上一页 1 2 3 4 5 6 下一页

2020年10月22日

Windows ETW 学习与使用一

摘要: ETW的学习和使用也有段时间了,在网上资料都比较零散,这里就对ETW相关知识做一个整理,方便积累和使用. 一、Windows ETW基础知识 1.下面是微软的文档对于ETW可以分为三部分Controller、Provider、Consumer,Provider是事件的提供者,Controller创建 阅读全文

posted @ 2020-10-22 22:59 ciyze0101 阅读(1974) 评论(0) 推荐(0) 编辑

2019年5月22日

安利一个IDA插件diaphora,可以将函数名、注释、结构体等的先前版本移植到新版本

摘要: 插件代码地址 https://github.com/joxeankoret/diaphora 使用方法: 启动IDA并首先打开包含完整符号的二进制文件1。让我们的IDA完成初始的自动分析,之后,通过运行diaphora.py来运行Diaphora。在刚刚打开的对话框中,按OK: 等到Diaphora 阅读全文

posted @ 2019-05-22 15:25 ciyze0101 阅读(3748) 评论(0) 推荐(0) 编辑

2019年1月11日

CPU漏洞补丁修复导致KeServiceDescriptorTable获取变更

摘要: 一、前言 2018年元旦,出现的cpu的漏洞,可以在windows环三直接读取内核数据,windows对该漏洞提供补丁,补丁增加了一个页表,对应的内核处理也增加了,接下来我们看下补丁修复的表象以及对KeServiceDescriptorTable获取的变更。 可参考https://bbs.kafan 阅读全文

posted @ 2019-01-11 18:17 ciyze0101 阅读(1540) 评论(0) 推荐(0) 编辑

2018年12月14日

暗云Ⅳ驱动加载以及行为分析

摘要: 0x01 前言 暗云Ⅳ的隐藏技术真的厉害,通过调试暗云Ⅳ,可以提高调试技巧,也能熟悉MBR相关知识。 内核分析部分参考 火绒的 “隐匿者”病毒团伙技术升级传播病毒 暴力入侵电脑威胁全网用户 0x02 环三感染MBR 1. 获取系统所在磁盘的DeviceNumber 通过打开逻辑盘符\\\\.\\%c 阅读全文

posted @ 2018-12-14 20:31 ciyze0101 阅读(231) 评论(0) 推荐(0) 编辑

2018年5月7日

Win10上使用Linux Subsystem配置cuckoo sandbox

摘要: Cuckoo是一款监控函数调用,监控文件读写,监控注册表读写等的自动化恶意分析软件。 包括apk、exe、pdf等多种文件的分析,将任务提交给数据库,host从数据库中读取任务,将样本放入虚拟机中运行,返回报告文件.. 目前我只完成对于exe部分的源码阅读、调试和使用,推荐一下。 原文连接:http 阅读全文

posted @ 2018-05-07 21:09 ciyze0101 阅读(1449) 评论(0) 推荐(0) 编辑

2018年1月14日

64位使用windbg获取Shadow SSDT

摘要: 首先选择一个带界面的程序比如explorer.exe进行附加 kd> !process 0 0 explorer.exe PROCESS ffff86893dd075c0 SessionId: 1 Cid: 0d48 Peb: 00d50000 ParentCid: 0d30 DirBase: 42 阅读全文

posted @ 2018-01-14 17:37 ciyze0101 阅读(1640) 评论(0) 推荐(0) 编辑

2017年12月8日

[转载]VS2010怎样打开VS2013或者VS2015建立的工程

摘要: VS2010怎样打开VS2013或者VS2015建立的工程 作用:解决vs低版本无法直接打开高版本的工程文件问题。 一、转载出处 http://blog.csdn.net/qq2399431200/article/details/52397190 二、具体操作 方法一:VS2015+VS2013双平 阅读全文

posted @ 2017-12-08 16:20 ciyze0101 阅读(8641) 评论(0) 推荐(0) 编辑

2017年9月18日

Critical Regions和Guarded Regions区别

摘要: KeEnterCriticalRegion和KeLeaveCriticalRegion配合使用,能禁止用户模式APC和普通内核模式APC的调用,但是不能禁止特殊内核模式的调用(NormalRoutine为空的内核模式APC) KeEnterGuardedRegion和KeLeaveGuardedRe 阅读全文

posted @ 2017-09-18 09:45 ciyze0101 阅读(864) 评论(0) 推荐(0) 编辑

2016年9月27日

Windows7 x64 了解堆

摘要: 一、前言 堆对于开发者一般来说是熟悉又陌生的,熟悉是因为我们常常使用new/delete或者malloc/free使用堆,陌生是因为我们基本没有去了解堆的结构。堆在什么地方?怎么申请?怎么释放?系统又是怎么管理堆的呢? 带着疑问,这两天看了<软件漏洞分析技术>与<漏洞战争>中关于堆的说明,终于对于堆 阅读全文

posted @ 2016-09-27 22:49 ciyze0101 阅读(2373) 评论(0) 推荐(0) 编辑

2016年9月18日

安卓加固之so文件加固

摘要: 一、前言 最近在学习安卓加固方面的知识,看到了jiangwei212的博客,其中有对so文件加固的两篇文章通过节加密函数和通过hash段找到函数地址直接加密函数,感觉写的特别好,然后自己动手实践探索so加密,这里记录一下学习遇到的困难和所得吧,收获还是非常大的。 二、通过加密节的方式加密函数 1、加 阅读全文

posted @ 2016-09-18 00:52 ciyze0101 阅读(10270) 评论(2) 推荐(0) 编辑

上一页 1 2 3 4 5 6 下一页

导航