程序逆向 - 第 23 | CN-SEC 中文网

程序逆向

适合宝宝体质的wasm2js白盒AES

样本链接：https://pan.baidu.com/s/1cUBHkB1qkSxm8IJsGxBUXw?pwd=xq1s 提取码: xq1s 这是我第一次接触wasm，不过还好，它为...

12月20日14 views评论

阅读全文

程序逆向

IDA技巧（88）字符操作数类型和栈字符串

我们之前讨论过操作数表示，但今天我们将使用一种特定的表示法来找到隐藏在其中的彩蛋。更具体地说，是这张截图：函数surprise调用了printf，但传递给它的参数似乎都是数字。printf()不是通常...

12月19日11 views评论

阅读全文

程序逆向

IDA技巧（87）函数块和反编译器

我们讨论了函数块，今天我们将展示一个如何在实践中使用它们来处理常见编译器优化的例子。共享函数尾部优化在处理一些ARM固件时，你可能会遇到以下情况：我们对sub_8098C的反编译以一个奇怪的JUMPO...

12月18日28 views评论

阅读全文

程序逆向

皮蛋厂的学习日记 | 2021.12.9 | 逆向：SimpleRev&&MISC：打印机流量分析

皮蛋厂的学习日记系列为山东警察学院网安社成员日常学习分享，希望能与大家共同学习、共同进步~2019级 xylito1 | SimpleRevSimpleRev2019级挽歌 | 打印机流量分...

12月18日6 views评论

阅读全文

程序逆向

【原创】混合布尔算术运算的混淆及反混淆

作者论坛账号：白云点缀的藍前言最近看了几篇关于混合布尔算术MBA(Mixed Bitwise-Arithmetic)的论文，可以用于处理vmp万用门的混淆，所以写出来和大家分享一下。混合布尔算术运算结...

12月18日17 views评论

阅读全文

程序逆向

恶意样本分析精要及实践10-IDA使用（三）

STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...

12月18日6 views评论

阅读全文

16位和32位的80x86汇编语言的区别

需要注意的是汇编不是一种语言，不同平台有不同的汇编语言对应，因为汇编和操作系统平台相关，所以汇编语言没有移植性。对于IA-32架构平台而言，选用的是32位80386汇编语言，也就是说本...

12月18日程序逆向5 views评论

阅读全文

程序逆向

记对一次360远古版本安装包挖掘导致的kill

文章首发先知社区：https://xz.aliyun.com/t/16701 本文已获作者授权转发 360？如此简单序言，本文继续将分享一种鄙人不久前挖掘到的360相关可利用方面，可实现k360，代...

12月18日21 views评论

阅读全文

程序逆向

海莲花APT组织样本分析

看雪论坛作者ID：寒江独钓_ 1利用wirkeshake抓包初步分析此样本是从网络搜集下载，用以个人研究，不足之处请多指教！话不多说，直接开始。经典的图标伪装，伪装成一个DOC文档，以为换个马甲就不认...

12月17日21 views评论

阅读全文

内存相关API

一、前言Windows操作系统的内存有三种属性，分别为：可读、可写、可执行，并且操作系统将每个进程的内存都隔离开来，当进程运行时，创建一个虚拟的内存空间，系统的内存管理器将虚拟内存空间映射到物理内存上...

12月17日程序逆向2 views评论

阅读全文

程序逆向

浅析libc2.38版本及以前tcache安全机制演进过程与绕过手法

本文重点关注tcache本身的结构、取用放入的原子操作，以及其free安全机制的演变过程，大概分水岭在于：2.26(tcache出现)2.28(_int_free引入key防止双重释放)2.32(PR...

12月17日6 views评论

阅读全文

程序逆向

免杀基础-进程遍历的方式

本文介绍三种常见进程遍历的方式基于CreateToolHelp32Snapshot基于EnumProcesses的和基于NtQuerySystemInformation的前者在沙箱中爆可疑行为后两者...

12月17日7 views评论

阅读全文

适合宝宝体质的wasm2js白盒AES

IDA技巧（88）字符操作数类型和栈字符串

IDA技巧（87）函数块和反编译器

皮蛋厂的学习日记 | 2021.12.9 | 逆向：SimpleRev&&MISC：打印机流量分析

【原创】混合布尔算术运算的混淆及反混淆

恶意样本分析精要及实践10-IDA使用（三）

16位和32位的80x86汇编语言的区别

记对一次360远古版本安装包挖掘导致的kill

海莲花APT组织样本分析

内存相关API

浅析libc2.38版本及以前tcache安全机制演进过程与绕过手法

免杀基础-进程遍历的方式

在线咨询

微信