[置顶] Windows进程/线程创建过程

摘要: 参考链接:http://www.cnblogs.com/LittleHann/p/3458736.html 创建一个Windows进程,是由操作系统进行3各部分执行组成 1.客户的Windows库的Kernel32.dll 2.Windows执行 3.Windows子系统进程(Csrss.exe) 阅读全文

posted @ 2017-02-27 20:54 yifi 阅读(1681) 评论(0) 推荐(1) 编辑

2018年7月30日

固件安全研究

摘要: 核心问题 围绕Bin展开 (~~.Bin文件相当于ELF文件在内存中的状态 因为.Bin文件用在BootLoader,此时的文件系统还未加载上~~) graph LR Bin-->怎么获得 怎么获得-->官网 怎么获得-->抓包利用在线升级的数据包 怎么获得-->逆向升级软件软件内置解包和通讯算法处 阅读全文

posted @ 2018-07-30 23:35 yifi 阅读(892) 评论(0) 推荐(0) 编辑

2018年7月25日

区块链安全研究的总结

摘要: 因为之前每天工作都有daliy thinking,现在暂时没有条件(Github上的博客由于不可抗力的原因,写不了了,怀念MD),所以每天在博客园笔记记下来。 今天主要看了一下智能合约的安全。 1.相较于传统的漏洞而言,感觉区块链上多了整数溢出的情况特别明显。典型的漏洞是 :https://www. 阅读全文

posted @ 2018-07-25 22:30 yifi 阅读(366) 评论(0) 推荐(0) 编辑

2017年8月21日

CoTreatAsClass一些注意事项

摘要: 最近在看CoTreatAsClass时发现 直接调用会失败Goole之后发现 需要TrustedInstall权限 最后在GitHub上找到一段Code https://github.com/afeng0007/fromalaxinfo/blob/master/DirectShowSpy/Commo 阅读全文

posted @ 2017-08-21 19:42 yifi 阅读(283) 评论(0) 推荐(0) 编辑

2017年7月11日

Ring3 读取SSDT

摘要: zwSystemDebugControl 阅读全文

posted @ 2017-07-11 18:45 yifi 阅读(280) 评论(0) 推荐(0) 编辑

2017年5月27日

User Mode Scheduling

摘要: UMS线程有它们自己的内核线程状态,因此对于内核是可见的,这使得多个UMS线程都可以发出阻塞的系统调用、对资源进行共享或竞争,并且有每个线程特有的状态。然而,只要两个或多个UMS线程需要在用户模式下执行工作,它们可以周期行的切换执行环境(做饭是,一个线程让出执行权给另一个线程)而无需涉及内核调度器: 阅读全文

posted @ 2017-05-27 10:05 yifi 阅读(539) 评论(0) 推荐(0) 编辑

2017年4月26日

首次异常和二次异常

摘要: 调试器通常有两次机会来处理同一个异常:首次处理异常和二次处理异常。调试器第一次附加到进程时,会发生一个异常,然后被调试的程序停止执行,此时调试器开始获得控制权。调试器可以自己处理异常,也可以将异常转给被调试的应用程序处理 如果程序注册了一个异常处理函数,他会在调试器处理异常后,获取处理异常的权限。 阅读全文

posted @ 2017-04-26 11:09 yifi 阅读(942) 评论(0) 推荐(0) 编辑

2017年4月24日

offer终于有着落了

摘要: 最近面试面的神经 终于有一家赏了个offer 阅读全文

posted @ 2017-04-24 19:04 yifi 阅读(340) 评论(0) 推荐(0) 编辑

2017年4月23日

AtomBombing

摘要: // Github 上开源项目 阅读笔记#include #include #include #include #define SHELLCODE ("haha") #define RTL_MAXIMUM_ATOM_LENGTH (255) #define SHELLCODE_FUNCTION_POINTERS_OFFSET (25) #define X86_RET ('\xc3'... 阅读全文

posted @ 2017-04-23 13:05 yifi 阅读(602) 评论(0) 推荐(0) 编辑

2017年4月22日

Retn

摘要: http://www.cnblogs.com/taonull/p/3944745.html retn操作:先eip=esp,然后esp=esp+4 retn N操作:先eip=esp,然后esp=esp+4+N 阅读全文

posted @ 2017-04-22 22:06 yifi 阅读(294) 评论(0) 推荐(0) 编辑

2017年4月21日

CreateRemoteProcess

摘要: 挂起目标线程,然后把其eip指针指向我们事先设定好的代码区域(shellcode),shellcode负责在目标进程中创建线程,创建完成后,控制传回原来被我们改过的eip的线程。 1)获取目标进程的主线程并将其挂起 2)取得进程上下背景文,保存eip值到orgEip 3)通过结合orgEip创建可以 阅读全文

posted @ 2017-04-21 22:44 yifi 阅读(625) 评论(0) 推荐(0) 编辑

下一页

导航