随笔分类 - 逆向学习
摘要:参考资料: https://blog.csdn.net/weixin_43876357/article/details/108488762 https://www.cnblogs.com/EveningBreeze/p/13773930.html 一直想动笔写ezmachine这个,去网上看wp的时
阅读全文
摘要:write up:https://github.com/Super-Guesser/ctf/tree/master/N1CTF%202020/ 先不说自己看了write up的事,先来总结一下学到的部分知识总结 Re 工具:il2cpp与mono
阅读全文
摘要:无处不在的缺页异常 1:)在VC6中定义一个字符串常量,通过另一个线性地址修改这个常量的值 与前面做的实验都很相似,先放检验代码和结果 老样子用!process 0 0查看进程的cr4 用101012分页分解0x42301c为 分解完后在去查看对应的物理页 但在查看pte的时候可以发现 其属性是02
阅读全文
摘要:1:)上节博客有说到这里不说了 2:)为变量x再映射一个线性地址,并通过这个新地址读取x的值 思路:首先分配一个4096大小的空间,在到栈中分配一个局部变量,再把局部变量变为malloc大小的空间,在修改物理页为这里面的。 首先写出测试代码 // Phy_Memory.cpp : Defines t
阅读全文
摘要:属性含义 P:有效位。0 表示当前表项无效。 R/W: 0 表示只读。1表示可读可写。 U/S::0 表示3特权级程序可访问,1表示只能0、1、2特权级可访问。 PWT、PCD、请看后面的填坑篇 A::0 表示该页未被访问,1表示已被访问。 D::脏位。0表示该页未写过,1表示该页被写过。 PS::
阅读全文
摘要:任务段 前言 在调用门和中断门还有陷阱门中,会有压栈操作,由于cs和cpl会发生改变,导致ss也必须切换,切换时候,esp和ss是从任务段中获得的,也及时TSS TSS结构 大小共104字节 TR寄存器 了解任务段一定要知道TR寄存器,这是CPU找到TSS的关键,TR寄存器总共有98个位(其实是16
阅读全文
摘要:写了很久了,但对Windows的api不了解, 1比如创建挂起进程报05拒绝访问错误,再比如报了这个错还能正常运行,所以我推测挂起创建进程可能本身就会产生这种错误。(但Win32手册上不是这么说的,就让我感觉到很奇怪,我也尝试着运行了,从网上下载下来的代码,但最终会报错0xc0000005,我的程序
阅读全文
摘要:在看一致代码段和非一致代码段的时候,感觉不理解,所以自己动手做了下实验 非一致代码段 在我用3环的非一致代码段的时候,并且用jmp far 0x48:0x401930它是可以跳过去的,如图: 运行前 运行后 可以发现cs从1b变成了4b,就是说rpl为3,在看看段描述符dpl也是3 接下来我们把dp
阅读全文
摘要:最近在写一道BUUCTF的题目[SCTF2019]creakme这道题,查看了wp后,发现是aes加密,便上网查了部分资料 如下: AES加密的五种模式 ECB模式:https://blog.csdn.net/ncncff51131420/article/details/84875851 CBC模式
阅读全文
摘要:本来是不想写的,但几个月过后,再次翻阅这本书的习题时,发现都是非常基础的东西,很适合来练手 Chapter2: 2.61写一个C表达式,在下列描述的条件下产生1,而在其他情况下得到0。假设x是int类型。A.x的任何位都等于1。B.x的任何位都等于0。C.x的最高有效字节中的位都等于1。D.x的最低
阅读全文
摘要:需要注意的点就是不要导入宏,要导入函数名称 话不多说,插入自己的代码 VOID Injection(DWORD Pid, LPSTR DllPath) { HANDLE pro=OpenProcess(PROCESS_ALL_ACCESS, FALSE, Pid); if (!pro) { Mess
阅读全文
摘要:导出表 一、使用程序打印出导出表里的三张表:函数地址表,函数名称地址表,函数序数表,并且通过函数序数表来查找函数地址或用函数名字来查找函数地址 导出表数据结构 IMAGE_EXPORT_DIRECTORY STRUCT Characteristics DWORD?; 未使用,总是定义为0 TimeD
阅读全文
摘要:Shellcode直接注入代码块 使用代码,在文件中将shellcode注入进程序的text节中,也就是代码块中 条件:代码块有足够的空间存下shellcode 思路:获取shellcode的注入位置,然后再通过计算把硬编码应该跳转的地址计算出来 其公式为:要跳转的地址=当前指令的下一条指令地址+5
阅读全文
摘要:PE文件 首先需要知道DOS头,其其数据结构不太需要知道,但需要知道其中的两个和偏移 e_magic WORD ;0000h exe标志,"MZ"头 e_lfanew DWORD 003ch "PE"头的偏移地址 整个数据结构大小为40h 这里我们随便找一个.exe程序为例 找到了e_flanew后
阅读全文
摘要:写了一些题目后发现基础太差,所以特意回来重新打基础,争取两个月把基础打好点,熟悉PE、寄存器、汇编指令、C/C++的汇编形式、hook、DLL注入等
阅读全文
摘要:每次在写题目的时候,总会发生各种问题,比如花指令、sp指针,等很多需要用ida操作的时候,又要去网上查,所以打算好好学习一通,并且把其记录下来。
阅读全文
摘要:参考的博客:https://www.cnblogs.com/jentleTao/p/12864523.html 这道题我在写的时候,想用程序跑出来,但我没有注意的是,运算的先后顺序,导致跑出来的一直是错的,后面参考了一位师傅的博客https://www.cnblogs.com/jentleTao/p
阅读全文
摘要:这道题写了我将近一周。。还是看着别人博客写了一周才搞懂的,犯了几个错误:1.没看题目,2.没清楚什么样的代码是调试 所以看这道题之前先看这个wiki里的前置知识:https://wiki.x10sec.org/reverse/anti-debug/example/了解调试代码 然后检查下有没有加壳,
阅读全文
浙公网安备 33010602011771号