JCTF2014 RE200下载后的文件PE头有问题，放入WinHex DOS头的最后一个参数应该是指向PE头的位移，所以应该是E8，而PE头的起始位应该是50 45 00 00 修改以后保存，放入OD中，搜素字符串： 可以看到有个success应该就是成功的跳转 IDA打开 Code可以发 ...

RE100这题越看越熟悉，原来做过，i春秋的那篇wp就是我写的hhh 链接 第三届上海市大学生网络安全大赛crackme RE500查壳无壳 IDA反编译运行发现，随意输入会弹出fail，此题应该是算法题，于是拖入IDA，shift+F12搜索字符串fail只有一个，于是跟进去发现这里就是主要 ...

对新版本的某游戏辅助带vmp制作山寨补丁还是上次那人写的辣鸡辅助，这次是最新版的，拿来看看上篇链接对某游戏辅助的网络验证破解 查壳 这次加了个vmp的壳，不过我们打补丁就行 抓包就不放图了，还是拿sniff抓，还是那人的号，上一篇提过 这次不采用二进制修改的方法，我们只需要用补丁将易游验证的号换成 ...

对某游戏辅助的网络验证破解吾爱破解上看到一个荒野行动辅助的破解，于是自己也试了一下 脱壳先查壳，Detect It Easy不知道为什么查壳是UPX，Exeinfo PE和PEID看区段是.esp，所以是ES protect壳使用WsUnPacker（通用脱壳机），直接脱进去就生成了一个dump文 ...

百度杯十一月赛题CrackMe01 1 用IDA打开，只有一个信息框，所以从弹窗下手 搜索message API 看到MessageBoxW双击进去，Ctrl+X查看调用，发现没有被调用，于是放过 弹窗有可能为窗口类，搜索window 找到ShowWindow 双击进入 自定义消息的位置 00 ...

百度杯十一月赛题CrackMe02 IDA查看导入函数，发现GetDlgaitemTextA只有一处调用 打开OD，在GetDlgItemTextA下断点F9输入后断下 接下来就真的不会了。。。留着以后做吧

第0章 恶意代码分析技术入门0x1 恶意代码分析目标 分析可疑的恶意代码： 确定该二进制程序可以做什么 如何在网络上检测出它 如何衡量并消除它所带来的危害 恶意代码分析可以用来编写基于主机和基于网络的检测验证码基于主机的特征码（感染迹象），用于在受感染的主机上检测出恶意代码恶意代码感染迹象关 ...

静态分析基础技术1x1 反病毒引擎扫描：实用的第一步 在分析一 个可疑的恶意代码样本时，第一 步就最好是拿多个反病毒软件扫描下这个文件，看是否有哪个引擎已经能够识别它。 反病毒软件主要依靠一 个已知恶意代码可识别片段的特征数据库（病毒文件特征库），以及基于行为与模式匹配的分析（启发式检测），来识 ...

第2章 在虚拟机中分析恶意代码2x1 虚拟机的结构 2x2 创建恶意代码分析机 配置VMware 断开网络 创建主机模式网络 使用多个虚拟机 2x3 使用恶意代码分析机 让恶意代码连接互联网 连接和断开外围设备 拍摄快照 从虚拟机传输文件 2x4 使用VMware 进行恶意代码分析的风险 ...

第3章 动态分析基础技术3x1 沙箱：简便但粗糙的方法沙箱是一种在安全环境里运行不信任程序的安全机制，不用担心伤害到 “真正的” 系统。沙箱包含一个虚拟环境，通过某种方式模拟网络服务，以确保被测试的软件或恶意代码能正常执行。 1. 使用恶意代码沙箱在计算机安全专业人士眼中， Norman沙箱、GFI ...