|
[分享]五一转正,终于成了正式会员了,分享一下我的快乐
话说57万注册会员还是有点恐怖的。恭喜楼主 |
|
[讨论]OD插件需求讨论
这个貌似不错,一般都是IDA分析驱动更方便,既然IM有这个功能,不妨借鉴来看看,当然能不能成功还是未知数,毕竟人家有源码。 |
|
[讨论]OD插件需求讨论
[QUOTE=Diabloking;1171632]其实od本来就有第一个功能, 具体看ollydbg的百科 [/QUOTE] 嗯,这个我知道,只是可以自定义吗?貌似是lib库那里设置,如mfc lib等。 我原先只是设想在堆栈里显示参数信息,忘了汇编窗口会也显示,而且貌似更高级,因为可以OD会自己分析push等指令,并在push指令处显示对应参数名。不过感谢提醒啊,能增强OD本身的这个功能也是不错的。 2013年5月2日: 呵呵,没仔细看OD的百度百科(那个其实是来自翻译的OD完全教程,也就是OD的帮助文档吧),有个common.arg就是自定义函数和参数的,我是跟了下OD看到"common.arg"再去搜索才知道的。 虽然有点麻烦,暂时不管这个功能了,先写个显示label的插件 |
|
[原创][2013/4/28更新]windbg高亮插件,已开源
自己顶一下,已开源~~ |
|
|
|
[原创]另类注入 傀儡进程测试
现在看雪是有码就精吗? |
|
[原创][2013/4/28更新]windbg高亮插件,已开源
[QUOTE=Elijah;1171258]XP sp3,windbg 6.12.0002.633 X86,加载程序load楼主插件后,shift+f5,windbg崩溃。 [/QUOTE] win7上测试了下也是这样,这是因为windbg一个会话结束了,原先.load的dll会自动卸载,暂时还没有处理这部分。省事点就直接注入dll。不过新版本简单处理了下,载入后直接loadlibrary使计数加1,这样会话结束后不会自动卸载。 |
|
HOOK NtResumeThread 时出错
找份比较全的ntdll.lib |
|
[原创][2013/4/23]xspy v0.3,探测mfc/alt/wtl窗口,开源
自己顶。0.2版本发布。 CWnd和CDialog信息暂时只有mfc42和mfc90显示得出来,其他MFC版本因我机子只装了VS2008没法弄,只能显示到CCmdTarget的虚函数那层,如果你想帮忙,请随便创建一个MFC对话框工程,在C++命令行里加入/d1reportAllClassLayout,然后编译,把输出窗口里的那些信息复制发送到lynnux@qq.com,当然请注明vs版本,最好连编译好的MFC程序一起发送过来。 |
|
[原创][2013/4/23]xspy v0.3,探测mfc/alt/wtl窗口,开源
[QUOTE=jiangjing;1168476]请问一下[00]vftable address = 是怎么获取的?[/QUOTE] 你说的是分析ATL/WTL窗口的结果吧? 如果是对话框,通过LONG_PTR winProc = ::GetWindowLongPtr(hWnd, DWLP_DLGPROC); 一般的窗口用LONG_PTR winProc = ::GetWindowLongPtr(hWnd, GWLP_WNDPROC); 得到的地址就是atl里的thunk数据,参考d:\Program Files\Microsoft Visual Studio 9.0\VC\atlmfc\include\atlstdthunk.h中的_stdcallthunk数据结构。主要包含窗口类的this指针和一个窗口回调过程 比如分析xspy自身: ----------获取ATL/WTL相关信息------------- DWLP_DLGPROC address: 0x00596188 // 即::GetWindowLongPtr(hWnd, DWLP_DLGPROC);得到的结果 Dialog thunk address = 0x00596188 // thunk地址,即上面的值 class intstance = 0x0043F98C // 窗口类this指针 DialogProc= 0x001A96F0 // 回调函数 [00]vftable address = 0x001BB6BC // this地址头个成员就是虚函数表的指针 [vtbl+00]ProcessWindowMessage = 0x001A6640 // 虚函数表的第一个函数 GWLP_WNDPROC address: 0x75D2BB59 // 即::GetWindowLongPtr(hWnd, GWLP_WNDPROC);得到的结果 其中ProcessWindowMessage比较重要,所有消息都会经过这里。 ATL/WTL程序不像MFC程序那样,没有message map结构,因此读到的信息没有MFC多。 |
|
[招聘]赛门铁克软件开发(成都)有限公司诚聘软件开发工程师
可惜了,早点发就来了。现在的这个公司真的不咋样,有一个比较极品的项目经理。 |
|
[注意]成都找一份安全方面的工作(工作已找到)
谢谢,已找到工作,虽然薪水不是很高。 |
|
[原创]监控U盘autorun自动执行的简单思路~~~
读autorun.inf貌似在shell32.dll里面 不存在加密不加密什么的,只是个别病毒特别构造了unicode的文本文件,用GetPrivateProfileString是可以读出来的,只是前提是你要知道有哪些字段(shell32.dll里有) |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值