关于shell的输入输出几个知识点(备忘)
摘要:关于shell的输入输出几个知识点(备忘)1.一般定义标准输入(stdin) 0 < 或 << 标准输出(stdout) 1 >, >>, 1> 或 1>> 标准错误输出(stderr) 2 2> 或 2>> 2.两个特殊定义2.1&> 是特殊约定,等同于>&,正常写法为 2>&1 将标准错误输出重
阅读全文
posted @
2022-06-06 21:07
子虚乌有
阅读(75)
推荐(0) 编辑
逆向工程核心原理之第23章之注册表注入
摘要:注意3点 1.最新的系统默认是不能注入的,因为bios启动的时候有个保护标志位,Secure Boot 需要disable 2.然后设置testsigning的标志位开启bcdedit.exe /set testsigning on bcdedit.exe /set testsigning offb
阅读全文
posted @
2022-03-28 19:49
子虚乌有
阅读(146)
推荐(0) 编辑
逆向工程核心原理之第23章之dll注入注意点
摘要:注意两点 1.LoadLibraryA 和 LoadLibraryW 不同字符表示之前一直没有成功,没有使用L,但是使用了LoadLibraryW,导致加载dll失败,如果不使用L,请用LoadLibraryA 2.注册的时候注意DLL完整路径,除非 被注入程序和dll在同一个文件夹InjectDl
阅读全文
posted @
2022-03-28 19:49
子虚乌有
阅读(133)
推荐(0) 编辑
逆向工程核心原理之第23章之dll下载网页
摘要:用devc++编译dll下载网页代码 方法1 用Windows本身的dll:在 工具->编译选项->编译器->在连接器命令行加入以下命令去掉 -static-libgcc添加如下 -lole32 -loleaut32 -lurlmon -lwininet 在 工具->编译选项->目录->库 添加 u
阅读全文
posted @
2022-03-22 22:12
子虚乌有
阅读(156)
推荐(0) 编辑
逆向工程核心原理之第21章之用devc++实现键盘钩子
摘要:如何用devc++实现21章的窃取notepad.exe输入的键盘钩子 1 文件->新建->项目2 选择DLL,点击C项目,修改名称为你DDL名字的字符串(KeyHook)3 得到dll.h 和 dllmain.h 两个文件注意观察其中已经有一个helloworld的例子.h文件中的定义DLLIMP
阅读全文
posted @
2022-03-22 22:09
子虚乌有
阅读(92)
推荐(0) 编辑
逆向工程核心原理之第20章之添加新节区
摘要:修改NT头结构中的 numberofsections字段为 从04 00 修改为05 00 增加一个新节区 virtual size 100 RVA 5000 size of raw data 100 offset to raw data 1400 characteristics c0 00 00
阅读全文
posted @
2022-03-14 18:52
子虚乌有
阅读(22)
推荐(0) 编辑
逆向工程核心原理之第20章之扩展最后节区设置
摘要:节区的基本分析同上两篇文章。 第一步,扩展文件800h字节大小 那么文件从原来的5,120 字节 扩展成为 7,168 字节 7168-5120 = 2048 = 1000 0000 0000 扩展节区的大小,同时也针对文件的第四个节区(最后一个节区的size of raw data 大小设置为10
阅读全文
posted @
2022-03-11 17:19
子虚乌有
阅读(61)
推荐(0) 编辑
逆向工程核心原理之第20章之利用空白区域
摘要:首先打开文件unpackme#1.aC.exe,分析其中的节区信息,如下: 对节区头中包含节区的内存展示: 文件RAW地址 内存RVA地址 400 磁盘节区起始地址 1000 内存节区起始地址 ..... ..... 800 280 text ..... ..... 2000 400 ..... A
阅读全文
posted @
2022-03-10 17:11
子虚乌有
阅读(84)
推荐(0) 编辑
逆向工程核心原理之第20章之正面分析
摘要:首先打开文件unpackme#1.aC.exe,分析其中的节区信息,如下: 对节区头中包含节区的内存展示: 文件RAW地址 内存RVA地址 400 磁盘节区起始地址 1000 内存节区起始地址 ..... ..... ..... 800 280 text ..... ..... ..... 2000
阅读全文
posted @
2022-01-25 17:24
子虚乌有
阅读(60)
推荐(0) 编辑
关于上传文件的问题
摘要:关于上传文件的问题 假设已经拿到了反弹,想要在这个基础上上传一个文件到售货机,作为黑科技方,如果文件比较小,可以用echo 'BASE64' | base64 -d > xxx但是如果文件稍微大点,需要反复多次echo 追加文件,但是如果文件实在有点大,就想到有没有一个自动
阅读全文
posted @
2022-01-24 10:01
子虚乌有
阅读(45)
推荐(0) 编辑
逆向工程核心原理之第17章新增空节区
摘要:用作者提供的reloc.exe文件,用HxD打开修改。 1修改NT头结构中的 numberofsections字段为 从05 00 修改为06 00 2修改NT可选头的字段sizeofimage 为00 10 01 00 修改为 00 20 01 00 3在最后的节区reloc后面增加新节区ccyl
阅读全文
posted @
2022-01-19 15:40
子虚乌有
阅读(26)
推荐(0) 编辑
逆向工程核心原理之第13章关于tinyPE
摘要:制作只有97个字节的tiny PE(http://www.phreedom.org/research/tinype/ ),充分利用了每一点空闲空间,将多个结构重叠在一起,并且极致的利用最后面默认的 0值!
阅读全文
posted @
2022-01-19 15:33
子虚乌有
阅读(74)
推荐(0) 编辑
逆向工程核心原理之第13章PE文件格式导出表的初步理解
摘要:作者分析的是32位的kernel32.dll,我们通过模仿分析64位的kernel32.dll来认识PE文件格式,跟随作者的脚步,下面我们开始分析: PE的头由 1DOS头 2DOS存根 3NT头 4各种节区头 组成。 ****************************************
阅读全文
posted @
2022-01-14 17:05
子虚乌有
阅读(187)
推荐(0) 编辑
逆向工程核心原理之第13章PE文件格式导入表的初步理解
摘要:作者分析的是32位的notepad.exe,我们通过模仿分析64位的notepad.exe来认识PE文件格式,跟随作者的脚步,下面我们开始分析: PE的头由 1DOS头 2DOS存根 3NT头 4各种节区头 组成。 ******************************************
阅读全文
posted @
2022-01-14 16:52
子虚乌有
阅读(97)
推荐(0) 编辑
关于IMAGE_OPTIONAL_HEADER32和64结构体的区别
摘要:关于 结构体IMAGE_OPTIONAL_HEADER64 和 结构体IMAGE_OPTIONAL_HEADER32 的对比 1.64位的结构体不存在字段 BaseOfData ,少了4个字节 2. 64位的结构体 下面五个字段的类型为 ULONGLONG 8个字节,比32版本的同字段名多了4个字节
阅读全文
posted @
2022-01-12 17:10
子虚乌有
阅读(467)
推荐(0) 编辑
逆向工程核心原理之第八章关于加密部分的个人理解
摘要:下面是加密的循环代码的个人理解 CPU Disasm Address Hex dump Command Comments 00403197 |> /85C0 /TEST EAX,EAX 00403199 |. |0F84 06010000 |JZ 004032A5 测试EAX的值,如果为0就退出这个
阅读全文
posted @
2022-01-07 18:02
子虚乌有
阅读(101)
推荐(0) 编辑
学习使用32位的od遇到的第一个问题
摘要:使用Dev-C++进行编译简单的Hello World,因为编译出来的是64位的程序所以用od打开之后会提示原版提示"is probably not a 32-bit Portable Executable..."汉化版本提示“可能不是一个32位PE。。。” 我们需要在 工具->编译选项->代码生成
阅读全文
posted @
2021-12-20 09:19
子虚乌有
阅读(770)
推荐(0) 编辑
今天做出了第一个练习的逆向题
摘要:请求出用户名:whoisdaddy对应的注册码! 答案: BS-411F8221-4288 通过ida debug 单步得到的额结果
阅读全文
posted @
2020-09-11 17:47
子虚乌有
阅读(202)
推荐(0) 编辑
