[系统安全] 十六.PE文件逆向基础知识(PE解析.PE编辑工具和PE修改) 文章来源:https://masterxsec.github.io/2017/05/02/PE%E6%96%87%E4%BB%B6%E7%BB%93%E6%9E%84/   您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分析和恶意代码检测,"系统安全"系列文章…

逆向知识第一讲,IDA的熟悉使用,以及TEB,PEB结构 一丶熟悉IDA,以及手工制作sig文件. IDA,静态分析工具,网上随便找一个即可下载. 首先,我们写一个可执行EXE,最简单的 使用IDA打开. 1.提示使用什么格式打开 因为是PE格式,所以我们选择PE即可.点击OK 2.重新打开一下 如果以前已经打开过这个PE,那么重新打开,则会显示这三个按钮, 1.overwrite 重新写入,代表覆盖以前的.(联系中常用这个,工作中不常用) 2.load existing 加载已经存在,这个很常…

逆向知识第一讲,IDA的熟悉使用 一丶熟悉IDA,以及手工制作sig文件. IDA,静态分析工具,网上随便找一个即可下载. 首先,我们写一个可执行EXE,最简单的 使用IDA打开. 1.提示使用什么格式打开 因为是PE格式,所以我们选择PE即可.点击OK 2.重新打开一下 如果以前已经打开过这个PE,那么重新打开,则会显示这三个按钮, 1.overwrite 重新写入,代表覆盖以前的.(联系中常用这个,工作中不常用) 2.load existing 加载已经存在,这个很常用,因为有的时候汇编的注…

逆向知识第八讲,if语句在汇编中表达的方式 一丶if else的最简单情况还原(无分支情况) 高级代码: #include "stdafx.h" int main(int argc, char* argv[]) { unsigned ; scanf("%ud",&nNumber); ) { nNumber = ; //第一种情况下无分支 } else { nNumber = -; } return nNumber; } 总共两种情况,我们看下Release中…

逆向知识第十四讲,(C语言完结)结构体在汇编中的表现形式 一丶了解什么是结构体,以及计算结构体成员的对其值以及总大小(类也是这样算) 结构体的特性 1.结构体(struct)是由一系列具有相同类型或不同类型的数据构成的数据集合 2.在C语言中,结构体(struct)指的是一种数据结构,是C语言中聚合数据类型(aggregate data type)的一类. 3. 结构体可以被声明为变量.指针或数组等,用以实现较复杂的数据结构.结构体同时也是一些元素的集合,这些元素称为结构体的成员(member)…

逆向知识之CS辅助/外挂专题.2.实现CS1.6透视原理 一丶透视简介 我们涉及到FPS游戏.免不了说透视.自瞄什么的. 在CS1.6中. 有OpenGl.也有D3D. 透视的方法很多. gl透视(也就是CS中可以实现的透视)  D3D透视. HOOKD3d的绘图函数.设置渲染状态就可以实现透视. 方框透视. 根据敌人坐标以及我们的坐标. 使用三角函数(sin cos tan) 以及转换屏幕比例算法. 求出的透视. 这种透视是通用的. 因为是算法计算出来了.依赖的就是游戏中的敌人跟我们的坐标.…

逆向知识之CS辅助/外挂专题.2.实现CS1.6无限夜视仪.无限闪光烟雾高爆弹. 关于人物子弹无限可以观看上一篇博客. 一丶无限夜视仪. 无限夜视仪找法. 1.CE附加游戏. 2.搜索0或者1. 3.修改夜视仪状态为开启或者关闭. 4.CE继续搜索. 5.筛选数据. 关于搜索0或者1我们也不知道哪个是打开或者关闭. PS: 因为我找过了.确定了1是打开夜视仪. 搜索到最后如下图所示: 通过上图所示找到了一个地址.对其修改0或者1可以实现夜视仪的打开关闭. 对其下访问断点 可以得出汇编代码使用了基…

逆向知识之CS辅助/外挂专题.1.实现CS主武器副武器无限子弹 PS: 相信大家CS1.6这类的FPS应该玩过.现在我们通过外挂手法.讲解逆向的本质.以及应用. 关于CS1.6的下载.网络百度下载即可. 一丶主武器无限子弹寻找方法. 首先我们知道.在CS中主武器有子弹个数.那么我们可以通过CE寻找子弹的个数增加或者减少来进行寻找我们的数据. 关于CE的使用.可以参考网络教程.很简单.主需要来回扫描即可. 寻找思路: 1.首次扫描子弹个数 2.变化子弹继续扫描. 3.重复2步骤.直到地址很少. 4…

1.知识点 微软从windows vista/windows server 2008(kernel version 6.0)开始采用ASLR技术,主要目的是为了防止缓冲区溢出 ASLR技术会使PE文件每次加载到内存的起始地址随机变化,并且进程的栈和堆的起始地址也会随机改变. 这样的PE不好调试,如果不想启用ASLR.可以通过以下两种方法解决. VS编译器:若不想使用ASLR功能,可以在VS编译的时候将"配置属性->链接器->高级->随机基址"的值修改为否. 010ed…

0 初衷 GitHub这一份黑客技能列表很不错,包含了多个方向的安全.但目前我关注只有逆向工程与恶意代码,所以其他的被暂时略过. 虽然很感谢作者的辛勤付出,但并不打算复制粘贴全套转载.逐条整理是为了从大量资源里梳理出自己觉得实用性很高的东西. <Awesome-Hacking> https://github.com/Hack-with-Github/Awesome-Hacking Awesome Hacking系列-逆向 逆向:关于逆向的图书.培训.实战.工具等 https://github.…

从DOS头到节区头是PE头部分,其下的节区合称PE体.文件中使用偏移(offset),内存中使用VA(Virtual Address,虚拟地址)来表示位置.文件加载到内存时,情况就会发生变化(节区的大小.位置等).文件的内容一般可分为代码(.text).数据(.data).资源(,rsrc)节,分别保存. VA指的是进程虚拟内存的绝对地址,RVA(Relative Virtuall Address,相对虚拟地址)指从某个基准位置(ImageBase)开始的相对地址. VA与RVA满足:RVA+I…

一丶Switch Case语句在汇编中的第一种表达方式 (引导性跳转表) 第一种表达方式生成条件: case 个数偏少,那么汇编中将会生成引导性的跳转表,会做出 if else的情况(类似,但还是能分辨出来的) 1.高级代码: #include "stdafx.h" int main(int argc, char* argv[]) { switch(argc) { : printf("case 0\n"); break; : printf("case 1\…

5.1.PE文件结构 1.什么是可执行文件? 可执行文件(executable fle)指的是可以由操作系统进行加载执行的文件. 可执行文件的格式: Windows平台: PE(Portable Executable)文件结构 Linux平台: ELF(Executable and Linking Format)文件结构 哪些领域会用到PE文件格式: <1>病毒与反病毒 <2>外挂与反外挂 <3>加壳与脱壳(保护与破解) <4>无源码修改功能.软件汉化等 2…

1.C++类代码的特点 寄存器ECX传参时一般用作this指针(对象地址)或是计数器. 有ecx传参的call,是成员函数,构造函数,析构函数 能访问成员变量的函数都会有ecx传参 静态函数.全局函数无ecx(this指针) 返回值 寄存器eax一般用作返回值 识别构造函数的OD反汇编代码 特点: (1) 代码特点:没有返回值.用于初始化 (2)反汇编特点:有返回值,而且是this指针 根据反汇编可以看出成员变量的顺序,因为在内存数据中的排布顺序是由代码中成员变量定义顺序决定的. 识别构造函数的…

工具:OllyICE 调试快捷键说明: F2键:设置断点,只要在光标定位的位置 F4键:程序运行到光标处 F7键:单步步入.功能同单步步过(F8)类似,区别是遇到 CALL 等子程序时会进入其中,进入后首先会停留在子程序的第一条指令上. F8键:单步步过.每按一次这个键执行一条反汇编窗口中的一条指令,遇到 CALL 等子程序不进入其代码. 回车键: F9键:运行.按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行. VS2013 默认调用三个参数 VS2015 默认调用四个参数 对表…

1 说明 指定裸函数编写的函数,编译器生成不带任何多余代码. 利用此功能,可以使用内联汇编程序代码编写自己的 prolog/epilog 代码序列. 裸函数对于编写虚拟设备驱动程序特别有用. 2 练习目的 熟悉堆栈结构 参数.局部变量的位置 返回值存储的位置 3 代码实现 // 20180217_裸函数.cpp : 定义控制台应用程序的入口点. // #include "stdafx.h" // 两数相加函数 int add(int x, int y) { return x+y; }…

如何开发WinDbg扩展DLL WinDbg扩展DLL是一组导出的回调函数,用于实现用户定义的命令.以便从内存转储中提取特定的信息.扩展dll由调试器引擎加载,可以在执行用户模式或内核模式调试时提供自动化任务的扩展功能.扩展DLL可以导出任意数量用于执行扩展命令的函数.每个函数都被显式地声明为DLL定义文件中的导出函数,.def文件和函数名必须是小写字母. ​ WinDbg(DbgEng)扩展DLL必须导出DebugExtensionInitialize. 这将在DLL加载时调用,以便于初始化D…

PE就是市盈率的缩写 PB是平均市净率的缩写 以下为百科知识 PE Price/Earnings 市盈率 也有叫做PER的,Price/Earnings Ratio 本益比,价格收益比,市盈率 市盈率反映市场对企业盈利的看法.市盈率越高暗示市场越看好企业盈利的前境.对於投资者来说,市盈率过低的股票会较为吸引.不过,在讯息发达的金融市场,市盈率过低的股票是十分少见.单凭市盈率来拣股是不可能的.投资者可以利用每股盈利增长率(Rate of EPS Growth),与市盈率作比较.对於一间增长企业,如…

知识杂项 aslr:是一种针对缓冲区溢出的安全保护技术,通过对堆.栈.共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术. str.strip([chars]); 用于移除字符串头尾指定的字符(默认为空格或换行符)或字符序列. chars -- 移除字符串头尾指定的字符序列. 返回移除字符串头尾指定的字符生成的新字符串. 调整栈帧技巧 在存在栈溢出的程序中,有时候我们会碰到一些栈相关的问题,例如溢出的字节数太小,AS…

2021年正确的Android逆向开发学习之路 说明 文章首发于HURUWO的博客小站,本平台做同步备份发布.如有浏览或访问异常或者相关疑问可前往原博客下评论浏览. 原文链接 2021年正确的Android逆向开发学习之路直接点击即可前往访问. 前言 在做从正向的程序开发转到逆向开发的两年里,深切体会到两种开发的不同.尤其是学习道路这一块走了很多的弯路,当然我现在也不是厉害的逆向.所以所有的看法仅代表个人意见,如有不同看法请在评论区打出来. 正向开发为什么容易学习 以普通的Android开发为例…

目录 C++逆向 可变参数Hook 0x00 前言: 0x01 C++可变参数: 可变参数简介 可变参数代码实战 0x02 逆向分析C++可变参数原理 0x03 printf Hook实战 Pwn菜鸡学习小分队 C++逆向 可变参数Hook 0x00 前言: 我们在做逆向分析的时候,经常会需要去Hook一个程序的日志输出函数. 而这种日志输出函数一般参数都不确定,这就会引起一个问题.我们如何知道参数个数?如何知道他有哪些参数呢? 0x01 C++可变参数: 可变参数简介 在C++中,可变参数的函…

Hacking Tools 种各样的黑客工具浩如天上繁星,这也让许多刚刚入门安全技术圈的童鞋感到眼花缭乱,本文整理了常用的安全技术工具,希望能够给你带来帮助.以下大部分工具可以在 GitHub 或 SourceForge 下载. 通用调试器 binwalk:二进制文件分析工具 OllyDbg:经典的反汇编工具 IDA pro:宇宙最强反汇编,支持源码级别的查看 x64dbg:基于Qt的开源现代化的动态调试器 Immunity Debugger:流行的用户模式调试器(依赖Python)配合 PyC…

1/编程篇88课时(预计三个月) 此阶段主要侧重于培养学员发现问题的能力,并对各大平台各个操作系统有一个整体性认知,迅速建立起较高的计算机素养,并形成对于信息安全核心思想的初步探索及认知,为后续专项课程的学习建立起全局高度,以达到有的放矢的目的. C语言快速入门 8课时 C语言的两大分支.三大循环以及各种数据类型等基础知识 C语言快速提高 8课时 多维数组指针与C语言的内存布局等 C++入门 8课时 面线对象编程思想与类以及类的继承等 C++核心机制 8课时 虚函数及虚基类的核心机制,以及重载.…

一.前言 5月12日,一场全球性互联网灾难悄然而至,一款名为WannaCRY的PC端恶意勒索软件利用NSA泄漏的危险漏洞“永恒之蓝”,给100多个国家和地区10万台电脑造成了巨大的损失.到2017年为止,全球手机用户总量已经突破50亿,而作为占比超过50%的android系统中,同样有许许多多类似WannaCRY的勒索软件正在危害我们的财产安全. 接下来,以一款主流的Android端恶意锁屏勒索应用为例,结合人工分析的方式,深入剖析勒索应用的恶意行为.知己知彼,才能更好的防患于未来.   二.运…

知识点,依然会遗忘.我在思考到底是什么原因.想到研究生考试准备的那段岁月,想到知识体系的建立,知识体系分为正向知识体系和逆向知识体系:正向知识体系可以理解为教科书目录,逆向知识体系可以理解考试真题. 按照知识体系建设这个思路,追求长久的深刻的记忆.决定建立正向知识体系.本文系正向知识体系的第一篇. 原生js操作dom节点:所谓的CRUD,代表create,read,update,del:也就是创建,读取,更新和删除.dom提供了api用于创建节点常用有 var div=document.crea…

解题报告 濮元杰部分: 王者归来: 120 场景 小王入职了一段时间,最近有点无聊.Web安全项目不多,白天看着其他项目组的同事忙得热火朝天,小王有点坐不住了,这也许是新人都会有的想法,乐于助人.想到这,小王一眼看到了隔壁的小丽,哎,IT界小丽绝对算得上是一位美女啦,于是小王凑了过去对小丽说:小丽,看你眉头紧锁的,需要本大侠帮忙吗?小丽转头看着小王,愣了足足有10秒,突然说:那,那好吧,如果你帮我搞定这三个问题,嗯~我请你吃晚饭,就我们两个.天哪,这,这,小王已经按耐不住突如其来的喜悦,战斗力倍…

一.辅助功能方案分析 关于WX的各种功能插件已经非常普遍了,而现在的插件都是依赖于Xposed框架进行的,所以个人觉得WX应该在这方便应对Xposed框架的使用防护,防止插件满天飞的现象,本文来介绍一个WX应用中接收到消息如果是文章链接就自动打开浏览的功能.这个功能可能有的人用的不是很多,但是本文秉着逆向技术学习点还是来分析这个技术! 关于微信文章链接消息自动点开的逻辑,可能有的同学第一个思路就是:用辅助功能来实现模拟点击,但是这里有个问题需要解决,就是如何得到消息内容.首先我们来看一下微信中发…

关联词: PDF 下载 FLASH 网页 HTML 报告 内嵌 浏览器 文档 FlexPaperViewer swfobject. 这个需求是最近帮一个妹子处理一下各大高校网站里的 PDF 文档下载,又增加了无用的逆向知识 XD ,根据这些思路,可以有效的下载这类网站的文档文件. 这需要你有点 HTML5 和 Flash 时代的基础认知,顺便能看 F12 的 network .cache 等内容,推算真实地址等. 我从最简单的说起,首先准备一个谷歌浏览器,有趣的是需要谷歌浏览器的打印功能,导出到…

PE知识复习之PE的RVA与FOA的转换 一丶简介PE的两种状态 首先我们知道PE有两种状态.一种是内存展开.一种是在文件中的状态.那么此时我们有一个需求. 我们想改变一个全局变量的初始值.此时应该怎么做.你知道虚拟地址.或者文件位置了.那么你怎么自己进行转换. 也就是说通过文件中的节数据找到在内存中这块数据的位置.或者反之. 寻找之前我们要先弄前几个概念. ImageBase:  模块基址.程序一开始的地址. VA: 全名virtualAddress 虚拟地址. 就是内存中虚拟地址. 例如 0…

原文发表于百度空间,2008-10-4看雪论坛发表地址:https://bbs.pediy.com/thread-73948.htm========================================================================== 这篇文章是在Servex.exe专杀工具写完之后的一些小小感想,关于PE感染和修复,大牛飘过~ 自某日不小心中了Serverx.exe病毒,电脑中大部分EXE文件被感染,系统盘system32目录下的病毒文件Serve…