简介本文尝试通过调试和逆向工程来分析特定 EDR 的特定功能或检测机制。我的主要目标并非深入研究逆向工程过程的细节,而是深入理解 EDR 中新实现的检测机制的工作原理,探索该机制的功能,并探究其实现的...
【SpoofCall】| 从栈回溯中聊聊堆栈欺骗
铺垫内容在Windows x86_32中,函数在CPU级别实现了扩展基址指针EBP,它有效记录栈帧的地址(即调用者的地址),但在Windows x86_64中,这种方式不再强制使用而是使用RSP栈指针...
HTB Aero红队靶机:Windows 11主题也能被黑客利用控制电脑?
HackTheBox 的 Aero 靶机是一个中等难度的机器,很多人喜欢在第三资源网站下载漂亮的Windows主题来美化自己的电脑,然而这些主题可能隐藏后门,该靶机就是利用Windows 11的主题获...
安卓逆向 某字母站XHS frida检测分析绕过
本文是对于了版本7.26.1,以及版本7.76.0的frida检测进行的分析研究以及绕过bilibili 7.26.1bilibili的旧版本frida检测可以看到按照Spawn的方式启动的时候,直接...
记一次爱加密企业版脱壳与反调试绕过
Frida-Dexdump脱壳用于提取DEX文件 https://github.com/hluwa/frida-dexdump 需要先绕过frida反调试Fart脱壳一款自动化脱壳工具 https:/...
记一次爱加密企业版脱壳与反调试绕过
Frida-Dexdump脱壳 用于提取DEX文件 https://github.com/hluwa/frida-dexdump 需要先绕过frida反调试 Fart脱壳 一款自动化脱壳工具 http...
逆向分析:Win10 ObRegisterCallbacks的相关分析
写这篇帖子主要是为记录ObRegisterCallbacks函数的相关分析,如有错误,欢迎批评指正。给出的为C伪代码,仅展示逻辑,不保证安全性。分析ObRegisterCallbacks函数C的伪代码...
IDA 9.1 & IDA 8.5 算法分析
作者论坛账号:Nisy看到分享了 8.5 安装包,之前的 kg 失效了,才发现替换成了 9.x 的注册模式。做了简单分析,整理如下:调试版本为 9.0(240905),新注册机制都一样,IDA.dll...
某APP加密解密
1.安装APP判断APP是否是加壳的,使用查壳工具发现是使用了邦邦企业壳如果壳程序没有frida检测的话,其实对我们逆向HOOK的影响不算是特别的大。这里随便输入一个Hello frida脚本,判断存...
某APP加密解密
公众号现在只对常读和星标的公众号才展示大图推送,建议大家把BHSec设为星标,否则可能就看不到啦!---------------------------------------------------...
【实用技巧】Sublime Text 4 列操作
Sublime Text 4 列操作如何提取上图中的flag?手打?还是?mov byte ptr [esp+2Fh], 66h ; 'f'mov byte ptr [esp+2Eh]...
安卓逆向 某痛单词过frida检测
今天来给大家分享一个案例,某某单词app,由于该app有反调试,本文就介绍一下如何绕过他的反调试开始检测Frida的机制一般在Native层实现,通常会创建几个线程轮询检测。首先要知道检测机制是由哪个...