GKLBB

摘要： 调用链可视化 ida脚本如下，优化的方向是提前去除所有的无关函数不进行计算，将去除杂质的节点独立计算每个调用链分开展示。应该将调用多的函数在中心展示，越往外围越是调用数越少 需要分析准确性 # -*- coding: utf-8 -*- """ IDA Call Graph — 全函数调用链可视化（ 阅读全文

摘要： 腾讯电脑管家软件中心独立版 阅读全文

摘要： 傲梅分区助手:https://www.disktool.cn/download.htmlDiskGeniushttp://www.diskgenius.cn/微PE和U启通里，都内置了分区工具，不需要单独安装。 阅读全文

摘要： http://rufus.ie/ 阅读全文

摘要： http://www.newxitong.com/ http://iwin10.net/ https://windsys.win/ 三步帮你做决定 1. 先看硬件（能不能装） 2017年后买的电脑（搭载Intel 7代/AMD Ryzen及以上CPU）→ 只用Win10/11（这些主板没有USB驱动 阅读全文

摘要： https://msdn.itellyou.cn/ 阅读全文

摘要： https://www.microsoft.com/zh-cn/software-download/windows10/ http://www.wepe.com.cn/download.html https://www.itsk.com/thread-403612-1-1.html 阅读全文

摘要： 将安装包重命名为其他，再次安装 阅读全文

摘要： 一、追踪调试的核心概念 text 追踪调试 = 记录程序运行过程中的： ├── 执行了哪些指令（执行轨迹） ├── 调用了哪些函数（调用链） ├── 传入了什么参数（输入数据） ├── 返回了什么结果（输出数据） └── 内存/寄存器如何变化（状态变化） 二、方法一：IDA Pro 内置 Trace 阅读全文

摘要： 动态调试的几种方法 动态调试是指在程序运行过程中对其进行分析和调试的技术，主要有以下几种方法： 一、按调试方式分类 1. 断点调试（Breakpoint Debugging） 类型说明 软件断点 通过替换指令（如 INT 3 / 0xCC）实现 硬件断点 利用 CPU 调试寄存器（DR0-DR7）， 阅读全文

摘要： 一、什么是数据流分析 text 数据流分析的核心问题： "关键函数的数据从哪里来？到哪里去？中间经历了什么变换？" ┌──────────┐ ┌──────────────┐ ┌──────────┐ │ 数据来源 │────▶│ 处理/变换 │────▶│ 数据去向 │ │ (Source) │ 阅读全文

摘要： 我的台式机卡死，但是内存占用正常。 重启过程仍然很开，但是可以进入系统 在使用pe启动盘运行后卡顿消失，发现访问c盘会出现卡动现象，其他盘没有问题 同时 按章winntsetup安装系统提示，拒绝访问 解决方法： 当我格式化后c盘访问正常，安装系统后启动 阅读全文

摘要： 免责声明 本文档所有内容仅供安全研究、学术交流与技术学习使用，严禁用于任何未经授权的逆向破解、网络攻击、隐私窃取、恶意软件开发及其他违反《中华人民共和国网络安全法》《数据安全法》等法律法规的行为，使用者应确保已获得目标软件权利人的合法授权并自行承担因使用本文档内容所产生的一切法律责任与后果，作者不对 阅读全文

摘要： 一、基本概念 FORTIFY_SOURCE 是 GCC/glibc 提供的一种编译时 + 运行时联合防护机制，通过将危险的 C 库函数替换为带边界检查的安全版本（__*_chk 后缀函数），在编译期和运行期检测缓冲区溢出。 核心思想： 编译器在编译时尽可能推断出缓冲区大小，如果能在编译期判定溢出就直 阅读全文

摘要： 一、基本概念 Stack Canary（栈金丝雀）是一种编译器级别的栈溢出检测机制，得名于煤矿中用金丝雀检测毒气的做法——如果金丝雀死了，说明有危险。 核心思想： 在栈帧的返回地址之前插入一个随机值（Canary），函数返回前检查该值是否被篡改，若被篡改则说明发生了栈溢出，立即终止程序。 二、没有 阅读全文

摘要： 一、基本概念 名称全称来源 NX No-eXecute（不可执行） Linux/AMD 术语 DEP Data Execution Prevention（数据执行保护） Windows/Intel 术语 两者是同一机制在不同平台的叫法，核心思想完全一致。 一句话原理： 将数据区域（栈、堆、.data 阅读全文

摘要： 一、基本概念 RELRO 是一种二进制安全保护机制，核心目的是将与重定位相关的内存区域（特别是 GOT 表）在运行时标记为只读，从而防止攻击者通过覆写 GOT 表来劫持控制流。 二、GOT/PLT 动态链接回顾 要理解 RELRO，首先需要理解动态链接的工作方式： text 程序调用 printf( 阅读全文

摘要： 一、先理解没有 PIE/ASLR 时的情况 text 没有地址随机化的世界（固定基址）： 每次运行程序，内存布局完全一样： 第1次运行 第2次运行 第3次运行 ┌──────────┐ 0xFFFFFFFF ┌──────────┐ 0xFFFFFFFF ┌──────────┐ 0xFFFFFFF 阅读全文

摘要： 一、方案架构总览 text ┌─────────────────────────────────────────────────────────────────────────────┐ │ ARM开发板云脱壳服务架构 │ ├───────────────────────────────────── 阅读全文

摘要： ARM原生脱壳服务硬件环境完整指南 一、硬件架构总览 text ┌─────────────────────────────────────────────────────────────────────────────┐ │ 硬件环境架构图 │ ├───────────────────────── 阅读全文

摘要： 直接回答：不能"保证"，但可以分情况实现 text ┌──────────────────────────────────────────────────────────┐ │ SO 文件加载难度分级 │ ├─────────┬────────────────────────────────┬─── 阅读全文

摘要： 一、为什么要给 SO 加壳 text ┌──────────────────────────────────────────────────────┐ │ │ │ 前面讲到：DEX壳的解密逻辑放在SO中以增加逆向难度 │ │ │ │ 但问题来了： │ │ │ │ 如果SO本身可以被IDA轻松分析， 阅读全文

摘要： 核心思想 将一个完整字符串拆散，使其不以连续形态存在于二进制中，从而对抗静态字符串分析。 一、为什么需要反字符串分析？ 正常情况下字符串的威胁 逆向分析师的常规操作： ┌─────────────────────────┐ │ 1. IDA → Shift+F12 → 打开 Strings 窗口 │ 阅读全文

摘要： 根本原因：编译后符号信息丢失 这要从编译链接过程说起： 源代码 编译后 ───────────────── ───────────────── int calculateSum() → 地址 0x00401000 处的机器码 void sendPacket() → 地址 0x00401200 处的机 阅读全文

摘要： 通过各种加密算法生成设备的唯一设备ID，用于在线追踪设备，保证安全运行 对抗 模拟算法生成与原设备相同的id 阅读全文

摘要： 一个app启动时，启动一个没有任何业务代码、无实质内容的dex壳文件，这个文件一般是加固程序sdk提供的，比如爱加密 这个壳会开始解密 存放在assest文件中的加密了的dex文件 ，之后 加载、执行 这个解密后的DEX文件。这段解密、加载、执行的这段代码一般用c语言编写放置在lib文件夹的so文件 阅读全文

摘要： 就像一家公司有两个完全相同的"借书窗口"（`sub_5A4B4` 和 `sub_5A9F4`），流程一模一样：找图书馆→找窗口→检查有没有出错→借书。设置两个相同窗口可能是为了分流（不同调用路径使用不同副本），或者是为了迷惑小偷（逆向分析者），让他们以为这是两个不同的功能，增加逆向的困难度 阅读全文