随笔分类 - CTF Technology
摘要:参考文章(多数都是搬这个老登的): https://www.cnblogs.com/gaoyucan/p/17087521.html 流密码 常见的有 RC4、Salsa20 以及 ChaCha20.之前一直是识别加密算法,虽然只会识别一个rc4,遇到其他还是傻眼,一直没想到流密码的密文是仅由明文与
阅读全文
摘要:花指令 anti-Debug windows NtGlobalFlag 32位;通过获取fs寄存器找到peb表(gs:[0x60])的位置;readgsdword(0x68)读取NtGlobal,默认值为0,如果被调试,则为0x70. 32位;通过获取fs寄存器找到peb表(fs:[0x30])的位
阅读全文
摘要:SMC 参考文章:https://www.cnblogs.com/hetianlab/p/17199400.html SMC实现的主要步骤包括: 1.读取PE文件并找到需要加密的代码段。 2.将代码段的内容进行异或加密,并更新到内存中的代码段。 3.重定向代码段的内存地址,使得加密后的代码能够正确执
阅读全文
摘要:天堂之门 学习文章 https://taardisaa.github.io/2021/09/25/Heaven'sGate/ 前言 Windows判别位的方式,是根据cs段寄存器的。 在32位程序中,cs的值是0x23; 在64位程序中,cs的值是0x33。 所以只要修改cs的值,就能实现切换。而实
阅读全文
摘要:参考文章:https://bbs.kanxue.com/thread-268159.htm 很多地方都是复制粘贴的,学习学习大佬的文章。 寻找入口点 1、加载程序F9运行,会发现停在push处,push操作将所有寄存器的值压栈,这一步之后会加载UPX的解压代码用于将原始程序解压。 2、upx工作原理
阅读全文
