爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

AFL二三事——源码分析（下篇）

# AFL源码深度解析与教学指南 ## 一、AFL核心架构概述 AFL (American Fuzzy Lop) 是一款革命性的模糊测试工具，其核心源码位于 `afl-fuzz.c` 文件中，代码量约8000行。该文件按功能可分为三大模块： 1. **初始配置模块**：负责fuzz环境配置 2. **fuzz执行模块**：主循环控制流程 3. **变异策略模块**：测试用例变异机制 ## 二、初始配置模块详解 ### 2.1 环境参数解析 ```c while ((opt = get

2025-08-24 02:12:18

调试与反调试的探究

# 调试与反调试技术深入探究 ## 前言在免杀技术研究中，沙箱检测与反调试是至关重要的环节。沙箱是一种安全环境，能够模拟软件执行所需的环境（如虚拟机环境），通过hook技术跳转到自身函数进行行为分析。为了有效对抗杀软检测，必须掌握反调试技术。 ## 反虚拟机调试技术 ### 1. 基于文件路径检测虚拟机环境通常有特定的安装路径，例如VMware默认安装在： ``` C:\Program Files\VMware ``` 使用`PathIsDirectoryA` API检测路径是否

2025-08-24 02:11:04

Ghidra-Processor创建教程——从汇编代码到伪代码

# Ghidra Processor创建教程：从汇编代码到伪代码 ## 前言本教程是Ghidra Processor创建系列的第二部分，重点讲解如何将汇编代码翻译为伪代码（P-code）。在第一部分中，我们已经学习了如何将二进制代码转换为汇编代码，现在我们将在此基础上增加语义解析功能。 ## P-code简介 Ghidra P-code是专为逆向工程设计的寄存器传输语言，能够对许多不同的处理器进行建模。在创建Ghidra Processor时，将二进制翻译为指令后，下一步就是生成伪代码

2025-08-24 02:09:57

Window向之权限维持三小技

# Windows权限维持三大技巧详解 ## 0x00 前言本文详细讲解Windows系统中三种实用的权限维持技术：文件自删除、互斥体应用和重启上线机制。这些技术在渗透测试和红队行动中具有重要价值，能够帮助攻击者更隐蔽地维持系统访问权限。 ## 0x01 文件自删除技术文件自删除分为两种实现方式： ### 1.1 运行结束后自删除 **实现原理**： - 创建挂起的cmd进程 - 设置删除自身文件的命令 - 调整进程优先级确保删除命令在程序退出后执行 - 唤醒挂起的cmd进程执行

2025-08-24 02:07:33

x32 PEB: 获取Kernel32基地址的原理及实现

# 获取Kernel32基地址的原理及实现 ## 0x00 前言在Windows程序开发和安全研究中，获取自身加载的DLL基地址是一个重要技术。这项技术广泛应用于ShellCode编写，用于定位动态API地址。本文将详细介绍两种主要方法：暴力搜索和基于PEB的搜索。 ## 0x01 暴力搜索方法暴力搜索方法虽然简单但存在诸多缺陷，主要包括三种实现方式： ### 方法一：固定地址范围搜索 1. 在32位系统中，kernel32.dll通常加载在0x70000000-0x800000

2025-08-24 02:05:54

shellcode编写之动态定位API

# Shellcode编写之动态定位API技术详解 ## 背景与原理在传统的Shellcode编写中，开发者通常采用硬编码地址的方式来调用API函数，这种方法存在两个主要问题： 1. **操作系统版本差异**：不同Windows版本中，系统DLL的加载基址可能不同 2. **ASLR(地址空间布局随机化)**：现代操作系统会随机化模块加载地址以增强安全性因此，我们需要一种动态定位API地址的技术。本文介绍的技术基于以下关键信息： - 所有Win32程序都会加载`ntdll.dll`

2025-08-24 02:04:47

基于eBPF的SSH后门

# 基于eBPF的SSH后门技术详解 ## 1. eBPF技术概述 eBPF(Extended Berkeley Packet Filter)是一种无需加载内核模块即可在内核空间运行用户空间程序的技术。相比传统BPF，eBPF具有以下优势： - 支持更多寄存器（从2个扩展到10个） - 64位处理器优化 - 多处理器支持 - 通过JIT编译器提高执行性能 - 更安全稳定（相比内核模块） eBPF主要应用领域： - 跟踪分析 - 动态插桩 - 系统调用hook - 调试 - 数据包处理/过

2025-08-24 02:03:18

GDI对象利用

# GDI对象利用技术详解 ## 0x00 前言 GDI(图形设备接口)对象是Windows系统中用于图形处理的重要组件，其中Bitmap(位图)和Palette(调色板)对象由于在内核中的特殊结构，可以被利用来实现内核空间的任意地址读写。本文将详细解析这些技术原理和利用方法。 ## 0x01 Bitmap对象利用 ### 1.1 基础概念 **位图显示原理**： - 显示器由像素点构成，采用扫描方法显示 - 位图采用位映象方法显示和存储，是一个二维像素矩阵 - 每个像素点通过RGB值

2025-08-24 02:02:33

CTF_pwn_堆入门知识及例题分析

# 堆漏洞利用全面指南 ## 1. 堆基础知识 ### 1.1 堆概述堆是一种线性分布的数据结构，与栈不同，堆由低地址向高地址伸展。堆位于bss段的高地址处，提供动态内存分配功能。Linux标准发行版使用glibc中的ptmalloc2作为堆分配器，通过malloc/free函数管理内存。 #### 1.1.1 堆数据结构与操作 - **malloc流程**： - `malloc` → `__libc_malloc` → `_int_malloc` - 首先检查`__mall

2025-08-24 02:00:51

CVE-2019-8518漏洞分析

# CVE-2019-8518漏洞分析教学文档 ## 漏洞概述 CVE-2019-8518是WebKit JavaScriptCore引擎中的一个漏洞，涉及FTL JIT编译器中的循环不变代码外提(LICM)优化错误。该漏洞允许攻击者通过精心构造的JavaScript代码实现越界内存访问(OOB)，可能导致任意代码执行。 ## 前置知识 ### LICM (Loop-Invariant Code Motion) 循环不变代码外提是一种编译器优化技术，它将循环中不随迭代变化的代码移动到循

2025-08-24 01:59:34

windows ALPC内核拦截的方法

# Windows ALPC内核拦截方法详解 ## 前言 ALPC(Advanced Local Procedure Call)是Windows系统中一种复杂的进程间通信机制。目前大多数安全软件都是在用户态(R3)通过hook services来实现拦截。本文将详细介绍一种内核态的ALPC拦截方法。 ## 方法概述本文介绍的方法是通过挂钩ALPC的IO完成回调来实现内核拦截。该方法最初是通过逆向ALPC时偶然发现的，后来发现国外研究者zer0mem也发现了类似方法(http://www

2025-08-24 01:48:27

# Java反序列化漏洞分析：CC2链详解 ## 前言 CC2链是Apache Commons Collections反序列化漏洞利用链中的一条重要链，本文将从基础概念到具体实现，详细分析CC2链的原理和利用方式。 ## 基础知识 ### CC链简介 CC链(Commons Collections链)是基于Apache Commons Collections库的反序列化漏洞利用链。P神的Java安全漫谈中建议的学习路线是先学CC6，因为CC6提供了CC1在高版本下的解决方案。但为了加强

2025-08-24 01:47:28

跳转到页