-Qfrost-

Qfrost真是个fw(

无痕HOOK(硬断+VEH)

平常常用的三环Hook通常是InlineHook和虚Hook,这两种Hook方式均是通过修改内存来劫持控制流,InlineHook通过修改代码段上的代码而虚Hook通过修改虚表指针。因为均对内存做了修改(且往往Hook的位置都是敏感内存),很容易被诸如CRC之类的手段检测到。故学习了一下三环下的无痕HOOK,注意这里的无痕指的仅仅是不对代码段等内存产生修改,而不是不会被发现。 在x86架构下......

强网杯 2021 Re 部分题解

不愧是强网杯,题目质量确实很高。不像现在很多某某杯,要么是卷大量大量的网上抄的代码,要么是为了难而偏各种奇奇怪怪的新架构 ezmath 这题就离谱,纯数学题,直接见识了各位师傅带数学家的数学功底 刚开始想的是用爆破,但发现不管是patch原程序用程序本身爆还是动态插桩还是模拟执行都爆不出来。猜测程序本身的check逻辑就是有问题的。直接扣算法算发现因为精度问题到后面全部截断了。 发现程序在m......

IDAPython学习笔记与traceRe的初步实现

PS:鉴于IDA7.5已经全面普及,IDAPython也由原来的Python2变成了Python3,同时带来的是IDA API的全面更新,故重写本篇博客 作为逆向菜鸡,已经重度依赖地表最强工具 ———— IDA Pro了,“OD是不可能OD的,只有靠IDA Pro才能勉强维持下去的样子”(你看那迷人的笑容,有了它还要npy干什么 逃… IDA Pro当然是最强的静态分析工具,但是在动调调试......

腾讯游戏安全竞赛 2021 WriteUp

熬了两夜,用血换了个第四(存哥yyds 初赛 题目说明: 下载ctf1.exe (md5:63b2b6e27bc8e95cf81e5be8e5081265)。 运行ctf1.exe,依据程序提示,找到flag。 评分标准:满分10分 flag(5分),找到flag并正确提交。 文档(4分),详细描述解题过程,如涉及编写程序,必须提供源代码。 时间(1分),正确提交flag的顺序。......

DebugPort清零实现反调试

在0环对3环的反调试中,最常用的应该就是DebugPort清零。先介绍一下这个DebugPort是什么东西。当调试器附加一个进程时,会调用NtDebugActiveProcess附加进程,这个函数会调用DbgkpPostFakeProcessCreateMessages告诉调试器创建调试线程(DbgkpPostFakeThreadMessages)并加载调试所需模块(DbgkpPostFak......

驱动实现内存读写

在一些强对抗环境下,当我们试图在三环下用API去读取别的进程的内存往往会收到诸多限制,比如r3花式hook,r0句柄降权,改进程结构体等等等等,稍微有些保护就可以使得 ReadProcessMemory、WriteProcessMemory 这些API失效,因此需要设计驱动能在r0层读写内存。 这里我的驱动读直接就是KeStackAttachProcess切换内核到要读进程的上下文去把那块内......

数据结构课设——赫夫曼编码译码器

大家都太强太卷了,人均可视化套接字,逼的本菜鸡被迫也要来卷一下。 为了不落俗套又要为紧张的期末(睡觉)省时间,这次整了个双语言+QT+Socket 以下提供核心代码和调试细节 任务书 题目 赫夫曼编码译码器 内容简介 利用赫夫曼编码进行通信可以大大提高信道利用率,缩短信息传输时间,降低传输成本。这要求在发送端通过一个编码系统对待传输数据预先编码,在接收端将传来的数据进行译码(复原)。对于双......

CSGO辅助制作思路与VAC保护分析

这个月找了点资料,整了整CSGO的外挂。总体感觉CSGO官匹的保护还是很宽松的,这里记录一下设计思路与过程(这博客我竟然鸽了一个多月…老拖延症了 地址寻找 既然是实现辅助,那我们必然要对游戏中一些内存的值做读写,而实现读写的前提是我们知道它们在内存中的地址。所以做辅助前需要花大量的时间去寻找我们所需变量在内存中的地址。 寻找地址是一项极为枯燥繁琐的工作,大体思路是控制游戏的一些可变量,使其改......

极客大挑战 2020 Re Write up

极客大挑战真是超棒的新生赛,感谢四叶草 No RE no gain 下载并安装学习IDA 我真不会写驱动 别被hint唬到了,这玩意压根就不需要调试驱动。 IDA打开驱动文件,Shift+F12 字符串搜索,发现flag (就这就这? WhatsApk 了解apk结构 https://blog.csdn.net/Qiled/article/details/80984385 用ApkToo......

湖湘杯 2020 WriteUp

这次比赛,感觉题目质量很一般,反正湖湘杯,大家懂的都懂 WEB WEB1 题目名字不重要反正题挺简单的 ?file=phpinfo DASCTF{d98cdaf0e8436c07b0e291b2adb30469} WEB4 NewWebsite 随便试试发现一个报错注入 1http://47.111.104.169:57700/?r=content&cid=0%20||update......