摘要:
第一届flare on的最后一题 32位exe,拖进ida 想到我没写过什么关于反调的内容,这里详细说一下每个函数 FUNC1 使用IsDebuggerPresent,调试时会返回1 FUNC2 使用peb中的BeingDebugged,当调试时这个值为1 FUNC3 这里通过IDT检查是否使用虚拟 阅读全文
摘要:
1 安装vcpkg > git clone https://github.com/microsoft/vcpkg > .\vcpkg\bootstrap-vcpkg.bat 坑:此项目需要缓解了 Spectre 漏洞的库 解决方法: 2 安装相关依赖 vcpkg install pe-parse:x 阅读全文
摘要:
写入部分 1,壳文件新增一个节 2,源文件与Harmonica异或 3,加密后源文件放入新增节中 4,存盘 VOID Shell(WCHAR* shellName, WCHAR* srcName) { FILE* fpShell; FILE* fpSrc; _wfopen_s(&fpShell, s 阅读全文
摘要:
1,拉伸文件 2,打开进程 3,分配空间 4,修复重定位表 5,修复IAT表 6,写入模块 7,创建远程线程 //内存写入注入 CHAR* SrcBuffer; // CHAR* ImageBuffer; //拉伸后的源文件 DWORD SizeOfImage; DWORD ImageBase; D 阅读全文
摘要:
1,打开一个进程 2,在进程内分配一块内存 3,把要导入的库名写入空间 4,创建远程线程,以LoadLibrary为线程函数,写入的库名为参数 DWORD Inject(DWORD PID, WCHAR* ModuleName) { HANDLE hProcess = OpenProcess(PRO 阅读全文