摘要: 当今的博客,当今的博主写的文章有一些确实非常的优秀,但是很多人会将别人辛苦的付出,用作自己引流的工具,他们疯狂的洗稿,以至于故意抹掉作者的所有信息,当然,这并不是最失望的。 阅读全文
posted @ 2022-05-06 21:50 lyshark 阅读(367) 评论(6) 推荐(2) 编辑
摘要: 提到自旋锁那就必须要说链表,在上一篇`《驱动开发:内核中的链表与结构体》`文章中简单实用链表结构来存储进程信息列表,相信读者应该已经理解了内核链表的基本使用,本篇文章将讲解自旋锁的简单应用,自旋锁是为了解决内核链表读写时存在线程同步问题,解决多线程同步问题必须要用锁,通常使用自旋锁,自旋锁是内核中提供的一种高IRQL锁,用同步以及独占的方式访问某个资源。 阅读全文
posted @ 2022-09-28 10:26 lyshark 阅读(156) 评论(0) 推荐(0) 编辑
摘要: 首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定进程内存地址的强制读写操作,此类读写属于有痕读写,多数驱动保护都会将这个地址改为无效,此时CR3读写就失效了,当然如果能找到CR3的正确地址,此方式也是靠谱的一种读写机制。 阅读全文
posted @ 2022-09-25 11:16 lyshark 阅读(147) 评论(1) 推荐(0) 编辑
摘要: Windows内核中是无法使用`vector`容器等数据结构的,当我们需要保存一个结构体数组时,就需要使用内核中提供的专用链表结构`LIST_ENTRY`通过一些列链表操作函数对结构体进行装入弹出等操作,如下代码是本人总结的内核中使用链表存储多个结构体的通用案例。 阅读全文
posted @ 2022-09-23 21:02 lyshark 阅读(22) 评论(0) 推荐(0) 编辑
摘要: LyScript 中提供了多种内存特征扫描函数,每一种扫描函数用法各不相同,在使用扫描函数时应首先搞清楚他们之间的差异,如下将分别详细介绍每一种内存扫描函数是如何灵活运用的,最后将实现一个简易版内存查壳脚本,可快速定位目标程序加了什么壳。 阅读全文
posted @ 2022-09-09 11:11 lyshark 阅读(215) 评论(0) 推荐(1) 编辑
摘要: Capstone 是一个轻量级的多平台、多架构的反汇编框架。Capstone 旨在成为安全社区中二进制分析和反汇编的终极反汇编引擎。Capstone的编译非常简单只需要一步即可轻松得到对应的Lib库文件,如下将介绍该引擎如何被编译,以及简单的测试编译。 阅读全文
posted @ 2022-09-08 08:38 lyshark 阅读(299) 评论(0) 推荐(1) 编辑
摘要: 昨天加班处理问题,今天可以休息了,借着这个空当想总结一下本人工作三年的工作经验,以及给初入职场小白一些建议,和本人对安全行业的认识。 阅读全文
posted @ 2022-09-07 12:47 lyshark 阅读(899) 评论(4) 推荐(6) 编辑
摘要: 鉴于有些小伙伴在寻找博客园迁移到个人博客的方案,本人针对博客园实现了一个自动备份脚本,可以快速将博客园中自己的文章备份成Markdown格式的独立文件,备份后的md文件可以直接放入到hexo博客中,快速生成自己的站点,而不需要自己逐篇文章迁移,提高了备份文章的效率。 阅读全文
posted @ 2022-09-03 14:10 lyshark 阅读(359) 评论(4) 推荐(2) 编辑
摘要: x64dbg 是一款开源的应用层反汇编调试器,旨在对没有源代码的可执行文件进行恶意软件分析和逆向工程,同时 x64dbg 还允许用户开发插件来扩展功能,插件开发环境的配置非常简单,如下将简单介绍x64dbg是如何配置开发环境以及如何开发插件的。 阅读全文
posted @ 2022-09-02 20:50 lyshark 阅读(315) 评论(0) 推荐(1) 编辑
摘要: 内核级别的内存读写可用于绕过各类驱动保护,从而达到强制读写对端内存的目的,本人闲暇之余封装了一个驱动级的内核读写接口,使用此接口可实现对远程字节,字节集,整数,浮点数,多级偏移读写等。如下将简单介绍该内核读写工具各类API接口是如何调用的,鉴于驱动读写商业价值较大故暂时不放出源代码,以此做个使用笔记。 阅读全文
posted @ 2022-08-30 20:58 lyshark 阅读(183) 评论(0) 推荐(0) 编辑
摘要: 人生就是这么"有趣",由于我没有恋爱经验,自身性格还比较冲动,导致错过了很多优质的对象,每次即便遇到了心动的人,我都不敢去说话,因为每次都会是相同的结局。前两天家里人给我介绍了对象,以前还好不想谈,现在想谈了于是乎就想试试,而我由于性格太冲动,太过于咬文嚼字,对对方的言语进行了过度解释。 阅读全文
posted @ 2022-08-22 07:13 lyshark 阅读(183) 评论(5) 推荐(2) 编辑
摘要: LyScript 针对内存读写函数的封装功能并不多,只提供了内存读取和内存写入函数的封装,本篇文章将继续对API进行封装,实现一些在软件逆向分析中非常实用的功能,例如内存交换,内存区域对比,磁盘与内存镜像比较,特征码检索等功能。 阅读全文
posted @ 2022-08-03 17:06 lyshark 阅读(312) 评论(0) 推荐(1) 编辑
摘要: LyScript插件中提供了三种基本的堆栈操作方法,其中`push_stack`用于入栈,`pop_stack`用于出栈,而最有用的是`peek_stack`函数,该函数可用于检查指定堆栈位置处的内存参数,利用这个特性就可以实现,对堆栈地址的检测,或对堆栈的扫描等。 阅读全文
posted @ 2022-08-03 10:19 lyshark 阅读(310) 评论(0) 推荐(2) 编辑
摘要: LyScript 插件默认并没有提供上一条与下一条汇编指令的获取功能,当然你可以使用LyScriptTools工具包直接调用内置命令得到,不过这种方式显然在效率上并不理想,我们需要在LyScript插件API基础上自己封装实现这个功能。 获取下一条汇编指令: 下一条汇编指令的获取需要注意如果是被命中 阅读全文
posted @ 2022-07-28 11:10 lyshark 阅读(302) 评论(0) 推荐(2) 编辑
摘要: PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。 阅读全文
posted @ 2022-07-26 09:51 lyshark 阅读(105) 评论(0) 推荐(0) 编辑
摘要: PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。 阅读全文
posted @ 2022-07-26 09:48 lyshark 阅读(28) 评论(0) 推荐(0) 编辑

Copyright © 2022 LyShark Powered by .Net 6 on Kubernetes
loading... | loading...
博客园 - 开发者的网上家园