AIDA64的版本:逆向分析总结:
Mark一下:在吾爱上下载的 IDA6.8 运行会报错:keypatch.py:No module named keystone解决方案:https://www.keystone-engine.org/download/ 下载keystone,安装安装VC2013、python2.7
#include <iostream> #include <Windows.h> //全局描述符地址是6字节,高32位是起始地址,低16位是大小 char GDT[7] = { 0 }; void _declspec(naked)GetRegister() { _asm { //特权指令 sgdt GDT; retf } } int main() {
Mark一下:工具:VirtuakKD-3.0、windbgx64、VMware宿主机:Win10 x64 1903目标机:Win10 x64 1903 第一步:宿主机打开vmmon64.exe,设置Debugger path第二步:把VirtuakKD-3.0中的target文件夹拷贝中虚拟机中,安装里面的文件,重启。第三步:如果windbg在虚拟机重启的过程中,加载微软徽标的时候自动
之前写壳的时候想搞点vmp,不过网上讲解这个东西的博客比较少,翻来覆去只找到一篇:https://www.cnblogs.com/LittleHann/p/3344261.html跟随大佬的脚步,作了一番尝试,Mark一下:写了一个strcmp,设定了WINAPI的调用约定,被调函数自己平衡堆栈。开辟了一块栈帧,用来保存ecx的值。#include <iostream> #includ
之前,花了三、四天的时间写了一个压缩壳,Mark一下。简单说下逻辑:1、MFC实现的UI交互部分:展示壳的功能,获取被加壳程序的路径,显示加壳进度。2、加壳功能Pack导出为一个dll,MFC部分动态加载。3、壳的本体Stub,把数据段、只读数据段合并到代码段,添加到被加壳程序的最后。简单说下功能:1、支持反调试,检查PEB可以过x64dbg,NtQueryInformationProcess可以
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号
