硬编码总结

2018-2-11 流沙 网络安全

理解定长 理解可变长 MOdR/M SIB 全文下载 直接分享给大家,DT的课件 硬编码.xls Intel白皮书.zip

阅读全文>>

评论(0) 浏览(214)


硬编码——经典定长指令

2018-2-8 流沙 C/C++

经典定长指令上(修改寄存器) 1、PUSH/POP 特点: 0x50 PUSH EAX 1、记住32位、16、8位的通用寄存器,按照顺序记住. 0x51 PUSH ECX 0x52 PUSH EDX 2、将操作数编码到指令当中 0x53 PUSH EBX 0x54 PUSH ESP 0x55 PUSH EBP 0x56 PUSH ESI 0x57 PUSH EDI 0x58 POP EAX 0x59 POP ECX 0x5A POP EDX 0x5B POP EBX 0x5C POP...

阅读全文>>

评论(0) 浏览(271)


申请

2018-2-8 流沙

源代码下载地址 PeTool2018 - 加壳段.rar shell.rar

阅读全文>>

评论(0) 浏览(157)


20180207- 刷量、百度

2018-2-7 流沙 随笔

[该文章已设置加密,请点击标题输入密码访问]

评论(0) 浏览(1)


进程通信 - 匿名管道

2018-2-6 流沙 C/C++

0x01 核心代码 父进程: HANDLE hRead; HANDLE hWrite; SECURITY_ATTRIBUTES sa; sa.bInheritHandle = TRUE; sa.lpSecurityDescriptor = NULL; sa.nLength = sizeof(SECURITY_ATTRIBUTES); if(!CreatePi...

阅读全文>>

评论(0) 浏览(163)


进程通信 - 共享内存

2018-2-6 流沙 C/C++

0x01 核心代码 发送端代码: HANDLE hMapObject; HANDLE hMapView; //创建FileMapping对象 hMapObject = CreateFileMapping((HANDLE)0xFFFFFFFF,NULL,PAGE_READWRITE,0,0x1000,TEXT("shared")); if(!hMapObject) { MessageBox(NULL,TEXT("共享内存失败"),TEXT("Error"),MB_OK); ...

阅读全文>>

评论(0) 浏览(178)


进程通信 - SendMessage

2018-2-6 流沙 C/C++

核心代码: 发送端代码: HWND hwnd = ::FindWindow(NULL,TEXT("接收端窗口名")); if(hwnd == NULL) { MessageBox(0,TEXT("没找到窗口"),TEXT("ERROR"),MB_OK); } else { // 发送消息 //SendMessage(hwnd,WM_USER+0x1,NULL, (LPARAM)100...

阅读全文>>

评论(0) 浏览(158)


测试InlineHook

2018-2-4 流沙 C/C++

0x01主要是针对内部函数的hook 这里有需要注意的地方 内部含糊的地址 HOOK的位置 保存现场: pushfd  pushad 原本硬编码的恢复 extern "C" _declspec(naked)void HookProc() { //保存现场 _asm { pushad pushfd } //获取寄存器 _asm { mov reg.Eax,eax mov reg.Ecx,ecx mov reg.Ebx,ebx mov ...

阅读全文>>

评论(0) 浏览(174)


IATHOOK详细讲解

2018-2-2 流沙 C/C++

0x01 HOOK函数的编写 有一定的格式要求 直接直接hook MessageBoxA 函数格式 int WINAPI NewMessageBox( HWND hWnd, // handle to owner window LPCTSTR lpText, // text in message box LPCTSTR lpCaption, // message box title UINT uType // message box sty...

阅读全文>>

评论(0) 浏览(146)


LoadLibrary和GetModuleHandle的区别

2018-2-2 流沙 C/C++

写代码的时候注意到的,以前没注意这两个函数的用法 主要区别: LoadLibrary是把一个模块映射进调用进程的地址空间,需要时增加引用计数 而GetModuleHandle是返回一个已经映射进调用进程地址空间的模块的句柄 并不增加引用计数 使用GetModuleHandle可以判断做需要加载的模块是否已经被加载(到调用进程的地址空间). 代码1: typedef void *(__stdcall *pfVirtualAllocEx)(unsigned long, void *, unsigned long, unsigned long, u...

阅读全文>>

评论(0) 浏览(140)


运行内存中的exe(二)

2018-2-2 流沙 C/C++

0x01 学习进程注入的知识, 调试的代码 代码不是很完整, 已经写了很长的时间了, 终点遇到了各种各样的问题, 好多还没有解决!! 判断EXE在其他线程中运行,直接查询WinMain的地址, 进行比对 修复IAT表, 有些可以实现,修复, 有些事修复不了的, 看什么样的程序, 好多限制 0x02 代码贴上来, 有两段代码, 一段 pack端, 一段exe的back端 自己能看懂, 主要学习思路吧 0x03 代码下载地址 vc_code_20180202.zip

阅读全文>>

评论(0) 浏览(168)


双进程调试小结

2018-2-1 流沙 C/C++

写一下方法就可以了, 1、CE查看内存数据, 只要确定内存地址, 就可以查看远程线程中的内存 2、 OD直接附加进程, 点位内存中的位置, 下断点 进行调试 找到自己程序写错的位置,真心很好的调试方法!!

阅读全文>>

评论(0) 浏览(137)


CreateRemoteThread简单运用

2018-1-31 流沙 C/C++

测试代码可行, 推荐给大家 #pragma once #include <windows.h> #include <TlHelp32.h> #include "stdio.h" //线程参数结构体定义 typedef struct _RemoteParam { char szMsg[12]; //MessageBox函数中显示的字符提示 DWORD dwMessageBox;//MessageBox函数的入口地址 } RemoteParam, * PRemoteParam; ...

阅读全文>>

评论(0) 浏览(129)


运行内存中的exe(一)

2018-1-31 流沙 C/C++

0x01 主要功能, 加载一个exe到 一个内存中, 并运行这块内存 0x02 有限制条件, EXE必须具有重定位表, 否则运行失败!! 截图 pid模块还没写完 想把进程移植到指定的 PID中运行! 0x03 关键代码 (有参考价值的代码,  重定位表的修复,  导入表的修复) // 20180118_20.cpp : Defines the entry point for the ap...

阅读全文>>

评论(0) 浏览(167)


win7 桌面图标异常

2018-1-30 流沙 运维

修复; 点击 开始 运行 输入 cmd 右键,选择“粘贴”以下代码;敲下回车就哦了! taskkill /im explorer.exe /f cd /d %userprofile%\appdata\local  del iconcache.db /a  start explorer.exe  exit 

阅读全文>>

评论(0) 浏览(127)


Powered by 流沙团