Unicorn

摘要： 不知道出题方怎么将.so文件转换成了可执行程序(之后再议),可以直接运行,但当ida远程调试时,会被提示dynamic link library无法执行.虽然没有.so后缀,但用die可以检测出文件为DYN类型 可以发现die检测出了他是DYN文件 从文件结构分析,发现02 00表示EXEC, 03 阅读全文

摘要： 参考文章(多数都是搬这个老登的): https://www.cnblogs.com/gaoyucan/p/17087521.html 流密码 常见的有 RC4、Salsa20 以及 ChaCha20.之前一直是识别加密算法,虽然只会识别一个rc4,遇到其他还是傻眼,一直没想到流密码的密文是仅由明文与 阅读全文

摘要： 花指令 anti-Debug ptrace反调试 (1) ptrace系统调从名字上看是用于进程跟踪的,它提供了父进程可以观察和控制其子进程执行的能力,并允许父进程检查和替换子进程的内核镜像(包括寄存器)的值。其基本原理是: 当使用了ptrace跟踪后,所有发送给被跟踪的子进程的信号(除了SIGKI 阅读全文

摘要： 几篇大佬的文章: https://cujo.com/blog/upx-anti-unpacking-techniques-in-iot-malware/ https://www.cnblogs.com/ichunqiu/p/7245329.html https://bbs.kanxue.com/th 阅读全文

摘要： Basic Concepts 对于一个给定的网络G=(V,E),其中V为网络的节点集,E为网络的边集. Trace(迹): 将G划分为q个社区,我们用一个qxq的对称矩阵e来表示该划分,e中的每个元素表示连接社区i与社区j的边在G的全部边中所占的比例显然有∑i,jeij=1。矩阵e的迹Tr(e)表示 阅读全文

摘要： Study 1、 ida shift f12 跳转string ctrl x 交叉引用 shift e 数据导出 a 转化为字符串数组 \ 去除灰色的变量解释 / 添加注释 N 重命名 ctrl z 返回上一步, 撤回原行为 Y 重组数组(更改变量类型) Alt b 搜索bytes string * 阅读全文

摘要： SMC 参考文章:https://www.cnblogs.com/hetianlab/p/17199400.html SMC实现的主要步骤包括： 1.读取PE文件并找到需要加密的代码段。 2.将代码段的内容进行异或加密，并更新到内存中的代码段。 3.重定向代码段的内存地址，使得加密后的代码能够正确执 阅读全文

摘要： 天堂之门 学习文章 https://taardisaa.github.io/2021/09/25/Heaven'sGate/ 前言 Windows判别位的方式,是根据cs段寄存器的。 在32位程序中,cs的值是0x23; 在64位程序中,cs的值是0x33。 所以只要修改cs的值,就能实现切换。而实 阅读全文

摘要： pyinstxtractor win下使用 python3 path/pyinstxtractor.py path/name.exe 注意exe文件是用什么版本的python打包的,如果版本不对应可能会导致PYZ-00.pyz_extracted文件夹为空的情况.此文件夹PYZ-00.pyz_ext 阅读全文

摘要： androidso_ez 参考文章:https://www.cnblogs.com/sK07XdAy/p/18203747 静态分析 1、当有时候代码很长的时候，想自己猜猜加密含义时，可喂给chatgpt一试 2、Rot13，以前也经常见，可就是没有仔细看看，虽然很简单，但可以了解了解偏移量，喂给C 阅读全文