摘要:逆向学习QQ群: 725864912 (之前群无缘无故封了,没加我好友的.我也没法给你发消息了.看到了之后重新加下把.) 福利以及注意事项 注意: 1.进群第一时间改名.定期进行清理.名字不改别人问你技术都不知道怎么问你.给自己起个艺名. 2.群内禁止广告 黄图 等各种违法.这个自己多注意即可. 3 阅读全文
posted @ 2017-09-26 13:59 iBinary 阅读 (2714) 评论 (13) 编辑
摘要:[toc] 一丶 PowerShell简介 二丶PowerShell简单命令学习 1.PowerShell简单命令 动词与名字结合 Get command verb Get 查看所有命令为“Get的命令” Get command verb set 查看所有命令为“Set的命令” Get comman 阅读全文
posted @ 2020-03-06 11:55 iBinary 阅读 (72) 评论 (0) 编辑
摘要:[toc] 启动调试附加 一丶简介 启动调试附加,一般用于我想调试一个程序,当这个程序启动的时候自动附加调试器。这跟 OllyDbg X64Dbg 等调试器设置为默认调试器无关。 设置的默认调试器只有在程序出现异常的时候才会启动。 启动调试附加是指的是当某一个程序启动的时候才会附加。 二丶操作步骤 阅读全文
posted @ 2020-03-05 09:55 iBinary 阅读 (77) 评论 (0) 编辑
摘要:[toc] 一丶第一种方式 在实际工作中会遇到很多strlen. 这里针对strlen函数做一下代码还原. 并且讲解其原理 高级代码如下: 请不要关注scanf_s 为了编译器能够正确编译加上自己懒得去掉SDL检查.所以加了.这里的scanf_s 只是为了防止编译器直接全部优化掉. 对应汇编代码如下 阅读全文
posted @ 2020-01-11 00:08 iBinary 阅读 (93) 评论 (0) 编辑
摘要:原理: 原理主要是 使用 VirtualQueryEx 函数. 函数遍历之后会将内存信息反馈到一个Buf中.这个Buf是个结构体 PMEMORY_BASIC_INFORMATION 阅读全文
posted @ 2019-12-25 11:58 iBinary 阅读 (164) 评论 (0) 编辑
摘要:代码: C++ include include pragma comment(lib,"psapi.lib") void GetPathByProcessId(DWORD dwPid) { //使用PROCESS_ALL_ACCESS 需要提权这里我直接扣出来的.提权代码看另一篇. HANDLE h 阅读全文
posted @ 2019-12-25 11:51 iBinary 阅读 (155) 评论 (0) 编辑
摘要:标题: kernel shellcode之寻找ntoskrnl.exe基址 http://scz.617.cn:8/windows/201704171416.txt 以64 bits为例,这是Eternalblue所用函数: x64内核态GS:0指向nt!_KPCR。对于x64,必须从相应的MSR中 阅读全文
posted @ 2019-12-04 17:33 iBinary 阅读 (121) 评论 (0) 编辑
摘要:[toc] 一丶挂起进程注入简介与前言 挂起进程其实就是在创建进程的时候不让其先执行.然后获取它的EIP 将它的EIP变成我们ShellCode所在的内存.进行执行.不难. 主要分为几步: 1.以 CREATE_SUSPENDED 标志挂起创建一个你想注入的进程 2.获取这个进程的上下文环境 Get 阅读全文
posted @ 2019-12-03 17:52 iBinary 阅读 (181) 评论 (0) 编辑
该文被密码保护。
posted @ 2019-12-03 11:22 iBinary 阅读 (7) 评论 (0) 编辑
该文被密码保护。
posted @ 2019-10-19 19:26 iBinary 阅读 (3) 评论 (0) 编辑
摘要:[toc] 一丶简介 整理一下windows内核中.常用的代码.这里只整理下进程的相关代码. 二丶 windows内核之遍历进程 内核中记录进程的结构体是 EPROCESS 结构.所以只需要遍历这个结构即可.标准方法可以使用 ZwQuerySystemInformation 函数.使用 System 阅读全文
posted @ 2019-10-19 19:05 iBinary 阅读 (238) 评论 (0) 编辑