摘要:
[toc] .reg文件使用以及操作 一丶Reg文件 首先这里不讲Winapi等一系列操作注册表的方式,只说一下 reg文件操作的方式 1.reg文件的导入 reg文件是可以双击进行导入的. 也可以使用CMD 命令进行导入 如下: 如果要导入 就用 Reg Import 具体可以查看cmd命令 2. 阅读全文
摘要:
[toc] LoardPe与Import REC X64dbg脚本 脱壳 Upx 将要学习到的内容 x64脱壳脚本的编写 LoarPe 与Import 工具的使用 一丶X64dbg调试器与脚本 1.1 起因 在逛论坛的时候,发现别人发的CrackMe带有UPX压缩,直接进行脱壳. 使用EPS定律即可 阅读全文
摘要:
[toc] Vs 快捷键一览表,常用整理.遇到新的快捷键会增加. | 快捷键 | 作用 | | | | | CTRL + J 或 Ctrl + ➡ | 强制智能提示,用于智能提示没有提示,强制进行提示 | | F12 or CTRL + 减号 or CTRL + SHIFT + 减号 | 查看代码定 阅读全文
摘要:
VS2019 头文件,库使用教程 一丶简介 使用VS系列的时候,下载了一个库,以及很多库文件 此时想要包含头文件就很头疼,以及包含库. 一直使用替换头文件,以及 **#pragma comment(lib,"")**的方式 其实Vs已经给我们提供了方法,只是不会用而已.这里当作记录贴进行记录一下. 阅读全文
摘要:
[toc] 一丶 PowerShell简介 二丶PowerShell简单命令学习 1.PowerShell简单命令 动词与名字结合 Get command verb Get 查看所有命令为“Get的命令” Get command verb set 查看所有命令为“Set的命令” Get comman 阅读全文
摘要:
[toc] 启动调试附加 一丶简介 启动调试附加,一般用于我想调试一个程序,当这个程序启动的时候自动附加调试器。这跟 OllyDbg X64Dbg 等调试器设置为默认调试器无关。 设置的默认调试器只有在程序出现异常的时候才会启动。 启动调试附加是指的是当某一个程序启动的时候才会附加。 二丶操作步骤 阅读全文
摘要:
[toc] 一丶第一种方式 在实际工作中会遇到很多strlen. 这里针对strlen函数做一下代码还原. 并且讲解其原理 高级代码如下: 请不要关注scanf_s 为了编译器能够正确编译加上自己懒得去掉SDL检查.所以加了.这里的scanf_s 只是为了防止编译器直接全部优化掉. 对应汇编代码如下 阅读全文
摘要:
优秀文章: https://blog.csdn.net/Simon798/article/details/101431160 #include <windows.h> //OpenProcess需要提权,因为代码常用抠出来的所有没有提权. BOOL iteratorMemory(DWORD dwPi 阅读全文
摘要:
代码: C++ include include pragma comment(lib,"psapi.lib") void GetPathByProcessId(DWORD dwPid) { //使用PROCESS_ALL_ACCESS 需要提权这里我直接扣出来的.提权代码看另一篇. HANDLE h 阅读全文
摘要:
标题: kernel shellcode之寻找ntoskrnl.exe基址 http://scz.617.cn:8/windows/201704171416.txt 以64 bits为例,这是Eternalblue所用函数: x64内核态GS:0指向nt!_KPCR。对于x64,必须从相应的MSR中 阅读全文
摘要:
[toc] 一丶挂起进程注入简介与前言 挂起进程其实就是在创建进程的时候不让其先执行.然后获取它的EIP 将它的EIP变成我们ShellCode所在的内存.进行执行.不难. 主要分为几步: 1.以 CREATE_SUSPENDED 标志挂起创建一个你想注入的进程 2.获取这个进程的上下文环境 Get 阅读全文
摘要:
简单的RC4代码加密实现 struct rc4_state { int x, y, m[256]; }; void rc4_setup(struct rc4_state *s, unsigned char *key, int length) { int i, j, k, *m, a; s->x = 阅读全文
摘要:
64位内开发第十一讲,内核下的进程操作 一丶进程的遍历 1.1 内核中的进程简介 在内核中 进程(Process) 其实就是一个结构体, 这个结构体称为 EPROCESS 这个结构体很巨大. 一般就记录了这个进程的一些信息. 比如: 进程名 进程的PID(编号) 进程路径 父进程PID 等等. 在 阅读全文
摘要:
驱动中遍历模块 一丶简介 1.1 基于 PsLoadModuleList 方法 简介: 进入内核了.遍历内核中使用的模块该怎么办. 其实在驱动中.我们的DriverEntry入口位置. 提供了两个参数. 一个是DrIverObject另一个则是注册表路径. 其实遍历模块的技巧就在这个DriverOb 阅读全文
该文被密码保护。 阅读全文
摘要:
64位关闭写保护 阅读全文
摘要:
一丶简介 现在的驱动,必须都有签名才能加载.那么如何加载无签名的驱动模块那. 下面可以说下方法.但是挺尴尬的是,代码必须在驱动中编写.所以就形成了 你必须一个驱动带有一个签名加载进去.执行你的代码.pass掉DSE之后以后加载驱动就可以完全不用签名了. 原理: 原理就是Path一下CI内核模块.将一 阅读全文
摘要:
利用环境变量自删除 void DeleteMyself() { TCHAR szFile[MAX_PATH], szCmd[MAX_PATH]; if ((GetModuleFileName(0, szFile, MAX_PATH) != 0) && (GetShortPathName(szFile 阅读全文
该文被密码保护。 阅读全文
摘要:
原理主要就是PEB 中模块断链. 这里整理下代码.原理可以看下另一篇我写的帖子. https://www.cnblogs.com/iBinary/p/9601860.html 检测: 阅读全文