第七子007

摘要： xxxx系列的二和四分别介绍了远程dll注入代码和接受消息的地址，接下来该hook代码实战了！（注意: 下面的代码不是一次调试成功的，期间经历和几十次的异常、奔溃和重启，每次地址可能都不一样，截图是多次截取的，地址看起来可能不连贯，甚至差异巨大，但不基本的消息接受功能是ok的）； 先用xxxx系列二 阅读全文

摘要： 年底了，在做各种总结，回顾一下2020年的收获和不足。这一年开了博客，总结了逆向、渗透和网络安全方面的技术和知识点，距离自己设定的目标又进了一步；总结的时候突然想到了一个经典的路径规划问题：一个旅行者从A出发到F，中间有多条路线走，哪条路线是成本最低的了？ 这个和人生职业发展是不是类似了？小时候立志 阅读全文

摘要： 对于绝大多数人逆向人员而言，平日一般都抓浏览器的包，网上各种抓包教程早就烂大街了；抓包原理也不复杂：先配置浏览器的代理为抓包工具，所有的数据包都通过抓包工具中转一次。如果是https这些加密的包，还要装抓包工具的证书，做“中间人攻击”，即：骗客户端的浏览器自己的服务器，骗服务器自己是客户端的浏览器， 阅读全文

摘要： 今天来分析一下xxxx接受消息的call；测试的账号在虚拟机，发消息的账号在物理机； 1、老规矩：逆向分析的起点都从CE开始；给测试账号发送辨识度高的消息，这时暂时不要在测试账号打开消息。因为此时的消息刚经过网络传输，还是ASCII格式，所以千万不要勾选UTF-16，只能找ASCII码找（下面详细解 阅读全文

摘要： 1、所谓挂外，本质上是改变原有软件的执行流程。方式有两种： 通过改函数的参数来函数的执行流程 直接改代码，尤其是JCC、 call等跳转指令。 外挂的形式大致也有两种： dll注入 直接改原软件的exe、dll等PE文件 shellcode 破解别人的外挂，本质上就是找到这个外挂更改了原软件的哪些点 阅读全文

摘要： 1、众所周知，现在主流网络用的还是IPV4协议，理论上一共有2^32=43亿个地址，除去私有网段、网络ID、广播ID、保留网段、本地环回127.0.0.0网段、组播224.0.0.0网段、实际可用就是36.47亿个；全球的服务器、PC机、手机、物联网设备等需要通信的设备加起来远不止36.47亿，怎么 阅读全文

摘要： 这次爆破的是某编辑类软件，版本是32位绿色版本：V4.3.1 1、OD打开后发现了VMP0段，这里下个内存访问断点： 又来到这里了，非常明显的VMP入口特征： 一大堆push指令又开始保存物理寄存器；同时让esi指向虚拟指令集；和上面一篇文章分析的混淆手法一模一样，个人猜测用的VMP也是3.5.0版 阅读全文

摘要： 介绍VMP虚拟化原理之前，先简单介绍一下计算机运行的原理。总所周知，现代计算机的核心部件是CPU、内存、磁盘、键盘、显示器等；最最最核心的就属CPU、内存和磁盘了。用户按开机键，CPU会把OS从磁盘加载到内存运行。由于CPU只能识别并执行二进制文件，所以代码、数据等都是以二进制存放在磁盘和内存的。 阅读全文

摘要： 1、软件的逆向、外挂、破解等，本质上是想办法改变原有代码的执行路径，主要的方式有两种： 改变某些关键数据，比如函数参数（android下有xpose、frida等现成的hook框架，逆向人员只需要找准hook的点就完成了90%的逆向工作）、某些全局变量（比如VX防止多开的mutex）；改变这些数据后 阅读全文

摘要： 要想改变目标进程执行流程的办法有很多，最常见的就是hook。为了让目标进程执行特定的代码，可以注入shellcode或dll；shellcode的优点是体积小，不容易被检测到，但功能也相对单一；dll注入优点是可以包含的功能较多，但容易被检测到。本次拿xxxx软件举例做个dll注入； 要做注入，否先 阅读全文