这一次hook小实验的目标是hook出某社交软件中的实时聊天内容，主要目的是了解hook的原理以及在hook之前对程序的分析流程及其他准备工作，从而对于hook有个完整的认识。 准备工具 OllyDbg调试器：用于单步跟踪，动态调试等。 IDA pro调试器：用于静态分析函数代码结构等。 Mir ...

之前介绍了，段描述符是用来填充段寄存器余下位置的，然而段寄存器余下位置有80位，而段描述符仅有64位，那到底是如何填充的呢？这篇就从这个问题开始，逐步探究段描述符的属性。首先，回顾一下段描述符的结构： P位P位，位于段描述符高4字节的第15位，是判断描述符是否有效的位置。 P = 1：该描 ...

在探究段寄存器属性时，注意到，段寄存器在读的时候，只读了16位，但是写的时候会写入96位。那么，段寄存器是如何做到写入96位的呢？今天就要研究两个新的概念：段描述符与段选择子 基础知识Windbg指令Windbg是在调试Windows系统内核时常用的一个调试器，之后也会多次用到；通过Windbg可以 ...

看到crownless一篇关于Tor原理解析的文章，涉及到了加密传输的部分，以前没仔细理解，现在用通俗的语言记录下来。 基础概要对称加密所谓对称加密，就是通信双方，在发送和接收数据时，使用同一个密钥key对数据进行加密与解密。发送方和接收方必须在数据传送前商定好秘钥。 优点：加密速度快、效率高。 ...

被忽视的dsCode1mov dword ptr ds:[0x003f048], eax 在进行ring3逆向时，海哥让我们不去管ds寄存器的作用，只需要理解，这条语句的作用是将eax的值，写入0x003f048这个地址处即可；但是到了保护模式，这种说法就不再准确了，接下来一步步探寻ds的本质 段 ...

保护模式从80386开始，CPU有三种工作方式：实模式，保护模式和虚拟8086模式。在计算机刚启动时CPU处于实模式，然后通过切换机制再进入保护模式，所以现在的操作系统，都是运行在保护模式上。 为何要引入保护模式？在80286以前，CPU只有实模式，在这个模式下，所有的段都是可读，可写，可执行的；此 ...

前言4月底的时候，写了一些shell脚本，实现了某个项目功能的自动化，虽然shell基本算是过时了，但在一些场景，它可能比Python用起来更方便。由于对shell不算很熟悉，因此在编写脚本时查询了些许资料。 现在，想将这些知识点总结下来，我选择的方式是从代码中学习，虽然读别人的代码会比较头疼，但这 ...

基础破解 首先发现，VIP功能需要登录。由于内网无法联网，所以先在外网做这个实验 随意输入一个账号并登录，提示账号不存在 进入OD搜索中文字符串，其当前被引用地址为0x79525C 在IDA中根据OD中载入的基址进行Rebase，定位到该地址，从而确定该函数 确定函数后，观察函数的逻 ...

分析环境 操作系统：Win10 20H2 分析工具：IDA 7.7 注意事项实际分析时函数名以及变量可能与我的不同，由于IDA对未导出的函数是通过偏移地址进行命名，故可以通过Rebase的方式来实现函数名同步，方法如下所示： Edit -> Segments -> Rebase program ...

环境搭建下载安装包根据不同发行版Linux，从官方下载地址下载合适的安装包 安装顺序bash1234rpm -ivh clickhouse-common-static-20.3.11.97-1.el7.x86_64.rpmrpm -ivh clickhouse-server-common-20.3. ...