- 博客(34)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 单机连连看破解
QQ连连看单机版:qqllk.exe题目:1. 找到程序本身的exe2. 去掉程序中的广告3. 写一个QQ连连看的外挂使用到的工具:ODPEIDImpRECVS2013测试环境:虚拟机win7平台32位1.初始界面我们发现打开一个真正程序经过了了两层广告。当我们直接点击真正程序qqllk.exe(大广告)->qqllk.ocx(小广告)->kyodai.exe(真正代码,但是它代码给抽取了),套路一层接着...
2021-12-07 14:06:32
2407
原创 熊猫烧香病毒分析
1.准备工作参考书籍:VC++反汇编与逆向分析技术揭秘姜晔病毒木马实战查杀需要用到的工具:VM虚拟机OD病毒样本:熊猫烧香1.1:火绒剑扫描敏感操作: 自我删除、感染PE文件、覆写PE文件、修改注册表自启动、启动自释放文件、枚举进程、遍历目录、写入文件1.2:PE工具查看敏感API壳:无壳编译语言:Borland Delphi 6.0 - 7.0连接器版本:2.252.OD跟IDA混合使用2.1:前面都是作者的感慨跟...
2021-11-19 17:44:31
3722
1
原创 3、安卓逆向之JNI静态注册
参考资料:1、安卓逆向5.Android Studio JNI静态注册(C++和Java互操作)2、安卓逆向4.Android Studio JNI静态注册(一个简单的JNI静态注册流程)3、安卓逆向_15( 三 ) --- Android NDK 开发【 jni 静态注册、JNI_OnLoad 动态注册】4、Android JNI编程(七)——使用AndroidStudio编写第一个JNI程序环境:Windows10 x64Android Studio 4.0.1...
2021-11-09 10:53:24
2173
原创 安卓逆向之调用约定
1、arm32函数调用约定arm32位调用约定采用ATPCS。参数1~参数4 分别保存到 R0~R3 寄存器中 ,剩下的参数从右往左一次入栈,被调用者实现栈平衡,返回值存放在 R0 中。2、arm64函数调用约定arm64位调用约定采用AAPCS64。参数1~参数8 分别保存到 X0~X7 寄存器中 ,剩下的参数从右往左一次入栈,被调用者实现栈平衡,返回值存放在 X0 中。...
2021-11-09 10:47:02
3233
原创 反模块、线程、进程回调(PsSetXXXXX)
参考资料:1、模块、进程、线程回调函数的逆向2、一字节anti创建进程线程等回调1、清空全局变量PspNotifyEnableMaskPsSetCreateThreadNotifyRoutine、PsSetCreateProcessNotifyRoutine、PsSetLoadImageNotifyRoutine2、注册无用回调函数占坑,因为注册回调有最大限制例如PsSetLoadImageNotifyRoutine最大拥有8个回调...
2021-11-09 10:43:23
392
原创 分页寻址x32(PAE)
参考文档:保护模式-分页管理机制启用PAE后虚拟地址到物理地址的转换Windows虚拟地址转物理地址(原理+源码实现,附简单小工具)首先查看CR4寄存器第5位为1说明开启了PAE转换规则如下:规则:每个项的长度为8VA为2位:(30—31)页目录指针表的索引9位:(21—29)页目录表索引9位:(12—20)页表索引12位:(0—11)页内偏移例如:开启PAE的情况下将计算器进程的入口点0xEC1000转化为物理地址 16进..
2021-11-09 10:41:05
212
原创 防止内存页被修改(重映射)
参考资料:1、PUBG 2018.3.9更新的代码页防止更改2、通过修改VAD属性破除锁页机制3、R3环申请内存时页面保护与_MMVAD_FLAGS.Protection位的对应关系4、64位CreateProcess逆向:(四)创建进程的过程5、深入浅析Windows内核——VAD篇6、Self-Remapping-Code虚拟机:VM15系统:Win7 32位编译器:VS2019工具:CE6.5代码如下:#include <stdio.h&
2021-11-09 10:37:14
1793
2
原创 2、安卓逆向之动态调试smali汇编
注意事项:1、切记并非端口都是8700,端口是随时变化的。你输入完adb shell start -D -n命令后,monitor会告诉你端口号是多少1、搭建环境从 下载最新的 smalidea zip 文件 Bitbucket 下载页面在 IDEA/AS 中,转到 Settings->Plugins 并单击“Install plugin from disk”按钮,选择下载的 smalidea zip 文件点击“应用”并重启IDEA/AS...
2021-11-06 09:58:20
290
原创 数字驱动分析笔记之HookPort
参考资料:1、腾讯管家攻防驱动分析-TsFltMgr2、发一个可编译,可替换的hookport代码3、为什么win32k.sys在System进程空间无法访问4、明明白白自旋锁5、那些年搞驱动的那些坑_欢迎补充6、用DeviceIoControl实现应用程序与驱动程序通信 推荐使用的环境 备注 操作系统 Windows 7 SP3 简体中文版 .
2021-10-14 11:28:24
574
原创 VMP学习笔记之壳的重定位修复(五)
理论知识:1、为什么需要重定位因为特殊情况这块地址不给用了你要挪到另外一个地方,你本来是在哪里的挪到另外一个地方你还是在哪里如下图所示:小明在教室A是第一排,搬到教室B小明还是第一排2、待修复数据如下:push 0xFACE0002 -------->修复后是:0mov edi,0xFACE0003 -------->修复后是:新区段首地址VMcontextjmp dword ptr ds:[eax*4+0x474FCF] -------->修复后是:.
2021-10-14 00:15:00
720
原创 Unicorn学习笔记之一
参考资料:1、unicorn2、Unicorn 在 Android 的应用搭配环境:VS2019Windows10 64位python3.7前言介绍: Unicorn是一款跨平台的模拟器执行框架,可以辅助我们模拟执行x86、arm等等平台的代码。从而达到调试器的作用,它的实用场景例如ollvm还原、静态脱壳机等等。1、搭建编译环境1、首先VS安装该组件2、搭配好Path环境cmd输入python3、根据官网介绍安装pip insta...
2021-10-13 00:43:48
2025
原创 VMP学习笔记之ESI伪代码生成与加密(六)
第六章主题:VMP学习笔记之ESI伪代码生成与加密1、构造ESI指令的基本套路2、ESI伪代码加密(保持一致性,前面对Add系列构造出解密代码,所以这里要反向加密)3、总结加壳流程学习到的知识:1、知道Handle块生成的套路即可(核心)2、Esi伪代码加密不需要深入了解,为了完整性我才写下去(无用)基础知识:1、熟悉壳的都会发现壳入口都是:pushadpushfdXXXXpopadpopfd前后基本是固定的套路,主要是中间真正模拟的代码不
2021-10-12 19:45:00
1068
原创 VMP学习笔记之万用门(七)
前言:自己学习VMP的经验分享给大家,有错误请指出。参考资料:1、名称:破解vmp程序的关键点网址:[原创]破解vmp程序的关键点-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com2、名称:谈谈vmp的爆破网址:[原创]谈谈vmp的爆破-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com3、名称:一个VMP1.20程序的伪指令总结网址:[讨论]一个VMP1.20程序的伪指令总结-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.
2021-10-12 19:15:00
1651
原创 VMP学习笔记之Handle块优化与壳模板初始化(四)
参考资料:本文大量内容抄袭看雪作者:waiWH的VMP系列1、名称:谈谈vmp的还原(2)网址:[原创]谈谈vmp的还原(1)-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com2、名称:汇编指令之OpCode快速入门网址:[原创]汇编指令之OpCode快速入门-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com3、名称:X86指令编码内幕 --- 指令 Opcode 码网址:X86指令编码内幕 --- 指令 Opcode 码_晓风残月的技术天地-
2021-10-12 14:46:09
1065
原创 德·摩根定律
NAND=~(a&b)=~a|~bNOR = ~(a|b) = ~a & ~b德.摩根定律的定义如下:文字描述如下:使用对偶性可以很方便的记忆和使用这个定律。.我们知道如下关系呈现对偶关系,可以认为是“非”的关系:那么将利用对偶关系对应改写可以得到:.那么可以对应得到:通过应用德.摩根定律,有时可以简化一些逻辑问题,而使用对偶性来理解这个定律,更好的理解的同时也有利于记忆。扩展一下:三值的德...
2021-10-12 14:10:57
4959
原创 VMP学习笔记之反汇编引擎学习(三)
参考资料:本文大量内容抄袭看雪作者:waiWH的VMP系列1、名称:谈谈vmp的还原(1)网址:[原创]谈谈vmp的还原(1)-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com2、名称:汇编指令之OpCode快速入门网址:[原创]汇编指令之OpCode快速入门-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com3、名称:X86指令编码内幕 --- 指令 Opcode 码网址:X86指令编码内幕 --- 指令 Opcode 码_晓风残月的技术天地-
2021-10-12 14:07:00
1024
原创 VMP学习笔记之壳基础(一)
【文章标题】: Vmp1.21学习笔记【文章作者】: 黑手_鱼【软件名称】: Vmp1.21【下载地址】: 自己搜索下载【加壳方式】: UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi)【编写语言】: Borland Delphi 4.0 - 5.0【操作平台】: win7 32位【作者声明】: 以看雪作者waiWH的VMP还原系列为原型逆向分析---------------------------------------------------
2021-10-12 01:03:51
3814
原创 VMP学习笔记之X86指令之Opcode快速入门(二)
参考资料:本文大量内容抄袭看雪作者:waiWH的VMP系列1、名称:X86指令内幕 —— 序网址:X86指令内幕 —— 序_晓风残月的技术天地-CSDN博客2、名称:谈谈vmp的还原(1)网址:[原创]谈谈vmp的还原(1)-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com学习目的:1、VMP代码自带反汇编引擎,需要一定的Opcode指令基础。正文:1、快速入门Opcode Intel-64和IA-32架构指令编码是图2-1所示格式的子集.一..
2021-10-12 00:54:30
701
原创 2020腾讯游戏安全技术决赛pc客户端安全R3
参赛网址:1、2020腾讯游戏技术竞赛参考网址:1、2020腾讯游戏安全技术复赛pc客户端安全wp2、南极动物厂 游戏高校竞赛决赛分析 之 Ring3复赛ring3题目:(本题共5分)winmine.exe是一个扫雷游戏程序,winmine.dmp是该程序的一份进程dump, 在这份dump中,有一个DLL作弊程序。1, 请找到该作弊程序,给出模块名;(1分)2, 并分析它所包含的4个作弊功能,给出实现作弊功能的函数的偏移,并说明其作弊功能是什么。(4分)...
2021-05-28 10:07:41
335
原创 2020腾讯游戏安全技术初赛pc客户端安全R0
参赛网址:1、2020腾讯游戏技术竞赛题目要求:初赛ring0题目:(本题共5分)DriverDemo.sys是一个驱动程序,它内置了一些限制。1, 不能篡改该文件,尝试使驱动成功加载。(3分)2, 该驱动程序成功加载后,突破它的限制,但不允许patch文件或内存,使它成功打印出(用dbgview可接受)调试信息"hello world!".(2分)请以文档方式,详细描述解题过程,如涉及编写程序,必须提供源代码。驱动未签名,需要设置Windows 10高级启动选项,禁用.
2021-05-28 09:53:44
861
1
原创 2020腾讯游戏安全技术初赛pc客户端安全R3
参赛网址:1、2020腾讯游戏技术竞赛参考资料:1、2020腾讯游戏安全技术初赛pc客户端安全wp题目要求:初赛ring3题目:(本题共5分)winmine.exe是一个扫雷游戏程序,winmine.dmp是该程序的一份进程dump, 在这份dump中,winmine.exe的内存映像有指令被篡改,篡改实现了外挂功能。1, 请找出dump中,winmine.exe的内存映像中2处被篡改实现外挂功能的指令(被篡改指令的偏移、篡改前后的指令分别是什么),并分析这些指令..
2021-05-28 09:42:29
302
原创 2021腾讯游戏安全技术初赛pc客户端安全R3
参赛网址:1、2021腾讯游戏技术竞赛参考资料:1、个人整理的CTF相关攻防知识要点2、2021腾讯游戏安全竞赛初赛题解3、OpenGL4、OpenGL的运行环境配置5、Visual Studio Community 2017 配置 OpenGL 环境 (NuGet)6、OpenGL之——摄像机(一)7、gl.h included before glew.h8、OpenGL函数大全9、LearnOpenGL学习笔记—入门:复习与总结10、OpenGL入门.
2021-05-28 09:14:45
820
1
原创 cygwin使用常见问题
尼古拉斯_赵四大佬Android逆向之旅---SO(ELF)文件格式详解配置Cygwin产生的问题1、readelf -h xxx.so步骤查看so文件的头部信息然而自己确是readelf -h xxx.soreadelf:错误:'xxx.so': No such file解决办法:so文件应该放在home/用户名/目录下而不是F:\Android\cy...
2019-05-07 15:13:18
881
原创 DebugView Windows 7 不显示调试信息
将以下内容保存成.REG文件Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter]"DEFAULT"=dword:0000000f
2019-02-28 11:20:16
961
原创 DDMS无法看到进程
用mprop将全部应用程序变成Debug第一步:拷贝mprop 到/data/目录下;第二步:添加权限777第二步:./mprop ro.debuggable 1;第三步:getprop ro.debuggable;(查看此时ro.debuggable在内存中的值)第四步:stop;start(重启adbd进程);结果: ...
2019-02-26 14:45:16
4159
3
原创 南京邮电大学网络攻防训练平台逆向第四题WxyVM
1、IDA静态分析总结:1、1:长度必须是0x181、2:v4必须是==11、3:循环比较InputBuff[X]==dword_601060[X] 2、分析sub_4005B6函数(VStartVM)2、1:F5伪代码总结:这是一个典型的VM框架扩展知识(参考加密与解密3):虚拟机保护技术就是基于x86汇编系统的可执行代码转换为字节码指令系统的...
2019-02-13 16:44:22
456
原创 对抗某反调试CM2
【文章标题】: 全新反调试CM【文章作者】: 半斤八两【软件名称】: 全新的反调试第1季(无网无壳版).exe【下载地址】: https://bbs.pediy.com/thread-187142.htm【使用工具】: IDA、OD、资源工具【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!---------------------------------...
2018-11-27 22:46:05
353
原创 对抗某反调试CM1
原始出处:来自 <https://bbs.pediy.com/thread-100167.htm>[ 破文标题 ] 对抗某反调试CM[ 破解工具 ] OD、IDA[ 破解平台 ] Windows 7[ 软件名称 ] KGM1Tal.exe[ 软件大小 ] 4.00 KB[ 软件下载 ] CM.rar[ 保护方式 ] 无壳[ 软件简介 ] 老外写的CM...
2018-11-27 22:38:03
223
原创 南京邮电大学网络攻防训练平台逆向第二题ReadAsm2
1、题目需求读汇编是逆向基本功。给出的文件是func函数的汇编main函数如下输出的结果即为flag,格式为flag{**********},请连flag{}一起提交编译环境为linux gcc x86-64调用约定为System V AMD64 ABI请不要利用汇编器,IDA等工具。。这里考的就是读汇编与推算汇编结果的能力int main(int argc, char c...
2018-11-27 22:33:30
376
原创 南京邮电大学网络攻防训练平台逆向第一题Hello,RE!
1、打开OD或则IDA直接看,送分题2、结果是:flag{Welcome_To_RE_World!}
2018-11-27 22:24:49
568
原创 南京邮电大学网络攻防训练平台逆向第三题PY交易
1、下载到的是一个Py.pyc文件2、百度xxx.pyc如何使用得知什么是pyc文件pyc 是一种二进制文件,是由py文件经过编译后,生成的文件,是一种byte code,py文件变成pyc文件后,加载的速度有所提高,而且pyc是一种跨 平台的字节码,是由python的虚拟机来执行的,这个是类似于JAVA或者.NET的虚拟机的概念。pyc的内容,是跟python的版本相关的,不同 版...
2018-11-27 22:17:14
573
原创 VS2015如何调试自己写的DLL
准备环境:VS2015系统:Win101、首先用VS2015创建一个DLL2、在DLLmain.cpp代码如下:// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "stdafx.h"#include <windows.h>extern"C" // 以C语言的方式导出一个函数_declspec(dllexport) // 用于声明一个函数会...
2018-04-01 17:24:42
18439
2
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人