逆向破解

【僵尸申请复活】【已通过】一次源码免杀 - 重在思路

现在的shellcode分离免杀,远程内存加载已经很流行也比较实用了,基本被杀了改改又可以过,吹个水强行融入一下,我并不会,本篇分享下最近的一次免杀的思路,主要是思路,遇到一个点如何去对下一步进行处理。---------------------------------------------------------------------------------------

2022-3-6 17:15 19 9359

3月18日更新:沙箱全绿免杀 BY ZheTian

#距离上次更新过了很久了。近日golang更新了1.18,优化了项目编译方式,意味着基于go的免杀项目又可以残喘一段时间了。之前在社区看到大佬说加些无用函数过免杀,让我想到了Java的try case 。故意将项目报错使之进入case选项,在case里执行注入shellcode操作。说干就干,新项目在沙箱里全绿了,以及网

2021-9-7 10:38 44 15536

利用PChunter实现电脑微信多开

利用PCHunter_free找到微信进程:关闭句柄即可:效果如图:工具链接:这种办法的多开比较适合新手入门,也可以尝试别的方法多开在常见的实际应用中MUTANT的互斥仅仅作为一个手段而已,大部分常见程序都喜欢使用信号量Semaphore 和事件 Event来进行互斥,这是因为这两种互斥可以很好的控制互斥体运行的数量T

2021-3-1 03:17 47 12527

封包检测意外发现某Chrome 扩充元件疑似被植入间谍代码

最近可能是太过神经质,常觉得Google搜寻卡卡的,三不五时不是转圈很久,就是直接无回应。带着看看也好的精神,决定检查一下浏览器Google搜寻的所有封包看一下是不是哪个包Timeout还是其他问题,由于平常做封包检测只有把Burp Suite(使用代理做封包拦截查看的工具)的代理服务器挂在Firefox上,所以使用

2021-1-25 15:30 25 10830

投稿文章:解密网游木马开发全记录(一)

解密网游木马开发全记录------WM_GETTEXT篇网络虚拟财产的安全越来越受到广大网民的关注,而黑客经常使用非法手段获取网游账号及密码进行非法盈利。为了揭露网游盗号的基本原理,我将给大家演示黑客是如何通过编程实现密码的截取与发送。也希望广大网民提高安全意识,免受盗号危害。首先通过分析可知,

2018-2-10 10:58 0 5650

支付宝com组件分析

所需基础请阅读<<COM本质论>>如果你此前从未玩过COM.那么首先运行 Install.bat 安装COM然后运行 HtmlCom.htm (如果不能打开程序,尝试使用IE浏览器)每次运行都会加载COM组件,浏览器都会有个提示打开后,你就能看到CM程序了工具: ie 6.0 od1.0 支付宝环境:xp sp3 在Ddv群里面有个朋友问我怎样给淘宝的

2014-11-15 17:06 41 15031

宇智波反弹2 - 获得无耻的腾讯公司逆向工程师的力量

逆向区不让发, 就发这了先腾讯公司逆向工作组工作地点的IP地址通通在广东他们调试病毒的虚拟机为vbox虚拟机他们逆向使用的工具是用py写的,非常的强大几乎把我的东西全都分析了个遍(如果不是有一次偶犯发的马), 我也不会知道tx居然会无耻到这个地步他们的逆向工具叫做土星 - 灰常牛B, 可以让小白瞬间完

2014-7-9 19:15 79 16683

CVE-2010-3333漏洞调试、分析(——适合新手入门)

这是第二次在tools发帖,为了响应管理猿的号召,也为了爱好应用程序安全新手的需要。在此,我初步研究了一下微软3333漏洞的成因,并试着定位到了样本中的shellcode,现在就对这个入门级的漏洞做个简单的分析:  首先,我们还是用OD加载word.exe程序,按F9运行。如图:    图(一)  接下来,我

2013-12-23 17:30 73 12557

利用堆首绕过微软的safeseh保护机制

设计SafeSEH保护机制的目的,为了防止攻击者通过覆盖堆栈上的异常处理函数句柄,从而控制程序执行流程的攻击。 在突破safeseh的方法有多种,在此简单介绍一下利用堆突破safeseh的方法。 微软在设计SafeSeh机制时,只会检测Seh Handler在不在栈里面而没检查在不在堆里面,所以我们可以利用这

2013-12-16 14:04 30 6563

溢出入门文章Ver.1(demo)异常处理SEH

2.(SEH)3分钟理论阅读通过直接覆盖返回地址eip,控制系统指针指到相应地址。执行存在jmp esp的指令,通过跳转定位到shellcode领域执行playload。其中有2点问题 是系统与硬件的DEP数据保护 不允许返回执行数据 ASLR 地址随机变化会导致原本地址要执行的 jmp esp 指令变化为其他不可预知的指令由于DEP除了

2013-11-16 21:15 20 5064