现在我们已经了解了IAT的的工作原理,现在我们来一起学习手动修复IAT,一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的壳时不知所措. 首先我们用ESP定律找到加了UPX壳后的OEP,现在我们处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump了. 前面已经提到过,有很多dump的工具,OD有一个款插件OllyDump的dump效果也不错,这里我们来使用另外一个工具PE TOOLS来进行dump. PE TOOLS的界面是这样的,我们用PE-TOOLS定位到CRAC…

其实对于简单的壳来说,脱壳常用的方法也无非是那几种,但是每种有每种的好处,具体使用那种方法视情况而定,我今天学习的这个壳很简单,但是重点在于修复IAT. 一.查壳: FSG 2.0的壳. 二.脱壳: 上篇随笔所说的3种方法都可以使用,单步法,内存2次镜像,ESP,这里内存2次镜像我们发现没有.rsrc区段,所以我们可以直接从地址为00401000的地方下断点,运行. 脱壳过程这里就不再赘述,最后来到OEP进行脱壳. 看这个特征可以看得出,我们最近脱壳的程序的OEP特征全是这样,典型的VC++程序…

随着云计算的发展和微软云战略的持续推进,使用网盘进行文档存储.协同编辑与共享已成为文档操作的新流程.而Office.Office 365和OneDrive等微软产品是Windows用户的首选.但由于国内对Ondrive的DNS污染屏蔽,导致在浏览器端无法使用OneDrive的情况发生,跟用户到来极大不便.下面介绍的就是手动修复OneDrive的DNS污染屏蔽的方法. 对于使用Windows 7版本以上用户以“管理员身份”打开记事本. File=>Open,浏览到“C:\Windows\Syste…

防DNS劫持教程,手动修复本地DNS教程 该如何避免DNS劫持的问题呢?1. 请不要轻易连接陌生网络.2. 可以通过手动指定DNS(DNS用于将域名正确转换为您想访问的网站的作用),修改后你的网络应用将更加稳定,安全. 以下是具体修改方式: 手动修复本地DNS教程 请根据以下简单步骤即可手动修复本地DNS: 步骤1:点击桌面左下角的 [开始]按钮,打开 [控制面板],查看方式为类别,点击 [网络和Internet],再进入 [网络和共享中心]. 步骤2:点击 [更改适配器设置]. 步骤3:右键点…

所谓手动修复,即以不变应万变,修改注册表,其实工具软件也只是帮你代工而已. win + R 打开 “运行”,键入 “regedit.exe” 打开注册表编辑器,在 路径 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main 里找到 Start Page ,双击修改即可.…

原文:SqlServer 禁止架构更改的复制中手动修复使发布和订阅中分别增加的字段同步 由于之前的需要,禁止了复制架构更改,以至在发布中添加一个字段,并不会同步到订阅中,而现在又在订阅中添加了一个同名字段,怎么使这发布和订阅的两个字段建立同步关系呢? 下面就测试更改:此次发布类型为事务复制的可更新订阅,其他类型的发布没有测试. 首先建立事务复制的可更新订阅,建立好之后. 在发布创建一张测试表: CREATE TABLE [dbo].[DemoTab]( [Guid] [uniqueidentif…

解决方式步骤: 1.进入hdfs的pod kubectl get pod -o wide | grep hdfs kubectl exec -ti hadoop-hdfs-namenode-hdfs1-948569108-c5d70 bash  2.获取票据 kinit -kt /etc/hdfs1/conf/hdfs.keytab hdfs/gz232-112 3.查询每个blocks信息 hdfs fsck -blocks -files -locations / 4.找出replicatio…

前面讲了如何寻找OEP和脱壳,有的时候,Dump出来的时候不能正常运行,是因为还有一个输入表没有进行处理,一些加密壳会在IAT加密上面大做文章,用HOOK - API的外壳地址来代替真是的IAT的地址,让脱壳者无法正确的还原程序的原始IAT,使得程序不能被破解,所以我们处理这些被加密IAT的地址的办法是找到加密这些IAT的地址的跳转(就是Magic Jump),将它修改为强制跳转(JMP),使之无法加密IAT,从而达到脱壳修复的目的!因为程序的IAT是连续的排列的,所以我们只需要找到IAT的起始…

Win7系统中存在漏洞时,用户需要采用各种办法来修复系统中存在的漏洞,既可以使用Windows Update修复,也可使用360安全卫士来修复. 一.使用Windows Update修复系统漏洞 Windows Update时Microsoft公司提供的一款自动更新工具,该工具提供了漏洞补丁的安装.驱动程序和软件的升级等功能.利用Windows Update可以更新当前的系统,扩展系统的功能,让系统支持更多的软.硬件,解决各种兼容性问题,打造更安全.更稳定的系统. 1)打开控制面板 2)单击Wi…

问题复现场景 同一个StudyInstanceUID,对应两个不同的PatientID. 通俗讲,原本是一个病人的一次影像,却割裂成两个病人的影像,虽然两个病人不影响系统数据,但是同一个Study分别在两个病人名下,但是ID却相同,就会造成DICOMweb插件获取metadata失败,莫名其妙发生404错误. 进而影响到OHIF Viewer,无法使用StudyInstanceUID预览,提示:Error: GetStudyMetadata: For some reason we could n…

  Preface       I got an replication error 1236 when I modified the password of a user without starting slave threads of replication.Further more,the user was absent in slave.below is the whole operation how I solve the issue.   Procedure   I modifie…

  Preface       In my last test of pt-heartbeat,both of master and slave were out of disk.And the mysql client was hang.In order to resolve the issue,I've tryed to fix the replicaiton environment without using mysqldump to reconfigure the slave.Let's…

作者:Fly2015 对于FSG壳.之前没有接触过是第一次接触.这次拿来脱壳的程序仍然是吾爱破解论坛破解培训的作业3的程序.对于这个壳折腾了一会儿,后来还是被搞定了. 1.查壳 首先对该程序(吾爱破解培训第一课作业三.exe)进行查壳: watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="&q…

// PETools.cpp : Defines the entry point for the console application.// #include "stdafx.h"#include <windows.h>#include <malloc.h> DWORD len=0; //记录文件读取时的大小 作为还原内存镜像缓冲区时的长度 //==========================================================…

1.查壳 2.找到OEP 对第二个Call使用ESP定律,再跳转后的位置进入第一个Call,这里就是OEP了,在这里直接dump的话会失败,那是因为MoleBox壳对IAT进行二次跳转,我们先在OEP位置设置软件断点: 3.手动修复IAT 我们数据窗口跟随到这个加载系统函数的地址就是IAT: 我们看到有部分IAT被隐藏到了其它位置,我们使用硬件写入断点,从新运行此程序,找到写入位置: 我们通过硬件写入断点找到IAT被写入的位置,我们从这单步向下,找到使IAT变化的语句,在语句上下硬件执行断点,删…

CENTOS手动安装修复YUM  2019年3月8日  杨宇 Comments 0 Comment 目录 [hide] 一.问题场景 二.手动修复 2.1 下载 rpm 包 2.2 安装 rpm 包 2.3 可以使用了 三.python 升级小建议 一.问题场景 centos 上的 python 版本默认比较低,很多同学都会手动升级 python 的版本到 3.x. 因为 yum 的代码是依赖 python2.x 的,如果直接删除老版本 python ,会导致 yum 不可用. # 报错核心语句…

目录 一.工具及壳介绍 二.脱壳 2.1.单步跟踪脱壳 2.2.IAT修复 三.程序脱壳后运行截图 四.个人总结 五.附件 一.工具及壳介绍 使用工具:Ollydbg.PEID.ImportREC.LoadPE FSG壳 2.0: 二.脱壳 2.1.单步跟踪脱壳 因为FSG是压缩壳,所以脱壳最应该尝试的是ESP定律,其次就是单步跟踪,使用OD载入程序,发现入口没有PUSHAD/PUSHFD指令,单步观察堆栈变化 程序一开始并没有保存环境,遇到这种情况单步继续跟踪,发现有解密代码的地方 继续单步跟…

脱壳--修复加密IAT 对两个练手程序进行脱壳修复加密IAT(其实是一个程序,只是用了几种不同的加壳方式) 第一个程序 Aspack.exe 下载链接:https://download.csdn.net/download/weixin_43916597/18372920 分析程序信息 首先先查看这个程序的信息,使用PEiD查看该exe程序 这里可以看出:编译器版本:vc6.0,壳的名称:ASPack 调用OD调试程序 很清晰的看得到程序最开始的OEP是pushad 自然而然就想到了对esp打断点…

作者:Fly2015 这个程序是吾爱破解脱壳练习第8期的加壳程序,该程序的壳是MoleBox V2.6.5壳,这些都是广告,能够直接无视了.前面的博客手动脱Mole Box V2.6.5壳实战中已经给出了一种比較笨的脱壳的方法.在进行脱壳程序的IAT表的修复的时,採用的是手动记录系统API的地址然后手动的去恢复被加密的系统API的方法,非常挫. 以下就来讲一讲略微好点的修复IAT表的方法. 回想一下前面找加壳程序原OEP的步骤. 使用ESP定律进行该加壳程序的脱壳,在硬件写入断点断下来以后,单步…

查壳 UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo upx这类压缩壳手动脱壳非常简单. 一.查找oep 二.dump.修复IAT 一.查找oep way1: 首先在程序入口发现pushad指令,接下来可以直接查找指令popad 在jmp指令处下断,运行. jmp之后来到oep way2: 当然可以在单步pushad后,转到esp的内存窗口,设置硬件断点,运行,找到jmp处. 运行后会在popad指令后停下 跟…

参考 http://bbs.wuyou.com/forum.php?mod=viewthread&tid=323759 1. MBR分区表:Master Boot Record,即硬盘主引导记录分区表,只支持容量在 2.1TB 以下的硬盘,超过2.1TB的硬盘只能 管理2.1TB,最多只支持4个主分区或三个主分区和一个扩展分区,扩展分区下可以有多个逻辑分区. 2. GPT分区表:GPT,全局唯一标识分区表(GUID Partition Table),与MBR最大4个分区表项的限制相比,GPT对分…

---------------------------编辑时突然死机自动保存也没有用真的痛苦回头补上------------------ 输入表中的这些间接跳转是无法正常运行的,因为在正常情况,操作系统必须知道指向各个API函数名称字符串的指针,然后通过GetProcAddress定位到各个API函数正确的入口地址并填充到IAT中,这样这些间接跳转才能起作用.可我们脱壳之后没有这些指针了自然也就无法运行了. 搞明白了问题下一步就着手重建输入表,下面我们来看看未加壳程序的IAT. 我们来定位该Cr…

---恢复内容开始--- IAT(Import Address Table:输入函数地址表) [IAT作用是什么:] 一个API函数,比如MessageBoxA,我们是如何调用它的呢, 在这里我们可以看出是通过一个间接跳转来抵达了MessageBoxA的入口点. 它的入口点在我的电脑上是75F1FDAE,但是在其他版本操作系统或者User32.dll版本不相同的电脑上,入口点就可能会不同. 为了解决以上兼容问题,操作系统就必须提供一些措施来确保该CrackMe可以在其他版本的Windows操作系…

UEFI启动是一种新的主板引导项.传统引导方式就是Legacy模式. CSM的选项是UEFI模拟Legacy模式启动,选中后则可使用Legacy模式启动机器. Legacy模式仅支持传统的MBR分区,最多可以支持2.2TB的硬盘和4个主分区,而UEFI模式支持MBR和GPT分区格式,GPT却可以支持百TB大小的硬盘和100个主分区. UEFI引导程序直接进入64位模式,传统Legacy模式引导程序一直在16位实模式下运行,启动系统后由操作系统切换到需要的cpu模式.所以UEFI只能引导64位操作…

UEFI和GPT下硬盘克隆后的BCD引导修复-Storm_Center http://www.stormcn.cn/post/1901.html 当硬盘引导换成GPT,系统启动也变成UEFI后,如果直接通过克隆方式来更换硬盘,有可能新硬盘无法启动,需要修复启动文件BCD.BCD可放在单独的ESP分区(FAT格式,用光盘文件正常安装就有),也可放在C盘,UEFI启动的BCD文件在efi\microsoft\boot\下.即使是MBR和BIOS启动且同样拥有ESP单独分区的话,BCD则是在BOOT文…

Ubuntu系统从14升16过程中,不小心进入休眠状态.之后Ubuntu桌面界面打不开.进入命令模式,手动修复 网上的答案是这样: 首先,测试桌面环境安装是否完全.sudo apt-get install unity其次,检查并修复安装包错误:sudo dpkg --configure -a 我的输入第一条命令,直接提示我输入第二条进行修复.我输入第二条,修复成功后,reboot. 系统恢复正常. 感谢链接:http://zhidao.baidu.com/link?url=gNrvr5_Zjzn…

今天在windows 10系统收到系统更新通知,没看清楚就手贱点了马上更新.以为只是像那些普通更新一样重启一下更新就完了,万万没想到这个是覆盖更新,也就是说这是一个全新的系统更新而不是系统补丁.在安装的过程中我就在心中默念 “完了,这安装完成linux的系统的引导肯定是要手动修复了.”,果然安装完之后默认是用windows启动引导,F2设置切换到deepin linux的引导后依然没法正常启动linux.要修复这个问题并不复杂,下面这篇文章记录了修复引导的全过程. 错误信息 error: fil…

一.用bcbboot自动修复 我们建议大家启动64位8PE,用它带的bcdboot来修复. (一)指定esp分区修复 环境为64位8PE,bios/uefi启动进入下都可以 1.启动64位8PE,并用esp分区挂载器或diskgenuis挂载esp分区 打开cmd命令行,输入以下命令并运行 bcdboot c:\windows /s o: /f uefi /l zh-cn 其中:c:\windows 硬盘系统目录,根据实际情况修改 /s o: 指定esp分区所在磁盘,根据实际情况修改 /f ue…

sfc /scannow 命令将扫描所有受保护的系统文件,并用位于 %WinDir%\System32\dllcache 的压缩文件夹中的缓存副本替换损坏的文件. %WinDir% 占位符代表Windows操作系统文件夹.例如 C:\Windows. 注意:验证 100% 完成之前,请勿关闭此“命令提示符”窗口.扫描结果将在此过程结束后显示. 返回结果: 流程结束后,您可能收到以下消息之一: Windows 资源保护找不到任何完整性冲突. 这表示您没有任何丢失或损坏的系统文件. Windows…

此文转自互联网,一部分是原创. 主要内容 1.修复双系统菜单(win7与win8双系统),进入win7不再需要重启,普通菜单样式(普通引导,非metro界面),更加简洁,实用,开机即可选择操作系统 2.改双系统启动菜单的名字或者改成中文. 3.使用NTbootautofix强力修复 双系统 用win8 metro引导 考虑到win8的稳定性和兼容性,相信很多人应该和我一样都是装的win7-win8双系统,但是大家装了以后就会发现引导菜单会带来很多问题.为了更好的帮助大家,我在这里把我遇到的情况和…