LYSHARK

摘要： 在上述内容中笔者通过一个简单的案例给大家介绍了在套接字编程中如何传递结构体数据，本章将继续延申结构体传输，在某些时候例如我们需要传输一些当前系统的进程列表信息，或者是当前主机中的目录文件，此时就需要使用循环结构体传输功能，循环传输结构体的关键点在于，客户端发送结构体数据之前需要通过一次通信来告诉服务端需要接收的次数，当服务端接收到次数时则可利用接收计数器依次循环接收数据直到客户端完整所有数据包的发送。 阅读全文

摘要： 当在套接字编程中传输结构体时，可以将结构体序列化为字符串（即把结构体的所有成员打包成一个字符串），然后将字符串通过套接字传输到对端，接收方可以将字符串解析为结构体，然后使用其中的成员数据。这种方法通常被称为序列化（Serialization）和反序列化（Deserialization），本章中我们可以采用将一个结构体序列化为一个纯字符串，然后将该字符串通过套接字传输给对端，当对端收到后只需要将字节序强制转换为对等的结构体指针即可实现对该结构的解析。 阅读全文

摘要： 组播通信是一种基于UDP协议的网络通信方式，它允许发送方将消息同时传递给多个接收方。在组播通信中，发送方和接收方都会加入一个共同的组播组，这个组播组对应一个特定的IP地址，所有加入该组播组的主机都能够接收到发送方发送的消息。组播通信可以有效地减少网络流量和网络负载，因为在传统的点对点通信方式下，每个消息都需要单独传输到每个接收方，而在组播通信中，每个消息只需要传输一次，就可以同时传递给多个接收方。在使用组播模式时，需要在套接字上使用`setsockopt()`函数来设置套接字的`IP_MULTICAST_IF`选项，指定本地主机的出站接口地址，用于发送组播数据包。此外，还可以设置`IP_ADD_MEMBERSHIP`选项，将套接字加入到一个特定的组播组中，以便接收该组播组中的数据包。 阅读全文

摘要： 在进行驱动开发之前，您需要先安装适当的开发环境和工具。首先，您需要安装`Windows`驱动开发工具包（WDK），这是一组驱动开发所需的工具、库、示例和文档。然后，您需要安装`Visual Studio`开发环境，以便编写和调试驱动程序。在安装WDK和`Visual Studio`之后，您还需要配置适当的项目设置，以便能够正确编译和构建驱动程序。 阅读全文

摘要： 任何一个成熟的软件都会具有可扩展性，可扩展性是现代软件的一个重要特征，因为它使软件更易于维护和适应变化的需求，`x64dbg`也不例外其可通过开发插件的方式扩展其自身功能，`x64dbg`提供了多种插件接口，包括脚本插件、DLL插件、Python插件和.NET插件等。此外，`x64dbg`还支持用户自定义命令和快捷键。这使得用户可以自由地扩展和自定义软件的功能，从而更好地适应开发需求。我们以`C/C++`语言为开发模板，`x64dbg`插件表现出来的其实也是一个`DLL`文件，他里面导出了`x64dbg`所需要的几个函数，从而可以在`x64dbg`启动时被加载，除去所必须的导出函数外，其他功能的实现与`DLL`基本一致。 阅读全文

摘要： 所谓双向数据传输指的是客户端与服务端之间可以无差异的实现数据交互，此类功能实现的核心原理是通过创建`CreateThread()`函数多线程分别接收和发送数据包，这样一旦套接字被建立则两者都可以异步发送消息，本章将实现简单的双向交互功能。首先我们需要封装两个函数，这里`RecvFunction`函数用于接收数据，`SendFunction`函数则用于发送数据，这两段代码在服务端与客户端之间是一致的两者可被共用。 阅读全文

摘要： x64dbg 是一款开源、免费、功能强大的动态反汇编调试器，它能够在`Windows`平台上进行应用程序的反汇编、调试和分析工作。与传统的调试器如`Ollydbg`相比，x64dbg调试器的出现填补了`Ollydbg`等传统调试器的不足，为反汇编调试工作提供了更高效、更可靠的解决方案。正是因为有了这些优点，才能使其成为当今最受欢迎的反汇编调试软件之一。 阅读全文

摘要： 在前一节中我们简单介绍了D3D绘制窗体所具备的基本要素，本节将继续探索外部绘制技术的实现细节，并以此实现一些简单的图形绘制功能，首先外部绘制的核心原理是通过动态创建一个新的窗口并设置该窗口属性为透明无边框状态，通过消息循环机制实现对父窗口的动态跟随附着功能，当读者需要绘制新的图形时只需要绘制在透明窗体之上即可实现动态显示的效果。 阅读全文

摘要： 首先为什么要实行分块传输字符串，一般而言`Socket`套接字最长发送的字节数为`8192`字节，如果发送的字节超出了此范围则后续部分会被自动截断，此时将字符串进行分块传输将显得格外重要，分块传输的关键在于封装实现一个字符串切割函数，将特定缓冲区内的字串动态切割成一个个小的子块，当切割结束后会得到该数据块的个数，此时通过套接字将个数发送至服务端此时服务端在依次循环接收数据包直到接收完所有数据包之后在组合并显示即可。 阅读全文

摘要： 在本节，我们将继续深入探讨套接字通信技术，并介绍一种常见的用法，实现反向远程命令执行功能。对于安全从业者而言，经常需要在远程主机上执行命令并获取执行结果。本节将介绍如何利用 `_popen()` 函数来启动命令行进程，并将输出通过套接字发送回服务端，从而实现远程命令执行的功能。在实现反向远程命令执行时，我们可以使用 `_popen(buf, "r")` 函数来执行特定的命令，并将其输出重定向到一个可读的缓冲区中。这个缓冲区将保存命令的输出内容，我们可以将其发送回控制程序，也就是服务端，从而实现远程命令执行的目标。 阅读全文

摘要： Winsock是Windows操作系统上的套接字API，用于在网络上进行数据通信。套接字通信是一种允许应用程序在计算机网络上进行实时数据交换的技术。通过使用Windows提供的API，应用程序可以创建一个套接字来进行数据通信。这个套接字可以绑定到一个端口，以允许其他应用程序连接它。另外，Winsock可以使用TCP/IP、UDP等协议来完成不同类型的数据传输任务。在网络应用程序开发中，套接字通信可以帮助应用程序开发者实现客户端/服务端模型，并实现数据的可靠传输。一般套接字通信需要经历，创建套接字(Socket)，绑定(Bind)，监听(Listen)，接受(Accept)，连接(Connect)，发送数据(Send)，接收数据(Receive)，关闭(Close)等几个关键步骤，当读者需要使用网络通信时需引入`winsock2.h`头文件，并通过`#pragma comment(lib,"ws2_32.lib")`包含对应库，需要注意的是该头文件与`windows.h`头冲突，如果两者同时存在则会出现编译不通过的情况。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： DirectX 9 是由微软开发的一组多媒体应用程序接口API，用于创建和运行基于Windows平台的多媒体应用程序，尤其是游戏。它是DirectX系列中的一个版本，于2002年发布，是DirectX系列中的一个重要版本，DirectX 9在其发布时引入了许多新的功能和性能优化，成为当时PC游戏开发的主要标准，许多经典的PC游戏使用了DX9作为其图形和音频渲染引擎。虽然后续出现了更多强大的引擎，但本质上都是可以兼容Dx9的。在使用Dx9引擎之前读者需要自行下载该绘制库，当然在课件中笔者已经为大家准备了绿色版，读者可自行解压到指定目录下，在目录下有一个Developer Runtime其内部是引擎运行时所需要的运行环境，读者可根据不同的需求安装对应位数的运行库，安装成功后则可配置开发目录，一般而言我们只需要关注Include引入目录，以及Lib库目录即可。 阅读全文

摘要： 本节将向读者介绍如何使用键盘鼠标操控模拟技术，键盘鼠标操控模拟技术是一种非常实用的技术，可以自动化执行一些重复性的任务，提高工作效率，在Windows系统下，通过使用各种键盘鼠标控制函数实现动态捕捉和模拟特定功能的操作。有时我们经常需要进行重复性的鼠标操作，例如繁琐的点击、拖拽。这些任务可能消耗大量时间和精力，为了解决这个问题，可自行设计并实现一个简单而强大的鼠标录制回放工具，旨在帮助用户轻松录制鼠标动作，通过借助鼠标录制回放工具，用户可以轻松实现自动化操作，从而解放双手。 阅读全文

摘要： 本节将向读者介绍如何使用键盘鼠标操控模拟技术，键盘鼠标操控模拟技术是一种非常实用的技术，可以自动化执行一些重复性的任务，提高工作效率，在Windows系统下，通过使用各种键盘鼠标控制函数实现动态捕捉和模拟特定功能的操作。键盘鼠标的模拟是实现自动化的必备流程，通常我们可以使用`keybd_event()`实现对键盘的击键模拟，使用`SetCursorPos()`实现对鼠标的模拟，使用两者的配合读者可以很容易的实现对键盘鼠标的控制，本节将依次封装实现，模拟键盘鼠标控制功能，读者可根据自己的实际需求选用不同的函数片段。 阅读全文

摘要： 本节将介绍如何使用`Windows API`中的`SetWindowsHookEx`和`RegisterHotKey`函数来实现键盘鼠标的监控。这些函数可以用来设置全局钩子，通过对特定热键挂钩实现监控的效果，两者的区别在于`SetWindowsHookEx`函数可以对所有线程进行监控，包括其他进程中的线程，而`RegisterHotKey`函数只能对当前线程进行监控。首先我们来实现注册热键功能，注册热键可以使用`RegisterHotKey()`函数，该函数可以将一个热键与当前应用程序或线程绑定，使得当用户按下热键时，系统会自动将该热键的消息发送到该应用程序或线程中 阅读全文

摘要： XEDParse 是一款开源的x86指令编码库，该库用于将MASM语法的汇编指令级转换为对等的机器码，并以XED格式输出，目前该库支持x86、x64平台下的汇编编码，XEDParse的特点是高效、准确、易于使用，它可以良好地处理各种类型的指令，从而更容易地确定一段程序的指令集。XEDParse库可以集成到许多不同的应用程序和工具中，因此被广泛应用于反汇编、逆向工程、漏洞分析和入侵检测等领域。XEDParse 引擎非常易于使用，读者在使用时只需要通过`XEDPARSE xed = { 0 };`定义一个结构，并通过向`xed.cip`内输送一条汇编指令，当调用`XEDParseAssemble(&xed)`函数时则可实现对特定汇编指令的编码操作，读者只需要通过输出`xed.dest`以及`xed.instr`中的值，则可实现对特定一条汇编指令的编码 阅读全文

摘要： Capstone 是一款开源的反汇编框架，目前该引擎支持的CPU架构包括x86、x64、ARM、MIPS、POWERPC、SPARC等，Capstone 的特点是快速、轻量级、易于使用，它可以良好地处理各种类型的指令，支持将指令转换成AT&T汇编语法或Intel汇编语法等多种格式。Capstone的库可以集成到许多不同的应用程序和工具中，因此被广泛应用于反汇编、逆向工程、漏洞分析和入侵检测等领域，著名的比如IDA Pro、Ghidra、Hopper Disassembler等调试器都在使用该引擎。 阅读全文

摘要： 我们继续延申调试事件的话题，实现进程转存功能，进程转储功能是指通过调试API使获得了目标进程控制权的进程，将目标进程的内存中的数据完整地转存到本地磁盘上，对于加壳软件，通常会通过加密、压缩等手段来保护其代码和数据，使其不易被分析。在这种情况下，通过进程转储功能，可以将加壳程序的内存镜像完整地保存到本地，以便进行后续的分析。在实现进程转储功能时，主要使用调试API和内存读写函数。具体实现方法包括：以调试方式启动目标进程，将其暂停在运行前的位置；让目标进程进入运行状态；使用ReadProcessMemory函数读取目标进程内存，并将结果保存到缓冲区；将缓冲区中的数据写入文件；关闭目标进程的调试状态。 阅读全文

摘要： 理解了如何通过调试事件输出当前进程中寄存器信息，那么实现加载DLL模块也会变得很容易实现，加载DLL模块主要使用`LOAD_DLL_DEBUG_EVENT`这个通知事件，该事件可检测进程加载的模块信息，一旦有新模块被加载或装入那么则会触发一个通知事件，利用该方法并配合磁盘路径获取函数则可很容易的实现进程模块加载的监控。 阅读全文

摘要： 当读者需要获取到特定进程内的寄存器信息时，则需要在上述代码中进行完善，首先需要编写`CREATE_PROCESS_DEBUG_EVENT`事件，程序被首次加载进入内存时会被触发此事件，在该事件内首先我们通过`lpStartAddress`属性获取到当前程序的入口地址，并通过`SuspendThread`暂停程序的运行，当被暂停后则我没就可以通过`ReadProcessMemory`读取当前位置的一个字节机器码，目的是保存以便于后期的恢复，接着通过`WriteProcessMemory`向对端`(void*)dwAddr`地址写出一个`0xCC`断点，该断点则是`int3`停机指令，最后`ResumeThread`恢复这个线程的运行，此时程序中因存在断点，则会触发一个`EXCEPTION_DEBUG_EVENT`异常事件。 阅读全文