摘要:
//寻找lsass的EPROCESS !process 0 0 lsass.exe //切换进程空间到lsass .process /i ffffbc02f3760080 ;g //检查当前进程 !thread -p -1 0 //刷新kd维护的用户态加载模块列表使之匹配当前进程 .reload / 阅读全文
摘要:
通过__WriteInfoAppLog 定位关键函数 void check_447BA0() { // [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND] isactive_5252DC = sub_448470(dword 阅读全文
摘要:
PLAY ransom ware 采用RSA1024+AES-256, 样本hash: 608e2b023dc8f7e02ae2000fc7dbfc24e47807d1e4264cbd6bb5839c81f91934 函数混淆 函数混淆示例 .text:004142A0 push ebp .text 阅读全文
摘要:
vscode idapython debug 1、在脚本中嵌入debugpy import sys #python3.exe -m pip install debugpy # sys.path.append(r"D:\IDA Pro 7.6\Lib\site-packages\debugpy") i 阅读全文
摘要:
MortalKombat勒索软件分析 MortalKombat属于Xorist家族,采用tea加密,可解密 start WPARAM __userpurge start@<eax>(int a1@<ebp>, int a2, int a3, int a4, int a5) { // [COLLAPS 阅读全文
摘要:
ZFX ZFX是Makop 勒索变种,采用RSA1024+AES-256-CBC,随机生成2个32字节的AESKEY,文件加密时随机生成新IV,轮询AESKEY,并使用内置公钥将AESKEY加密存储。没有私钥则无法解密文件。 文件信息 dialog 样本来源https://bbs.kafan.cn/ 阅读全文
摘要:
c#代码: RSACryptoServiceProvider.ImportCspBlob using System; using System.Security.Cryptography; namespace ApplicationDecrypt { // Token: 0x02000004 RID 阅读全文
摘要:
aescipher=AES.new(aeskey,AES.MODE_CFB,aesiv,segment_size=128) segment_size (integer) -- (Only MODE_CFB).The number of bits the plaintext and ciphertex 阅读全文
摘要:
看到B站视频 DTMB模块在电脑上测试电视接收,好久没看电视了,遂购入体验一番。 分享的软件,使用体验不佳 LeDtmb 于是简单逆向了下,附上源码(~~代码太烂,不想搞了0.0~~) 下载链接 https://wwfk.lanzouo.com/b047mnpeb 密码:7mjx 阅读全文
摘要:
pyc反编译工具,效果比uncompyle6要好 https://github.com/zrax/pycdc 阅读全文
摘要:
Dll劫持27号导出函数,?startLogging@fde@@YAXPB_W@Z fde::startLogging fde::startLogging dump Dump出来是upx压缩,无魔改 简单分析 c2 ? 首次应该是 尝试连接d.nkking.com 失败就切换 192.168.1.2 阅读全文
摘要:
基本信息 QQExternal.exe加载tinyxml.dll 伪造证书 pdb信息 E:\其它文件\InternetRedirectNew\tinyxmlHook\Release\tinyxml.pdb dllmain 流程 创建服务 服务信息: MicrosoftSetupSystemTask 阅读全文
摘要:
Dll劫持,RobocraftBase.dll,调用1号导出函数 LzSetArchive() load_10002BC0 加载加密的jibmao.xml文件 SRDI_10003320 阅读全文
摘要:
Delphi程序,逆向注意函数调用方式 软件本身免费,注册没有添加功能仅隐藏了营销信息,破解意义不大。 register_B48800 注册按钮事件 register_check_B4957C 处理在线注册结果 sub_B6FBD8 启动时检测 patch-->sub_B6FBD8 start_ch 阅读全文
摘要:
F12 搜索gray 删除 到处都是黑白页的网页怎么破? 阅读全文
摘要:
双机调试下,调试服务进程启动时的代码 设置NtCreateUserProcess断点 bp nt!NtCreateUserProcess 查看进程路径 dx ((nt!_RTL_USER_PROCESS_PARAMETERS**)(@$csp+89))->ImagePathName g/pa 非目标 阅读全文
摘要:
定位 通过MessageBoxW回溯到init_1400C9030 init_1400C9030 int init_1400C9030() { // [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND] sub_140072B 阅读全文
摘要:
bpf汇编指令 ld #len sub #6 tax ldh [x+0] or #0xe6cf st M[4] ldh [x+0] and #0xe6cf neg sub #1 tax ld M[4] and x tax st M[4] ld #len sub x tax ldh [x+0] st 阅读全文
摘要:
import idc import idautils ea=get_screen_ea() #x64 for addr in range(ea,ea+0x100,8): idc.op_plain_offset(addr,1,0) 阅读全文
摘要:
unsigned long long MurmurHash64B(const void* key, int len, unsigned int seed) { const unsigned int m = 0x5bd1e995; const int r = 24; unsigned int h1 = 阅读全文