加密算法 0x00 前言 本文用于记录一些常见的加密算法，以及其识别特征。 0x01 算法 1.1 md5 1.简介 MD5（Message Digest Algorithm 5，消息摘要算法 5）是一种广泛使用的哈希函数，能够将任意长度的输入数据（消息）转换为固定长度的输出（128位，即16字节）的哈希值（又称为消息摘要）。它由 Ronald Rivest 在 1991 年设计，是继 MD2、MD4 之后的又一版本。 其具有以下特点： 固定输出长度：128位，16字节 单向性：无法通过hash推出原始输入数据 抗…

0x01 堆溢出 实验环境 推荐使用的环境 备注 操作系统 - 编译器 - 二进制编辑器 - 较为简单，云一下。详细堆溢出实验可以去参考0day安全的堆实验。 云实验过程 /*----------------------------------------------------------------------- 第14章 漏洞分析技术 《加密与解密（第四版）》 (c) 看雪学院 www.kanxue.com 2000-2018 -----------------------------------------…

漏洞分析技术 0x01 软件漏洞原理 传统的缓冲区溢出漏洞，UAF（Use-After-Free）等涉及二进制编码的漏洞统称为二进制漏洞。 1.1 缓冲区溢出漏洞 程序在运行前会预留一些内存空间，这些内存空间用于临时存储I/O数据。这种预留的内存空间被称为缓冲区。 缓冲区溢出是指计算机向缓冲区填充的数据超过了缓冲区本身的容量，导致合法的数据被覆盖。从安全变成的角度欻，理想情况下程序在执行复制，赋值等操作时，需要检查数据的长度，且不允许输入超过缓冲区长度的数据。但有时开发人员会假设数据长度总是与所分配的存储空间相匹配…

0x01 静态修改PE输入表法 实验环境 推荐使用的环境 备注 操作系统 Windows 10 编译器 VS2019 二进制编辑器 010Editor 实验过程 C语言代码。 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "pch.h" #include <stdio.h> #include <Windows.h> DWORD WINAPI ThreadShow(LPVOID lpParameter); BOOL APIENTRY DllMain( H…

注入技术 0x01 DLL注入方法 通常情况下，程序加载DLL的实际主要有以下3个： 进程创建阶段加载输入表中的DLL，即俗称“静态输入”； 通过调用LoadLibray主动加载，称“动态加载”； 由于系统机制的要求，必须加载系统预设的一些基础服务模块，如Shell扩展模块，网络服务模块等。 1.1 通过干预输入表处理过程加载目标DLL 当一个进程被创建后，不会直接到EXE本身的入口执行，首先被执行的时ntdll.dll的LdrInitializeThunk函数（ntdll在进程创建的时候就被映射到新进程中了）。L…

0x01 输入表 实验环境 推荐使用的环境 备注 操作系统 Windows 10 二进制编辑器 010editor 样例程序 PE32 实验过程 PE文件偏移0x3C处找到PE头偏移0xB0。 NT头的数据目录表找到导入表的RVA，计算File Offset。 IID数组，每个IID包含一个DLL的描述信息。 第一个字段OriginalFirstThunk，指向一个数组，这个数组的元素全是指针，分别指向引入函数名的ASCII字符串。实际是一种，如果OriginalFirstThunk为0，就要看FirstThunk…

VT技术 虚拟化技术（Intel VT-x）相关 0x01 硬件虚拟化的基本概念 VT是指Intel的硬件辅助虚拟化技术（Virtualization Technology），起初时为了提高VMware之类的软件虚拟化性能，由于VT技术引入了一个新的CPU层级Ring-1，所以其在安全方面也增加了很多应用。 1.1 概述 硬件虚拟化引入的新的CPU模式和虚拟化指令集能帮助VMM（Virtual Machine Monitor，虚拟机监视器）提升性能。Intel VT-x为CPU提供了（Virtual Machine…

Win32调试API Win32自带了一些API函数。提供了相当于一般调试器的大部分功能，这些函数统称为Win32调试API（Win32 Debug API）。利用这些API，可以加载一个程序或捆绑到一个正在运行的程序上以供调试，可以获取被调试程序的底层信息（例如进程ID，进入地址，映像基址等），甚至可以对被调试程序进行任意的修改。 0x01 调试相关函数的简要说明 记录了一些Win32调试API函数的用法，参数，返回值。 0x02 调试事件 作为调试器，监视目标进程的执行，对目标进程发生的每一个调试事件作出应有的…

0x01 WinDbg搭建双机调试环境 实验环境 推荐使用的环境 备注 操作系统 Windows 10 编译器 编译选项 build版本 调试器 WinDbg 虚拟机 Vmware 实验过程 配置虚拟机串口 这里的系统是Win10，XP不一样。 管理员启动CMD，输入以下命令 bcdedit /dbgsettings serial baudrate:115200 debugport:2 // 这里的debugport取决于创建的串口id，我是com2 bcdedit /copy {current} /d Debug…

0x01 向量化异常处理 1.1 向量化异常处理的使用 向量化异常处理的基本理念和SEH相似，也是注册一个回调函数。异常发生时会被系统的异常处理过程调用。可以通过API函数AddVectoredExceptionHandler注册VEH回调函数。原型如下 VEH回调函数也形成一个链表。若FirstHandler的值为0，则回调函数位于链表尾部，若参数为非0值，则至于VEH链表最前端。要将该函数的返回值保存下来用于卸载。 VEH回调函数所在的模块被卸载后，系统不能自动将回调函数从VEH链表上溢出，需要程序在退出的过程…