![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
逆向
文章平均质量分 84
Niatruc
这个作者很懒,什么都没留下…
展开
-
Windows 10以上版本系统svchost服务入口函数调试方法
调试Windows 10以上版本系统的svchost服务的入口函数。原创 2023-11-26 22:39:00 · 255 阅读 · 0 评论 -
Windbg一键脚本,切换进程上下文
为了节省打命令的时间,于是想写一个脚本,只要把目标进程的id提供给它,由它完成以上工作。原创 2023-08-09 21:56:23 · 239 阅读 · 0 评论 -
Windbg脚本中的“变量”之坑(其实叫“别名”)
在用windbg调试程序的时候,有些命令会重复使用,因此想把这些命令封装为脚本文件,实现自动化。但是在对别名的使用中遇到了不少坑,致使出现意料之外的值,或者脚本在重复调用时出现前后结果不一致的状况。原创 2023-08-09 21:10:13 · 134 阅读 · 0 评论 -
Metasploit Framework载荷生成过程源码分析
摘要在Metasploit中,一段编码载荷的总体生成流程是:将不同汇编代码片段组成载荷汇编代码,并编译成机器码。生成解码器存根。将原始载荷机器码按4字节对齐,并用编码器编码。生成nop雪橇。最终shellcode:nop雪橇 + 解码器存根(除去最后的0-4个字节, 这些拼到payload中来对齐) + 编码后的payload。编码器: 用于消除载荷中的坏字节(如’\x00’), 以及为载荷编码。而去除坏字节的方式即是进行编码,而非传统的将push 0替换成xor ecx, ecx和p原创 2022-04-07 11:09:09 · 802 阅读 · 0 评论 -
逆向 Writeup:西湖论剑2020逆向第一题Cellular
摘要题目为“蜜蜂如何筑巢”,问题的实质是寻找路径。应该将程序视为黑盒。刚开始解题思路不对,一直试图理清代码中的逻辑。解答的方法是尝试将各种由‘L’和‘R'组合的长为25的字符串作为输入,直到打印信息“Congratulations”。可采用遍历法,或逐步试错法。本篇采用后者。本篇方法概括:3.1 在OD中修改源码,改变关键函数CheckFlag的返回值为其中的大循环的循环次数(通过该次数可得知当前前行方向正确与否,从而调整路径方向);修改打印部分代码,使其打印的信息能反映刚刚说的循环次数。3.2原创 2020-10-14 21:24:54 · 911 阅读 · 0 评论 -
cuckoo沙箱踩坑和填坑记录
使用cuckoo沙箱的过程中不时出现一些错误,网上几乎没有中文的问题帖,解决方法都是在github找到。在此记录一些解决方法。Cuckoo沙箱有一本Book,里边提到一些用户问过的问题。文件地址:https://readthedocs.org/projects/cuckoo/downloads/pdf/latest/。CuckooCriticalError: Unable to bind ResultServer on 192.168.56.1:2042 [Errno 99] Cannot原创 2020-09-14 15:05:26 · 4325 阅读 · 2 评论 -
开源逆向软件Ghidra初体验
前言NSA开源的逆向工具Ghidra,使用Java开发,可作为IDA的替补。下面以bugku逆向模块第一题为例,使用Ghidra分析可执行文件。使用过程首先新建项目,并导入这道题的文件baby.exe。下图是导入的文件的摘要:导入后,要分析的文件已在项目中显示,如下图所示。双击baby.exe,Ghidra将对其分析,然后进入代码浏览器。分析前弹出一个方框,勾选分析选项:在此先将这些选项的含义记录一下,其中有一些的含义尚不明:1.激进式代码搜寻:从未定义的字节里解析出汇编代码。因为可原创 2020-06-02 10:30:36 · 2168 阅读 · 0 评论