摘要: mainCRTStartup函数解析 操作系统装载应用程序后,做完初始化工作就转到程序的入口点执行。程序的默认入口点由连接程序设置, 不同的连接器选择的入口函数也不尽相同。在VC++下,连接器对控制台程序设置的入口函数是 mainCRTStartup,mainCRTStartup 再调用main 函 阅读全文
posted @ 2024-03-03 18:59 修竹Kirakira 阅读(644) 评论(0) 推荐(1) 编辑
摘要: 1. 专业技能 技能关键字 C/C++、数据结构、x86汇编、Windows内核/用户层运行机制和编程技术、Hook、注入、MFC、MySQL、Linux 个人技能 熟悉C/C++编程语言,熟悉常用数据结构(链表,栈,队列,二叉树,字符串,图等,LeetCode200道),了解C/C++的底层实现原 阅读全文
posted @ 2024-03-03 17:31 修竹Kirakira 阅读(47) 评论(0) 推荐(0) 编辑
摘要: InjectorTool(x86 x64 Ring3 Windows7 Windows10 MFC) 功能: 注入目标进程,加载DLL文件。一个包含常用注入方法的集合工具。 1)枚举进程,显示进程信息,枚举进程模块,显示模块信息 2)用户层的进程隐藏 3)常用注入方法:远线程注入、APC注入、全局钩 阅读全文
posted @ 2024-03-03 16:44 修竹Kirakira 阅读(48) 评论(0) 推荐(0) 编辑
摘要: 用户层的进程隐藏 ​ 利用 MiniHook 框架对 ZwQuerySystemInformation 进行 InlineHook,实现进程隐藏 github 地址:SomaFon/ProcessHider 总体思路 1.利用 GetModuleHandle 获得 ntdll.dll 地址 2.调用 阅读全文
posted @ 2024-03-03 16:23 修竹Kirakira 阅读(459) 评论(0) 推荐(0) 编辑
摘要: EAF机制分析报告 简单分析了一下EAF机制,主要是参考了一下github上面的项目然后自己重写了一个EMET模拟程序,这是EAF的分析部分。第一次发帖,有写的不对的地方请大家多多包涵。 代码的话看一下伪代码和实现流程就好了。因为具体实现的时候是和其他机制一起写的,所以看起来有点奇怪。 EMET概述 阅读全文
posted @ 2024-03-03 00:08 修竹Kirakira 阅读(45) 评论(0) 推荐(0) 编辑
摘要: ROP攻击 1.ROP概述 rop是Return Oriented Programming(面向返回的编程)的缩写; 根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下); 然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变 阅读全文
posted @ 2024-03-03 00:04 修竹Kirakira 阅读(49) 评论(0) 推荐(0) 编辑
摘要: SEHOP机制分析报告 SEHOP概述 ​ Windows Vista SP1提出,结构化异常处理程序覆盖保护(Structured Exception Handler Overwrite Protection),对覆盖 Windows 结构化异常处理程序的漏洞利用技术进行防御 ​ 程序中的各 S. 阅读全文
posted @ 2024-03-02 23:56 修竹Kirakira 阅读(39) 评论(0) 推荐(0) 编辑
摘要: ASLR机制分析报告 ASLR机制概述 ​ Windows Vista之后,ASLR(Address Space Layout Randomization)技术就是通过加载程序的时候不再使用固定的基址加载,从而干扰 shellcode 定位的一种保护机制 ASLR机制的开启 ​ 项目->属性->链接 阅读全文
posted @ 2024-03-02 23:23 修竹Kirakira 阅读(178) 评论(0) 推荐(0) 编辑
摘要: DEP机制分析报告 DEP概述 ​ 数据执行保护(Data Execution Prevention) ,将数据所在内存页标识为不可执行,当程序溢出成功转入 shellcode 时, 程序会尝试在数据页面上执行指令,此时 CPU 就会抛出异常,而不是去执行恶意指令。 DEP的工作状态 Optin:默 阅读全文
posted @ 2024-03-02 22:15 修竹Kirakira 阅读(128) 评论(0) 推荐(0) 编辑
摘要: SafeSEH机制分析报告 SafeSEH概述 ​ Windows XP SP2之后提出,在程序调用异常处理函数前,对要调用的异常处理函数进 行一系列的有效性校验,当发现异常处理函数不可靠时将终止异常处理函数的调用 ​ 当开启SafeSEH链接选项时,将异常处理信息存放在IMAGE_LOAD_CON 阅读全文
posted @ 2024-03-02 17:43 修竹Kirakira 阅读(64) 评论(0) 推荐(0) 编辑