1 | author: anhkgg |
最近在分析某个软件时,提示错误。赶紧挂上windbg看看调用栈,看能不能找到问题。
一看应该能够解决,需要结合IDA静态分析。
通过任务管理器进程转到文件,发现文件已经不存在了,咋办?
还好,进程还在,可以把主程序dump下来,就可以静态分析了。
如何dump呢?简单的可以通过windbg的.writemem把内存写入文件,但是文件不是合法(可运行)的PE,虽然此时文件和内存中数据完全相同(IDA可以将就分析)。
PE文件的文件结构和内存结构是不完全相同的,最重要的原因是文件对齐和内存对齐不同。
所以windbg的.writemem是不支持把内存dump生成合法的PE文件,除非自己再进行文件修复。
此时,不知道有没有人想起来逆向中脱壳,是不是也有类似操作,我这里不是脱壳,但需要做的确和脱壳类似。
所以我想到了LordPE(没用OD),它可以把内存dump之后生成正确的PE文件,然后再ImportREC修复输入表即可。
这活脱脱得就是脱壳啊,哈哈,无所谓啦。
more >>author: anhkgg
date: 2021-01-14 11:17:27
了解一点操作系统知识的同学们应该都知道,文件占用无法删除,是因为某些进程正在使用该文件。
要删除这样的文件,就需要让那些进程关闭文件,然后自然可以删除。
一句话的事,那究竟要怎么用代码来实现这个功能呢?
more >>author: anhkgg
date: 2019年11月6日
让友商电脑兼容了一下华为系专属的多屏协同功能
笔者注:文中出现的大写C,请轻声念出北京大爷的口头禅。
华为刚发布多屏协同功能的时候,我就被种草了。
后来一天在微博看到@Navis-MDT发布的一个体验视频,果然碉堡了。
瞬间有点想从“米boy”转为“花粉”用户,这…当然是不可能的了。
more >>作者:anhkgg
日期:2019年11月3日
很多时候,可能会对某个软件进行DLL劫持。
而这个软件是否存在DLL劫持漏洞,需要去分析验证。
比如通过IDA查看导入的DLL,或者LoadLibrary的DLL,然后慢慢排除某些KnownDlls,排除某些绝对路径加载的DLL…
或者通过Windbg分析。
虽然技术难度不高,但是挺费事的。
本篇文章分享我找DLL劫持的方法,不一定是最佳,不过很方便。
more >>author: anhkgg
date: 2019-10-05
最早接触沙箱,对它的印象就是:sandboxie。
因为学的是安全相关专业,在网上下载东西非常谨慎,就算通过了杀毒软件扫描,但是也怕有后门或者其他东西,毕竟我也可以静态过掉杀软。
很多软件没有官网,各种下载站的东西真的是让人不放心。
所以在下载某些软件后,只要不影响功能,基本都会用sandboxie来运行软件。如果不行,则放到虚拟机里。
所以我对沙箱最初的概念就是:sandboxie,它是一个轻量级虚拟机,软件的操作都不会影响真正的系统,包括文件、注册表等等资源,可以放肆地想干嘛干嘛。
那时当然是不怎么知道sanboxie是怎么做的。
题外话:最近因为微软的关系,sanboxie已选宣布免费,后续还可能开源,感兴趣的可以关注关注。
more >>微信相关研究技术文章收集,版权属于原作者,不定时更新。
欢迎关注:https://github.com/anhkgg/awesome-wechat-technology
QQ交流群:753894145
more >>
缺失模块。
1、请确保node版本大于6.2
2、在博客根目录(注意不是yilia根目录)执行以下命令:
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置:
jsonContent:
meta: false
pages: false
posts:
title: true
date: true
path: true
text: false
raw: false
content: false
slug: false
updated: false
comments: false
link: false
permalink: false
excerpt: false
categories: false
tags: true