[置顶] nmap
摘要: nmap 版本:nmap 7.70 1.x86_64.rpm 命令行格式:(总是最新) 目标格式 nmap命令行中中除了选项或选项参数其余均为目标主机格式。 当扫描目标是hostname时nmap会通过DNS解析地址。如果不特别指出 resolve all选项nmap只会对NDS返回的第一个IP地址 阅读全文
posted @ 2019-09-24 11:48 干掉那个寂寞 阅读(2516) 评论(0) 推荐(0)
2025年4月24日
修改文件时间-反取证
摘要: $MFT MFT 文件记录时间戳的属性分为两种: $STANDARD_INFORMATION ( $SI): works at the user-level space using a set of API calls. $STANDARD_INFORMATION($SI):在用户级空间中通过一组 阅读全文
posted @ 2025-04-24 12:31 干掉那个寂寞 阅读(45) 评论(0) 推荐(0)
2025年4月11日
情报
摘要: 根据应急的todesk-zh.com站点做的测绘关联 todesk-zh.com www.zh-todesk.com www.todeskcn.com okx.hunbon.com google-zh.com chromecn.cn zh-chrome.net www.zhchrome.cn zh- 阅读全文
posted @ 2025-04-11 12:23 干掉那个寂寞 阅读(41) 评论(0) 推荐(0)
MSI和NSIS打包恶意文件分析
摘要: MSI MSI之所以被推荐是因为它不止能安装还能修复和更新。文件中包含有关软件安装的详细信息的数据库文件,二进制文件,配置文件,字体,注册表,图标信息。都是以table的形式存储的(MSI 文件被构造为关系数据库)。注意7Z能打开文件,但是里面的关系不能看到。这些表通过主键和外键 关于MSI信息可以 阅读全文
posted @ 2025-04-11 12:22 干掉那个寂寞 阅读(390) 评论(0) 推荐(0)
2020年10月6日
sql注入
摘要: SQL inject 数据库注入漏洞主要是开发人员在构建代码时,没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其执行,导致数据库信息泄露的一种漏洞。(关键是sql语句的字符串拼接) 攻击流程 注入点测试 自动:使用扫描工具如sqlmap 手动: 阅读全文
posted @ 2020-10-06 10:40 干掉那个寂寞 阅读(251) 评论(0) 推荐(0)
2019年11月25日
逆向-PE导入表
摘要: 导入表 动态链接库需要导入表 结构 OriginalFirstThunk:指向导入名称表 FirstThunk:指向导入地址表 Name:指向导入的dll名称 IMAGE_THUNK_DATA最高位为1剩下的表示序号,最高位0剩下的表示RVA指向IMAGE_import_BY_NAME,里面存着名字 阅读全文
posted @ 2019-11-25 09:55 干掉那个寂寞 阅读(193) 评论(0) 推荐(0)
逆向-PE重定位表
摘要: 重定位表 ​ 当链接器生成一个PE文件时,会假设这个文件在执行时被装载到默认的基地址处(基地址+RVA就是VA)。并把code和data的相关地址写入PE文件。如果像EXE一样首先加载就是它imageBase没问题能算出真正的VA,但是要有多个DLL文件,就会出现基址不对的问题,通过基址+RVA算出 阅读全文
posted @ 2019-11-25 09:51 干掉那个寂寞 阅读(304) 评论(0) 推荐(0)
逆向-PE导出表
摘要: PE 导出表 ​ 动态链接库要想给别人用实现加载时或运行时链接就必须提供函数和数据的地址。exe一般不会有这个,大部分是DLL文件的。导出分为名字导出和序号导出。 1. 名字导出先找名字,再通过名字表的索引找到AddressOfNameOrdinals里面的值,此值即为name和函数地址关联处,是A 阅读全文
posted @ 2019-11-25 09:49 干掉那个寂寞 阅读(264) 评论(0) 推荐(0)
2019年11月14日
逆向-PE头解析
摘要: PE头解析 [TOC] PE 格式是Windows系统下组织可执行文件的格式。PE文件由文件头和对应的数据组成。目标是在不同的架构下装载器和编程工具不用重写。 PE中一大特点是不连续的位置大部分记录的都是相对地址(RVA),相对的是PE文件中记录的基地址(image base)的偏移量。进程是程序的 阅读全文
posted @ 2019-11-14 17:20 干掉那个寂寞 阅读(1007) 评论(0) 推荐(0)
2019年11月5日
逆向-逻辑流控制
摘要: 逻辑流控制 在我的抽象中执行逻辑有三种 顺序、选择、循环。默认汇编就是从上到下顺序执行,选择用if else和switch,循环用while、for等。 分支语句 if else break和continue break跳出循环jmp 804840d continue跳到循环变量控制也就是a++;a 阅读全文
posted @ 2019-11-05 14:28 干掉那个寂寞 阅读(329) 评论(0) 推荐(0)
2019年10月24日
逆向--C函数和汇编
摘要: C函数和汇编 C代码 (编译工具gcc (Ubuntu 5.4.0 6ubuntu1~16.04.11) 5.4.0 20160609平台ubuntu i386 32位) gcc S masm=intel function_asm.c 生成一个intel风格的汇编代码文件 objdump M int 阅读全文
posted @ 2019-10-24 17:01 干掉那个寂寞 阅读(301) 评论(0) 推荐(0)