自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

鬼手的博客

病毒分析/逆向分析/Windows编程/Windows内核/交流群:1017057661

原创 进程线程002 等待链表 调度链表

文章目录前言等待链表33个链表调度链表版本差异总结 前言 进程结构体EPROCESS(0x50和0x190)是2个链表,里面圈着当前进程的所有线程。 对进程断链,程序可以正常运行,原因是CPU执行与调度是基于线程的,进程断链只是影响一些遍历系统进程的API,并不会影响程序执行。 对线程断链也一样,...

2020-01-01 13:40:48

阅读数 62

评论数 0

原创 进程线程001 进程线程结构体和KPCR

文章目录前言EPROCESSKPROCESS主要成员EPROCESS其他成员ETHREADKTHREAD主要成员介绍ETHREAD其他成员介绍KPCRKPCR介绍_NT_TIB主要成员介绍KPCR的其他成员介绍KPRCB成员介绍KPRCB成员介绍 前言 进程线程的知识点很多,如果我们想了解问题的本...

2019-12-26 21:33:05

阅读数 42

评论数 0

原创 系统调用004 SSDT

文章目录前言KeServiceDescriptorTableSSDTSSDT Shadow 前言 之前我们了解到通过KTHREAD结构体0xE0的位置可以找到系统服务表,这个位置是我们通过逆向得出的。实际上,WIndows提供了一个导出的全局变量,通过这个导出的全局变量,我们就可以直接访问系统服务...

2019-12-23 22:02:20

阅读数 47

评论数 0

原创 系统调用003 系统服务表

文章目录前言SystemServiceTable 系统服务表系统服务表在哪判断调用的函数在哪个表API函数的调用过程 前言 我们现在已经知道API怎么从三环进入零环,从三环进零环需要带两个寄存器,分别是eax和edx。eax保存的是系统的服务号,edx保存的是三环的esp,通过esp可以找到三环的...

2019-12-22 17:09:50

阅读数 32

评论数 0

原创 系统调用002 KiSystemService函数逆向分析

文章目录前言保存现场_KTRAP_FRAMEKRPCExceptionList_KTHREAD结构体先前模式抬高堆栈判断当前权限更新_KTRAP_FRAME保存三环的寄存器环境判断调试状态 前言 之前我们详细了解了API从三环进到零环的过程,API会通过两种方式进入到零环,如果通过中断门的方式进入...

2019-12-22 14:21:28

阅读数 40

评论数 0

原创 系统调用001 API从三环进零环的过程

文章目录前言逆向分析ReadProcessMemoryNtReadVirtualMemory_KUSER_SHARED_DATASystemCall通过int 0x2E中断门进入零环通过sysenter快速调用进入零环总结总结 前言 在三环操作系统提供了各种API,这些API实际上只是一个暴露在三...

2019-12-21 17:43:34

阅读数 55

评论数 0

原创 [保护模式]PAE模式

文章目录PAE模式 2-9-9-12分页非PAE模式为什么是10-10-12PAE模式为什么是2-9-9-12总结PDPTE结构PTE结构PTE结构XD标志位(AMD中称为NX,即No Excetion) PAE模式 2-9-9-12分页 非PAE模式为什么是10-10-12 先确定了页的大小4...

2019-12-11 23:12:16

阅读数 46

评论数 0

原创 [保护模式]非PAE模式

文章目录PAE 物理地址扩展线性地址 有效地址 物理地址CR3PDE/PTE物理页的属性通过线性地址访问PDT和PTT指向PDT的线性地址 0xC0300000总结指向PTT的线性地址 0xC0000000/C0001000总结访问PDT与PTT公式总结 PAE 物理地址扩展 线性地址 有效地址 ...

2019-12-09 22:30:52

阅读数 18

评论数 0

原创 [保护模式]任务段

文章目录TSS什么是TSSTSS的作用如何找到TSSTR寄存器读写将TSS段描述符加载到TR寄存器构造TSS段描述符修改TSSJMP 访问代码段JMP 访问任务段JMP FAR和CALL FAR访问任务段的区别TSS切换实验示例代码构造段描述符填充CR3 TSS 什么是TSS TSS是一块内存,大...

2019-12-04 21:16:48

阅读数 39

评论数 0

原创 [保护模式]中断门

文章目录要点回顾中断门IDT中断门描述符中断门实验示例代码构造中断门描述符修改IDT表中断现场中断返回为什么会PUSH EFLAGS寄存器调用门和中断门的区别 要点回顾 执行调用门的指令:call cs:eip。其中cs是段选择子,包含了查找GDT表的索引。但当CPU遇到了如下指令:int [in...

2019-12-01 19:43:17

阅读数 31

评论数 0

原创 [保护模式]调用门

文章目录调用门调用门执行流程调用门描述符调用门实验无参调用门示例代码构造调用门修改GDT表执行流程中断现场有参调用门示例代码构造调用门修改GDT表中断现场总结 调用门 调用门执行流程 CALL FAR的指令格式:CALL CS:EIP(EIP是废弃的) 执行步骤: 根据CS的值 查GDT表,找到...

2019-12-01 16:24:42

阅读数 29

评论数 0

原创 [保护模式]段间跳转和跨段跳转

文章目录段间跳转段寄存器段间跳转段间跳转的执行流程1.段选择子拆分2.查表得到段描述符3.权限检查4.加载段描述符5.代码执行总结跨段跳转短调用长调用跨段不提权跨段提权总结 段间跳转 代码跨段,本质就是修改CS段寄存器 段寄存器 段寄存器有下面几个:ES CS SS DS FS GS LDTR T...

2019-12-01 13:38:20

阅读数 61

评论数 0

原创 Windows内核实验005 Inline Hook

文章目录准备工作寻找Inline Hook的返回地址编写代码动态变化的返回地址JmpTargetAddrInline Hook基本框架示例代码实战HOOK KiTrap01无需计算偏移的Inline Hook方法示例代码 准备工作 寻找Inline Hook的返回地址 假设我们现在要HOOK K...

2019-11-17 15:18:17

阅读数 63

评论数 0

原创 Windows内核实验004 API调用

文章目录完善代码内核API调用修复一个潜在问题复现问题完整代码 前面几次实验我们已经完成了一个三环的程序调用零环API的必要条件。 提升到零环权限 使fs指向KPCR 完善代码 这次我们去掉之前的死循环代码,并且将函数地址写入到IDT表项,在虚拟机中运行一下程序,看看会有什么结果。 这里他...

2019-11-16 20:43:28

阅读数 29

评论数 0

原创 Windows内核实验003 再次回到中断

文章目录两个实验死循环开启中断后的死循环KiFastCallEntry调用零环API的两个条件分析KiFastCallEntry什么是KPCR完善代码完整代码 之前的实验我们已经实现了从三环到零环的提权,但是提权不代表能正常调用内核函数。接下来我们要实现的一个事情就是在我们的代码里正常调用内核的函...

2019-11-16 15:10:25

阅读数 22

评论数 0

原创 Windows内核实验002 中断现场

文章目录如何获取中断现场环境中段现场环境观察中断现场堆栈环境观察中断现场的寄存器环境段选择子段寄存器结构变化的段寄存器的具体含义遗留问题:SS段寄存器和栈顶指针来自于哪?什么是TSSTSS的工作细节中断提权的任务切换过程实验代码 上一课我们已经实现了利用中断提权的方式让自己写的函数拥有了零环的权限...

2019-11-15 23:04:15

阅读数 30

评论数 0

原创 Windows内核实验001 中断提权

文章目录实验环境内核提权IDT的基本知识什么是中断什么是IDT表在PC Hunter中查看IDT表中断提权的基本原理写一个三环的小程序修改IDT表提权测试 本篇文章基于周壑老师的讲解,感谢周壑老师。 实验环境 windbg双机调试环境 VS开发环境 32位 WIN7 虚拟机 内核提权 内核态的...

2019-11-12 23:18:09

阅读数 89

评论数 0

原创 PC微信逆向:实现自动保存加密的聊天图片

文章目录前言基于保存语音的相关延伸图片处理的相关流程自动保存图片相关思路实战保存聊天图片对保存图片call的相关分析代码实现保存聊天图片实际效果项目地址 前言 本文基于anhkgg大佬的文章《微信PC端技术研究(2)-拿下语音》原文链接:https://bbs.pediy.com/thread-2...

2019-09-30 10:31:57

阅读数 1047

评论数 1

原创 CVE-2012-1876 Internet Exporter堆溢出漏洞分析

文章目录漏洞描述IE浏览器组件介绍分析环境POC漏洞分析漏洞利用参考资料 漏洞描述 该IE浏览器漏洞的成因在mshtml.dll这个模块的CTableLayout::CalculateMinMax函数里,程序在执行时会以HTML代码中的元素span属性作为循环控制次数向堆中写入数据。如果此span...

2019-08-16 11:47:35

阅读数 312

评论数 0

原创 WeTool逆向:借用别人的成果 打造自己的程序

文章目录什么是WeTool前置知识&基于WM_COPYDATA的消息模型进程通讯相关知识WM_COPYDATA的相关知识WM_COPYDATA的缺点示例代码逆向WeTool定位WeTool核心模块分析WeChatHelp分析SendMsg函数WeTool逆向和微信逆向的对比微信逆向WeTo...

2019-08-10 10:37:24

阅读数 2708

评论数 1

原创 CVE-2017-11882漏洞分析

文章目录分析环境漏洞描述漏洞成因漏洞分析获取poc复现漏洞漏洞分析定位漏洞模块定位漏洞函数定位漏洞触发点解决方案 分析环境 **环境:**W7 x64 Office2013 **工具:**windbg IDA Pro 漏洞描述 CVE-2017-11882是微软公布的一个远程执行漏洞,通杀目前...

2019-08-05 19:56:48

阅读数 756

评论数 0

原创 CVE-2012-0158栈溢出漏洞分析

文章目录漏洞描述分析环境漏洞分析寻找漏洞函数验证漏洞函数缩小漏洞范围探究漏洞本质漏洞修复漏洞修复 漏洞描述 该漏洞发生在MSCOMCTL.OCX模块中,在一段内存拷贝时,由于检查条件错误造成基于栈的缓冲区溢出 分析环境 环境 版本 操作系统 W7 x64 调试器 windbg ...

2019-08-04 21:23:41

阅读数 187

评论数 0

原创 Microsoft RTF栈溢出漏洞(CVE-2010-3333)漏洞分析

文章目录漏洞描述分析环境RTF文件格式基于栈回溯的漏洞分析方法漏洞利用Office 2003与Office 2007 Exploit通用性研究 漏洞描述 Microsoft Office XP SP3,Office2003SP3,Office2007 SP2,Office 2010等多个版本的Of...

2019-08-04 21:21:30

阅读数 193

评论数 0

原创 PC微信逆向:分析群拉人功能

文章目录分析群拉人功能的思路定位群拉人call定位联系人的微信ID定位群拉人call必须要执行的call可以不执行的call必须要执行的call追踪数据结构的来源总结 分析群拉人功能的思路 首先思考一下群拉人功能背后的编程逻辑,第一步需要将一组联系人放到一个数组里,然后拿到这一批人的微信ID,接...

2019-08-03 10:25:46

阅读数 1170

评论数 1

原创 PC微信逆向:分析微信发送文件call

文章目录发送文件call的结构体参数分析组合数据call的分析定位发送文件的call 接上一篇文章,PCXX逆向:发送与接收消息的分析与代码实现:https://blog.csdn.net/qq_38474570/article/details/93339861 发送文件call的结构体参数分析 ...

2019-08-03 10:25:06

阅读数 1404

评论数 0

原创 PC微信逆向:分析发送xml名片call

文章目录微信版本定位发送xml名片call发送xml名片call的切入点定位选择联系人的call定位发送xml名片的call定位接收者的微信ID定位发送xml名片的call验证发送xml名片的call方法扩展 微信版本 定位发送xml名片call 发送xml名片call的切入点 在发送xml名...

2019-08-03 10:24:01

阅读数 550

评论数 0

原创 PC微信逆向:分析@群成员call

文章目录发送消息函数的分析定位组装的数据格式追踪ebx+0x14追踪esi+0x4追踪eax追踪ebp-0x24分析组装数据的call测试组装数据的call是否有效 接上一篇文章,PCXX逆向:发送与接收消息的分析与代码实现:https://blog.csdn.net/qq_38474570/ar...

2019-07-29 19:47:53

阅读数 665

评论数 2

原创 PC微信逆向:实现自动添加好友分享名片

文章目录如何实现自动添加好友分享名片定位加好友call相关思路定位微信加好友call定位加好友call的微信ID定位微信加好友call验证加好友call微信加好友call的分析添加名片call参数区别一区别二分析接收名片消息代码实现自动添加好友分享名片拓展实现自动聊天思路实现自动同意好友请求思路实...

2019-07-26 19:51:47

阅读数 1074

评论数 0

转载 宏病毒的研究与实例分析06——终结篇 进击的MACRO

文章目录背景VBA stomping在VBA编辑器中隐藏宏使用旧版宏警告常用的规避杀软的手法结语参考文献 转自信安之路病毒分析小组组长::x-encounter 背景 ​ Office版本历经十几年的变迁,现已趋于成熟,但仍存在着新老版本交替使用的问题。Office 97-2003 Word的文件...

2019-07-24 21:16:44

阅读数 169

评论数 0

原创 【开源】WeChatRobot+WeChatHelper 制作自己的微信机器人

文章目录前言实现功能项目介绍效果演示初始化截取二维码检测微信登陆状态&显示所有联系人发送文本 图片 和文件消息添加&删除好友接收并显示所有类型消息无限多开解密数据库自动聊天自动收款自动提取微信表情成品和编译环境技术细节声明项目地址 前言 最近一直都在研究微信逆向相关的东西,奈何目前...

2019-07-21 15:20:11

阅读数 3867

评论数 11

原创 PC微信逆向:两种姿势教你解密数据库文件

文章目录定位数据库文件密码定位数据库密钥的思路获取数据库密钥的实战分析CreateFileW断点常见错误排查堆栈排查堆栈地址单步跟踪用代码实现解密数据库编译选项解密代码实际效果动态获取数据库密钥定位数据库文件句柄关于微信数据库句柄获取微信数据库句柄的思路定位微信的数据库句柄 定位数据库文件密码 微...

2019-07-20 17:18:58

阅读数 8106

评论数 8

原创 PC微信逆向:使用HOOK获取好友列表和群列表

文章目录获取好友列表的切入点定位查询好友信息的函数定位微信号的地址一次错误的尝试再次查找目标函数成功定位获取好友信息的函数定位获取好友列表的函数示例代码实际效果预告 获取好友列表目前有三种方法,第一种就是二叉树遍历,通过一层一层的往下读取来拿到所有的好友列表。第二种是通过在内存里面找好友的地址列表...

2019-07-14 15:34:33

阅读数 3117

评论数 4

原创 PC微信逆向:发送与接收消息的分析与代码实现

文章目录定位微信的消息接收函数定位消息接收函数的相关思路定位消息内容的地址分析接收消息函数好友消息群消息总结代码实现定位微信的消息发送函数定位消息发送函数的相关思路过滤当前聊天窗口的微信ID定位当前聊天窗口的ID定位发送消息的函数分析发送消息的函数普通消息艾特某人消息总结代码实现最终效果 定位微信...

2019-06-22 17:12:15

阅读数 6186

评论数 6

原创 PC微信逆向:使用HOOK拦截二维码

文章目录微信版本寻找微信二维码基址PNG文件格式使用CE过滤基址使用OD确定二维码基址验证二维码基址寻找微信二维码内容的基址微信二维码的存储内容使用CE寻找二维码内容的基址验证基址定制微信登录二维码的可能性使用hook截取二维码最终效果 微信版本 寻找微信二维码基址 PNG文件格式 微信二维码在...

2019-06-18 19:32:47

阅读数 6355

评论数 6

原创 160个Crackme047

文章目录校验步骤条件一条件二条件三条件四条件五注册机的编写 【软件名称】:Dope2112.2.exe 【软件大小】:12.0 KB 【下载地址】:自行搜索下载 【加壳方式】:无壳 【保护方式】:Keyfile 【编译语言】:MASM 【调试环境】:W7 32 【使用工具】: OD 【破解日期】...

2019-06-15 18:19:42

阅读数 143

评论数 0

原创 Adobe Reader栈溢出漏洞(CVE-2010-2883)分析

文章目录漏洞描述测试环境静态分析定位触发点分析漏洞成因动态调试获取SING表的入口地址溢出点精心挑选的返回地址JavaScript实现HeapSpray利用ROP链绕过DEP保护漏洞利用流程总结漏洞修复参考资料 这个漏洞是《漏洞战争》里面的第一个漏洞,也是我分析的第一个漏洞。水平有限,如有错误还望...

2019-06-08 17:39:18

阅读数 207

评论数 0

原创 160个Crackme045

文章目录导入符号用CE寻找切入点分析算法写出注册机校验结果 【软件名称】:Dope2112.2.exe 【软件大小】:171kb 【下载地址】:自行搜索下载 【加壳方式】:无壳 【保护方式】:Name/Serial 【编译语言】:Delphi 【调试环境】:W10 64 【使用工具】: OD+ID...

2019-05-28 08:37:21

阅读数 88

评论数 2

原创 开源一个ShellCode生成框架

文章目录前言项目预览项目配置文件命名与作用ShellCode大小的计算方法第一部分 ShellCode生成第二部分 ShellCode部分ShellCode加载器如何提取ShellCode如何扩展ShellCode框架?参考资料项目下载 前言 现阶段,shellcode编写门槛高,大多需要有较深的...

2019-05-25 12:30:21

阅读数 485

评论数 0

原创 160个Crackme044

文章目录寻找切入点算法分析基础校验第一部分第二部分校验部分写出注册机校验结果 【软件名称】:Dope2112.1.exe 【软件大小】:178KB 【下载地址】:自行搜索下载 【加壳方式】:无壳 【保护方式】:无保护 【编译语言】:Delphi 【调试环境】:W7 32 【使用工具】:OD + I...

2019-05-21 20:57:41

阅读数 54

评论数 0

原创 160个Crackme041之无源码修改Delphi程序

文章目录前言软件概况分析程序栈回溯分析About点击事件获取必要的API添加区段配置区段添加区段数据植入代码修改目标函数校验结果 【软件名称】:defiler.1.exe 【软件大小】:287KB 【下载地址】:自行搜索下载 【加壳方式】:无壳 【保护方式】:无保护 【编译语言】:Delphi 【...

2019-05-15 14:11:06

阅读数 96

评论数 0

提示
确定要删除当前文章?
取消 删除