DirWangK

摘要： # error A2108: use of register assumed to ERROR ``` ASSUME FS:NOTHING mov eax, fs:[0c0h] ASSUME FS:NOTHING ``` [Error a2108 use of register assumed to 阅读全文

摘要： Go在windows上调用本地进程传参时的一个天坑 #Golang go在windows上exec.Command调用本地进程在传参的时候有一个天坑，举个栗子来说正常来说一般代码会这么写 ```go cmdLine := "notepad.exe " + `"D:\Program Files\Not 阅读全文

摘要： BlackLotus 分析3--http_downloader inject_into_winlogon MZ魔术字改为HC的PE文件 start 反调试和反沙箱部分与安装器相同 __int64 start() { NtSetInformationThread((HANDLE)0xFFFFFFFFF 阅读全文

摘要： BlackLotus 分析2--boot-内核阶段 [BlackLotus 分析1--安装器阶段](BlackLotus 分析1--安装器阶段 - DirWangK - 博客园 (cnblogs.com)) LegacyBIOS→MBR→“活动的主分区”→\bootmgr→\Boot\BCD→\Wi 阅读全文

摘要： BlackLotus 分析1--安装器阶段 文件信息 BlackLotus installer. sha1 :a5a530a91100ed5f07a5d74698b15c646dd44e16 start __int64 start() { //ThreadHideFromDebugger 反调试 N 阅读全文

摘要： ConfuserEx(1.0.0) dll 脱壳 目标dll为excel的com插件 调试excel的c#插件 excel插件运行时会将插件拷贝到： C:\Users\xxxx\AppData\Local\assembly\dl3\xxxx\xxx\xxxxxx\xxxxxxxxxx 更多-选型-加 阅读全文

摘要： //寻找lsass的EPROCESS !process 0 0 lsass.exe //切换进程空间到lsass .process /i ffffbc02f3760080 ;g //检查当前进程 !thread -p -1 0 //刷新kd维护的用户态加载模块列表使之匹配当前进程 .reload / 阅读全文

摘要： 通过__WriteInfoAppLog 定位关键函数 void check_447BA0() { // [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND] isactive_5252DC = sub_448470(dword 阅读全文

摘要： PLAY ransom ware 采用RSA1024+AES-256， 样本hash： 608e2b023dc8f7e02ae2000fc7dbfc24e47807d1e4264cbd6bb5839c81f91934 函数混淆 函数混淆示例 .text:004142A0 push ebp .text 阅读全文

摘要： vscode idapython debug 1、在脚本中嵌入debugpy import sys #python3.exe -m pip install debugpy # sys.path.append(r"D:\IDA Pro 7.6\Lib\site-packages\debugpy") i 阅读全文

摘要： MortalKombat勒索软件分析 MortalKombat属于Xorist家族，采用tea加密，可解密 start WPARAM __userpurge start@<eax>(int a1@<ebp>, int a2, int a3, int a4, int a5) { // [COLLAPS 阅读全文

摘要： ZFX ZFX是Makop 勒索变种，采用RSA1024+AES-256-CBC，随机生成2个32字节的AESKEY,文件加密时随机生成新IV，轮询AESKEY，并使用内置公钥将AESKEY加密存储。没有私钥则无法解密文件。 文件信息 dialog 样本来源https://bbs.kafan.cn/ 阅读全文

摘要： c#代码： RSACryptoServiceProvider.ImportCspBlob using System; using System.Security.Cryptography; namespace ApplicationDecrypt { // Token: 0x02000004 RID 阅读全文

摘要： aescipher=AES.new(aeskey,AES.MODE_CFB,aesiv,segment_size=128) segment_size (integer) -- (Only MODE_CFB).The number of bits the plaintext and ciphertex 阅读全文

摘要： 看到B站视频 DTMB模块在电脑上测试电视接收，好久没看电视了，遂购入体验一番。 分享的软件，使用体验不佳 LeDtmb 于是简单逆向了下，附上源码（~~代码太烂，不想搞了0.0~~） 下载链接 https://wwfk.lanzouo.com/b047mnpeb 密码:7mjx 阅读全文

摘要： pyc反编译工具，效果比uncompyle6要好 https://github.com/zrax/pycdc 阅读全文

摘要： Dll劫持27号导出函数,?startLogging@fde@@YAXPB_W@Z fde::startLogging fde::startLogging dump Dump出来是upx压缩，无魔改 简单分析 c2 ? 首次应该是 尝试连接d.nkking.com 失败就切换 192.168.1.2 阅读全文

摘要： 基本信息 QQExternal.exe加载tinyxml.dll 伪造证书 pdb信息 E:\其它文件\InternetRedirectNew\tinyxmlHook\Release\tinyxml.pdb dllmain 流程 创建服务 服务信息: MicrosoftSetupSystemTask 阅读全文

摘要： Dll劫持，RobocraftBase.dll，调用1号导出函数 LzSetArchive() load_10002BC0 加载加密的jibmao.xml文件 SRDI_10003320 阅读全文

摘要： Delphi程序，逆向注意函数调用方式 软件本身免费，注册没有添加功能仅隐藏了营销信息，破解意义不大。 register_B48800 注册按钮事件 register_check_B4957C 处理在线注册结果 sub_B6FBD8 启动时检测 patch-->sub_B6FBD8 start_ch 阅读全文