kernweak的博客

遇到问题The following packages have unmet dependencies.libc6-dev : Breaks : libgcc-9-dev (< 9.3.0.5~) but 9.2.1-19 is to be installed解决方案找到var / lib / dpkg / status文件，然后使用方便的文本编辑器将其打开sudo nano /var/lib/dpkg/status在文件中找到libgcc-9-dev软件包信息并将其删除

几种调用约定区别_cdecl是C的调用约定，从右向左参数依次入栈，调用者平衡堆栈。所以函数外add+x平衡堆栈_stdcall是微软的调用约定，从右向左参数依次入栈，被调用者平衡堆栈，所以平衡堆栈为retXXXfastcall是stdcall变体，x86下前两个参数用寄存器ecx，edx，后面跟_stdcall一致。C++ 调用约定，非静态成员函数与标准函数不同，需要this指针，指向被调用的的对象，这个由被调用方提供给，thiscall为MS提供的C++ 调用约定，被调用者平衡堆栈，this指针在

N：重命名地址符号U：代码转换为数据C：数据到代码；/：加注释G：跳转到指定位置ESC/CTRL+ENTER：导航后退/前进D：对数据db/dw/dd之间进行切换ALT+T：string searchALT+B: binary searchA：将选择的范围转化为字符串View --&gt; OpenSubviews --&gt;  Local Types--&gt;INSER...

https://jingyan.baidu.com/article/fec4bce29dbb3bf2618d8bbc.html

使用apktool，或者其他打包解包命令，每次都命令行敲一遍，感觉好累，生产效率太低，看到老师添加到了宏命令，然后放到鼠标右键用来实现直接对着apk右键发送到，直接在当前目录解包。然后我就是想知道鼠标选中这个参数在命令里怎么写，然后网上一大堆博客都在总体介绍bat脚本所有语法，其实没必要了解，只要知道%~1 代表鼠标选中的文件即可。比如我这个是打包所以bat里面这个么写java ...

1.查看进程模块，观察dll可以看谁注入了他。2.查看进程的线程，列出线程，如果是红色线程，说明不在任何模块内。3.驱动模块会把所有当前驱动列出，比较重要的是加载顺序，如果木马驱动也会在这显示。4.内核部分比较重要的是系统回调其中LoadImage很多木马会放止安全软件，会在LoadImage检测，在这里进行patch。cmpCallback注册表回调。如果注册表禁止操作，很...

找到xxx.lib,然后在IDA目录找到flair68.zip（我这里是ida6.8）然后第一步：使用pcf生成对应静态库的pat文件pcf 文件名 生成的文件名.pat第二步：使用sigmake,将pat文件转为sig文件sigmake pat文件 生成的sig文件.sig将exc文件中的前4行删除再次执行命令sigmake pat文件 生成的sig文件.s...