- 博客(24)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 19-IA-32 汇编基础
Windows内核安全与驱动开发:IA-32汇编基础x86内存,寄存器与堆栈1.1 :汇编语言中被操作最常见的对象时寄存器和内存,内存又是以堆栈的形式被操作的,涉及的指令包括mov,push,pop.1.2:_asm关键字:_asm关键字是VC编译器中的关键字,使用 _asm可以在C语言中插入一段汇编代码。但这不是c语言的标准,其他编译中在c语言中插入汇编代码就不是这样的。1.2:...
2019-11-26 11:07:24
596
原创 Windbg_16-内核常见的结构
内核常见结构:SSDTEPROCESSETHREAD1.1:SSDT在Windows内核层有一个SSDT(系统服务描述表)。SSDT表中存储的是很多函数的地址。应用层调用的API函数实际大部分都是一个空壳,具体的功能基本都是由内核层实现的。用户层的API函数最终都会通过一条汇编指令进入内核层,进入内核层首先要做的就是在SSDT表中找到相应的函数并...
2019-11-25 19:12:36
348
原创 Windbg_15-分析自己的驱动程序
1.内容概要:驱动程序是运行在操作系统内核层的代码,具有很高的执行权限。学习驱动程序开发是一个漫长又艰辛的过程,也并非是学习windbg的必要条件。但是windbg的一个非常重要的应用就是用来分析自己写的驱动程序。1.1:分析内核层的代码需要双机调试环境:通过Virtual-KD搭建双机调试环境前面讲过。因为内核程序没有图形化界面,所以调试信息只能通过调试字符函数输出到调试工具(W...
2019-11-25 19:03:36
447
原创 Windbg_13-Windbg中的搜索
1.内容概要:s 命令搜索内存在进程的虚拟内存空间中找到想要的数据符号搜索不记得符号全名的情况下使用符号搜索找到符号搜索符号引用搜索符号引用的意思是:找到使用符号(函数或者地址,变量)的地方1.1:s 命令搜索内存内存搜索是调试器中的常见操作,在windbg中搜索内存使用的是s命令,下面讲解s命令的用法:在指定范围内搜索ASCII字符或者UNICODE字符s - [fl...
2019-11-25 17:54:20
2052
原创 Windbg_12-程序的关键信息
1.内容概要:模块分析几个常用的关键信息1.2:PE文件格式是Windows操作系统可执行文件的文件格式,常见的PE文件有.exe文件,.dll文件, .sys文件等。程序运行前,先将所需的模块,包括.exe,.dll或者.sys加载到内存中,内存中每一个文件称为内存映像,调试的时候称为模块。 查看模块信息的常用命令: 此外,windbg为了能比较好的引用被调试程序的关键数...
2019-11-25 17:21:39
146
原创 Windbg_11-Windbg反汇编命令
1.内容概要:反汇编命令概览:反汇编命令的使用:1.1:windbg中,反汇编系列的命令以u开头:u命令或者ub命令默认只会反汇编出8条指令,加入查看更多可以使用以下方式: u Address | count Address: 可以是数值,也可以是变量,count指定显示的反汇编的行数,不指定的化默认为8行。uf命令可以自动识别函数结尾,将整个函数反汇编出来...
2019-11-25 16:47:22
3009
原创 Windbg_10-查看堆栈
1.内容概要:堆栈的作用查看堆栈的命令1.1 :程序堆栈的结构:push,pop call, ret等能直接或间接改变sp,bp寄存器的值的指令都会改变栈的结构。一个线程拥有一个独立的栈,线程执行函数,为每个函数开辟栈帧,函数退出则关闭该函数的栈帧,回收栈空间,栈结构可以让调试器回溯出函数的调用关系,栈的结构如下:1.2:windbg中的堆栈命令:简单介绍常用三个:注意:...
2019-11-25 16:36:51
3421
原创 Windbg_07-初步认识命令系统
windbg命令系统:1.命令概要:标准命令 标准命令提供了调试器的基本功能,大部分都是一个字母,共有130多个命令:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0RnYdZuW-1574665943347)( 在命令框中输入 ?号,可以查看命令的用法帮助。 先输入:? 回车,再输入 某个命令,再回车,显示如下:某一个命令的用法元命令...
2019-11-25 15:26:58
204
原创 Windbg_06-Windbg工作空间
1.Wingdbg的工作空间:我们当前windbg中的工作环境称为为工作空间,包括:当前调试器界面布局等设置信息调试项目有关的属性,参数以及调试器设置等信息每次windbg打开都是默认的初始工作空间,我们可以把工作空间配置好,让后保存此工作空间,这样每次调试程序的时候,就可以快速进入工作状态。2. 工作空间的分类:工作空间分为两个大类:默认工作空间和基础工作空间:2....
2019-11-25 14:40:17
385
原创 Windbg_03-Windbg界面概览
windbg之界面概览与菜单熟悉:1.windbg的界面概览:1.1:菜单栏与工具栏:重点关注的是菜单栏和工具栏:工具栏中的每一个工具都存在与菜单栏中,由于重要和常用,所以提取到了菜单栏中,菜单栏中的菜单可以自己选择设置。我们重点关注菜单栏中的常用功能:Debug菜单和View菜单:1.1.1:Debug菜单中的功能如下:Debug菜单提供了调试器的基本功能,如下图所示:1...
2019-11-25 14:04:37
379
原创 Windbg_02-windbg调试会话的建立
1.调试会话的建立:1.1 :用户层调试会话:1.1.1:直接创建进程调试:打开Windbg, File->Open Executable, 选择一个进程进行调试。1.1.2:附加到已经运行的进程:打开Windbg, File->File-Attatch to a Process,选择一个已经运行的程序进行调试。附加调试又包括:1.1.2.1: 侵入式的附加:接管正在...
2019-11-25 13:30:41
277
原创 vim的常规使用
vim 的简单操作:vim是Linux下自带的一款具有强大功能的编辑器,由于功能太强大,一时半会不容易掌握,但是先选择常用的功能掌握。模式介绍:vim有多种模式,通常使用的有普通模式,编辑模式,命令模式。普通模式:是编辑器打开时的默认模式。编辑模式:按下i,I,A,a,o,O,cw等可以进入编辑模式,按Esc回到普通模式。命令模式,使用":"可以进入到普通模式,让后可以输入命令。...
2019-11-25 11:53:14
292
原创 OD常用快捷键操作
OD 常用快捷键操作窗口切换快捷键作用Alt + l日志窗口Alt + m内存映射窗口Alt + t线程窗口Alt + w程序窗口信息窗口Alt + h程序句柄窗口Alt + cCPU窗口Alt + k当前线程调用堆栈窗口Alt + b断点窗口Alt + r最近使用的脚本Alt + s源码窗口...
2019-11-25 11:32:13
1893
原创 windows内存管理
windows内存管理1.虚拟内存我们在程序开发中,需要进行程序调试,或者程序在运行时,都需要接触内存的概念,这里的内存说的都是虚拟内存,不是真实的物理内存。windows采用虚拟内存的技术,使得每个程序运行在自己独立的空间中,进程之间不会相互干扰,程序开发时也只需要程序员管理自己进程的内存,使得开发变得相对简单。虚拟内存又使用分段和分页的机制进行管理。在虚拟内存的技术可以实现下面的需求:...
2019-11-22 20:48:24
465
原创 windows权限管理
windows的权限管理令牌: 用户使用账户登录windows系统,每个账户拥有不同的权限,通过这个账户创建的进程和线程时,系统将此账户拥有的令牌分配给进程或者线程,进程和线程也就拥有了和账户一样的权限,权限在windows中就称为令牌。在线程访问其他资源或者对象的时候,会使用令牌和对象中的安全描述符进行比对,安全描述符记录了哪个进程,线程需要什么样的权限才能访问自己,比对通过,具有访问...
2019-11-22 00:06:12
883
原创 PE文件详解02
PE文件详解021.内容概要PE文件详解01中我们已经解析了dos头,nt头,区块头表中的数据,接下来本片文章主要讲数据目录表中索引的几种关键数据。这些关键数据包括导入表,导出表,资源表,重定位表,线程本地存储,延迟加载表。2.数据目录表内容在nt头的扩展头中 ,数据目录表是对上面各种表的索引,方便我们从区块中快速检索到数据。3.导出表3.1:导出表的作用导出表是PE文件自己给其他PE...
2019-11-21 14:10:44
370
原创 PE文件详解01
PE文件详解之011.PE文件: PE文件是windows平台下的一种可执行的文件格式,包括可执行文件(后缀名exe),动态链接库(后缀名dll),驱动文件(sys文件)。在进程空间,通常由一个exe(主模块)和其他多个dll模块构成。2.PE文件的大概组成: PE文件主要由两个部分组成,头部和主体部分。头部有DOS头,NT头,区段头组成,主体由各个区段组成,还有一些调试信息。主体各个...
2019-11-19 23:26:08
1096
原创 Python3爬虫之PyQuery库的使用
1.PyQuery库的介绍PyQuery库是一个强大又灵活的网页解析库。如不不熟悉正则,BeautifulSoup中的语法不熟,但是熟悉jQuery的语法,那么使用PyQuery是最佳的选择。2.PyQuery的安装使用下面命令的前提是已经安装了anaconda,并且环境变量配置正确。cmd命令:pip install pyquery3.用法详解html = '''<div&g...
2019-11-12 14:34:35
528
原创 Python3爬虫之Selenium库详解
1.Selenium库的介绍:Selenium库是用来自动化测试的工具,支持多种浏览器,爬虫中主要用来解决JavaScript渲染的问题。给浏览器发送指令,使得浏览器做出跳转,点击,下拉等动作,模拟用户(人)自然的访问网页。当我们写爬虫获取网页的时候,如果使用urllib库,Requests库无法获取信息的时候,就使用JavaScript库来解决。2.安装Selenium库:使用下面的命令的...
2019-11-11 22:29:44
1103
原创 Python3爬虫之BeautifulSoup库的使用
1.BeautifulSoup的介绍BeautifulSop是一个灵活又方便的网页解析库,处理高效,支持多种解析器。利用它不用编写正则表达式就可以方便的实现网页信息的提取。2.安装BeautifulSoup已经更新到第4个版本,所以是beautifulsoup4,使用cmd命令安装,前提安装的anaconda,并且环境变量配置正确。cmd命令: pip3 install beautiful...
2019-11-10 17:19:06
583
原创 python3爬虫之正则表达式的使用
1.正则表达式在抓取到网页信息后,使用正则表达式提取网页中的信息,正则表达式是处理字符串的有力工具,可以对字符串进行查找,替换,过滤操作。是事先对定义好的“规则字符串”,使用这个规则字符串来对目标文本进行过滤,非Python独有,很多语言都支持正则这种规则,python中,是re模块实现的。2.正则表达式的测试在线站点http://tool.oschina.net/regex/#3.正则...
2019-11-10 00:09:33
1546
原创 python3爬虫之Rquests库的使用
python3爬虫之Requests库详解1 Requests库介绍:Request是Python语言编写,基于urllib库,采用了Apach2Licensed开源协议的HTTP库。它使用起来比urllib库更加简单方便,可以节约工作时间,完全满足测试需求。一句话- -python实现的简单易用的HTTP库2 Request库的安装:使用命令安装:pip insatll reques...
2019-11-09 00:17:38
632
原创 windows DLL注入之注册表注入
windows下的注入之注册表注入:1.概念介绍:注入与Hook:注入与hook经常被人们混淆,其实注入和hook是两种windows下的编程技术(当然,其他平台也有相关的技术),由于在安全编程中,两项技术经常被同时结合起来使用,所以常常导入混淆。今天我们就谈谈windows下的注入技术。1.1 Hook:hook 的中文名叫钩子,hook 是程序设计中最为灵活多变的技巧之一,hook对指...
2019-11-07 15:52:49
1867
原创 python3爬虫之Urllib库使用
python爬虫之Urllib库的使用:# urllib中urllopen方法# 参数1:目标url,参数2:额外数据,如post方法中的数据,# 参数3: timeout:超时时间设置,后面的参数暂时用不到# urllib.request.urlopen(url,data=None,[timeout,]* cafile=None,capath=Nome,cadefaulte=False,...
2019-11-06 21:09:58
235
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人