来啊,一起学习二进制呀1 启动调试器在终端中,使用"文本用户界面"运行gdb> make puzzlebox gcc -Wall -g -c puzzlebox.c gcc -Wall -g...
03月06日16 views评论寄存器
调试器
gdb 调试器快速指南
03月06日16 views评论寄存器
调试器
03月06日16 views评论寄存器
调试器
ApoorvCTF Rust语言逆向实战
上周参加了国外的比赛,名称叫:ApoorvCTF看一下老外的比赛跟我们有什么不同,然后我根据国内比赛对比发现,他们考点还是很有意思的,反正都是逆向,哈哈哈Rusty Vault题目描述:In the...
03月06日13 views评论apoorvctf
rust
使用 x64dbg Automate 进行大规模分析
本文将重点展示我在x64dbg Automate开发过程中的设计思路与功能亮点。这个自动化解决方案基于x64dbg的命令执行引擎和插件API,旨在提供富有表现力、现代化且易于使用的Python客户端库...
03月06日27 views评论payload
恶意软件
从逆向还原的角度探讨x86与x64的异常:32位3代异常处理还原(VS2019)
此系列文章旨在探讨在VS2019环境下,代码还原中遇到x86的异常和x64的异常时如何准确还原try-catch的嵌套关系,如何定位核心的catch代码块,准确还原try的包含范围,以及获取thorw...
03月05日10 views评论catch
结构体
交互式反混淆:打造最强控制流平坦化分析交互式插件 | 第三期 | 混淆与反混淆
交互式UI的优点:支持自动分析支持人工调整分析结果支持人工调整修补结果支持动态导航地址交互式 UI 最大程度应对编译优化(例如共用尾部基本块、部分平坦化、多分发器)、定制变种修改(状态变量复杂化、过程...
03月05日16 views评论反混淆
控制流
【360过父】| 360核晶断链绕过父进程
很多师傅问咋实现360核晶下绕过父进程,今天给师傅们带来360核晶实现进程断链,效果如下:可以看到此刻父进程是explorer.exe演示视频:思路已分享到圈子内部圈子内部资源:添加备注:加星球原文始...
03月04日33 views评论360核晶
父进程
杀软静态对抗-去除敏感整数
PE文件中,一些固定的整数也可能是一种静态特征,比如比较特定的整数大小,API hash的值等等。我们也可以使用类似字符串的加解密方法,来实现编译时加密整数,运行时解密。下面是一个GitHub上不错的...
03月03日程序逆向2 views评论auto
unsigned
BRC4?or CS新加载器?
1.前言这次的两个样本来自朋友的分享,本来这两个是去年四五月份就分析完了,正好护网的时候,但是因为涉及一些原因没有发出来。虽然当时这样本被送来才过了两三天,但是当时分析的时候插件的加载也被关了,没获取...
03月02日7 views评论brc4
CS新加载器
k手花指令分析理解
这个样本在看雪上看到的,作者(hczhong)比较厉害直接省略了去花指令的思路,写了对其中算法分析的过程,我也对这个花指令感兴趣,所以分析复现一下,充当记录贴了,本系列会连续更新,直至凑齐50个花指令...
02月25日8 views评论反汇编
花指令
[技术分析]Linux 内核漏洞(CVE-2021-23134)分析
Linux 内核漏洞分析该漏洞是 Linux 内核(5.12.4版本之前)的近场通信 (NFC) 子系统中的释放后使用 (UAF)。但是,为了介绍,我们将在5.15版本中使用它。Si 是一个由以下内容...
02月25日9 views评论系统调用
缓冲区
Windows10代码还原汇编特征汇总(附NTDLL CreateHeap还原代码)
写这篇文章的目的是想帮助刚开始或者准备开始研究windows系统的人员,此篇文章仅作为经验分享,是我在逆向还原windows10堆APICreateHeap和AllocateHeap以及Allocat...
02月25日12 views评论edi
ntdll
使用驱动移除内核回调,绕过Avast
好朋友,好大哥的文章,刚创的公众号,大家多多支持介绍创建该PoC的目的是了解驱动漏洞利用程序的强大功能,以及EDR如何使用内核回调以防止恶意软件的攻击。在代码中会用到一个Barakat发现并公开了的驱...
02月25日10 views评论edr
驱动程序
173