上一页 1 ··· 20 21 22 23 24 25 26 27 28 ··· 38 下一页
2019年12月24日
学习:VB之p-code寻找操作数
摘要: p code的特点: 在程序创建窗体之前,不会创建p code,创建完,当在用功能的时候才会去初始化p code 逆向过程: 第一种方法:手动 1、载入OD,发现有进行p code初始化的api函数,第一个红标处,第二个红标处是程序的入口地址 2、跟随api函数enter来到如下,进行断点,然后运行 阅读全文
posted @ 2019-12-24 19:28 zpchcbd 阅读(811) 评论(0) 推荐(0)
Domain Cached Credentials
摘要: Domain Cached Credentials 简称 DDC,也叫 mscache。有两个版本,XP/2003 年代的叫第一代,Vasta/2008 之后的是第二代。 计算机在加入域之后就得通过 kerberos 进行认证,通过 kerberos 认证就得有域控的参与,但是如果域成员暂时无法访问 阅读全文
posted @ 2019-12-24 11:21 zpchcbd 阅读(515) 评论(0) 推荐(0)
2019年12月23日
WDigest
摘要: WDigest 是windows在XP系统中应用的,其作用主要是与超文本传输协议(HTTP)和简单的身份验证安全层(SASL)一起交换使用。而Digest与NTLM协议类似,也是挑战认证协议。 简单说就是: 1.客户端向服务端发起认证请求。 2.服务端返回一个随机值、客户端利用内存中的密码与客户端名 阅读全文
posted @ 2019-12-23 23:32 zpchcbd 阅读(2114) 评论(0) 推荐(0)
问题:如何防止mimikatz进行抓取内存密码
摘要: 禁止Debug Privilege: Debug Privilege 允许以特权用户启动的程序去调试本地系统运行的服务 如下图默认为权限Administrator 1、配置Debug Privilege置空: 2、并重启服务器使其生效,再次使用 Mimikatz 的时候就会发现无法利用了 绕过方法: 阅读全文
posted @ 2019-12-23 22:31 zpchcbd 阅读(735) 评论(0) 推荐(0)
学习:VB调试之修改系统DLL
摘要: 按照往常的修改方式,虽然是启动了第二个窗体,但是发现NAG窗体依然存在 这种情况,我们就可以从DLL中下手 首先了解下当一个程序运行的DLL加载流程情况: 思路: 那么我们可以把程序的依赖dll文件,一起放到一个文件夹当中 修改DLL实现绕过NAG: 1、程序创建窗体是通过CreateWindowE 阅读全文
posted @ 2019-12-23 22:19 zpchcbd 阅读(514) 评论(0) 推荐(0)
2019年12月22日
JSONP的安全问题
摘要: 前言:JSONP的安全问题 #Jsonp是什么 Jsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。 为什么我们从不同的域(网站)访问数据需要一个特殊的技术(JSONP)呢?这是因为同源策略。 同源策略,它是由N 阅读全文
posted @ 2019-12-22 23:21 zpchcbd 阅读(722) 评论(0) 推荐(0)
学习:VB调式之4C法
摘要: 前言:4C法对于单纯的本地验证的话应该比较好使,但是基于网络验证可能就不是很好用了,尽管到了第二个窗口,功能应该还是不能用 逆向过程: 1、直接载入OD,发现第一条汇编指令如下 2、我们直接在数据窗口中跟随0040120C+4C来到如下 3、然后继续跟随该地址中以机器码的地址0040440C,来到如 阅读全文
posted @ 2019-12-22 20:39 zpchcbd 阅读(518) 评论(0) 推荐(0)
PUSH越界/INT 68/反调试的绕过
摘要: 前言:三环反调试的部分总结笔记 #三环反调试关闭程序部分总结 1、CreateToolhelp32Snapshot 2、FindWindow 3、ExitProcess 4、PostQuitMessage 5、INT 68,这个是汇编指令,主要是让OD异常 #逆向过程 1、载入OD发现,直接是POP 阅读全文
posted @ 2019-12-22 12:50 zpchcbd 阅读(403) 评论(0) 推荐(0)
ZwQueryInformationProcess的反调试调试
摘要: 前言:ZwQueryInformationProcess的反调试绕过的笔记 #SetUnhandledExceptionFilter 触发条件有如下两个: 1、当程序有异常,且没相应的处理 2、没有人进行反调试,满足这两个条件的时候,就会其中传输的参数(实则就是一个异常处理函数) 来进行处理 但是这 阅读全文
posted @ 2019-12-22 10:32 zpchcbd 阅读(2444) 评论(0) 推荐(0)
2019年12月21日
检测类名与标题名的反调试绕过
摘要: 前言:检测类名与标题名导致的反调试的笔记 #反调试绕过 检测类名与标题名相关涉及的函数有FindWindowA 1、这里自己就不重复F9了,还是通过GetProcAddress来间接的给主要的反调试函数下断点,如下 2、然后F9进行,首先到的是CreateToolhelp32Snapshot,把当前 阅读全文
posted @ 2019-12-21 18:28 zpchcbd 阅读(338) 评论(0) 推荐(0)
上一页 1 ··· 20 21 22 23 24 25 26 27 28 ··· 38 下一页