wangtiankuo-CSDN博客

原创如何查看被加密的宏代码

使用文本编辑器打开Word文档，找到DPB，修改DPX，保存。打开文档，无论报任何错误都选则“是”，继续打开文档。使用Alt+F11打开宏代码，选择Project->Project属性->保护，设置新的密码，保存并关闭文件。重新打开文件，使用自己设置的新密码便可以查看宏代码了。...

2019-04-25 17:22:55 4485 1

原创 Spring MVC：Beginner's Guide 下载

本来想上传到CSDN下载的，但是现在积分规则改了，不能手动设置积分了。系统计算出来的积分太高了，所以把下载链接贴出来，想下载的自己去下载吧。https://usermanual.wiki/Pdf/1springmvcbeginnersguide2nd.1041009060.pdf...

2019-03-05 12:25:02 333

原创流量分析练习-2014-11-16-traffic-analysis-exercise.pcap

pcap包来自https://www.malware-traffic-analysis.net/2014/11/16/index.html问题与回答LEVEL 1 QUESTIONS:1) What is the IP address of the Windows VM that gets infected?通过查询语句“bootp”or“udp.port==67”查询到了...

2019-01-11 17:19:13 2363 1

原创 WireShark使用技巧

WireShark使用技巧本文总结自https://www.malware-traffic-analysis.net/tutorials/index.html1. 界面排列在编辑->首选项->外观->列里面可以增加或删除相应的列，比如可以把序号、协议等删除，添加源端口、目的端口。在视图->时间显示格式选择日期和时间，然后选择秒。在Column上右...

2019-01-11 12:33:51 915

翻译使用反取证和file-less技术的恶意软件

使用反取证和file-less技术的恶意软件本文翻译自Anti-forensic and File-less Malware。该文介绍了file-less(无文件)技术和反取证技术，以及一个使用这两个技术的软件Kaiser。Kaiser的GitHub： https://github.com/NtRaiseHardError/Kaiser建议需要的预备知识C语言PowerShell脚本语...

2019-01-04 16:45:02 1941

如何在VT上进行文件搜索VirusTotal Intelligence 允许用户通过VT的数据库去搜索，以便鉴定匹配到某个规则的文件(反病毒引擎检测、元数据、提交文件名、文件格式结构属性、文件大小等)。可以说VirusTotal Intelligence是恶意软件界的“Google”。为了方便使用，我们将搜索查询和修饰符分成了下面的类别，你可以在同一个查询中以任意数量组合他们，此外，你也可以使...

2018-12-26 10:03:54 2170 1

翻译在VT上搜索恶意软件

在VT上搜索恶意软件恶意软件搜索是VT上的一个服务，它允许用户挂接VT上提交的文件流并且有文件匹配到用户编写的YARA规则时通知用户。如果你之前从未使用过YARA，我们建议你可以从阅读YARA文档开始熟悉他，你也可以访问YARA官网去访问其他的工具和资源。将YARA规则应用于VT上的文件，你可以，得到一个通过病毒家族分类的恒定的恶意软件流，发现没有被反病毒引擎检测出的新的恶意软件，收集使用特定...

2018-12-24 16:52:29 2610

原创 CVE-2010-3333分析

1.漏洞背景 RTF中“pFragments”属性存在栈溢出，远程攻击者可以借助特制的RTF数据执行任意代码。 RTF分析器在解析pFragments属性值时，没有正确计算属性值所占用的空间大小，导致栈溢出漏洞的发生，后面有个图里圈出了要复制的数据大小以及数据。2.漏洞成因使用msf生成漏洞文档后，用windbg打开，在30e9eb88处发生...

2018-11-23 14:05:04 463

原创修复不连续的导入表

1.前言之前脱UPX壳都是用脱壳工具脱的，因此偷懒现在都没有仔细看ImportREC怎么用，最近分析一个很久之前的感染式病毒，遇到了UPX，使用工具脱壳失败，只能手动修复了。壳是简单的UPX壳，知识需要手动修复导入表而已。2.修复过程 UPX在外壳入口点一大堆代码之后有一个jmp指令，直接跳到OEP，此样本在入口点和jmp之间会多次调用LoadLibrary和G...

2018-11-20 15:55:09 641

原创在栈溢出和堆溢出中利用SEH

本文总结自《0day安全:软件漏洞分析技术》1.TEB该部分参考自https://bbs.pediy.com/thread-223816.htm 作者:AperOdry ntdll.NtCurrentTeb()函数返回当前线程的TEB结构体指针。 fs:[0x18]处存放当前线程TEB结构体指针，值009BF00，即fs:[0x0]是TEB的起始地址。此处介绍第一个结构...

2018-11-02 16:15:58 1179

原创 CVE-2010-2883分析

1 漏洞背景CVE-2010-2883是Adobe Reader和Acrobat中的CoolType.dll库在解析字体文件SING表中的uniqueName项时存在栈溢出漏洞。1.1 Heap Spray（堆喷）使用堆喷的时候，会将EIP指向堆区的0x0C0C0C0C位置，然后用JavaScript申请大量内存，用包含着0x90和shellcode的“内存片”覆盖这些内存。J...

2018-10-10 11:20:41 2397 1

原创堆溢出利用

本文整理自《0day安全：软件漏洞分析技术》1 堆2 代码#include "stdafx.h"#include <Windows.h>int _tmain(int argc, _TCHAR* argv[]){ //HANDLE和HLOCAL 是 void* HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp=HeapCre...

2018-10-10 10:57:41 1322

原创百度杯“百度杯”CTF比赛十一月场 Reverse CrackMe01 Writeup

题目链接：https://www.ichunqiu.com/battalion取文本框中内容的函数是GetWindowTextW，给GetWindowTextW下断点，运行，5次F9之后，才可以在文本框中输入字符，随便输入123456789，鼠标放在click上后就从running状态变成了Paused，继续运行，会将输入拷贝到另一个地方，然后调用PostMessage函数。用IDA动...

2018-07-25 14:16:01 2805

原创 recursive_python writeup

题目链接：http://ctf5.shiyanbar.com/reverse/recursive/recursive_python运行recursive_python之后，输出了一句话“You wish it was that easy!”，然后生成了三个ELF文件，又立马删除了。搜索资料后得到信息，该可执行文件应该是用freeze.py将python文件打包成可执行文件的。想自...

2018-07-17 16:28:29 676

原创使用OD调试服务

使用OD调试服务（服务程序为EXE文件）1. 先注册服务。在\HKEY_LOCAL_MACHINE\SYSTE\CurrentControlSet\services下新建项，在该项下面新建如下值，注意这些值的类型。 Description：服务的描述DisplayName：服务显示的名字ImagePath 服务程序所...

2018-07-03 15:38:56 4153 2

原创 PE文件结构

本文整理自《加密与解密》第10章一、基本概念基地址：映射文件的起始地址被称为模块句柄，可以通过模块句柄访问内存中其他的数据结构。这个初始内存地址被称为基地址 GetModuleHandle函数返回可执行文件的基地址。相对虚拟地址（RVA）：RVA只是内存中的一个简单的相对于PE文件装入地址的偏移位置。实际的内存地址被称作虚拟地址（VA）VA=ImageBase+RVA 文件偏移地址：PE文件存...

2018-07-02 16:51:45 486

原创逆向工程核心原理之通过修改PE加载DLL

1.1 给TextView.exe添加myhack3.dll1.1.1 查看IDT是否有地方再加一个dll查看IDT，发现没有地方再添加一个dll了，需要移动IDT到更大的地方。在文件中找一个空白的区域，将IDT移动过去。.rdata区域，从0x8C60后就是NULL了。但是，填充着NULL不一定意味着该区域是空白可用区域，因此要确定该区域是否为空白可用区域。内存中节区起始...

2018-07-02 10:23:01 650

原创逆向工程核心原理之内嵌补丁

1.1 源程序分析第一次解密4010F5，与0x44异或解密401007，与0x7异或，一直到0x401086第二次解密4010F5,与0x11异或。将4010F5处的内容累加得到校验和，与0x31EB8DB0作比较，来判断代码/数据是否被改动过。下图是我们将要修改的字符串。分别位于0x40110A和0x401123 解密代码。1.2 内嵌补丁思路：解密结束后...

2018-07-02 10:18:49 478

原创逆向工程核心原理之UPack PE文件头

0x0 两个文件对比正常的notepad.exe使用Upack压缩后的notepad.exe，可以看到无法正常读取PE文件头。 0x1 重叠文件头IMAGE_NT_HEADER的起始位置是可变的 0x2 修改SizeOfOptionalHeader的值SizeOfOptionalHeader的值被修改成了0x0148（原来定义的是32位是E0，64位是F0）。IMAGE_OPTION_HEA...

2018-07-02 10:06:18 758

原创实验吧whatamitoyou writeup

根据题目和前期出现的字符串，可以搜索到一首歌My Best Friends InThe World(What Am I To You?)。对比这首歌可以看出我们得到的歌词顺序是乱序。一大堆赋值结束后，在0x401890处把第一句歌词的内存地址放到了[rbp-0x8]的位置，0x00007ffd54ce2290(为了书写方便，之后不写7ffd54ce了)。取了输入的第一个字符，存到了[rbp-0x1...

2018-06-17 09:34:23 3494 5

原创逆向工程核心原理之调试UPX压缩的notepad程序

notepad_upx第一个节区的RawDataSize为0，即第一个节区在磁盘文件中是不存在的，但是其Virtual Size值为0xF000，意味着，UPX压缩后的PE文件在运行瞬间将压缩的代码解压到（内存中的）第一个节区。 notepad_upx的EP，第一个节区的起始地址0x01001000，存入edi，第二个节区的起始地址0x01010000，存入esi。把esi中...

2018-04-08 18:31:13 447 1

原创逆向工程核心原理之DLL卸载

DLL卸载winxp测试成功（需要C:\windows\system32\msvcr100.dll）// EjectDll.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include<Windows.h>#include<TlHelp32.h>#i...

2018-03-21 15:59:07 322

原创逆向工程核心原理之DLL注入

DLL注入三种方法：使用LoadLibrary加载某个DLL时，该DLL中的DllMain函数就会被调用执行。1.创建远程线程（CreateRemoteThread）使用InjectDll.exe在notepad.exe中注入Myhack.dll（winxp提权后测试成功）InjectDll.exe源码// InjectDll.cpp : Defines the entry point for t...

2018-03-20 14:43:27 1986 2

原创逆向工程核心原理之 windows消息钩取

春节结束之后，感觉分析难一点的代码有点力不从新，尤其是模拟通信这一块。要是有的时候通信部分写的代码多一点，动态调试非常浪费时间，可是直接看伪代码我又看不懂，尤其是大片大片的没有名称的函数简直要我的命。之前分析成功一个远控木马，里面的通信是三层函数，靠着耐心算是分析出来了控制指令，也提取了特征，但是之后又遇到了一个样本，通信那一部分的函数超级多，看伪代码根本没头绪。我猜可能是我代码打的太少了，所以看...

2018-03-14 22:21:33 686

原创 win32汇编中使用nmake编译报错 fatal error U1077: 'C:\masm32\bin\Link.EXE' : return code '0x450'stop的原因

从书的配套光盘里拷出来的代码，里面有已经编译好的exe文件，就是这个exe文件导致了这个错误的发生。书中自带的exe文件是只读属性，因此会报错打不开exe文件，而如果文件夹中是自己生成的exe文件，则会显示“Hello.exe is up-to-date”解决方法：删除文件夹中原有的exe文件，重新使用nmake编译即可。

2018-01-09 17:28:45 3235

原创广告去弹窗

参考网址：https://bbs.pediy.com/thread-223105.htm软件下载网址：http://www.winrar.com.cn/download-55032scp.html本文前言部分摘自蓝色淡风的文章《一次去除广告弹窗的经历》。一、前言逆向一个程序，大致有3种方法。1. 自上而下分析方法从程序入口点(OEP)开始分析,模拟程序运行的整个

2017-12-19 11:30:03 3531

原创 CVE-2012-0158分析

这个实验参考了漏洞战争和http://blog.csdn.net/qq_35519254/article/details/53103931。本来想按照漏洞战争上的步骤来实现的，但是不知道为啥在275c89c7那里老断不下来，我已经把MSCOMCTL.ocx下了断点之后才打开poc.doc的，唉，也不知道为啥。实验写的有点乱，但是按照我想的思路从头做到了尾，总算是把这个入门级的漏洞给分析完了

2017-12-15 14:39:17 388

原创正则表达式

本文总结自《正则表达式30分钟入门》http://www.cnblogs.com/deerchao/archive/2006/08/24/zhengzhe30fengzhongjiaocheng.html 1. 精确匹配hi\bhi\b\b 单词的开头或结尾，只匹配一个位置。 2. 匹配hi后面不远处跟着一个Lucy\bhi\b.*\bLucy\b. 匹配除了换行符以外的任意字...

2017-09-11 17:38:14 484

原创恶意代码分析实战 Lab09-01（1）

分析报告：1. 样本概况病毒名称为Lab09-01.exe，使用Microsoft Visual C++ v6.0编译。1.1样本信息病毒名称：Lab09-01.exeMD5值： B94AF4A4D4AF6EAC81FC135ABDA1C40CSHA1值：D6356B2C6F8D29F8626062B5AEFB13B7FC744D54病毒行为：这一篇只写有参数下

2017-08-30 17:03:20 1794

原创恶意代码分析实战 Lab16-02

知识点：TLS回调TLS回调被用来在程序入口点执行之前运行代码。若可执行程序的PE头部包含一个.tls段，则可能此程序使用了反调试技术。分析报告1．样本概况样本名称Lab16-02.exe，编译器为Microsoft Visual C++ v6.0。1.1样本信息样本名称：Lab16-02.exeMD5值： E88B0D6398970E74DE1DE457B971

2017-08-30 16:28:42 639

转载 TLS回调函数

本文转载自http://www.cnblogs.com/dliv3/p/6489629.html作者：dliveTLS （Thread Local Storage 线程局部存储）回调函数常用于反调试。TLS回调函数的调用运行要先于EP代码执行，该特性使它可以作为一种反调试技术使用。TLS是各线程的独立的数据存储空间，使用TLS技术可在线程内部独立使用或修改进程的全

2017-08-30 16:19:30 989

原创恶意代码分析实战 Lab16-01

知识点：一、使用windowsAPI来探测调试器是否存在反调试技术IsDebuggerPresentCheckRemoteDebuggerPresentNtQueryInformationProcessOutputDebugString二、手动检测数据结构检测BeingDebugged属性fs:[30]指向PEB的基地址，PEB基地址偏移为2的地方是BeingD

2017-08-30 16:14:22 692

转载 Windbg双机调试配置

源文章地址：http://blog.sina.com.cn/s/blog_62be61550100zaoc.html作者：芯灵空间我自己配置这个，什么都对了，就是C:\boot.ini中debugport的值写成了COM1，添加串行端口时，显示的是串行端口2，所以更改配置文件时，debugport的值应为COM2。如果debugport的值出现错误，则windbg会一直卡在wa

2017-08-28 10:53:02 859

原创恶意代码分析实战课后题 Lab12-01

1. 样本概况病毒名称Lab12-01.exe，运行后有一个命令行窗口，使用Microsoft Visio C++编写。1.1样本信息病毒名称：Lab12-01.exeMD5值： DAFBEA2A91F86BF5E52EFA3BAC3F1B16SHA1值：6A41735369934A212FC90DBD8C847C26270B3FBA病毒行为：每隔1min弹出窗口。1.

2017-08-11 14:52:11 1337

原创恶意代码分析实战课后题 Lab11-03

1. 样本概况病毒名称为Lab11-03.exe。运行后有窗口，编写语言为Microsoft Visual C++ v6.0。1.1 样本信息病毒名称：Lab11-03.exemd5值：18EC5BECFA3991FB654E105BAFBD5A4Bsha1只：1F3F79EDBB6607B9640DD6A99856EE858AF9CB55病毒行为：使用net star

2017-08-10 17:05:36 1887 2

原创恶意代码分析实战课后题 Lab11-02

这个里面inline挂钩汇编代码操作没看明白，记一下，过两天重新写一个关于inline挂钩的。1.样本概况病毒名称为Lab11-02.dll，编写语言为Microsoft Visual C++ 6.0。1.1样本信息md5：BE4F4B9E88F2E1B1C38E0A0858EB3DD9sha1：79787427773DCCE211E8E65E1156BD60535494EC

2017-08-09 13:40:06 923

原创《恶意代码分析实战》课后题 Lab11-01

1.行为分析资源节里面有一个可执行文件。对注册表的Winlogon进行了操作，创建了GinaDLL表项。创建了msgina32.dll文件，并向此文件中写入了长度为2560字节的数据。2.恶意代码分析2.1 对Lab11-01.exe进行分析根据main函数的伪代码，总结出程序的大致流程为，从资源节中导入文件，打开文件，对文件进行写操作-->获取当前文件的完整路径-->使用

2017-08-04 11:38:26 1946 1

原创汇编学习笔记第三章

1.使用R命令查看、改变CPU寄存器的内容 r ax ax 0000 ：1111 2. 用D命令查看内存中的内容 d 段地址：偏移地址列出从指定内存单元开始的128个内存单元的内容。 d 1000:0 列出从1000:0~1000:7F指定D命令查看范围 d 段地址：起始偏移地址结尾偏移地址要查看 1000:0

2017-07-07 16:22:21 361

原创逆向工程权威指南学习笔记

声明：本文整理自《逆向工程权威指南（上册）》非常乱，不行整理了。第三章 RET 将控制权交给调用程序（将控制权交给操作系统）编译器在字符串常量的尾部添加了00H，原因是为这个字符串常量添加结束标志（即数值为0的单个字节）push offset $SG3803通过push，把字符串指针推送入栈。call _printfprintf函数结束之后，程序的控制流返回到mai

2017-07-05 20:36:20 2931

原创 C++ Primer Plus学习笔记第六章 cctype字符函数库 switch语句 continue和break语句基本文件输入输出

声明：本文整理自《C++ Primer Plus》1.错误防范。将表达式mynumber==3反转为3==mynumber，以此来捕获将相等运算符写成赋值运算符。2.&&运算符&&是顺序点，将首先判断左侧，在右侧被判定之前产生所有的副作用，若左侧为false，则不会对右侧进行判定。3.strcmp若s1和s2不同，则strcmp（s1，s2）返回非0值。3.字符函数

2017-03-25 23:34:14 543