pyd 文件是编译生成的 Python 扩展模块,是类似 so、dll 的一种 Python 文件。pyd 文件无法像 pyc文件那样恢复源码,只能通过逆向手段去恢复逻辑。理解pyd文件编译pyd自己...
12月23日6 views评论pyd
setup
深入Pyd逆向
12月23日6 views评论pyd
setup
12月23日6 views评论pyd
setup
PE文件代码注入
前言本文的目标是通过 PE 文件注入实现点击扫雷程序弹出 PE injected 窗口,与参考文章的区别在于:本文使用的程序是 64 位并且开了地址随机化,所以注入的方式有所不同文章示例程序下载地址:...
12月22日22 views评论ida
寄存器
IDA技巧(89)批量操作
上次我们使用操作数类型来提高函数的可读性,并更好地理解其行为。逐个转换操作数在需要时是可以的,但如果需要对一大段代码进行转换,这很快就会变得乏味。批量操作要一次性转换多条指令的操作数,请在触发操作之前...
12月22日17 views评论ida
对话框
恶意代码逆向分析第一章
免责声明锦鲤安全的技术文章仅供参考,此文所提供的信息仅供网络安全人员学习和参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用...
12月22日14 views评论恶意代码
恶意软件
Syscall入门之Hellsgate分析
0x00 前言 从现在杀软对抗的角度和技术来讲,syscall 可以说是 loader 中一个不可缺少的技术。为什么 syscall 逐渐成为主流? 很早之前杀软其实只会对 kernel32 中(R3...
12月21日37 views评论kernel
函数
适合宝宝体质的wasm2js白盒AES
样本链接:https://pan.baidu.com/s/1cUBHkB1qkSxm8IJsGxBUXw?pwd=xq1s 提取码: xq1s 这是我第一次接触wasm,不过还好,它为...
12月20日14 views评论aes
label
IDA技巧(88)字符操作数类型和栈字符串
我们之前讨论过操作数表示,但今天我们将使用一种特定的表示法来找到隐藏在其中的彩蛋。更具体地说,是这张截图:函数surprise调用了printf,但传递给它的参数似乎都是数字。printf()不是通常...
12月19日11 views评论ida
ptr
IDA技巧(87)函数块和反编译器
我们讨论了函数块,今天我们将展示一个如何在实践中使用它们来处理常见编译器优化的例子。共享函数尾部优化在处理一些ARM固件时,你可能会遇到以下情况:我们对sub_8098C的反编译以一个奇怪的JUMPO...
12月18日38 views评论ida
反编译
皮蛋厂的学习日记 | 2021.12.9 | 逆向:SimpleRev&&MISC:打印机流量分析
皮蛋厂的学习日记系列为山东警察学院网安社成员日常学习分享,希望能与大家共同学习、共同进步~2019级 xylito1 | SimpleRevSimpleRev2019级 挽歌 | 打印机流量分...
12月18日7 views评论misc
流量分析
【原创】混合布尔算术运算的混淆及反混淆
作者论坛账号:白云点缀的藍前言最近看了几篇关于混合布尔算术MBA(Mixed Bitwise-Arithmetic)的论文,可以用于处理vmp万用门的混淆,所以写出来和大家分享一下。混合布尔算术运算结...
12月18日19 views评论反混淆
表达式
恶意样本分析精要及实践10-IDA使用(三)
STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...
12月18日7 views评论ida
恶意样本分析
16位和32位的80x86汇编语言的区别
需要注意的是汇编不是一种语言,不同平台有不同的汇编语言对应,因为汇编和操作系统平台相关,所以汇编语言没有移植性。对于IA-32架构平台而言,选用的是32位80386汇编语言,也就是说本...
12月18日程序逆向5 views评论可执行文件
汇编语言
176