首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

LyScript 内存扫描与查实现

LyScript 中提供了多种内存特征扫描函数,每一种扫描函数用法各不相同,在使用扫描函数时应首先搞清楚他们之间的差异,如下将分别详细介绍每一种内存扫描函数是如何灵活运用的,最后将实现一个简易版内存脚本...,可快速定位目标程序加了什么。...插件地址:https://github.com/lyshark/LyScript 先来了解第一个函数scan_memory_all()的特点,该函数用来扫描当前进程内EIP所指向位置处整个内存段中符合条件的特征...= False: print("找到内存: {}".format(hex(ref))) dbg.close() 扫描结果如下: 如上内存扫描方法如果可以搞明白,那么查这个功能就变得很简单了...,市面上的查软件PEID等基本都是采用特征码定位的方式,所以我们想要实现查以及检测编译器特征可以采用特征码扫描法,如下代码即可实现查功能。

54520
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    LyScript 内存扫描与查实现

    LyScript 中提供了多种内存特征扫描函数,每一种扫描函数用法各不相同,在使用扫描函数时应首先搞清楚他们之间的差异,如下将分别详细介绍每一种内存扫描函数是如何灵活运用的,最后将实现一个简易版内存脚本...,可快速定位目标程序加了什么。...插件地址:https://github.com/lyshark/LyScript先来了解第一个函数scan_memory_all()的特点,该函数用来扫描当前进程内EIP所指向位置处整个内存段中符合条件的特征...= False: print("找到内存: {}".format(hex(ref))) dbg.close()扫描结果如下:图片如上内存扫描方法如果可以搞明白,那么查这个功能就变得很简单了...,市面上的查软件PEID等基本都是采用特征码定位的方式,所以我们想要实现查以及检测编译器特征可以采用特征码扫描法,如下代码即可实现查功能。

    49620

    4.6 x64dbg 内存扫描与查实现

    LyScript 插件中默认提供了多种内存特征扫描函数,每一种扫描函数用法各不相同,在使用扫描函数时应首先搞清楚不同函数之间的差异,本章内容将分别详细介绍每一种内存扫描函数是如何灵活运用,并实现一种内存脚本...动态分析的实现原理通常包括以下几个步骤: 启动被分析程序,并在程序运行期间捕捉程序的行为; 跟踪程序的执行流程,并分析程序的内存、寄存器、堆栈等状态信息; 检查程序的内存中是否存在加相关的特征,如解密函数...本例中将采用scan_memory_all()函数对特定内存进行动态扫描,该函数用来扫描当前进程内EIP所指向位置处整个内存段中符合条件的特征,如果找到了则返回一个列表,如果没有找到则返回False,该函数与...例如在程序被载入后,其EIP指针默认会停留在ntdll.dll模块上,需要注意的是,函数scan_memory_one用于扫描并返回第一段符合条件的内存,函数scan_memory_all则用于扫描并输出当前所有符合条件的内存地址...指令集,当找到后会输出如下图所示的提示信息; 如上代码中的内存扫描方法如果能被读者理解,那么查这个功能就变得很简单了,市面上的查软件PEID等基本都是采用特征码定位的方式,所以我们想要实现查以及检测编译器特征可以采用特征码扫描法

    19420

    4.6 x64dbg 内存扫描与查实现

    LyScript 插件中默认提供了多种内存特征扫描函数,每一种扫描函数用法各不相同,在使用扫描函数时应首先搞清楚不同函数之间的差异,本章内容将分别详细介绍每一种内存扫描函数是如何灵活运用,并实现一种内存脚本...动态分析的实现原理通常包括以下几个步骤:启动被分析程序,并在程序运行期间捕捉程序的行为;跟踪程序的执行流程,并分析程序的内存、寄存器、堆栈等状态信息;检查程序的内存中是否存在加相关的特征,如解密函数、...本例中将采用scan_memory_all()函数对特定内存进行动态扫描,该函数用来扫描当前进程内EIP所指向位置处整个内存段中符合条件的特征,如果找到了则返回一个列表,如果没有找到则返回False,该函数与...例如在程序被载入后,其EIP指针默认会停留在ntdll.dll模块上,需要注意的是,函数scan_memory_one用于扫描并返回第一段符合条件的内存,函数scan_memory_all则用于扫描并输出当前所有符合条件的内存地址...指令集,当找到后会输出如下图所示的提示信息;图片如上代码中的内存扫描方法如果能被读者理解,那么查这个功能就变得很简单了,市面上的查软件PEID等基本都是采用特征码定位的方式,所以我们想要实现查以及检测编译器特征可以采用特征码扫描法

    32620

    Bash破漏洞(ShellShock)再变身:针对邮件服务器SMTP攻击

    Bash破漏洞(ShellShock,CVE-2014-6271)新的利用方法又来了!...根据互联网风暴中心( SANS InternetStorm Center )最新消息:破漏洞最新利用方法引发的新一轮攻击正在酝酿中,这一次,破漏洞形成的僵尸网络利用的是邮件服务器SMTP主机,目标是全球...那些已被破坏系统试图通过破漏洞传播僵尸网络,并在每个主要头字段使用“破”漏洞下载僵尸网络脚本。...自从九月初发现“破”起,弹震症漏洞已经针对目标,在不同类型的设备上重复利用了许多次。...蜜罐由专家AlienVault实验室检测到试图利用“破”漏洞的两个不同恶意软件样本,消息披露至此不超过48小时。

    1.1K50

    花生实现内网穿透 打造nas家用数据服务器及网站

    因此一个N合1的服务器就显得便捷的很多。...前言 说起家庭服务器,它不过就是一台24小时运行的电脑而已,我们淘汰的笔记本、淘汰的PC在需要的时候都可以成为一台家庭服务器(废物利用)。...由于家庭网络及智能家居的应用,一台24小时开机的服务器势在必行,在我的智能家居装修之路的系列文章中,许多值友希望能够了解我自己服务器的组建情况,因此便通过本文与各位值友分享下服务器搭建的经验。...(比如2G的ddr3笔记本内存、32G的SSD、19V的HP笔记本电源、赠送的垃圾散热器等)。...准备 本篇文章只讲解内网穿透 开始 先在花生官网 注册一个域名免费的 传送门 下载安装 花生软件 点击分配给你的域名 新增映射 内网主机就填写 你搭建nas的ip 端口就写你通过内网访问的那个ip+

    1.5K20

    脱壳第三讲,UPX压缩,以及补充知识

    首先可以看到,我们的PE文件 一个PE头,两个节数据,其中节和节之间还有对齐值.而上图是我们的一个正常映射到内存中的示意图. 4.压缩的思路 ?...PE  而我们运行PE的时候,这时候中的解压缩代码开始执行,从而把我们以前压缩数据的节重新映射到内存. 5.压缩方法1(PE的生成) ?...PE,则会获得大小.然后在其PE的下面申请怎么大小的节用来占位置即可....此时Shell(中文翻译为)代表的就是解压缩的代码 这个图是映射到内存中的PE分布图. 很简单,解压缩代码执行,然后解压的代码正好在我们占地方的位置....经过上面步骤开始脱壳   手工DMP内存(把内存拷贝下来)        然后修复PE (一般加密汇编PE中的导入表给抹掉) 首先ESP定律,在的第一讲已经讲解过了 这里我们说下怎么查看入口点,以及脱壳手法的

    2.7K90

    其实连Docker公司都把Docker用错啦

    因为一开始磁盘很贵,内存很贵,网络也很贵!是的,我们节省了硬件相关的东西,但是我们也为处理系统的各种链接库版本而付出了惨重的代价,浪费了程序员多少光年。...当你使用ps命令,你只能看到MySQL进程,而看不到包裹他的(容器)的影子。是的这里的主体依然是MySQL,而不是,我们有时候会因为这个漂亮的而出现买椟还珠的有趣事情。...既然Docker只是无侵入性的让现存的进程变成具有资源限制的进程,那么进程原来是什么样,就应该是什么样: 对于网络,Host 模式足够啦,高效而不带性能损失。...Image 不就是个文件么,提供一个标准的文件下载服务器存放image不就行了? 程序和镜像本身也不是耦合的。只是程序运行的时候顺带加上容器这个,从而实现资源的隔离。这种模式该是怎么样的呢?...比如,我部署tomcat服务,以前是要现在服务器上部署调试好tomcat,然后分发war包运行。

    36120

    微信小程序个人服务器搭建

    读者可以根据文中提到的各种关键词,查阅相关资料 方案包括 在Ubuntu上面使用flask建立web服务器 使用花生内网穿透 使用花生提供的备案信息的域名 使用腾讯云提供的免费https证书 微信小程序网络连接的注意事项...在Ubuntu上面使用flask建立web服务器 后台可以用java,php等。...在初期研发阶段,使用远程的服务器不仅需要一定的费用,而且各种配置也添加的工作量。...所以这里采用本地运行服务器程序,毕竟在本地操作要方便很多。 本地计算机一般只有内网ip,这里使用花生提供的内网穿透功能。具体原理是在本地运行一个后台程序,小程序和花生服务器相互通行。...详情见:https://hsk.oray.com/ 使用花生提供的备案信息的域名 微信小程序和服务端的通行只能通过微信提供的wx.request这个函数。

    8.7K20

    一个简单密码的病毒分析

    是否加: ? 从上图可以看出它并没有加。 基本静态分析、动态分析 1、使用 strings 查看程序的字符串 ?...分析有用的字符串,大致猜测该病毒的功能,此病毒有请求域名服务器、注册服务、修改字符串、调用 cmd 命令行执行程序等功能。 2、分析导入表 a:导入的 DLL ?...分析如果不带参数得情况,则执行 401000 函数,函数得功能是打开注册表,判断键 SOFTWARE\Microsoft \XPS 是否存在 Configuration, 没有返回 0,有返回 1 如果返回为...(后面分析) 如果参数则将最后一个参数当作参数传入函数 402510 中,在函数 402510 中首先判断长度是否为 4,然后在判断第一个字符是否为‘a’如图: ?...创建了一个自启动服务,启动程序是 %SYSTEMROOT%\system32\Lab09-01.exe(病毒将自己拷贝到了那个目录下) 下面分析程序得后门功能,后门是在不带参数运行恶意程序的时候,恶意程序判断注册表值

    1.1K10

    如何让树莓派接入外网并自定义域名

    http://cile.me github: https://github.com/sorcererxw/iloveworks 前言 520当天,本想给媳妇一个精喜,于是计划在云服务器上面部署一个...node项目,但是部署过程服务器直接宕机,无奈重启,查询云服务器状态,发现内存只剩下可伶的几十M?...毕竟穷, 2g内存 于是打起了刚入手没多久树莓派的主意,毕竟可是台可运行linux的小电脑. 要解决的问题 公网ip 有钱的办法就是打电话给电信工作人员给你专门拉一条公网线给你接上 这还叫办法?...花生 花生是我用过最久,比较稳定的一款,而且支持的平台很多.有兴趣的可以前往了解一下 https://hsk.oray.com/ 小蚂蚁 这款我在windows用过一次,免费试用5天,试用期带宽...3M,后续要花钱开通.也是全平台支持 https://www.xiaomy.net/ 安装花生 这里选择花生,主要也是因为是老牌,安全点.

    4.4K30

    脱壳第二讲,手动脱壳PECompact 2.x

    脱壳第二讲,手动脱壳PECompact 2.x PS: 此博客涉及到PE格式.所以观看此博客你要熟悉PE格式 首先,逆向inc2l这个工具,汇编中可能会用的 inc头文件转换为lib的工具 但是他有壳,先查....发现是这个 利用Esp定律,脱掉这个. 首先,inc2l.exe是32位的,所以要放到虚拟机中. 一丶OD打开分析 1.OD分析  ?...因为一般加密之后,如果跳转到入口点,那么它是一个远跳 此时看JMP的地址,和跳的位置就是一个远跳. 6.F7跟入JMP eax 此时如果F7跟进来了,那么就是下面的样子 ?...真正的入口点 8.使用OD插件,Dump内存,脱壳. 此时我们可以使用OD插件的dump内存的插件,在入口点位置脱壳了. ? 弹出界面: ? 点击脱壳,选择位置,存储你脱壳后的文件. ?...此时OD不要关闭. 9.使用导入表修复工具,修复脱壳后的IAT表 (关于IAT表请熟悉PE格式后看)  此时OD调试的进程不要关闭,也就是的inc2l程序,如果关闭了,那么重新进行上面几步,只需到定位到入口点即可

    1.8K50

    PE格式:手工实现各种脱壳后的修复

    图片而我们编写的PETOOLS工具并没有那么智能,他只能识别出文件中的导入表结构,也就是在没有装载入内存时的状态,很明显,此处识别的是外壳的导入表结构图片我们接着脱壳,使用内置的脱壳工具进行内存转储即可...图片正常我们脱壳后,程序输入表会保留原始的状态下的结构,如下。图片使用X64DBG对其进行FixDump修复后,其结构表现如下,看样子是完全重构了它的输入表结构。...图片upx,我们可以搜索popad命令来快速到达尾部的位置上,然后可看到如下,jmp语句则是跳转到解密后的地址处,由于没运行起来,这里是空的。...图片我们让单步运行一段距离,观察尾部的jmp所指向的地址处是否解码(不能让跑到这里,我们手动定位过来观察)发现解码后,直接找一处可能会重定位的地址。...图片跟随40127B ,然后在第一个四字节出右键,选择断点,内存写入断点,设置好以后,运行1-4次左右,就会停到重定位地址处,如下所示。图片我们来到程序OEP处,将内存转储,并修正镜像。

    88600

    PE格式:手工实现各种脱壳后的修复

    而我们编写的PETOOLS工具并没有那么智能,他只能识别出文件中的导入表结构,也就是在没有装载入内存时的状态,很明显,此处识别的是外壳的导入表结构 我们接着脱壳,使用内置的脱壳工具进行内存转储即可,如下所示...正常我们脱壳后,程序输入表会保留原始的状态下的结构,如下。 使用X64DBG对其进行FixDump修复后,其结构表现如下,看样子是完全重构了它的输入表结构。...upx,我们可以搜索popad命令来快速到达尾部的位置上,然后可看到如下,jmp语句则是跳转到解密后的地址处,由于没运行起来,这里是空的。...我们让单步运行一段距离,观察尾部的jmp所指向的地址处是否解码(不能让跑到这里,我们手动定位过来观察)发现解码后,直接找一处可能会重定位的地址。...跟随40127B ,然后在第一个四字节出右键,选择断点,内存写入断点,设置好以后,运行1-4次左右,就会停到重定位地址处,如下所示。 我们来到程序OEP处,将内存转储,并修正镜像。

    48110

    【Android 逆向】加技术简介 ( 动态加载 | 第一代加技术 - DEX 整体加固 | 第二代加技术 - 函数抽取 | 第三代加技术 - VMP Dex2C | 动态库加技术 )

    文章目录 一、动态加载 二、第一代加技术 ( DEX 整体加固 ) 三、第二代加技术 ( 函数抽取 ) 四、第三代加技术 ( Java 函数 -> Native 函数 ) 五、so 动态库加 一...( DEX 整体加固 ) ---- 第一代加技术 : DEX 字节码文件整体加密 使用自定义 DexClassLoader 加载 DEX 文件 第一代的特征 : 在内存中 , DEX 文件是整体的连续的内存块..., 如果找到了 DEX 文件的起始地址 , 可以很容易将整个 DEX 文件 dump 下来 ; DEX 脱壳加载方案 : 文件加载 : 通过监控文件访问记录 , 也可以找到 DEX 文件 ; 内存加载...: 内存中的 DEX 文件是完整的 , 也可以从内存中加载 DEX 文件 ; 保护粒度是 DEX 整体文件 ; 三、第二代加技术 ( 函数抽取 ) ---- 第二代加技术 对 DEX 文件整体进行了保护...文件中的关键类或方法是空的 ; 第二代的特征是 内存中的 DEX 数据不是连续的 ; DexHunter 工具 可以遍历内存中所有类信息 , 将 DEX 完整的拼接出来 , 得到一个完整的 DEX

    1.5K10
    领券