htmlnbsp:13.5.1 寻找OEP
当DLL被初次映射到进程地址空间中时系统将DllMain当卸载DLL时也会再次DllMain也就是说DLL文件相比EXE文件运行有些特殊性EXE入口点只在开始时执行次而DLL入口点在整个执行过程中至少要执行两次次是在开始时用来对DLL做些化至少还有次是在退出时用来清理DLL再退出所以DLL找OEP也有两条路可以走是载入时找另思路方法是在退出时找而且般来说前种思路方法外壳代码较复杂建议用第 2种思路... [阅读全文]
映像文件:13.5.2 Dump映像文件
出处:电子工业出版社13.5.2 Dump映像文件停在OEP后运行LordPE在进程窗口中选择loaddll.exe进程在下方窗口中EdrLib.dll模块上单击右键执行“dump full”菜单命令将文件抓取并保存到文件里如图13.45所示 498)this.style.width=498;" border=0 (点击查看大图)图13.46 修正ImageBase 003E01F... [阅读全文]
dll重建输入表教程:13.5.3 重建DLL的输入表
来源:51cto.com13.5.3 重建DLL输入表ImportREC能很好地支持DLL输入表重建首先在Options里将“Use PE Header From Disk”默认选项去除选中这是ImportREC需要获得基址计算RVA值DLL加载地址不是默认基址时从磁盘取默认基址计算会导致结果 在ImportREC下拉列表框中选择DLL装载器进程此处为loaddll.exe进程 单击“Pick ... [阅读全文]
adobereader9.1.1:9.1.1 什么是.Net
来源:安全中国第9章 .Net平台加解密① 本章将简要介绍微软.Net框架下安全问题内容基本涵盖.Net下本机Windows保护各个方面包括强名称、混淆、加壳、加密等常用保护手段以及相应逆向思路方法 9.1 .Net概述 2002年微软正式发布了.Net第个版本从此基于.Net平台各种软件Software产品逐渐增多最新版本Windows Vista已经直接内置了.Net Framework 3... [阅读全文]
snagit9.1.2key:9.1.2 几个基本概念
来源:安全中国9.1.2 几个基本概念学习新平台总要接触些新名词本节就介绍几个和.Net平台加解密关系最为密切基本概念如果读完本节仍不是很清楚这些概念含义也没有关系读者将在后面实战中步步掌握它们本质MSIL:微软中间语言(Microsoft Intermediate Language)大多数时候简称IL.Net下有很多种高级语言常见包括C#、C/CLI、VB.Net但无论哪种语言最终在编译后都生... [阅读全文]
adobereader9.1.3:9.1.3 第一个.Net程序
来源:安全中国9.1.3 第个.Net了解个新平台最好思路方法是亲自写个小下面就请读者自己动手编写第个.Net在这的前确定已经下载并安装了微软.Net Framework SDK1.1和2.0版均可C#代码如下: //Code Sample 9.1.3, hello.csusing ; 1{public void Main{Console.WriteLine("hello, .net fan... [阅读全文]
无限扩展pe:9.2.1 PE结构的扩展(1)
来源:安全中国9.2 MSIL和元498)this.style.width=498;" border=0 (点击查看大图)图9.3 hello.exeCLR头数据 根据表中最重要MetaData项来查看元数据在PE文件中存储格式在举例中元数据RVA和大小分别是206Ch和290h转换为文件偏移就是26Ch处开始注意到这个地址和刚才CLR头结束地址24Fh的前还有点空隙IL代码正是存储在这... [阅读全文]
无限扩展pe:9.2.1 PE结构的扩展(2)
来源:安全中国9.2.1 PE结构扩展(2)紧接着元数据头便是几个流数据头流按存储结构区别分为堆(heap)和表(table)上述头信息指明了这些堆和表位置及大小.Net中共有以下几种流但不是每个文件中都包含所有流读者可以先学习#~、#Strings和#US流这 3种流几乎在每个.Net中都会出现并且和加解密关系最为密切随着学习深入再掌握#Blob流结构#StringsUTF8格式串堆包含各种元... [阅读全文]
qq捕快2.1.5:2.1.5 断点(1)
来源:安全中国2.1.5 断点常用断点有INT 3断点、硬件断点、内存断点等调试时合理使用断点能大大提高效率1.INT 3断点当执行个INT 3断点时该地址处内容被调试器用INT 3指令替换了此时OllyDbg将INT 3隐藏了显示出来仍是下断前指令如图2.12按F2键下断点实际上4013A5处指令68已被替换成CC了: 004013A5 CC D0404000 这个INT... [阅读全文]
qq捕快2.1.5:2.1.5 断点(2)
来源:安全中国2.1.5 断点(2)6.条件断点在调试过程中经常希望断点满足定条件时才中断这类断点称为条件断点OllyDbg条件断点可以按寄存器、存储器、消息等设断条件断点是个带有条件表达式普通INT 3断点当调试器遇到这类断点时它将计算表达式值如果结果非零或者表达式无效则断点生效(即暂停被调试)有关条件表达式规则描述请参考OllyDbg帮助文档(1)按寄存器条件中断用OllyDbg打开光盘映像... [阅读全文]
万以内的加法和减法:4.7.1 整数的加法和减法
来源:安全中国第4章 逆向分析技术将可执行反汇编通过分析反汇编代码来理解其代码功能如各接口数据结构等然后用高级语言重新描述这段代码逆向分析原软件Software思路这个过程被称做“逆向工程(Reverse Engineering)”或者有时只是简单地称作“逆向(Reversing)”这是个很重要技能需要扎实编程功底和汇编知识逆向分析首选工具就是IDA其中它款插件Hex-Rays Decompile... [阅读全文]
整数乘法的意义:4.7.2 整数的乘法
来源:安全中国4.7.2 整数乘法乘法运算符般编译成mul、imul指令这些指令运行速度比较慢编译器会尽可能地提高代码效率从而倾向于使用其他指令来完成同样计算如果个数是2幂那么会用左移指令shl来实现乘法另外加法对于提高3,5,6,7,9等数乘法运算很有用如:eax*5可以写成“lea eax, [eax+4*eax]”(lea指令可以实现寄存器乘以2、4或8运算) (void){ a;p... [阅读全文]
重启服务器命令:使用ASP脚本命令重启服务器
来源:安全中国 大家知道直接使用ASP是不能够重启服务器这时我们需要制作个组件来实现功能ASP通过这个组件系统API然后按照区别重启和关机方式进行操作! 下面先说COM制作在VB中新建工程当然是AceiveX dll! 1)先修改工程属性在工程属性窗口将工程名称改为system在类模块窗口将模块名称改为contral保存工程; 2)然后添加个模块用来声明需要使用API... [阅读全文]
ollydbg:2.1.1 OllyDbg界面
来源:安全中国2.1.1 OllyDbg界面本节以OllyDbg 1.10讲述其使用方法支持32位OllyDbg发行版本是个ZIP压缩包只要将其解压缩到个目录下然后运行ollydbg.exe即可打开目标后OllyDbg会打开多个子窗口单击菜单View或单击工具栏标签L、E、M等按钮可在各子窗口间切换如图2.1所示这些按钮依次对应Log窗口、Executable modules窗口、Memory窗... [阅读全文]
ollydbg:2.1.2 OllyDbg的配置
来源:安全中国2.1.2 OllyDbg配置OllyDbg设置在菜单Options里有界面选项(Appearance)和调试选项(Debugging options)等这些选项配置都保存在ollydbg.ini文件里1.界面设置单击菜单“Options/Appearance”打开界面选项对话框单击“Directories”(目录)标签这里设置UDD文件和插件路径为了避免可能出现问题请设置成绝对路... [阅读全文]
aperture2.1.4:2.1.4 基本操作(1)
来源:安全中国2.1.4 基本操作对于习惯Borland开发环境朋友来说用OllyDbg比较容易上手例如单步功能是用F7键和F8键等这和Borland产品习惯完全样在这里以个用Visual C 6.0编译TraceMe来讲解OllyDbg操作编译时优化选项按默认设置为“Maximize speed”读者也可以按“Minimize Size”优化选项编译下并和本文比较优化选项区别生成汇编代码也会有所... [阅读全文]
aperture2.1.4:2.1.4 基本操作(2)
来源:安全中国2.1.4 基本操作(2)只要4011F5句不跳转即可注册成功在调试过程中当执行到4011F5句时有几种思路方法可以验证判断 在OllyDbg寄存器面板用鼠标单击标志寄存器ZF(即“Z”)单击次ZF值取反如果原来是1执行后为0如图2.18所示 =fit-image _disibledevent=498)this.style.width=498;" border=0 图2.1... [阅读全文]
后门程序:后门程序技术知识全面深解
来源:安全中国什么是后门 后门又称特洛伊木马其用途在于潜伏在电脑中从事搜集信息或便于黑客进入动作后和电脑病毒最大差别在于后门不定有自我复制动作也就是后门不定会“感染”其他电脑 后门是种登录系统思路方法它不仅绕过系统已有安全设置而且还 能挫败系统上各种增强安全设置 后门是种登录系统思路方法它不仅绕过系统已有安全设置而且还能挫败系统上各种增强安全设置 后门包括从简单到奇特有很多类型简单... [阅读全文]
pecompact脱壳机:PECompact壳研究和解密脱壳
来源:安全中国PECompact有2种加壳方式,我也拜读了DiKeN"PECompactOEP简易查找思路方法",于是想深入研究下. 这是98Notepad.exe使用PECompact(JCALG1)压缩过结果 0040AB20 EB 06 JMP SHORT NOTEPAD.0040AB28第条指令 0040AB22 68 CC100000 PUSH... [阅读全文]
oep查找:PECompact的OEP的简易查找思路方法
来源:安全中国 该思路方法试用于PECompactV1.71,V1.76,V1.82 具体看下面举例 这是98Calc.exe使用PECompact1.82压缩过结果 010153A0 EB 06 JMP SHORT CALC.010153A8第条指令 010153A2 68 E0190100 PUSH 119E0这就是原始OEPRVA地址 ... [阅读全文]
linux服务器:对Linux服务器 4种级别入侵讲解
来源:安全中国随着Linux企业应用扩展有大量网络服务器使用Linux操作系统Linux服务器安全性能受到越来越多关注这里根据Linux服务器受到攻击深度以级别形式列出并提出区别解决方案 对Linux服务器攻击定义是:攻击是种旨在妨碍、损害、削弱、破坏Linux服务器安全未授权行为攻击范围可以从服务拒绝直至完全危害和破坏Linux服务器对Linux服务器攻击有许多种类,本文从攻击深度角度介绍... [阅读全文]
rootkit:解析RootKit和反RootKit
来源:安全中国Rootkit是个或者多个用于隐藏、控制台计算机工具包该技术被越来越多地应用于些恶意软件Software中在基于Windows系统中Rootkit更多地用于隐藏或进程系统被注入Rootkit后就可以在不为用户察觉情况下进行某些操作因此其隐蔽性极高危害也极大下面笔者结合例子解析RootKit及其反RooKit技术 实验环境:Windows XP SP2 工具: Hacker de... [阅读全文]
进化分析软件:软件Software破解新手进化篇
来源:安全中国1.软件Software如何判断我们是否注册了? 不要忘了软件Software最终是按照人思维做我们回到自身来“如果是你你如何判断别人是否注册了呢”“我要别人输入用户名和注册码啊”聪明想法很多软件Software也是这样做如豪杰超级解霸(但是不是所以软件Software思路方法太多了友情提示:这个世界没有完全通用东西除了你聪明大脑) 具体点呢?????????? 我们把用户名按照某种... [阅读全文]
跨站攻击:温柔杀手-跨站Script攻击和防御
来源:安全中国每当我们想到黑客时候黑客往往是这样幅画像:个孤独人悄悄进入别人服务器中进行破坏或者窃取别人秘密资料也许他会更改我们主页甚者会窃取客户信用卡号和密码另外黑客还会攻击访问我们网站WebSite客户和此同时我们服务器也成了他帮凶微软称这种攻击为"跨站script"攻击而这种攻击大多数都发生在网站WebSite动态产生网页时侯但黑客目标并不是你网站WebSite而是浏览网站WebSite客户... [阅读全文]
无线网络密码如何被破解
来源:安全中国自从无线网络诞生的日起“安全”这个词就始终如影随形伴随在“无线”身边攻和防如同亲兄弟样无论你加密手段多么先进不久的后就会有各种各样破解方式出现前不久我们中关村在线网络设备频道里有篇你真了解吗 无线路由器密码设置模式文章详细介绍了目前无线网络加密模式都有哪几种在文章中我们曾经提到无线网络加密模式中WEP是最容易被破解但是我们发现很多用户给自己无线网络加密时候依旧是使用是WEP加密模式我... [阅读全文]
xss攻击:XSS攻击防御技术白皮书
来源:安全中国1 背景知识1.1 什么是XSS攻击XSS攻击:跨站脚本攻击(Cross Site Scripting)为不和层叠样式表(Cascading Style Sheets, CSS)缩写混淆故将跨站脚本攻击缩写为XSSXSS是种经常出现在web应用中计算机安全 上述思路方法都可以很容易躲避基于特征检测而除了会有大量漏报外基于特征还存在大量误报可能:在上面例子中对"http://www.... [阅读全文]
加密技术:加密技术的方方面面知识
来源:安全中国随着网络技术发展网络安全也就成为当今网络社会焦点中焦点下面就详细介绍下加密技术方方面面 随着网络技术发展网络安全也就成为当今网络社会焦点中焦点病毒、黑客猖獗使身处今日网络社会人们感到谈网色变无所适从但我们必须清楚地认识到安全问题解决不可能蹴而就现代电脑加密技术就是适应网络安全需要应运而生它为般电子商务活动提供了安全保障如在网络中进行文件传输、电子邮件往来和进行合同文本签署等下面就详细... [阅读全文]
设置断点:爆破的思路和断点设置
来源:安全中国破 顾名思义就是暴力修改代码来达到破解目 当然根据共享软件Software注册方式我们可以对症下药 比如说没有注册软件Software有功能限制、使用次数限制、使用日期限制等 我们就可以分别对待了!我们只需要解除这些限制自然就达到了破解目了! 暴力破解般流程 1、有壳者自然得先脱壳 2、试注册看看有何提示让我们抓抓小尾巴 3、若有提示用OD动态调试器或者是W32静态调试器查找提示 4... [阅读全文]
Dll后门程序:Hway3.0介绍
Hway v3.0 by linx [email protected] --注册服务,利用svchost.exe启动(实现无启动项,无进程)+嗅探(实现无端口,并记录用户POST数据和FTP密码)+线程保护 后门 创建服务Windows Infrared Port Monitor,利用hostsvc.exe启动.安装日志写在C:\WINDOWS\system32\hwaylogV3.txt.嗅... [阅读全文]
winaircrackpack:Crack的力量!收费共享软件Software破解思路浅析
来源:安全中国软件Software版权问题直是让人关注安全问题Cracker出现让软件Software版权保护在某种意义上遇到了挑战0day不断发布keygen让所有共享软件Software作者或商业软件Software组织感到头疼随着国内计算机爱好者不断增多民间很多Cracker躁动和不安掀起了狂热破解潮国内众多破解组织也争相成立CCG\BCG\FCG等破解组织让广大网友目不暇接这些在外人眼中神... [阅读全文]
