摘要:
标题:【原创】用Oreans UnVirtualizer还原VM代码实验 作者:sungy 时间:2014-09-18 对VM一直很头痛,在逆向实践一般尽量想办法避开它,当黑盒来处理。有时候不面对她又不行,正好在论坛上看了Oreans UnVirtualizer插件,拿来实践学习下。新手可以了解下恢 阅读全文
摘要:
百度经验:jingyan.baidu.com windows的测试模式就如同字面意思一样,是一个测试用的模式。这个模式的标志主要在有非官方驱动或系统关键文件运行时显示。例如安装了大内存补丁(32位系统支持3.8G以上的内存)、TCP/IP连接数补丁、旧版虚拟网卡、旧版虚拟光驱等软件后就会显示。同样的 阅读全文
摘要:
目录(?)[-] TLS技术简介 1 TLS回调函数 2 TLS的数据结构 具体实现及原理 1 VS2015 X64 release下的demo 2 回调函数的具体实现 21 使用IsDebuggerPresent检测调试器 22 使调DebugPort检测调试器 实际测试 1 测试直接执行 2 测 阅读全文
摘要:
1.WIN64LUD的全称是WIN64 Load Unsigned Driver,功能如其名,在WIN64系统上加载无签名的驱动。 2.支持Windows 7/8/8.1/2008R2/2012/2012R2(7600/7601/9200/9600)。 3.使用方法很简单,运行『win64lud.e 阅读全文
摘要:
0x00 前言 本文主要是讨论Windows 7 x64下的内核虚拟地址空间的结构,可以利用WiinDBG调试的扩展命令"!CMKD.kvas"来显示x64下的内核虚拟地址空间的整体布局。了解内核的地址布局在某些情况下是很有的,比如说在研究New Blue Pill的源码和虚拟化的时候。 0x01 阅读全文
摘要:
From: http://blog.csdn.net/zzqhost/article/details/6064886 关于printf函数输出64位数的问题,其实在window下和linux下是不一样的: linux下是 printf("%lld/n",a); printf("%llu/n",a); 阅读全文
摘要:
Windows X64汇编入门(1) tankaiha 最近断断续续接触了些64位汇编的知识,这里小结一下,一是阶段学习的回顾,二是希望对64位汇编新手有所帮助。我也是刚接触这方面知识,文中肯定有错误之处,大家多指正。 文章的标题包含了本文的四方面主要内容: (1)Windows:本文是在windo 阅读全文
摘要:
x86平台下调用约定 我们都知道x86平台下常用的有三种调用约定,__cdecl、__stdcall、__fastcall。我们分别对这三种调用约定进行分析。 __cdecl __cdecl是C/C++的默认调用约定,如果不显示声明调用约定的情况下,就是该调用约定。下面我们来从汇编层次来熟悉这种调用 阅读全文
摘要:
1 记忆函数是什么呢? 让函数记住曾经计算过的参数对应的结果 2 那我们为什么使用记忆函数呢? 答案是 避免重复计算 3 在工作中如何使用和实现函数记忆 ? 形成闭包,在闭包中维护一个哈希数组(其实就是对象),让哈希数组帮你记住曾经你做过的计算 请看下面的例子:(计算质数) 先写两个函数 第一个数带 阅读全文
摘要:
来源:http://www.vimer.cn/2009/12/cc%E5%AE%9E%E7%8E%B0%E5%A4%9A%E5%8F%82%E6%95%B0%E5%87%BD%E6%95%B0%E7%BC%96%E7%A8%8B.html 在C/C++中,我们经常会需要实现类似printf这样的函数 阅读全文