传输技术-SOCKET通信 SOCKET通信socket也被叫做“套接字”,应用程序通常通过“套接字”向网络发出请求或者接收请求。socket表示是:IP地址加上端口号,如127.0.0.1:8080。Socket编程有两种通信协议可以选择,一种是TCP,另一种是UDP。先来说一下基于TCP的Socket编程。 基于TCP Socket编程TCP是一种基于连接的协议,在进行通信之前,必须要建立连接,其中服务端监听请求,客户端 2021-08-06 黑客编程 恶意代码 黑客编程 传输技术 SOCKET编程
压缩技术-windows压缩API 压缩技术为了实现windows上的数据压缩和解压缩,最方便的方法就是直接调用win32API函数。windows系统的ntdll专门提供了RtlCompressBuffer和RtlDecompressBuffer函数来负责数据压缩和解压缩操作。 函数介绍RtlGetCompressionWorkSpaceSize确定RtlCompressBuffer和RtlDecompressBuffer函数工作 2021-08-06 黑客编程 恶意代码 黑客编程 压缩技术
160CrackMe-008 初探打开程序直接输入一个注册码,输入错误弹出错误提示窗口。 分析无壳,是使用VB编写的的 使用OD直接搜索错误弹窗的提示,可以直接定位一个关键跳转。 开始分析一下,就在上面不远处,是明文比较输入与SynTaX 2oo1 输入SynTaX 2oo1即可成功 总结有点简单了。。。 2021-08-04 CrackMe 逆向工程 CrackMe
隐藏技术-傀儡进程 傀儡进程借着正常的软件进程或者系统进程的外壳来进行恶意的操作。 函数介绍GetThreadContext检索指定线程的上下文 64位程序可以使用Wow64GetThreadContext检索WOW64线程的上下文。 1234BOOL GetThreadContext( HANDLE hThread, LPCONTEXT lpContext); hThread:要检索其上下文的线程的句柄 2021-08-03 黑客编程 恶意代码 黑客编程 隐藏技术
160CrackMe-007 初探打开程序还是和上一个有很熟悉的画面,不愧是同一个作者做的。 about按钮了解情况,还是需要让按钮消失然后露出logo就算成功了。 分析无壳,是使用delphi编写的。 还是直接使用DeDark查看,然后去下断 断下来之后进行分析,可以看到一个较为关键的跳转,在此之前的函数比较重要,进去查看一下。 进来之后果然看到了算法 12345678910111213141516171819202 2021-08-03 CrackMe 逆向工程 CrackMe
160CrackMe-006 初探打开程序如下看到OK是不可点击的,是一个灰色按钮。 点击about查看一下,可以看到我们需要让两个按钮都消失以便可以看到Ringzer0的logo 那么先想办法让OK变得可以点击吧。 分析查看壳,发现未加壳,是用Delphi写的 使用API断点,给IsEnableWindow下断,但是发现怎么都无法断下来,说明肯定是有条件的,而当前还没有满足这个条件。 使用dedark工具帮忙查看,直接 2021-08-02 CrackMe 逆向工程 CrackMe
160CrackMe-004 初探打开程序,看到需要输入用户名和注册码,提示如果正确下面会出现一张朱茵的照片。 分析使用DIE查看一下,无壳,使用Delphi编写的。 使用OD搜索一下字符串,可以看到几个字符串,其中有恭喜注册成功的字样,可以看到还有黑头这样的问题,但是点进去查看没有什么。 下断点在恭喜这里,但是看不到什么有用的信息,在获取用户名的长度,然后加上循环次数这样,但是这并不是注册码,然后跳转的关键在esi+0 2021-07-29 CrackMe 逆向工程 CrackMe
HOOK-Inline Hook Inline HookInline Hook是Hook技术的一种,它是通过修改机器码来实现HOOK。当我们正常调用一个API函数时,正常的流程是,call API,然后就会到函数内部执行。我们写下如下语句,在OD中打开就是如图的样子。可以看到先压入参数,然后调用MessageBoxA函数。 1MessageBoxA(NULL, "这是本来的窗口", "未被HOOK&q 2021-07-28 HOOK技术 恶意代码 黑客编程 Inline Hook
隐藏技术-进程隐藏 进程隐藏在windows中,用户程序的所有操作都是基于WIN32API来实现的,例如使用任务管理器查看进程等操作,这就给了病毒木马操作的空间。它可以通过HOOK技术拦截API的调用,并对数据进行监控和修改,从而达到不可告人的目的。 实现进程隐藏可以HOOK ZwQuerySystemInformain来实现进程的隐藏。遍历进程通常是调用EnumProcesses或者CreateToolhelp32 2021-07-27 黑客编程 恶意代码 黑客编程 隐藏技术
shellcode学习 shellcode学习编译器的一些设置第一步修改入口点在编译器中修改程序的入口点,写代码时就可以使用新的入口点名 修改过后,体积变得很小,使用IDA查看也可以看到左边函数只有两个。 第二步关闭缓冲区安全检查 然后查看IDA,左边函数只剩一个了 第三步设置工程兼容XP 修改运行库为MT 第四步关闭生成清单 使用loadpe查看看到只有两个区段 第五步关闭调试信息 shellcode编写原则 2021-07-22 ShellCode 恶意代码 ShellCode
