洞察世界，审视内心

摘要： 在 Windows 系统中，管理员权限和非管理员权限运行的程序之间不能使用 Windows 提供的通信机制进行通信。对于部分文件夹（ProgramData），管理员权限创建的文件是不能以非管理员权限修改和删除的。 然而，一个进程运行之后启动的子进程，会继承当前进程的 UAC 权限；于是有时我们会有降 阅读全文

摘要： 问题：当客户端已高完整性启动（例如启动客户端的进程是Bypass UAC启动的高完整性的进程，导致客户端继承了其高完整性），由于explorer.exe资源管理器是以中等Medium权限启动，客户端的权限较高，导致设置了qt编写的客户端设置了的setAcceptDrops(true)后依然无法触发d 阅读全文

摘要： 问题引入：dll有一个导出函数，函数参数是string&，string在函数内部被=赋值。在exe动态加载此dll，调用此导出函数后，会崩溃。 原因：如果任何STL类的实现中使用了静态变量（我们无从得知但map、string存在此问题），且编译dll时，vc的运行库设置为MT或MTd，会静态链接VC 阅读全文

摘要： 百度了一会，发现没太有文字讲这件事情，因此整理成文字记录一下。 processEvents介绍 长时间运行的操作可以调用processEvents() 保持应用程序响应能力。 void QCoreApplication::processEvents(QEventLoop::ProcessEvents 阅读全文

摘要： 使用 IDA Pro 分析 Lab05-01.dll 1、DllMain的地址是什么？ 2、使用Imports窗口并浏览到的gethostbyname，导入函数定位到什么地址？ 3、有多少函数调用了gethostbyname？ 4、将精力集中在位于0x10001757处的对gethostbyname 阅读全文

摘要： 1.加载一个可执行文件 ① 选项一：当加载一个文件(如PE文件)，IDA像操作系统加载器一样将文件映射到内存中。 ② 选项三：Binary File：将文件作为一个原始的二进制文件进行反汇编，例如文件带有shellcode、其他数据、加密参数，甚至里面带有可执行文件，如果文件还是以正常形式加载到ID 阅读全文

摘要： 一、特征修改 一个加载器存在两个明显的特征，一个是shellcode和硬编码字符串。我们需要消除这些特征，比较方便使用一个简单的异或加密就能消除shellcode的特征。第二个是加载器的关联特征也需要消除，通过加入无意义的代码干扰反病毒引擎。 二、花指令免杀 花指令其实就是一段毫无意义的指令，也可以 阅读全文

摘要： 实验三 Lab03-03.exe 1.当使用 Process Explorer 工具进行监视的时候，注意到了什么？2.可以找出内存修改的行为吗？3.这个恶意代码在主机上的感染迹象特征是什么？4.这个恶意代码的目的是什么？ 1.运行程序，发现创建了子进程 svchost.exe，主进程 Lab03-0 阅读全文

摘要： 实验1 Lab03-01.exe 实验内容： 1、找出这个恶意代码的导入函数与字符串列表？ 2、这个恶意代码在主机上的感染特征是什么？ 3、这个恶意代码是否存在一些有用的网络特征码？如果存在，他们是什么？ 1.导入函数和字符串列表 字符串有几处可疑的地方：网址、三个注册表值，其中一个注册表值还是自启 阅读全文

摘要： 注：一些恶意代码可能会检测是否在虚拟机环境中运行。17章将具体讨论对抗 VMware 环境的技术。 主机模式网络： 主机模式网络，可以在宿主操作系统和客户操作系统间创建一个隔离的私有局域网。主机模式的局域网并不会连接到互联网。 在配置宿主计算机时，一定要确保补丁完全，且配置一个严格的防火墙，来限制从 阅读全文