- 博客(184)
- 收藏
- 关注
RSS订阅原创 EPROCESS 结构体中flag字段的解释
比如我在其中一次的调试过程中发现,一个EPROCESS结构体的FLAGS字段的值为。显示的结果,我推测出了每个比特位置的含义,有些标志位需要多个来进行表示。比如上面间隔出来的,27、28、29三个比特位010代表。转换成二进制形式就是下面这样。
2023-08-11 15:59:07
88
原创 windbg主题
https://github.com/wqreytuk/article/blob/main/theme.wew“C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe” -Q -WF theme.wew
2023-08-03 16:18:42
18
原创 关于impacket套件smbclient.py报错:[-] module ‘collections‘ has no attribute ‘Callable‘的解决方案
【代码】关于impacket套件smbclient.py报错:[-] module ‘collections‘ has no attribute ‘Callable‘的解决方案。
2023-07-08 13:17:09
206
原创 关于impacket套件中的atexec.py在使用的时候报error: unrecognized arguments: 的解决方案
用完记得改回来,不然会影响其他脚本的功能。
2023-07-08 13:10:11
224
原创 macos vscode C++ ide
首先安装C++插件然后需要安装一个编译器编写一段代码构建:Terminal > Run Build Task选择G++生成活动文件上图中的1就是生成的可执行文件。
2023-03-26 21:38:40
84
原创 使用github存储文件
github push不能超过2GB,所以如果文件太多,需要以2000个文件为单位分别push到不同的仓库中。会将文件以1MB为单位切分到当前目录下的split目录中。1号仓库存储00000-01999,剩下的存在2号仓库中。这个脚本是py135改了一下。需要连到一台主机,连自己也行。
2023-03-22 22:44:16
181
原创 以前的黄金票据制作方式已经不好使了
可以看到前者的PAC比后者的PAC多了几个字段,直接用的话,会得到一个TGT revoked错误。这是mimikatz制作出来的票据。
2023-02-16 22:03:42
77
原创 某度翻译chrome插件
https://www.bilibili.com/video/BV1MA411z7zy/https://github.com/wqreytuk/baidufanyi_helper
2023-02-14 14:58:10
40
原创 vs2019编译libcurl
libcurl源码下载地址: https://curl.haxx.se/download.html。运行完成后,lib文件会生成到下面这个目录中。
2023-02-07 21:27:35
70
原创 vs2022安装wdk之后仍然提示找不到ntddk.h
everything搜索ntddk.h,复制全部路径。这个路径添加到项目的额外C++包含目录中就行了。
2023-02-01 11:37:25
857
原创 会变大吗12345
那么有可能是编译器优化的结果,因为push reg可以比 sub esp,xx要节省几个字节。有时候再看汇编代码的时候会看到莫名其妙的push操作。这里的reg指的是寄存器register。
2023-01-29 15:51:06
52
原创 x86 callingconvention
和x64的calling convention有所不同,x86在调用函数的时候不使用寄存器来传参,而是全部通过栈来进行传递,第一个参数最后一个压栈。这里的ecx就是第一个参数,即第一个字符串的地址,可以看到他是在第二个字符串的地址压栈之后才进栈的。
2023-01-28 14:54:24
44
原创 IDA显示中文字符串
里面有一个crackme.exe,书上的ida截图显示可以正常显示中文字符串。选中偏移量地址,按alt+a,设置c style即可。虽然没有像书中一样显示在注释中,但是凑合也能用。最近在看看雪的加解密那本书。
2023-01-28 14:01:57
692
原创 C++继承构造函数的冲突问题
这里发生冲突的函数就是A和B的含参构造函数,你可以能会问,他们两个只有参数一样,但是函数名并不一样啊,一个是A一个是B,这里需要注意的是,到了派生类这里,构造函数的函数名就相当于是忽略的了,全都是一样的,至于是什么名字,我也不知道。那么为什么是含参构造函数发生了冲突呢,原因就是派生类C并没有实现自己的含参构造函数,A和B的默认构造函数之所以不会冲突,是因为被C的默认构造函数覆盖掉了,所以不会报错。或者,再给C实现一个含参构造函数。大概意思就是函数冲突了。
2023-01-19 04:18:37
86
原创 文档翻译---
SystemTraceControlGuid 用于标识NT内核日志事件跟踪会话的控制GUID。ETW提供了一个机制,该机制用于追踪和记录由用户和内核模式的应用程序产生的事件。如果想要捕捉内核事件和其他事件产生者产生的事件,你必须使用两个分离的会话。下面的值定义了可能的NT内核日志会话可以跟踪的内核事件类GUID。NT内核日志会话是唯一可以接受来自内核事件产生者的会话。NT内核日志会话不接受来自其他事件产生者的事件。使用下面的变量识别NT内核的日志会话。
2023-01-19 01:44:09
1233
原创 父进程 vs进程创建者
正常来讲,这个ntoepad.exe进程的父进程应该是consoleapplication1.exe。在windows中,进程的父进程并不一定是进程的创建者。而且当你把父进程杀了之后,对子进程也没有任何影响。10384是已经存在的任意进程id。使用下面的代码即可任意伪造父进程。
2023-01-19 00:32:28
42
原创 由于某个必要的反作弊程序没有正常运行的缘故,您的客
把C:\Program Files (x86)\Common Files\BattlEye目录里面的东西全都删了。由于某个必要的反作弊程序没有正常运行的缘故,您的客户都安将于10s后关闭。先把Battle Eye服务关了,然后。
2023-01-10 21:09:34
1968
原创 PE格式的base reloc分区
程序雕塑被编译之后,编译器假设可执行文件将会在特定=1的v z基地址被加载,这个地址被保存在image_optional_header的imagebase成员中,一些地址会被计算出来然后硬编码到可执行文件中。出于各种原因,可执行文件并不会被加载到他想要的那块地址上,而是被加载到另外的一个基地址上,这样的话,所有的硬编码地址都会失效,那么所有硬编码的地址都需要首先进行修复然后才可以被使用。在.reloc分区中,这个表被划分为多个块,每个块代表一个4k的页,每一个块的起始地址必须是32bit的边界。
2022-12-29 07:34:32
234
原创 zw nt前缀
在内核模式下,应该使用zw前缀的api,zw前缀的api实际上是对nt前缀的api的wrapper,他会代替nt前缀的api进行一系列的检查,因为在内核模式下,nt前缀的api是不会进行检查的,一旦出现错误,就会bsod。nt前缀的api在用户模式下被调用的时候会进行一系列检查来避免出现错误,因为是从用户模式调用过来的。
2022-12-13 15:23:46
63
原创 构建适用于win7的openssl静态库
构建的整个流程和之前是一样的区别是,你需要安装vs2010和sdk,而不是2012或者其他版本需要的关注微信公众号或者发邮件找我要
2022-12-06 12:17:50
95
原创 C++的四个cast
翻译自:https://www.quora.com/How-do-you-explain-the-differences-among-static_cast-reinterpret_cast-const_cast-and-dynamic_cast-to-a-new-C+±programmerstatic_cast是在编译时进行类型分析主要用于各种数字数据类型的转换,比如int到short等,以及指针和引用的转换dynamic_cast这个转换只能用于指针和引用,这个东西基本上只为多态服务他可以保证类型转换
2022-12-06 12:16:07
542
原创 当ReadFile和WriteFile的lpOverlapped参数为NULL时,那么必须指定一定有效的地址用来存放读写的字节数
【代码】当ReadFile和WriteFile的lpOverlapped参数为NULL时,那么必须指定一定有效的地址用来存放读写的字节数。
2022-12-02 02:39:50
212
原创 构建curl 静态库 vs2012win7可用
https://www.youtube.com/watch?app=desktop&v=q_mXVZ6VJs4
2022-12-01 23:44:47
221
原创 在windows中编译openssl并应用到自己的项目中
https://www.bilibili.com/video/BV1yg411i7B5/
2022-11-09 14:40:05
124
原创 openssl lib includefor windows
https://kb.firedaemon.com/support/solutions/articles/4000121705https://github.com/wqreytuk/article/tree/main/openssl
2022-11-08 12:48:34
74
原创 跨林部署exchange
而且resource forest的域控只会收到来自account forest的referral TGT,是使用trust key加密的,所以也不会泄漏account forest用户的任何密码。创建两个林,一个用于真正的办公环境(account forest),另一个专门用来装exchange服务器(resource forest)这样办公环境的用户就能登录到resource forest中的exchange服务器的邮箱上了。
2022-10-29 23:52:05
264
原创 MS-NRPC session key协商过程
https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-nrpc/7b9e31d1-670e-4fc5-ad54-9ffff50755f9
2022-10-26 10:02:53
56
原创 win7或者windowsserver 2008串口 内核调试
https://144.one/windows-kernel-debug.html#windows7%E5%8F%8A%E4%BB%A5%E4%B8%8B%E7%89%88%E6%9C%AC
2022-10-24 15:03:23
118
原创 Using Thread Local Storage
Thread Local Storage,简称TLS,可以使得同一个进程的多个线程使用一个由。CommonFunc函数会使用TlsGetValue函数来访问与本县城的索引关联的数据。每一个线程在终止前都会释放自己的动态内存,进程终止前会使用TlsFree来释放索引。函数将这块内存的地址存放到TLS插槽中,这个TLS插槽指的应该就是索引。函数分配的索引来存储或获取本线程的本地值(局部变量)在这个例子中,当进程启动的时候,一个索引就会被分配。每一个线程启动的时候,会分配一块动态内存,然后使用。
2022-10-19 05:48:47
45
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人