创建具有已知大小的结构有时候你知道结构的大小,但实际布局还不清楚。例如,当为结构分配的内存大小是固定(malloc(0x598))的时候:在这种情况下,你可以快速地创建一个 dummy 结构,然后在分...
05月07日10 views评论ida
结构体
IDA 技巧(12)速学!逆向结构体的必会操作
05月07日10 views评论ida
结构体
05月07日10 views评论ida
结构体
反rootkit技术
基础知识如果你正在开发rootkit,但是你没有已知的有效证书来签署签名,那么就只能手动映射rootkit。手动映射驱动程序的概念类似于反射 PE 加载的概念。不是从磁盘加载程序,而是手动将其映像布置...
05月07日10 views评论rootkit
驱动程序
从零开始,掌握CVE漏洞复现技能
想要成为一名优秀的漏洞挖掘工程师吗?想要掌握CVE复现能力,提升自己的实战能力吗?想要深入了解IoT、v8、Windows等多类型漏洞挖掘基础知识和实操吗?《CVE复现漏洞精讲-从基础到入门》带你走进...
05月07日9 views评论漏洞复现
漏洞挖掘
防拆技术和缓解措施
反汇编程序的工作原理最简单的反汇编程序超级简单,但它们也可能非常复杂。更高级的反汇编器会尝试识别函数(可能具有倍数返回)、跳转表等习语,并且不会被反汇编技巧所欺骗。它们分为两大类。线性 - 按顺序分解...
05月07日程序逆向1 views评论反汇编
汇编器
一个基于Ring 3 的rootkit
首先先科普用户态内核态两者的在指令上的区别 一般来说,ring0权限下开放的指令有:IO读写、网卡访问、申请内存、访问硬件资源。一般来说,ring3权限下开放的指令有:普通的计算指令等两者在空间权限...
05月07日7 views评论rootkit
shellcode
0day 2期-更新第7章:Windows服务漏洞原理讲解
本周更新7.1:理解rpc/com接口漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为...
05月06日6 views评论0day
漏洞挖掘
二进制安全之自控制流劫持混淆及其恢复研究
控制流劫持攻击是一种通过构造特定攻击载体来非法篡改进程中的控制数据、从而改变进程的控制流程并执行特定恶意代码的攻击方式。在CTF各方向中,一般是PWN方向的题目中常包含的知识点,入门类型的PWN题目中...
05月06日6 views评论ptr
栈溢出
Windows 主机入侵检测与防御内核技术深入解析
第3章微过滤驱动与模块执行防御(上)微软在Windows的内核中提供了一套进行文件系统过滤驱动开发的标准接口。利用这套接口开发出来的驱动程序即为微过滤驱动(minifilter driver)。微过滤...
05月06日6 views评论callback
回调函数
【免杀】干货集锦,让你游刃有余!
前言 免杀技术一直是许多安全从业者感兴趣的热门话题。然而,网上关于免杀技术的资料繁杂且时效性不足,很多技术都是几年前的,已经不再适用。为了方便大家学习,我们汇总了网上现有的...
05月06日程序逆向7 views评论authenticode
msf
Linux Kprobe原理探究
之前在分析其他安全厂商App的防护策略时,想要设计个风控分析沙盒来实现对于App行为的全面监控,包括: ◆App访问、操作了哪些文件 ◆执行了哪些操作 ◆对于相关操作进行针对性的修改等等 其中很棘手的...
05月04日7 views评论指令
方式
IDA 技巧(11)玩转结构体!
快速创建结构体在逆向工程大型程序时,通常会遇到存储在结构中的信息。标准的做法是使用“结构体”窗口,逐个添加字段,类似于在反汇编中格式化数据项的方式。但是,还有其他选择吗?让我们看看其中一些。使用已经格...
05月02日2 views评论ida
结构体
Windows | AV/EDR对抗之BYOVD技术
BYOVD为Bring Your Own Vulnerable Driver缩写,该缩写为业内共识,解释为向目标环境植入一个带有漏洞的合法驱动程序,利用驱动漏洞获得内核权限,实现任意代码执行或终止任意...
05月01日7 views评论函数
进程
116