- 博客(93)
- 收藏
- 关注
RSS订阅原创 软件反调试(5)- 基于注册表实时调试器检测
安装 visual studio 默认会添加这里的配置项,当检测到用户机器配置了 vs 调试器,并不一定需要中止进程,大部分安装 vs 的用户也不一定需要反调试。但是可能会将该用户的行为进行重点监控,反调试的权重是肯定会比普通用户高的,对于注册表配置是 x64dbg 这种的,那么就可以直接中止进程并提示警告。在调试器中也可以进行设置,设置后将会覆写注册表这里的配置项,在程序发生异常时将会启动新设置的调试器来调试异常。当程序发生异常崩溃的时候,如果设置了系统的调试器,那么就会启动调试器来调试该异常。
2025-07-20 18:36:34
85
原创 clawcloud测评
最近准备入手一台海外的 vps,在网上了解了一下,一些人在推 claw cloud 的机器,总体评测还不错考虑到国内的延时,然后就入手了一台香港的 claw vps,使用官方的优惠码,2C4G 的机器年付花了 48 刀,人民币 346,汇率 7.22结果给踩坑里去了,延时实在是太高了,考虑退款的,还得扣 10% 的手续费,什么事都没干就抽 10%,先留着吧,后面再看怎么利用起来。
2025-07-19 10:29:25
390
原创 Securecrt丢失tab以及终端重新配色
有个博主对配色研究比较深,我参考了他的配色,直接将他的 200 种配色导入然后选择了其中一种生效即可 https://www.cnblogs.com/yizhangheka/p/18147608。以下是原博主的 200 种配色,这里存档以备后续需要,导入的时候,右键点击然后选择 New Button,添加一个按钮运行该 python 脚本进行配色方案导入。但是这时候 Session 的配色全部丢失了,对比了下新生成的 Global.ini 和备份的 Global.ini,差别太大了,只能重新进行配色。
2025-07-12 19:36:36
184
原创 基于hugo的静态博客站点部署
之前写的一些文章,基于 halo 搭建了一个个人站点,运行也有半年多了,大概就长下面这个样子我没有专门研究怎么配置它的 theme,不过我看有些人整得挺拉风的,最近在考虑迁移到 hugo, 以后记录就使用静态站点了至于迁移到原因,主要有以下几个点吧1、服务器要花钱,halo 服务是部署在阿里云的,之前 99 一年买的小鸡,现在已经没优惠了,续费的话费用至少得大几百2、halo 基于 java 开发的,内存占用实在有点高,再加一个 mysql,内存就没有了,因为请求量也不多,cpu 倒是没什么占用。
2025-07-12 13:55:39
723
原创 软件反调试(4)- 基于IsDebuggerPresent的检测
关于 peb 地址是固定的 gs:[60],其中 gs 是 TEB 的段寄存器,gs:[0x60] 是 TEB + 0x60 偏移处的值,是当前线程所属进程的 PEB 的地址。这里的绕过方式有两种,一个是在 call 之后 test 前修改 eax 的值为 0,但是这个只对当前的一次 call 调用生效。PEB 结构是进程环境块,是 Windows 内核中一个核心的内部数据结构,包含了进程的大量信息,在。就是函数的第二个参数 pbDebuggerPresent,ebx = 0 或 1(是否检测到调试器)
2025-07-04 17:58:34
1157
原创 B站图片资源无法加载
配置 host 时每个域名对应的 ip 地址,可以在站长之家中查看,如:https://ping.chinaz.com/s1.hdslb.com。访问 B 站出现大面积失败的情况,很多的 hdslb.com 资源显示连接超时,了解到这里 https://v2ex.com/t/666462。查看本地 dns 的配置,两个配置分别为 8.8.8.8 和 1.1.1.1,跟踪路由发现也是正常的。域名解析涉及到的有以下几个,如果还有其他失败的域名也得继续替换,直到全部正常为止。
2025-07-04 10:52:38
155
原创 软件反调试(3)- 基于父进程的检测
该检查方式只能进行有限检查,如果进程是通过附加的方式来进行调试的话,那么父进程的检查方式就会失效。如果进程是正常运行起来的,那么其父进程应该是 explorer.exe,否则可能处于被调试状态。基于该方式的逆向,只需要在程序运行起来后,再使用调试工具对其附加调试即可。可以查看进程的父进程是哪一个,
2025-07-02 19:49:20
272
原创 软件反调试(2)- 基于窗口列表的检测
在打开 x64dbg 的情况下,通过 CheckDebugWindowByEnum 函数,编译并运行 anti02.exe 程序,终端显示输出如下的信息。每个进程的主窗口通常都是顶级窗口,一个进程通常会有一个到多个顶级窗口,可以通过遍历顶级窗口搜索目标进程。打开 Spy++ 程序,并打开其搜索窗口,左键按下窗口上的圆饼,并将光标拖动到应用的窗口上。VS 提供了 Spy++ 可以查看窗口的信息,通过工具下的菜单可以打开 Spy++ 程序。这时候,搜索窗口上就会显示要查看窗口的信息,如这里显示窗口标题为。
2025-07-02 19:19:37
336
原创 软件反调试(1)- 基于进程列表的检测
为了尽量接近实现上,这里将修改编译模式为 release,然后运行 anti01.exe,并启动 x64dbg 附件到 anti01 进程上。在工程的 main.cpp 文件中增加以下代码,通过 windows 的 TlHelp32 库来遍历进程,检查是否有目标进程在运行。一般情况下,是不会这么顺利达成的,比如反调试一般还会有动态内存、内存保护、文件完整性保护等其他额外的手段,就会导致无法修改。在打开了调试器的情况下,在任务管理器中可以看到调试器的进程信息,通过枚举列表来进行检查当前是否打开了调试器。
2025-06-28 10:55:08
326
原创 跨平台开发flutter初体验
flutter 是 google 出品的开源的跨平台解决方案,支持主流的桌面软件以及移动端软件开发,实现一套代码无痛构建迁移支持 win、mac、linux 桌面端以及 android、ios 移动端,使用 dark 语言进行开发社区非常活跃,截止目前为止,commit 超过 8.4w 多次,star 超过 17w,最后一次 commit 是 3 小时前凭借 google 强大的实力支持,flutter 无疑是跨平台开发的首选。
2025-06-22 16:42:54
455
原创 wireshark过滤显示rtmp协议
查看选项中的配置,已经没有 RTMP 这个协议了,已经被 RTMPT 替换了,过滤框中输入 rtmpt 过滤即可。wireshark中抓包显示的数据报文中,明明可以看到有 rtmp 协议的报文,但是过滤的时候却显示一条都没有。
2025-06-20 11:02:42
265
原创 Java log的模块发展
commons-logging 一个 logger 外壳,默认会挂接 log4j 日志库实现,找不到的话使用 JDK logging。因为对 commons-logging 不满意,催生了 slf4j 接口。slf4j 事实上是 logger 的标准实现,只是一个外壳。因为对 log4j 不满意,催生了 logback 实现。logback 需要一个配置文件 logback.xml。log4j 需要一个配置文件 log4j2.xml。log4j 只有一个jar核心包。log4j2 有两个jar核心包。
2025-06-20 09:03:01
128
原创 去除前端js的反调试
在空白页面的情况下,先打开开发者工具,然后再重新请求该 url 地址,发现页面刷新后很快又跳转到了 about:blank 空白页。chrome 访问一个 web 页面,按 F12 打开开发者工具的时候没反应,尝试从菜单中进行打开开发者工具,在网络页面可以看到,加载了一个 disable-devtool.js 文件,很显然该文件阻止了打开开发者工具。屏蔽之后,再重新发起 url 请求,可以看到该记录变成了红色表示未加载该文件,这时候页面也可以正常显示了。
2025-06-16 19:03:56
238
原创 多版本IDA分别使用不同的python版本
于是在每个 IDA 的安装目录下增加一个 start.bat 脚本,通过脚本来启动 IDA,脚本中的 python 以实际版本为准。这个配置值是每个版本 IDA 都要读取的,也就是说不同版本的 IDA 都使用这个值进行来确定 python 解释器。机器上安装了多个版本的 IDA 工具,不同的 IDA 使用不同的版本的 python 解释器。这样在启动 IDA 后,检查每个 IDA 中的 python 解释器都是自己目录下的。启动前更新一下注册表值为当前路径下的 python 解释器。
2025-06-12 10:50:50
717
原创 基于IDA的bindiff使用
需要逆向的二进制使用静态链接的方式打包了 cryptopp 库,需要还原 cryptopp 的符号,但是不知道具体版本号这里使用 bindiff 从已发布的 cryptopp 库中恢复函数符号。
2025-06-07 17:33:04
893
原创 非对称加密rsa算法的理解
exponent1 和 exponent2 是指数 1 和指数 2 ,用于加速计算的值,分别是 d mod (p-1) 和 d mod (q-1)modulus 是模数,也就是前面的 n,和公钥的输出是一致的,publicExponent 也就是 e 为一个常数 65537。privateExponent 私钥指数,也就是前面说的 d,prime1 和 prime2 表示素数 1 和素数 2。公钥内容如下,Exponent 也就是 rsa 算法中的 e,Modulus 就是 n,为两个大质数相乘的结果。
2025-06-07 14:03:35
376
原创 基于vm加密的php逆向分析
对于 php 主流的加密方式有两种:1、基于扩展的2、本地加密,不涉及扩展一些在 php 端通过 zend_compile_file 等函数就可以直接 dump 出原代码的,称之为加密实在是抬举了之前有写过一篇直接 dump 出源码的分析 https://blog.qc7.org/archives/php-decode基于本人有限的了解,私以为 z5 和 swoole 等类似的才能称得上加密,这里的分析仅限于技术交流。
2025-05-08 14:51:25
1392
原创 在bitwarden插件保存登录的问题
这里还需要将自签的证书安装到 win 本地,也就是 server.crt 文件,双击该文件(或者右键选择安装证书),在弹出的窗口中点击 “安装证书”在 chrome 浏览器的插件中,也是可以正常使用的,但是当需要新增登录项的时候就出现问题了,保存的时候提示错误如下。这里在本地使用容器的方式进行部署,部署也不复杂,基于自签证书的方式进行访问,web 访问的时候会提示“连接不安全”web 页面是可以正常新增的,不过使用上会比较麻烦,远没有插件使用来的方便,这里需要对自签证书进行添加信任。
2025-04-30 14:06:03
508
原创 程序加壳脱壳原理和实现
这个文件就是 hello 程序的内容,只不过转为了数组,将该数组文件 include 到 shell.c 代码中,shell.c 代码如下。为便于理解,以下仅描述主要的逻辑,以 windows 为例,运行加壳程序,将待加壳程序的二进制内容读入到内存块。一个可运行的执行文件,至少会有一个代码段,程序的入口点指向代码段,程序运行的时候,从入口点开始执行代码段指令。发布的程序在启动的时候,会先运行脱壳代码段指令,将原代码段解密释放出来,并通过内存映射到一个新的代码段中。
2025-04-11 16:56:24
595
原创 ubuntu不生成core文件的处理
ubuntu 默认启用了 apport,它会拦截崩溃信息并生成错误报告,而不是直接生成 core 文件。文件 ,增加以下两个配置, core_uses_pid 表示 core 文件名是否使用 pid。这个设置只在当前会话有效,添加到 ~/.bashrc 中,重开终端生效。查看是否设置,没有设置的使用下面命令设置。禁止生成错误报告,修改。
2025-04-11 14:25:30
317
原创 基于php扩展加密的一个简单逆向
这里是对 php 扩展加密的一个入门学习,参考了原作者的开源实现 https://github.com/lihancong/tonyenc该项目仅仅几百行代码,实现了 php 扩展加密的基本逻辑,通过该模块可以快速熟悉 php 基于扩展加密的整个处理流程。
2025-04-09 12:03:08
1907
原创 基于php-parser的php代码反混淆
php-parser 是一个使用 PHP 编写的开源项目,它的作用是把 PHP 代码解析成 AST(抽象语法树)可以基于 php-parser 做静态分析、代码转换、代码格式化、Linter、甚至写一个 PHP 解释器都行这个库也是学习编译原理、分析 PHP 代码结构的神器,作者是 PHP 社区大佬 nikic,也是 PHP 编译器的核心开发者PHP-Parser 项目的开源地址 https://github.com/nikic/PHP-Parser。
2025-04-07 18:58:23
797
原创 一个简单的php加密的理解
原帖子 https://www.52pojie.cn/thread-1991616-1-1.html一段简单的 php 代码加密,大佬使用了一段 python 代码给解密出来了,但是我没太理解整个逻辑于是在本地跑了一遍,尝试理解整个解密流程,这里记录下整个学习过程。
2025-04-07 16:08:36
440
原创 picgo的vscode插件支持easyimage图床
picgo 官方提供的 vscode 插件,默认不支持自定义图床 easyimage,这里进行适配以便支持。
2025-03-31 13:31:54
668
原创 wordpress的cookie理解
其中 HMAC(Hash-based Message Authentication Code)是基于哈希的消息认证码,用于确保 Cookie 没有被篡改。AUTH_KEY 和 SECURE_AUTH_KEY:在 wp-config.php 中定义的安全密钥。WordPress 计算应得的 HMAC 并与 Cookie 里的值比对,确保 Cookie 未被篡改。是百度统计相关的(百度使用的),精简后有效的 cookie 内容为。session_key:会话密钥,也就是上面的。Date + 14天。
2025-03-29 10:09:33
984
原创 ubuntu部署ssl证书
在进行证书安装前,需要将域名的 DNS 指定到你的 ubuntu 服务器节点上,ubuntu 安装 Let’s Encrypt 证书步骤如下。如果不填写邮箱的话,可以指定 certbot 参数 --register-unsafely-without-email,生成证书的输出如下。Let’s Encrypt 证书的有效期为 90 天,需要定期续订避免过期,Certbot 会自动设置一个系统定时器,以自动续订证书。运行 certbot 命令进行证书安装。可以使用以下命令来测试证书续订。
2025-03-15 10:57:36
498
原创 wireguard搭配udp2raw部署内网
上一篇写了使用 wireguard 可以非常轻松的进行组网部署,但是如果服务器厂商屏蔽了 udp 端口,那就没法了针对 udp 被服务器厂商屏蔽的情况,需要使用一款 udp2raw 或 socat 类似的工具,来将 udp 打包成 tcp 进行通信这里以 udp2raw 进行部署,版本下载地址 https://github.com/wangyu-/udp2raw/releases部署的时候本地 win10 以及 ubuntu 都需要部署 udp2raw,整体业务流程如下。
2025-03-11 18:07:35
1275
原创 通过wireguard进行组网
服务器 ubuntu 节点在公网,希望和本地 win10 节点组成局域网,需要部署 OpenVPN 或 WireGuard 同类的服务进行组网作为开源产品,OpenVPN 历史悠久,代码量庞大,功能也更为复杂,比较适合企业进行部署WireGuard 相对更为轻量,比较适合个人开发者进行部署,以及在服务器资源有限的环境进行部署。
2025-03-10 13:06:32
736
原创 syncthing多节点文件同步
这里的 “文件夹ID” 很重要,源和目的的这个 ID 值要一致才可以进行文件同步,将 “文件夹ID” 拷贝下来,一会配置目的的时候填上。如果这里不能识别出来,可以通过 ID 方式进行添加,在另一台设备的 web 页面上,点击 “操作” -> “显示ID”也可以进行手动添加,点击 “添加文件夹” ,指定的 “文件夹ID” 和前面的一致,以及本地的文件夹路径。在设备连接之后,就可以进行文件同步了,在源节点上添加要同步的文件夹。在页面上,点击 “添加远程设备”,在弹出来的窗口中进行设备添加。
2025-03-08 16:00:17
562
原创 vscode+phpstudy+xdebug调试php代码
php 调试支持单文件调试以及 web 的方式调试,单文件调试不需要 phpstudy,phpstudy 是作为 web 调试时的容器。回到 vscode 工程中,点击左侧的调试按钮,然后点击 “创建 lauch.json 文件”,在下拉的语言栏中选择 php。需要新建一个 web 服务,并且保持版本一致,修改的是哪个版本的 php.ini ,web 服务中就配置哪个版本的 php。打开 vscode 中的配置中心,搜索 php ,配置 PHP 和 PHP Debug 这两项。
2025-02-28 19:50:25
704
原创 python在302重定向后的cookie发送
在发起请求的时候,是设置了 cookie 的,第一个请求携带了 cookie,但是 302 跳转后的请求却没有携带 cookie,导致 500 失败了。修改为禁止重定向,并手动发起重定向后的请求,参考代码如下,修改后就可以在重定向后的请求中携带 cookie 了。使用 python 的 requests.get 发起请求的时候,中间请求进行了 302 跳转。第一次发起的请求携带了 cookie,可以正常响应 302,并返回了 Location 地址。,在 mitmproxy 中也是可以查看报文的。
2025-02-27 09:31:20
363
原创 本地通过隧道连接服务器的mysql
服务器上部署了 mysql,本地希望能访问该 mysql,但是又不希望 mysql 直接暴露在公网上那么可以通过隧道连接 ssh 端口的方式进行连接从外网看,服务器只开放了一个 ssh 端口,并没有开放 3306 监听端口。
2025-02-15 18:33:18
672
原创 git开发流程以及github社区企业版
在开始从 master checkout 出来 dev 分支的时间,到 dev 通过 QA 验收待发布期间,master 分支可能已经多次 merge 了其他同事的开发分支。2、在 master 最新分支的基础上 checkout 一个开发分支,分支命名要求规范,如带用户名、日期、bug id 等关键信息。6、在已经 merge 了最新代码的 dev 分支下,编译版本,安排灰度上线,观察线上业务是否正常(不正常需要回退线上版本)7、发布完毕,告知 leader 将 dev 开发分支合并入 master。
2025-02-15 10:31:54
525
原创 beyond compare通过sftp远程对比文件
在 beyond compare 的 “工具” -> “配置档” 中,添加 sftp 的配置(复用 ssh 的端口,不用开启新的 ftp 端口)经过了解,问题就出在私钥的格式上,windows下的私钥是通过 cygwin 下的 ssh-keygen 命令生成的。本地环境生成的公私钥,将公钥配置到 ubuntu 中,经过测试,本地可以通过 ssh 免密连接到 ubuntu。生成的私钥格式是基于 OpenSSH 格式的,而 beyond compare 要求的应该是传统 PEM 格式。
2025-02-14 20:20:27
978
原创 halo发布文章的插件问题分析
在准备发文到 halo 系统的时候提示错误如下,全是乱码尝试将 halo 插件卸载后,再将插件目录下的文件全部删除插件目录在然后再重新安装插件,在进行初始化的时候依然还是报错。
2025-02-14 20:02:46
255
原创 ubuntu服务器部署
修改之后,还有一个地方需要修改,通过 help 可以看到,php-fpm 默认是不支持 root 启动的,需要以 R 参数启动。安装 mysql,默认会安装 8.0 版本的,client 也一起安装上,安装后 mysql 服务也会自启动。安装 php 服务的指定版本,php 对应的组件建议也安装下,特别是 php7.4-fpm 这个。想要简单的可以通过宝塔安装,但是宝塔的配置看起来十分混乱,所以还是自己安装更清晰一点。删除规则的时候建议倒序删,因为删中间的记录,会导致后面的记录序号前移。
2025-02-14 12:49:28
1457
原创 V免签在小米手机中开启通知读取权限
点击 “允许受限制的设置” 后,弹出一个高危窗口,等待10s钟后,勾选知晓并点击确定。下面的 “更多” 表示读取通知栏消息,这里的通知栏包含所有的应用,属于高危动作。点击应用后,进入权限设置页面,在这里可以看到按钮是置灰状态的不可操作的。在安装了 v 免签后,运行的时候会进行权限的申请,弹出一个设置窗口。这里是最关键的地方,以前是在右上角有几个点的,现在被隐藏到这里来了。回到前面的窗口,点击应用图标的位置,进入授权设置的页面。点击该置灰的按钮,弹出提示表示 “受限制的设置”
2025-02-13 09:42:18
330
原创 安卓开发中的版本号理解
基于 SDK 31、32 开发的应用,可以在安卓 12 及以上的手机上运行,但是不能在低于 12 的手机上运行。1、安卓的版本号,也就是底层内核的版本号,这个 android 内核是 google 提供的。开发安卓应用,都是基于 sdk 的基础上进行开发的,这个 sdk 也是 google 提供的。可以想象,这些共存的版本号是非常混乱的,如果说要开发者去适配是一件非常非常麻烦的事情。那么,开发好的应用到底能在哪些安卓手机上正常运行呢?2、操作系统的版本号,这是厂商定义的,这里是小米的 MIUI 版本号。
2025-02-12 17:41:09
546
原创 vmq开源支付系统部署
vmq 是一套开源版的支付系统,可以进行免签支付,并提供了客户端以及服务端的部署版本官方发布有 java 和 php 的服务端版本,这里以 java 的版本作为服务端,官方地址。
2025-02-11 19:30:30
1193
windows平台mysql版本安装包 mysql-installer-community
2025-03-14
zTasker_1.99.8.zip
2025-02-24
夸克云盘QuarkCloudDrive_v3.13.0安装包
2025-02-24
AI大模型工具 LM-Studio-0.3.10-6-x64 安装包
2025-02-24
短信转发器 SmsF-3.3.2.240815-300053-arm64-v8a-release
2025-02-13
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人