程序逆向 - 第 96 | CN-SEC 中文网

程序逆向

如何快速从 64 位转储文件中找到异常发生时的线程上下文

一前言经常做调试的朋友可能会遇到在windbg里通过k系列命令得到的调用栈没有太大参考意义。一般是由于线程上下文不对导致的。这时候可以通过!analyze -v让windbg自动帮我们分析出正确的调用...

10月30日8 views评论

阅读全文

程序逆向

x64内核-页机制的研究

CR4寄存器在白皮书的第三卷2.5章对控制寄存器有详细的介绍，下面是白皮书中CR寄存器的结构图（这里要说明一下cr4的第12位是由被使用的这个位在2.5章的后半部分有介绍是控制是否开启5级分页的位否则...

10月30日17 views评论

阅读全文

程序逆向

二进制明文字符串加密：还原与反还原

上一篇文章介绍了xorstr的原理和最小化验证概念的代码，这篇文章来看下这种已经被广泛应用于各恶意样本以及安全组件中的技术如何还原，如果还没看上篇建议先看下了解其实现后再看本篇文章。一xorstr的现...

10月29日37 views评论

阅读全文

程序逆向

浅析evilhiding v1.0免杀

关注并星标🌟 一起学安全❤️作者：coleak 首发于公号：渗透测试安全攻防字数：2146声明：仅供学习参考，请勿用作违法用途目录loader基础知识loader参数介绍evi...

10月27日30 views评论

阅读全文

程序逆向

彻底理解PE文件的导入表

彻底理解PE文件的导入表 https://gitee.com/wochinijiamile/smartya/blob/master/asgdiuasge78aywujg12y3t1yiu23...

10月27日30 views评论

阅读全文

程序逆向

他们想搞我，却被我溯源了（始）

在一个平静的下午，邮箱叮咚一声有个QQ邮件发了过来。打开邮箱一看，钓鱼邮件！还是熟悉的味道还是熟悉的配方！顿时来了兴致，抄起家伙准备溯源。按照链接下载了软件，直接双击管理员运行开撸！进行监控后发现这个...

10月25日78 views评论

阅读全文

程序逆向

中断门&&陷阱门（提权）

中断门什么是中断门前面说到，Windows系统有调用门，调用门可以直接进入0环，但是Windows并没有选择使用调用门，而是选择使用中断门。那么什么是中断门呢？再说中断门之前，我们要先介绍IDT表。...

10月24日54 views评论

阅读全文

程序逆向

Go逆向研究

基础信息 go语言默认采用静态编译的策略，这意味着各种标准库和第三方库包括runtime和gc都会被全静态链接构建，这导致go二进制文件较大，同时go函数调用约定，数据结构和栈管理策略非常特殊，而且...

10月23日37 views评论

阅读全文

程序逆向

让逆向更接近源码——IDA重定义C++类对象技巧(逆向实战3)

我们在进入IDA反编译的函数后经常会看到如下情况，IDA确定传入了一个类对象地址，但是却没有解析该类对象。我们需要点击this指针变量，右键Reset pointer type，重新定义指针类型。重新...

10月23日539 views评论

阅读全文

程序逆向

技术分享 | ShellcodeLoader

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。0x00 简介ShellcodeLoader是一个包含多种shellcode注入方...

10月23日49 views评论

阅读全文

程序逆向

滴水逆向-代码段间跳转

在Windows系统中，段寄存器有：CS、SS、ES、DS、FS、GS、TR、LDTR等。每个寄存器有4个属性：Selector 16位（段选择子可见部分）Atrributes 16位...

10月23日34 views评论

阅读全文

程序逆向

APT36基本情况整理及样本分析记录

一基本情况其活动可以追溯到2012年，攻击手法：带有嵌入宏的恶意文档。透明部落始终使用诱人的文档和文件名（通常称为蜜陷阱）来诱骗受害者在其端点上执行恶意内容。武器： 1、主要恶意软件是一种公开称...

10月23日32 views评论

阅读全文

如何快速从 64 位转储文件中找到异常发生时的线程上下文

x64内核-页机制的研究

二进制明文字符串加密：还原与反还原

浅析evilhiding v1.0免杀

彻底理解PE文件的导入表

他们想搞我，却被我溯源了（始）

中断门&&陷阱门（提权）

Go逆向研究

让逆向更接近源码——IDA重定义C++类对象技巧(逆向实战3)

技术分享 | ShellcodeLoader

滴水逆向-代码段间跳转

APT36基本情况整理及样本分析记录

在线咨询

微信