上一页 1 2 3 4 5 6 ··· 15 下一页
2023年10月31日
[网上冲浪]博客-社区-网站
摘要: 补充记录资源站,备忘 目录安全资讯样本分析/逆向工程博客议题资源 安全资讯 https://github.com/Tyaoo/picker 一个方便获取每日安全资讯的爬虫和推送程序 https://www.sec-wiki.com/index.php SecWiki一直致力于提供最新、最专业的安全资 阅读全文
posted @ 2023-10-31 20:31 DirWangK 阅读(21) 评论(0) 推荐(0) 编辑
2023年9月27日
RegisterApplicationRestart 重启进程api 注意事项
摘要: 若要注册要重启的应用程序,请调用 RegisterApplicationRestart 函数。 Windows 错误报告 (WER) 如果应用程序至少运行了 60 秒,然后才无响应或遇到未经处理的异常,则会重启应用程序。 https://learn.microsoft.com/en-us/windo 阅读全文
posted @ 2023-09-27 21:25 DirWangK 阅读(66) 评论(0) 推荐(0) 编辑
2023年9月8日
知云文献翻译-去登录记录
摘要: # 知云文献翻译-去登录记录 ZhiYunTranslator.exe .NET程序,dnspy启动! [toc] ## dnspy 反编译失败 ![image-20230908213655472](https://img2023.cnblogs.com/blog/1145982/202309/11 阅读全文
posted @ 2023-09-08 22:37 DirWangK 阅读(143) 评论(0) 推荐(1) 编辑
2023年8月27日
某gobfuscate 混淆样本 静态分析
摘要: **某gobfuscate 混淆样本 静态分析** > gobfuscate 主要对字符信息进行混淆,并不能起到有效的对抗效果; 可结合函数签名、runtime type infomation进行分析。 [toc] # IDA pro准备工作 ~~新版本对go分析效果大有改进,充值变强~~ ## L 阅读全文
posted @ 2023-08-27 22:49 DirWangK 阅读(181) 评论(0) 推荐(0) 编辑
2023年8月22日
perlapp BFS格式分析
摘要: # perlapp BFS格式分析 ## 1、加载资源中加密的BFS ### LoadResource_BFS_406670 ```c LPVOID *__fastcall LoadResource_BFS_406670(char *Source) { // [COLLAPSED LOCAL DEC 阅读全文
posted @ 2023-08-22 22:17 DirWangK 阅读(25) 评论(0) 推荐(0) 编辑
2023年8月20日
perlapp exe 分析
摘要: # 通过script定位 ![image](https://img2023.cnblogs.com/blog/1145982/202308/1145982-20230820210616311-1093567004.png) # 跟进,定位extract ```c++ void *__fastcall 阅读全文
posted @ 2023-08-20 21:14 DirWangK 阅读(22) 评论(0) 推荐(0) 编辑
2023年8月7日
IDA pro 多选快捷键
摘要: Start selection `Alt`+`L` > Go to the start of the database (`Ctrl`+`PgUp`); Go to the end (`Ctrl`+`PgDn`). [Igor’s tip of the week #04: More selectio 阅读全文
posted @ 2023-08-07 11:57 DirWangK 阅读(17) 评论(0) 推荐(0) 编辑
2023年8月1日
go dllmain
摘要: [toc] go 编译dll,实现dllmain # main.go ```go package main /* #include "dllmain.h" */ import "C" import ( "fmt" ) //export exfunc func exfunc() { //set GOA 阅读全文
posted @ 2023-08-01 10:18 DirWangK 阅读(22) 评论(0) 推荐(0) 编辑
2023年6月25日
qq闪照恢复--go
摘要: 闪照缓存目录: 文件管理/Android/data/com.tencent.mobileqq/xxx/Cache_xxxxxxxxx_fp code 爆破DES 8字节密钥,每字节仅需考虑9种字符("02468@BDF"),9**8=43046721 种可能 // reference: https: 阅读全文
posted @ 2023-06-25 23:27 DirWangK 阅读(352) 评论(0) 推荐(0) 编辑
2023年6月17日
MASM error A2108: use of register assumed to ERROR
摘要: # error A2108: use of register assumed to ERROR ``` ASSUME FS:NOTHING mov eax, fs:[0c0h] ASSUME FS:NOTHING ``` [Error a2108 use of register assumed to 阅读全文
posted @ 2023-06-17 20:58 DirWangK 阅读(35) 评论(0) 推荐(0) 编辑
2023年5月30日
go exec.Command windows 参数引号转义问题
摘要: Go在windows上调用本地进程传参时的一个天坑 #Golang go在windows上exec.Command调用本地进程在传参的时候有一个天坑,举个栗子来说正常来说一般代码会这么写 ```go cmdLine := "notepad.exe " + `"D:\Program Files\Not 阅读全文
posted @ 2023-05-30 17:10 DirWangK 阅读(358) 评论(0) 推荐(0) 编辑
2023年4月9日
BlackLotus 分析3--http_downloader
摘要: BlackLotus 分析3--http_downloader inject_into_winlogon MZ魔术字改为HC的PE文件 start 反调试和反沙箱部分与安装器相同 __int64 start() { NtSetInformationThread((HANDLE)0xFFFFFFFFF 阅读全文
posted @ 2023-04-09 12:20 DirWangK 阅读(201) 评论(0) 推荐(0) 编辑
2023年4月6日
BlackLotus 分析2--boot-内核阶段
摘要: BlackLotus 分析2--boot-内核阶段 [BlackLotus 分析1--安装器阶段](BlackLotus 分析1--安装器阶段 - DirWangK - 博客园 (cnblogs.com)) LegacyBIOS→MBR→“活动的主分区”→\bootmgr→\Boot\BCD→\Wi 阅读全文
posted @ 2023-04-06 22:55 DirWangK 阅读(1029) 评论(0) 推荐(0) 编辑
2023年4月2日
BlackLotus 分析1--安装器阶段
摘要: BlackLotus 分析1--安装器阶段 文件信息 BlackLotus installer. sha1 :a5a530a91100ed5f07a5d74698b15c646dd44e16 start __int64 start() { //ThreadHideFromDebugger 反调试 N 阅读全文
posted @ 2023-04-02 22:55 DirWangK 阅读(484) 评论(2) 推荐(0) 编辑
2023年3月29日
ConfuserEx(1.0.0) dll 脱壳记录
摘要: ConfuserEx(1.0.0) dll 脱壳 目标dll为excel的com插件 调试excel的c#插件 excel插件运行时会将插件拷贝到: C:\Users\xxxx\AppData\Local\assembly\dl3\xxxx\xxx\xxxxxx\xxxxxxxxxx 更多-选型-加 阅读全文
posted @ 2023-03-29 20:07 DirWangK 阅读(438) 评论(0) 推荐(0) 编辑
2023年3月27日
windbg 调试lsass.exe 记录
摘要: //寻找lsass的EPROCESS !process 0 0 lsass.exe //切换进程空间到lsass .process /i ffffbc02f3760080 ;g //检查当前进程 !thread -p -1 0 //刷新kd维护的用户态加载模块列表使之匹配当前进程 .reload / 阅读全文
posted @ 2023-03-27 08:17 DirWangK 阅读(82) 评论(0) 推荐(0) 编辑
2023年3月19日
Xshell-7.0.0122r 记录
摘要: 通过__WriteInfoAppLog 定位关键函数 void check_447BA0() { // [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND] isactive_5252DC = sub_448470(dword 阅读全文
posted @ 2023-03-19 19:15 DirWangK 阅读(46) 评论(0) 推荐(0) 编辑
2023年3月14日
PLAY ransomware
摘要: PLAY ransom ware 采用RSA1024+AES-256, 样本hash: 608e2b023dc8f7e02ae2000fc7dbfc24e47807d1e4264cbd6bb5839c81f91934 函数混淆 函数混淆示例 .text:004142A0 push ebp .text 阅读全文
posted @ 2023-03-14 23:28 DirWangK 阅读(29) 评论(0) 推荐(0) 编辑
2023年3月7日
vscode idapython debug
摘要: vscode idapython debug 1、在脚本中嵌入debugpy import sys #python3.exe -m pip install debugpy # sys.path.append(r"D:\IDA Pro 7.6\Lib\site-packages\debugpy") i 阅读全文
posted @ 2023-03-07 10:31 DirWangK 阅读(92) 评论(0) 推荐(0) 编辑
2023年2月24日
MortalKombat(Xorist家族)勒索软件分析
摘要: MortalKombat勒索软件分析 MortalKombat属于Xorist家族,采用tea加密,可解密 start WPARAM __userpurge start@<eax>(int a1@<ebp>, int a2, int a3, int a4, int a5) { // [COLLAPS 阅读全文
posted @ 2023-02-24 23:28 DirWangK 阅读(281) 评论(0) 推荐(0) 编辑
上一页 1 2 3 4 5 6 ··· 15 下一页