摘要:
3.1 遍历列表 magicians = ['alice', 'david', 'carolina'] for magician in magicians: # 临时变量 magician print(magician) for 循环过程:定义了一个 for 循环,让 Python 从列表 magi 阅读全文
摘要:
2.1 列表 列表由一系列按特定顺序排列的元素组成。在Python中,用方括号([])来表示列表,并用逗号来分隔其中的元素。 bicycles = ['trek', 'cannondale', 'redline', 'specialized'] print(bicycles) # Python 将打 阅读全文
摘要:
1.1 变量 在Python中使用变量时,需要遵守一些规则和指南。 变量名只能包含字母、数字和下划线。变量名可以字母或下划线打头,但不能以数字打 头。 变量名不能包含空格,但可使用下划线来分隔其中的单词。 1.2 字符串 在Python中,用引号括起的都是字符串,其中的引号可以是单引号,也可以是双引 阅读全文
摘要:
检测实时调试器是否是OllyDbg等调试软件。这个方法挺垃圾的,主要是这是在赌,赌那些调试人员的电脑上有OllyDbg等调试软件,且实时调试器被设置成了这些软件。 实时调试器注册表路径_x32:计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft 阅读全文
摘要:
通过执行特权指令探测 Vmware; 因为在虚拟机中指定功能号 0xa 则会从指定端口获取虚拟机版本信息到指定的目的操作数地址; 另外 0x14 则是获取虚拟机内存大小,当获取的值大于0说明在虚拟机中。 #include <stdio.h> #include <Windows.h> /* 通过执行特 阅读全文
摘要:
在调试时,有可能会放在虚拟机里调试,所以反调试就需要检测是否在VM中,这里提供的方法有以下三种: 方式1:搜索服务 -- 包含WMware Tools / WMware 物理磁盘助手服务 方式2:找文件路径 -- C:\Program Files\VMware\VMware Tools 方式3:寻找 阅读全文
摘要:
使用环境监测的反调试方法在这里提供两种简单地方式: 1.FindWindows 寻找调试器窗口或者窗口类。 2.枚举进程信息,寻找调试器进程名称。 反反调试方法: 1.窗口名/窗口类随机化 更可靠的使用环境监测反调试方法(之后会更新): 代码段抽取一个哈希值,或者提取一个特征码进行检测,缺陷:耗能太 阅读全文
摘要:
一、调用系统的IsDebuggerPresent函数 (1)实现程序 最简单也是最基础的,Windows提供的API接口:IsDebuggerPresent(),这API实际上就是访问PEB的BeingDebugged标志来判断是否处于调试状态。 使用vs调试此段代码,弹出"检测到调试器"。 #in 阅读全文
摘要:
在这里,我们使用两个方法,第一个是CreateRemoteThread方法,第二个是NtCreateThreadEx方法。通过查看源码可以发现CreaeteRemoteThread函数实现中调用了NtCreateThread函数的。 代码的最后,还给出用远程线程函数去启动一个ShellCode硬编码 阅读全文
摘要:
DuplicateHandle文档化解释 The DuplicateHandle function duplicates an object handle. The duplicate handle refers to the same object as the original handle. 阅读全文