11 2020 档案
摘要:调试程序的时候,有的时候看调用栈,会出现这种情况 说,没法检测校验和 怎么办,好办,给它加一个校验和 去 VS 工具集目录中,找到 【editbin】工具, 具体使用方法: https://docs.microsoft.com/en-us/cpp/build/reference/editbin-op
阅读全文
摘要:方法比较简单 但是可能是无效的,所以药做好心里准备 启动进程,然后WinDBG附加到进程,断下来 1:输入命令 !htrace -enable 告诉 WinDBG ,准备开始做句柄检测了 2:输入命令 !htrace -snapshot 告诉 WinDBG,创建一个句柄快照,以当前点为记住点做检测
阅读全文
摘要:只要获取指定的内核文件, 根据内核文件下载到指定的pdb, 然后通过工具(或者自写代码)导出pdb内的结构体,就可以直接用了, 程序内部组织两套结构体处理函数, 第一套: 程序内置若干常用的版本结构体 在系统初始化的时候,处理系统版本, 如果记录已经内置了结构体, 那么就设置标识, 1:已经内置了结
阅读全文
摘要:1 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; 2 aS ufLinkE "</link></col></u>"; 3 4 r $t1 = nt!KeServiceDescrip
阅读全文
摘要:1 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; 2 aS ufLinkE "</link></col></u>"; 3 4 r $t1 = nt!KeServiceDescrip
阅读全文
摘要:使用方法其实挺简单的。 使用IDE PyCharm 1:通过IDE,创建一个新的 venv,新的虚拟环境 2:在新的虚拟环境中,安装 Django, pip install Django==3.1.3 命令可以从 https://www.djangoproject.com/download/ 寻找。
阅读全文
摘要:.net 反混淆工具。 https://github.com/276793422/de4dot forked from de4dot/de4dot 使用方法非常简单, 1:下载代码 2:VS2017打开 de4dot.netframework.sln 3:全部重新编译 4:去 Debug 目录下找到
阅读全文
摘要:x86 环境下,从PEB里面取进程路径,如果进程名字包含 123 那么断下来,这里使用的是宽字符字符串。 bp 84ad4b7a "as /mu $Name poi(poi($peb + 0x10) + 0x038 + 4);.block{.if($spat(\"${$Name}\",\"*123*
阅读全文
摘要:在 !peb 的返回结果中,查找 taskhost.exe ,找到了就输出 .shell -ci "!peb" find /I "taskhost.exe" 其实没太大用处,就是看内容用的
阅读全文