|
[求助]关于破解网络验证
你拦connect(),你先翻MSDN,看看connect()的函数原型,自然就知道该改哪个形参控制的数据了。把目标端口改成80/TCP之外的,你的WWW服务再侦听在相应端口上即可。 不过你若是拦了connect,这个时候可以结合调用栈回溯在IDA中去找指定80/TCP的静态代码了,也不必每次都拦connect。 如果你对socket编程实在不熟,可以这样。改hosts,使那个负责验证的FQDN被解析到另一个IP,但非你本机,可以是虚拟机嘛,然后在虚拟机上做验证,也可以在虚拟机上用datapipe一类的转发工具转发到你做验证的IP上,因为经过了一道datapipe,你最终的验证就不必局限在80/TCP了,随你配置。 |
|
[求助]关于破解网络验证
> 如果我一用以前的方法.就会删除我的HOSTS文件 你以前是通过改hosts文件使得他去访问的一个FQDN解析到你的Apache所在IP吧。 他如果有你说的这个行为,那说明很可能在一个gethostname()函数附近做了某种处理,对返回值做了某种校验,才能发现通过hosts文件的劫持。一般我会在gethostname()或等价函数上下 断点,然后看附近的处理。以前我剁过一个,就这在gethostname()附近做了这类手脚,对抗了hosts文件劫持FQDN解析的。 > 他针对这个修改.让他自己的程序占用了80端口. 他自己的程序占80/TCP?那你拦bind()或accept(),找到这个位置,不要让他侦听80/TCP就是了。他要不侦听,就不会知道你改了hosts,我想他可能还没用到我前面说的那个gethostname()的办法,那就更好办啊。 |
|
[求助]请高手帮一下忙,关于网络验证的
你为啥要用ASP回这个数据区。你直接在一个二进制文件里保存这些数据区内容,然后用nc侦听在80/TCP上,用输入转向提供这个二进制文件,不就没有你所谓的IIS信息了。你想提供什么数据都随你自己。 |
|
[求助]ollydbg的使用
[QUOTE=;]...[/QUOTE] 你不是在ring 0拦过驱动获得那个私有IOCTL码了吗,那你在ring 3拦DeviceIoControl,用条件断点拦,然后查看调用栈回溯,再说下面的事呗。 |
|
|
|
[原创]完全分析failwest Sir's Shellcode
哦,你是说存在一个 unsigned char somehash( char *funcname ); 那是可以。前面是没读懂你的中文。 |
|
[原创]完全分析failwest Sir's Shellcode
[QUOTE=;]...[/QUOTE] >一个字节就能hash出一个API函数名 请教一下,你这句话是啥意思? 字节'A' --> somethash( 'A' ) --> API函数名? |
|
[求助]静态反汇编能否找出des或rsa解密部分?
[QUOTE=;]...[/QUOTE] 看情况,纯静态的话,要精确定位in、out不是太容易,但找到DES、RSA解密部分还是没啥大问题的。 最省事的办法,装个findcrypt2.zip,这是个IDA插件,可以查找定位这些常见算法的相关代码或常量所在。在这个基础上再去定位你的最终目标不是很麻烦。 但还是那句话,要看情况。 |
|
[求助]关于Kernel32.dll导出函数Rtl*入口地址的疑问
[QUOTE=;]...[/QUOTE] 可选头中IMAGE_DATA_DIRECTORY结构决定了引出信息范围。如果EAT[i]的值不在 引出信息范围,则为函数地址(Export RVA)。否则,该值指向形如dllname.#27 或者dllname.exportfunc的ASCIZ串,用MS术语说,这是一个Forwarder RVA,表 示由另外一个dll实际引出某函数。 你可以先用低级手段获取GetProcAddress,再用GetProcAddress去保持最强的向后兼容性,否则你将面临自己处理这条forward链的尴尬。 |
|
[技术专题]软件漏洞分析入门_7_案例
用MB_SERVICE_NOTIFICATION,就可以让PDF里说的那个MessageBox弹到桌面上来。 另,推荐一个把挖掘RPC漏洞门槛彻底搬走的一个IDA插件,mIDA,目前最新版本好像是1.0.8,用Google一搜就能找到官方站点,在nessus的主站上。这个插件未出现前,为对付反序列化检查,还是需要一定序列化知识的,这个插件的出现彻底将挖掘DCE/MS RPC漏洞变成了贩卖大白菜的工种。 |
|
《The Shellcoder's handbook》翻译汇总及勘误
祝贺。 一些无关紧要的输入勘误: P122 > socker()生成的socket句柄里的问题是出在SO_OPENTYPE 属性里。) socket() > 可以与进程分离而不会导致进程崩溃。在Win32 以前的版本中,如果你用调试器 可以注一下,是XP、2003以前的版本不支持detach P412 > 客户应该认真考虑在全网中阻塞UDP 1433 端口, UDP 1434。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值