|
[求助]无意中发现了一段代码会导致微软进bugcheck,这个能用来挖漏洞吗?
clfs.sys貌似是漏洞研究热点。楼主加油。 |
|
[注意][讨论]核弹级漏洞——Apache Log4j 2 远程代码执行漏洞事件详情及修复方式
SpringBoot默认是Logback。如果用了log4j,替换成2.15.0版本即可。 |
|
[注意]IDA Pro v7.0 官方说支持中文字符串搜索,怎么一个中文字符串也找不到?
小调调 我昨天看了,是支持的Unicode字符串没有问题,ANSI的字符串如果识别不了,可以加上我在3楼提到的参数。 |
|
[讨论]IDA7.0 汇编指令地址和OD里面看到的地址不一样??????
楼主你不贴几张图,不放上用的exe文件,谁知道是什么回事啊。 |
|
[注意]IDA Pro v7.0 官方说支持中文字符串搜索,怎么一个中文字符串也找不到?
IDA官方必然没有忽悠啊,显然楼主没有仔细看过这个功能的说明。不过,现在缺少中文的culture文件,幸好有个参数可以补救。试试加个命令行参数: "C:\Program Files\IDA 7.0\ida.exe" -dCULTURE=all 你要分析的程序.exe 再看看中文字符串是不是全出来了?当然因为设定了culture是all,会有比较多的误识别的字符串出来。 |
|
[默哀]Aker一路走好
默哀……Aker一路走好。 |
|
[求助]ARM汇编求解
条件执行指令。参见http://blog.csdn.net/petib_wangwei/article/details/41318069 |
|
[求助]ida能否反编译64位程序
泄露的6.6版本就带64位反编译插件 |
|
[求助]调试WRK的问题
有两种编译方法,Checked和Free,类似Debug和Release。Free版会开大量优化,所以一些局部变量会被优化到寄存器里面,导致调试的时候看不到(实际上看寄存器还是能看到的,但是要费点周折)。Checked版会关掉绝大部分优化,所以比较方便调试。另外Checked版本还带有大量调试检查之类的代码。 找找有无选项,想办法把优化去掉即可。 |
|
[原创]Windows 10的TPM模块到底是不是美国全球监控体系的奠基石?
既然已经有了规定,就不应该再为原来的问题担心才对啊。要知道,这规定2005年就有了。 |
|
[原创]Windows 10的TPM模块到底是不是美国全球监控体系的奠基石?
第一,关于TPM 首先楼主要弄清楚,TPM只是一个标准规范,它可以由各家厂商生产相关的产品,并不是只有国外公司才能生产,国内公司也有少数生产的。其次,TPM芯片的主要功能是存储密钥和进行加解密,没有那些楼主说得神乎其神的功能。最后,符合TPM标准的芯片是硬件不是软件,不像Win 10,不是想推送部署就能随便推送的。如果电脑上没有,不去手工安装就不可能有。 如果楼主非得说境外生产的TPM芯片可能会被暗植什么神秘功能,那请不要忘了这两个国家规定(这些规定不是专门针对TPM芯片的): 2006年1月1日开始实行的《商用密码产品生产管理规定》第四条规定: 第四条 商用密码产品由国家密码管理局指定的单位(以下称商用密码产品生产定点单位)生产。未经指定,任何单位和个人不得生产商用密码产品。 商用密码产品的品种和型号必须经国家密码管理局批准。 同日开始实施的《商用密码产品销售管理规定》第四条规定: 第四条 国家对商用密码产品销售实行许可制度。销售商用密码产品应当取得《商用密码产品销售许可证》。 未经许可,任何单位和个人不得销售商用密码产品。 第十三条规定: …… 商用密码产品销售许可单位不得销售境外研制生产的密码产品。 因此,生产销售带有(未批准或者境外生产的)TPM芯片的电脑是违法行为。国内正规厂商生产销售的电脑都是不带TPM的。政府部门更不会采购带有境外TPM芯片的电脑。所以,国内是禁止使用境外TPM芯片的,这种情况下还拿TPM来说事,想必楼主根本就不知道还有这两条规定吧。至于什么欧洲美洲国家,你瞎替他们操心干啥。 最后提一下,中国也有一个类似TPM的国产标准,叫TCM。 第二,关于Win 10 Win 10的确是自动推送的,但并不是强制的,而且Windows的自动更新可不是从Win 10才开始的。15年之前的Windows 2000就有了。为什么特意拿Win 10来说事?不升级Win 10,用Win 7或者Win 8就没有自动更新了?另外,我国政府部门从Win 8开始就不采购了,也不可能去升级Win 10。 第三,关于Win 10和TPM 两者有什么关系么?是Win 10和TPM芯片捆绑销售了?是Win 10必须要有TPM芯片才能使用?还是用了TPM就一定要用Win 10?根本都不是。当系统中有TPM芯片的时候,Win 10可以利用TPM芯片进行密钥存储和加解密而已。如果没有,Win 10的其他功能也不会受到任何影响。事实上Win 10并不是第一个用TPM芯片的Windows系统,Win 7和Win 8都可以。 最后,结论 楼主又是提到TPM又是拿Win 10说事,事实上政府部门并不会去升级Win 10,一般用户的话,升级并不是强制的,而且老系统也不是没有推送更新的功能。至于TPM芯片,国外的TPM芯片早就被上面两个规定禁止了,国内的用户从正规渠道不会拿到有TPM芯片的电脑。文章煞有其事地渲染了Win 10 + TPM的一堆可怕的后果,实际上绝大部分只是阴谋论式的臆测而已。 |
|
[求助]一个全盘感染的病毒,求大神分析下
这个Sample的入口代码很好调试(注意入口代码会启动一个释放出来的exe,建议处理掉)。但过了入口后,有4层壳。第一层和第四层都是UPX。中间的两层不是。最终Sample的代码入口在0x402C5B处。调试的时候可以直接对地址0x402C5B下硬件执行断点。断下后就是Sample真正代码的入口。 |
|
问下开源的ring0级别的沙箱有哪些
可以,完全没有问题,它的原理和VMWare这类VM不同。另外就算是和VMWare等虚拟机原理类似的,比如VirtualBox等,也可以VMWare等其他虚拟机里面正常安装运行。 |
|
[求助]谁有IDA学习的资料推荐么?
《IDA Pro权威指南》第二版应该能满足你要求。 |
|
[求助]ZwVdmControl这个函数是干啥用的???
估计是因为这是个冷门函数,研究的人不多吧。 |
|
[原创]windbg 脚本化扩展 xcwd
不好意思,2楼的回复已经说过了。所以这里就不重复了。 |
|
[求助]IDA反汇编的问题
IDA的算法和windbg不同。楼上已经说了,这里不重复了。IDA强大之处在于,如果你认为某个地方IDA分析得不对,你可以自己纠正它的分析(正如它名字中的“Interactive”)。这是windbg等做不到的。 |
|
[原创]windbg 脚本化扩展 xcwd
既然楼主发话了,那有必要认真回复一下。 首先,xcwd是楼主倾注了心血的作品,毫无疑问是非常棒的。这一点没有什么可指责之处。我本意也并非争论语言的优劣,只是提醒楼主没有必要重复做别人做过的事,因为有以下两个事实存在: [*]已经有现成的好用的脚本语言了 [*]已经有人做过脚本化windbg了(而且还是开源的) 如果一个东西别人已经做好了,而且做得不差,单纯从技术和使用角度来说,很难想象有什么非得自己再把同样的东西做一遍的必要性,除非是认定了别人的东西有比较严重的缺陷,不能满足需求,或者自己有自信比别人做得更好,或者自己有什么独到之处。但就楼主做的东西看,似乎没有看出符合上面几点之处(尤其是自己设计一套语言),因此重复做同样事(所谓“造轮子”)的理由,就很值得商榷。 所以,与其说把时间花在重制别人早已做好的东西上,还不如把时间用到自己的独到的原创作品上,是不是呢?当然,xcwd做到这种程度,要放弃确实是一件可惜的事。我想楼主多半还是要继续开发完善下去。既然这样,那我建议楼主能做出一些特色的功能来,这样,能使xcwd更有意义。最后,倘若楼主以后还有什么(比较复杂的)东西想要自己开发的,我真诚建议先看看有没有人做过,做得怎么样。确定有必要性后再自己开发。倘若别人做好的是一个开源软件,可以考虑给它添砖加瓦,贡献代码。如果开源软件已经停止开发多年,但又很认可它的价值的话,可以尝试联系作者,看能不能把项目所有权给你。没有回应的,再决定是继续在这个软件基础上开发,还是重新做一套。 倘若楼主是出于学习或者自娱自乐的目的开发xcwd的,那我前言撤回,当我没说。 我并无冒犯之意,倘若无意中多有冒犯,还请见谅。 |
|
[原创]windbg 脚本化扩展 xcwd
ImmunityDebugger不是什么其他调试器,就是修改版OD。是那个公司买了OD的源码进行二次开发而来的。不要拿“修改版”说事,现在大家用的OD,哪个不是修改版(各种汉化、增强版)?谁还会用原版的?只不过人家有源码,修改和增加功能更直接简单而已。和原版OD相比,架构、界面、基本功能都没有改,API也兼容,所以只是OD的“修改版”,而不是“其他调试器”。 ImmunityDebugger最大的亮点就是集成了Python作为其脚本。所以没有必要再为OD造轮子了。ImmunityDebugger和OD的API接口是基本兼容的。只是函数名的前缀改了下。OD的插件,有源码的只要带上ImmunityDebugger的头文件编译一下,没有源码的修改一下导入函数之类的,就可以在ImmunityDebugger上使用。 OD的那个脚本插件历史很久了,那个时候它是唯一比较完善的脚本插件,所以网上流传下来的很多(基本是脱壳脚本之类的)都是用那个插件脚本写的。但ImmunityDebugger也不是没人用,大名鼎鼎的FireEye公司就用它来分析某些Malware,这里就是他们用到的脚本。 最后再说一句,现在通用高级脚本语言的同质化倾向比较严重,倘若某个语言确有缺陷,往往在后续的版本中会修正和补足这些缺陷,倘若和其他语言相比,缺少某个功能,后续版本往往也会补全。这就是竞争导致的同质化。这种情况下争论是Python,还是Ruby,还是Perl,还是Tcl,还是其他什么脚本更好,没有什么意义,最多是个人的喜好不同而已。各种高级语言实质上都差不多。然而,尽管普通的高级脚本语言(例如Python,Ruby,以及楼主写的XC脚本)都差不多,它们和模仿低级语言设计的脚本语言(例如OD的那个类汇编脚本)是有本质区别的。今天,除了有某些特殊目的(例如学习、特殊的优化、特殊的系统限制等)外,没有人会去首选低级语言写代码。这是因为,低级语言的可移植性差,更重要的是,和高级语言相比,低级语言表达程序的逻辑相当不方便直观。同时,低级语言程序的可读性普遍较差(否则,逆向就不难了)。所以,OD的那个脚本,明显不如ImmunityDebugger的脚本好用。只不过它历史比较久,积累了不少实用脚本,比如脱壳类的,这些脚本实现的功能一直都有需求,所以还流行着。它的流行,绝不是因为它比高级脚本还好用。只不过那个年代缺少高级脚本(ImmunityDebugger在2007年才发布第一个版本,还不好用),它成了相对最好的选择而已。 楼主的脚本显然不是低级语言,它和Python之类的高级脚本是同质化的,没有什么明显的优劣之分。所以,我并不是说楼主的实现的脚本多么差多么不好用,它其实和其他高级脚本是一样好用,因为前面说过,高级语言基本是同质化的(一些另类的,比如什么函数式编程语言不谈)。但同质化也削减了自己实现一套高级语言的价值。因为这样,自己辛辛苦苦做出来一个初版,别人早已做得很完善,而且自己做的也没有什么独到之处。这是一种时间和精力的浪费(所谓“造轮子”)。按楼主的话来说,与其说是费力做着别人早就做好的东西,“还不如多解决几个实际的问题”。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值