文中演示了3种数据映射方案,有更多其他编解码方案,这3种够用了。前面介绍的都是bin与txt的相互转换,各种编码、解码。假设数据传输通道只有一个弱shell,有回显,可以通过copy/paste无损传输可打印字符。为了将不可打印字节传输过去,只能通过编解码进行数据映射。
关于x64/Win10中Shim机制的一次调试分析过程
有阵子给windbg写jscript插件,无意中在x64/Win10上发现一件事,执行notepad不从nt!PspProcessOpen()过,mspaint则过。跟bluerust说起这事,他瞎猜了一个说法,是不是因为mspaint有Shim机制介入,进而导致这种区别。为什么有这种区别,到了也没去深究,不是刚需。但他说的Shim机制,对于一向孤陋寡闻的我,有点意思。
拦截C_*.NLS加载查看用户态调用栈回溯
以x64/Win10为例,mspaint.exe进程空间中会出现:
kd调试的某些技术原理
作者: Tarik Soulami
内核态调试时设置断点,与用户态调试时一样,在指定地址写入0xCC(int3)。断点命
中时,OS暂停运行,调试器接手,在进入”break-in send/receive loop”之前,恢复
断点所在地址的原始字节。因此,你在kd提示符下,看不到断点处的0xCC。这里不讨
论硬件断点、内存(属性)断点之类的。
windbg jsprovider.dll的一个BUG
这是微软提供的一个windbg JavaScript插件例子:
阅读全文 “windbg jsprovider.dll的一个BUG” »
srv.sys中若干漏洞(CVE-2017-11780)简介
☆ 漏洞原理(CVE-2017-11780)微软自己定级Important,3月的MS17-010定级Critical。
开启DNS Client Service日志
假设当前OS是64-bits Win7。至少从2002.11.21开始,有些文章提到DNS Client Service自带一种日志。 阅读全文 “开启DNS Client Service日志” »
使用Smalidea对无源码APK调试简介
最近正好也用了Smalidea,就ZZ的原贴做一些补充。 阅读全文 “使用Smalidea对无源码APK调试简介” »
