纸飞机低空飞行

摘要： Windows Protected Process Light (PPL) 是一项内核强制执行的安全功能，旨在防止未经授权访问和操纵敏感系统进程，例如 LSASS、反恶意软件服务和其他关键组件。那么很显然干掉PPL这件事得在Driver层干 阅读全文

摘要： 声明 本文涉及到的部分未文档化的Windows api及其定义的数据结构不予列出，代码仅供讨论与参考，切勿用作非法用途 伪造令牌提权Windows ring3 最高权限 起因是我想在搞一些操作windows进程的事情时，老是需要右键以管理员身份运行，感觉很麻烦。就研究了一下怎么提权，顺手瞄了一眼Wi 阅读全文

摘要： 声明 本文涉及到的代码仅供讨论与参考，切勿用作非法用途 RPC 代理远程注入dll获得shell RPC 接口是什么？ RPC（Remote Procedure Call，远程过程调用）接口，本质是： 一组被暴露出来、允许“远程调用”的函数定义 + 通信协议 + 序列化规则 是 Windows 操作 阅读全文

摘要： 浅谈Python的高并发实现的基本原理（GIL、Cython、Pypy） 阅读全文

摘要： Frida Hook Android手册 阅读全文

摘要： 在这篇文章里，我们会讨论Cython是如何处理运算符的（数学运算符、位运算符、in/not in 运算符、 ==运算符与逻辑运算符）。总的来叔其中大部分是调用虚拟机api来实现的。 阅读全文

摘要： 在这篇文章里，我们会讨论Cython是如何存储变量（整数、小数、字符串、布尔值）以及数据结构（列表、元组、集合、字典）。Cython 对变量存储的方式与 Python 相似，但在 Cython 中，可以使用 C 类型的变量来显著提高性能。此外，由于Cython仍然依托于Python的虚拟机运行，因此Cython编译后的文件在底层仍然离不开对虚拟机接口的调用。在逆向时，我们可以通过调用的接口函数来判断变量的类型。 阅读全文

摘要： 花指令是反调试的一种基本的方法。其存在是干扰选手静态分析，但不会影响程序的运行。实质就是一串垃圾指令，它与程序本身的功能无关，并不影响程序本身的逻辑。在软件保护中，花指令被作为一种手段来增加静态分析的难度。IDA并不能正常识别花指令，导致可看可分析代码被破坏，因此需要我们自己去分析一下。 阅读全文

摘要： Cython作为Python中通用的一个模块，其设计的本意是为了提高Python代码的运行效率。因此，在Cython转换py源代码时，会对源码进行一系列的调整，从而干扰整个文件的逆向。当然，也正是因为他是通用工具，其整体框架和对类似Python在字节码处理上也有一定的规律。本系列将一步步拆解Cython生成的二进制文件/编译中间文件c语言文件，从而手撕Cython逆向。 阅读全文

摘要： 常见的python花指令形式以及对抗方法。 阅读全文