上一篇在这里https://bbs.pediy.com/thread-265335.htm利用编译器优化干掉虚假控制流上一篇我们通过优化去除了类似x * (x 1) % 2 == 0的虚假控制流，这里的混淆去除bcf之后如下图，很明显的平坦化混淆图上已经比较清晰了，黄色圈住的块是进入平坦化，离开 ...

目录 程序流程 逆向分析 查看基础信息& ...

引言在上一篇lt;ACPI.sys，从Windows到Bios的桥梁(2)：Windows应用程序响应主板上GPIO(SCI)设备中断 硬件篇gt;只完成了2件事:1.Bios接收GPIO SCI事件;2.Bios转发SCI事件到ACPI命名空间\_GPE.Method(_L56 ...

弹出了“软件注册失败”的关键字。如果我们需要对该软件进行逆向，则这个关键字，就是一个很好的突破口。

对抗反汇编技术是让程序执行流程不变的前提下修改汇编语句，使反汇编引擎无法正确解析出汇编指令或真正的程序流，只有掌握了基本的对抗反汇编技术才能在分析恶意代码过程中不被带偏。挫败反汇编做过反汇编引擎项目的读者应该在开发时都会意识到这个问题：一行汇编指令是什么取决于他的首字节是什么，也就是 ...

近来分析Internet Explorer历史漏洞，遂对VBScript脚本解析引擎进行研究，具体环境如下：OS版本：Windows 7 Service Pack 1 Internet Explorer版本：8.0.7601.17514；vbscript.dll版本：5.8.7601.1 ...

0.前言对抗反汇编技术是让程序执行流程不变的前提下修改汇编语句，使反汇编引擎无法正确解析出汇编指令或真正的程序流，只有掌握了基本的对抗反汇编技术才能在分析恶意代码过程中不被带偏。 1.挫败反汇编做过反汇编引擎项目的读者应该在开发时都会意识到这个问题：一行汇编指令是什么取决于他的首字节是什么，也就是 ...

近来分析Internet Explorer历史漏洞，遂对VBScript脚本解析引擎进行研究，具体环境如下： OS版本：Windows 7 Service Pack 1 Internet Explorer版本：8.0.7601.17514 vbscript.dll版本：5.8.7601.1 ...

被攻击的目标包括政府、律师事务所、私人公司和医疗设施。大多位于美国，此外欧洲、亚洲和中东的服务器也有遭到攻击。

这个样本是年初自己拿到官网去加固，回来没有直接dump就直接分析了。可能是我的demo代码太少了就一句log.结果，分析了几天，发现这个样本没抽取。但是还是简单记录一下，感兴趣的小伙伴可以看看。文章中若有出错的地方，请大佬们指正，然后由于是没抽取的版本，可能有些校验之类的没有调 ...

游戏内，角色之所以不能穿过建筑物模型，是因为在游戏代码内，存在对障碍物的检测，如角色行进到某一处，向前的坐标可能是标识为障碍物，当角色被触发前进的操作，会先执行对前方障碍物的 ...

彩虹猫是一个非常有意思的病毒样本，将病毒放入虚拟机中，运行。当然如果有沙箱环境更好。记得要对虚拟机拍下快照。运行结果如图

netapi32.dll是Windows网络应用程序接口，用于支持访问微软网络。将漏洞利用源码编译之后将NETAPI32.DLL放在一个目录下，执行程序，弹出框。

目前 Android 上 Hook 的框架已经很多了，但是支持 Java Native 方法的 Hook 却很少，这些框架将 native 方法当普通方法 Hook，适配不同架构复杂等等。本文介绍一种 Android 版本通用的 Java Native Hook 方法并实现代码很少，下面进入我们 ...

梆x加固分析前言这个样本是年初自己拿到官网去加固，回来没有直接dump就直接分析了。可能是我的demo代码太少了就一句log.结果，分析了几天，发现这个样本没抽取。。。。但是还是简单记录一下，感兴趣的小伙伴可以看看。文章中若有出错的地方，请大佬们指正，然后由于是没抽取的版本，可能有些校验之类的没有调 ...

游戏环境： 热血江湖 WIN 7专业版 x64 效果图 原理： 游戏内，角色之所以不能穿过建筑物模型，是因为在游戏代码内，存在对障碍物的检测，如角色行进到某一处，向前的坐标可能是标识为障碍物，当角色被触发前进的操作，会先执行对前方障碍物的 ...

彩虹猫是一个非常有意思的病毒样本，我在看雪上，看到挺多这样的贴子。出于学习的目的，这里我对彩虹猫的分析进行一次复现。如有不足之处，请批评指正。 病毒分析环境的详细介绍样本名称：MEMZ.exeMD5： 19DBEC50735B5F2A72D4199C4E184960SHA1： 6 ...

CVE-2006-3439 Windows-远程执行代码一、漏洞信息1. 漏洞简述漏洞编号：（CVE-2006-3439）漏洞类型：（远程执行代码）漏洞影响：（远程代码执行、信息泄露等）CVSS评分：（以CVSS 3.0为准（一般分数较高），或者2者都备注）利用难度：Medium基础权限：不需要（是 ...

前言目前 Android 上 Hook 的框架已经很多了，但是支持 Java Native 方法的 Hook 却很少，这些框架将 native 方法当普通方法 Hook，适配不同架构复杂等等。本文介绍一种 Android 版本通用的 Java Native Hook 方法并实现代码很少，下面进入我们 ...

在调用下单接口（addorder.html），里面包含一个参数名称为reservationToken，它的值是一串类似md5的十六进制。这里分享下逆向追踪过程，目前已实现。拖入APK到jadx，直接搜索关键字reservationToken，我们看到图中的代码 ...

环境搭建是实践操作程序编写、反编译等等的基础操作，除了常用的Jeb动态调试外，我们还有什么方式进行动态调试呢？今天就来给大家介绍一下另外一种动态调试方式——AndroidStudio smalidea插件调试。什么是AndroidStudio smalidea插件调试？Android Studi ...

环境搭建是实践操作程序编写、反编译等等的基础操作，除了常用的Jeb动态调试外，我们还有什么方式进行动态调试呢？今天就来给大家介绍一下另外一种动态调试方式——AndroidStudio smalidea插件调试。 什么是AndroidStudio smalidea插件调试？Android Studi ...

在英国罗伊斯顿的乐购分店附近，近日发生了一件十分诡异的事。约100名司机都报警称遥控钥匙无法正常使用，他们被锁在车外，还有三辆车的警报器一直在响无法关闭，而地点都在该超市停车场。是恶作剧还是汽车故障，抑或是黑客攻击？警方表示，目前还不知道原因，但“没有将其当作...

第一次使用frIDA hook，记录一下分析流程分析的软件没有壳，非常适合我这个萌新练手学习首先进入软件注册登录。因为我之前使用过，所以首页这里现在显示免费已到期，刚注册的话会有几天免费，另外新注册账户也一样显示免费到期，所以推测是以设备标识符为准而不是以账户。 拖入JEB中分析代码，搜索“免费已到 ...

这篇是Art版，基于android-5.0.0_r2，java层和android-4.4.4_r1好像区别不大，android5的mCookie 类型由int 变成了long，android4 native层和java层（好像？）是通过brige连接，android5 开始才是JNI标准

看本文之前建议先看一下《剖析InfinityHook原理 掀起一场更激烈的攻与防恶战》这篇文章。 InfinityHook寻找指针方式解析我们先来看看原作者是如何寻找的，在源码的IfhpInternalGetC ...

Art 虚拟机代码加载简析前言最近在学加固，做了点笔记，前面分享过一篇Dalvik 虚拟机代码加载简析 这篇是Art版，基于android-5.0.0_r2 懒得画图了，art其他版本后续有空再更吧（逃 java层和android-4 ...

0x0 前言看本文之前建议先看一下《剖析InfinityHook原理 掀起一场更激烈的攻与防恶战》这篇文章。 了解一下InfinityHook的基本原理。 0xI InfinityHook寻找指针方式解析我们先来看看原作者是如何寻找的，在源码的IfhpInternalGetC ...

首先我们写一下一个简单的demo，主要代码如下，然后输出eax的值，我是用win32asm环境写的，其他部分我就不写出来了，就是常规的框架，这里主要是把下面这4句汇编vm然后分析虚拟机是怎么处理的，如果你没有masm32汇编环境你也可以用vs内联汇编代替

本篇文章带来一个Linux内核的模块的整数溢出，非常适合CTF选手与实战接轨，考察点较为全面，也有可以深挖的地方～Linux内核[BPF模块整数溢出] 漏洞分析本漏洞不涉及正式发行版，主要涉及Linux Kernel 4.20rc1-4.20rc4，我们使用Li ...

虚假控制流的原理和去除方法我在另一篇文章已经讲过了：利用angr符号执行去除虚假控制流，这篇文章简单记录下我阅读OLLVM虚假控制流源码的过程。OLLVM虚假控制流源码地址：https://github.com/obfuscator-llvm/obfuscator/blob/ ...

市面上很多小说阅读软件，这些小说软件美其名曰免费，实际上翻两页就是一大段广告，十分影响阅读体验，本篇文章通过数字猫小说软件入手，对其进行去广告以及相关算法分析。去广告软件没加壳，直接用JEB载入，通过搜索“AD”之类定位广告：相关函数符号还没混淆：isVideoRewardExpire判断看 ...

CVE-2020-1472 NetLogon 权限提升漏洞是微软8月份发布安全公告披露的紧急漏洞，CVSS漏洞评分10分，漏洞利用后果严重，未经身份认证的攻击者可通过使用 Netlogon 远程协议（MS-NRPC）连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。

SimpleDpack_C 编写32位与64位shellcode压缩壳_PE结构与壳的原理讲解by devseed，此篇教程同时发在论坛和我的博客上，完整源码见我的github

早在9.15的时候其实就开始尝试分析YS了，不过那个时候没啥动力，后来一次面试说可能用到，就尝试做了一下。以前都是试着搞一下小一点的游戏，第一次对这种有一点名气的厂商下手，心里还是挺打鼓的（典型欺软怕硬）。

漏洞简述CVE-2019-2215是一个谷歌P0团队发现的与binder驱动相关的安卓内核UAF漏洞,配合内核信息泄漏可以实现任意地址读写,进而可以通过权限提升获取一个root权限的shell。本EXP中使用的这种攻击方式构思极其巧妙，已经从最初的页表伪造 https://bbs.pediy.com ...