2016年8月17日

jni程序中获取签名信息打印截断问题

摘要:在jni获取的签名信息打印出来与java层获取的不一样,少了一部分,验证jni程序LOG最长只能打印1024字节,因此不是获取错误,只是打印限制。 阅读全文

posted @ 2016-08-17 16:39 -Vi 阅读 (52) 评论 (0) 编辑

2016年8月3日

关于CentOS7安装的常见问题解答

摘要:CentOS7最小化安装后再安装GNOME图形界面:http://www.linuxidc.com/Linux/2015-12/126690.htm 无法安装VMtools:http://www.th7.cn/system/lin/201601/151315.shtml 安装VMwere Tools 阅读全文

posted @ 2016-08-03 19:44 -Vi 阅读 (123) 评论 (0) 编辑

2016年7月22日

关于烧饼游戏修改器的分析

摘要:一、前言 烧饼游戏修改器是一款元老级的游戏修改器,提供了精确搜索、模糊搜索、联合搜索、数据过滤、存储搜索与读取搜索等功能。主要实现搜索手机进程的内存数据并做相应修改。 本文中分析的版本为2.0.2(34),SDK:8,TargetSDK:17,代码经过混淆,修改器基本使用方法为输入需要修改的数据进行 阅读全文

posted @ 2016-07-22 17:53 -Vi 阅读 (1505) 评论 (0) 编辑

2016年4月17日

夜有所想

摘要:不知不觉来深圳已经两个月了,最近晚上总是睡不着。 人在工作中往往容易处于被动状态,能把自己的兴趣特长和公司的利益结合起来都是极其幸运的。当我自己的兴趣和公司对我的定位产产生冲突时,曾向同事q交流过这个事情,用q的话说,老板交给你的事情是要站在比技术更高的角度去做的事情,不能技术情节太重了。 那天回家 阅读全文

posted @ 2016-04-17 20:07 -Vi 阅读 (71) 评论 (0) 编辑

2016年4月14日

Inline Hook

摘要:工作方式如下: 1.1调用GetProcAddress对内存中要拦截的函数进行定位(如Kernel32.dll的ExitProcess),得到它的内存地址。 1.2把这个函数起始的几个字节保存到我们的内存中。 1.3用CPU的JUMP汇编指令来覆盖这个函数的起始几个字节,这条JUMP指令用来跳转到我 阅读全文

posted @ 2016-04-14 22:03 -Vi 阅读 (809) 评论 (0) 编辑

HOOK 系统消息

摘要:微软提供了一个消息HOOK的API SetWindowsHookEx(); 一般情况下此API函数多用于注入。 详情:https://msdn.microsoft.com/en-us/library/windows/desktop/ms644990(v=vs.85).aspx 此API参数钩子的种类 阅读全文

posted @ 2016-04-14 21:56 -Vi 阅读 (634) 评论 (1) 编辑

2016年1月7日

引用和指针的区别

摘要:引用和指针都是复合类型,主要区别: 引用:本身并非对象,只是一个别名,定义时必须初始化对象,一旦定义则无法绑定其他对象;不能定义指向引用的指针。 指针:本身也是一个对象,定义时可以不用初始化(当然不推荐这样做),再次赋值时指针指针指向新的对象;可以定义指向指针的引用。如:int *p;int *... 阅读全文

posted @ 2016-01-07 15:50 -Vi 阅读 (68) 评论 (0) 编辑

PEB和TEB资料整合

摘要:一、概念 TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每... 阅读全文

posted @ 2016-01-07 15:25 -Vi 阅读 (454) 评论 (0) 编辑

2015年12月25日

为python添加magic进行文件类型识别

摘要:最近想看看cuckoo里的文件识别功能是怎样实现的,翻了cuckoo源码,发现其对文件格式的判断代码如下:def _get_filetype(self, data): """Gets filetype, uses libmagic if available. @param... 阅读全文

posted @ 2015-12-25 10:41 -Vi 阅读 (3184) 评论 (3) 编辑

2015年12月9日

利用repne scas byte ptr es:[edi]计算字符串长度

摘要:edi:存放字符串al:存放字符xrepne scas byte ptr es:[edi] :遍历字符串,每循环一次ecx-1,遇到字符x则停止汇编中一个很经典的计算字符串长度的方法便是利用了这条指令。00406930 /$ 89FA mov edx,edi 0040693... 阅读全文

posted @ 2015-12-09 17:34 -Vi 阅读 (1139) 评论 (0) 编辑

导航

统计