- 博客(32)
- 收藏
- 关注
RSS订阅原创 pip 出现 Permission Denied
如果在使用pip安装第三方工具的时候,错误提示中出现了Permission Denied 这个关键词,那么基本上可以从下面两个方面来解决1、使用管理员权限运行cmd在开始菜单中搜索cmd,然后选择 以管理员身份运行之后再尝试使用pip2、环境变量的问题我们在安装python的时候,有一个选项是把python添加到环境变量,安装完了之后在cmd中输入 python 的确是可以看到有内容输入,但是安装程序是把python添加到了用户变量中,而不是系统变量中把用户变量中的两个p..
2021-08-26 10:27:26
2355
原创 python安装之后没有pip
一般来说,只要安装了python,那么一定会自带pip的,如果安装完之后,打开cmd来使用pip的时候,提示下面的内容,但是输入 python 这个命令的时候又又内容,那很有可能就是一个原因:没有把pip放到环境变量中python有两个路径需要放到环境变量中,一个是python.exe所在的路径,也就是下图中第一个路径;而pip是在Scripts中,如果这个路径没有添加到环境变量中,就会出现上面找不到命令的错误提示可以看到pip是在Scripts路径下环境变量正确添加好了之...
2021-08-26 10:16:21
22763
11
原创 版本控制工具:Git的使用
搜索关注公众号[逆向小生],不定期更新逆向工程师需要掌握的技能,包括Windows和Android方面的逆向,还有作为一个逆向工程师的思维模式。这里以Github为例,介绍TortoiseGit的使用一、新建资料区(Repository)在一个空白文件夹中右键->Git Create Repository here这里有一个复选框,如果选上就是创建一个Bare类型的资料库,它和普通的资料库的区别就是普通类型支持工作区(working tree),也就是可以在这个工作区修改和..
2020-07-26 22:04:29
310
原创 版本控制工具:Git的下载和配置
搜索关注公众号[逆向小生],不定期更新逆向工程师需要掌握的技能,包括Windows和Android方面的逆向,还有作为一个逆向工程师的思维模式。一、下载Git现在大多数公司都会使用Git来进行代码的版本控制,所以掌握Git的用法还是很有必要的这里推荐一款GUI的Git,TortoiseGit,logo是一只小乌龟下载地址:https://tortoisegit.org/download/安装的时候默认就行,安装路径可以改一下安装完成之后,还不能运行,因为少了gi..
2020-07-26 21:44:25
2514
原创 [逆向]顺序结构:四则运算
简单的顺序结构逆向分析-->四则运算使用工具:VS2013,Ollydbg源代码:#include <windows.h>//定义全局变量int nGlobal = 5; char cGlobal = 'a';int main(){ //定义局部变量 int nLocal_1 = 0; int nLocal_2 = 8; //变量之间进行运算 nLocal_1 += nGlobal; nLocal_2 = nLocal_1 * 4; nLoc.
2020-06-29 00:08:36
429
原创 使用IDA生成Map文件辅助OD调试
主要思路就是先在IDA中把函数名,变量名改成根据实际功能的命名,然后生成map文件,再用OD打开要分析的exe,最后利用插件LoadMap打开之前生成的map文件,就可以在OD中也看到之前在IDA中改过的文件名和变量名了一、用IDA打开要分析的程序,生成map文件打开之后,可以根据已经知道的一些信息把函数名和变量名进行重命名把变量也重命名,局部变量是以loc开头的这两个本...
2019-11-30 09:22:38
1537
原创 SDK函数
(1)MAKEINTRESOURCE:Converts an integer value to a resource type compatible with the resource-management functions. This macro is used in place of a string containing the name of the resource.(2)...
2019-10-24 17:27:36
898
原创 第三章 动态分析基础技术
动态分析是分析的第二步一个程序不是所有的代码都会被执行到,比如有些需要命令行参数才会运行3.1 沙箱:简便但粗糙的方法沙箱是一种在安全环境里运行不信任程序的机制,不用担心伤害到“真正的”系统。沙箱包含一个虚拟环境,通过某种方式模拟网络服务,以确保被测试的软件或恶意代码能正常执行3.1.1 使用恶意代码沙箱Norman,GFI是最受欢迎的沙箱这些沙箱用来做初始诊断很...
2019-08-06 12:30:15
1010
原创 第二章 在虚拟机中分析恶意代码
目录2.1 虚拟机的结构2.2 创建恶意代码分析机2.2.1 配置VMware2.2.2 断开网络2.2.3 创建主机模式网络2.2.4 使用多个虚拟机2.3 使用恶意代码分析机2.3.1 让恶意代码连接到互联网2.3.2 连接和断开外围设备2.3.3 拍摄快照2.3.4 从虚拟机传输文件2.4 使用VMware进行恶意代码分析的风险2.5 记录...
2019-08-03 14:09:11
1497
原创 第一章 静态分析基础技术
目录1.1反病毒引擎扫描:实用的第一步1.2 哈希值:恶意代码的指纹1.3查找字符串1.4加壳与混淆恶意代码1.4.1文件加壳1.4.2使用PEiD检测加壳1.5PE文件格式1.6链接库与函数1.6.1静态链接、运行时链接与动态链接1.6.2使用DependencyWalker工具探索动态链接函数1.6.3 导入函数1.6...
2019-07-31 22:44:50
1051
3
原创 DnSpy调试进程中的DLL
有些时候需要对一个程序中的DLL进行调试,那么就可以用以下方法:Debug-->Attach to Process这里要注意如果要调试的程序是32位的,就要用DnSpy-x86.exe;如果是64位的,就用DnSpy.exe在弹出的窗口中选择对应的进程,选择AttachDebug-->Windows-->Modules找到要调试的DLL,双击,这个DLL就会出...
2019-06-06 09:42:37
6364
原创 160个CrackMe_逆向 8/160
一、基本情况文件名:Andrénalin.1有弹窗,意思是说 不幸是错的,再看仔细二、具体分析查找字符串 UNICODE直接定位到提示的地方,能够看到关键跳转,还有就是前面的一个vbaStrCmp运行到vbaStrCmp处,查看堆栈中的内容所以正确的Key就是:SynTaX 2oo1...
2019-05-29 18:17:19
283
原创 160个CrackMe_逆向 4/160
文件名:ajj.1一、基本信息没有按钮软件是用delphi写的,可以利用专门的delphi反编译软件DeDeDark查看二、具体分析随便输入用户名和注册码在过程选项卡中,有一个chkcode函数,通过名字来看,很像是关键函数双击进去,看到里面有GetText函数,这应该就是两个文本输入框的获取文本函数了在OD中找到对应的RVA在Panel...
2019-05-22 22:37:42
434
原创 DeDeDark delphi反编译
DeDeDark是用来反编译delphi程序的一个软件,现在网上最多的版本是3.50.041、主界面软件支持直接拖拽拖拽完之后会提示是否要分析,选择yes即可2、模块信息3、窗体点击右边的按钮能够看到程序界面的一些信息,包括控件的消息和动作4、过程这里主要是一些自己实现的函数,包括控件对应的函数,可以看到有单击和双击的消息处理函数以及一...
2019-05-22 20:44:41
8355
3
原创 160个CrackMe_逆向 3/160
文件名:AfKayAs.2一、软件信息打开的时候会有弹窗之后出现主窗口破解这个程序的目标有两个,一个是去掉neg弹窗,另一个是得到注册算法。二、详细分析1、随便输入用户名和序列号,会出现错误弹窗,所以切入点就是这个MessageBox在OD命令行输入bp rtcMsgBox,运行之后程序断下来,栈回溯,找到调用的地方在这个函数的前面下断,就可以单步调...
2019-05-21 18:47:55
235
原创 DLL文件 COM OLE文件 OleView查看
如果一个dll的导出函数只有5个:DllCanUnloadNow,DllGetClassObject,DllRegisterServer, DllUnregisterServer, DllMain那么这个这个dll就是一个包含COM接口信息的OLE文件,这个dll文件会在程序运行的时候动态地去调用其中的函数。可以通过DispCallFuns()这个函数下断点来捕捉调用其他函数的过...
2019-05-17 14:02:04
813
原创 新旧版本setup.inx反汇编得到源码
在运行setup.exe的时候,会调用到setup.inxinx里面一般是有注册码之类的东西,如果注册码不对,那么软件的功能上就会不全Start create CSV fileInfo Install error! Skip CSV file creation错误提示,在CSV文件创建的时候就要注意,也就是创建成功了才可以继续下面的安装新版inx这些字节是相同的74...
2019-05-13 17:28:37
1337
原创 C++ 类模板
在逆向比较大的用C++写的软件的时候,经常会遇到类模板,这里就总结一下遇到的一些常见的类模板:basic_string类模版的对象管理的序列是标准的C++ 字符串标准C++ 字符串类是一个容器,因此可以像操作其他普通类型一样,对C++ string类进行操作,例如比较,迭代,STL算法等string其实是形参为char的basic_string类模版的一个别名std::basic_...
2019-05-13 17:17:11
221
原创 OD 调试多线程遇到的问题以及解决方法
1、无法单步调试在调试多线程程序的时候,如果遇到断点能断下来,但是一按F7/F8程序就运行起来了,这种情况多半是线程被挂起了首先是去看看线程窗口,是不是有线程被挂起来,如果有,右键-->Resume all thread,然后就可以继续单步调试了2、程序运行到一半,OD就已经退出,进程终止这种情况一般是程序有一些反调试手段,我当时的情况是有两个线程,总是在第一个线程结束...
2019-05-13 16:44:13
3821
原创 OD在VB程序下断点
在分析VB程序的时候,VB的API跟VC的差别比较大,如果直接用VC的方法去下API断点的话肯定是不行的,断不下来。比如说弹出消息框,VC中是MessageBoxA/W之类的API,但是在VB中是rtcMsgBox,用Ctrl+G是找不到这个API的,所以直接用命令行下断点就可以了,命令:bp rtcMsgBox,注意区分大小写。断下来之后再Alt+K查看堆栈,就能找到调用rtcMsgBox的...
2019-05-13 14:08:35
657
原创 VB 函数
持续更新...VB的函数有些不能根据名称来直接判断函数的功能,平时积累vbaStrI4 将数字转换为UNICODE字符串rtcMsgBox MessageBox函数__vbaobjset 用来给对象赋值或者实例化...
2019-05-09 19:47:44
774
原创 160个CrackMe_逆向 2/160
文件名:Afkayas.1一、软件信息属于name,serial类的软件,有注册算法错误提示二、分析这种软件一般第一步查看字符串,在ASCII中没有找到相应字符串,在UNICODE中找到了相应的字符串双击跟进,到代码的位置,依旧是在函数最前面下断点,输入之后点击OK计算name的长度将得到的长度*0x17CFB,值保存在EDI中取name...
2019-05-09 19:40:23
229
原创 ReadMe
160个CrackMe文件下载链接:链接:https://pan.baidu.com/s/17JDLxx25v-86MbufkCHUew提取码:x061OllyDbg:吾爱破解专用版OllyDbg
2019-05-09 18:06:53
156
原创 内存断点
004AE242 A1 00104000 mov eax,dword ptr ds:[004AE24C] //004AE24C处的内存读取004AE247 A3 00104000 mov dword ptr ds:[004AE24C],eax //004AE24C处的内存写入004AE24C 83C0 01 add eax,1...
2019-05-09 16:23:11
333
原创 160个CrackMe_逆向 1/160
文件名:Acid burn一、打开软件,查看基本信息进主界面之前有个MessageBox,也就是neg,先把它去掉,虽然这个不去掉对程序没什么影响一路F7/F8,找到弹窗的函数,前面有个JE,改成JMP无条件跳转,过掉弹窗函数过掉neg就可以继续下面的分析了很明显属于常见的注册码-用户名之类的软件,这种软件一般能用查找字符串的方法找到关键点二、在...
2019-05-08 22:51:29
362
原创 office 宏病毒分析
1、样本信息在网上下载样本,是一个word的宏病毒名称 713-288-4192.doc MD5 61F1A99292A199F867B168B76FC8CC74 SHA1 967DA912065D014C275463917D236836967B27CA CRC32 A117A12E 2、分析工具准备在linux平台下安装 安装依赖包wget...
2019-03-25 11:02:58
1927
原创 BadRabbit勒索病毒分析
目录0x00 简介0x01 样本概况特征信息0x02 样本行为病毒危害创建恶意文件加密文件注册表端口通信修改MBR0x03 详细分析0x00 简介勒索病毒“Bad Rabbit”采用水坑攻击的方式传播,通过伪装成Adobe flash player欺骗用户安装,感染后会在局域网内扩散。勒索病毒运行后会两次重启电脑,分别进行加密文档和锁定整个...
2018-11-22 19:42:31
2126
原创 熊猫烧香病毒分析报告
1.样本概况1.1 样本信息(1)病毒名称:spo0lsv.exe(2)所属家族:熊猫烧香(3)MD5值:B8F8E75C9E77743A61BBEA9CCBCFFD5D(4)SHA1值:188FC8FC580C0EA4BF8A8900A3D36471823C8923(5)CRC32:E63D45D3(6)病毒行为:复制自身到系统目录下设置文件属性为隐藏,并且让...
2018-07-27 21:59:58
9618
4
原创 windbg 在物理机上查看dump文件
一、在虚拟机中找到dump文件首先在虚拟机中找到dump文件,一般来说都是在C:\Windows\Minidump\这个路径下,找到时间匹配的那个dump文件,复制到物理机中二、在物理机中设置windbg的符号路径和源码路径(1)找到源码路径(2)在windbg中设置源码路径在添加源码的时候有一点一定要注意,就是只需要源文件的路径就可以了,不要把文件名也添加进来,否则会加载错误会提示:Non-di...
2018-06-19 19:56:03
1134
原创 在VS中添加模版
1、打开资源管理器2、我的文档3、找到Visual Studio 2015或者2013的文件夹4、Templates文件夹5、ProjectTemplates文件夹6、把模版的压缩包放在这个目录下即可,注意不要解压打开VS,就可以看到这个模板了...
2018-05-02 13:55:58
4867
原创 调试与异常--手工注册SEH
SEH (Structed Exception Handler,结构化异常处理)手工注册SEH的前提是知道SEH异常处理函数的原型。配置好双机调试环境,在WINDBG中输入 dt _TEB -b ,就可以查看TEB(Thread Environment Block 线程环境块)结构。kd> dt _TEB -bntdll!_TEB +0x000 NtTib : ...
2018-05-01 21:58:04
898
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人