当前节点:pediy_new
时间节点
2021-06-23 21:48:04看雪论坛
2021-06-23 21:48:04看雪论坛
前言12前面必须啰嗦两句,否则没有仪式感还是得写两句,我写这篇的目的是,基础理论概念,以及android app漏洞挖掘相关知识点的记录一、概述123456789101112131415161718192021222324Andorid app漏洞挖掘,从我学习android逆向的时候就已经有些了解 ...
2021-06-23 18:48:01看雪论坛
这是一个自带干粮“义务劳动”的恶意软件,它只针对软件盗版者。
2021-06-23 09:47:13看雪论坛
近日,有黑客在黑客论坛上销售超过500万记录的数据包,其中含有大量用户隐私信息,而且这个数据包的数据类型与大众承认被盗的数据一致。据受害者证实,黑客兜售的这些数据很可能就是几天前美国大众汽车集团所披露泄露的超330万客户数据。2021年3月10日,奥迪和大众接...
2021-06-23 09:07:23看雪论坛
2021-06-23 09:07:23看雪论坛
一开始没注意0day提供的源码,直接对之前调试payload的代码进行了一些修改,结果不管怎么改在输出can_path的时候结果都不对。经过调试,发现代码中获取的can_path的地址是错误的。以我浅薄的编程经验,觉得问题只能出在MYPROC这个类型的声明或者Trigger的调用上,因为这里没有按照正常的函数调用语法来写,而是自己定义了一个函数类型。但是具体是什么原因就不清楚了。
2021-06-22 13:39:13看雪论坛
ISC2021全新开局震撼来袭,早鸟票火热销售中!随着数字系统与现实世界逐步融合,全球网络安全行业正在进入一个上限更高、覆盖更广、空间更大的全新领域,安全成为一切的中心。在此背景下,7月27日至29日,第九届互联网安全大会(ISC 2021)将在北...
2021-06-22 10:39:09看雪论坛
2021-06-22 10:39:09看雪论坛
2021-06-22 10:19:03看雪论坛
2021-06-22 08:58:58看雪论坛
2021-06-22 08:58:57看雪论坛
Microsoft Office(CVE-2012-0158)漏洞分析报告 | 软件名称:Microsoft Office 软件版本:2003漏洞模块:MSCOMCTL.OCX 模块版本:2003编译日期:2020-11-19 | 操作系统:Windows 7-x86漏洞编号: ...
2021-06-21 18:53:50看雪论坛
6月19日,安全研究员Carl Schou在推特发文称他发现了iOS的一个Bug,他在尝试连接自己的个人Wi-Fi(他将其取名为“%p%s%s%s%s%n”)时发现,他的iPhone永久禁用了Wi-Fi功能,而且这个问题无论是重启设备还是更改SSID都无法修复...
2021-06-21 15:53:51看雪论坛
在学习了PE加载器的实现原理后,我发现这个加载PE的过程与PE映像切换技术(Process Hollowing)有点类似,区别在于后者并没有去填充内存中PE文件的IAT表与进行重定位。那同样是把PE文件手动从硬盘里加载到内存中运行,为什么PE映像切换技 ...
2021-06-21 13:53:45看雪论坛
2021-06-21 13:53:45看雪论坛
2021-06-21 13:53:45看雪论坛
2021-06-21 13:53:44看雪论坛
记下笔记以及一点小思考,让诸位见笑啦 问题阐述在学习了PE加载器的实现原理后,我发现这个加载PE的过程与PE映像切换技术(Process Hollowing)有点类似,区别在于后者并没有去填充内存中PE文件的IAT表与进行重定位。那同样是把PE文件手动从硬盘里加载到内存中运行,为什么PE映像切换技 ...
2021-06-21 13:53:44看雪论坛
混淆说白了就是恶意程序的作者自己发明的一种壳。它会将想要隐藏执行的PE文件经过加密以后植入自身内部,当自身运行时候,对其执行解密操作并执行,于是就达到了隐藏运行的目 ...
2021-06-21 13:53:44看雪论坛
就在几年前,逆向工程师仅凭C和汇编的知识旧可以逆向大多数应用程序。现在由于在恶意软件中越来越多地使用C,以及大多数用C 编写的现代应用程序,理解C 面向对象代码的反汇编是必须的。本文将试图通过讨论在逆向中手动识别C 概念的方法,如何自动化分析,以及我们开发的基于所做分析来增 ...
2021-06-21 13:33:38看雪论坛
2021-06-21 13:33:38看雪论坛
2021-06-21 13:33:38看雪论坛
2021-06-21 13:33:38看雪论坛
2021-06-21 13:33:37看雪论坛
全篇都是一个个call逐步分析将病毒分析了个大概,首先放到VirSCAN查询基本信息,查壳,编写语言为Delphi,默认调用约定为register,特点为传参会将参数依次放入寄存器,打开程序后查看进程发现多了一个spcolsv.exe,将可以进程强制结束
2021-06-21 13:33:37看雪论坛
此题题目叫做勾股定理,看来算法和这个应该是有关系的,附件下载下来是一个可爱的妹纸的图片,bingo.png,大小为1.82M,这么小一个图片,竟然有这么胖的体积,肯定不正常,里面包含了文件了。用winhex打开一看,PNG头图片文件,简单的拖了 ...
2021-06-21 13:33:37看雪论坛
以"2021强网杯unicorn_like_a_pro"学习unicorn一:Readyunicorn编译安装: https://github.com/unicorn-engine/unicorn (./make.sh之后./make. ...
2021-06-21 13:33:37看雪论坛
LongTimeAgo一:patch花指令拖入IDA之后发现有花指令,逐个patch太慢,以便之后我们多次调试,写一个IDAPython的脚本来批量patch,不然IDA每次重新调试我们都要重新patch一次 123456789101112addr = 0x4A2A0Cfor i in range ...
2021-06-21 11:13:34看雪论坛
2021-06-21 11:13:34看雪论坛
2021-06-21 11:13:34看雪论坛
IDA7.5 打开一看,没有任何符号表。在 Strings 面板中发现大量 fmt 开头的函数,猜测使用 Go 语言编写,故使用 IDA7.6 打开。发现能正确识别出符号表
2021-06-21 11:13:34看雪论坛
12author: anhkggdate: 2021年6月19日前情提要最近在分析某个软件时,提示错误。赶紧挂上windbg看看调用栈,看能不能找到问题。 一看应该能够解决,需要结合IDA静态分析。 通过任务管理器进程转到文件,发现文件已经不存在了,咋办? ...
2021-06-21 10:33:37看雪论坛
2021-06-21 10:33:36看雪论坛
原理:读取/proc/net/tcp,查找IDA远程调试所用的23946端口,若发现说明进程正在被IDA调试。这里需要说明的是由于安卓安全性更新,/proc等目录在app里面已经没法直接访问了,导致通过查找/proc/net/tcp这个方法直接宣告无效,但是通过别的办法查找端口还是可行的
2021-06-18 18:54:29看雪论坛
2020 年 1 月14日,微软官方正式停止了对 Windows 7 的支持,也就是说不再对个人和普通企业用户分发任何安全补丁。6月17日,微软决定停止发布适用于 Windows 7 SP1、Windows Server 2008 和 Windows Serv...
2021-06-18 17:34:26看雪论坛
随着数字化、物联网、人工智能等新兴科技的兴起与不断发展,数据作为新的生产要素正在成为驱动经济发展的新引擎。然而在数据驱动的过程中,数据安全问题也日益凸显,并成为企业上云发展的最大威胁。日渐复杂的云上安全态势、政策法规和企业自身业务良性发展的要求、用户对数据安全和隐私安全的意识提升等多方面因素下,如何保证云上数据安全已经成为云厂商和企业的头号难题。
2021-06-17 18:53:51看雪论坛
近日,河南省商丘市睢阳区人民法院公布了一份刑事判决书。判决书显示,被告人逯某长期使用爬虫非法爬取淘宝用户数据,被告人黎某将该用户数据用于公司经营活动,两人的行为已构成侵犯公民个人信息罪,分别被判处有期徒刑三年三个月与有期徒刑三年六个月。据判决书内容...
2021-06-17 18:33:57看雪论坛
2021-06-17 18:33:56看雪论坛
几个月前只是简单对某镖游戏dump了il2cpp与meta-data,昨天试玩了一下,竟然要更新,fuck! fuck! fuck! 然后随便在小米应用商店下载了个小游戏,广告太多,就以去广告为目标 练一下手吧。
2021-06-17 10:33:39看雪论坛
2021-06-17 10:33:39看雪论坛
2021-06-17 10:33:38看雪论坛
对抗字符串混淆字符串混淆在保护中是很常见的一个手段。熟练使用unicorn能轻松的解决曾经实现起来非常复杂的问题。AndroidNativeEmu和unidbg都是对unicorn进行了一定程度封装的开源项目,让我们可以很方便的调用jni函数,以及对没 ...
2021-06-17 10:33:38看雪论坛
题目出自3w班12月第一题。对抗字符串混淆样本是一个比较初级的ollvm混淆,其字符串解密过程在init_array中,所以so文件正常加载到内存中后,其加密的字符串就已经解密后写回原始地址了。所以我们可以通过unicorn加载so文件,手动将解密后的字符串写回so文件,经过简单的patch就可以静 ...
2021-06-16 18:53:11看雪论坛
6月14日,苹果发布了一项针对多款旧版iPhone和iPad的iOS更新(即iOS 12.5.4补丁),官方声称,这是一次非常重要的更新,此前苹果浏览器引擎WebKit存在的漏洞很可能已经被所利用,建议所有用户及时安装更新。WebKit作为目前使用范围最广的W...
2021-06-15 18:12:31看雪论坛
近日,美国司法部联合德国、荷兰及罗马尼亚的执法机构,扣押了专门于暗网中出售被窃凭证的黑市SlilPP的域名名称与服务器。
2021-06-15 16:32:30看雪论坛
2021-06-15 16:32:30看雪论坛
现在很多App不讲武德了,为了防止 openat 、read、kill 等等底层函数被hook,干脆就直接通过syscall的方式来做系统调用,导致无法hook。应对这种情况有两种方案:刷机重写系统调用表来拦截内核调用、inline Hook SWI/SVC ...
2021-06-15 10:32:11看雪论坛
2021-06-15 10:32:11看雪论坛
2021-06-15 10:32:11看雪论坛
2021-06-15 10:32:11看雪论坛
Windows管理接口(WMI)查询是获得操作系统和硬件信息的另一种方式。WMI使用COM接口和它们的方法。标准COM函数被用来处理查询。它们的调用顺序如下所述,可分为6个步骤。
2021-06-15 10:32:11看雪论坛
沙盒伪装通常持续时间很短,因为沙盒装载了大量的样本。伪装时间很少超过3-5分钟。因此,恶意软件可以利用这一事实来避免被发现:它可能在开始任何恶意活动之前进行长时间的延迟。为了抵制这种情况,沙盒可能会实现操纵时间和执行延迟的功能。例如,Cuckoo沙箱有一个跳过睡眠的功能,用一个非常短的值取代延迟。这应迫使恶意软件在分析超时前开始其恶意活动。
2021-06-15 09:52:10看雪论坛
2021-06-15 09:52:10看雪论坛
首先是利用strcpy把fd给覆盖为0,然后read hello_boy 通过检测,接着触发算数运算错误,就能进入栈溢出函数
2021-06-14 21:35:20看雪论坛
2021-06-14 21:35:19看雪论坛
强网杯: unicorn_like_a_prounicorn framework 是一个基于 qemu 的模拟执行框架 GitHub链接: https://github.com/unicorn-engine/unicorn 这道题目内部就调用了 unico ...