记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

反作弊游戏如何破解,看看《黑色沙漠》逆向分析过程:使用 IDAPython 和 FLIRT 签名恢复 IAT

《黑色沙漠》是PearlAbyss Corp开发的一款 MMOARPG 网络游戏,是款在电玩游戏中的动作和战斗的基础上添加大规模攻城战,不动产使用、交易和雇佣等模拟要素的MMORPG。于2013年10月17开启第一次测试。在这篇文章开始之前,你有必要先看一下如何使用Scylla和x64dbg转储黑色沙漠(BlackDesert64.exe)的过程。我们将在这篇文章中看到我为了简化静态逆向分析而转储过程时所做的一些事情。黑色沙漠二进制文件的开发者很早就预料到了,会有人对他们的游戏进行逆向分析,因此早已经使用了Themida进行了预防。Themida是一个强劲的保护系统, 专为了那些想保护自己的软件不被先进的逆向工程和黑客
发布时间:2019-11-27 13:25 | 阅读:59298 | 评论:0 | 标签:Web安全 逆向分析

利用逆向分析与模糊测试技术深入考察Windows图形库漏洞

引言对于Windows应用程序和组件的漏洞,攻击者通常都会垂涎三尺。其中,Recorded Future进行的一项研究表明,2018年漏洞利用率最高的10个漏洞中有8个是Microsoft Office的漏洞。是不是觉得难以置信?实际上这一点也不奇怪,举例来说,如果我们考察Microsoft Excel实例启动时所加载的模块,会发现竟然多达91个DLL——还是那句老话,系统越复杂,越容易出现安全漏洞。此外,notepad.exe或calc.exe出现要想正常运行,也需要大约30-40个DLL。Process Explorer:考察Microsoft Excel的相关模块 实际上,任何一个模块中出现安全漏洞,都
发布时间:2019-07-02 12:25 | 阅读:61490 | 评论:0 | 标签:漏洞 Windows图形库漏洞 模糊测试 逆向分析

实例讲解未知游戏文件格式的逆向分析方法(上)

前言当人们对未知文件格式进行逆向分析时,通常倾向于使用现成的提取器,但是,有时对于所讨论的格式并没有公共信息可用(例如,当开发公司使用自己特殊的格式来保护文件时),并且,文件格式可能存在巨大的差异,这时,我们就不得不自己动手进行逆向分析了。而本教程的目的,就是向读者展示逆向分析未知格式文件的基本步骤。先决条件为了顺利完成本文的任务,需要读者了解下列语言:· C++语言· x86汇编语言(Intel语法)对于本文涉及内容,我会尽力给出通俗的解释,但是,读者最好对上述语言有所了解。所需工具本文中将用到以下工具:· HexEdit(或其他十六进制编辑器)· OllyDBG(需要用到Stealth
发布时间:2019-05-05 12:25 | 阅读:74731 | 评论:0 | 标签:技术 逆向分析

逆向分析ISFB银行木马的第一阶段的加载程序(下)

(接上文)看一下该函数,arg_0(XOR密钥)用于Rotate Left指令。下图中,可以看到BL被移动到CL中,它增加1并用于将XOR密钥向左旋转1,这会产生用于解密BSS字符串的最终XOR密钥。一旦执行了这些计算,就会得出这个密钥:0x249d730c。虽然可以从调试程序获取字符串并将其复制到IDA示例,但我更喜欢使用Python复制自定义例程。简单地说,该算法混合使用了XOR和rotate right (ROR)指令来解密DWORD中的数据。首先,我要复制BSS部分中的数据。在十六进制编辑程序模式下查看它,选择整个部分(有数据的地方),然后点击编辑 – >导出数据。接下来,我需要解析这些数据,
发布时间:2019-03-28 12:20 | 阅读:74941 | 评论:0 | 标签:逆向破解 逆向分析

一种新型恶意软件混淆技术的逆向分析

常见的逆向工程工具往往都是针对基本假设而开发的,例如:二进制文件通常符合编译器生成的标准模式、指令不会跳转到其他指令、一些情况下符号是可用的等等。逆向工程师可能都知道,如果这些假设不符合实际,那么逆向的工作量将会大大增加。这将造成逆向工具出现问题,甚至完全不可用。本文主要讲述了这样的一个场景,并提出了一个效率较高的解决方案。我正在分析的二进制文件,特别是其中的一个函数,没有使用常见的恶意软件伪装技术,这种技术违反了关于函数大小的常规假设。并且,恶意软件的作者经常会以动态方式构建他们需要的数据(最常见的就是字符串),以便使用诸如“字符串”或十六进制编辑器之类的工具来模糊分析的数据。其实,恶意软件通常也会以某种方式对其字符
发布时间:2019-01-28 12:20 | 阅读:76335 | 评论:0 | 标签:逆向破解 逆向分析

看我如何逆向分析韩国常见的HWP恶意文件

前情提要 当今最受网络犯罪分子欢迎的交付恶意软件的方式之一是大量的传播带有恶意附件的钓鱼邮件。这些附件通常包括一些基于脚本的下载器(如WSF、JS或HTA),或者更普遍的是在微软Office文件中嵌入恶意的宏函数。 使用钓鱼邮件分发恶意软件常常会用到社会工程学的技巧,常见的攻击流程概述如下: 1)精心设计邮件内容,获得受害者对发送方和附件的信任; 2)诱使潜在的受害者打开文件; 3)使受害者启用宏函数,默认情况下是禁用的,但这一点对攻击能否顺利进行至关重要。 可以看出,在上边所描述的流程中,对攻击者而言存在一个问题:如果用户拒绝启用宏,攻击将停止。那怎么办? 为了解决这个问题,网络犯罪分子经常利用一些专门的漏洞(尤其喜欢利用文档漏洞),这样做就可以在不需要用户交互(除了打开附件)的情况下完成对受害目标的感染操
发布时间:2017-09-28 13:55 | 阅读:147456 | 评论:0 | 标签:逆向破解 HWP shellcode 文件漏洞利用 逆向分析 韩国

逆向分析——使用IDA动态调试WanaCrypt0r中的tasksche.exe

0x00 前言2017年5月12日全球爆发大规模蠕虫勒索软件WanaCrypt0r感染事件,各大厂商对该软件做了深入分析,但针对初学者的分析教程还比较少,复现过程需要解决的问题有很多,而且没有文章具体介绍勒索软件的实际运行流程,所以我写了这篇面向初学者的教程,希望帮助大家。0x01 简介本文将要介绍以下内容:样本实际运行流程IDA动态调试方法具体调试tasksche.exe的过程0x02 样本分析测试环境: Win 7 x86测试工具: IDA 6.8样本下载地址:http://bbs.pediy.com/thread-217586-1.htm经测试,该样本为WanaCrypt0r母体mssecsvc.exe释放出的敲诈者程序tasksche.exe因此不包含“Kill Switch”开关和MS17-010漏洞
发布时间:2017-05-19 12:50 | 阅读:248819 | 评论:0 | 标签:技术 IDA WanaCrypt0r 逆向分析

iSpySoft木马分析

阅读: 195iSpySoft木马样本文件使用 .Net语言编写,对其原始代码使用加密混淆器(ConfuserEx v0.6.0)进行了加密混淆,加大了逆向分析的难度。本文详细的对该木马样本进行了分析,可供相关安全从业人员学习使用。 ]1 加密混淆代码使用 windbg 尝试进行脱壳,第一步定位解密后加载到内存中的可执行模块,通过调试分析发现程序运行后内存中会加载 stub 模块;0:000> !CLRStackPDB symbol for mscorwks.dll not loadedOS Thread Id: 0xa68 (0)ESP EIP003ae488 773eb727 [HelperMethodFrame: 003ae488]003ae52c 6e4b8496 System.IO.Path.

如何使用Metabrik实现恶意软件分析的自动化

在这篇文章中我们会展示如何使用Metabrik来进行恶意软件分析的自动化,使你在对Windows系统建立了一个快照之后,就可以在虚拟机上运行恶意程序了。而在本文的例子中,这个快照只包含运行进程,但是你其实可以做更多的东西。下面,我将会对remote::wmi、remote::winexe和system::virtualbox Briks进行介绍。另外,我们也会介绍forensic::volatility Brik,这个工具能够帮你动态分析恶意软件并提取IOC。小知识:使用Metabrik Shell时,你可以使用<tab>键来补全Brik的名字和命令。环境搭建wmic和winexe需要你自己进行编译,幸运的是,Metabrik简化了这个过程你只需要运行命令即
发布时间:2016-01-21 14:15 | 阅读:111925 | 评论:0 | 标签:系统安全 恶意软件 逆向分析

对匿名社交应用Yik Yak的安卓APP逆向之旅

本文主要对安卓平台上的匿名社交媒体应用Yik Yak进行逆向分析,在分析的过程中发现该APP用到了代码混淆、字符串混淆、防签名篡改校验等技术,最后通过整个分析过程总结了APP分析的流程和方法。0×01 Yik Yak介绍每隔一段时间,我就会遇到一个实现了一些加固技术的APP,从而使逆向更加有趣。最近,当我尝试为Yik Yak代理API 请求时,就遇到了这种情况。其中,Yik Yak是一款流行的专用于移动平台的社交媒体应用,它允许半径为5英里(通常是大学校园)之内的半匿名用户之间进行交流。在执行self-MITM攻击时打开应用程序,能够有效地杀掉所有API通信,通常来说是SSL pinning的一个指标。0×02 混淆措施在反编译该APK文件且检查Java源代码后,很明显
发布时间:2015-12-28 16:05 | 阅读:131735 | 评论:0 | 标签:终端安全 Yik Yak 安卓应用 混淆 逆向分析

爱奇艺招聘移动端和桌面端安全工程师

爱奇艺(iQIYI.COM)网络视频播放平台是国内首家专注于提供免费、高清网络视频服务的大型视频网站。现招聘移动端和Windows桌面端安全工程师。 移动安全工程师 (Android Or IOS) 15K/M – 25K/M 工作地点 上海 or 北京 岗位职责 1. 负责APP(Android 或 IOS)安全需求的提出、安全设计、代码审计、安全测试,提高APP的安全性; 2. 协助开发人员进行客户端全方位的代码审计工作;并及时给出相应的修正措施; 3. 负责建设内部APP发布前安全检测认证平台 职位要求 1、具有相关工作经验2年以上,有较强的逆向工程能力,熟练掌握至少一种逆向工具和安全检测扫描 2. 熟悉APP(Android 或 IOS) 客户端的反编译、防动态调试、透明加密、防劫持、内存保护、进程监控
发布时间:2015-07-04 04:10 | 阅读:101227 | 评论:0 | 标签:招聘 IDA WINDBG 代码审计 反编译 漏洞挖掘经验 调试分析工具 逆向分析 防动态调试 移动

常见程序入口点(OEP)特征总结

delphi: 55 PUSH EBP8BEC MOV EBP,ESP83C4 F0 ADD ESP,-10B8 A86F4B00 MOV EAX,PE.004B6FA8vc++55 PUSH EBP8BEC MOV EBP,ESP83EC 44 SUB ESP,4456 PUSH ESIvc6.055 push ebp8BEC mov ebp,esp6A FF push -1vc7.06A 70 push 7068 50110001 push hh.01001150E8 1D020000 call hh.010017B033DB xor ebx,ebxvb:00401166 - FF25 6C104000 JMP DWORD PTR DS:[<&MSVBVM60.#100>] ; MSVB
发布时间:2013-03-23 20:15 | 阅读:189073 | 评论:0 | 标签:逆向分析

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云