- 博客(7)
- 收藏
- 关注
原创 另类傀儡进程——利用内存映射文件与APC注入实现
**前言:**近日分析某游戏辅助软件时,发现其使用了傀儡进程的方式,本以为是常见的傀儡进程技术实现,但在分析时并未发现其调用常规函数实现,而是使用了一些内存映射的API,所以仔细分析后发现其傀儡进程的实现技术有所不同,故学习整理。一、 傀儡进程傀儡进程是指将目标进程的映射文件替换为指定的映射文件,替换后的进程称之为傀儡进程。一般来说傀儡进程的创建流程分别为以下几点:以挂起的方式进行创建...
2020-02-25 20:14:53 902
原创 swpuctf—re1
re1其实是一个对二进制上的运算,就是将每个字节的二进制分为三部分——高位0+1、低位0与中间值,并记录下三部分各自的大小,再以四字节为一组进行重新填充得出验证码如上图示例,00111100被分为三部分后高位:001中位:111低位: 00这时将进行重新组合再拼接,生成两组数,既高位组与低位组拼接位一组,中间位为一组组一:111组二:00100记录下所有数据并生成结构体...
2020-02-04 16:28:41 547
原创 PE加载与反射式注入
一、PE加载在PE结构非常熟系的情况下,往往我们都会想要实现一套PE加载器,其基本流程可以分为以下几点:将PE文件从磁盘中读出根据PE结构获取镜像大小,再申请一段可读可写可执行的内存并填充为0将读取数据映射到内存中修复导出导入入表修复重定位跳转到PE入口点进行执行相信各位对以上流程都非常熟悉,而且只有实现了PE加载才能真正掌握PE结构,作为抛砖引玉下面我们就聊聊一种DLL注...
2020-02-01 17:22:34 887
原创 反弹cmd
**前言:**我们在学习的过程中经常会听见“反弹shell”一词,就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。同理我们也可以自己实现一套反弹cmd的操作。...
2020-01-21 18:28:44 1197
原创 浅析Windows异常处理结构与实现
浅析Windows异常处理结构与实现 Windows异常处理是操作系统处理程序错误的一种手段,一般有两种:SHE(结构化异常处理)和VEH(向量化异常处理),而UEF(TopLevalEH顶层异常处理)是基于SHE的(这之后应该还有一种VCH),下面我就从上面三方面分析一下Windows异常处理结构。一、异常处理的个人理解简述 当正在运行一个程序产生了一个异常后,就会利用自身的异常处理来...
2019-05-18 20:16:28 744
原创 自写反汇编引擎(二)
自写反汇编引擎(二)资料:1.intel指令格式与长度反汇编引擎ADE32分析(https://bbs.pediy.com/thread-54180.htm)2.编写自己的反汇编引擎(https://bbs.pediy.com/thread-128411.htm)在上一篇文章中我们已经讲解来看一下基础的IA-32指令,那么在这篇文章我们将具体来实现反汇编引擎的编写,首先上效果图(只是完成了...
2019-04-02 16:13:45 1583 1
原创 自写反汇编引擎(一)——Intel指令编码
自写反汇编引擎(一)——Intel指令编码资料:1.Intel指令手册2.打造自己的反汇编引擎——Intel指令编码学习报告(https://wenku.baidu.com/view/8557a44d2b160b4e767fcf0d.html)3.逆向工程核心原理(49.IA-32)写在文章前的一些话:这篇文章是我编写完反汇编引擎后的有感而发,也是一种整理总结并将自己的经验分享出来。相信...
2019-04-02 15:54:27 1584
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人