摘要:
@date: 2016/11/3 @author: dlive 0x01 漏洞原文 翻译水平不高求轻喷 感觉作者在写文章的时候有些地方描述的也不是特别清楚,不过结合poc可以清晰理解漏洞利用过程 0x04漏洞利用过程总结给出了清晰的漏洞利用过程,结合poc食用效果更佳 http://legalhac 阅读全文
摘要:
@author:dlive ASLR address space layout randomization 微软从windows vista/windows server 2008(kernel version 6.0)开始采用ASLR技术,主要目的是为了防止缓冲区溢出 ASLR技术会使PE文件每次 阅读全文
摘要:
@author: dlive @date: 2017/02/14 0x01 调试IE进程 常见网络连接库:ws2_32.dll(套接字),wininet.dll,winhttp.dll 使用Process Explorer查看IE加载的DLL IE不仅加载了ws2_32.dll还加载了wininet 阅读全文
摘要:
@author: dlive IAT Hook时如果要钩取的API不在IAT中(LoadLibrary后调用),则无法使用该技术。而Inline Hook不存在这个限制。 0x01 Inline Hook原理 原理比较简单,将API代码的前5个字节修改为JMP xxxxxx 指令来钩取API。调用执 阅读全文
摘要:
@author: dlive 0X01 IAT Hook的优缺点 优点:工作原理与实现都比较简单 缺点:如果想钩取的API不在目标进程的IAT中,那么就无法使用该技术进行钩取操作。即如果要钩取的API是由程序动态加载DLL文件而的得以使用的,那么我们将无法使用这项技术钩取它。 0x02 IAT Ho 阅读全文
摘要:
@author: dlive 0x01 简介 本章将讲解前面介绍过的调试钩取技术,钩取记事本的kernel32!WriteFile() API 调试钩取技术能进行与用户更具有交互性(interactive)的钩取操作,这种技术会向用户提供简单的接口,使用户能够控制目标进程的运行,并且可以自由使用进程 阅读全文
摘要:
@author: dlive 0x00 前言 使用OD中的汇编功能编写汇编程序,直接使用汇编代码编写函数,实现弹出messagebox的功能,对汇编功底有一定要求,详细分析该章节的汇编代码会学到很多东西。 0x01 new tips for OD 在反汇编窗口右键,选择此处为新EIP,可以修改EIP 阅读全文
摘要:
@author: dlive 0x01 代码注入 VS DLL注入 代码注入相比于DLL注入的有点: 1. 占用内存少,如果要注入的代码与数据较少,那么就不需要将它们做成DLL的形式注入,此时代码注入的方式占用的内存会更少 2. 难以查找痕迹,DLL注入的方式会在目标内存中留下相关痕迹,很容易让人判 阅读全文
摘要:
@author: dlive EjectDll.cpp 主要看一下EjectDll这个函数 MOUDLEENTRY32结构体 FindProcessID函数 以后用到类似功能的时候可以直接粘贴过去用XD 卸载DLL需要注意的一点:DLL引用计数 每个Windows内核对象都有一个引用计数(Refer 阅读全文
摘要:
@author: dlive 0x01 DLL注入 DLL注入时指向运行中的其他进程强制插入特定的DLL文件。从技术细节来说,DLL注入命令其他进程自行调用LoadLibrary() API,加载用户指定的DLL文件。 DLL被加载到进程后会自动运行DllMain()函数,用户可以把想执行的代码放到 阅读全文