自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

预览 取消 提交

自定义博客皮肤

-+
上一步保存

ma_de_hao_mei_le的博客

我是https://wochinijiamile.blog.csdn.net/的博主,手贱把号注销了

  • 博客(208)
  • 收藏
  • 关注
排序:
按最后发布时间
按访问量
RSS订阅

原创 protobuf使用

下载完之后,把压缩包里面的东西全部拖进C:\Users\x\Downloads\protobuf-27.4\third_party\abseil-cpp目录里面。生成一个sln文件,打开之后,生成libprotobufd.lib文件。这里注意调整生成选项,要和你使用protobuf的项目的选项保持一致。他会报错说absl找不到,需要从网上下载一下absl的源码。同时需要把下图中划线的项目生成一下,生成选项也要保持一致。然后是linkrt选项的input。根据readme,执行如下命令。

2024-09-09 18:14:33 305

原创 understanding windows kernel -- critical region

【代码】understanding windows kernel -- critical region。

2024-07-17 15:01:37 885

原创 windows kernele sync mechanism -- ERESOURCE

for ERESOURCE, I’ll make it shorter, just call it ERIR is in fact a kind of lockit can be acquired either shared or exclusivein shared mode, the lock will aloow multiple thread to acquire the same ER, and read the data simultaneouslyin exclusive, the kerne

2024-07-13 12:03:08 143

原创 修改IDA函数签名

有时候IDA自己F5出来的函数签名依托答辩,参数数量都对不上。使用上面这种形式修改返回值和参数。

2024-06-21 15:24:29 190

原创 将windbg中的汇编代码抄下来

然后把drvier+0x61650的+替换为_抄下来之后使用上面那个正则替换为空。

2024-06-17 18:22:57 101

原创 arsetryhtehrwgefwadasdadasd

直接在windbg中把执行内存修改为上面这一串字节序列,运行完成后r13中将包含当前时间戳,可使用如下代码转换成人类可阅读时间格式。

2024-06-17 16:32:35 378

原创 一种获取minifilter各种prepost函数地址的方法

https://gitee.com/wochinijiamile/smartya/raw/master/asduiasgdiuasgdiuagdiuasgid/%E4%B8%80%E7%A7%8D%E8%8E%B7%E5%8F%96minifilter%E5%90%84%E7%A7%8Dprepost%E5%87%BD%E6%95%B0%E5%9C%B0%E5%9D%80%E7%9A%84%E6%96%B9%E6%B3%95.pdf

2024-06-07 16:35:53 141

原创 绕过卡巴kes读取lsass进程内存

https://github.com/wqreytuk/Kaspersky_Lsass_Memory_Protection_study

2024-06-07 14:24:42 148

原创 在IDA中使用EPROCESS

2024-05-31 09:56:02 377

原创 可以自动销毁的Handle类

【代码】可以自动销毁的Handle类。

2024-05-29 00:03:17 112

原创 enum class VS enum

两者的区别在于前者的值不会隐方式的转换为其他的类型(比如其他类型的enum或者int)而后者会隐方式的转换为int类型或者其他的enum类型。就是说如果你不按照规范使用的话,编译是通不过的。普通的枚举类型和class枚举类型。

2024-05-19 14:50:54 160

原创 IDA8 报错nomodule named ‘imp‘

根据官方文档,可以知道python312将删除imp module,所以我们只需要安装一个python311。然后使用idapyswitch选择python311即可。

2024-05-17 12:17:19 754

原创 禁用system log的scm provider

这个会修改scm provider的keyword过滤,导致所有的事件都被过滤掉。logman query eventlog-system -ets查看。具体几个0我记不清了,可以通过执行。通过执行如下命令进行恢复。

2024-04-27 01:49:43 93

原创 windows internal

executive object封装了一个或者多个内核对象,并暴漏出kernel和kernel相关的资源,同时也是kernel的服务展开。

2024-03-07 13:40:07 357

原创 gdb python

在对某些linux设备进行调试的时候,像pwngdb,gef这种扩展无法正常加载,但是可以使用预编译的gdb,问题就是界面很垃圾,你看不到执行的指令。这时可以通过执行x/10i $rip查看指令,然后ni执行当前指令,但是这样还是很麻烦。直接在gdb中将上面的代码粘贴进去回车,即可,成功之后fk命令就相当于。我们可以通过自定义python代码来完成自定义命令。

2024-01-14 10:49:40 456

原创 error LNK2001: unresolved external symbol memset

关于程序中没有引用memset函数,却在链接阶段报错提示无法找到memset函数的问题解决方案。在编译器选项中加入/FAcs,之后重新编译,可以得到汇编代码cod文件。打开之后搜索memset,即可定位到源代码出问题的行数。

2024-01-12 11:29:54 585

原创 NtCurrentTeb()->ReservedForOle

这个结构体有很多成员,我在这里慢慢记录。啥时候碰到就来这里更新一下。

2024-01-04 21:20:02 425

原创 windows x86 calling convention

后面的压栈,顺序和stdcall一样。第一个参数最后一个入栈(在栈顶)stdcall 全部压入栈里面。ecx edx前两个。

2024-01-04 16:14:33 436

原创 gdb和windbg的命令对应

https://blog.mattjustice.com/2018/08/24/gdb-for-windbg-users/

2024-01-04 12:52:57 374

原创 vmwarev,ware安装vmware 安装Windows 10 x86

2024-01-04 10:53:52 430

原创 汇编向前跳转指令

那么75 de就是 jne 0xffffffe0 就是往前跳20。0xffffffdf就是0x21 因为df+21=100。因此75 dd 就是从当前指令往前跳21。可以看到,向前跳转就是跳到一个负值上面。

2023-12-28 18:29:50 383

原创 TraceView bug

于是我就用IDA逆了一下,发现在EventListDlg::RefilterEventInfos函数中会使用过滤器对消息进行过滤。最后使用 FilterRule::SubRule::PerformOperationOnLongField函数来对PID进行比较。而这个函数调用FilterRule::SubRule::MatchesMessage来判断当前消息是否匹配到过滤规则。在使用TraceView的filter的时候,我想discard掉特定的pid的消息,但是总是不生效。

2023-12-23 13:27:29 383

原创 Windows中的Directory Junction和Directory symbolic link

这两者创建的手时候都不需要Target存在。

2023-11-10 15:26:55 152

原创 Win32 accessmask

在notepad++中打开。

2023-10-11 14:58:25 90

原创 secureCRT全版本通杀解密工具

https://bbs.kanxue.com/thread-278283.htm

2023-08-25 15:37:38 868

原创 EPROCESS 结构体中flag字段的解释

比如我在其中一次的调试过程中发现,一个EPROCESS结构体的FLAGS字段的值为。显示的结果,我推测出了每个比特位置的含义,有些标志位需要多个来进行表示。比如上面间隔出来的,27、28、29三个比特位010代表。转换成二进制形式就是下面这样。

2023-08-11 15:59:07 223

原创 CMD 美化

https://github.com/wqreytuk/article/blob/main/New%20folder.zip

2023-08-11 14:32:14 107

原创 windbg主题

https://github.com/wqreytuk/article/blob/main/theme.wew“C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe” -Q -WF theme.wew

2023-08-03 16:18:42 111

原创 关于impacket套件smbclient.py报错:[-] module ‘collections‘ has no attribute ‘Callable‘的解决方案

【代码】关于impacket套件smbclient.py报错:[-] module ‘collections‘ has no attribute ‘Callable‘的解决方案。

2023-07-08 13:17:09 580

原创 关于impacket套件中的atexec.py在使用的时候报error: unrecognized arguments: 的解决方案

用完记得改回来,不然会影响其他脚本的功能。

2023-07-08 13:10:11 419

原创 正则替换掉非ascii字符

【代码】正则替换掉非ascii字符。

2023-05-31 13:52:56 421

原创 sed处理字节字符串

比如你有一个字节字符串1234567890。使用上面的命令可以将其分割成。

2023-05-25 20:30:46 127

原创 CIDR转换为IP 范围

使用二进制字符串进行操作。

2023-04-26 22:02:31 460

原创 macos vscode C++ ide

首先安装C++插件然后需要安装一个编译器编写一段代码构建:Terminal > Run Build Task选择G++生成活动文件上图中的1就是生成的可执行文件。

2023-03-26 21:38:40 233

原创 使用github存储文件

github push不能超过2GB,所以如果文件太多,需要以2000个文件为单位分别push到不同的仓库中。会将文件以1MB为单位切分到当前目录下的split目录中。1号仓库存储00000-01999,剩下的存在2号仓库中。这个脚本是py135改了一下。需要连到一台主机,连自己也行。

2023-03-22 22:44:16 412

原创 NTLM Authenticate结构体打包过程

【代码】NTLM Authenticate结构体打包过程。

2023-03-06 20:48:24 141

原创 HTTP ntlm 认证过程

【代码】HTTP ntlm 认证过程。

2023-03-05 15:27:44 298

原创 以前的黄金票据制作方式已经不好使了

可以看到前者的PAC比后者的PAC多了几个字段,直接用的话,会得到一个TGT revoked错误。这是mimikatz制作出来的票据。

2023-02-16 22:03:42 180

原创 某度翻译chrome插件

https://www.bilibili.com/video/BV1MA411z7zy/https://github.com/wqreytuk/baidufanyi_helper

2023-02-14 14:58:10 102

原创 vs2019编译libcurl

libcurl源码下载地址: https://curl.haxx.se/download.html。运行完成后,lib文件会生成到下面这个目录中。

2023-02-07 21:27:35 199

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除