初探Windows应用层反调试技术 2021年11月18日 Jev0n 3453 0x01 PEB相关标志位反调试PEB是一个非常庞大的数据结构,它是用来存储每个进程的运行时数据。下图为Windows 10的_PEB部分结构。在VS中获取当前进程PEB结构体地址方法#ifndef _WIN64 PPEB pPeb = (PPEB)__... 阅读全文 0 评论
CSGO 自瞄透视辅助学习笔记 2021年11月08日 Jev0n 6773 在创建游戏程序的快捷方式,然后在快捷方式中添加-insecure关闭VAC验证服务方便进行初步的调试。如果是用7Launcher平台的得添加Run_CSGO.exe的设置并启动。进到游戏后记得在设置里面打开开发者控制台,方便控制机器人控制台常用指令 ne... 阅读全文 0 评论
初探Windows调试原理和反附加手段 2021年11月06日 Jev0n 2275 0x00 前言最近粗浅的研究了一下Windows应用层相关调试API和对应调试原理,以达到实现反附加的功能。本文内容主要参考《软件调试》和网络上相关优秀文章,并且主要侧重在应用层调试附加方面,关于内核层面因为水平有限本文没有详细展现。0x01 用户态调试... 阅读全文 0 评论
代码自映射Self-Remapping Code 2021年09月23日 Jev0n 2630 程序节区重新映射时设置Section属性为SEC_NO_CHANGE,避免代码被inline hook和设置断点调试。本方法主要参考 https://github.com/changeofpace/Self-Remapping-Code 这个GitHub... 阅读全文 1 评论
用户态模块隐藏小记之LDR断链 2021年06月08日 Jev0n 2275 该方法主要是对PEB结构体中的LDR链表进行操作,分别把三种排序的LDR链进行断链操作以达到模块隐藏的效果,TEB和PEB的结构随着系统的不同会有所变化,本文以Windows 10中的32位程序为例子。该例子仅为简单的断链,通过测试目前会影响Create... 阅读全文 0 评论