5K! https://www.instagram.com/p/B8ojm_AHDmrLoRwfBPpEv_oQDrhmW7gyWOnXg00/?igshid=1bp4uxgjx5mhy

Origami Around
ojovivo
"I'm Dorothy Gale from Kansas"
NASA
Misplaced Lens Cap
No title available

tannertan36
will byers stan first human second

Love Begins
2025 on Tumblr: Trends That Defined the Year
almost home
Mike Driver

titsay
Three Goblin Art
Monterey Bay Aquarium

oozey mess
Stranger Things
taylor price
Game of Thrones Daily
🪼
seen from United States

seen from South Africa

seen from Spain
seen from Malaysia
seen from United States
seen from United States

seen from United States
seen from United States

seen from United States

seen from United States
seen from United States

seen from United States

seen from United States

seen from Germany
seen from United States
seen from Chile
seen from United States

seen from United States
seen from Czechia
seen from Germany
@hochyi-blog
5K! https://www.instagram.com/p/B8ojm_AHDmrLoRwfBPpEv_oQDrhmW7gyWOnXg00/?igshid=1bp4uxgjx5mhy
尴尬 https://www.instagram.com/p/Bz5reBcnRxSv_KRNaohDgh9yNUiJVmFeDEtEyw0/?igshid=6ov79c804gbi
MTDP https://www.instagram.com/p/By79SgEnglI39C7uH-JoltnH0x8W66evWcPZGs0/?igshid=9cefnwj9jr8r
pppwwwnnn
View On WordPress
vim设置行号 缩进 tab
sudo vim /etc/vim/vimrc
修改vim配置文件
View On WordPress
胖
return2libc
将system()函数作为返回值覆盖,'/bin/sh'作为参数,这样在返回时进行调用system('/bin/sh')
而exit()此时为system()的返回值
即:先执行system('/bin/sh'),然后执行exit()
View On WordPress
-1
寻找导入函数
bp GetProcAddress,F9,第一次断下
ALT+F9返回用户领空,发现这里讲GetProcAddress的返回值写入到[ebx]中,也就是0045B78D的内存中
dd ebx,来到这里,经过多次的F9发现这里附近的内存保存着导入函数的地址
最终如下:
寻找捆绑的3个PE文件
bp CreateFileA/W,ALT+F9返回用户领空
这里首先新建一个文件,返回值-1。然后再次打开文件,然后下方设置该文件属性隐藏|系统
火绒剑中出现的文件步骤
接着下方创建文件映射,然后映射文件,这里size=0
F9运行,代码又回到这里,只不过这次是创建第二个文件。同样下方也是进行属性的修改,文件映射的操作
第三个断在CreateFile,下方:创建完文件后设置文件指针,然后是几次写入文件,最后关闭句柄
再次…
View On WordPress
VMware one of the snapshot disks it depends on. Module 'Disk' power on failed.
VMware one of the snapshot disks it depends on. Module ‘Disk’ power on failed.
使用记事本打开*.VMX文件上加上一行代码disk.locking = "FALSE",重新启动该虚拟机。
View On WordPress
Reinstall apt package | linux without apt | aptitude without apt apt-get
Reinstall apt package | linux without apt | aptitude without apt apt-get
https://askubuntu.com/questions/1040149/problems-with-package-managers-aptitude-and-apt
Reinstall apt package with one of the methods below:
method 1 (if aptitude is alive)
sudo aptitude install apt
method 2 (if apt-get is alive)
cd ~/Downloads apt-get download apt sudo dpkg -i apt*.deb
method 3 (using wget and dpkg)
cd ~/Downloads wget…
View On WordPress
Rootkit-object hook
https://bbs.pediy.com/thread-57900.htm
View On WordPress
木马 & 病毒 & 后门
木马 & 病毒 & 后门
破坏,自我复制
钓鱼:邮件中例如更改后缀(后缀随意改),发送邮件
暗链隐蔽性:通过搜索引擎会触发广告,但是直接访问不存在广告
病毒:破坏性
木马:隐蔽,免杀
ARK反内核工具
HideTools隐藏进程,但是可以通过ARK工具(如火绒剑)查看
启动文件夹:
documents and settings – user – 开始菜单 – 程序
注册表启动
修改键值能够达到自启的效果
注册表中userinit
查杀
tasklist显示进程 tasklist /svc显示包含的服务
taskkill /PID 7975 /F强行结束进程
结束进程强制重启解决办法:(结束桌面删除进程文件 /工具(火绒剑))
结束桌面进程
然后在不在加载桌面情况下删文件结束进程
c盘windows下有一个explorer.exe
View On WordPress
Windows账户
注册表克隆用户
net user
net user guest查看用户详细信息
net user test$ /add添加隐藏用户,>>$符号<<
通过计算机-管理能够看到
但是通过cmd的net user发现找不到用户
net localgroup administrators test$ /add将用户添加到管理员组
彻底隐藏用户
默认情况系SAM无法展开,通过修改权限让其能够展开
下面的names和上面的每一个值都一一对应
导出要添加用户的names和属性键值 && admin的属性键值
只需要将管理员导出键值中的用户信息替换隐藏用户导出键值中的用户账户信息
然后先删除隐藏用户net user test$ /del
F5刷新,发现隐藏用户已经删除
然后将我们导出并进行修改的两个注册表信息导入
注册表导入后,cmd中隐藏,管理里…
View On WordPress
OLE
编译器将strcpy 等指令优化成rep mov指令
OLE
View On WordPress
APT_0x00_0x00
客户端<–>代理服务器<–>防火墙<–>服务器 如果shellcode执行成功就可以直接服务器–》客户端回联的方式与客户端通信
数据通道中两种结构:
ecb(IIS中比较多)[回调函数] ecb->ReadClient ecb->WriteClient
查找socket: getpeername查socket 字串匹配socket
自动版本识别: nmap识别,程序自动进行识别(rpc漏洞调用进行识别操作系统版本)
rpc win2000 15个调用 xp 17 (超出2000) 2.3 20 (超出xp)
同一种语言代码页是相同的加载地址,通过代码验证找一些验证地址 版本之间会不同
PEB中的通用指针
PEB->RtlEnterCriticalSection
Shellcode高级技术【大小写转换, \0截断】
只需要关注she…
View On WordPress
格蠹汇编0x01
我们首先打开WinDbg,然后选择File菜单下的Open Crash Dump,载入我们这次所研究的文件
载入文件,程序已经int3断下
s –u 0 L80000 “当年在交大”
以Unicode的形式在内存中查找“当年在交大”这几个字,查找范围是从0到800。回车后发现WinDbg并没有返回结果,那么说明我们这里所指定的800这个范围太小了,这里修改一下,将上述语句中的800改成8000000
在内存中搜索到这么多的结果,有可能是作者在写作的过程中对文章进行了多次保存,或者说是系统自动进行了保存,于是就在内存中留下了痕迹
du 001b5942 L1000
从内存地址为0x001b5942的位置开始,以Unicode的形式显示内存中的内容,一共显示800个结果。
提取文章内容
.writemem e:\blog_1.txt 001b5942 L1458
将内存起…
View On WordPress
VMProtect
View On WordPress