原创 常見協議複習
FTP,Telnet,HTTP,SMTP/POP3,SSL,SNMP,語音協議 FTP 數據傳輸主流協議,兩個信道(控制信道,數據信道),FTP的兩個模式(Active Mode,Passive Mode) Active Mode 就是第
2020-07-04 04:29:07
2
原创 TCP/IP總略複習
源端口號隨機 1024~5000之間。大於5000的端口號爲其他服務器預留的,Internet上並不常用的服務。 以太網是一般PC使用的標準,速度10Mb/s,地址是48bit。 環回接口:一般是判斷是否是127.0.0.1,就給環回驅動
2020-07-04 04:29:07
4
原创 windows取證之鏡像取證仿真步驟
工具使用 取證工具:winhex,FTK Imager,VMware-converter 掛載工具:Arsenal-Image-Mounter-v3.1.107 簡介 在windows平臺中一般使用VMware-converter來進行取
2020-06-20 11:23:30
44
原创 《反勒索軟件開發筆記》(一)vs常見問題與使用技巧,服務程序標準框架
下斷點時候當前代碼下斷代碼不匹配 在工具->選項->調試->常規去掉要求源文件與原始版本完全匹配 在重新編譯時候重新生成表一些錯,比如無法貸款數據庫等 先清理解決方案,在重新生成,如果還不行,就關閉項目,刪除項目的.ncb文件,然後重新生
2020-06-19 09:34:09
4
原创 unbutu下cmake安裝和簡單使用
首先去官網下載源碼包 https://cmake.org/download/ 然後輸入以下命令 $tar -zxvf xx.tar.gz $./bootstrap $make $make install 在其中可能會遇到一些問題,比
2020-06-19 03:33:59
1
原创 《Windows內核原理與實現筆記》(一)Windows系統結構和基本概念
Windows內核結構 上圖是windows內核的組成結構 如圖Windows內核分三層,與硬件直接打交道的是硬件抽象層HAL,這一層把所有與硬件相關代碼邏輯隔離到一個專門模塊中,從而是上層儘可能獨立於硬件平臺。HAL是一個獨立動態鏈接
2020-06-19 02:20:51
2
原创 linux的errno返回值含義
逆向linux樣本遇到一個函數 linux中關於errno 1)errno是一個整型變量,當系統調用和一些庫函數發生錯誤時會通過設置errno的值來告訴調用者出了什麼問題。 2)errno的有效值都是非零的。(這個manpage有個悖論
2020-06-19 02:20:51
原创 《ida主流插件使用》(2)windows下stack_strings插件使用
FireEye公司發佈了一些逆向插件,即stack_strings插件,該插件是棧字符串識別插件,可以自動識別棧上局部變量爲字符串的插件,字符串形式如下,並自動的加上註釋。 項目主頁地址: https://github.com/fire
2020-06-19 00:52:16
6
原创 《ida主流插件使用》(1)windows下labeless插件使用
以下介紹是github官方介紹的機翻 Labeless是一個多用途的IDA Pro插件系統,用於標籤/註釋與調試器後端同步,具有複雜的內存轉儲和交互式Python腳本功能。 剩下詳細介紹可以去github看。 如果要同時使用x86和x86
2020-06-19 00:52:16
10
原创 kafka學習筆記(未完成)
kafka是一種消息隊列,高吞吐量,一般網站軟件行爲數據放到kafka,再放到hadoop中,kafka支撐hadoop並行數據加載 相關概念 hadoop:分佈式計算(mapreduce)+分佈式文件系統(hdfs) hive:數據倉庫
2020-06-19 00:52:16
原创 基於CVE-2018-20250的漏洞的漏洞分析與APT-C-27(黃金鼠)攻擊文檔分析
樣本概況 樣本信息 文件名: 3a6cc90db63a6d09721886b6e3f795e32f355d42e8faef560349ec068a9435f1.rar Size: 185528 bytes Modified: 2020年4
2020-04-26 06:27:25
8
原创 ShellServiceObjectDelayLoad註冊表鍵值作用
ShellServiceObjectDelayLoad ShellServiceObjectDelayLoad是一個未公佈的註冊表項,可以將組件關聯到這個鍵,這樣一來,系統啓動時間EXPLORER將自動加載目標組件. 這就是某些病毒將自己
2020-04-03 08:23:05
8
原创 OD調試多線程
首先記得關閉strongOD那些跳過一些異常 然後在線程出下斷,比如我這裏是10008620 然後在OD,設置優先爲空閒 然後F8或者F9就到線程回調了 除此之外,還可以不改優先級別,按着別人博客介紹如下: 一般是下面跟有Slee
2020-04-03 08:23:05
1
原创 __OFSUB__宏
生成(x-y)的溢出標誌 定義如下: // overflow flag of subtraction (x-y) template<class T, class U> int8 __OFSUB__(T x, U y) { if (
2020-02-22 00:19:16
1
原创 intel彙編幾種跳轉的區別
幾種跳轉指令和對應的機器碼 0xE8 CALL 後面的四個字節是地址 0xE9 JMP 後面的四個字節是偏移 0xEB JMP 後面的二個字節是偏移 0xFF15 CALL 後面的四個字節是
2020-02-22 00:18:56
1