前言 最近在学习软件调试相关的内容,顺便举一反三找找反调试以及反反调试的相关方法。逛着逛着找到了这个网站:2种基于异常机制的反调试方法,虽然一看就知道不知道从哪转载的,而且搜索引擎有很多这篇文章一模一样的重复结果,但是代码倒是挺有趣的,研究玩玩。 第一题 第一段代码是基于IsDebugPresent()类似实现的反调试,代码如下 #include <windows.h> int AntiDebugInSEH(EXCEPTION_POINTERS* ExceptionInfo) { DWORD state…
前言 今天上午去上课前在虚拟机配置生产环境,没锁屏离开了宿舍。由于插着电源,电脑并不会自动进入休眠超时锁定账户。但是下课回来发现需要登陆——电脑重启了。重启的原因是什么?~~不会是被人日了吧~~,以后该如何避免这种蛋疼的情况呢? 信息收集 日志信息获取 系统的重启、程序的执行、警告等信息都会被系统日志所记录,先去系统日志看看情况。由于重启发生于上课时间,所以日志的记录时间区间很好确定,大约一个半小时。首先设置下筛选器,将该时间段内来自系统事件的信息呈现出来。 在事件列表中,确定了计算机关闭的时间,且计算机非正常关闭…
预备知识请参阅RootKit 初探——文件隐藏与混淆 原理分析 概述 本次Rootkit教程 核心是Hook系统获取进程信息的函数ZwQuerySystemInformation。该函数未公开实现,官方文档所信息十分有限。通过RootKit修改系统调用该函数的函数指针,在获取进程信息时进行截流和修改。嗯,核心思想和上一期一样简单。 入口 ZwQuerySystemInformation的函数原型为: NTSTATUS NewZwQuerySystemInformation ( IN ULONG SystemInfo…
RootKit 初探——文件隐藏与混淆 什么是Rootkit? Rootkit一词最早出现在Unix系统上。系统入侵者为了获取系统管理员级的root权限,或者为了清除被系统记录的入侵痕迹,会重新汇编一些软件工具(术语称为kit),例如ps、netstat、w、passwd等等,这些软件即称作Rootkit。其后类似的入侵技术或概念在其他的操作系统上也被发展出来,主要是文件、进程、系统记录的隐藏技术,以及网络数据包、键盘输入的拦截窃听技术等,许多木马程序都使用了这些技术,因此木马程序也可视为Rootkit的一种。 在…
段与寻址 段是在程序中专门定义的一个区域,它是一个包括代码、数据以及堆栈的区域。比如,用ida打开一个exe程序,在反汇编窗口中可以看到程序分成了如下几段: 0x00000----------- 代码段 0x10000----------- 数据段 0x20000----------- 堆栈段 0x26000----------- 段是从小段边界,即能够被16除尽的单元开始的。因此,当一条指令往一个段寄存器装入段地址时,会自动移去最右边的4位。你可以定义任何数据的段,想要访问特定的段,只需要改变适当段寄存器中的地址…
表达式求值 算数运算和赋值 算术运算又称四则运算,计算机中的四则运算和数学上的有些不同。 赋值 赋值运算类似于数学中的“等于”,是将一个内存空间中的数据传递到另一个内存空间中。该操作必须经过处理器访问并中转,以实现两个单元的数据传输。 在C++中,算数运算与其他传递计算结果的代码组合后才被视为一条有效的语句,因为只进行计算而没有传递结果的运算不会对程序结果产生任何影响,编译器将忽略该语句。如 6+4; int tmp = 0; 对应的汇编语句为 00401020 mov dword ptr [epb-4], 0 加…
