Clik here to view.
分享一下最新过TP DebugPort清零的方法
众所周知 TP 系统全称 TenProtect,是由腾讯自主研发推出的安全系统,可以有效保护游戏不受外挂侵犯,同时具备反木马盗号功能, 能有效的防止用户游戏帐号和虚拟财产被窃取。腾讯 TP 系统主要作用为外挂检测、反盗号、反非法工作室、防非法消息。 文章写的有点赶,没有带图,代码可能也有点乱,各位将就看看吧! 首先要提出的是,我现在所做的过 TP 驱动保护只支持 32 位 XP,在所有的 32 位...
View ArticleClik here to view.
【原创】第二枚ARM汇编程序分析
前几天 发了一个ARM汇编版的CrackMe,好像还挺 受欢迎的,但是由于.o文件无法由安卓程序调用,所以只能在dos下用adb shell 执行,看上去很不直观,引起一些朋友不解。 今天 我给大家 写了一个so文件 ,这样android 程序 就可以调用它了,再加上安卓的界面,看起来就要舒服点,呵呵。:p: 由于...
View Article【翻译】Windows NT的二十年
原文:20 Years of Windows NT | Windows content from Windows IT Pro 作者:Paul Thurrott 日期:Jul. 29, 2013 译者:MistHill 引用: Twenty years ago this past weekend, Microsoft released its first version of Windows NT,...
View Article【原创】OBJECT_METHOD初窥
写在开头: 前些日子突然对Object Hook的兴趣大增,同时发现坛子里分析内核对象机制的文章非常少,这里就当抛砖引玉吧。期待能系统分析Windows 内核的对象机制的文章:D: 一、 背景:Windows NT 的对象机制 Windows NT系统将各种资源以对象的方式进行组织和管理。虽然Windows...
View ArticleClik here to view.
【原创】Android分析之路(二)——代码混淆分析研究1
最近一段时间继续学习android病毒分析,发现代码还是以混淆为主,所以就想分析研究一下,望各路大侠指教~:cool: 先上几张代码图: 附件 81333 附件 81334 对于这种代码其实也还是可以尝试一下的,研究了一下看雪上关于APK混淆的一篇文章http://www.kanxue.com/bbs/showthread.php?t=137112...
View Article【招聘】McAfee Labs招聘安全研究员
Title: Security Research Scientist Location: Beijing China About the Role: • McAfee Labs is looking for a Sr. research scientist. The ideal candidate should have excellent problem solving skills, have...
View ArticleClik here to view.
【原创】新手学ssdt_hook
看了梦无极的ssdt_hook教程,虽然大牛讲得很细,但是很多细节还是要自己去体会,才会更加深入。在这里我总结一下我的分析过程,若有不对的地方,希望大家指出来。 首先我们应该认识 ssdt是什么?从梦无极的讲解过程中,我联想到了这样一个场景:...
View ArticleClik here to view.
其他内容 【原创】学习PE写的一个添加节区的工具
前段时间学习PE写了一个添加节区的小工具,拿计算器测试了一下,可以添加90多个节区. 先介绍一下手动添加节区的方法 方法一:(适用于最后一个节区头部与第一个节区数据之间有0x28字节的空间) 代码: 1.添加节区数据(文件对齐值) 2.修改节数量 3.添加IMAGE_SECTION_HEADER 4.修改SizeOfImage...
View ArticleClik here to view.
木马相关 【原创】对一个QQ木马的分析
程序流程: 首先注册自己程序的窗口以及类等一系列窗口操作,安装了一个定时器,间隔为100ms,功能搜索QQ的类名,如果找到就利用FindWindow("5B3838F5-0C81-46D9-A4C0-6EA28CA3E942", NULL)找到当前运行的QQ号,之后隐藏QQ主界面,弹出自己的界面,利用socket发送输入的密码到指定的IP、端口,达到窃取用户的QQ密码。...
View Article系统底层 【原创?】一种无差别的anti-anti双机调试的方法
一种无差别的抗-反双击调试的方法,原创不原创不敢说,也许还有很多人也想到过这种方法 无差别,意思是不针对某.sys,完全只需要修改自己的内核即可实现的。。 思路如下, Hook KdpStub 到一个我们的函数,暂名 beforeKdpTrap beforeKdpTrap要做的事情如下 __declspec(naked) beforeKdpTrap() { __asm { pushad...
View Article【原创】某P的debugport的另一种过法。
继上一次过掉双击调试之后,利用它的思想,又相继过掉了那几个函数和debugport。刚才在虚拟机里面,OD加载之后,有模块,可下段,没又sx非法之类报错。但是过了一会游戏退出了。不知道是不是跟我虚拟机配置不够有关?总之能调试附加,给我这新人一大信心。 开始说debugport的过法。看了以前好多帖子,都是修改TP,最近,有人也是修改TP,另外pass...
View ArticleClik here to view.
调试逆向 【原创】高手飘过。。。菜鸟第一次逆向一个小算法,留记号
:o:下了加密里面的一本书的光盘里面有个TraceMe.exe,也没去看书上怎么弄的,就因为刚看完了《C++逆向与反汇编技术解密》这本书,感觉想拿个东西练下手,就它了。很菜的,第一次分析算法,高手不笑,菜鸟学习不容易啊。 软件没加壳,OD载入后直接,查找字串。 附件 81410 在CPU窗口查看 在头部下断。 运行程序,发现无法运行,程序会不断调用此函数。...
View Article【原创】Win32Asm 驱动学习笔记《 HOOK SSDT》
1.0 获取对应的SSDT服务序号 我们HOOK一个SSDT服务,首先需要知道它的服务号,网上流传的HOOK SSDT的C代码中,大多使用了一个宏来实现,我们先看下它的代码: #define SYSCALL_INDEX(_Function) *(PULONG)((PUCHAR)_Function+1) 例如取ZwTerminateProcess在SSDK中的服务序号:...
View ArticleClik here to view.
【原创】运行时自篡改dalvik字节码delta.apk原理解析(逆向)
引用: 出于好奇并且当做原生程序分析练习,对之前运行时自篡改dalvik字节码的程序delta.apk进行了逆向分析,了解了该程序的自篡改原理,现小结如下,如有错误希望大家指正! 参考链接:http://bbs.pediy.com/showthread.php?t=170381 年初,bluebox 发布一个可以在运行时修改自身 dalvik 字节码的 demo,在论坛的相关信息...
View ArticleClik here to view.
技术专题 【原创】Win32Asm 驱动学习笔记调试基础
版权声明 本文所述内容很多来自互联网以及其他一些参考资料,并不是全部原创,属于学习笔记汇总,凡因此文引发的版权问题,作者本人不负任何责任。 自序 虽我未学,下笔无文,然驱动入门之路何其曲折,何妨我将其倾注于笔墨文字,因其内容多引用经典,作者心得体会 穿插其间,故不敢擅称原创,借以笔记之说,攒此文字,以谓后来者。 另作者不才,内容错漏之处还请海涵指正,谢谢。 Win32Asm...
View Article【招聘】阿里集团Android开发工程师
岗位要求: 1. Android三年以上经验,有多个完整企业级中型以上项目经验; 2. 熟练掌握应用开发技巧,掌握framework开发最好; 3. 熟练使用Java以及软件架构设计; 4. 掌握计算机网络知识以及工作经验; 5. 有移动安全行业软件开发经验优先; 6. 较好的逻辑思维能力和沟通能力,热爱技术,能独立解决问题; 7. 有团队精神,积极融入团队。
View ArticleClik here to view.
【原创】基于ARM平台下的WINDOWS RT的PE文件逆向初步研究
今天立秋。秋天来了,冬天还会远吗? 最近SURFACE RT降价,跌破了2000大关,还不知道什么是平板的我,也就买了一台。因此。闲来无事也就分析分析上面的小程序。 由于本人太笨,没有越狱成功。所以系统上还不能运行修改后的程序,并且这个平台上也没有OD那么强大的调试器。因此只能用本办法。IDA一点一点看。。:o:...
View Article