我们之前讨论过偏移量与基址。在位置无关代码中,常常使用一种偏移量的变体,通过一个小技巧可以轻松处理。让我们来看一个来自ARM32固件的ARM函数:IDA将地址88和8C处的值转换为偏移量,因为它们恰好...
IDA技巧(103)在不同的 IDA 安装之间共享插件
安装到 IDA 目录IDA 插件的标准位置是 IDA 安装目录中的 plugins 目录(例如,在 Windows 上为 C:Program FilesIDA Pro 8.0plugins)。因此,这...
汇编语言基础教程
安全分析与研究专注于全球恶意软件的分析与研究汇编语言是逆向的基础,这节课给大家介绍一些汇编语言的基础知识,详细的内容大家可以去学习一下王爽《汇编语言》这本书,我这里主要给大家介绍以下几个主题,这些都是...
CE了解
ce了解基础应用层->微信,qq驱动层->系统内核(驱动程序)硬件层->内存,键盘,硬盘个人理解ce一般就是改内存值的,多用于游戏,现在客户端什么的,有时候也会用用入门部分其实就是它...
Windows 11 24H2 上的进程镂空技术
Process Hollowing on Windows 11 24H2 hasherezade's 1001 nights进程镂空技术 (又称 RunPE)[1]可能是最古老且最流行的进程伪装技术...
你跟我说这是缓冲区溢出?这不是注入吗?
缓冲区溢出介绍 缓冲区溢出(buffer overflow)是针对程序设计缺陷,向程序输入缓冲区写入使之溢出的内容(通常是超过缓冲区能保存的最大数据量的数据),从而破坏程序运行、趁著中断之际并获取程序...
nt-load-order 第二部分 - 你想知道的更多内容
nt-load-order Part 2 More than you ever wanted to know - ColinFinck.de这是一个由两部分组成的博客系列的第二部分,主要介绍 WinD...
【硬核来袭!】程序分析与反混淆【已完结】
本期课程以 Angr 符号执行技术为核心,对多种常见二进制混淆技术建模分析,包括间接跳转混淆、字符串混淆、虚假控制流混淆、控制流平坦化混淆以及过程间混淆等实际生产环境中常见的二进制混淆技术。课程从混淆...
Window逆向之x86 ShellCode入门
文章作者:奇安信攻防社区(xq17) 文章来源:https://forum.butian.net/share/1244 0x0 前言 不少人对于ShellCode的认知是很浅的,只知道它是一段利用代码...
IDA技巧(109)Hex视图文本编码
Hex视图用于显示数据库内容的十六进制转储。在调试过程中,它也用于显示内存内容。默认情况下,右侧有一部分显示数据的文本表示。通常,文本部分显示拉丁字母,或用点表示不可打印字符,但你可能也会遇到一些不寻...
利用硬件断点来Unhook BitDefender
简介我们首先来了解一软件断点,软件断点其实就是在目标地址上注入一个int 3指令,也就是0xCC操作码。那么当CPU执行到该地址时会引发异常。通常是EXCEPTION_BREAKPOINT。最后异常处...
恶意样本动态分析-上
安全分析与研究专注于全球恶意软件的分析与研究分析恶意样本一般采用静态分析+动态调试相结合的方法,前面我们讲了静态分析工具以及方法,现在开始动态调试基础知识的学习动态调试,分为用户态和内核态,调试工具也...
188