0x00 前言漏洞分析第一篇,在讲UAF之前,先简单过一下HEVD代码的逻辑,方便后续的分析。0x01 HEVD代码分析1.1 驱动程序逻辑分析驱动程序的主函数文件是HackSysExtremeVulnerableDriver.c主要包含5个函数DriverEntry: 驱动程序入口函数,类似于exe的main、dll的DllMainIrpDe……继续阅读 » lz520520 2年前 (2022-03-20) 798浏览 1个赞
0x00 准备宿主机 win10windbg previewvmware虚拟机 win7 x86windbgvirtualKD OSR驱动加载工具HEVD驱动程序0x01 环境安装windbgwindbg preview 直接在microsoft应用商店搜索安装就可以了,preview版本更直观调试除默认安装外,……继续阅读 » lz520520 2年前 (2022-03-20) 948浏览 0个赞
0x00 前言最近在学习恶意代码分析实战,了解到了一些隐藏恶意代码启动的方式,这些隐藏方式的学习,对日常的安全应急也起到不少指导作用,回想起原来应急碰到过的一些病毒的隐藏方式,有种豁然开朗的感觉,所以把这段时间学习成果做个总结。主要是介绍各种隐藏方式的实现原理和如何应急处置,不会涉及到代码逆向分析这块,因为主要是为了让大家后面应急提供更多的思路去处置。这……继续阅读 » lz520520 5年前 (2019-10-06) 1048浏览 3个赞
0x00 前言最近刚好看了下shellcode的分析方法,然后就想把之前HW遇到的shellcode拿出来分析一下,一方面检验下自己学习成果,另一方面也和大家分享一下shellcode的一些分析思路吧。这个样本是从客户的一份钓鱼邮件里发现的,伪造成正常邮件,附件为一个嵌入VBA的word文档,如果没有禁用宏的话,打开文档就会触发病毒执行。 0……继续阅读 » lz520520 5年前 (2019-10-06) 828浏览 0个赞
通常来讲,python如果被编译成exe,一般会使用的工具是pyinstaller,这个的平台移植性比较好,而py2exe这个换个环境就容易出问题。而如果拿到编译成exe的python程序,需要反编译成py文件,那么就可以使用pyinstxtractor.py进行解包,这个脚本可以将exe还原成pyc文件。https://sourceforge.net/……继续阅读 » lz520520 5年前 (2019-10-06) 792浏览 0个赞
0x00 前言emmm,做这个破解主要是因为我自己的010editor因为升级更新,然后授权过期了,现在没法用了,本来想找注册机但发现网上有破解文章,就学习下破解过程。网上针对32位 V9.0的暴力破解,直接修改序列号算法返回值绕过校验,我这里把64位 V9.0.2的也测试了下,可以达到同样的效果,自己动手可以更好的理解这个破解过程,参考文章中可能有些细节……继续阅读 » lz520520 5年前 (2019-10-06) 868浏览 0个赞
