LyShark

摘要： 在 Windows 操作系统中，原生提供了强大的网络编程支持，允许开发者使用 Socket API 进行网络通信，通过 Socket API，开发者可以创建、连接、发送和接收数据，实现网络通信。本文将深入探讨如何通过调用原生网络 API 实现同步远程通信，并介绍了一个交互式 Socket 类的封装，提升了编写交互式服务器的便利性。 阅读全文

摘要： Boost.Asio 是一个功能强大的 C++ 库，用于异步编程和网络编程，它提供了跨平台的异步 `I/O` 操作。在这篇文章中，我们将深入分析一个使用 `Boost.Asio` 实现的简单端口映射服务器，该服务器能够将本地端口的数据包转发到指定的远程服务器上。端口映射通常用于将一个网络端口上的流量转发到另一个网络端口。这对于实现网络中间人攻击、内网穿透等场景非常有用。我们将使用 `Boost.Asio` 提供的异步操作来实现这个简单而功能强大的端口映射服务器。 阅读全文

摘要： 在数据处理和报告生成的领域中，Excel 文件一直是广泛使用的标准格式。为了让 Python 开发者能够轻松创建和修改 Excel 文件，XlsxWriter 库应运而生。XlsxWriter 是一个功能强大的 Python 模块，专门用于生成 Microsoft Excel 2007及以上版本（.xlsx 格式）的电子表格文件。本文将对XlsxWriter进行概述，探讨其主要特点、用法和一些实际应用，并实现绘制各类图例（条形图，柱状图，饼状图）等。 阅读全文

摘要： paramiko 是一个用于在Python中实现SSHv2协议的库，它支持对远程服务器进行加密的通信。目前该模块支持所有平台架构且自身遵循SSH2协议，支持以加密和认证的方式，进行远程服务器的连接，你可以在Python中实现SSH客户端和服务器，并进行安全的文件传输和远程命令执行。 阅读全文

摘要： SQLAlchemy 是用Python编程语言开发的一个开源项目，它提供了SQL工具包和ORM对象关系映射工具，使用MIT许可证发行，SQLAlchemy 提供高效和高性能的数据库访问，实现了完整的企业级持久模型。ORM（对象关系映射）是一种编程模式，用于将对象与关系型数据库中的表和记录进行映射，从而实现通过面向对象的方式进行数据库操作。ORM 的目标是在编程语言中使用类似于面向对象编程的语法，而不是使用传统的 SQL 查询语言，来操作数据库。 阅读全文

摘要： 在笔者上一篇文章`《内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的，本章将继续探索全新的注入方式，通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的，需要注意的是该函数在微软系统中未被导出使用时需要首先得到该函数的入口地址，`NtCreateThreadEx`函数最终会调用`ZwCreateThread`，本章在寻找函数的方式上有所不同，前一章通过内存定位的方法得到所需地址，本章则是通过解析导出表实现。 阅读全文

摘要： SCM（Service Control Manager）服务管理器是 Windows 操作系统中的一个关键组件，负责管理系统服务的启动、停止和配置。服务是一种在后台运行的应用程序，可以在系统启动时自动启动，也可以由用户或其他应用程序手动启动。本篇文章中，我们将通过使用 Windows 的服务管理器（SCM）提供的API接口，实现一个简单的服务管理组件的编写。 阅读全文

摘要： Windows注册表（Registry）是Windows操作系统中用于存储系统配置信息、用户设置和应用程序数据的一个集中式数据库。它是一个层次结构的数据库，由键（Key）和值（Value）组成，这些键和值被用于存储各种系统和应用程序的配置信息。 阅读全文

摘要： Zlib是一个开源的数据压缩库，提供了一种通用的数据压缩和解压缩算法。它最初由`Jean-Loup Gailly`和`Mark Adler`开发，旨在成为一个高效、轻量级的压缩库，其被广泛应用于许多领域，包括网络通信、文件压缩、数据库系统等。其压缩算法是基于`DEFLATE`算法，这是一种无损数据压缩算法，通常能够提供相当高的压缩比。在Zlib项目中的`contrib`目录下有一个`minizip`子项目，minizip实际上不是`zlib`库的一部分，而是一个独立的开源库，用于处理ZIP压缩文件格式。它提供了对ZIP文件的创建和解压的简单接口。minizip在很多情况下与`zlib`一起使用，因为ZIP压缩通常使用了`DEFLATE`压缩算法。通过对`minizip`库的二次封装则可实现针对目录的压缩与解压功能。 阅读全文

摘要： 本章将继续探索内核中解析PE文件的相关内容，PE文件中FOA与VA,RVA之间的转换也是很重要的，所谓的FOA是文件中的地址，VA则是内存装入后的虚拟地址，RVA是内存基址与当前地址的相对偏移，本章还是需要用到`《内核解析PE结构导出表》`中所封装的`KernelMapFile()`映射函数，在映射后对其PE格式进行相应的解析，并实现转换函数。 阅读全文

摘要： 在笔者上一篇文章`《内核解析PE结构导出表》`介绍了如何解析内存导出表结构，本章将继续延申实现解析PE结构的PE头，PE节表等数据，总体而言内核中解析PE结构与应用层没什么不同，在上一篇文章中`LyShark`封装实现了`KernelMapFile()`内存映射函数，在之后的章节中这个函数会被多次用到，为了减少代码冗余，后期文章只列出重要部分，读者可以自行去前面的文章中寻找特定的片段。PE结构（Portable Executable Structure）是Windows操作系统用于执行可执行文件和动态链接库（DLL）的标准格式。节表（Section Table）是PE结构中的一个部分，它记录了可执行文件或DLL中每个区域的详细信息，例如代码、数据、资源等。 阅读全文

摘要： 在笔者的上一篇文章`《内核特征码扫描PE代码段》`中`LyShark`带大家通过封装好的`LySharkToolsUtilKernelBase`函数实现了动态获取内核模块基址，并通过`ntimage.h`头文件中提供的系列函数解析了指定内核模块的`PE节表`参数，本章将继续延申这个话题，实现对PE文件导出表的解析任务，导出表无法动态获取，解析导出表则必须读入内核模块到内存才可继续解析，所以我们需要分两步走，首先读入内核磁盘文件到内存，然后再通过`ntimage.h`中的系列函数解析即可。 阅读全文

摘要： 本文介绍了几种常见的排序算法的实现，包括冒泡排序、选择排序、插入排序、希尔排序、归并排序和快速排序。冒泡排序通过多次遍历数组，比较并交换相邻元素，逐步将较小元素“浮”到数组顶端，时间复杂度为O(n^2)。选择排序通过选择未排序部分的最小元素进行交换，逐步完成整个数组排序，同样具有O(n^2)的时间复杂度。插入排序将数组分为已排序和未排序部分，逐个插入未排序元素到已排序部分的合适位置，时间复杂度为O(n^2)。希尔排序是插入排序的改进版本，通过分组插入排序，最终得到有序数组，时间复杂度在O(n log n)到O(n^2)之间。归并排序采用分治策略，递归拆分和合并数组，时间复杂度始终为O(n log n)，但需要额外空间。最后，快速排序通过选择基准值划分数组，并递归排序子数组，平均时间复杂度为O(n log n)，但最坏情况下为O(n^2)。这些算法各有特点，适用于不同场景。 阅读全文

摘要： 在Windows编程中，经常会遇到需要对数据进行压缩和解压缩的情况，数据压缩是一种常见的优化手段，能够减小数据的存储空间并提高传输效率。Windows提供了这些API函数，本文将深入探讨使用Windows API进行数据压缩与解压缩的过程，主要使用`ntdll.dll`库中的相关函数。 阅读全文

摘要： Web指纹识别是一种通过分析Web应用程序的特征和元数据，以确定应用程序所使用的技术栈和配置的技术。这项技术旨在识别Web服务器、Web应用框架、后端数据库、JavaScript库等组件的版本和配置信息。通过分析HTTP响应头、HTML源代码、JavaScript代码、CSS文件等，可以获取关于Web应用程序的信息。指纹识别在信息搜集、渗透测试、安全审计等方面具有重要作用。有许多开源和商业工具可以用于执行Web指纹识别，例如Wappalyzer、WebScarab、Nmap等。 阅读全文

摘要： PEB结构`(Process Envirorment Block Structure)`其中文名是进程环境块信息，进程环境块内部包含了进程运行的详细参数信息，每一个进程在运行后都会存在一个特有的PEB结构，通过附加进程并遍历这段结构即可得到非常多的有用信息。在应用层下，如果想要得到PEB的基地址只需要取`fs:[0x30]`即可，TEB线程环境块则是`fs:[0x18]`，如果在内核层想要得到应用层进程的PEB信息我们需要调用特定的内核函数来获取。 阅读全文

摘要： 在上一篇文章`《内核取ntoskrnl模块基地址》`中我们通过调用内核API函数获取到了内核进程`ntoskrnl.exe`的基址，当在某些场景中，我们不仅需要得到内核的基地址，也需要得到特定进程内某个模块的基地址，显然上篇文章中的方法是做不到的，本篇文章将实现内核层读取32位应用层中特定进程模块基址功能。上一篇文章中的`PPEB32,PLIST_ENTRY32`等结构体定义依然需要保留，此处只保留核心代码，定义部分请看前一篇文章，自定义读取模块基址核心代码如下，调用`GetModuleBaseWow64()`用户需传入进程的`PROCESS`结构该结构可通过内核函数`PsLookupProcessByProcessId`获取到。 阅读全文

摘要： 模块是程序加载时被动态装载的，模块在装载后其存在于内存中同样存在一个内存基址，当我们需要操作这个模块时，通常第一步就是要得到该模块的内存基址，模块分为用户模块和内核模块，这里的用户模块指的是应用层进程运行后加载的模块，内核模块指的是内核中特定模块地址，本篇文章将实现一个获取驱动`ntoskrnl.exe`的基地址以及长度，此功能是驱动开发中尤其是安全软件开发中必不可少的一个功能。关于该程序的解释，官方的解析是这样的`ntoskrnl.exe`是`Windows`操作系统的一个重要内核程序，里面存储了大量的二进制内核代码，用于调度系统时使用，也是操作系统启动后第一个被加载的程序，通常该进程在任务管理器中显示为`System`。 阅读全文

摘要： 在前面的文章中`LyShark`一直在重复的实现对系统底层模块的枚举，今天我们将展开一个新的话题，内核监控，我们以`监控进程线程`创建为例，在`Win10`系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现，此类函数的原理是创建一个回调事件，当有进程或线程被创建或者注销时，系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。 阅读全文

摘要： 在笔者前一篇文章`《内核文件读写系列函数》`简单的介绍了内核中如何对文件进行基本的读写操作，本章我们将实现内核下遍历文件或目录这一功能，该功能的实现需要依赖于`ZwQueryDirectoryFile`这个内核API函数来实现，该函数可返回给定文件句柄指定的目录中文件的各种信息，此类信息会保存在`PFILE_BOTH_DIR_INFORMATION`结构下，通过遍历该目录即可获取到文件的详细参数，如下将具体分析并实现遍历目录功能。 阅读全文