- 博客(58)
- 收藏
- 关注
RSS订阅原创 DOS命令行环境中连续执行多条命令(| || & && 命令逻辑关系梳理)
看文字和图你就能像我一样深刻理解了。& 的使用方法(最推荐大家使用它了,容错率最好)command 1 & command 2 & command 3......可以同时执行多条命令,即使这3个命令中有任何一个执行失败,其他任意2个命令都会执行成功。abcd命令是一个不存在的错误命令,就是显示下效果。如图所示:&& 的使用方法command 1 && command 2 && command 3.......
2020-12-06 15:59:50
3413
4
原创 Kali中安装Java环境(保你一次性安装成功)
虽然网上这样的文章已经遍地都是,但是大部分文章在转发时都不看看原文中的命令是否正确?!CSDN中的很多博客都是这样的情况,我也不是非要做一股清流,只不过是尽力而为,我一般首选谷G搜索,那是因为那些搜出来的博客质量高啊。 首先在Kali中下载JDK安装包。(截至20200101时,最新版是11.0.5)链接:https://www.oracle.com/techne...
2020-01-04 23:17:13
19683
35
原创 Linux系统安装FTP服务端引发FTP客户端远距离下载较大文件超时相关问题的解决方案
已经好久没有更新博客了呢......最近也是遇到了一些奇葩问题,就把这些问题的解决方法写到博客上来,希望帮助到一些朋友,避免再花费大量时间来研究这个东西,用更多的时间去做创造性的东西吧问题场景:我在Linux系统按照网上教程安装了FTP服务端,然后我在另一个Linux客户端定期执行一个利用FTP命令下载文件的脚本,结果发现在下载大文件时(28M),卡在那里了,一直不执行下载了,就是FT...
2019-08-04 23:08:37
1872
原创 Linux样本——IDA调试分析ELF文件
主要是自己遇到了一个Linux样本,记录下从不熟悉到熟悉的过程,也可以帮助更多在逆向分析这条路上的人。Linux平台调试工具1、动静分析结合的跨平台工具-IDA2、无图形界面的调试神器-GDB3、Linux平台开源调试工具-radare2使用IDA远程调试1、Linux系统配置调试ELF文件环境,使用file命令查看elf文件类型,得知文件运行平台是32位2、拷贝I...
2019-04-25 10:48:34
3008
原创 Windows下如何调试由dll文件运行的服务
环境:Win 7 x86工具:OD调试器1、添加映像劫持在HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options下新建以调试进程为名的项,例如新建svchost.exe,然后在新建字符串并命名Debugger,填写为调试器.exe路径...
2019-03-29 18:01:22
2637
原创 《0 Day安全软件漏洞分析 2版》--11.4 从堆中绕过SafeSEH
这个利用堆中的内存执行shellcode的示例,一次就成功的弹窗了,在本书的10.4章节中攻击异常处理突破 GS,这个实验我劝大家就不用去尝试了,因为这个我弄了很久,大概快一天了吧,书中的shellcode是一个问题,不能在我的Win 7上执行,其次是当我关闭了DEP、SafeSEH、禁止优化等选项后,它依旧不能执行,最后我放弃了,但是也要归纳一下失败的原因,我看了下,使用OD切换到内存空间发现,...
2019-02-21 15:52:26
316
原创 《0 Day安全软件漏洞分析 2版》--6.3章节中攻击C++虚函数的实战
最近在看0 day这本书,虽然这本书很老了,但是里面的技术还是可以学习一下的,不时的学习新技术,也要学习曾经的老技术,这本书中大部分的环境都是windows XP下,使用的VC++ 6.0编辑器,我是觉得那个编辑真难用,可能使用惯了VS 2015了,因为觉得难用,所以书中大部分的实验我都没有尝试去实验,就是看懂了就算过去了,这次我对这个攻击C++虚函数的这个比较感兴趣,就决定动手试试,原理看懂了之...
2019-02-19 11:10:52
331
原创 《逆向工程实战》--windbg相关学习记录
这篇我主要记录一些windbg的常用命令,在书中都可以找到这些知识点,就是记录下,防止自己在使用过程中有时记不起来自己想用的命令是什么。t(F11)--step intop(F10)--step overgu(shift+F11)--go up,执行到当前函数直到结束,返回到调用者g(F5)--go,恢复程序执行~命令可以列出所有线程使用-o参数调试某路径下进程...
2019-01-14 16:29:46
678
原创 Win 7系统——进程注入技术之PROPagate(32位和64位均可注入)
本文是根据原创作者文章仔细学习之后编写的,有助于部分想要该项注入技术的人更加深入理解。在文章末尾我会放上原创作者博客链接,我也参考了先知社区的那篇译文,那篇译文翻译的确实不错,我也会放在文章末尾的参考链接中。 这种技术最早在2017年10月出现,Hexacorn公司的安全研究人员Adam发表了一篇文章,详细介绍了一种名为PROPagate的新型进程注入技术。P...
2018-12-30 11:54:46
1123
原创 【漏洞利用】使用永恒之蓝的双倍脉冲模块(Eternalblue_doublepulsar)渗透攻击Win_7 32位主机
使用这个模块本来是用来做攻击测试的,但是我始终没有测试成功,我大概花了1天半的时间,一直在研究为什么网上的文章里都显示测试成功了,我的就没有成功,一直在找原因,因为除了时间上的差异,kali模块增多,高版本的wine32软件,我真的不知道到底问题出在哪里了,就真的只好从这些方面入手去排查,从问题出发找原因,这个真的需要耐心,毅力。我写的详细些,大家也就看的明白,这样就能保证你一次成功的概率比较...
2018-12-20 17:14:32
9981
1
原创 在OD中使用条件断点进行调试
最近在逆向HR杀毒软件,感觉压力很大,但是还好有前人已经帮助我们探过路了,并且也有大佬分享了一些经验,让我们逆向分析起来可以不用踩那么多坑,这里我就简单的是记录下我在逆向过程中,发现自己的一些问题,帮助自己成长。 在OD使用过程中,为了能够快速断在指定解密代码处,我就在读写文件处下断,再逐步跟Call,发现等它打开指定文件的时候,很麻烦,而且要等很长时间,于是就觉得为什么...
2018-12-14 20:14:53
1651
原创 linux中shell脚本编程需注意的语法细节
#!/bin/bash#被克隆的目标机vm_des_mach="vm002"#克隆的列表,注意shell编程中使用 空格 作为数组元素分隔符vm_clone_list=(vm005 vm006 vm007 vm008 vm009 vm010 vm011)#克隆虚拟机的端口号vm_clone_port=(5905 5906 5907 5908 5909 5910 5911)#...
2018-12-10 17:08:43
162
原创 Windbg使用时的一些问题记录
1、首先是符号问题,一般问题就是提示符号未加载。解决办法:先执行.symfix再打开windbg-->file-->Symbol File Path...如果只有srv*,说明你的这个设置是有问题的,可以参照我的方法来,现在C盘根目录下新建MyLocalSymbols文件夹,然后复制以下命令到窗口中。记得复制完后把Reload打勾。C:\MyLocalSym...
2018-12-03 15:01:24
1398
原创 解决问题之使用Powershell时提示:无法将“New-LocalUser”项识别为 cmdlet、函数、脚本文件或可运行程序的名称......
如果你也遇到了如下问题,那么你可以尝试使用本Blog中提到的方法来尝试解决,因为我本身遇到这个问题,也弄了很久,不知道因为什么原因,最后在Stackoverflow中看到一位研究员说是版本导致的这个错误,cmdlet随着Win 10系统和Windows Serve系列的某些版本更新为最新的模块,所以在最新的操作系统版本上就不会出现这个问题,只有在旧版本的基础上会出现这个问题,也是有解决办法的,就是...
2018-11-23 10:21:16
6559
原创 去除文件设置的系统文件隐藏属性
首先切换到你要修改文件的目录,然后使用以下命令:attrib 文件名 -s -h -r例如想要去除1.exe的系统文件隐藏属性,那么就可以输入以下命令去除隐藏属性:attrib 1.exe -s -h -r这种设置主要是针对有些病毒文件,拷贝出来以后,发现看不到文件,就需要打开显示系统文件的隐藏属性,不想那么麻烦,就把该文件的系统文件隐藏属性去除。...
2018-11-22 19:40:53
4044
原创 解决问题之explorer进程参数C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
背景:起初我在分析一个进程,然后将该进程运行起来以后,发现它有写注册表启动项的操作,于是就打算重启看看是否效果什么的,结果遇到了黑屏,就天真的以为虚拟机出问题了,就重新开了一台虚拟机重新运行改程序,发现我的虚拟机还是无法启动,于是我就更加对这个有兴趣了,每次研究这种程序时,都带着一种能够发现骚操作,0day的想法研究,真的是很有激情啊,可是现实是残酷的……我使用ctrl+shift...
2018-11-20 18:22:00
4803
原创 GandCrab_v5.0.3勒索病毒中使用的UAC Bypass方式
最近在分析GandCrab_v5.0.3版本的勒索病毒,感觉可能每一版都藏一些新的技术吧,截止我发本篇文章之前,已经出现了v5.0.5版本,发布本篇文章主要是为了揭开勒索病毒使用各种猥琐技术的面纱,让更多人了解和学习到,我自己本身也是一直在学习,我的每一篇文章初衷都很简单,就是帮助大家更好的学习这方面的知识,这里我就简单的说下它里面用到的UAC Bypass方式。顺便说一下,这两种方式都是我已经验...
2018-11-05 13:51:11
806
原创 IDA decompilation failure - positive sp value has been found
最近在使用IDA分析恶意程序时,该程序使用了大量对抗静态分析的方法,使得我在分析时总是使用OD看汇编,但它里面由于call太多,跟了很多以后我都不知道这个call返回到哪里了,于是觉得还是想办法看能否F5下,转成伪代码,看着速度会快很多,于是就有了这篇文章,直接进入主题。拿这一段代码举例说明如何处理,首先这里红色的0FF98A7B1就是对抗静态分析的一种方法,我们需要先U一下转换为未定义的...
2018-10-31 19:07:30
2645
原创 Linux中在终端快速打开图形界面的文件夹的方法
nautilus /xxxx/xxx/xxx/xxxnautilus这个命令就是以root权限打开一个窗口,来管理文件。比如你直接点击 计算机 里面有很多文件夹和文件是root用户才能操作。完整格式就是这样的,可以快速打开图形界面文件夹。参考链接:http://www.voidcn.com/article/p-synpagzm-bx.html————————————————————...
2018-10-09 14:12:40
7463
原创 windows 7 专业版 64位 无法安装.Net 4.7版本解决方案
我写博客的目的很单纯,一方面是自己有些时候记不住,就喜欢记录下来,比如说git命令,用的还是比较少,但有时用到的时候就不知道,写下来后就容易记住了,另一方面是为了给各位网友提供一个解决方案,也是希望给别人帮助。我是参考了博客园的博主之后解决问题的,所以我就记录下来。就像该博主说的,什么暂停windows update,改文件夹,再恢复windows update等等方法都试了,不行之后就觉得这才是...
2018-09-29 14:20:29
22655
1
原创 病毒常用命令行的操作含义——持续更新
1、停止Windows Defender运行并删除其服务sc stop windefendsc delete windefend2、禁用与开启Windows Defenderset-mppreference -disablearchivescanning $true(禁用)set-mppreference -disablearchivescanning $false(开启)...
2018-09-27 11:49:32
1655
1
原创 一个C#或者.Net病毒的逆向之旅
最近为了提高沙箱的反病毒能力,特意从卡饭论坛找了一批样本,因为我觉得只有把沙箱当成黑盒测试一样,才有可能发现各种问题,之前我提需求时也是这样,就用实际的样本来跑,跑完后就会发现有很多问题,只有不断提问题(需求)才能更加促进产品的迭代更新。在之前的测试中,我们沙箱对于勒索病毒来说,检出率是很可观的,但是这次我就发现有些问题,好像C#或者说是.Net写的这个病毒,并没有检出,于是就单个拿出来分析下,为...
2018-09-14 17:37:08
1465
原创 汇总病毒样本的常用反调试技术、反分析技巧(持续更新)
自己在看到一些没见过的反调试技术时,感觉很好奇,不清楚时如何反调试的,但是还是会很努力的去弄懂它们,现在呢,我希望记录下我见过的一些反调试手段,这样后面大家如果碰到类似的反调试技术时,都会很容易理解这段恶意代码的作用了。1、下图中是通过检测kernel32.dll模块中是否有导出wine_get_unix_file_name函数,来判断当前环境是否是Wine模拟器环境2、下图中的v3的...
2018-09-06 16:19:38
1203
原创 使用Yara规则静态扫描方法
关于yara规则我就不做多的介绍了,这篇文章只是记录一下它的简单使用方法,我曾经较长时间不使用时忘记了它的使用方法了,遂记录一下。yara官方下载链接:https://github.com/VirusTotal/yara/releasesyara官方文档说明:https://yara.readthedocs.io/en/v3.7.0/index.html在我图中看到的yara32.ex...
2018-09-06 12:32:02
3219
2
原创 在浏览器中动态调试恶意JS代码
目的:恶意JS代码篇幅太长,而且if结构迭代嵌套switch…case结构,遂有了想要去动态调试的目的,大概看了下恶意代码,一眼看过去我竟然还没看到它调用什么run方法啊,exec方法之类的,而且之前也从来没有调试过JS代码,大家都说语言是相同的,但是吧,对于未知的东西,还是保留了一份畏惧,不过还好,这次之后我就会动态调试JS代码啦-------------------------------...
2018-09-04 15:25:36
2283
原创 Python异常信息写入到文件失败的解决办法
背景:我在服务器上跑一个统计数据的脚本,然后将异常信息就写入到文件,因为我知道使用print 打印异常信息时都没有任何问题,所以我就毫不犹豫的使用f.write(Excep),将异常信息以这样的一种方式写入到文件,今天早上来看数据时,发现是404界面,我就知道可能是脚本出问题了,包括在函数运行时我也用了异常处理,都把错误信息和发生错误的时间写入到文件中。在文件中发现了以下错误:f.wri...
2018-08-23 11:16:25
3925
原创 Python中定时框架——APScheduler模块
APScheduler是一个 Python 定时任务框架,使用起来十分方便。提供了基于日期、固定时间间隔以及 crontab 类型的任务,并且可以持久化任务、并以 daemon 方式运行应用。安装APScheduler框架pip install apscheduler以下是我参考网上一些文章,修改的代码from apscheduler.schedulers.blocking i...
2018-08-20 19:09:47
1029
原创 Linux系统使用crontab命令设置定时任务执行python脚本
最近根据需要我们有一个脚本需要跑在服务器上,本来打算使用python的定时任务来做,后面觉得一个python进程一直运行,怕是有点浪费资源,决定最后利用linux系统的定时任务来做这件事,以前没有怎么好好用过linux系统,只能一边找资料一边学习,经同事推荐,使用crontab就可以满足我的需求,就学习了一波……主要它的用法也非常简单,给人一看就明白的感觉,下面是它的标准格式:minut...
2018-08-20 18:17:06
4796
原创 Centos 7.x系统下忘记用户登录密码,重置密码的方法
最近突然要测试一个python脚本,因为脚本是在linux系统下运行的,就想现在我的centos系统上试试,结果用户密码忘记了,就试了很多遍,但是还是无法登录,无奈之下本来想直接重新安装吧,因为centos系统里其实也没我什么重要的东西,最后还是打算学习一波,Google看看有木有什么方法可以修改密码,网上这些方法可能都比较好用,但是我试一个,一个不行,试一个,一个不行,简直崩溃啊!我...
2018-08-18 12:23:29
96002
20
原创 微软官方提供的加密库相关学习
最近在看一个sample,很长时间没有看伪代码,突然感觉有些生疏了,但是这个样本用到了RSA-2048位密钥长度的算法,一下子就又想研究研究它了,之前没想过别人是如何知道这个sample是使用了什么算法,可能是通过比我用的高级的插件吧,我用PEID的附带插件扫描识别算法,但是具体多少位的加密密钥就识别不出来,所以为了搞清楚一些之前没有很明白的API,决定仔细查询下微软加密库相关的API。该AP...
2018-08-14 17:29:43
870
原创 SQL语句常用操作
一切的一切,都是源于对知识的渴望……最近有用到Postgre这个数据库,但是以前听都没有听过,不断的向别人请教,总算是现在能暂时操作这个数据库了,之前有学过sql语句,但是不用了之后就感觉已经忘得差不多了,所以赶紧多看了些资料,在w3school上又重新学了下,温故而知新啊!下面我就记录下,我常用的一些命令吧,sql语句的语法在数据库方面都是相通的,都可以使用:select * fro...
2018-08-09 16:14:57
157
原创 Git命令行操作--上传代码文件到Gitlab
1、git status (查看是否在指定分支中)2、git add 文件名 (添加修改的文件)3、git commit -m ''删除xxxx文件''(提交内容到暂存区)4、git pull origin develop(拉取最新的仓库代码)5、git push origin develop(推送到远程仓库) 希望以后使用git命令上传文件和删除文件的错误不要再犯了,感觉...
2018-08-07 18:01:05
2934
原创 Sublime Text编辑器运行Python文件
需求:使用Sublime Text编辑器调试Python文件起初不是很清楚这款编辑器也能调试Python文件,但是看了我同事用它来调试后,就觉得很方便,可以不用PyCharm来调试,网上相关的教程很多,这篇只是作为自己学习各种工具使用的学习记录吧1、当编写完Python文件以后,选择菜单栏中的Tools->Build System->Python2、然后使用快捷键Ctrl+...
2018-08-06 10:31:28
263
原创 Git命令行操作--删除Gitlab上传的代码文件
我是使用TortoiseGit管理工具操作的,首先在你本地克隆的文件夹内1、右键选择Git Bash here2、输入命令Git status 查看你在哪个分支下,这样就保证你上传时不会传错3、在本地克隆的文件内,选中你要删除的文件,右键Tortoise-删除4、再回到命令行窗口,使用git status查看是否有提示你要删除的文件信息5、再使用git commit -m“注释...
2018-07-02 11:46:30
8441
原创 通过遍历进程快照获取当前运行进程的PID(C代码)
这次是要需要获取Cuckoo沙箱中当前运行的进程ID,就想了个办法==,直接写个程序,将进程ID打印出来后,Cuckoo沙箱运行结束后会上传运行截图,这样我就能知道当前我运行的进程ID是多少了,无可厚非,能解决问题就行。写这篇文章是因为在写代码的时候遇到了一些问题,首先大脑里没有出现获取进程ID的WIN 32 API,只想到了通过遍历进程快照来获取,但是那几个API名字有点长(CreateTool...
2018-06-28 18:47:30
1664
原创 通过代码访问注册表读取本机GUID的方式——32位程序访问64位操作系统注册表
首先必须承认的是,某些细节处理上经验还是欠缺,真的是……唉唉有需求才会产生问题,最近在研究Cuckoo Sandbox,于是为了测试我自己写的Signatures是否有效,就需要自己写Demo,为了测试正在读取本机GUID的操作签名,我就写了以下Demo:HKEY hKeyResult = NULL; HKEY hKeyResultG = NULL; CHAR szLocation[MAX_P...
2018-06-27 17:05:18
2237
原创 IDA 7.0版本安装查询加密算法的findcrypt3脚本插件的详细步骤
该脚本插件在Github上的地址:https://github.com/polymorf/findcrypt-yara用这个的原因是更新比较频繁,说明还有人在维护。安装这个脚本几乎浪费了我一天的时间,但是呢,也学到了很多,关键问题在于,在百度,谷歌等搜索引擎上没有找到解决问题的办法!为什么如此强大的Google也不行呢,可能是因为我们这个IDA 7.0版本的问题(因为确实是有“问题”),暂不纠结了...
2018-05-28 17:25:24
9190
7
原创 IDA 7.0 Python import "site" failed
这个坑了我比较久,为了防止其他人入坑,就及时写一篇博客来告诉他人,本着知识、技术共享原则。因为浪费的这些时间我们可以用来做别的许多事。首先出现这个问题,只需要几步:第一步,确认安装的是否是Python 2.7版本第二步,在安装IDA 7.0的时候,有个版本会直接提示你是否安装python 2.7-x64(因为我的是64位系统,不知道是不是自身检测出来的),有这个选项的话一定要选择安装。第三步,打开...
2018-05-28 16:12:10
2079
3
转载 DDoS攻击方式的学习与了解
之前并未接触过DDoS,也不是很了解这种攻击方式到底分了多少种,近日分析一个样本,发现是DDoS攻击工具,于是要求我去分析下使用的是什么攻击方式,我也很疑惑,他们讲的一些攻击方式我也没有听说过,也不了解,于是就赶紧趁机会百度,谷歌学习了一下,最后在知乎上找到了一些比较详细的说明吧,是知道创宇的官方公众号写的,我觉得他解释和说明的都很不错,于是就打算拿来学习一下,下次就不用找相关的资料那么麻烦了。作...
2018-05-02 16:52:23
29167
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人