这个样本在看雪上看到的,作者(hczhong)比较厉害直接省略了去花指令的思路,写了对其中算法分析的过程,我也对这个花指令感兴趣,所以分析复现一下,充当记录贴了,本系列会连续更新,直至凑齐50个花指令...
02月25日9 views评论反汇编
花指令
k手花指令分析理解
02月25日9 views评论反汇编
花指令
02月25日9 views评论反汇编
花指令
[技术分析]Linux 内核漏洞(CVE-2021-23134)分析
Linux 内核漏洞分析该漏洞是 Linux 内核(5.12.4版本之前)的近场通信 (NFC) 子系统中的释放后使用 (UAF)。但是,为了介绍,我们将在5.15版本中使用它。Si 是一个由以下内容...
02月25日11 views评论系统调用
缓冲区
Windows10代码还原汇编特征汇总(附NTDLL CreateHeap还原代码)
写这篇文章的目的是想帮助刚开始或者准备开始研究windows系统的人员,此篇文章仅作为经验分享,是我在逆向还原windows10堆APICreateHeap和AllocateHeap以及Allocat...
02月25日12 views评论edi
ntdll
使用驱动移除内核回调,绕过Avast
好朋友,好大哥的文章,刚创的公众号,大家多多支持介绍创建该PoC的目的是了解驱动漏洞利用程序的强大功能,以及EDR如何使用内核回调以防止恶意软件的攻击。在代码中会用到一个Barakat发现并公开了的驱...
02月25日10 views评论edr
驱动程序
从windows缓冲区溢出到执行shellcode
0x00 背景介绍缓冲区溢出:当缓冲区边界限制不严格时,由于变量传入畸形数据或程序运行错误,导致缓冲区被填满从而覆盖了相邻内存区域的数据。可以修改内存数据,造成进程劫持,执行恶意代码,获取服务器控制权...
02月25日12 views评论shellcode
缓冲区溢出
windows内核之未初始化栈变量(五)
0x00 前言 Windows内核系列: windows内核之栈溢出(一) windows内核之任意地址写入(二) windows内核之UAF(三) windows内核之Null指针解引用(四) 0...
02月25日4 views评论callback
shellcode
windows内核之任意地址写入(二)
0x00 前言 前面已经介绍了Windows内核调试环境搭建和栈溢出的利用相关手法了 需要的参考下面链接: windows内核之栈溢出(一) 本文章开始讲解windows内核漏洞挖掘的下一系列:任意地...
02月25日5 views评论ptr
windows内核
windows内核之栈溢出(一)
0x00 前言 HEVD是入门windows内核的一个很好的靶场之一,主要是体验一下常见的提权漏洞利用的情景,里面内置了很多内核上常见的利用漏洞,如栈溢出、UAF、任意内存读写、未初始化、池溢出等。 ...
02月25日9 views评论push
struct
GO逆向分析小结-symtab解析
0x01 参考文章 Go二进制文件逆向分析从基础到进阶——MetaInfo、函数符号和源码文件路径列表 Go二进制文件逆向分析从基础到进阶——Tips与实战案例(包含之前文章的传送门) Go语言逆向初...
02月25日13 views评论struct
逆向分析
glibc 中偏门利用技巧
0x00 泄露程序基址 通过_dl_rtld_libname _dl_rtld_libname 是一个存在ld.so 里的结构体 glibc2.27: glibc2.30: 程序基址与_dl_rtld...
02月25日22 views评论buf
ptr
如何构建一个恶意软件的分析沙盒?
在搜索恶意软件之前,每个研究人员都需要找到一个系统来分析它。有两种方法可以做到这一点:构建可以分析恶意软件的环境或者使用第三方解决方案。今天,我们将构建可以分析恶意软件的环境——自定义恶意软件沙箱,可...
02月24日19 views评论恶意软件
ARM64 目前主流的反混淆技术的初窥
随着混淆技术和虚拟化的发展,我们不可能很方便的去得到我们想要的东西,既然如此,那只能比谁头更铁了,本文列举一下在逆向某一个签名字段中开发者所布下的铜墙铁壁,以及我的头铁方案,本文更多的是分析思路,而不...
02月24日12 views评论flowstate
混淆技术
176