![](https://img-blog.csdnimg.cn/20201014180756926.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
软件安全
九阳道人
不怕念起,唯恐觉迟!
展开
-
脱壳(PEspin 0.3x)
脱壳(PEspin 0.3x) 脱壳总结: ① 找OEP 难点在于硬件断点有时会失效,解决方法通过特征定位 ② 找到清除硬件断点的异常函数 配置异常环境(尽可能接收所有的异常),通过在异常点设置硬件断点,来判断前一个异常函 数是否有清除代码,可以最终判断出第三个异常(STI 特权指令异常)的异常函数有清除代 码。 ③ 解密IAT 按照通用方法,在OEP处的第一个API函数所在的IAT设置硬件写入断点,展开分析。 首先会找到填充IAT的点,然后再通过跟踪找到获取API的地方,之后写脚本(脚本原创 2020-11-05 18:06:09 · 744 阅读 · 0 评论 -
脱壳4 (未知壳)
脱壳4 (未知壳)脱壳IAT被加密如何分析?1. 自上而下分析,单步跟踪 从程序开始单步分析,找到填充IAT的代码2. 敏感API下断,栈回溯分析 ① GetProcAddress ② LoadLibraryA/W, GetModuleHandleA/W ③ VirtualAlloc/VitualAllocEx/HeapAlloc ④ VitrualProtect/ VitrualProtectEx 3. 敏感数据下断,栈回溯分析 在IAT表加密的地址处下断点,运行之后原创 2020-11-03 11:28:18 · 397 阅读 · 0 评论 -
脱壳2 (15PB pack)
脱壳2 (15PB pack)脱壳回顾1. 脱壳需要哪三步? ① 找原始OEP ② dump内存 ③ 修复文件2. 找OEP有哪些技巧? ① 特征定位 ② 单步跟踪 ③ ESP定律3.脱壳upx、aSpack、nSpack ① 找OEP ESP定律4.脱壳 FSG 2.0 ① 找oep 单步跟踪 跳转到OEP代码: JMP DWORD PTR DS:[EBX+0xC] ② dump内存 ③ 修复IAT FSG 2.0对内存中的IAT 进行了一些空隙填充,需要将其改为0原创 2020-11-03 09:50:16 · 349 阅读 · 0 评论 -
逆向之手工加壳——004
逆向之手工加壳试验工具: LordPE、010Editor、OD试验程序是vs2017编译的控制台程序,开始加壳。一、添加区段 使用LordPE打开程序, 添加区段,新区段就是我们的壳 找到NewSec区段,右键编辑,添加0x200字节大小,随后点击保存。保存后可以运行下,发现运行不起来。 使用010Editor打开,找到最后,按Ctrl+Shift+i 添加0x200个字节大小。保存之后,点击程序发现可以正常运行了。二、修改入口点(OEP) 同样用LordPE打开,原创 2020-11-02 09:33:35 · 483 阅读 · 0 评论 -
牢记VC程序内的三大检测函数
牢记VC程序内的三大检测函数 VC编译的程序中,时常会出现一些常见的检测函数,为了节省逆向的时间,我们有必要记住这些检测函数的特征,今天我就记录一下VC程序的三大检测函数。 如果是在IDA中分析VC程序, Shift+F5 加入VC的签名搞定,但是在OD中就需要经验了。 加入签名后,就可以看到函数名了。一、CheckStackVars 看名称就知道知道这是一个检测堆栈相关的函数,它的主要特征: (1)call 上面一行代码是lea edx, XXXX。 (2)函数内部存原创 2020-11-01 15:18:24 · 306 阅读 · 0 评论 -
逆向之制作扫雷外挂——003
逆向之制作扫雷外挂本次扫雷外挂制作 涉及工具,VS2017、OD、Dbgview、CE。 至于扫雷程序,网上下的117kb 的那个。外挂功能:一键通关、左上角窗口标题处显示雷区。效果展示:下面开始记录从头到尾的逆向与编写外挂过程1.寻找关键数据基址 首先用CE打开扫雷进程,然后点击扫雷的自定义设置,找到宽、高、雷数量的界面。 然后用CE依次找到宽、高、雷的基址 发现有0x100533? 、0x10053A? 两组数据 分析思路是内存肯定要读取原创 2020-10-30 21:01:24 · 4469 阅读 · 5 评论 -
Wannacry勒索病毒分析
Wannacry病毒分析在15pb刚毕业,准备找活了,之前有幸听过奇安信的招聘会,大佬说,永恒之蓝病毒现在还在某些地方流行着,是经典的勒索病毒。这让我觉得分析这个病毒是刷经验的好机会,所以就在决定分析一下这个在2017年的纵横江湖无敌手的勒索之王,由于是新手入坑,不对之处还请多多指教(●ˇ∀ˇ●)分析平台:win7虚拟机分析工具:OD、IDA辅助工具:LordPE、PEID、010Edi...原创 2019-06-17 18:29:49 · 14094 阅读 · 6 评论 -
稳定多线程中的inline hook
优化inline hook实验平台:WIN10实验工具:VS2017,OD我所说的是windows下的inline hook,总所周知inline hook是windows平台下很灵活好用的一种hook方式, 但inline hook是非线程稳定的,也就是说在多线程的程序中,频繁的进行inline hook有可能会导致程序崩溃,不稳定。之前在为了解决这个问题,只找到了Hook七个字节的...原创 2019-06-19 08:07:10 · 1236 阅读 · 4 评论 -
QQ防撤回
QQ防撤回使用工具:x64dbg实现平台:win10QQ聊天软件是现在年轻人们常用的通讯软件,尤其是在群聊,斗图和文件传输功能上特别优秀,但是在群聊中某些人发了一条信息后马上就撤回了,这让我们没及时注意到的人就感觉到不爽,所以就分析一下防撤回。用有道词典或者百度也可查询一下撤回的英文单词。找到QQ执行文件所在目录,用notepad++中 搜索->在文件中查找然后输入QQ执...原创 2019-05-28 19:27:03 · 6934 阅读 · 1 评论 -
W信多开破解
W信多开打补丁使用软件:x32dbg实现平台:win10众所周知W信已是现在生活中不可或缺的一款软件了,而很多类型的公司拉客户,搞宣传他们必然会使用W信联系,这么多客户和信息当然是使用PC端W信操作才比较方便,而PC端W信有防多开的功能,只能用一个,大大的降低了宣传人员的工作效率,接下来就来破解防多开。在windows平台的SDK中常用防多开是使用互斥体实现的,创建互斥体所用到的API分别...原创 2019-05-28 09:54:09 · 443 阅读 · 0 评论 -
C++写壳之高级篇
C++写壳之高级篇之前在写了写壳基础篇,现在就来完成写壳高级篇。有了写壳基础后,才能在其基础上逐步实现高级功能,加壳的目的主要是防止别人破解,而想要别人很难破解,我认为要在花指令、混淆和指令虚拟化上大量的时间及脑力才能做到,这个比较费力不讨好。我在此就说说一些能快速入门的反调试技术。主要工具: VS2017、x64dbg、LordPE、OD实验平台:win10 64位实现功能:反调试、Ha...原创 2019-05-10 08:54:02 · 1079 阅读 · 0 评论 -
C++写壳详解之初级篇
C++写壳详解之初级篇之前在15PB学习,写了一个基于Windows平台对PE文件加壳的项目,经过一个月的缓冲,在这决定复习总结及分享下的我的心得。主要工具: 010Editor、VS2017、x64dbg、LordPE、OD实现功能: 压缩文件、对代码段加密。一、加壳原理要想弄明白怎么对PE文件加壳,首先需要对PE文件比较熟悉,而最快的熟悉PE文件的方法就是自己写一个PE解析工具和写壳...原创 2019-04-22 19:37:04 · 2285 阅读 · 0 评论