首发于奇安信攻防社区:https://forum.butian.net/share/1318前言Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。很多恶意...
APP 常见的 libmsaoaidsec.so 绕过姿势
最近在学习安卓逆向的时候遇到了libmsaoaidsec.so导致无法frida注入,这里自己收集了一些绕过的方法,如有错误的地方还请各位大佬指正。hook pthread_create【安卓逆向】l...
用魔法打败魔法:虚拟机分析还原
为什么还是虚拟机有人可能会问:怎么又是虚拟机的文章?其实我认为,其他方向大多数都已经有不少人分析过了,再去写类似的内容意义不大。而虚拟机保护的分析门槛相对较高,相关的文章也相对较少,因此我选择了这个方...
【安卓逆向】某二手平台反调试请求头分析
恰饭简介抓包过程hook下请求头的okhttp的 addHeaderJava.perform(function () { var Builder = Java.use('okhttp3.Requ...
EDR 分析:利用伪造 DLL、保护页和 VEH 增强检测
简介本文尝试通过调试和逆向工程来分析特定 EDR 的特定功能或检测机制。我的主要目标并非深入研究逆向工程过程的细节,而是深入理解 EDR 中新实现的检测机制的工作原理,探索该机制的功能,并探究其实现的...
【SpoofCall】| 从栈回溯中聊聊堆栈欺骗
铺垫内容在Windows x86_32中,函数在CPU级别实现了扩展基址指针EBP,它有效记录栈帧的地址(即调用者的地址),但在Windows x86_64中,这种方式不再强制使用而是使用RSP栈指针...
HTB Aero红队靶机:Windows 11主题也能被黑客利用控制电脑?
HackTheBox 的 Aero 靶机是一个中等难度的机器,很多人喜欢在第三资源网站下载漂亮的Windows主题来美化自己的电脑,然而这些主题可能隐藏后门,该靶机就是利用Windows 11的主题获...
安卓逆向 某字母站XHS frida检测分析绕过
本文是对于了版本7.26.1,以及版本7.76.0的frida检测进行的分析研究以及绕过bilibili 7.26.1bilibili的旧版本frida检测可以看到按照Spawn的方式启动的时候,直接...
记一次爱加密企业版脱壳与反调试绕过
Frida-Dexdump脱壳用于提取DEX文件 https://github.com/hluwa/frida-dexdump 需要先绕过frida反调试Fart脱壳一款自动化脱壳工具 https:/...
记一次爱加密企业版脱壳与反调试绕过
Frida-Dexdump脱壳 用于提取DEX文件 https://github.com/hluwa/frida-dexdump 需要先绕过frida反调试 Fart脱壳 一款自动化脱壳工具 http...
逆向分析:Win10 ObRegisterCallbacks的相关分析
写这篇帖子主要是为记录ObRegisterCallbacks函数的相关分析,如有错误,欢迎批评指正。给出的为C伪代码,仅展示逻辑,不保证安全性。分析ObRegisterCallbacks函数C的伪代码...
IDA 9.1 & IDA 8.5 算法分析
作者论坛账号:Nisy看到分享了 8.5 安装包,之前的 kg 失效了,才发现替换成了 9.x 的注册模式。做了简单分析,整理如下:调试版本为 9.0(240905),新注册机制都一样,IDA.dll...