前言在开始之前还是要先纠正一下之前第一部分中末尾的COFF文件结构图,那个是我在解析时的顺序而非COFF本身的结构,我在查看一篇很早之前对于COFF介绍的文章中突然意识到了自己的错误,下图是文章中给的...
04月22日3 views评论gcc
loader
Coff Loader 第二部分:一步步实现COFF加载器
04月22日3 views评论gcc
loader
04月22日3 views评论gcc
loader
VPNFilter Stage 1
周五晚看了下Stage 1,感觉此木马从跨平台、启动项到多阶段的下载,可以说处处都是亮点,值得分析一波~# 符号表拿到的样本为x86架构、静态编译,且去除了符号表,在lscan/bindiff无解后只...
01月04日15 viewsVPNFilter Stage 1已关闭评论fork
stage
php变量覆盖和弱类型
#############################免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提学习,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无...
12月29日26 views评论数值
符号表
AI辅助下的通用软件与嵌入式固件符号表修复
01 概述Claude是一个支持中文、暂时免费、先到先得,不用排队、人人都能上网使用的类ChatGPT产品。之前Claude 100k还在测试阶段,需要申请api使用权限,非常稀有。最近官网升级到了2...
08月01日16 views评论hex
嵌入式
so隐藏符号表(代码混淆加密)
推荐阅读Android Hook实战系列APP混淆实战(Java/so代码混淆)Android APP防作弊SDK解决方案bundletool工具使用(Android aab包安装)Android P...
07月13日284 views评论cmake
hidden
CTF - glibc高版本gdb调试问题
前言由于高版本glibc的调试符号格式有变,导致gdb不能直接加载符号表,需要手动导入高版本的符号表,这里有几种方案。glibc多版本配置方案手动编译(不推荐)glibc的编译需要特定版本的gcc和c...
06月01日186 views1 glibc
符号表
安全运维 | 记一次有趣的挖矿病毒
0 前言本病毒使用了去符号表、敏感信息混淆、int 0x80执行系调函数、sh -c 执行bash脚本获取相关信息等技术来做免杀处理,但是不足的点也很明显: 1)top命令可以直接查看病毒...
03月07日37 views评论linux
server
rootkit工具之Reptile分析
LKM Linux rootkit之Reptile分析前言这个马功能挺齐全,不过年代久远。作为入门,够用了。下面结合源码,分析一下这个工具。功能演示隐藏文件和目录反连shell,这里是控制端。目录架构...
02月07日122 views评论user
内核
如何使用eBPF观测用户空间应用程序
译者注这一年来,很多刚接触eBPF的朋友会问我,eCapture[1]的原理是什么,为什么区分OpenSSL、Gnutls、Nspr等类库实现?为什么要设定OpenSSL类库地址?为什么C、JAVA、...
10月29日141 views评论apt
应用程序
Linux | LKM 型 Rootkit 取证浅析
LKM(Loadable Kernel Module)全称可加载内核模块,主要用来扩展Linux的内核功能。其优点在于可以动态地加载到内存中,无须重新编译内核,常用于Rootkit技术。列举几种LKM...
06月09日108 views评论linux
内核
固件符号表恢复
使用IDA打开固件的时候,有的时候无法识别真实的函数名,即便固件中能够找到符号表,这时就需要我们手动修复通常情况下,我们会使用IDAPython来进行批量恢复代码如下:#coding=utf-8fro...
02月14日406 views评论import
python