LyShark

摘要： python是一种面向对象的编程语言，面向对象编程（Object-Oriented Programming，OOP）是一种编程思想，其核心概念是“对象”。对象是指一个具有特定属性和行为的实体，而面向对象编程就是通过对这些实体进行抽象、分类、封装和继承等操作，来实现程序的结构和逻辑。在python中，我们可以通过定义类、创建实例和调用方法等方式，来实现面向对象编程的思想，从而编写出更加灵活、可扩展、易维护的程序。 阅读全文

摘要： 装饰器可以使函数执行前和执行后分别执行其他的附加功能，这种在代码运行期间动态增加功能的方式，称之为`"装饰器"(Decorator)`，装饰器的功能非常强大，装饰器一般接受一个函数对象作为参数，以对其进行增强，相当于C++中的构造函数，与析构函数。装饰器本质上是一个python函数,它可以让其他函数在不需要做任何代码变动的前提下增加额外功能,装饰器的返回值也是一个函数对象.它经常用于有迫切需求的场景,比如：插入日志、性能测试、事务处理、缓存、权限校验等场景.装饰器是解决这类问题的绝佳设计,有了装饰器,我们就可以抽离出大量与函数功能本身无关的雷同代码并继续重用. 阅读全文

摘要： 函数是python程序中的基本模块化单位，它是一段可重用的代码，可以被多次调用执行。函数接受一些输入参数，并且在执行时可能会产生一些输出结果。函数定义了一个功能的封装，使得代码能够模块化和组织结构化，更容易理解和维护。在python中，函数可以返回一个值或者不返回任何值，而且函数的参数可以是任何python对象，包括数字、字符串、列表、元组等。python内置了许多函数，同时也支持用户自定义函数。 阅读全文

摘要： 在python中，变量的作用域决定了变量在哪些位置可以被访问。一个程序中的变量并不是所有的地方都可以访问的，其访问权限决定于变量的赋值位置。python中有两种最基本的变量作用域：局部作用域和全局作用域。局部变量是在函数内部定义的变量，只能在其被声明的函数内部访问。而全局变量则是在函数外定义的变量，可以在整个程序的范围内被访问。局部变量只有在其被声明的函数内部才能被访问，全局变量则可以在程序的任何地方被访问。变量的作用域对于程序的正确性和可读性非常重要，需要在编写程序时注意变量的赋值位置以及其作用域。 阅读全文

摘要： 当我们需要处理一个大量的数据集合时，一次性将其全部读入内存并处理可能会导致内存溢出。此时，我们可以采用迭代器`Iterator`和生成器`Generator`的方法，逐个地处理数据，从而避免内存溢出的问题。迭代器是一个可以逐个访问元素的对象，它实现了`python`的迭代协议，即实现了`__iter__()`和`__next__()`方法。通过调用`__next__()`方法，我们可以逐个访问迭代器中的元素，直到所有元素都被访问完毕，此时再次调用`__next__()`方法会引发`StopIteration`异常。生成器是一种特殊的迭代器，它的实现方式更为简洁，即通过`yield`语句来实现。生成器函数使用`yield`语句返回值，当生成器函数被调用时，它会返回一个生成器对象，通过调用`__next__()`方法来逐个访问生成器中的元素，直到所有元素都被访问完毕，此时再次调用`__next__()`方法会引发`StopIteration`异常。 阅读全文

摘要： 数据类型是编程语言中的一个重要概念，它定义了数据的类型和提供了特定的操作和方法。在 python 中，数据类型的作用是将不同类型的数据进行分类和定义，例如数字、字符串、列表、元组、集合、字典等。这些数据类型不仅定义了数据的类型，还为数据提供了一些特定的操作和方法，例如字符串支持连接和分割，列表支持排序和添加元素，字典支持查找和更新等。因此，选择合适的数据类型是 python 编程的重要组成部分。 阅读全文

摘要： PeFile模块是`Python`中一个强大的便携式第三方`PE`格式分析工具，用于解析和处理`Windows`可执行文件。该模块提供了一系列的API接口，使得用户可以通过`Python`脚本来读取和分析PE文件的结构，包括文件头、节表、导入表、导出表、资源表、重定位表等等。此外，PEfile模块还可以帮助用户进行一些恶意代码分析，比如提取样本中的字符串、获取函数列表、重构导入表、反混淆等等。PEfile模块是Python中处理PE文件的重要工具之一，广泛应用于二进制分析、安全研究和软件逆向工程等领域。 阅读全文

摘要： python 是一种高级、面向对象、通用的编程语言，由`Guido van Rossum`发明，于1991年首次发布。python 的设计哲学强调代码的可读性和简洁性，同时也非常适合于大型项目的开发。python 语言被广泛用于Web开发、科学计算、人工智能、自动化测试、游戏开发等各个领域，并且拥有丰富的第三方库和工具，使得python成为广泛应用的语言之一。同时，由于其开放性和可移植性，python在跨平台应用、开源软件开发和云计算等领域也被广泛使用。 阅读全文

摘要： 2Captcha是一个自动验证码识别服务，主要用于解决各种互联网服务中的验证码问题。在许多网站注册账户或进行敏感操作时，为了验证用户是真实的而不是自动化程序，会出现验证码。用户必须正确输入验证码，才能继续使用网站的功能。该框架的目标是帮助客户自动化解决验证码问题。客户可以通过付费将需要解决的验证码发送给2Captcha，然后由2Captcha将这些验证码分发给专业的打码员进行输入。这些打码员是人工操作，而不是机器，他们能够快速有效地识别验证码，确保客户能够顺利通过验证码验证，继续使用所需的功能。 阅读全文

摘要： 在笔者前几篇文章中，我们使用汇编语言并通过自定位的方法实现了一个简单的`MessageBox`弹窗功能，但由于汇编语言过于繁琐在编写效率上不仅要考验开发者的底层功底，还需要写出更多的指令集，这对于普通人来说是非常困难的，当然除了通过汇编来实现`ShellCode`的编写以外，使用C同样可以实现编写，在多数情况下读者可以直接使用C开发，只有某些环境下对ShellCode条件有极为苛刻的长度限制时才会考虑使用汇编。 阅读全文

摘要： 通常情况下栈溢出可能造成的后果有两种，一类是本地提权另一类则是远程执行任意命令，通常C/C++并没有提供智能化检查用户输入是否合法的功能，同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出，这就给恶意代码的溢出提供了的条件，利用溢出攻击者可以控制程序的执行流，从而控制程序的执行过程并实施恶意行为，本章内容笔者通过自行编写了一个基于网络的FTP服务器，并特意布置了特定的漏洞，通过本章的学习，读者能够掌握漏洞挖掘的具体流程，及利用方式，让读者能够亲自体会漏洞挖掘与利用的神奇魔法。 阅读全文

摘要： 在黑客安全圈子中，基于内存攻击技术的攻击手段在随着时代的变化而不断发展着，内存攻击是指通过利用软件的安全漏洞，构造恶意的输入，从而使正常程序造成拒绝服务或者是远程获得控制权，内存攻击技术中最先登上历史舞台的就是缓冲区溢出漏洞，时至今日能够被广泛利用的并具有较大破坏性的高危漏洞（CVE）几乎都属于缓冲区溢出。首先读者应该明白缓冲区溢出（Buffer Overflow），它分为栈溢出与堆溢出，此类漏洞的原理是，程序由于缺乏对缓冲区的边界进行合理化的检测而引起的一种异常行为，通常是程序存在过滤不严格的输入点，通过这些输入点攻击者可以向程序中写入超过了程序员预先定义好的缓冲边界，从而覆盖了相邻的内存区域，造成程序中的变量覆盖，甚至控制CPU中的EIP寄存器指针，从而造成程序的非预期行为，而像C/C++程序中本身就缺乏内在的内存安全分配与管理，因此缓冲区溢出漏洞大部分都出现在编译型语言中。 阅读全文

摘要： Cheat Engine 一般简称为CE，它是一款功能强大的开源内存修改工具，其主要功能包括、内存扫描、十六进制编辑器、动态调试功能于一体，且该工具自身附带了脚本工具，可以用它很方便的生成自己的脚本窗体，CE工具可以帮助用户修改游戏或者软件中的内存数据，以获得一些其他的功能，CE可以说是目前最优秀的进程内存修改器，但需要注意的是，它的使用可能会涉及到非法或者违反游戏规则的行为，建议读者在使用 `Cheat Engine` 时要注意自己的行为是否符合相关法律和道德规范。 阅读全文

摘要： LyScript 插件中针对内存读写函数的封装功能并不多，只提供了最基本的`内存读取`和`内存写入`系列函数的封装，本章将继续对API接口进行封装，实现一些在软件逆向分析中非常实用的功能，例如ShellCode代码写出与置入，内存交换，内存区域对比，磁盘与内存镜像比较，内存特征码检索等功能，学会使用这些功能对于后续漏洞分析以及病毒分析都可以起到事半功倍的效果，读者应重点关注这些函数的使用方式。 阅读全文

摘要： LyScript 插件提供的反汇编系列函数虽然能够实现基本的反汇编功能，但在实际使用中，可能会遇到一些更为复杂的需求，此时就需要根据自身需要进行二次开发，以实现更加高级的功能。本章将继续深入探索反汇编功能，并将介绍如何实现反汇编代码的检索、获取上下一条代码等功能。这些功能对于分析和调试代码都非常有用，因此是书中重要的内容之一。在本章的学习过程中，读者不仅可以掌握反汇编的基础知识和技巧，还能够了解如何进行插件的开发和调试，这对于提高读者的技能和能力也非常有帮助。 阅读全文

摘要： LyScript 插件中提供了针对堆栈的操作函数，对于堆的开辟与释放通常可使用`create_alloc()`及`delete_alloc()`在之前的文章中我们已经使用了堆创建函数，本章我们将重点学习针对栈的操作函数，栈操作函数有三种，其中`push_stack`用于入栈，`pop_stack`用于出栈，而最有用的还属`peek_stack`函数，该函数可用于检查指定堆栈位置处的内存参数，利用这个特性就可以实现，对堆栈地址的检测，或对堆栈的扫描等。 阅读全文

摘要： 所谓的应用层钩子（Application-level hooks）是一种编程技术，它允许应用程序通过在特定事件发生时执行特定代码来自定义或扩展其行为。这些事件可以是用户交互，系统事件，或者其他应用程序内部的事件。应用层钩子是在应用程序中添加自定义代码的一种灵活的方式。它们可以用于许多不同的用途，如安全审计、性能监视、访问控制和行为修改等。应用层钩子通常在应用程序的运行时被调用，可以执行一些预定义的操作或触发一些自定义代码。 阅读全文

摘要： LyScript 插件中默认提供了多种内存特征扫描函数，每一种扫描函数用法各不相同，在使用扫描函数时应首先搞清楚不同函数之间的差异，本章内容将分别详细介绍每一种内存扫描函数是如何灵活运用，并实现一种内存查壳脚本，可快速定位目标程序加了什么壳以及寻找被加壳程序的入口点。软件查壳的实现原理可以分为静态分析和动态分析两种方式。静态分析是指在不运行被加壳程序的情况下，通过对程序的二进制代码进行解析，识别出程序是否被加壳，以及加壳的种类和方法。动态分析是指通过运行被加壳程序，并观察程序运行时的行为，识别程序是否被加壳，以及加壳的种类和方法。 阅读全文

摘要： 钩子劫持技术是计算机编程中的一种技术，它们可以让开发者拦截系统函数或应用程序函数的调用，并在函数调用前或调用后执行自定义代码，钩子劫持技术通常用于病毒和恶意软件，也可以让开发者扩展或修改系统函数的功能，从而提高软件的性能和增加新功能。钩子劫持技术的实现一般需要在对端内存中通过`create_alloc()`函数准备一块空间，并通过`assemble_write_memory()`函数，将一段汇编代码转为机器码，并循环写出自定义指令集到堆中，函数`write_opcode_from_assemble()`就是我们自己实现的，该函数传入一个汇编指令列表，自动转为机器码并写出到堆内，函数的核心代码如下所示。 阅读全文

摘要： 在Windows平台下，应用程序为了保护自己不被调试器调试会通过各种方法限制进程调试自身，通常此类反调试技术会限制我们对其进行软件逆向与漏洞分析，我们以第一种`IsDebuggerPresent`反调试为例，该函数用于检查当前程序是否在调试器的环境下运行。函数返回一个布尔值，如果当前程序正在被调试，则返回True，否则返回False。函数通过检查特定的内存地址来判断是否有调试器在运行。具体来说，该函数检查了`PEB（进程环境块）`数据结构中的`_PEB_LDR_DATA`字段，该字段标识当前程序是否处于调试状态。如果该字段的值为1，则表示当前程序正在被调试，否则表示当前程序没有被调试。 阅读全文

摘要： 发现漏洞的第一步则是需要寻找到可利用的反汇编指令片段，在某些时候远程缓冲区溢出需要通过类似于`jmp esp`等特定的反汇编指令实现跳转功能，并以此来执行布置好的`ShellCode`恶意代码片段，`LyScript`插件则可以很好的完成对当前进程内存中特定函数的检索工作。在远程缓冲区溢出攻击中，攻击者也可以利用汇编指令`jmp esp`来实现对攻击代码的执行。该指令允许攻击者跳转到堆栈中的任意位置，并从那里执行恶意代码。 阅读全文

摘要： 通过运用`LyScript`插件并配合`pefile`模块，即可实现对特定PE文件的扫描功能，例如载入PE程序到内存，验证PE启用的保护方式，计算PE节区内存特征，文件FOA与内存VA转换等功能的实现，首先简单介绍一下`pefile`模块。pefile模块是一个用于解析Windows可执行文件（PE文件）的Python模块，它可以从PE文件中提取出文件头、节表、导入表、导出表、资源表等信息，也可以修改PE文件的一些属性。可以用于分析针对Windows平台的恶意软件、编写自己的PE文件修改工具等场景。 阅读全文

摘要： 在第一章中我们介绍了`x64dbg`这款强大的调试软件，通过该软件逆向工程师们可以手动完成对特定进程的漏洞挖掘及脱壳等操作，虽然`x64dbg`支持内置`Script`脚本执行模块，但脚本引擎通常来说是不够强大的，LyScript 插件的出现填补了这方面的不足，该插件的开发灵感来源于`Immunity`调试器中的`ImmLib`库，因`Immunity`调试器继承自`Ollydbg`导致该调试器无法支持64位应用的调试，同时该调试器也长期没有开发者进行维护，正是在这种情形之下`LyScript`诞生。 阅读全文

摘要： 任何一个成熟的软件都会具有可扩展性，可扩展性是现代软件的一个重要特征，因为它使软件更易于维护和适应变化的需求，`x64dbg`也不例外其可通过开发插件的方式扩展其自身功能，`x64dbg`提供了多种插件接口，包括脚本插件、DLL插件、Python插件和.NET插件等。此外，`x64dbg`还支持用户自定义命令和快捷键。这使得用户可以自由地扩展和自定义软件的功能，从而更好地适应开发需求。我们以`C/C++`语言为开发模板，`x64dbg`插件表现出来的其实也是一个`DLL`文件，他里面导出了`x64dbg`所需要的几个函数，从而可以在`x64dbg`启动时被加载，除去所必须的导出函数外，其他功能的实现与`DLL`基本一致。 阅读全文

摘要： x64dbg 是一款开源、免费、功能强大的动态反汇编调试器，它能够在`Windows`平台上进行应用程序的反汇编、调试和分析工作。与传统的调试器如`Ollydbg`相比，x64dbg调试器的出现填补了`Ollydbg`等传统调试器的不足，为反汇编调试工作提供了更高效、更可靠的解决方案。正是因为有了这些优点，才能使其成为当今最受欢迎的反汇编调试软件之一。 阅读全文