奇技淫巧
Psy_Hacker
这个作者很懒,什么都没留下…
展开
-
Windbg调试记录
事情发生在一个万恶的周三,本来心情高高兴兴,熟料在调试hole的时候,要下断点输出相关的一些信息,然后打印换行符的时候,让我整个人一天都很抑郁。正常打印换行符的操作:调用printf.printf "%p.%p\n",eax,edi下断点的同时想要打印断点处的对应寄存器的值,同时换行:bp kernel32!CreateProcess .printf \"%p.%p\\n\",eax,edi单纯记录,别让自己蠢忘了...原创 2021-08-19 10:16:04 · 223 阅读 · 2 评论 -
关于IDA Python
关于IDA PythonIDAPython在IDA中集成了Python解释器,除了提供了Python功能外,使用这个插件还可以编写实现IDC脚本语言的所有Python脚本。IDAPython显著优势在于,它可以充分利用Python强大的数据处理能力及所有的Python模块。IDAPython还具有IDA SDK的大部分功能,与IDC相比,使用它可以编写功能更加强大的脚本。IDA Python包含三个独立的模块:idc:兼容idc函数的模块,负责提供IDC所有的函数,使用的时候自动导入idauti原创 2021-05-09 17:09:26 · 735 阅读 · 0 评论 -
内存展开文件分析——Dump文件产生的头脑风暴
这个完全是分析Dump文件学到的一点小技巧,作为记录,防止遗忘。Dump文件来源——大哥给了一个进程Dump文件,可能存在恶意行为,拿过来分析,从里边抠出来一个DLL文件。但是经过查看发现这个PE文件是已经在内存中展开后的镜像,IDA没办法直接分析,想分析得稍微处理一下,修正几个参数。当然,首先还是要判断这个文件处于什么状态,这个问题可以去看https://blog.csdn.net/cssxn/article/details/84031416?spm=1001.2014.3001.5501里边有较为原创 2021-04-14 18:59:43 · 310 阅读 · 1 评论 -
Windbg 内核调试,寄存器窗口没有数据
之前在使用Windbg进行内核调试的时候,想要查看寄存器的值,结果发现打开寄存器窗口之后,不显示数据,但是执行r命令可以正常查看寄存器的值,网上搜索了一下相关资料,记录一下。环境:Windbg.exe Windows10 x64也是在网上抄袭来的,原链接如下: https://blog.csdn.net/forchoosen/article/details/107074378(博客链接) https://github.com/mbikovitsky/WingDbg(Git原始链接)下载之后,将原创 2020-07-16 17:39:10 · 1959 阅读 · 6 评论 -
Windbg 内核态调试用户态进程
之前写过双机调试环境的搭建,一般用来调试驱动这样内核态的东西,今天遇到一个问题,就是在内核态的情况下怎么给用户态的程序下断点?也就是在内核态怎么调试用户态的程序,比如想要给CreateProcessW这个API下断点怎么整?因为CreateProcessW这个API是位于Kernel32.dll这个模块里边的,但是这个模块是属于用户态的模块,内核会话不会加载这个模块。使用的示例:自己写的Demo,用OD附加之后,给CreateProcessW下断点(其实没必要使用OD附加)接下来开始展示:1、搭建双机原创 2020-07-13 10:12:31 · 2300 阅读 · 1 评论 -
Active X自启动方式
ActiveX是一种组件技术,在Windows系统中,注册在注册表里边,被其它的应用程序调用。ActiveX自启动的方式是将应用程序链接到相应的注册表位置来完成自启动的功能。ActiveX被注册在注册表中,具体的位置是:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\ 以CLASSID的方式存储在该键值下,目标CLASSID也称为GUID(全局唯一标识符),在这个键值下边存在一个StubPath的子健,这个原创 2020-06-21 14:15:47 · 769 阅读 · 0 评论 -
Win7和Windbg的双机调试
之前手动配置过XP和Windbg的双机调试,这次配置Win7和Windbg的双机调试,和XP不一样的是:Win7没有像Xp一样的boot.ini这样的引导文件。所以配置的时候采用命令行的方式进行开机引导项的增加 包括串口的设置,具体配置过程如下:1:首先进行虚拟机的串口配置:上边我再设置端口的时候选择的是COM_1,因为之前再设置的时候...原创 2020-03-20 14:22:30 · 544 阅读 · 2 评论 -
Windbg双机调试的二三事
今天在调试设置Windbg的双机调试的时候,真的是恶心到我了,按照书上的设置,配了半天,上网找资料找了好一会儿,还是没搞定?最后把网上的方法和书上的设置结合了一下,居然就成了。把这个过程记录一下,就当是自己的配置笔记吧。————————————这是分割线————————————————————————接下来开始介绍Windbg的双机调试步骤:(我的搭建环境是虚拟机XP系统)其实很简单就只有两...原创 2020-03-10 19:10:40 · 250 阅读 · 0 评论