欢迎来到IBinary的博客

想学习,有问题请加群.群号:928825835 群名称: 逆向学习小分队 群里有大量学习资源. 以及定期直播答疑.有一个良好的学习氛围. 涉及到外挂反外挂病毒 司法取证加解密 驱动过保护 VT 等技术.
大大大
小小小

2017年9月26日

[置顶] 课堂资料下载-有问题加群-为杜绝有广告泛滥.固加群收费.

摘要:逆向学习QQ群: 928825835 福利以及注意事项 注意: 1.进群第一时间改名.定期进行清理.名字不改别人问你技术都不知道怎么问你.给自己起个艺名. 2.群内禁止广告 黄图 等各种违法.这个自己多注意即可. 3.群里禁止装大手. 意为 如果有人问你问题.你做过这个而你抛出悬念. 而不详细说明. 阅读全文

posted @ 2017-09-26 13:59 iBinary 阅读 (2481) 评论 (12) 编辑

2020年1月11日

strlen的另一种实现,可以作为ShellCode

摘要:在实际工作中会遇到很多strlen. 这里针对strlen函数做一下代码还原. 并且讲解其原理 高级代码如下: 请不要关注scanf_s 为了编译器能够正确编译加上自己懒得去掉SDL检查.所以加了.这里的scanf_s 只是为了防止编译器直接全部优化掉. 对应汇编代码如下: 提取出的strlen的汇 阅读全文

posted @ 2020-01-11 00:08 iBinary 阅读 (13) 评论 (0) 编辑

2019年12月25日

windows-遍历另一进程内存根据进程PID

摘要:原理: 原理主要是 使用 VirtualQueryEx 函数. 函数遍历之后会将内存信息反馈到一个Buf中.这个Buf是个结构体 PMEMORY_BASIC_INFORMATION 阅读全文

posted @ 2019-12-25 11:58 iBinary 阅读 (58) 评论 (0) 编辑

windows-根据进程PID 获取进程路径

摘要:代码: C++ include include pragma comment(lib,"psapi.lib") void GetPathByProcessId(DWORD dwPid) { //使用PROCESS_ALL_ACCESS 需要提权这里我直接扣出来的.提权代码看另一篇. HANDLE h 阅读全文

posted @ 2019-12-25 11:51 iBinary 阅读 (60) 评论 (0) 编辑

2019年12月4日

kernel 获取ntoskrnl.exe基址

摘要:标题: kernel shellcode之寻找ntoskrnl.exe基址 http://scz.617.cn:8/windows/201704171416.txt 以64 bits为例,这是Eternalblue所用函数: x64内核态GS:0指向nt!_KPCR。对于x64,必须从相应的MSR中 阅读全文

posted @ 2019-12-04 17:33 iBinary 阅读 (63) 评论 (0) 编辑

2019年12月3日

ring3 x32挂起进程注入原理.

摘要:[toc] 一丶挂起进程注入简介与前言 挂起进程其实就是在创建进程的时候不让其先执行.然后获取它的EIP 将它的EIP变成我们ShellCode所在的内存.进行执行.不难. 主要分为几步: 1.以 CREATE_SUSPENDED 标志挂起创建一个你想注入的进程 2.获取这个进程的上下文环境 Get 阅读全文

posted @ 2019-12-03 17:52 iBinary 阅读 (89) 评论 (0) 编辑

CryEntryBuffer

该文被密码保护。

posted @ 2019-12-03 11:22 iBinary 阅读 (7) 评论 (0) 编辑

2019年10月19日

windows内核代码之线程操作(只完成一部分暂不公开)

该文被密码保护。

posted @ 2019-10-19 19:26 iBinary 阅读 (3) 评论 (0) 编辑

windows内核代码之进程操作

摘要:[toc] 一丶简介 整理一下windows内核中.常用的代码.这里只整理下进程的相关代码. 二丶 windows内核之遍历进程 内核中记录进程的结构体是 EPROCESS 结构.所以只需要遍历这个结构即可.标准方法可以使用 ZwQuerySystemInformation 函数.使用 System 阅读全文

posted @ 2019-10-19 19:05 iBinary 阅读 (176) 评论 (0) 编辑

2019年10月17日

驱动中遍历模块,以及获取ntoskrnl.exe基址

摘要:方法是基于PsLoadModuleList方式 驱动中遍历模块 一丶简介 简介: 进入内核了.遍历内核中使用的模块该怎么办. 其实在驱动中.我们的DriverEntry入口位置. 提供了两个参数. 一个是DrIverObject另一个则是注册表路径. 其实遍历模块的技巧就在这个DriverObjec 阅读全文

posted @ 2019-10-17 17:42 iBinary 阅读 (157) 评论 (0) 编辑

2019年10月15日

ring0隐藏驱动.无痕代码.为尝试.学习后公开

该文被密码保护。

posted @ 2019-10-15 10:16 iBinary 阅读 (4) 评论 (0) 编辑

导航