ollydbg

call 指令与 retn 指令 首先我们得了解 CALL 和 RETN 指令的作用，才能更好地理解调用规则，这也是先决条件。 实际上，CALL 指令就是先将下一条指令的 EIP 压栈，然后 JMP 跳转到对应的函数的首地址，当执行完函数体后，通过 RETN 指令从堆栈中弹出 EIP，程序就可以继续执行 CALL 的下一条指令。 __cdecl 与 __stdcall 调用规则 C/C++ 中不同的函数调用规则会生成不同的机器代码，产生不同的微观效果，接下来让我们一起来浅析四种调用规则的原理和它们各自的异同。首先我们通过一段 C 语言代码来引导我们的浅析过程。 这里我们编写了三个函数，它们的功能都是返回两个参数的相加结果，只是每个函数都有不一样的调用规则。 我们使用 printf 函数主要是为了在 OllyDBG 中能够快速下断点，以确定后边调用三个函数的位置，便于分析。在这里我给每个函数都用了内联的 NOP 指令来分隔开，图中也用红框标明，这样可以便于区分每个函数的调用过程。通过一些简单的步骤，我们用 OllyDBG 查看了编译后代码的“真面目”。代码中有 4 个 CALL，第一个是 printf，我们不关心这个。后面三个分别是具有 __cdecl，__stdcall，__fastcall 调用规则的函数 CALL（这里我已经做了注释）。 在这里为了循序渐进，我们先介绍 _

开头 上一篇博客讲到了栈溢出，关于做栈溢出实验，可使用的工具是反汇编工具。 之前讲到了IDA的实现： 点击进入IDA实现栈溢出博客 感兴趣的也可以看看。 ~ 现在说到老师上课可能更喜欢用的反汇编软件OllyDbg，来实现一下简单的栈溢出实验。 ~ 软件介绍：OllyDbg 摘自百度: <<<OD，是一个反汇编工具，又叫OllyDebug，一个新的动态追踪工具，将IDA与SoftICE结合起来的思想，Ring 3 级的调试器，己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能，是目前最强大的调试工具。基本上，调试自己的程序因为有源码，一般用vc，破解别人的程序用OllyDebug。>>> ~ ~~下面简称OD ~ IDA与OD ~ 说简单点，OD是一款火爆的反汇编工具，免费也是其特点，优点可能对电脑环境要求并不高，缺点是其运行很复杂，函数名之类的信息不清晰，等于要自己找。 IDA相比于OD，更加方便，这点可以从我上一篇博客看出，同时IDA操作简单，但要付费。即使其破解版在机房的电脑上一般不好运行，所以导致学校老师教学一般用OD。这里开讲，怎么用更复杂的OD（ollydbg）. ~ 1.打开软件 可以清楚看到界面： 看到很多框体，再细看一下： 2.准备好要运行的程序 即准备好实现栈溢出的代码，和上一篇博客代码一样，可以对比： ~ # include

BakoMa Tex可以实时预览Tex编译出的pdf，也可以通过修改预览的结果，反过来影响Tex源码，这个功能是十分有用的。目前官网(http://bakoma-tex.com/menu/download.php)上能找到的最新版是11.80，发布于2018年10月18日，有较长时间未更新了。这个版本不支持中文，中文在预览区无法显示，而且只要中文夹杂了英文，在Tex源码区的中文还会重叠显示，光标也无法正确定位。我把软件的各个和编码有关的设置都修改过，也不能解决中文的问题。所以，BakoMa目前只能拿来写英文论文了。 接下来讲解如何实现无限试用。安装后启动，会出现如下输注册码的窗口， 注意上面的最后一段话，(Installation Serial Number /ISN/ may be required for some kinds of licenses at payment processing. Your installation of BaKoMa TeX has ISN = 262721426)，尤其是结尾的ISN = 262721426。底部显示了剩余的试用期，直接点Apply会报注册码unsuitable的错误，点击Evaluate则会联网下载一个试用的License. 既然要联网下载，那么很自然会好奇：如果在断网的情况下点击Evaluate，会出现什么情况呢？

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了4种常见的注入技术，包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入。这篇文章主要讲解威胁情报分析，通过Python抓取FreeBuf网站“APT”主题的相关文章，后续会进一步采用数据挖掘、机器学习、知识图谱等方法进行深入分析。基础性文章，希望对您有所帮助~ 作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~ 文章目录 一.FreeBuf主网站分析 二.Python抓取文章标题 三.正文内容抓取 四.正文爬取完整代码 五.总结 作者的github资源： 软件安全： https://github.com/eastmountyxz/Software-Security-Course 其他工具： https://github.com/eastmountyxz/NetworkSecuritySelf-study Windows-Hacker： https:/

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了木马病毒提权技术，包括进程访问令牌权限提升和Bypass UAC。这篇文章将复现CVE-2020-11107漏洞，利用XAMPP任意命令执行漏洞提升权限，希望对您有所帮助。 作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~ 文章目录 一.漏洞描述 二.环境搭建 三.漏洞复现 四.防御及总结 作者的github资源： 软件安全： https://github.com/eastmountyxz/Software-Security-Course 其他工具： https://github.com/eastmountyxz/NetworkSecuritySelf-study Windows-Hacker： https://github.com/eastmountyxz/Windows-Hacker-Exp 声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩

如果你想成为一名逆向分析或恶意代码检测工程师，或者对系统安全非常感兴趣，就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒，当年造成了非常大的影响，并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理，并通过软件对其功能行为进行分析，这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试，以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章，希望您喜欢！同时，本文部分实验参考姜晔老师的视频分析，真的非常佩服和值得去学习的一位老师。技术路上哪有享乐，为了提升安全能力，别抱怨，干就对了~ 从2019年7月开始，我来到了一个陌生的专业——网络空间安全。初入安全领域，是非常痛苦和难受的，要学的东西太多、涉及面太广，但好在自己通过分享100篇“网络安全自学”系列文章，艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们，如果写得不好或不足之处，还请大家海涵！ 接下来我将开启新的安全系列，叫“安全攻防进阶篇”，也是免费的100篇文章，作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等，也将通过在线笔记和实践操作的形式分享与博友们学习，希望能与您一起进步，加油~ 推荐前文： 网络安全自学篇系列-100篇 话不多说，让我们开始新的征程吧！您的点赞、评论、收藏将是对我最大的支持，感恩安全路上一路前行，如果有写得不好或侵权的地方

原文： https://securelist.com/compfun-http-status-based-trojan/96874/ 译者：知道创宇404实验室翻译组 2019年秋，我们 发布了一篇文章 ，其主要讲述了一个名为Reducor的COMpfun后继文件是如何即时感染文件以破坏TLS流量的，目前该恶意软件的开发者们还在开发新的功能。2019年11月下旬，我们的搜索引擎发现了一个新的木马，其之前发现的代码高度相似，经过我们进一步的研究表明，它使用的是与COMPFun相同的代码库。 里面有什么 该恶意活动幕后操纵者聚焦于外交实体上，这次目标是在欧洲。他们将最初的释放器以伪造签证申请的形式进行传播。合法的应用程序及32位或64位的恶意软件被保存在加密释放器中，但恶意代码是如何传递到目标中的这点我们尚不清楚。 感染链 我们观察到了一个有趣的C2通信协议，该协议使用了罕见的HTTP/HTTPS状态代码（即IETF RFC 7231，6585，4918），而Client Error类中的几个HTTP状态代码（422-429）会使木马知道操作员想要做什么，在控制服务器发送“Payment Required”（402）状态之后，会执行先前所接收到的命令。 操作者将RSA公钥和唯一的HTTP ETag保留在加密的配置数据中。出于Web内容缓存原因而创建的此标记也可以用于过滤对C2的请求，如

系统安全绕不开PE文件，PE文件又与恶意样本检测及分析紧密相关。前文作者带领大家逆向分析两个CrackMe程序，包括逆向分析和源码还原。这篇文章主要介绍了PE文件基础知识及恶意样本检测的三种处理知识，手动编写代码实现了提取IAT表、二进制转字符串及获取PE文件时间戳，这是恶意样本分析和溯源至关重要的基础，并且网络上还没见到同时涵盖这三个功能且详细的文章，希望对您有所帮助。术路上哪有享乐，为了提升安全能力，别抱怨，干就对了~ 同时，PE文件基础知识推荐作者另一个安全系列： [网络安全自学篇] PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改 [网络安全自学篇] PE文件逆向之数字签名解析及Signcode、PEView、010Editor等工具用法 [网络安全自学篇] Windows PE病毒原理、分类及感染方式详解 从2019年7月开始，我来到了一个陌生的专业——网络空间安全。初入安全领域，是非常痛苦和难受的，要学的东西太多、涉及面太广，但好在自己通过分享100篇“网络安全自学”系列文章，艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们，如果写得不好或不足之处，还请大家海涵！ 接下来我将开启新的安全系列，叫“安全攻防进阶篇”，也是免费的100篇文章，作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》，其作者是甘迪文老师，推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享，并且会进一步补充知识点。第四篇文章主要介绍木马病毒自启动技术，包括注册表、快速启动目录、计划任务和系统服务，希望对您有所帮助。 对于一个病毒木马来说，重要的不仅是如何进行破坏，还有如何执行。同样，如何开始也非常重要，病毒木马只有加载到内存中开始运行，才能真正体现出它的破坏力。否则，它只是一个普通的磁盘文件，对于计算机用户的数据、隐私构不成任何威胁。 即使成功植入模块并启动攻击模块，依然不能解决永生驻留的问题（持久性攻击）。解决永生驻留的第一步便是如何实现伴随系统启动而启动的问题，即 开机自启动 。这样，即使用户关机重启，病毒木马也随着系统的启动，而由系统加载到内存中运行，从而窃取用户数据和隐私。因此，开机自启动技术是病毒木马至关重要的技术，也是杀软重点监测的技术。对于杀软来说，只要把守住自启动的入口，就可以把病毒木马扼杀在摇篮中。 文章目录 一.注册表 1.注册表基础知识 2.函数介绍 3.编程实现 二.快速启动目录 1.函数介绍 2.编程实现 三.计划任务 1.实现原理 2.具体操作 3.编程实现 四.系统服务 1.函数介绍