S1lenc3

摘要： file 检查文件确定文件类型。 PEtools 分析windows进程和可执行文件的工具。 nm 列举目标文件中的符号。 U 未定义符号，通常为外部符号的引用。 T 在文本部分定义的符号，通常为函数名称。 t 在文本部分定义的局部符号。C程序中，相当于静态函数。 D 已初始化的数据值。 C 未初始 阅读全文

摘要： 明显是代码审计 <?phperror_reporting(0);require 'flag.php';$value = $_GET['value'];$password = $_GET['password'];$username = '';for ($i = 0; $i < count($value 阅读全文

摘要： 操作数 idc.GetOpType(ea,n)获取操作数类型。ea是地址，n是索引。 o_void 如果指令没有任何操作数,它将返回 0。 o_reg 如果操作数是寄存器,则返回这种类型,它的值为 1 o_mem 如果操作数是直接寻址的内存,那么返回这种类型,它的值是 2,这种类型对寻找 DATA的 阅读全文

摘要： GetFunctionFlags(ea)它可以用来检索关于函数的信息。 FUNC_NORET 这个标志表示某个函数是否有返回值,它本身的值是 1,下面是一个没有返回值的函数,注意它没有函数的最后并不是 ret 或者 leave 指令。 FUNC_FAR 这个标志非常少的出现,标志程序是否使用分段内存 阅读全文

摘要： 背景 IDAPython 由三个分离的模块组成,他们分别是 idc,idautils 和 idaapi。 idc(注意大小写,不是 IDA 中的 IDC)是一个封装了 IDA 的 IDC 的兼容性模块,idautils 是 IDA 的高级实用功能模块,idaapi 允许了我们访问更加底层的数据。 基 阅读全文

摘要： IDA载入程序，进入主函数。 可以看到关键的比较 将dword_6020C0和off_6050A0的数据提取出来，写脚本。 ALIGN Num其中：Num必须是2的幂，如：2、4、8和16等。伪指令的作用是：告诉汇编程序，本伪指令下面的内存变量必须从下一个能被Num整除的地址开始分配。如果下一个地址 阅读全文

摘要： DLL注入技术，可以实现钩取API，改进程序，修复Bug。 DLL注入指的是向运行中的其他进程强制插入特定的DLL文件。 DLL注入命令进程自行调用LoadLibrary()API，加载用户指定的DLL文件。 DLL（Dynamic Linked Library，动态链接库） DLL被加载到进程后自 阅读全文

摘要： 钩子 Hook，就是钩子。偷看或截取信息时所用的手段或工具。 消息钩子 常规Windows流： 1.发生键盘输入事件时，WM_KEYDOWN消息被添加到【OS message queue】。 2.OS判断哪个应用程序中发生了事件，然后从【OS message queue】取出消息，添加到相应应用程序 阅读全文

摘要： 查壳，nSpack壳，直接用软件脱壳，IDA载入程序。 很明显，就是将402130的数据和输入的数据进行异或，判断是否等于402150处的数据。dwrd占4字节。 这道题主要记录一下刚学到的，直接在IDA使用python脚本。 将代码粘贴到此处，回车运行即可。IDA好强大，自己好菜，只会F5。 今天 阅读全文

摘要： 查看第一节区头。 Size Of Raw Data 为400， Virtual Size为280，尺寸为400，只用了280，所以680-800区域都是NULL。我们将会在此区域设置补丁代码。 节区的Virtual Size为280，这不是实际大小，要以SectionAlignment 的倍数扩展。 阅读全文