摘要: file 检查文件确定文件类型。 PEtools 分析windows进程和可执行文件的工具。 nm 列举目标文件中的符号。 U 未定义符号,通常为外部符号的引用。 T 在文本部分定义的符号,通常为函数名称。 t 在文本部分定义的局部符号。C程序中,相当于静态函数。 D 已初始化的数据值。 C 未初始 阅读全文
posted @ 2019-05-06 21:41 s1lenc3 阅读(399) 评论(0) 推荐(0) 编辑
摘要: 明显是代码审计 <?phperror_reporting(0);require 'flag.php';$value = $_GET['value'];$password = $_GET['password'];$username = '';for ($i = 0; $i < count($value 阅读全文
posted @ 2019-05-05 23:09 s1lenc3 阅读(733) 评论(0) 推荐(0) 编辑
摘要: 操作数 idc.GetOpType(ea,n)获取操作数类型。ea是地址,n是索引。 o_void 如果指令没有任何操作数,它将返回 0。 o_reg 如果操作数是寄存器,则返回这种类型,它的值为 1 o_mem 如果操作数是直接寻址的内存,那么返回这种类型,它的值是 2,这种类型对寻找 DATA的 阅读全文
posted @ 2019-05-04 22:55 s1lenc3 阅读(1399) 评论(0) 推荐(0) 编辑
摘要: GetFunctionFlags(ea)它可以用来检索关于函数的信息。 FUNC_NORET 这个标志表示某个函数是否有返回值,它本身的值是 1,下面是一个没有返回值的函数,注意它没有函数的最后并不是 ret 或者 leave 指令。 FUNC_FAR 这个标志非常少的出现,标志程序是否使用分段内存 阅读全文
posted @ 2019-05-03 22:14 s1lenc3 阅读(951) 评论(0) 推荐(0) 编辑
摘要: 背景 IDAPython 由三个分离的模块组成,他们分别是 idc,idautils 和 idaapi。 idc(注意大小写,不是 IDA 中的 IDC)是一个封装了 IDA 的 IDC 的兼容性模块,idautils 是 IDA 的高级实用功能模块,idaapi 允许了我们访问更加底层的数据。 基 阅读全文
posted @ 2019-05-02 21:43 s1lenc3 阅读(6087) 评论(0) 推荐(0) 编辑
摘要: IDA载入程序,进入主函数。 可以看到关键的比较 将dword_6020C0和off_6050A0的数据提取出来,写脚本。 ALIGN Num其中:Num必须是2的幂,如:2、4、8和16等。伪指令的作用是:告诉汇编程序,本伪指令下面的内存变量必须从下一个能被Num整除的地址开始分配。如果下一个地址 阅读全文
posted @ 2019-05-01 22:59 s1lenc3 阅读(1215) 评论(0) 推荐(0) 编辑
摘要: DLL注入技术,可以实现钩取API,改进程序,修复Bug。 DLL注入指的是向运行中的其他进程强制插入特定的DLL文件。 DLL注入命令进程自行调用LoadLibrary()API,加载用户指定的DLL文件。 DLL(Dynamic Linked Library,动态链接库) DLL被加载到进程后自 阅读全文
posted @ 2019-04-30 22:26 s1lenc3 阅读(826) 评论(0) 推荐(0) 编辑
摘要: 钩子 Hook,就是钩子。偷看或截取信息时所用的手段或工具。 消息钩子 常规Windows流: 1.发生键盘输入事件时,WM_KEYDOWN消息被添加到【OS message queue】。 2.OS判断哪个应用程序中发生了事件,然后从【OS message queue】取出消息,添加到相应应用程序 阅读全文
posted @ 2019-04-29 22:57 s1lenc3 阅读(459) 评论(0) 推荐(0) 编辑
摘要: 查壳,nSpack壳,直接用软件脱壳,IDA载入程序。 很明显,就是将402130的数据和输入的数据进行异或,判断是否等于402150处的数据。dwrd占4字节。 这道题主要记录一下刚学到的,直接在IDA使用python脚本。 将代码粘贴到此处,回车运行即可。IDA好强大,自己好菜,只会F5。 今天 阅读全文
posted @ 2019-04-28 20:31 s1lenc3 阅读(605) 评论(0) 推荐(0) 编辑
摘要: 查看第一节区头。 Size Of Raw Data 为400, Virtual Size为280,尺寸为400,只用了280,所以680-800区域都是NULL。我们将会在此区域设置补丁代码。 节区的Virtual Size为280,这不是实际大小,要以SectionAlignment 的倍数扩展。 阅读全文
posted @ 2019-04-27 21:31 s1lenc3 阅读(175) 评论(0) 推荐(0) 编辑