- 博客(28)
- 资源 (3)
- 收藏
- 关注
RSS订阅转载 VS项目的文件组织方式
VS项目的文件组织方式VC6.0之后的VC (VS)系列使用解决方案(Solution)来替代原来的工作空间,用于组织和管理多个相关的项目(Project)。VS中的每个管理器(解决方案或项目)都会对应一个总的文件夹,这个管理器文件夹下存放本管理器的配置文件以及子管理器。以C#项目为例,解决方案管理器总文件夹下包含解决方案配置文件*.sln和项目子管理器文件夹,而项目子管理器文件夹下包含C#源文...
2019-12-01 21:34:55
814
原创 系统问题解决笔记
把遇到的电脑问题,记录在此以便再次遇到的时候查看 1.win 10 联想G50 亮度调节失效问题 解决方法: 1按windows键+X打开计算计管理 2 找到设备管理器打开 3 选择通用即插即用监视器 4 点击通用即插即用,选择启动,启动后就可以调节屏幕亮度了
2016-11-06 22:54:51
470
原创 病毒行为笔记
此文用来收集在病毒分析过程中的行为1、自我保护篇1.1强制隐藏拓展名在键值HKEY_CLASSES_ROOT\exefile下添加数据项NeverShowExt值为空,这样显示“.exe”拓展名就会被隐藏,此时可禁用“文件夹选项”中的“隐藏已知文件类型拓展名”来显示“.exe”1.2隐藏文件夹选项 HKEY_CURRENT_USER\software\Microsoft\Windows\Curre
2016-11-02 21:34:53
712
原创 Svchosts病毒分析报告
基本信息 报告名称: Svchosts病毒分析报告 作者: 晨雾报告更新日期:2016-10-17 样本发现日期:2016-10-17 样本类型: 盗号木马 样本文件大小:75KB 样本文件MD5 校验值: 2ce214f1734e0247b7223a39dcc99f64 样本文件SHA1 校验值:23051d7a6dd19abd60d3b2143d
2016-10-19 22:17:35
1404
原创 逆向分析学习笔记--PE文件加载流程
一、WIN32PE加载流程(参考《软件保护及分析技术》) win32程序一般是由其他程序启动生成的,启动的顺序一般为: 1、创建进程CreateProcessA或CreateProcessA,这两个函数在其内部调用了又调用了NtCreateUserProcess,从这里开始进程就已经创建 2、内核调用NtCreateUserProcess后,会根据传递过来的参数来检查参数中指定的程序状态和文件
2016-10-07 22:00:10
2429
原创 反汇编学习笔记-数据类型
基本数据类型的用法和特点是在逆向分析及反汇编过程中常见的基础知识,现在来做个笔试,留待查询一、字符串1、整数 整数分为int 、long、short三种 ,其中int和long占4个字节,short占2个字节; 整数又可以分为无符号整数和有符号整数 无符号整数:占4个字节,取值范围(0X00000000-0XFFFFFFFF),即0-4294967295,小段序存储 有符号整数:占4个字节,
2016-10-07 17:44:47
624
原创 简单脱壳笔记
这里对各类壳按照壳的特征分类说明:一、ACProtect1、ACProtect V2.0–VB6.0 脱壳前特征: VB入口特征: 可以依靠此特征来找到OEP,若发生stolen bytes ,也可以手动修补 脱壳流程简介: AC会把正常解密流程放到SEH中,故利用最后一次异常法找到关键跳转,设置跳转条件让它直接跳到OEP 1) 2)关键跳转处设置条件断点,这里是代码段内
2016-10-06 17:07:39
582
原创 PE文件分析工具编写练习
一、PE文件简介 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)(百度百科)PE文件对于底层研究的重要性不言而喻,这里只做简单记录,以供自己学习之用,后面提供了一个山寨版本的PE文件解析器,话不多说,上图: 二、PE文件重
2016-10-01 11:14:33
4838
1
原创 OD调试常见断点及原理
OD调试时,常见的断点有int3、硬件断点、内存断点、消息断点、条件断点、条件记录断点等1、int 3断点原理:改变断点地址处的第一个字节为CC指令,在OD中不显示 缺点:容易被检测到,如检测MessageBoxA处CC断点 优点:可以设置无数个 OD快捷键F2就是利用这个特性FARPROC Uaddr;BYTE Mark = 0;(FARPROC&)Uaddr=GetProcAddres
2016-09-28 11:15:53
10117
1
原创 X86汇编指令学习笔记
今天来扒一扒X86汇编指令(IA-32指令),首先看看它的概念: IA-32(Intel Architecture 32bit,英特尔32位体系架构)[1] ,属于X86体系结构的32位版本,即具有32位内存地址和32位数据操作数的处理器体系结构,从1985年面世的80386直到Pentium 4,都是使用IA-32体系结构的处理器。一、IA-32指令的格式简介 可以看到一条完整的IA
2016-09-27 21:46:16
5437
原创 反调试—利用SEH链表
内容摘要:进程在被调试的时候,进程中TEB中的PEB中的BeingDebugged成员的值为1而正常情况下为0,于是通过访问该成员可知道当前是否为调试状态,来决定是否继续执行程序,原理和TLS反调试相似,不过这里把反调试代码放到了SEH中。 在说明该技术前要先来引用相关知识块: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。
2016-08-03 22:15:12
2714
原创 反调试-通过手动添加TLS回调函数
内容摘要:windows在创建线程时回先调用TLS回调函数,如果我们在回调函数中加入调试器探测代码就可以方便的探测调试器的存在。 TLS回调函数是指,每当创建/终止进程的线程时会自动调用执行的函数。创建的主线程也会自动调用回调函数,且其调用执行先于EP代码。 IMAGE_DATA_DIRECTORY[9]:IMAGE_TLS_DIRECTORY typedef struct _IMA
2016-08-02 17:17:59
1323
转载 VMware Workstation虚拟机装GHOST Win7详细高清图文教程(转载)
转来一篇虚拟机系统安装教程,写的不错,为了不侵犯作者版权,只贴地址VMware Workstation虚拟机装GHOST Win7详细高清图文教程
2016-07-28 22:49:07
11720
原创 API勾取实现进程隐藏
Windows中,任务管理器、Procexp等软件都是通过遍历进程信息结构体链表来获取进程名的,所以我们只要获取进程信息结构体链表然后删除指定进程信息块就能实现进程的隐藏,这种隐藏其实不是真正的隐藏而是让查看进程的程序无法查看到而已。 遍历进程方法一(创建进程快照): HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags,
2016-07-26 18:19:18
5174
原创 函数钩子-Dll注入
在应用层可以设置的钩子方法有许多种,其中经典的钩子是消息钩子,消息钩子分为两种,一种是系统级全局钩子,另外一种是线程级局部钩子,它们都是通过下面这一组函数来实现消息勾取,实现相对简单。设置钩子: SetWindowsHookEx释放钩子: UnhookWindowsHookEx继续钩子: CallNextHookEx 钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上
2016-07-22 16:36:59
2755
原创 远程代码注入
除了通常的通过DLL注入来向其他进程插入代码,还有一种方法,就是直接想目标进程插入代码,此方法与前者相比之下有以下几个优点: 1、由于不用注入DLL,所以是目标进程占用的内存更小 2、由于没有注入DLL,也使得更不容易被检测到(比如有些检测手段通过对比进程运行前后的DLL来判断是否有DLL插入)当然这种方法也有其缺点,它编程相对复杂,不适合大量代码注入,另外在提权操作中可能有失败的情况,我亲测本
2016-06-29 19:39:59
1067
原创 DLL注入--设置消息钩子
通过设置消息钩子,达到和dll注入相同的目的,但这个方法与其他DLL注入方法又不一样,它不会把自己的DLL加载到目标进程,所以也就实现不来DLL的隐藏,这样很容易被杀软KILL掉,亲测360秒杀,但实现简单还有有相当的应用场景,下面是一个通用的消息勾取主函数,它将关键的消息勾取函数SetWindowsHookEx函数放到了DLL当中,通过DLL调用来实现消息勾取,因为此逻辑相对简单,此处就不详细介绍
2016-06-27 17:59:40
4251
原创 Dll注入--修改PE文件头
DLL注入,除了常见的远线程注入,挂钩和修改注册表以外还可以通过修改PE文件头来达到注入目的,废话少说先上菜。1. 思路PE文件经常会调用外部DLL文件,而需要调用的DLL文件都会在PE文件说明,通过 NT头->可选头->导入表 可以找到导入表,而导入表就是对需要导入的每个DLL的说明,它实际上是一个20个字节组成的IID结构体数组,每个结构体就是一个DLL信息说明,我们只需要想PE文件中准确添加这
2016-06-25 14:12:09
14438
转载 钩子函数大全
钩子函数大全(转载)SetWindowsHookEx 函数功能:该函数将一个应用程序定义的挂钩处理过程安装到挂钩链中去,您可以通过安装挂钩处理过程来对系统的某些类型事件进行监控,这些事件与某个特定的线程或系统中的所有事件相关.函数原形:HHOOK SetWindowsHookEx( int idHook, HOOKPROC lpfn,HINSTANCE hMod,DWORD dwThreadId
2016-06-22 16:13:48
1386
原创 Dll注入-远线程注入
此篇实例来自于《逆向工程核心原理》一书,与《windows核心编程》等类似书籍上的例子相差无几,但是更为简洁,因为作为了解重点代码以备用来调试相关代码使用,因此删掉了不必要的代码先贴源代码#include "stdafx.h"#include "windows.h"#include "tchar.h"BOOL InjectDll(DWORD dwPID,LPCTSTR szDllPath)
2016-06-21 23:38:12
4998
1
转载 OD常用断点函数(转载)
OD常用断点函数 1、限制程序功能函数EnableMenuItem 允许、禁止或变灰指定的菜单条目EnableWindow 允许或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰) 2、对话框函数CreateDialog 从资源模板建立一非模态对话窗CreateDialogParam 从资源模板建立一非模态对话窗CreateDialogIndirect 从内存模板建立一非模态对话窗CreateDia
2016-06-17 10:12:45
2761
转载 od 常用断点大全
本文转自百度文库 ,以备学习之用 拦截窗口: bp CreateWindow 创建窗口 bp CreateWindowEx(A) 创建窗口 bp ShowWindow 显示窗口 bp UpdateWindow 更新窗口 bp GetWindowText(A) 获取窗口文本 拦截消息框: bp MessageBox(A) 创建消息框 bp MessageBoxExA 创建消息框 b
2016-05-24 16:20:10
3618
原创 WINDOWS API学习笔记之创建进程
#include<Windows.h>#include<stdio.h>DWORD CreateChildProcess(LPSTR szChildProcessCmd);//这里对参数int main(){ HANDLE hMainProcess; hMainProcess = GetCurrentProcess(); printf("GetProcessId(h
2015-08-27 19:51:35
2298
原创 WINDOWS API学习笔记之创建线程
#include "stdafx.h"#include<windows.h>#include<stdio.h>#define MAX_THREADS 1typedef struct _THREAD_PARAM{ DWORD i; DWORD dwRandom; DWORD dwData;}THREAD_PARAM,*LPTHREAD_PARAM;//线程函数 的
2015-08-27 19:47:20
559
原创 WINDOWS API学习笔记之Global*函数简例
Global*函数现在已经不太使用了 这里权当简单了解/*int main()*功能:演示Global*函数的使用***************************/#include<Windows.h>#include<stdio.h>int main(){ LPVOID lpMem; //内存地址 HGLOBAL hMem; //内存句柄 SIZE_T
2015-08-26 11:18:36
630
原创 WINDOWS 内存管理笔记
以下内容摘抄自《精通windows API函数、接口编程实例》在编写应用程序时,程序员不用过多地考虑系统底层是如何实现这种机制的。在进行应 用程序开发时,开发人员只需要了解以下内容。 (1)虚拟地址空间中的数据是分页管理的。 (2)应用程序不用考虑系统中其他应用程序的内存使用情况,如占用了多少内存、占用 了哪些内存等。 (3)虚拟地址并不是物理地
2015-08-26 10:03:26
536
原创 WINDOWS API学习笔记之批量打开文件
这是公司让写的一个小工具 花了大概两周弄成这样(鄙视的走开~_~||) 估计是不合格还得再来 姑且先放在这 留着参考WINDOWS API学习笔记之批量打开文件#include<windows.h>#include<stdio.h>#include<string>#pragma comment (lib,"User32.lib")#include<iostream>using name
2015-08-25 17:00:13
939
原创 WINDOWS API学习笔记之获取文件属性和设置文件隐藏
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦:Markdown和扩展Markdown简洁的语法代码块高亮图片链接和图片上传LaTex数学公式## windows API学习笔记之获取文件属性和设置文件隐藏##UML序列图和流程图离线写博客导入导出Markdown文件丰富的快捷键快捷键加粗 Ctr
2015-08-25 16:33:35
2215
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人