摘要:最近我一直在为面试而四处奔波,房子也是临时找的,不过晚上光亮太大睡不着,我准备搬到床底下去,等我在北京找到一份工作稳定下来后在为大家继续更新知识,不过工作后时间也不是太充裕了,多多包涵吧。 学了这么多年逆向,唉,逆向岗位就是少得可怜,先找一份运维干着吧,后期准备往dba方向靠拢了。 阅读全文
posted @ 2020-10-27 16:54 lyshark 阅读(32) 评论(0) 推荐(0) 编辑
摘要:今天突然想到了一个好玩的免杀思路,原理就是想办法切断磁盘特征与内存特征,关于沙盒免杀我寻思着,这样可以将不同的的DLL映射到内存,在内存中他们的特征也是被切断的,在注入器上做判断如果是沙盒则不加载,不是则分别注入三个甚至是更多的DLL,将我们的ShellCode切片力度更细,分配到几百个甚至上千个D 阅读全文
posted @ 2020-10-20 11:18 lyshark 阅读(68) 评论(0) 推荐(0) 编辑
摘要:本人经历了一次没有结果的面试,想要给大家分享一点经验与教训,犯错误不可怕我们要在错误中吸取教训,这才是成长。 本人其实是一名运维工程师,运维的工作就是保证系统7*24不间断运行,这个工作虽然简单,但却承载着一个公司的重要业务,虽然我是一名运维人员,但业余却一直专注于研究二进制技术,研究二进制技术能让 阅读全文
posted @ 2020-10-13 17:42 lyshark 阅读(178) 评论(0) 推荐(0) 编辑
摘要:如果将shellcode注入到具有特定权限的进程中,我们就可以获得与该进程相同的权限,此方法可以用于提权与降权操作,注入有多种方式,最简单的是直接将metasploit生成的有效载荷直接注入到目标进程中,并通过创建远程线程启动,还可以自己实现一个注入器,这里我们自己来实现一个提权器,可提权也可降权。 阅读全文
posted @ 2020-10-09 17:50 lyshark 阅读(110) 评论(0) 推荐(0) 编辑
摘要:加壳的原理就是加密或者压缩程序中的已有资源,然后当程序执行后外壳将模拟PE加载器对EXE中的区块进行动态装入,下面我们来自己实现一个简单的区块加解密程序,来让大家学习了解一下壳的基本运作原理。 本次使用的工具,依旧是上次编写的PETools: https://www.cnblogs.com/LySh 阅读全文
posted @ 2020-10-02 10:24 lyshark 阅读(79) 评论(0) 推荐(0) 编辑
摘要:手工修复导入表结构 实现手工修复导入表结构 1.首先需要找到加壳后程序的导入表以及导入了那些函数,使用PETools工具解析导入表结构,如下。 2.发现目录FOA地址为0x00000800的位置,长度是0x000000A8定位过去看看,程序中只保留了一个LoadLibraryA和GetProcAdd 阅读全文
posted @ 2020-09-25 22:10 lyshark 阅读(98) 评论(0) 推荐(0) 编辑
摘要:当我们运行程序时,一般情况下会默认加载Ntdll.dll和Kernel32.dll这两个链接库,在进程未被创建之前Ntdll.dll库就被默认加载了,三环下任何对其劫持都是无效的,除了该Dll外,其他的Dll都是在程序运行时,在输入表中查找到对应关系后才会被装载到内存中的,理论上来说对除NtDll以 阅读全文
posted @ 2020-09-22 13:15 lyshark 阅读(75) 评论(0) 推荐(0) 编辑
摘要:DLL注入有多种方式,今天介绍的这一种注入方式是通过修改导入表,增加一项导入DLL以及导入函数,我们知道当程序在被运行起来之前,其导入表中的导入DLL与导入函数会被递归读取加载到目标空间中,我们向导入表增加导入函数同样可以实现动态加载,本次实验用到的工具依然是上次编写的PE结构解析器。 解析器下载与 阅读全文
posted @ 2020-09-20 16:02 lyshark 阅读(116) 评论(0) 推荐(0) 编辑
摘要:本章教程中,使用的工具是上次制作的PE结构解析器,如果还不会使用请先看前一篇文章中对该工具的介绍,本章节内容主要复习导入表结构的基础知识点,并通过前面编写的一些小案例,实现对内存的转储与导入表的脱壳修复等。 关于Dump内存原理,我们可以使用调试API启动调试事件,然后再程序的OEP位置写入CC断点 阅读全文
posted @ 2020-09-17 20:15 lyshark 阅读(116) 评论(0) 推荐(0) 编辑
摘要:PE结构中的地址互转,这次再来系统的复习一下关于PE结构中各种地址的转换方式,最终通过编程来实现自动解析计算,最后将这个功能集成到我的迷你解析器中,本章中使用的工具是上次讲解PE结构文章中制作的CMD迷你结构解析器,如果不知道参数的基本使用请看前一篇。 PE工具的使用与下载:https://www. 阅读全文
posted @ 2020-09-14 21:37 lyshark 阅读(209) 评论(0) 推荐(0) 编辑