windows调试
usertony
这个作者很懒,什么都没留下…
展开
-
symbol 相关
************************************** 设置SymPath ****************************************************方法一: 右键“我的电脑”属性中,高级设置中有个环境变量,变量名:_NT_SYMBOL_PATH,变量值:SRV*{$Path}*http://msdl.mic转载 2013-10-24 14:50:07 · 764 阅读 · 0 评论 -
Shellcode
// windows 下弹计算器的shellcode,貌似不支持windows7及以上版本// 先记下shellcode = ""shellcode+="\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"shellcode+="\xeb\x03\x59\xeb\x05\xe8\xf8\xff\xff\x原创 2014-03-31 11:54:48 · 1112 阅读 · 1 评论 -
pydbg学习
#以前在window xp下学习过一段时间pydbg,现在在window 7 下发现有些新问题,将pydbg实现windbg中一条简单的“bu”命令测试了下:#在此留个记号,免得下次有的从头再来 # coding gb2312 -*-from ctypes import *from pydbg import *from pydbg.defines import原创 2014-03-17 15:09:17 · 1420 阅读 · 0 评论 -
关于pyDbgEng及pyDBG
用了一段时间的pyDBG,发现在多线程原创 2014-04-20 23:38:18 · 1691 阅读 · 0 评论 -
A Close Look at RTF Zero-Day Attack CVE-2014-1761 Shows Sophistication of Attackers
A Close Look at RTF Zero-Day Attack CVE-2014-1761 Shows Sophistication of AttackersBy Haifei Li on Apr 03, 2014A serious RTF z转载 2014-04-07 08:07:29 · 2065 阅读 · 0 评论 -
利用FS寄存器获取KERNEL32.DLL基址算法
利用FS寄存器获取KERNEL32.DLL基址算法分类: 技术文章2008-01-09 22:52 2452人阅读 评论(0) 收藏 举报算法cparametersexceptionlistexeFS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTi转载 2014-03-26 15:52:14 · 1022 阅读 · 0 评论 -
pyDBGeng bugfix
def read_virtual_memory(self, address, length): offset=c_ulonglong(address) cp_read_buf=create_string_buffer(length)read_buf = cast(cp_read_buf,c_void_p)bytes_read = c_ulong(0)buffer_size=c_ulong转载 2014-04-22 15:49:50 · 801 阅读 · 0 评论 -
DynamoRIO与Pintools及Valgrind
动态插桩软件,前者开源,有时间再研究,先记下了原创 2014-03-31 18:23:55 · 3108 阅读 · 0 评论 -
PIN学习
分析一(原理)分析转载 2014-05-27 22:03:13 · 804 阅读 · 0 评论 -
使用 vmware+windbg 分析调试 windows 7 内核
使用 vmware+windbg 分析调试 windows 7 内核用 google 可以搜出很多“如何使用 windbg 调试 windows 内核的”的教程。基本都差不多 我根据搜出的教程,再总结一下将自己实验过程写出来。★ 我的 vmware 版本是: 6.0.4 build-93057★ windbg 版本是:6.11.0001.402 AMD64转载 2015-04-21 09:45:40 · 866 阅读 · 0 评论 -
windbg调试命令3(sx、ld)
原文地址:http://www.cnblogs.com/guanlaiy/archive/2012/12/18/2822920.htmlwindbg调试命令3(sx、ld)1.sxsx* 命令用来控制被调试的程序发生某个异常或特定事件时,调试器要采取的动作sx 命令显示当前进程的异常列表和所有非异常的事件列表,并且显示调试器遇到每个异常和事件转载 2015-04-17 14:52:17 · 2313 阅读 · 0 评论 -
Tamarin build documentation
原文地址:https://developer.mozilla.org/en-US/docs/Archive/Mozilla/Tamarin/Tamarin_Build_DocumentationTamarin source versionsThe following instructions are for obtaining and building the Tamari转载 2015-05-12 10:29:58 · 1281 阅读 · 0 评论 -
关于stdint.h
vs2008貌似不支持c99,因此会出现缺少stdint.h的错误,简单的办法:#ifdef _MSC_VER typedef __int32 int32_t; typedef unsigned __int32 uint32_t; typedef __int64 int64_t; typedef unsigned __int64 uint64_t;原创 2015-06-24 17:48:06 · 1580 阅读 · 0 评论 -
本文介绍Google Native Client的设计思路.
系统架构 一个NaCl应用程序由许多可信和不可信NaCl模块组成,每个模块都在一个进程中单独运行。假想一个基于NaCL实现的,用于管理和分享图片的应用,它由两个组件构成,一个用javascript实现的用户界面接口,运行在web浏览器中,另一个是图片处理库,作为一个Native Client模块实现。在这个场景,两者都是不可信的。浏览器组件通过浏览器执行环境进行限制,而图片处理库转载 2014-03-31 20:28:21 · 797 阅读 · 0 评论 -
idapython 手册
最近在研究IDAPython的用法,找来找去,原来官网上有这个:https://www.hex-rays.com/products/ida/support/idapython_docs/index.html原创 2014-03-16 10:59:23 · 3795 阅读 · 0 评论 -
windows 环境下 Shellcode 总结
说到shellcode可能都有些迷茫,不知它是什么东西,可能觉得也很神秘,对于它的专业解释也很少有人提及,今天我们就从以下几个方面来对windows下的shellcode做一个全剖析:1. shellcode的发展历史以及定义2. 现今常见的windows下的shellcode种类3. 编写shellcode流程4. shellocode举例5、shellcode编码6、测转载 2014-03-13 08:53:55 · 1552 阅读 · 0 评论 -
浅析EMET 3.5中的ROP Mitigation
在Blackhat USA 2011上,微软发起了一项名为Bluehat的技术挑战赛,旨在于全球范围内征集漏洞利用缓解机制(说实话我不太喜欢这个蹩脚的翻译,还是Exploit Mitigation更通俗易懂吧)。大赛为期一年,近日方落下帷幕。说来有趣,本届大赛最终杀入决赛的mitigation方案,竟都是用于Anti-ROP的,皆被微软集成在最新版本的EMET中。本人好奇,是何等犀利的转载 2013-10-30 12:47:26 · 2147 阅读 · 0 评论 -
【分享】Windbg的各种符号服务器
通常使用windbg都是用MS的符号,但是如果你去搞别的东西,比如调试firefox,符号何来?给大家提供一些常见符号服务器的地址Microsoft – http://msdl.microsoft.com/download/symbolsFirefox – http://symbols.mozilla.org/firefoxChrome – http://chromi原创 2013-11-06 21:31:26 · 2995 阅读 · 0 评论 -
windbg调试HEAP
windbg调试HEAPHEAP的概念堆栈堆栈,在操作系统内存中有两种存储空间,一个是堆,一个是栈。堆主要用于存储用户动态分配的变量,而栈呢,则是存储我们程序过程中的临时变量。当然栈的作用远不止用作存储变量,但这不是我们这篇文章的讨论内容。堆(HEAP)的分配,使用,回收都是通过微软的API来管理的,最常见的API是malloc和new。在往底层走一点呢,这两个函数都会调用He转载 2013-11-22 17:46:34 · 1422 阅读 · 0 评论 -
CVE-2013-3906简要分析
CVE-2013-3906简要分析简单分析了一下做个笔记,有错误之处望指正。漏洞成因 Word在处理TIFF文件格式的时候一个整数溢出导致了堆溢出,覆盖了函数指针,导致任意代码执行。TIFF格式TIFF格式中靠图像文件目录IFD来表示各个字段,IFD有很多类型,其中一个叫StripByteCounts(标号0x117),官方的解释它是For each strip转载 2013-11-13 14:50:44 · 1672 阅读 · 0 评论 -
转载:WPS 2012/2013 RTF fchars 堆溢出漏洞分析
WPS 2012/2013 RTF fchars 堆溢出漏洞分析On 2013年12月11日, in 安全分析, by code_audit_labs by phperl ,zzf,nine8 of code audit labs of vulnhunt.com在2013年12月3日,翰海源捕获到一个针对中国政府部门的钓鱼邮件定向攻击事件(参考我们之前的文章转载 2013-12-19 16:30:14 · 1108 阅读 · 0 评论 -
关于EMET 4.1
目前还没有下到,在此记录 链接:http://bromiumlabs.files.wordpress.com/2014/02/bypassing-emet-4-1.pdf原创 2014-02-26 22:09:19 · 962 阅读 · 0 评论 -
Windbg实用手册
Windbg实用手册Windbg工作中用的不多,所以命令老是记不住,每次使用都要重新查命令,挺烦。趁这次培训的机会好好测试和总结了一下,下次再用就方便多了。在这里一起共享一下,如果有错误,请指正。基本知识和常用命令(1) Windbg下载地址http://msdn.microsoft.com/en-us/windows/hardware/gg4630转载 2014-02-27 11:57:14 · 1093 阅读 · 0 评论 -
转载:CVE-2014-0322 0day analysis
原文地址:http://www.secniu.com/blog/cve-2014-0322-0day-root-cause-analysis/#commentsCVE-2014-0322 0day root cause analysis发表于 2014/02/152Yesterday, fireeye has posted a blog about a ne转载 2014-02-17 14:48:55 · 2274 阅读 · 1 评论 -
禁用ASLR
在调试程序时,如果开启了ASLR,每次地址都会出现变化,使得调试非常麻烦,因此建议调试时先关闭ASLR。关闭ASLR的工具:EMET原创 2014-02-20 09:50:14 · 1969 阅读 · 1 评论 -
IE单进程模式设置
IE8的一个重要特性就是每个Tab(选项卡)在独立的进程中运行,我们称之为LCIE (Loosely-Coupled IE)。 所以大家在升级到IE8之后会发现资源管理器里面有两个或者多个iexplore.exe进程。LCIE 的好处在:1)某个Tab 崩溃(crash)之后不会影响其他Tab 和IE主窗口2)Tab 进程在Vista 和Windows 7 下面以 Low Inte转载 2014-02-20 09:41:07 · 2280 阅读 · 0 评论 -
关于反汇编引擎
1. capstone支持多种架构,开源,支持Python/Go/C#/Java等语言,方便开发和扩展2. pydasm/libdasmpydbg中貌似就是用的这个,好像这个用的地方挺多的3. BeaEngine一个开源的反汇编引擎,貌似只有C版本原创 2014-03-03 18:36:43 · 1054 阅读 · 0 评论 -
关于ida graph
使用ida脚本语言生成了GDL格式的graph文件,但是除了ida自带的插件wingraph外,各种图片格式解析器都无法打开。而ida的插件wingraph使用起来也不方便(貌似无法单独启动)。最后在网上找到一个软件AiSee,貌似不错,终于解决了我的问题。原创 2014-03-11 10:12:40 · 1502 阅读 · 0 评论 -
命令行下打开bmp文件的命令
命令行下打开bmp文件的命令: rundll32.exe "c:\Program Files\Windows Photo Viewer\PhotoViewer.dll", ImageView_Fullscreen d:\123.bmp原创 2015-07-08 15:47:49 · 2565 阅读 · 0 评论