Catch me if you can

为windbg 安装mona主要是提供下载链接，方便将来重新安装虚拟机。

常见windbg命令汇总

本文探讨fs 是否等于fs:0fs是段选择子，16位。 fs：x 是段寻址，寻找到的地址为32位，此值为fs指向的段段内偏移x处的地址。根据已知FS:0指向TEB 以此源码为例，windbg双调。.386.model flat,stdcalloption casemap:none.codestart:int 3nopnopend startwindbg捕获断点kd> !tebT

r3下的inline Hook 在r0下的实现。过ssdt保护检测。

API 调用过程以一个demo测试为例，本测试查看OpenProcess 在R3-R0 下的调用。// test.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include <windows.h>#include <stdio.h>int main(int argc, char

整理

TLS是在线程创建后执行前，销毁后退出前自动执行的一种技术，常用于反调试技术。TLS主要有一个回调函数地址表，在PE文件中存在。一个程序放到调试器中，还没有加载到OEP时，就已经执行TLS了（因为程序的主线程在OEP前创建，而创建时会自动调用TLS，准确的说是创建后自动调用其回调函数TLS）。这时候往TLS中置入反调试检测，就达到了效果。

坏字符过滤 使用msf generate模块来过滤

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]"Auto"="1""Debugger"="\"C:\\Program Files\\Immunity Inc\\Immunity Debugger\\ImmunityDebugg

http://securityxploded.com/pymal.php