01 2021 档案

(xxxx)十二:windwos下Proxifier+Fiddler抓取非浏览器进程的数据包
摘要:对于绝大多数人逆向人员而言,平日一般都抓浏览器的包,网上各种抓包教程早就烂大街了;抓包原理也不复杂:先配置浏览器的代理为抓包工具,所有的数据包都通过抓包工具中转一次。如果是https这些加密的包,还要装抓包工具的证书,做“中间人攻击”,即:骗客户端的浏览器自己的服务器,骗服务器自己是客户端的浏览器, 阅读全文
posted @ 2021-01-31 21:27 第七子007 阅读(2510) 评论(0) 推荐(0)
xxxx(四):接受消息hook地址分析
摘要:今天来分析一下xxxx接受消息的call;测试的账号在虚拟机,发消息的账号在物理机; 1、老规矩:逆向分析的起点都从CE开始;给测试账号发送辨识度高的消息,这时暂时不要在测试账号打开消息。因为此时的消息刚经过网络传输,还是ASCII格式,所以千万不要勾选UTF-16,只能找ASCII码找(下面详细解 阅读全文
posted @ 2021-01-24 18:02 第七子007 阅读(1158) 评论(0) 推荐(1)
xxxx(三)“黑吃黑”: 破解别人外挂
摘要:1、所谓挂外,本质上是改变原有软件的执行流程。方式有两种: 通过改函数的参数来函数的执行流程 直接改代码,尤其是JCC、 call等跳转指令。 外挂的形式大致也有两种: dll注入 直接改原软件的exe、dll等PE文件 shellcode 破解别人的外挂,本质上就是找到这个外挂更改了原软件的哪些点 阅读全文
posted @ 2021-01-23 17:35 第七子007 阅读(8456) 评论(1) 推荐(0)
UDP内网穿透和打洞原理与代码实现
摘要:1、众所周知,现在主流网络用的还是IPV4协议,理论上一共有2^32=43亿个地址,除去私有网段、网络ID、广播ID、保留网段、本地环回127.0.0.0网段、组播224.0.0.0网段、实际可用就是36.47亿个;全球的服务器、PC机、手机、物联网设备等需要通信的设备加起来远不止36.47亿,怎么 阅读全文
posted @ 2021-01-21 12:18 第七子007 阅读(11790) 评论(0) 推荐(0)
VMP加壳(三):VMP壳爆破实战-破解某编辑类软件&指令替换原理
摘要:这次爆破的是某编辑类软件,版本是32位绿色版本:V4.3.1 1、OD打开后发现了VMP0段,这里下个内存访问断点: 又来到这里了,非常明显的VMP入口特征: 一大堆push指令又开始保存物理寄存器;同时让esi指向虚拟指令集;和上面一篇文章分析的混淆手法一模一样,个人猜测用的VMP也是3.5.0版 阅读全文
posted @ 2021-01-16 23:04 第七子007 阅读(9332) 评论(0) 推荐(0)
VMP加壳(二):VMP的虚拟化原理
摘要:介绍VMP虚拟化原理之前,先简单介绍一下计算机运行的原理。总所周知,现代计算机的核心部件是CPU、内存、磁盘、键盘、显示器等;最最最核心的就属CPU、内存和磁盘了。用户按开机键,CPU会把OS从磁盘加载到内存运行。由于CPU只能识别并执行二进制文件,所以代码、数据等都是以二进制存放在磁盘和内存的。 阅读全文
posted @ 2021-01-09 17:33 第七子007 阅读(19795) 评论(0) 推荐(1)
VMP加壳(一):代码混淆原理
摘要:1、软件的逆向、外挂、破解等,本质上是想办法改变原有代码的执行路径,主要的方式有两种: 改变某些关键数据,比如函数参数(android下有xpose、frida等现成的hook框架,逆向人员只需要找准hook的点就完成了90%的逆向工作)、某些全局变量(比如VX防止多开的mutex);改变这些数据后 阅读全文
posted @ 2021-01-03 19:59 第七子007 阅读(8445) 评论(0) 推荐(0)