ALL TAGS
Android开发 (1)
Android逆向 (2)
COM注入 (1)
CTF (6)
Git (1)
Go语言恶意软件 (1)
IAT修复 (1)
IMGUI (1)
Iot (1)
Linux (4)
NTDLL (1)
Nginx (1)
OLLVM (3)
TLS (1)
U3D (1)
UE4 (8)
Unity3d (1)
VMP (1)
VMProtect (3)
VirtualKD (1)
WinDbg (1)
Windows内核 (9)
buildroot (1)
cmake (1)
docker (1)
firmadyne (1)
frida (1)
nodejs (1)
shared (1)
ssh (1)
wsl (1)
交叉编译 (1)
代理 (1)
代码混淆 (3)
僵尸网络 (1)
内核开发 (6)
内核编译 (1)
双机调试 (1)
反混淆 (5)
反调试 (1)
固件仿真 (1)
嵌入式 (1)
引擎逆向 (1)
恶意软件 (11)
易语言 (1)
样本分析 (11)
游戏安全 (13)
游戏引擎 (8)
病毒分析 (1)
移动安全 (3)
红队技术 (3)
运维 (1)
逆向工程 (13)
tag: %u9006%u5411%u5DE5%u7A0B.md

Tag: 逆向工程

13 posts
2024鹅厂安全竞赛题解-决赛
2024-01-01 Reverse
一、题目 二、分析​ 决赛题目只有一个驱动,pe工具查看加了vmp,直接加载后dump进行分析。 1、注册机由于题目前置条件为防止card.txt到C盘根目录,因此猜测驱动内部为写死路径,因此搜索字符串,找到关键线索。 交叉引用到关键位置后发现无法F5,发现存在vmp,但思考后认为题目考察点不会以分析VMP为主,因此猜测,对应函数为读取card.txt内容。 因此继续往下分析,具体分析就...
Read More
2024鹅厂安全竞赛题解-初赛
2024-01-01 Reverse
hack.exe反调试​ 对hack.exe脱外壳+IAT修复后,进行简单分析,可知存在三种检测反调试(不完全),后边调试dll_shellcode是还发现了有扫字符串。 ​ 1、调用NtQueryInformationProcess 扫描进程的DebugPort。 ​ 2、清空dr寄存器。 ​ 3、隐藏线程 token1​ 运行hack.exe后,运行调试器附加后发现提...
Read More
VBHeader
2024-01-01 Reverse
...
Read More
从零开始分析VAC
2024-01-01 Reverse
一、资料收集 国内: CSGO辅助制作思路与VAC保护分析 - -Qfrost- 【CSGO游戏分析】VAC反作弊系统分析 - 哔哩哔哩 (bilibili.com) 国外: How To Bypass VAC Valve Anti Cheat Info (guidedhacking.com) 代码: danielkrupinski/VAC: Source code of Valve ...
Read More
从零开始学习反调试
2024-01-01 Reverse
一、PEB系列Text12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394kd> dt ...
Read More
VMProtect分析-IAT修复
2023-12-10 Reverse
实现代码: GitHub - PlaneJun/VMP-Import-Fix: VMP 3.X decrypt iat GitHub - PlaneJun/vmp_fixiat: fix vmp-iat by unicorn and capstone 一、IAT保护方式原函数调用代码: Text1004018EE FF 15 0C 30 40 00 ...
Read More
VMProtect分析-虚拟化流程
2023-12-09 Reverse
一、没有大炮我们自己造首先编写一个简单的程序。 1234567int main(){ int a = 1; a = a + 1; printf("%d\n",a); return 0;} 编译后给程序添加vmp保护壳,这里选择的VMP版本为v3.5.0。 保护的函数为main函数,编译类型修改为虚拟。 并且关闭一系列保护。 编译完成后,可看到程...
Read More
VMProtect分析-加载器
2023-12-08 Reverse
分析对象为网上流传的VMP源码 源码路径 函数名 行号 runtime\loader.cc SetupImage 884 1、反调试1.1 用户模式line:17492通过检测PEB->BeingDebugged,常规手段了,没什么好说。 然后就是通过NtSetInformationProcess、NtQueryInformationProcess、NtSetInfo...
Read More
修复IAT的奇淫技巧
2023-02-19 Reverse
在dump一些驱动样本的时候会遇到这样的情况。 这种是要修复导入表的,大多数解决办法就是给dump文件修复导入表,但是这种方式有点弊端。比如说面对的是一段shellcode代码的话就比较繁琐,所以并不适用。最佳解决办法就是把ntoskrnl.exe模块原封不动加载到ida。 首先,我们把驱动dump下来后,因为缺少ntoskenl.exe的内存,所以函数调用会变红。所以我们首先是要加载这个内...
Read More
撕开易语言程序
2022-09-22 Reverse
要点 易语言的入口函数特征 各种函数的调用特征以及识别 针对易语言程序的分析插件 1、如何识别易语言程序一、查看文件信息右键-属性-详细信息 二、查看资源文件Resource Hacker或其他可查看资源文件的工具 三、库文件易语言程序依赖于自实现的库(.fnr)执行,针对易语言的编译模式有静态编译、非静态编译和独立编译,如下图: 编译:编译程序时,会将所有需要用到的库文件生...
Read More
CM分析-腾讯面试
2022-08-26 Reverse
一、反调试1、分析程序启动时会对Zw函数进行拷贝到自身内存中,并将内存加密。实现过掉常规API检测。 然后对BeginDebug和ForceFlags标志位进行检测,如果根据是否进行调试来设置自定义值。 执行到MFC入口后会首先判断Wow64Transition是否被hook。 然后对PEB->ProcessHeap->Flags、PEB->ProcessHeap...
Read More
2022游戏安全技术竞赛-决赛
2022-04-29 Reverse
PlaneJun ・2022-4-29 15:59 运行效果 原程序运行后显示ACE,并且许秒后绘制消失。原题则要求如下: 程序分为SYS与EXE,EXE中只有一个与驱动通讯,即运行后让驱动执行绘制。 因此着重分析SYS。 详细分析很明显将初赛的部分代码通过驱动来写。首先是获取DWM的EPROCESS。 然后获取D3DCompile函数地址用作后面修复,获取dxgi.dll后...
Read More
2022游戏安全技术竞赛-初赛
2022-04-27 Reverse
运行效果: 原程序运行后显示ACE,并且许秒后绘制消失。原题则要求如下: 详细分析及实现:首先创建了一个名为”avoid repeat open”的互斥体,保证程序的单例执行。 然后开始创建窗口,并初始化D3D设备。 随后开始动态获取ZwAllocateVirtualMemory和ZwFreeVirtualMem的函数地址。 调用ZwAllocateVirtualMemory...
Read More