原文始发于微信公众号():白驱动 Kill AV/EDR(下)
12月19日程序逆向18 views评论edr
原文
为什么在ASLR机制下DLL文件在不同进程中加载的基址相同
一DLL 注入实现1.1 打开 Visual Studio 创建一个新的 DLL 项目。1.2 在"dllmain.cpp" 添加以下的代码。// dllmain.cpp : 定义 DLL 应用程序的...
12月18日21 views评论aslr
ssid
一种新的辨认VMP3的方法
作者论坛账号:DNLINYJ一种新的辨认VMP3的方法最近,VMP 3.5.1 的源码被完整泄露了 等不及看见国产虚拟机了朋友在读源码的时候发现了 VMP 编译器水印的位置,我只是个调试菜鸡...
12月18日16 views评论hex
mask
CS2游戏漏洞0day
不要玩CS2!这个话题标签近期排到推的热搜上。因为最近 CS2 游戏被曝光存在一个严重的漏洞,漏洞可以攻击所有在线的玩家,因为同时适用于大厅邀请功能,在游戏菜单中简单地设置离线状态也会被攻击。经测试发...
12月18日32 views评论0day
游戏漏洞
软件逆向之PE文件
PE(Portable Executable)文件是可移植的可执行文件,常见的如 EXE、DLL、OCX、SYS、COM等都是PE文件。凡是以二进制形式被系统加载执行的文件都是PE文件。 其实PE文件...
12月17日19 views评论pe
地址
万字长文教你反杀老师机房控制 反控全班同学(一)
进程与线程-内核隐藏进程
驱动代码 #include <ntifs.h> #include <wdm.h> #include <ntddk.h> #include <ntstatus....
12月16日14 views评论ntstatus
pirp
进程注入
系统调用来进行注入,不明白的可以https://blog.csdn.net/qq_34479012/article/details/128892693这里使用到如下几个函数:NtOpenProcess...
12月16日28 views评论id
函数
进程与线程-模拟线程切换
调度链表在这之前,要先补充几个知识。在前面,我们通过内核驱动对进程进行断链隐藏,发现并不会影响进程的执行,那么这是不是说明CPU对进程的控制并不是通过这个链表呢?答案是肯定的。在操作系统中,共有33个...
12月16日程序逆向15 views评论线程
进程
ProcessHacker驱动漏洞分析
介绍 ProcessHacker的2.8.0.0版本的驱动程序kprocesshacker.sys存在漏洞,该驱动是数字签名的,利用驱动漏洞可以在R0下结束进程、暂停进程,且可结束自我防护不严格的杀毒...
12月15日96 views评论param
漏洞分析
关于Cython生成的so动态链接库逆向
来个引子:TPCTF的maze题目如何生成这个so文件为了研究逆向,我们先搞个例子感受一下生成so的整个过程,方便后续分析创建对应python库文件testso.pydef test_add(a,b)...
12月13日15 views评论pyx
动态链接库
VMProtect编译成功过程梳理
作者论坛账号:我爱胡萝卜 VMP源码编译 话不多说,先上成果图: 整天两天,全是bug,不是这⾥问题就是那⾥问题,还是⻅都没⻅过的。 整个项⽬就是默认论坛⾥的那个直接打开就...
12月12日75 views评论msvc2015
vmprotect
115