摘要:QT 是一个跨平台,并使用C++作为开发语言的应用程序开发工具,其提供了一套类库,该类库实现全平台支持,前面的内容主要学习了基础组建的使用,下面则是高级组件的使用,QT中的高级组件我把它分为,QListWidget,QTreeWidget,QTableWidget,QGroupBox,MDIArea 阅读全文
posted @ 2020-11-26 20:05 lyshark 阅读(23) 评论(0) 推荐(0) 编辑
摘要:从入职开始到现在差不多已经工作了两周了,这两周一直在交接,我管理的设备还挺多,差不多有三四十台机器,机器之间的系统还都不一样,单个主机上密码改过很多次,刚入职时很懵逼。 同样的一个密码登录了半天就是登不上,要么登错机器,要么密码已废弃。 现在好多了,虽然还是很懵逼,但是能登录到机器中了,机房巡检也进 阅读全文
posted @ 2020-11-12 19:48 lyshark 阅读(101) 评论(0) 推荐(0) 编辑
摘要:今天突然想到了一个好玩的免杀思路,原理就是想办法切断磁盘特征与内存特征,关于沙盒免杀我寻思着,这样可以将不同的的DLL映射到内存,在内存中他们的特征也是被切断的,在注入器上做判断如果是沙盒则不加载,不是则分别注入三个甚至是更多的DLL,将我们的ShellCode切片力度更细,分配到几百个甚至上千个D 阅读全文
posted @ 2020-10-20 11:18 lyshark 阅读(189) 评论(0) 推荐(0) 编辑
摘要:本人经历了一次没有结果的面试,想要给大家分享一点经验与教训,犯错误不可怕我们要在错误中吸取教训,这才是成长。 本人其实是一名运维工程师,运维的工作就是保证系统7*24不间断运行,这个工作虽然简单,但却承载着一个公司的重要业务,虽然我是一名运维人员,但业余却一直专注于研究二进制技术,研究二进制技术能让 阅读全文
posted @ 2020-10-13 17:42 lyshark 阅读(295) 评论(0) 推荐(0) 编辑
摘要:如果将shellcode注入到具有特定权限的进程中,我们就可以获得与该进程相同的权限,此方法可以用于提权与降权操作,注入有多种方式,最简单的是直接将metasploit生成的有效载荷直接注入到目标进程中,并通过创建远程线程启动,还可以自己实现一个注入器,这里我们自己来实现一个提权器,可提权也可降权。 阅读全文
posted @ 2020-10-09 17:50 lyshark 阅读(220) 评论(0) 推荐(0) 编辑
摘要:加壳的原理就是加密或者压缩程序中的已有资源,然后当程序执行后外壳将模拟PE加载器对EXE中的区块进行动态装入,下面我们来自己实现一个简单的区块加解密程序,来让大家学习了解一下壳的基本运作原理。 本次使用的工具,依旧是上次编写的PETools: https://www.cnblogs.com/LySh 阅读全文
posted @ 2020-10-02 10:24 lyshark 阅读(130) 评论(0) 推荐(0) 编辑
摘要:手工修复导入表结构 实现手工修复导入表结构 1.首先需要找到加壳后程序的导入表以及导入了那些函数,使用PETools工具解析导入表结构,如下。 2.发现目录FOA地址为0x00000800的位置,长度是0x000000A8定位过去看看,程序中只保留了一个LoadLibraryA和GetProcAdd 阅读全文
posted @ 2020-09-25 22:10 lyshark 阅读(166) 评论(0) 推荐(0) 编辑
摘要:当我们运行程序时,一般情况下会默认加载Ntdll.dll和Kernel32.dll这两个链接库,在进程未被创建之前Ntdll.dll库就被默认加载了,三环下任何对其劫持都是无效的,除了该Dll外,其他的Dll都是在程序运行时,在输入表中查找到对应关系后才会被装载到内存中的,理论上来说对除NtDll以 阅读全文
posted @ 2020-09-22 13:15 lyshark 阅读(119) 评论(0) 推荐(0) 编辑
摘要:DLL注入有多种方式,今天介绍的这一种注入方式是通过修改导入表,增加一项导入DLL以及导入函数,我们知道当程序在被运行起来之前,其导入表中的导入DLL与导入函数会被递归读取加载到目标空间中,我们向导入表增加导入函数同样可以实现动态加载,本次实验用到的工具依然是上次编写的PE结构解析器。 解析器下载与 阅读全文
posted @ 2020-09-20 16:02 lyshark 阅读(168) 评论(0) 推荐(0) 编辑
摘要:本章教程中,使用的工具是上次制作的PE结构解析器,如果还不会使用请先看前一篇文章中对该工具的介绍,本章节内容主要复习导入表结构的基础知识点,并通过前面编写的一些小案例,实现对内存的转储与导入表的脱壳修复等。 关于Dump内存原理,我们可以使用调试API启动调试事件,然后再程序的OEP位置写入CC断点 阅读全文
posted @ 2020-09-17 20:15 lyshark 阅读(136) 评论(0) 推荐(0) 编辑