自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(7)
  • 收藏
  • 关注

原创 另类傀儡进程——利用内存映射文件与APC注入实现

**前言:**近日分析某游戏辅助软件时,发现其使用了傀儡进程的方式,本以为是常见的傀儡进程技术实现,但在分析时并未发现其调用常规函数实现,而是使用了一些内存映射的API,所以仔细分析后发现其傀儡进程的实现技术有所不同,故学习整理。一、 傀儡进程傀儡进程是指将目标进程的映射文件替换为指定的映射文件,替换后的进程称之为傀儡进程。一般来说傀儡进程的创建流程分别为以下几点:以挂起的方式进行创建...

2020-02-25 20:14:53 902

原创 swpuctf—re1

re1其实是一个对二进制上的运算,就是将每个字节的二进制分为三部分——高位0+1、低位0与中间值,并记录下三部分各自的大小,再以四字节为一组进行重新填充得出验证码如上图示例,00111100被分为三部分后高位:001中位:111低位: 00这时将进行重新组合再拼接,生成两组数,既高位组与低位组拼接位一组,中间位为一组组一:111组二:00100记录下所有数据并生成结构体...

2020-02-04 16:28:41 547

原创 PE加载与反射式注入

一、PE加载在PE结构非常熟系的情况下,往往我们都会想要实现一套PE加载器,其基本流程可以分为以下几点:将PE文件从磁盘中读出根据PE结构获取镜像大小,再申请一段可读可写可执行的内存并填充为0将读取数据映射到内存中修复导出导入入表修复重定位跳转到PE入口点进行执行相信各位对以上流程都非常熟悉,而且只有实现了PE加载才能真正掌握PE结构,作为抛砖引玉下面我们就聊聊一种DLL注...

2020-02-01 17:22:34 887

原创 反弹cmd

**前言:**我们在学习的过程中经常会听见“反弹shell”一词,就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。同理我们也可以自己实现一套反弹cmd的操作。...

2020-01-21 18:28:44 1195

原创 浅析Windows异常处理结构与实现

浅析Windows异常处理结构与实现  Windows异常处理是操作系统处理程序错误的一种手段,一般有两种:SHE(结构化异常处理)和VEH(向量化异常处理),而UEF(TopLevalEH顶层异常处理)是基于SHE的(这之后应该还有一种VCH),下面我就从上面三方面分析一下Windows异常处理结构。一、异常处理的个人理解简述  当正在运行一个程序产生了一个异常后,就会利用自身的异常处理来...

2019-05-18 20:16:28 743

原创 自写反汇编引擎(二)

自写反汇编引擎(二)资料:1.intel指令格式与长度反汇编引擎ADE32分析(https://bbs.pediy.com/thread-54180.htm)2.编写自己的反汇编引擎(https://bbs.pediy.com/thread-128411.htm)在上一篇文章中我们已经讲解来看一下基础的IA-32指令,那么在这篇文章我们将具体来实现反汇编引擎的编写,首先上效果图(只是完成了...

2019-04-02 16:13:45 1583 1

原创 自写反汇编引擎(一)——Intel指令编码

自写反汇编引擎(一)——Intel指令编码资料:1.Intel指令手册2.打造自己的反汇编引擎——Intel指令编码学习报告(https://wenku.baidu.com/view/8557a44d2b160b4e767fcf0d.html)3.逆向工程核心原理(49.IA-32)写在文章前的一些话:这篇文章是我编写完反汇编引擎后的有感而发,也是一种整理总结并将自己的经验分享出来。相信...

2019-04-02 15:54:27 1584

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除