一、概述该样本为一个被感染了蠕虫的样本,原程序为Sougou.exe,且有正规产商签名。
样本被运行后首先会执行蠕虫病毒,最后再执行原程序。蠕虫病毒会遍历电脑磁盘,并且感染除C盘外且后缀名为.docx和.exe的文件,其中感染.docx的方式为在文件头添加字符串HELLO!,感染.exe的方式为在程序头添加蠕虫病毒。
二、样本信息
样本名
SouGou.exe
MD5
23344...
一、远程连接数据库:1、显示密码如:mysql连接远程数据库(192.168.5.116),端口3306,用户名为root,密码123456
Text1C:/>mysql -h 192.168.5.116 -P 3306 -u root -p 123456
2、隐藏密码MySQL 连接本地数据库,用户名为“root”,
Text12C:/>mysql -h localhost -u ...
PlaneJun ・2022-4-29 15:59
运行效果
原程序运行后显示ACE,并且许秒后绘制消失。原题则要求如下:
程序分为SYS与EXE,EXE中只有一个与驱动通讯,即运行后让驱动执行绘制。
因此着重分析SYS。
详细分析很明显将初赛的部分代码通过驱动来写。首先是获取DWM的EPROCESS。
然后获取D3DCompile函数地址用作后面修复,获取dxgi.dll后...
运行效果:
原程序运行后显示ACE,并且许秒后绘制消失。原题则要求如下:
详细分析及实现:首先创建了一个名为”avoid repeat open”的互斥体,保证程序的单例执行。
然后开始创建窗口,并初始化D3D设备。
随后开始动态获取ZwAllocateVirtualMemory和ZwFreeVirtualMem的函数地址。
调用ZwAllocateVirtualMemory...
一、 认识结构
UObject
1234567891011121314151617181920class UObject{/** virtual function table */void* vtf; /** Flags used to track and report various object states. This needs to be 8 byte aligned on ...
一、初识反射
何为反射反射是指在运行状态下,任意一个实体类都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意方法和属性。这种动态获取信息以及动态调用对象方法的功能称为语言的反射。可以简单看看如下代码:
123456789101112131415161718192021222324252627282930class Object{public: virtual ...
一、UWorld
字符串:SeamlessTravel FlushLevelStreaming源代码如下:
1234567891011121314151617181920212223242526272829303132GWorld = LoadedWorld; //特征if (!LoadedWorld->bIsWorldInitialized){ LoadedWorl...
一、获取UE4源代码github搜索UnrealEngine,或者打开地址https://github.com/EpicGames/UnrealEngine/branches/all
找到一份你想要的源码后,点击左边版本号,进入对应版本的页面。然后点击下载就行了。
Tip:UE引擎源码不会公开,需要给EpicGames进行账号关联。https://zhuanlan.zhihu.com/p/...
传统模式BCD搭建1、系统设置打开CMD,输入下列指令后回车,会得到一个 {ID}。
Text1bcdedit /copy {current} /d DebugEntry
将{ID}代入下列两个指令中运行。
Text12bcdedit /displayorder {current} {ID} ...
如题,近日分析了一个样本,发现需要调试服务,然后自己也没调试过服务,就在国内查了一些资料,基本能用的也就看雪一个大哥发的教程。[原创]使用Windbg&OllyDbg从头调试windows服务-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com
但是跟着操作弄了一遍,虽然是弄好了,但是会出现一个情况就是调试器会非常的卡,而且过了一会就消失了,整个虚拟机就直接是卡死状态,研究...