- 博客(9)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 Closehandle反调试实战
测试两个代码查看closehandle应用的具体情形:#include "stdio.h" #include "windows.h" #include "tchar.h" #include <iostream>using namespace std;BOOL CheckDebug(){ __try { CloseHandle((HANDLE)0x1234); } __except(1) { cout ...
2021-01-23 02:30:56
597
原创 INT 3 异常反调试
代码转自https://bbs.pediy.com/thread-225740.htm#include"stdio.h"#include"windows.h"#include"tchar.h"voidAD_BreakPoint(){printf("SEH:BreakPoint\n");__asm{//installSEHpushhandler...
2021-01-22 17:27:09
928
原创 基于除0异常的反调试
遇到异常时,在调试状态下,异常会交给调试器处理;而正常状态下,会交给线程的SEH处理;鉴于这个差别,需要保护代码的时候作者通常会尝试制造各种异常来反调试。但是一直看到《逆向工程原理》提到在调试状态下,异常会交给调试器处理。不知道交给调试器会是怎样的场景,因而设计了一次实战。C++代码如下:#include <iostream>#include <windows.h>using namespace std;BOOL TestExceptionCode(){ ..
2021-01-22 16:32:29
384
原创 实战测试网络报文的连接特性
案例1:打开虎扑网页,发现一个数据流,只要打开虎扑内部任意url都会触发该流,该流有tcp keepalive机制,无通信的情况下,45s交互一次,最多交互3次,再隔45s,服务端主动断开。期间关闭网址并不会断开连接。但是关闭浏览器,客户端会主动断开连接。案例2:测试虎扑某网址,浏览器自动重复加载某个gif,持续大约四分钟后,服务器端主动断开,如果中途关闭浏览器,客户端会自动断开案例3:百度搜索,没有信息后,心跳包15s发送一次,共交互5次,服务端主动断开连接。案例4:微信通过8080端口进行通
2021-01-08 18:54:55
121
原创 CVE-2019-0708漏洞复现
相应的复现文档很多,我主要参考是是https://www.cnblogs.com/-an-/articles/13338665.html,说说我在复现过程中出现的几个问题。(1)首先,kali 2019版,metasploit加载rdb文件时,reload_all报错。网上各种方案(包括更新metasploit,修改其中的配置文件等)都尝试了亲测都没办法解决。最后选择了更新kali 为最新的2020版,解决这个问题。kali 2020内置了这个漏洞的利用载荷工具等信息。(2)set target需要
2020-10-28 13:43:52
180
原创 olldbg多线程逆向调试
简单记录学习多线程调试的基本流程。调试源代码:#include <windows.h>#include "stdio.h"DWORD WINAPI ThreadOne(LPVOID lpParameter){ printf("ThreadOne is Runing\n"); Sleep(100); return 0;}int main(){ HANDLE HOne; printf("***********************v...
2020-10-10 17:22:43
684
原创 Ollydbg逆向过程遇到的一个反调试机制
这两天尝试逆向一个木马,MD5=C8102164058B27B5553924255093B643,再调试的时候遇到了一个诡异的地方。 调试到上图红框处时,看到调用的是个系统函数,就直接F8准备跳过了。结果,和我想得不一样的是,居然程序跳到了系统函数的内部,如图位置,注意红色框内地址明显不是正常程序内部,然后我继续无脑F9,还是在系统函数内部,但是看到报了个RtlRaiseException错误。查了很多资料发现原来这是恶意样本反调试的一种机制,因为调试时ollydbg会自动接管处理这种错...
2020-09-09 17:55:40
1007
1
原创 计算机编码解码和在python中的应用
编者在处理python某些程序时,遇到了一些编码解码的困惑,基于此,总结了一些我认为比较关键的信息,希望能够帮后来者建立一条清晰的逻辑线。1、当计算机在工作时,内存中的数据一直是以Unicode的编码方式表示的,当数据要保存到磁盘或者网络传输时,才会使用utf-8或gbk编码进行操作,在中国地区,系统默认的是gbk。解释:Unicode能够容纳最多种类的字符,所以计算机内存采用Unicode去处理...
2018-04-27 15:55:47
348
原创 关于内网IP和外网IP的一些发现
昨天准备测试一个抓包工具,所以查询了一下自己的IP。关键的是,我用了两张查询IP的方式。一种通过命令行输入ipconfig,一种是直接网上百度搜IP,惊奇的发现这个两个IP竟然不是一样的。以前一直的观点是一个网络适配器应该对应一个IP呀,为什么会出现这种情况呢?而且这两个IP的“网络号”都不是一样的。这就可以排除了这俩货处于一个局域网的可能了。但是这样就更奇怪。我用的一个wifi登陆的两个啥玩意儿
2017-08-18 16:53:24
542
Trustworthy DDoS Defense: Design, Proof of Concept Implementation and Testing
2017-09-08
概率、随机变量与随机过程
2017-03-23
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人