LYSHARK

摘要： ARP （Address Resolution Protocol，地址解析协议），是一种用于将 `IP` 地址转换为物理地址（`MAC地址`）的协议。它在 `TCP/IP` 协议栈中处于链路层，为了在局域网中能够正确传输数据包而设计，由协议数据单元和对应的操作命令组成。`ARP` 既可以由操作系统处理，也可以由网卡处理。该协议的作用是通过一个局域网上的互联网协议(IP)地址来查询对应的物理硬件地址，如数据包发送到路由器时，ARP 协议将使用嵌入在数据包中的目的 IP 地址查找对应的物理地址，路由器根据获取的 MAC 地址转发数据包到下一个网络。 阅读全文

摘要： dpkt项目是一个`Python`模块，主要用于对网络数据包进行解析和操作。它可以处理多种协议，例如`TCP`、`UDP`、`IP`等，并提供了一些常用的网络操作功能，例如计算校验和、解析`DNS`数据包等。由于其简单易用的特性，`dpkt`被广泛应用于网络安全领域，例如流量分析、漏洞利用、入侵检测等。使用该库可以快速解析通过各类抓包工具抓到的数据包，从而提取分析包内的参数。在分析数据包之前我们需要抓取特定数据包并保存为`*.pcap`格式，通常情况下这种数据包格式可通过`WireShark`等工具抓取到，当然也可以使用上一篇提到的`Scapy`库实现，该库中存在一个`sniff`函数，该函数可以实现网络抓包功能，如下一个演示案例我们分别通过`sniff(count=2)`函数抓取两个数据包并使用`wrpcap()`函数将其保存到文件内，当需要分析时可通过调用`rdpcap()`函数打开数据包即可实现分析。 阅读全文

摘要： 端口扫描是一种网络安全测试技术，该技术可用于确定对端主机中开放的服务，从而在渗透中实现信息搜集，其主要原理是通过发送一系列的网络请求来探测特定主机上开放的`TCP/IP`端口。具体来说，端口扫描程序将从指定的起始端口开始，向目标主机发送一条`TCP`或`UDP`消息（这取决于端口的协议类型）。如果目标主机正在监听该端口，则它将返回一个确认消息，这表明该端口是开放的。如果没有响应，则说明该端口是关闭的或被过滤。 阅读全文

摘要： PeFile模块是`Python`中一个强大的便携式第三方`PE`格式分析工具，用于解析和处理`Windows`可执行文件。该模块提供了一系列的API接口，使得用户可以通过`Python`脚本来读取和分析PE文件的结构，包括文件头、节表、导入表、导出表、资源表、重定位表等等。此外，PEfile模块还可以帮助用户进行一些恶意代码分析，比如提取样本中的字符串、获取函数列表、重构导入表、反混淆等等。PEfile模块是Python中处理PE文件的重要工具之一，广泛应用于二进制分析、安全研究和软件逆向工程等领域。由于该模块为第三方模块，在使用之前读者需要在命令行下执行`pip install pefile`命令安装第三方库，当安装成功后即可正常使用，如下所示则是该模块的基本使用方法，读者可自行学习理解。 阅读全文

摘要： Ping 使用 `Internet` 控制消息协议（`ICMP`）来测试主机之间的连接。当用户发送一个 `ping` 请求时，则对应的发送一个 `ICMP Echo` 请求消息到目标主机，并等待目标主机回复一个 `ICMP Echo` 回应消息。如果目标主机接收到请求并且网络连接正常，则会返回一个回应消息，表示主机之间的网络连接是正常的。如果目标主机没有收到请求消息或网络连接不正常，则不会有回应消息返回。Ping的实现依赖于`ICMP`协议，Internet控制消息协议（Internet Control Message Protocol，简称 ICMP）是一种在`IP`网络上发送控制消息的协议。主要是用于在 `IP` 网络上进行错误处理和诊断。ICMP协议是运行在网络层的协议，它的主要作用是向源主机和目标主机发送控制消息，帮助网络诊断和监控。这些控制消息通常是由网络设备（如路由器、交换机、防火墙等）生成或捕获，并在整个网络传输。 阅读全文

摘要： 在之前的代码中我们并没有对套接字进行加密，在未加密状态下我们所有的通信内容都是明文传输的，这种方式在学习时可以使用但在真正的开发环境中必须要对数据包进行加密，此处笔者将演示一种基于时间的加密方法，该加密方法的优势是数据包每次发送均不一致，但数据包内的内容是一致的，当抓包后会发现每次传输的数据包密文是随机变化的，但内容始终保持一致，也就是说两个拥有相同内容的数据被加密后，数据包密文不同，其主要运用了基于当前时间戳的通信机制。 阅读全文

摘要： 对于网络通信中的服务端来说，显然不可能是一对一的，我们所希望的是服务端启用一份则可以选择性的与特定一个客户端通信，而当不需要与客户端通信时，则只需要将该套接字挂到链表中存储并等待后续操作，套接字服务端通过多线程实现存储套接字和选择通信，可以提高服务端的并发性能，使其能够同时处理多个客户端的请求。在实际应用场景中，这种技术被广泛应用于网络编程、互联网应用等领域。该功能的具体实现思路可以总结为如下流程；在服务端启动时，创建套接字并进行绑定，然后开启一个线程（称为主线程）用于监听客户端的连接请求。主线程在接收到新的连接请求后，会将对应的套接字加入一个数据结构（例如链表、队列、哈希表等）中进行存储。同时，主线程会将存储套接字的数据结构传递给每个子线程，并开启多个子线程进行服务，每个子线程从存储套接字的数据结构中取出套接字，然后通过套接字与客户端进行通信。 阅读全文

摘要： 首先我们来实现一个`DNS`查询功能，该功能的目的是传入一个网站域名自动将该域名解析为对应的`IP`地址，该功能的实现依赖于`gethostbyname`函数，该函数将主机名作为参数，并返回一个指向`hostent`类型结构的指针，结构包含有关主机的信息。结构包含许多字段，其中最重要的是`h_name`和`h_addr_list`。`h_name`是主机名，`h_addr_list`是一个指向具有主机`IP`地址的地址列表的指针。 阅读全文

摘要： 网络上的文件传输功能也是很有必要实现一下的，网络传输文件的过程通常分为客户端和服务器端两部分。客户端可以选择上传或下载文件，将文件分块并逐块发送到服务器，或者从服务器分块地接收文件。服务器端接收来自客户端的请求，根据请求类型执行对应的操作，并根据发送的文件名或其他标识来确定要传输的文件。在实现文件传输之前，需要先打开要传输的文件，并获取文件的大小信息，也可以通过其他方式获取文件的信息。在客户端和服务器端都准备就绪后，可以通过套接字来发送文件数据。在传输文件的过程中，可以将文件分解为若干个数据包进行传输，以减少数据传输中的丢包或传输错误。每个数据包的长度可以根据实际情况进行选择，通常选择`1024`字节或更大，也可以设置成更小的值。传输文件的过程中，还需要实现一定的错误处理机制，例如检测传输过程中的超时、丢包、不完整数据等情况，并在必要时进行错误重传或协商其他解决方案。 阅读全文

摘要： 通常情况下我们在编写套接字通信程序时都会实现一收一发的通信模式，当客户端发送数据到服务端后，我们希望服务端处理请求后同样返回给我们一个状态值，并以此判断我们的请求是否被执行成功了，另外增加收发同步有助于避免数据包粘包问题的产生，在多数开发场景中我们都会实现该功能。Socket粘包是指在使用TCP协议传输数据时，发送方连续向接收方发送多个数据包时，接收方可能会将它们合并成一个或多个大的数据包，而不是按照发送方发送的原始数据包拆分成多个小的数据包进行接收。 阅读全文

摘要： 在上述内容中笔者通过一个简单的案例给大家介绍了在套接字编程中如何传递结构体数据，本章将继续延申结构体传输，在某些时候例如我们需要传输一些当前系统的进程列表信息，或者是当前主机中的目录文件，此时就需要使用循环结构体传输功能，循环传输结构体的关键点在于，客户端发送结构体数据之前需要通过一次通信来告诉服务端需要接收的次数，当服务端接收到次数时则可利用接收计数器依次循环接收数据直到客户端完整所有数据包的发送。 阅读全文

摘要： 当在套接字编程中传输结构体时，可以将结构体序列化为字符串（即把结构体的所有成员打包成一个字符串），然后将字符串通过套接字传输到对端，接收方可以将字符串解析为结构体，然后使用其中的成员数据。这种方法通常被称为序列化（Serialization）和反序列化（Deserialization），本章中我们可以采用将一个结构体序列化为一个纯字符串，然后将该字符串通过套接字传输给对端，当对端收到后只需要将字节序强制转换为对等的结构体指针即可实现对该结构的解析。 阅读全文

摘要： 组播通信是一种基于UDP协议的网络通信方式，它允许发送方将消息同时传递给多个接收方。在组播通信中，发送方和接收方都会加入一个共同的组播组，这个组播组对应一个特定的IP地址，所有加入该组播组的主机都能够接收到发送方发送的消息。组播通信可以有效地减少网络流量和网络负载，因为在传统的点对点通信方式下，每个消息都需要单独传输到每个接收方，而在组播通信中，每个消息只需要传输一次，就可以同时传递给多个接收方。在使用组播模式时，需要在套接字上使用`setsockopt()`函数来设置套接字的`IP_MULTICAST_IF`选项，指定本地主机的出站接口地址，用于发送组播数据包。此外，还可以设置`IP_ADD_MEMBERSHIP`选项，将套接字加入到一个特定的组播组中，以便接收该组播组中的数据包。 阅读全文

摘要： 在进行驱动开发之前，您需要先安装适当的开发环境和工具。首先，您需要安装`Windows`驱动开发工具包（WDK），这是一组驱动开发所需的工具、库、示例和文档。然后，您需要安装`Visual Studio`开发环境，以便编写和调试驱动程序。在安装WDK和`Visual Studio`之后，您还需要配置适当的项目设置，以便能够正确编译和构建驱动程序。 阅读全文

摘要： 任何一个成熟的软件都会具有可扩展性，可扩展性是现代软件的一个重要特征，因为它使软件更易于维护和适应变化的需求，`x64dbg`也不例外其可通过开发插件的方式扩展其自身功能，`x64dbg`提供了多种插件接口，包括脚本插件、DLL插件、Python插件和.NET插件等。此外，`x64dbg`还支持用户自定义命令和快捷键。这使得用户可以自由地扩展和自定义软件的功能，从而更好地适应开发需求。我们以`C/C++`语言为开发模板，`x64dbg`插件表现出来的其实也是一个`DLL`文件，他里面导出了`x64dbg`所需要的几个函数，从而可以在`x64dbg`启动时被加载，除去所必须的导出函数外，其他功能的实现与`DLL`基本一致。 阅读全文

摘要： 所谓双向数据传输指的是客户端与服务端之间可以无差异的实现数据交互，此类功能实现的核心原理是通过创建`CreateThread()`函数多线程分别接收和发送数据包，这样一旦套接字被建立则两者都可以异步发送消息，本章将实现简单的双向交互功能。首先我们需要封装两个函数，这里`RecvFunction`函数用于接收数据，`SendFunction`函数则用于发送数据，这两段代码在服务端与客户端之间是一致的两者可被共用。 阅读全文

摘要： x64dbg 是一款开源、免费、功能强大的动态反汇编调试器，它能够在`Windows`平台上进行应用程序的反汇编、调试和分析工作。与传统的调试器如`Ollydbg`相比，x64dbg调试器的出现填补了`Ollydbg`等传统调试器的不足，为反汇编调试工作提供了更高效、更可靠的解决方案。正是因为有了这些优点，才能使其成为当今最受欢迎的反汇编调试软件之一。 阅读全文

摘要： 在前一节中我们简单介绍了D3D绘制窗体所具备的基本要素，本节将继续探索外部绘制技术的实现细节，并以此实现一些简单的图形绘制功能，首先外部绘制的核心原理是通过动态创建一个新的窗口并设置该窗口属性为透明无边框状态，通过消息循环机制实现对父窗口的动态跟随附着功能，当读者需要绘制新的图形时只需要绘制在透明窗体之上即可实现动态显示的效果。 阅读全文

摘要： 首先为什么要实行分块传输字符串，一般而言`Socket`套接字最长发送的字节数为`8192`字节，如果发送的字节超出了此范围则后续部分会被自动截断，此时将字符串进行分块传输将显得格外重要，分块传输的关键在于封装实现一个字符串切割函数，将特定缓冲区内的字串动态切割成一个个小的子块，当切割结束后会得到该数据块的个数，此时通过套接字将个数发送至服务端此时服务端在依次循环接收数据包直到接收完所有数据包之后在组合并显示即可。 阅读全文

摘要： 在本节，我们将继续深入探讨套接字通信技术，并介绍一种常见的用法，实现反向远程命令执行功能。对于安全从业者而言，经常需要在远程主机上执行命令并获取执行结果。本节将介绍如何利用 `_popen()` 函数来启动命令行进程，并将输出通过套接字发送回服务端，从而实现远程命令执行的功能。在实现反向远程命令执行时，我们可以使用 `_popen(buf, "r")` 函数来执行特定的命令，并将其输出重定向到一个可读的缓冲区中。这个缓冲区将保存命令的输出内容，我们可以将其发送回控制程序，也就是服务端，从而实现远程命令执行的目标。 阅读全文

摘要： Winsock是Windows操作系统上的套接字API，用于在网络上进行数据通信。套接字通信是一种允许应用程序在计算机网络上进行实时数据交换的技术。通过使用Windows提供的API，应用程序可以创建一个套接字来进行数据通信。这个套接字可以绑定到一个端口，以允许其他应用程序连接它。另外，Winsock可以使用TCP/IP、UDP等协议来完成不同类型的数据传输任务。在网络应用程序开发中，套接字通信可以帮助应用程序开发者实现客户端/服务端模型，并实现数据的可靠传输。一般套接字通信需要经历，创建套接字(Socket)，绑定(Bind)，监听(Listen)，接受(Accept)，连接(Connect)，发送数据(Send)，接收数据(Receive)，关闭(Close)等几个关键步骤，当读者需要使用网络通信时需引入`winsock2.h`头文件，并通过`#pragma comment(lib,"ws2_32.lib")`包含对应库，需要注意的是该头文件与`windows.h`头冲突，如果两者同时存在则会出现编译不通过的情况。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： C/C++语言是一种通用的编程语言，具有高效、灵活和可移植等特点。C语言主要用于系统编程，如操作系统、编译器、数据库等；C语言是C语言的扩展，增加了面向对象编程的特性，适用于大型软件系统、图形用户界面、嵌入式系统等。C/C++语言具有很高的效率和控制能力，但也需要开发人员自行管理内存等底层资源，对于初学者来说可能会有一定的难度。 阅读全文

摘要： DirectX 9 是由微软开发的一组多媒体应用程序接口API，用于创建和运行基于Windows平台的多媒体应用程序，尤其是游戏。它是DirectX系列中的一个版本，于2002年发布，是DirectX系列中的一个重要版本，DirectX 9在其发布时引入了许多新的功能和性能优化，成为当时PC游戏开发的主要标准，许多经典的PC游戏使用了DX9作为其图形和音频渲染引擎。虽然后续出现了更多强大的引擎，但本质上都是可以兼容Dx9的。在使用Dx9引擎之前读者需要自行下载该绘制库，当然在课件中笔者已经为大家准备了绿色版，读者可自行解压到指定目录下，在目录下有一个Developer Runtime其内部是引擎运行时所需要的运行环境，读者可根据不同的需求安装对应位数的运行库，安装成功后则可配置开发目录，一般而言我们只需要关注Include引入目录，以及Lib库目录即可。 阅读全文

摘要： 本节将向读者介绍如何使用键盘鼠标操控模拟技术，键盘鼠标操控模拟技术是一种非常实用的技术，可以自动化执行一些重复性的任务，提高工作效率，在Windows系统下，通过使用各种键盘鼠标控制函数实现动态捕捉和模拟特定功能的操作。有时我们经常需要进行重复性的鼠标操作，例如繁琐的点击、拖拽。这些任务可能消耗大量时间和精力，为了解决这个问题，可自行设计并实现一个简单而强大的鼠标录制回放工具，旨在帮助用户轻松录制鼠标动作，通过借助鼠标录制回放工具，用户可以轻松实现自动化操作，从而解放双手。 阅读全文

摘要： 本节将向读者介绍如何使用键盘鼠标操控模拟技术，键盘鼠标操控模拟技术是一种非常实用的技术，可以自动化执行一些重复性的任务，提高工作效率，在Windows系统下，通过使用各种键盘鼠标控制函数实现动态捕捉和模拟特定功能的操作。键盘鼠标的模拟是实现自动化的必备流程，通常我们可以使用`keybd_event()`实现对键盘的击键模拟，使用`SetCursorPos()`实现对鼠标的模拟，使用两者的配合读者可以很容易的实现对键盘鼠标的控制，本节将依次封装实现，模拟键盘鼠标控制功能，读者可根据自己的实际需求选用不同的函数片段。 阅读全文

摘要： 本节将介绍如何使用`Windows API`中的`SetWindowsHookEx`和`RegisterHotKey`函数来实现键盘鼠标的监控。这些函数可以用来设置全局钩子，通过对特定热键挂钩实现监控的效果，两者的区别在于`SetWindowsHookEx`函数可以对所有线程进行监控，包括其他进程中的线程，而`RegisterHotKey`函数只能对当前线程进行监控。首先我们来实现注册热键功能，注册热键可以使用`RegisterHotKey()`函数，该函数可以将一个热键与当前应用程序或线程绑定，使得当用户按下热键时，系统会自动将该热键的消息发送到该应用程序或线程中 阅读全文