05 2023 档案

摘要:172.12.34.0/25 子网掩码:用于表示IP地址中的多少位用来做主机号。因为"其中值为1的比特留给网络号和子网号,为0的比特留给主机号"(TCP/IP V1)。 172.12.34.0/25含义: 172.12.34.0——表示一个子网号 25——表示采用子网掩码的前25位为有效位,即用 3 阅读全文
posted @ 2023-05-18 16:34 bonelee 阅读(600) 评论(0) 推荐(0) 编辑
摘要:from:https://zhuanlan.zhihu.com/p/629087587 前言 ChatGPT已近火了快大半年了,从去年刚出来的时候小编就关注了一下,也具体的使用过,然后就惊为天人,再然后就没有然后了,因为小编那段时间沉迷于AIGC了。ChatGPT今年开年后更是火的一塌糊涂,无论是行 阅读全文
posted @ 2023-05-16 20:11 bonelee 阅读(672) 评论(0) 推荐(0) 编辑
摘要:背景 https://zhuanlan.zhihu.com/p/629087587 2021年,提示学习(prompt learning)浪潮兴起,而早在2020年,OpenAI 就在论文 Language Models are Few-Shot Learners 中提出了如何使用 prompt l 阅读全文
posted @ 2023-05-16 20:09 bonelee 阅读(3714) 评论(1) 推荐(2) 编辑
摘要:节操作 以下操作中用的PE文件建议自行寻找一个再去实验。 扩大节 在上一章节中我们可以在任意空白区添加自己的代码,但如果添加的代码比较多,空白区不够怎么办?这时候就需要扩大节,节有很多个,我们应该扩大哪一个节呢?想象一下如果你现在扩大第一个节,那么其他节的偏移量之类的属性都需要修改,这样很麻烦,所以 阅读全文
posted @ 2023-05-14 18:47 bonelee 阅读(1133) 评论(0) 推荐(0) 编辑
摘要:镇楼图,PE文件的内存映射图要熟悉,计算地址要以内存中的为准: PE空白区添加代码 现在我们有一个任务,需要在空白区添加一段代码(你也可以称之为Shellcode),并且在程序运行之前执行这段代码;首先我们要知道PE空白区是什么,PE空白区表示PE文件按照对齐方式之后多出来的部分,可以是节与节之间的 阅读全文
posted @ 2023-05-14 18:34 bonelee 阅读(430) 评论(0) 推荐(0) 编辑
摘要:【技术分享】ROP技术入门教程 原文地址:https://ketansingh.net/Introduction-to-Return-Oriented-Programming-ROP/ 译文仅供参考,具体内容表达以及含义原文为准。 翻译:beswing 预估稿费:200RMB 投稿方式:发送邮件至l 阅读全文
posted @ 2023-05-13 18:46 bonelee 阅读(306) 评论(0) 推荐(0) 编辑
摘要:pwn从入门到放弃第六章——简单ROP Posted on 2018-07-29 | Edited on 2018-09-16 这篇鸽了挺久的,补一下吧 简单介绍ROP 首先先来说下什么是ROP ROP是Return Oriented Programming 的缩写 翻译过来就是面向返回的编程 你可 阅读全文
posted @ 2023-05-13 18:31 bonelee 阅读(95) 评论(0) 推荐(0) 编辑
摘要:PE文件结构: PE加载到内存后的映射: 我们本章节主要看上述细节。本文最核心的图就是PE在做image内存展开的样子: PE文件整体结构解析 之前我们已经按照PE文件的整体结构对实际的PE文件进行了大致上的了解了,现在我们需要来看看每个结构的意义和作用。 DOS头 在之前,我们已经了解过PE文件的 阅读全文
posted @ 2023-05-11 15:16 bonelee 阅读(3375) 评论(0) 推荐(0) 编辑
摘要:原文参考:https://gh0st.cn/Binary-Learning/PE%E5%9F%BA%E7%A1%80.html PE基础 PE文件结构 从本章开始就要学习PE相关的内容。 可执行文件 在了解PE之前,我们需要知道什么是可执行文件,从字面理解可执行文件就是可以由操作系统进行加载执行的文 阅读全文
posted @ 2023-05-10 15:06 bonelee 阅读(600) 评论(0) 推荐(0) 编辑
摘要:示例了一个进程,如下是x64dbg看到的: 在vmmap里看到的,可以知道是完全一样的: 阅读全文
posted @ 2023-05-06 12:47 bonelee 阅读(62) 评论(0) 推荐(0) 编辑
摘要:volatility 2.4手册里说的: vol3里就只有: windows.netscan.NetScan Scans for network objects present in a particular windows memory image. 我自己实验下: PS D:\Applicati 阅读全文
posted @ 2023-05-04 01:21 bonelee 阅读(83) 评论(0) 推荐(0) 编辑
摘要:隐藏服务本质上和隐藏进程没有区别! svcscan原理: 因此,要找到隐藏的服务就需要使用svcscan,同时结合sc query看到的可见服务进行对比,以发现隐藏服务! PS D:\Application\volatility3-stable\moddmp_out> volatility26.ex 阅读全文
posted @ 2023-05-04 01:08 bonelee 阅读(136) 评论(0) 推荐(0) 编辑
摘要:可以看到识别inline hook的关键。 好了,我自己机器上实验下:先看下手册里介绍用法 https://downloads.volatilityfoundation.org/releases/2.4/CheatSheet_v2.4.pdf 实际使用发现确实加上-R 和 -Q会快很多!输出的结果如 阅读全文
posted @ 2023-05-04 00:41 bonelee 阅读(560) 评论(0) 推荐(0) 编辑
摘要:好了,书中,说了操作的步骤,我们再vol2里实验下。 查看进程: PS D:\Application\volatility3-stable> python .\vol.py -f "D:\book\malwarecookbook-master\malwarecookbook-master\16\7\ 阅读全文
posted @ 2023-05-03 21:36 bonelee 阅读(74) 评论(0) 推荐(0) 编辑
摘要:如果是vol3的话,我没有找到合适的命令行可以等价输出(感觉是vol3这块还没有足够成熟),因此:本文使用的是vol2,下载地址:http://downloads.volatilityfoundation.org/releases/2.6/volatility_2.6_win64_standalon 阅读全文
posted @ 2023-05-03 20:41 bonelee 阅读(378) 评论(1) 推荐(0) 编辑
摘要:volatility 3 内存取证入门——如何从内存中寻找敏感数据 上面说的思路,我自己在本机验证下,首先,我在虚拟机里使用IE登录我的qq邮箱,如下: 我自己登录IE的进程是2052,虚拟机dump vmem文件以后,vol3下: python .\vol.py -f "D:\Virtual Ma 阅读全文
posted @ 2023-05-03 18:19 bonelee 阅读(1189) 评论(2) 推荐(0) 编辑
摘要:好了,为了简单表示上述提到的PEB和DLL加载的关系,给一一张图如下: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。 PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB 阅读全文
posted @ 2023-05-03 17:15 bonelee 阅读(209) 评论(0) 推荐(0) 编辑
摘要:注意:我自己使用vol3实验了下,pslist和pstree都看不到进程的完整磁盘路径,但是使用dlllist可以。如下: PS D:\Application\volatility3-stable> python .\vol.py -f D:\book\malwarecookbook-master\ 阅读全文
posted @ 2023-05-03 12:10 bonelee 阅读(246) 评论(0) 推荐(0) 编辑
摘要:pslist 和 psscan 的区别 列表: “ pslist ” 模块使用与将在实时计算机上执行的任务列表命令相同的算法。 而且,Windows 任务管理器也使用相同的方法。 上面提到的命令“pslist”遍历 Windows 内核维护的活动进程结构列表。 windows内核使用EPROCESS 阅读全文
posted @ 2023-05-03 10:45 bonelee 阅读(120) 评论(2) 推荐(0) 编辑
摘要:下载恶意软件分析诀窍和工具DVD和vol3 下载地址:https://codeload.github.com/ganboing/malwarecookbook/zip/refs/heads/master 然后,下载vol3,并安装: https://codeload.github.com/volat 阅读全文
posted @ 2023-05-02 23:00 bonelee 阅读(2656) 评论(0) 推荐(0) 编辑
摘要:我是直接使用proc exp dump的,因为默认的任务管理器不是所有的process都能dump。 任务管理器dump 任务管理器可以说是最易获取的系统工具,同时它具有生成转储文件的功能。但要注意的是在64位操作系统上面,默认启动的是64位的任务管理器。使用任务管理器生成转储文件需要遵循一个原则: 阅读全文
posted @ 2023-05-02 17:22 bonelee 阅读(350) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示