Kylimi

摘要： 上一章我们将myhack.dll注入进了notepad，这一章我们就将学习，如何卸载DLL 同上一章注入myhack.dll时使用了exe文件一样，卸载dll也需要使用exe。 下面这个代码是在CSDN上找到的一个既可以注入DLL也可以卸载DLL的代码 使用时需要输入三个参数 1.注入还是卸载（0表 阅读全文

摘要： 第二十三章 DLL注入 DLL注入，是指向运行中的其他进程强制插入特定的DLL文件。常用于渗透其他进程，DLL注入可以实现API钩取、改写程序、修复BUG等。 可以看到，notepad.exe进程本来是会加载myhack.dll的，但由于我们强制注入了myhack.dll，所以现在他会加载myhac 阅读全文

摘要： windows消息钩取 消息钩取 Windows向用户提供GUI界面，它以事件驱动方式工作（如按钮事件，鼠标事件） 发生事件时，OS会把事先定好的消息发送给相应的应用程序，应用程序接收到后就会执行相应的动作。举个例子，当我想在记事本上输入字体时，我点击键盘，记事本就会出现相应的字符。而在计算机中的顺 阅读全文

摘要： 内嵌补丁练习 内嵌补丁，针对难以直接修改指定代码时，插入并运行成为“洞穴代码”的补丁后，对程序打补丁。常用于对象程序因为加壳而难以直接修改的情况。 可以看到，普通程序运行顺序是EP——>OEP，而内嵌补丁的程序时EP——>洞穴代码——>OEP 这里我们使用的patchme的程序（在52破解上就有解析 阅读全文

摘要： 分析upack壳 我们使用add.exe文件 我们将add.exe文件拖入upack加壳工具，这里的版本是0.39final,LC选择6： 点击确定后得到add.exe.bak的文件，我们去掉.bak后就可以直接使用了，这里为了区分，我将加壳后的文件取名为add_upack_6.exe。 首先我们先 阅读全文

摘要： 删除PE文件的.reloc节区 .reloc节区是PE文件的重定位节区，对于EXE的PE文件来说，重定位对运行并没有什么影响，将其删除后程序仍然可以正常运行。 这里我们使用自己写的add.exe 现在我们来删除这个add.exe文件的.reloc节区。 我们使用PEview查看add.exe文件的. 阅读全文

摘要： 第十六章，PE文件重定位。 PE重定位 向进程的虚拟内存加载PE文件时，文件会被加载到PE头的ImageBase所指向的地址处，若IB位置已经加载了其他文件，PE装载器就会将其加载到去其他未被占用的空间，这就涉及到PE地址重定位的问题。 创建好进程之后，EXE文件会首先加载到内存，因此在EXE文件无 阅读全文

摘要： 第十五章的15.3介绍了upx壳的四个循环及其作用，接下来我们一个一个的看一下： 循环1 通过代码我们能知道，ecx为循环次数，循环的内容是从edx中读取一个字节放入edi中，这个字节就是节区（upx0） 0042D6FD > /8A02 mov al,byte ptr ds:[edx] ; 将ed 阅读全文

摘要： 对于python来说，base64加密与解密，有一个专门的函数供我们使用： base64库 加密为：base64.b64encode() 解密为：base64.b64decode() 具体例子： import base64 #导入base64库 s='最强近战单位SCV' b=bytes(s,'ut 阅读全文

摘要： 先说一下总结：这个crackme，有一个小坑，并且它的判断循环特别的长。 首先我们先说说这个坑： 004036DC . 50 push eax ; /String = " 3" 004036DD . FF15 08104000 call dword ptr ds:[<&MSVBVM60.__vbaL 阅读全文