|
[原创]最新版360安全卫士极速版蓝屏分析
根据栈回溯,在nt!CmpCallCallBacksEx函数中crash,看了一下,可能应该是注册表回调出问题了 ``` v11 = KeGetCurrentThread(); // KTHREAD v50 = v11; if ( a4 == 1 ) { v12 = *(v11 + 0263); if ( v12 ) v13 = *(v12 + 8); // <----- else v13 = &CallbackListHead; v14 = KeGetCurrentThread(); --*(v14 + 242); ExAcquirePushLockSharedEx(&CmpCallbackListLock, 0i64); v15 = a7; while ( 1 ) { do { v13 = *v13; // <----- v48 = v13; v44 = 1; if ( v13 == &CallbackListHead ) goto LABEL_21; } ``` |
|
|
|
|
|
|
|
|
|
|
|
|
|
[原创]一种劫持 explorer 过启动的想法
calc.exe没有弹窗是因为有session隔离,不出意外的话,calc应该是SYSTEM权限。 |
|
|
|
[原创]碰运气下载样本
其实有的沙箱会定期删除运行日志,但是不会删除样本。所以你搜部分Hash的时候,如果日志删除了才会重新执行任务。如果微步沙箱没有他应该会提示没有。能运行任务的一般都是自身就存在的样本。 |
|
[原创]Windows内核驱动Hook入门
好文章!! |
|
[原创]一篇文章带你理解HOOK技术
熊叔 可能我描述的不是很清楚把,我是想修改IAT指向我自己的函数,执行完成后,继续执行原来程序的API调用,而IAT不修改回去。 我是这样完成这个操作的:简单的让他的参数传递下去执行。但是太繁琐了,如果有 ...可以,提前获取到你Hook的函数地址,然后call |
|
|
|
[原创]CVE-2018-8353漏洞分析笔记
跟着大佬的脚步学习 |
|
[原创]利用异常实现短期hook
写的很好呀 |
|
[原创]CVE-2011-0104 栈溢出分析与复现 学习笔记
兄弟,office2003哪里找的,给个链接,我的一致复现不成功 |
|
[原创]一篇文章带你了解Dll注入
5ilent 补充一种注入姿势。使用SetThreadContext,获取线程的上下文,修改Rip,跳到写入目标进程的shellcode,加载dll后跳回到原Rip继续执行。这个比较隐蔽吧,因为不会创建新的线程,只 ...这个有写,原理是一样的,您那个算是代码注入,更加隐蔽,结合Hook效果特棒 |
|
[原创]一篇文章带你理解PE三表
5ilent 从dll注入那看你的文章,看到了这里。我觉的导入表关键是双桥结构,映像加载时桥2断裂,重新填充为函数的真实地址;导出表关键是,导出索引的初始值,还有就是从导出名称索引找到导出函数地址索引,比如病毒用到 ...对,本来想写花指令有这个内容,没时间就没写了,层主总结很棒 |
|
[原创]steup_H164_1恶意软件分析报告——动态分析
很棒啊,lz加油啊 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值