摘要： 1. 脚本文件格式 // 注释以 // 开头 // 脚本扩展名: .osc 或 .txt var variable_name // 声明变量 mov variable_name, value // 赋值 cmp variable, value // 比较 je label_name // 条件跳转 阅读全文

摘要： 一、单步跟踪（不详细，需要补充） IDA第一次解密： ***** EAX初始为：00007EFC ECX=1951 解码长度 一、Eax =len +EAX *4 + 103 AL 为KEY 二、ax = AAM 9 **************** auto start_addr = 0x004c 阅读全文

摘要： 一、方法 反调试技术 检测方法 绕过方案 IsDebuggerPresent PEB+0x2 修改 EAX=0 或 PEB CheckRemoteDebuggerPresent API 调用 同样修改返回值 NtGlobalFlag PEB+0x68 改为 0 Heap.Flags PEB+0x30 阅读全文

摘要： 一、 Microsoft Visual C++ 6.0 ; 标准 OEP 特征 00401000 55 PUSH EBP 00401001 8BEC MOV EBP,ESP 00401003 6A FF PUSH -1 00401005 68 XXXXXXXX PUSH 004C0618 ; 模块特 阅读全文

摘要： 一、符号设置 （1）接到 Internet .sympath srv*C:\MyServerSymbols*https://msdl.microsoft.com/download/symbols （2）未连INTERNET 待补充 参考链接： https://learn.microsoft.com/ 阅读全文

摘要： 一、通过powershell获取安装的软件信息 function Get-InstalledSoftware { $softwareList = @() # Windows注册表（32位和64位） $regPaths = @( "HKLM:\SOFTWARE\Microsoft\Windows\Cu 阅读全文

摘要： -- 查看表空间总大小和使用率 SELECT a.tablespace_name, total_mb, free_mb, (total_mb - free_mb) used_mb, round((1 - free_mb/total_mb)*100, 2) pct_used FROM ( SELECT 阅读全文

摘要： ###Windows64位程序：以C++函数调用: 参数传递规则:前四个整数类型(包括指针)或浮点类型的参数会依次通过奇存器rcx、rdx、r8和r9传递，后续的参数则通过栈来传递。从右往左的顺序。###Linux64位程序： 参数少于7个时：参数从左到右依次放入寄存器：rdi、rsi、rdx、rc 阅读全文

摘要： 一、码中对MIME进行过滤： if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) && ( $uploaded_size < 100000 ) ) { // Can we move the file to t 阅读全文

摘要： ASLR全称Address Space Layout Randomization，又称地址空间配置随机化、地址空间布局随机化关闭ASLR： 将IMAGE_OPTIONAL_HEADER\DllCharacteristics中的IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE 阅读全文