Lixinist的博客

前言作为一个学习/练手的项目，自发写了一个保护x86的exe/dll的变异混淆器(Mutation)，类似于CodeVirtualizer的那种（不过CV是VM保护，而且还支持sys）。分别用到了capstone、asmjit和cyxvc大佬的部分库。实现了代码多重变异，代码乱序，jcc指令转换，假分支干扰等功能。相比VMP/TMD的变异保护，强度还可以。但是兼容性比较差，没有考虑程序的异常处理而且没经过大规模测试，可能会有很多bug，仅供参考学习。本文仅分享一下我写Mutation混淆

一直听人吹enigma打包器，什么“可以把exe变成只有4kb大小的tmp文件还能运行”，“防提取exe很强”。我就试了下，1小时09分就提取出来了。先说一下enigma打包器运行虚拟exe的操作：1.对一堆API下钩子，监控各种注册表读取，exe运行的API2.调用这些API时，会经由钩子跳到enigma的代码。3.在C:\Users\Administrator\AppData\Loc...

前几天发现了一款名叫MindMaster的思维导图软件，用起来比Xmind舒服很多。但是他们有个很奇怪的地方：部分快捷键不允许修改那我用的就很难受了。本来我用x64dbg和ida，回撤都是用Esc（在键盘左边），现在删除只能是用backspace和del（在键盘右边）。这设计不是反人类吗？本来右手就要拿鼠标操控xy轴，我一个左手还给你跑到右边键盘去按backspace？？？偏偏还是“删除”...

VMP3.12以前可以用网上的通杀方法直接把所有检测都干掉。但是3.2以后修复了这个bug。事实上不论是百度还是谷歌搜索“VMP过虚拟机检测”。出来的都是这个方法，但是很明显。。。这个通杀办法已经对最近几代版本的VMP不奏效了。而“过壳虚拟机”我又找遍了，不论是52的还是学破解的。都过不去vmp3.4的虚拟机检测。没办法，自己研究了1个半小时，把方法弄出来了，但是不完美。。。。。。暂时只...

先说说我对IDA的看法：我怀疑IDA公司有内鬼。我的目的是用IDA的F5来反编译出经过VMP2.x的mutation保护的代码。F5的自动化反混淆很好用，可以清掉vmp2.x的90%的变异代码。但是交互可能是“内鬼”写的，用起来是真的不舒服，各种多管闲事（删了函数又自动创建出来），交互失灵（做了删函数删变量等等操作，graph和f5都没有变化，需要把当前函数删了重新创建才会变化）。用IDA...

不知道rafael在干什么，3.0的壳完全是倒退。。。3.0的TM/WL没有混淆iat call，还把API代码抽取给删了。API出现的特征代码也不见得加强了多少  修iat最难的就是1.定位API出现的时机2.识别并还原iat call 这里第2难点由于3.0没有混淆iat call，所以不存在。想学习的请看这篇文章及其脚本（用x64dbg单步走脚本...

网上也没这方面的资料。所以自己研究了一下直接公布方法1.删注册表项**HKEY_CURRENT_USER\Software\Classes\CcFWSettg.CategoryHKEY_CURRENT_USER\Software\Classes\CertificateAuthority.RequestHKEY_CURRENT_USER\Software\Classes\Compress...

Android studio虚拟机已经开了，Android killer也能找到虚拟机。但是唯独jeb动态调试找不到。problem图Make sure that:Your device is connected / emulator is runningThe Android Debug Bridge tool (adb) is installed and accessible.I...

补充这篇文章https://www.52pojie.cn/thread-650395-1-1.html编译时要选择Androidkiller（工具默认是选择的Default，但是编译出来的apk只有22kb，用不了）2.点击“安装”时，提示正在将 Apk 安装到 Android 设备，请稍等…Failure [INSTALL_FAILED_UPDATE_INCOMPATIB...

ERROR: Failed to resolve: com.android.support.test.espresso:espresso-core:2.2.2ERROR: Failed to resolve: com.android.support:appcompat-v7:25.3.1Android studio跑别人的项目，经常会出现这种不匹配的情况。解决方法：1.2.添加mav...

WinDbg Preview1.1910.3003.0下载链接：https://pan.baidu.com/s/1ZpSrSngqW6gPoPo5_rGgAA提取码：o9ko由于我win10上的store一直闪退用不了，遂从室友那里下载copy过来了一份独立版双机调试设置可以看这篇帖子https://www.cnblogs.com/iBinary/p/11401141.html里面写的...

1.注入dll或者用shellcode，在其他进程内用汇编代码。对其写数据应对方法：对被写数据下硬件写入断点或者内存写入断点（优先硬件断点，内存写入断点以0x1000的页为单位下断点，不精准）2.用WriteProcessMemory写数据应对方法：提前对可疑进程下断此API，或用监控工具分析3.用共享内存（CreateFileMapping、MapViewOfFile）。对自身进程的共享...

续一下上一篇文章的故事。今天朋友又来找我，说是极少部分Win7用户注入不了DLL，希望我看一下。“极少部分win7用户注入不了DLL”，，，难道是因为他们系统ntdll线程特殊一点，不走ntdll!ZwTestAlert ？不太可能，虽然win7有些版本有补丁，但不太可能影响到r3的ntdll。抱着疑心我还是远程联系他那个用户，开x64dbg调试了看看。嗯，ZwTestAlert上断下来...

前言：逆一些东西，有点收获，就写篇随笔记录一下。因为写的随便，就不发看雪了。今天一个朋友给我发了一个说是可以过TP的注入驱动，希望我逆一下看看是什么套路。正文：接收过来压缩包，看了一下loadddll32和64分别是用在32和64的驱动，MemOpe和dnf.exe都是测试用例（不过我是用自己写的123.exe进行测试）。先跑起来，看看线程和模块上有没有什么特别的地方有一个线程P...