摘要:前言 很多杀软都有自己的后端云沙箱,这些沙箱能够模拟出软件执行所需的运行环境,通过进程hook技术来对软件执行过程中的行为进行分析,判断其是否有敏感的操作行为,或者更高级的检测手法是,将获取到的程序的API调用序列以及其他的一些行为特征输入到智能分析引擎中(基于机器学习org)进行检测。所以,如果我 阅读全文
posted @ 2021-04-19 11:46 Punished 阅读(116) 评论(0) 推荐(2) 编辑
摘要:前言 之前已经提到过,远线程注入和内存写入隐藏模块,今天介绍突破session 0的dll注入 其实今天写这个的主要原因就是看到倾旋大佬有篇文章提到:有些反病毒引擎限制从lsass中dump出缓存,可以通过注入lsass 看大佬的博客真的可以学到很多哈哈 编译环境 win10 vs2019 什么是s 阅读全文
posted @ 2021-04-16 18:11 Punished 阅读(253) 评论(0) 推荐(0) 编辑
摘要:面向对象的特征之二:继承性 使用子类Extends父类进行继承 一、继承性的好处: 减少了代码的冗余,提高了代码的复用性便于功能的扩展 为之后多态性的使用,提供了前提 二、继承性的格式:class A extends B{} A:子类、派生类、subclass B:父类、超类、基类、supercla 阅读全文
posted @ 2021-04-15 22:06 Punished 阅读(6) 评论(0) 推荐(0) 编辑
摘要:说在前面 反汇编引擎是众多逆向分析工具都必有,也是比较核心的功能,编写需要的基础知识已经在硬编码前面几节内容说到,本次编写只针对了Mod R/M 和 SIB字段的编写,写的并不全,经过这次编写主要还是练习c++,写到后面发现还是最开始设计时,功能封装并没有设计好,其实写这个引擎设计非常重要,但这次编 阅读全文
posted @ 2021-04-15 17:52 Punished 阅读(7) 评论(0) 推荐(0) 编辑
摘要:1.补全代码的声明:alt +/2.快速修复:ctrl +13.批量导包:ctrl + shift +o4.使用单行注释:ctrl +/5.使用多行注释:ctri +shift +/6.取消多行注释:ctrl + shift +\7.复制指定行的代码:ctrl + alt + down或ctrl + 阅读全文
posted @ 2021-04-14 20:06 Punished 阅读(5) 评论(0) 推荐(0) 编辑
摘要:类和对象的的使用 package org.atguigu.java; /* * 类和对象的使用(面向对象思想落地的实现) * 1.创建类,设计类的成员 * 2.创建类的对象 * 3.通过“对象.属性”或“对象.方法”调用对象的结构 */ //测试类 public class PersonTest { 阅读全文
posted @ 2021-04-12 19:01 Punished 阅读(4) 评论(0) 推荐(0) 编辑
摘要:在之前的课程中,3-5位用来标识寄存器,Mod字段 与 R/M字段共同用来标识寄存器与内存 但3-5字段,并不仅仅用来标识寄存器,有些时候,用来标识Opcode 参见Table A-2中 : 80 81 82 83 这几个编码,并没有明确给出具体的操作码是什么。 有这个Grap字段的都去看Table 阅读全文
posted @ 2021-04-10 17:16 Punished 阅读(2) 评论(0) 推荐(0) 编辑
摘要:前言 ModR/M字段是用来进行内存寻址的,可当地址形如DS:[EAX + ECX*2 + 12345678]时,仅仅靠ModR/M字段,是描述不出来的。 这时就在ModR/M后面增加一个SIB字节,与ModR/M字段共同描述。 上一节说到opcode决定了是否有ModR/M字段,而opcode和M 阅读全文
posted @ 2021-04-09 14:10 Punished 阅读(89) 评论(0) 推荐(0) 编辑
摘要:在线抓密码 1.mimikatz privilege::debug token::whoami token::elevate lsadump::sam mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" 2.ps脚本 使用Get-Pa 阅读全文
posted @ 2021-04-08 20:42 Punished 阅读(8) 评论(0) 推荐(0) 编辑
摘要:变长指令 不是所有的指令都是,看到opcode就知道有多长(定长指令),当指令中出现内存操作对象的时候,就需要在操作码后面附加一个字节来进行补充说明,这个字节被称为ModR/M。 该字节的8个位被分成了三部分: 其中,Reg/Opcode(第3、4、5位,共3个字节)描述指令中的G部分,即寄存器 M 阅读全文
posted @ 2021-04-07 21:24 Punished 阅读(102) 评论(0) 推荐(0) 编辑