示过滤器分析特定数据流(上)
转自:EMC中文支持论坛 介绍掌握显示过滤器对于网络分析者来说是一项必备的技能。这是一项大海捞针的技巧。学会构建,编辑,保存关键的显示过滤器能够节省数小时的时间。与捕捉过滤器使用的BPF语法不同,显示过滤器使用的是Wireshark特定的格式。除了某些特例之外,Wireshark显示过滤器和捕捉过滤器有很大的区别。最简单的过滤器语法:最简单的显示过滤器可基于协议,应用,域名,或...
2018-08-14 14:25:44
452
转载 Wireshark系列之5 显示过滤器
转自:yttitan对于我们个人用户,显示过滤器相比捕获过滤器要更为常用。显示过滤器主要适用于单机环境流量不大的情况。对于***者而言,往往不知道需要什么样的数据包,只能在抓包审计之后再确定,因而也通常选用显示过滤器。当停止捕获数据之后,在数据包列表上面的过滤框中输入过滤表达式,就可以只显示我们需要的数据包。比如输入表达式“http”,就只显示采用http协议的数据包,点击过滤框右侧的×,...
2018-08-14 11:31:40
1216
转载 WinPcap 中文技术文档(4.1.2)第五章
1. 远程捕获由于应用程序使用WinPcap的常规(normal)方式和推荐(suggested)方式是通过wpcap.dll完成的,所以我们不保证packet.dll的API不会在未来的WinPcap的发行版中被修改,并且我们不提供这个API的支持。由于这个原因,在这个指南中不会含有有关Packet.dll的文档。用户可以自行使用Doxygen来创建它们,或者阅读代码中的注释。WinP...
2018-08-12 14:52:28
600
转载 WinPcap 中文技术文档(4.1.2) 第四章
1. WinPcap核心资料1.1. 详细描述这部分指南从最底层的模块开始,描述了WinPcap的核心结构与接口。这部分内容的适合那些想要扩展或修改本软件的人,或者是那些对WinPcap的工作原理感兴趣的人。因此,那些只希望在他们的软件中,使用WinPcap的开发人员,不需要阅读此部分的内容。1.2. WinPcap 结构引用WinPcap主页上的一段内容:WinPcap...
2018-08-12 14:50:12
428
转载 WinPcap 中文技术文档(4.1.2) 第三章
1. WinPcap教程:循序渐进教您使用WinPcap本节将向您显示如何使用WinPcapAPI的一些特性。本教程被组织成一系列课程,以循序渐进的方式,让读者从最基本的部分(获得设备列表)到最复杂的部分(控制发送队列并收集和统计网络流量)来了解如何使用WinPcap进行程序开发。我们会提供几个简单但是完整的程序(代码片断)作为参考:所有的源代码中都包含一些指向手册其他地方的链接,这可以...
2018-08-12 14:48:13
2024
转载 WinPcap 中文技术文档(4.1.2) 第一章
WinPcap英文技术文档(4.1.2版本)的网址位于http://www.winpcap.org/docs/docs_412/html/main.html,接下来将会对该文件进行翻译,希望对大家有所帮助,有不正确的地方请多多指正,非常感谢大家的支持。WinPcap 中文技术文档(4.1.2)作者: The WinPcap Team作者主页: http://www.winpc...
2018-08-12 14:19:46
384
转载 WinPcap 中文技术文档(4.1.2) 第二章
1. WinPcap用户手册转载者注:出现在文章1.3节中斜体的文字,需要用实际的ip地址,如192.168.1.1替换。1.1. 详细描述 这节包含了有关wpcap.dll的用户指南,wpcap.dll是一个包含公共WinPcapAPI的动态链接库。Wpcap.dll导出一组系统独立的包捕获和网络分析的函数。这些函数可以用于:1) 获取网络适配器列表2) 获取...
2018-08-12 14:15:55
631
原创 visual studio生成程序的OEP的特点
PEID 判断一个应用程序的开发环境主要依据3个地方, 1, 代码入口2, PE结构中的链接器版本 BYTE MajorLinkerVersion; BYTE MinorLinkerVersion;3, 特征码。来看下不同VS版本生成的exe的特征码:一:VC6 标准OEP:入口点代码是固定的代码(55 PUSH EBP),入口调用的API也是相同的,其中...
2018-08-08 13:46:45
1352
转载 Driver Development for Windows 64-bit.
Abstract. Questions concerned with the release of drivers for 64-bit versions of Windows are considered in this article. Some typical problems and the ways of their solutions are listed in the article...
2018-08-05 14:51:59
378
原创 Call IoCompleteRequest while holding a spinlock
MS KB Q186775:《Tips for Windows NT Driver Developers -- Things to Avoid》一文(中译版)罗列了很多驱动开发过程中的注意点。微软仅仅提到了这些注意点,但是没有解释其背后的原因,只能结合网上的资料+自己分析其原因。我在osronline上看到有人针对item 20:"Never call IoCompleteRequest whil...
2018-08-05 14:49:00
261
转载 Windows NT 驱动程序开发人员提示 -- 应注意避免
转自:深秋哋黎明的专栏下面是开发人员在使用 Windows NT 设备驱动程序时应当避免的事项列表: 一定不要在没有标注 I/O 请求数据包 (IRP) 挂起 (IoMarkIrpPending) 的情况下通过调度例程返回 STATUS_PENDING。 一定不要通过中断服务例程 (ISR) 调用 KeSynchronizeExecution。 它会使系统死锁。 一定不要将 Dev...
2018-08-04 21:12:44
656
原创 IDA中应用SIG文件
SIG文件在IDA的作用中相当于符号文件。如果是自己写的PE文件,在编译过程中会产生OBJ文件,可以通过工具为它生成SIG文件。先把SIG文件拷贝到IDA目录的sig文件夹中,加载PE文件后依次点击view-"Open subview"-Signatures(快捷键shift+F5)打开已应用的签名窗口:在"List of applied library modules"右键添加sig文件...
2018-08-02 11:17:23
6171
Windows 10 x64 hal.zip
2020-04-20
Anti-DBG.zip
2017-09-23
Anti-DbgV2.zip
2017-09-23
checked build acpi.sys
2016-10-29
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人