10 2019 档案

摘要：一、App启动流程 这里以一张图说明App进程的创建流程： 通过Zygote进程到最终进入到app进程世界，我们可以看到ActivityThread.main()是进入App世界的大门，下面对该函数体进行简要的分析，具体分析请看文末的参考链接。 对于ActivityThread这个类，其中的sCur 阅读全文

摘要：总结一下进程隐藏的一些基本套路吧，适合萌新。 关于进程隐藏，网上说的最多的就是hook NtQuerySystemInformation吧，要么就是在内核去操作ActiveProcessLinks链表，这其实都是一个原理，都是去操作内核的活动进程链表，这个方法也着实有效 1 2 3 4 5 6 7 阅读全文

摘要：English：https://outflank.nl/blog/2019/06/19/red-team-tactics-combining-direct-system-calls-and-srdi-to-bypass-av-edr/ 0x00 简介 在本文我们将介绍如何使用直接系统调用（Direc 阅读全文

摘要：1.EPROCESS结构体 EPROCESS块来表示。EPROCESS块中不仅包含了进程相关了很多信息，还有很多指向其他相关结构数据结构的指针。例如每一个进程里面都至少有一个ETHREAD块表示的线程。进程的名字，和在用户空间的PEB（进程环境）块等等。EPROCESS中除了PEB成员块在是用户空间 阅读全文

摘要：导语： 上一篇我们分析android脱壳使用对dvmDexFileOpenPartial下断点的原理，使用这种方法脱壳的有2个缺点： 1. 需要动态调试 2. 对抗反调试方案 为了提高工作效率， 我们不希望把宝贵的时间浪费去和加固的安全工程师去做对抗。作为一个高效率的逆向分析师， 笔者是忍不了的，所 阅读全文

摘要：PsActiveProcessHead的定义： 在windows系统中，所有的活动进程都是连在一起的，构成一个双链表，表头是全局变量PsActiveProcessHead，当一个进程被创建时，其ActiveProcessList域将被作为节点加入到此链表中；当进程被删除时，则从此链表中移除，如果wi 阅读全文