x64dbg

使用ScyllaHide插件时 注意一下事项 xdbg64设置里启动 附加必须第一次断下在 系统断点 然后再启用ScyllaHide. 停止调试 脱离时.必须关闭ScyllaHide 否则会报异常 xdbg64无法脱离时 暂停 运行 即可脱离

SystemDomain::ExecuteMainMethod处下断点,是一个非常折中的方案,不会过于深入clr内部,也不会随随便便被hook住运行到这里的时候主程序集已经被这些非托管壳还原到对应位置为什么这说,请看下图 这是主线程的调用堆栈(我在主线程里运行了消息泵,所以暂停住了)可以看到底端是不知名的地址,应该是TMD之类的壳生成的再向上看,有个clr._CorExeMain和clr._CorExeMainInternal,clr._CorExeMain是导出函数 有被hook的风险,所以在

在软件开发过程中,调试器可以说是一个得力助手,善用它你就可以快速定位bug并消灭之. 想想以前不会使用调试器功能的时候只靠输出数据来差错的方式,真是效率太低了. 如果你对调试器的运行原理好奇,学习开源软件是最好的途径.当然必备的入门书籍还是有必要的,如张银奎先生的<软件调试>一书就是本经典书籍. 言归正传,下面向大家推荐两款值得学习用的调试器.首先向大家推荐的是Nanomite,这是我在github上最早接触的一款开源调试器,支持x86/x64调试,可惜现在已经不更新了,但是基本功能都已经实现

MiniDebugger是我在最近设计的一款调试器.我通过这个小项目试图去探究一些功能的原理以及完成一些自认为有趣的功能,也算是一种自我锻炼. 项目地址: http://code.taobao.org/p/MiniDebuger/src/ 设计思考 做一个自己真正会去用的调试器.这个十分必要.如你所知,有非常多的优秀的调试器,伴随一名程序调试者.它们包括OD,WinDBG,X64DBG,以及IDA. 想要自己平时能用的上,在这方面我可是很挑剔的.就需要实现一些人无我有的小功能. 我比较喜欢Win

一.纯写64位汇编时局部变量处理和参数寄存器保存位置 纯写64位汇编和用VS2013写64位C代码生成的汇编会有一些格式上的区别,VS2013写64位C代码生成的汇编中是没用到栈基址寄存器rbp的,但是纯写汇编时只要申明了参数和使用了@LOCAL定义的局部变量,就会用到rbp.且看如下例子:1)用C写64位程序空函数生成的汇编代码, ;C代码 void FunTest2() { } ;汇编代码 000000013F753290 40 57 push rdi 000000013F753292 5F

1. 前言 之前一直在使用centbrowser,但是最近用它打开github和一些网站的时候,显示的网页不全,加上chrome稳定版发布了新的版本,便又投入了chrome怀抱.在安装了一些第三方扩展后,一直有停用插件的提示,而且还每次启动都有.找了网上的几个教程,发现大部分已经失效了,便自己想了个方法. 2. 解决方法 在网上搜了几种办法:组策略法,运行批处理法,直接改dll文件法. 组策略法我试了,没有用.运行批处理法貌似也失效了.直接改dll文件法有些麻烦,没去试了.需要下载个x64dbg

  分析报告   样本名 熊猫烧香 版本 原版 时间 2018-03-18 平台 Windows 7-32位   信息安全研究(病毒分析报告) 目录 1．样本概况... 2 1.1 样本信息... 2 1.2 测试环境及工具... 3 1.3 分析目标... 3 1.4 提取样本... 3 1.4.1查壳... 3 1.4.2 具体提取步骤... 3 1.4.3 提取样本... 4 2．具体行为分析... 5 2.1 主要行为... 5 2.2 分析情况总结:... 10 2.3 详细分析...

  病毒分析报告   样本名 WannaCrypt0r 版本 原版 时间 2018-05-08 平台 Windows 7-32位   目录 1．样本概况... 3 1.1 样本信息... 3 1.2 测试环境及工具... 3 1.3 分析目标... 3 1.4 样本行为分析... 3 1.4.1查壳... 3 1.4.2 原样本分析... 4 1.4.3 tasksche.exe分析... 6 1.4.3 crypt.dll分析... 12 2,感谢... 17   1．样本概况 1.1 样本信

人造指针&人造基址 为什么会出现人造指针 ? 1.基址偏移层数太多,很难找 2.有些游戏根本找不到基址 人造指针有什么优缺点? 1.人造指针就算游戏更新也无需去重复找基址 2.缺点是,需要注入代码,获取钩子 1.打开并附加游戏进程,老样子找到阳光的动态地址,这里我们不去找基址,而是人造一个基址 选择mov eax,[esi+00005560]这一行 显示反汇编程序,选择工具->自动汇编 选择模板->点击CT表框架代码 选择模板->代码注入->点击确定按钮 写入以下汇编代码,