- 博客(114)
- 资源 (27)
- 收藏
- 关注
RSS订阅原创 jadx动态调试安卓apk
选用某ctf题目的apk作为调试模板。工具:雷电模拟器jadx1.3.2步骤:1、在雷电模拟器安装apk:2、在jadx打开apk:3、检查模拟器的adb服务状态:必须确保模拟器里的adb服务启动,且状态正常,不然后续调试无法进行。adb服务出现问题,可根据错误提示搜索解决方法,这里就不一一举例了。4、在jadx中选择要调试的进程打开jadx的调试进程选择窗口:找到要调试的apk对应的进程并双击:双击后,会自动进入调试.
2022-05-26 13:29:59
9617
9
原创 PE格式----目录----导出表
PE 文件被执行时,Windows 加载器将文件装入内存并将导入表(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。数据目录表的第一个成员指向导出表,是一个IMAGE_EXPORT_DIRECTORY(以后简称IED)结构:IMAGE_EXPORT_DIRECTORY STRUCT【导出表,共40字节】{+00 h DWORD Characteristics ; 未使用,总是定义为0
2022-05-03 21:09:47
467
原创 鸿蒙DevEco Studio3.0——应用自动签名
创建设备对应用签名前,必须有一个正在运行的设备(远程设备、本地设备),不能是模拟器。本例使用远程设备。打开设备管理器,登录华为账户,选择远程设备(Remote Device)标签页:选择P50 Pro,创建一个远程设备:准备好设备后,就可以进行签名工作了。自动签名应用进入华为AppGallery页面,并登录。首次登录会弹出协议页面:之后点击“我的项目”:由于是第一次登录,没有任何已创建的项目,先点击“添加项目”创建一个项目:输入项目名,...
2022-04-27 22:32:01
3174
原创 XCTF_MOBILE17_Android2.0
初见附件为一个apk,无提示信息。安装apk并打开:随便输入一个字符串,点击确认:好大的错误信息。从使用上看,就获得这些信息,关键在“确认”按键的按下处理函数中。接下来静态分析看看。静态分析使用jadx加载apk,除了R、BuildConfig、JNI就剩下一个MainActivity类。MainActivity类代码也很简单,按钮点击响应函数为:this.button.setOnClickListener(new View.OnClickListene..
2022-04-26 09:42:04
492
原创 liteide+g:Goland多版本管理
liteideLiteIDE 是一款简单,开源,跨平台的 Go IDE。LiteIDE X使用很广,这篇文章重点不是介绍这个,就一笔带过了。gg是一个 Linux、macOS、Windows 下的命令行工具,可以提供一个便捷的多版本 go 环境的管理和切换。GitHub主页:GitHub - voidint/g: Golang Version Manager下载地址:https://github.com/voidint/g/releases我使用的是windows版本..
2022-04-24 15:57:35
721
原创 鸿蒙DevEco Studio3.0——HelloWorld开发及模拟器运行
在上一篇中,搭建了DevEco Studio 3.0开发环境:鸿蒙3.0应用开发环境搭建_大雄_RE的博客-CSDN博客这篇文章,在此开发环境基础上介绍如何开发HelloWorld应用,并在模拟器上运行。整个过程中有一些和DevEco Studio 2.1版本不同的地方。HelloWorld开发在如下DevEco Studio3.0的环境界面,点击“Create HarmonyOS Project”:来到Ability模板选择窗口,选择第一个“Empty Ability”,点击“
2022-04-18 22:20:06
7078
2
原创 鸿蒙DevEco Studio2.1——HelloWorld开发及模拟器运行
在上一篇中,搭建了DevEco Studio2.1开发环境:鸿蒙DevEco Studio2.1——开发环境搭建_大雄_RE的博客-CSDN博客这篇文章,在此开发环境基础上介绍如何开发HelloWorld程序,并在模拟器上运行。HelloWorld开发在如下DevEco Studio2.1的环境界面,点击“Create HarmonyOS Project”:来到ability模板选择窗口,选择第二个“Empty Ability(Java)”,点击“Next”:弹出项目配置..
2022-04-18 21:37:04
843
原创 鸿蒙DevEco Studio2.1——开发环境搭建
下载deveco-studio打开鸿蒙开发者网站:HarmonyOS应用开发官网 - 华为HarmonyOS打造全场景新服务点击右上角注册华为账号,有账号的直接登录。转到IDA下载页面,下载deveco-studio:https://developer.harmonyos.com/cn/develop/deveco-studio#download_betadeveco-studio分 windows 和 mac 两个版本,下载需要的版本。windows版本只能用于windows 10及以
2022-04-18 21:13:09
1046
原创 鸿蒙DevEco Studio3.0——开发环境搭建
下载deveco-studio打开鸿蒙开发者网站:HarmonyOS应用开发官网 - 华为HarmonyOS打造全场景新服务点击右上角注册华为账号,有账号的直接登录。下载deveco-studio:https://developer.harmonyos.com/cn/develop/deveco-studio#download_beta我下载的是当前的最新版:DevEco Studio 3.0 Beta3 for OpenHarmonydeveco-studio分 windows..
2022-04-14 09:57:01
3804
2
原创 关于Windows10虚拟机处理器数量的问题
本人使用VMware 16.1安装了Windows 10 64位虚拟机:最近发现安装的Windows 10虚拟机提示一个错误:虚拟机配置使用的虚拟处理器插槽数量多于客户机所支持的数量。对这个问题很疑惑。按照我之前的理解,这里的处理器数量是CPU的核数,每个处理器的内核是每个核的线程数。我这样配置为4核8线程应该没问题啊。经过资料搜索,发现我的理解有问题。这里的处理器数量指的是芯片数量,也就是你主板上有几个CPU。每个处理器内核数量是每个芯片的核心数量。每个核心支持多个线.
2022-04-13 10:37:20
26033
原创 XCTF_MOBILE16_boomshakalaka-3
初见题目附件为一个apk。提示信息为:play the game, get the highest score在SDK创建的模拟器下按照apk后运行失败:想到电脑里还装了雷电模拟器,apk在雷电模拟器下可以正常按照运行。运行app后,是一个打飞机的游戏,然后我就玩了两把。。。。。。暂时不清楚这个游戏和解题有什么关系,题目的提示信息说要拿到最高分,但解题方法应该不是玩到最高分^_^。接下来静态分析apk文件看看。静态分析apk用jadx分析apk,发现apk..
2022-04-12 21:45:24
4965
原创 XCTF_MOBILE15_人民的名义-抓捕赵德汉1-200
初见题目附件为一个jar文件。提示信息为:flag{xxxxxx},这是flag格式的提示。直接运行jar:提示输入password。输入错误显示“Incorrect password”,并要求再次输入:从运行情况看,重点在password的验证上。下面静态分析一下jar文件。静态分析使用jd-gui打开jar文件,看见里面有6个文件:三个后缀名为class的为类文件。...
2022-04-07 14:09:26
3059
原创 XCTF_MOBILE14_APK逆向
初见题目除了一个apk附件外,还有一条提示信息:“备注:本题提交大括号内值即可”。还是先来具体体验一下,先安装APP:上图中,最后的“TopCtf”就是本题的APP。打开它:就一个输入控件,一个按钮。随便输入一个字符串,点击确定,提示“错误”:从体验上就这些信息,下面对APP的apk文件进行静态分析。静态分析使用jadx打开apk文件,可以看到该APP除了资源类“R”和配置类“BuildConfig”,只有一个类“MainActivity”。重点分析...
2022-03-30 09:06:44
457
原创 AVD创建的模拟器无法使用物理键盘的问题
AVD(Android Virtual Device)创建的模拟器默认情况下是无法使用物理键盘的,只能通过鼠标点击模拟器里的键盘进行输入:这种方式效率比较低,输入各种符号尤其麻烦。其实AVD创建的模拟器是支持物理键盘输入的,只需要修改模拟器的一个设置即可。首先,在AVD Manager选中模拟器,并点击旁边的“Edit”:然后勾选“Hardware keyboard present”即可:勾选之后,看看模拟器中能否使用物理键盘了。如果还不行,重启一下模拟器就可以了。...
2022-03-28 14:10:00
2936
原创 Windows操作系统——WoW64
简介64位操作系统的底层都是64位的,而在64位的Windows中是可以运行32位的应用程序。为此提供支持的就是所谓的WoW64技术,全称即Windows 32-bit(Applications) on Windows 64-bit(OS)。核心就是,在系统中同时包含32位程序和64位程序的运行环境(依赖的各种dll、注册表里的配置项),32位程序对系统运行环境的引用都被重定向到32位的运行环境。具体包括:system32重定向到SysWOW64 Program Files重定向到Prog
2022-03-24 20:43:12
2892
原创 dump文件导入表修复工具——Imports Fixer
最近在学习VMP脱壳,用到了该工具,记录分享一下。功能:根据进程的导入表,在该进程的dump文件中分配一块空间,在文件中创建导入表。下载:非开源很多地方可以下载到,这里分享一个csdn下载地址:https://download.csdn.net/download/shadow20080578/85012603使用前提:1、导入表被修复好的进程2、导入表没有被修复好的dump文件使用方法:打开主界面1、在主界面上面选中导入表被修复好的进程2、主界
2022-03-21 13:57:31
1017
原创 XCTF_MOBILE13_基础android
初探附件为一个apk,在模拟器里安装一下:运行后,主界面很简单,一个输入框,一个按钮:随便输入一个字符串,点击按钮,提示错误:从使用上只有这些信息,接下来反编译看一看。MainActivity使用jadx打开apk,进行反编译。先看MainActivity类,代码不多,可以轻松找到其中的按钮事件响应函数:this.login.setOnClickListener(new View.OnClickListener() { public voi...
2022-03-15 14:09:05
2509
原创 amcache.hve及包含的文件SHA1值分析
amcache.hveWin8及更高版本的系统使用Amcache.hve替代RecentFileCache.bcf。记录文件创建时间、上次修改时间、SHA1和一些PE文件头信息。
2022-03-14 20:59:16
2582
原创 进程导入表修复工具——Universal Import Fixer
下载非开源,下载UniversalImportFixer(UIF)v1.2FINAL-系统安全文档类资源-CSDN下载使用前提:需要先修复进程内的API调用,如:vmp保护的进程,API调用都会变成对vmp函数的调用,需要先将它们修复成对真实API函数的调用。需要管理员权限打开。功能:根据代码段调用的API函数,对内存中进程的导入表相关结构进行修复。使用方法:打开主界面:填入进程ID,代码段的起始位置,代码段后面段的起始位置(代码段结束位置+1)新..
2022-03-09 10:02:22
3688
原创 IDA密码算法自动化识别插件、脚本汇总
在逆向过程中,自动识别文件中存在的密码算法。原理上只有两条路1、密码算法中的常量特征(常数、s盒等);2、特定加密库的独有特征(字符串、指令流等)。现有工具特点:1、大多都是根据密码算法的常量特征进行识别,很少包含特定加密库的特征。2、都是以反汇编工具(IDA/Ghidra)的插件、脚本形式存在。3、都是基于静态分析,也就是只能识别静态特征。如果特征在运行时动态生成,则无能为力。findcrypt系列FindCrypt和FindCrypt2最初的基础,2006年hex
2022-03-08 10:02:34
4466
原创 卸载Windows下驱动并删除sys文件
问题:发现某目录下有一个xxx.sys文件,本人能确定这个驱动无用,要删除它。直接删除,无法删除。怀疑应该是这个驱动已经被系统加载了所以无法删除。重启系统后,也无法删除,怀疑这个驱动在系统启动时就被加载了。这里记录一下如何确定它被加载了,并如何删除它。解决:1、先使用PsExec确定驱动是否被加载了以管理员权限启动PsExec,点击view->LowerPaneView->Dll:在PsExec的主界面下面打开Dll列表窗口:在上面的进程列..
2022-03-03 15:19:06
22291
4
原创 XCTF_MOBILE12_你是谁
初见附件为一个apk。在模拟器中安装打开先看到一个骚年:等一会这个画面自动跳过,然后看到一个熟悉的面孔:随便点击一下上面的图片,提示“你根本不懂什么叫做爱”,并且能听到语音“你是个好人,但是我们不适合。”:发现下面的白色圆圈可以点击:暂时没有其它信息,下面先静态分析。静态分析使用jadx打开apk,先看MainActivity类。通过jadx的注释信息,可以看到这里面重载了com.iflytek.cloud.SynthesizerListener类..
2022-03-01 16:38:48
4073
原创 VS编译器C/C++函数编译后的名字修饰
函数的名字修饰(Decorated Name)就是编译器在编译期间创建的一个字符串,用来指明函数的定义或原型。目的是方便编译过程中,链接器等中间过程识别不同的函数,尤其是在引入重载后,识别函数不能只看函数名,要结合参数、返回值类型来识别。C和C++程序的函数在内部使用不同的名字修饰方式,下面将分别介绍。C函数名修饰C不存在函数重载,主要需要在函数修饰中体现出函数的调用约定:__stdcall:函数名前加上一个下划线前缀,函数名后面加上一个“@”符号和其参数的字节数,例如_functionna
2022-02-27 09:37:39
1249
原创 lib静态库逆向分析
当我们要分析一个lib库里的代码时,首先需要判断这是一个静态库还是一个导入库。库类型判断lib文件其实是一个压缩文件。我们可以直接使用7z打开lib文件,以查看里面的内容。如果里面的内容是obj文件,表明是静态库。如果里面的内容是dll文件,表明是导入库。导入库里面是不包含代码的,代码包含在对应的dll文件中。从lib中提取obj静态库是一个或者多个obj文件的打包,这里有两个方法从中提取obj:Microsoft 库管理器 7z解压Microsoft 库管理器(li
2022-02-24 08:51:17
4672
1
原创 使用libtommath库,LNK2019错误
使用libtommath库在VS2019下开发程序时,报错:1>tommath.lib(bn_s_mp_rand_platform.obj) : error LNK2019: unresolved external symbol s_read_arc4random referenced in function s_mp_rand_platform1>tommath.lib(bn_s_mp_rand_platform.obj) : error LNK2019: unresolved e..
2022-02-22 20:13:52
838
2
原创 XCTF_MOBILE11_黑客精神
初见附件为一个apk,先到模拟器中运行一下。必须选择CPU为ARM的模拟器,因为app里面的native库只提供了ARM指令集的版本,没有提供x86指令集的版本:模拟器启动后,将apk拖到模拟器中进行安装,安装好后,列表中app的图标是一个骚年:运行app,又见一个骚年:除了一个按钮啥也没有,点击这个按钮,弹出一个两按钮的对话框:点击“不玩了”,app直接退出。点击“注册”,进入新的界面。在新界面中,可以输入一串字符串,并有一个注册按钮。随便输入一个串,点击注..
2022-02-21 21:12:51
1515
原创 Android逆向----资源ID还原字符串
使用dex2jar将apk里的dex反编译为jar之后,然后使用jd-gui阅读反编译后的代码是逆向apk的常规操作。但在jar包里的java代码中,字符串资源都是以ID的形式存在的,如:this.c.getString(2131034120)分析这些ID对应的到底是什么字符串,对于我们快速了解这个程序很有帮助。找到ID对应的字符串要分两步进行: 找到ID对应的资源名 找到资源名对应的字符串 根据ID找资源名根据jar包中是否包含R.class类,这个过程分为两类。
2022-02-15 09:43:48
2663
原创 XCTF_MOBILE10_easy-dex
初见附件为一个apk,先到模拟器中运行一下。这里要注意,这道题不能选用CPU指令集为x86的模拟器,需要用CPU指令集为ARM的模拟器,因为这个apk里面用到了native库,并且apk只提供了ARM指令集的native库。可以看到,我是有两个模拟器,一个ARM指令集的,一个Intel指令集的,这里要用ARM指令集的模拟器。打开模拟器后,把apk拖进去进行安装,安装好后,就能看到这道题的app了:app名字上给我们了一个小提示:要找到dex。运行一下app,主界面就...
2022-02-14 15:20:06
1610
原创 NativeActivity开发APP原理
原理我们可以用Java开发app,或者结合使用Java和C|C++开发app,NativeActivity则为单独使用C|C++开发app提供支持。从开发者的角度看,我们是在单独用C++开发app,但从底层看还是离不开Java。在android源码中,已经使用java开发好了一个中间类,我们使用C++开发的Native库之所以能运行,就是因为被这个中间类使用JNI的方式调用了。这个中间类就是NativeActivity类。NativeActivity类NativeActivity本质
2022-02-10 14:08:31
3009
原创 操作系统之哲学原理14----多核原理
多核体系结构多核体系结构分4个演变阶段:多处理器结构(主板上两个CPU):一个总线上挂多个处理器 根据处理器的角色分:对称多处理器结构(SMP)、非对称多处理器结构(AMP)多线程结构(一核两线程):由于单处理器的性能没有得到全部发挥,让一个处理器同时执行多个线程。 在处理器上多加入一个逻辑处理单元指针。 共享:ALU、浮点运算单元、二级缓存、某些MSR 不共享:本地APIC、通用寄存器、一级缓存、 需要芯片和操作系统都支持:Windows XP、Linux 2.4以后都支持多线
2022-01-29 16:17:19
877
原创 操作系统之哲学原理13----输入输出
作为魔术师的操作系统,提供一个统一的界面屏蔽掉输入输出设备的差异。作为管理者的操作系统,管理输入输出设备,独享、共享、缓存等。分为:块设备:以块为单位传输数据 字符设备:以字节为单位传输数据许多设备都有设备控制器,操作系统不与设备直接打交道,而是与设备控制器打交道。根据CPU与设备控制器沟通方式与内存的关系,分为:专用通道IO:IO与内存完全脱离,每个控制器的寄存器赋予一个IO端口。IO端口的地址与内存地址无关。访问IO端口需要通过专用的IO指令。 内存映射IO:将控制
2022-01-29 16:13:26
78
原创 操作系统之哲学原理12----文件原理
文件是操作系统为磁盘提供的抽象。磁盘原理磁盘就是形状像盘子的磁性存储介质。磁盘的结构:磁盘由多个盘片组成,每个盘片有两个盘面,正反两面都可以存放数据。每个盘面一个读写磁头,所有读写磁头连在一根共享的磁臂上。盘面的结构:每个盘面分为磁道和扇区。磁道是一个个同心环。磁道又分为扇区。数据以扇区为单位进行存储。数据访问时间=寻道时间+旋转时间+传输时间寻道时间:磁头转到要求的磁道的平均时间。旋转时间:磁头到达磁道后,扇区旋转到磁头下面的时间。传输时间:读、
2022-01-29 16:12:02
1255
原创 操作系统之哲学原理11----页面更换算法
问题:需要将一个页面读入物理内存时,如果物理内存已满,如何挑选某个已经使用过的页面进行替换。解决页面来回更换的问题。页面更换目标:降低随后发生缺页中断的次数。 选择的页面随后相当长时间内应该不会被访问。 优先选择没有被修改的页面,不会写回磁盘分为公平算法、非公平算法两类。公平算法:对所有页面一视同仁。 随机算法:随机选择一个换出。 先来先出算法:更换最早进入内存的页面。 第二次机会算法: 改进先来先出算法,除了考虑先进入内存,还要考虑最近是否被访问过。 从最先进
2022-01-29 16:09:19
82
原创 操作系统之哲学原理10----页式内存管理
基址+上限模式之前基本内存管理章节中,讲的内存管理方法有两个主要特点:将一块连续内存空间给进程 通过基址+上限两个值描述这块空间地址翻译:基址+虚拟地址=物理地址越界检查:虚拟地址>上限存在问题:空间浪费:随着给进程分配和回收内存,内存空间将变得碎片化。将变成大量小尺寸内存块,这些小尺寸内存块无法满足程序需要,将一直被搁置。定期进行内存块整理,将耗费大量时间。 程序大小受限:程序大小不能超过物理内存。解决办法:问题一:内存碎片化的原因是每次分配的大小不一样。如果每次分配
2022-01-29 16:07:30
977
原创 操作系统之哲学原理9----基本内存管理
内存管理最初程序在纸带上,边读纸带边运行程序。这样极不灵活,无法执行调度策略。从而引入内存,出现将程序读到内存中的情况。存储架构:缓存-主存-磁盘-磁带内存管理提供一个抽象:让每个进程都独占一块大虚拟内存空间,相互之间不能干扰对方的空间。 让进程访问内存时,只需关注要访问独占的虚拟空间中的哪个地址,不用关心具体保存在共享的物理内存的哪个位置。因为物理内存大家在共用,你能用的地址总是在变化。虚拟内存将所有要运行的程序都加载进物理内存,从成本上说不现实。虚拟内存将物理
2022-01-29 16:04:50
384
原创 操作系统之哲学原理8----线程同步
为什么要同步保证线程间正确合作。出现问题的原因:共享全局资源 线程间的执行顺序是不确定的第一个原因无法消除,所有资源都不共享了,就没必要发明线程了。所以只能通过消除第二个原因来解决问题,也就是线程的同步。同步的目的让线程按照一定规则执行,不管线程的执行如何被调度,其运行结果都是正确的。同步的实现两个或多个线程执行同一段代码或访问同一资源的现象称为竞争。造成竞争的共享代码或资源称为临界区。任何时刻,只能有一个线程再临界区内,称为互斥。要实现同步,必须要硬
2022-01-29 16:02:38
843
原创 操作系统之哲学原理7----线程
线程解决的问题在共享部分资源的基础上,进行协作。进程是隔离的,不利于协作。在进程内实现并发,是线程出现的动机。目的比进程更好地协作。有效利用多核。三级并发:流水线:指令并发。 线程:完成同一任务的多个协作的流程 进程:完成不同任务的多个协作的流程线程管理登记信息:TCB(线程控制块)共享进程内的资源,但有独立的执行上下文。同一进程中,线程共享的东西放在PCB中,线程不共享的东西放在TCB中。同一进程内线程共享:地址空间 全局变量 打开的文..
2022-01-29 15:47:19
222
原创 操作系统之哲学原理6----进程通信
管道、命名管道一方发、一方收。本质上,在某存储介质划分一片空间,给一个进程写的权限,给另一个进程读的权限。必须先建立连接。管道需要指定建立连接的目标进程。命名管道创建时无需指定目标进程。命名管道与文件系统共享一个命名空间。套接字双方各创建一个套接字,一个为服务器,一个为客户机。通过对套接字进行读写,实现通信。信号无需建立连接,节省时间。必须立即回应,套接字和管道的信息发送方无法强迫接收方必须回应。共享内存不限于一方发一方收访问方式是随机的,可以从任意位
2022-01-29 15:44:38
881
原创 操作系统之哲学原理5----进程调度
调度的任务:选择下一个要运行的进程。程序分为计算密集型输入输出密集型平衡型调度目标极小化系统响应时间(用户发出命令到看到结果的时间)、极大化系统吞吐率(单位事件完成的工作数)、貌似公平批处理系统:吞吐率重要。用户不坐在电脑前,响应时间不重要。交互系统:响应时间要考虑 。实时系统:截止时间前完成。调度算法FCFS,先来后到。缺点:短工作排在后面导致响应时间长。时间片轮转:周期切换进程。改善短程序的响应时间。缺点:进程切换有时间开销。短任务优先..
2022-01-29 08:59:47
87
原创 XCTF_MOBILE9_RememberOther
初见下载附件,是一个zip。解压后有一个docx,一个apk。打开docx看看,里面就一句话:不懂安卓,所以就只是和安卓扯了扯边,,,Have fun~没看出什么作用。在模拟器中运行一下apk:随便输入用户名和注册码:没有更多信息了,反编译看看。静态分析将apk重命名为zip,解压。使用dex2jar对解压得到的dex文件进行反编译:使用jd-jui查看反编译得到的jar包。在MainActivity的onCreat...
2022-01-24 14:19:06
1919
《加密与解密.第一版》OllyDBG完美教程中用到的crackmes.cjb.net三个例子
2020-09-22
Xspy的windows编译版本
2020-09-03
ReadDirectoryChangeW监控目录-c-vs2015
2018-02-05
DarunGrim3 Installation & Usage Guide
2016-01-14
vs2010下hook_createprocess
2013-12-26
修改system_call sysenter_do_call-隐藏文件目录
2013-10-13
linux下2.6.32的rootkit,隐藏文件目录
2013-10-09
linux2.6.32下rootkit,仿照all_root
2013-10-09
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人