- 博客(9)
- 收藏
- 关注
RSS订阅原创 ida动态调试dll
有时候会发现有的dll都是动态获取API,IDA静态分析看不了,因此利用IDA动态调试dll,当API获取完毕后保存,便于分析。
2022-09-14 16:33:26
3647
原创 Dump文件修复
前言分析木马时经常会碰见dump的恶意代码文件无法直接查看。一是因为文件数据在内存展开,而区段的属性未修改;二是因为数据在内存展开后,重定位数据被修改。因此写个工具进行修复。说明一下dump内存起始地址为dump恶意代码内存块的起始地址。一、代码示例1.文件对齐//文件对齐 DWORD CFixDumpDlg::GetOffset(DWORD argc){ DWORD a = 0; DWORD b = 0; a = argc % 0x200; if (a
2021-06-11 23:02:47
932
原创 木马常见行为之内存加载DLL资源
前言很多木马在初次释放恶意代码时,会加载资源文件到内存中。在内存中展开区段数据,之后再修复重定位、导入表,然后执行恶意代码。此次用代码实现一下。详细代码1.获取资源文件//获取资源数据LPVOID LoadDll::GetResourceData(DWORD index){ //声明变量初始化 HMODULE hModule = NULL; HRSRC hRes = NULL; HGLOBAL hLoadRes= NULL; DWORD error .
2021-06-11 22:26:26
798
原创 子网掩码的理解
子网掩码的理解IP地址是一个32字节的数据。被分为两部分 : 网络标识和主机标识。示例一个C段地址 : 192.168.1.88C段的网络标识是他的前24四个字节,即 192.168.1主机标识是后四个字节,即 88表明在192.168.1这个网络下的第88地址分配了主机使用。C段的缺省掩码为 255.255.255.0也就是说C段地址的前24个字节全部置位1,表示网络标识 后面8位表示主机标识但是子网掩码是配合ip地址来使用的,即最后8位可根据自己需要去设定。设定方法 :
2021-06-11 11:31:34
3860
1
原创 c++类 虚继承下 具有虚函数的类对象结构分布
c++类 虚继承下 具有虚函数的类对象结构分布前言c++类声明虚函数后,类对象头四个字节会含有虚函数表指针 vptr,指向虚函数虚继承类的类对象会多一个结构:虚基类表指针 vbptr虚基类表的第二项是一个偏移偏移为在虚继承下类对象内虚基类表指针与基类的虚函数表指针的偏移如struct virtual_classTable{ int null; int offset; // 虚基类表指针与基类的虚函数表指针的偏移};如下: vbptr 与vptr的偏移
2021-05-28 17:24:02
185
原创 记录win10+win7双击调试遇到的问题
记录双击调试遇到的问题一、WDK 在安装WDK的时候要与SDK的版本相同,否则的话在创建项目编译时头文件会报错。 可在VS上或者VS的安装程序上查看自己的SDK版本。然后在微软下载对应的WDK安装程序。如果VS在安装时,安装MSVC了生成工具,wdk开发可能会遇到Spectre缓存漏洞的提示。碰到问个问题,需要在安装一个对应版本的Spectre缓存库。二、Vmware15.5+VirtualKD_ReduxVmware15以上版本需要用VirtualKD_Redux才可以双机调试。
2021-05-28 09:44:28
260
原创 关于卸载旧版vs重装Visual Studio 2019SDK出问题的解决办法
电脑win10系统,之前安装的是VS2015,由于写东西发现VS不匹配,所以卸载重装了VS2019。但由于之前设置VS2015SDK的时候,不是用的默认目录,装在了自定义目录下,在卸载vs2015的时候,注册表没有清理干净,导致在装了VS2019的时候运行项目会提示没有SDK(具体就是提示你没有一堆VC头文件)。
2020-12-19 11:24:35
2981
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人