对于“ESP定律脱壳实验“中的脱壳程序结果，换种分析方法 x32dbg分析 加断点 打开脱壳程序，在“符号”标签页选择DiskProbe_dump_SCY.exe模块，搜索GetSystemTime右键，选择切换断点 在断点中查看是否标记 分析断点代码 F9执行到断点，但是我们要的是调用这个函数的位置，不是这个函数的内部位置，有两个方法 执行到这里…

实验：使用ESP定律脱壳实验 实验：使用ESP定律脱壳实验下载 使用ESP定律脱壳实验 实验：二进制程序补丁实验——修改软件时间限制 实验：二进制程序补丁实验——修改软件时间限制下载 实验：PE文件结构分析实验 实验：PE文件结构分析实验下载 32位可执行病毒编制技术下载 pe101下载 pe101-main下载 pe101zh下载 PE文件结构下…

安装nodejs 安装asar npm config set registry https://registry.npmmirror.com npm -g install asar StarUML模块解包 先安装，然后在安装目录下将主体代码解包 asar e app.asar d:\app 修改代码，去除授权对话框 在D:\app\src\engi…

使用DIE查看PE文件信息 确认是vb.net开发的，用ILSpy和DnSpy分析 使用ILSpy进行分析 代码分析 程序入口和主窗口 分析代码 internal static class Program { [STAThread] private static void Main() { Application.EnableVisualS…

样本文件类型及其基本信息搜集 使用DIE分析 静态分析 ILSpy分析 ILSpy对.net的反编译有很好的支持拖入打开，发现入口函数 接下来看这个Form1类 创建密码 public string CreatePassword(int length) { StringBuilder stringBuilder = new StringBuilde…

路径信息 火眼取证软件 用户痕迹->最近访问的项目 FileType == "文件"看最近使用的文件 看修改系统时间时的时间在分析中选择系统日志进行分析, 在 事件日志->系统 按照时间排序可以看到修改系统时间的日志条目中有NewTime和OldTime 远程连接本机的时间在 远程桌面->远程连接过本机的记录 可以看到 连接u盘的…

下载与安装 ILSpy 前往地址：https://github.com/icsharpcode/ILSpy/releases，安装最新的版本，比如 ：ILSpy 9.0 Preview 1。 破解激活码 用ILSpy打开程序 找到入口函数 这里找到program 找到JIHUOMA类的定义 可以看到有很多属性和方法 找找有没有加载激活码的函数 发现…

简要信息 路径信息 Linux 时区信息 /etc/timezone powershell-empire 日志（Linux/var/lib/powershell-empire/empire/client/downloads/logs/empire_client.log 下载（Linux/var/lib/powershell-empire/serve…

PrivateAccess软件分析与破解下载 实现准备 运行PrivateAccess软件分析与破解，发现不能运行在非SanDisk硬盘里面。表现为弹窗提示然后退出。 运行后发现目录下有WDPA文件夹，发现两个exe文件。结合DIE分析，认为WDPA\temp\PrivateAccess_win.exe才是真正的PE文件 Detect It Eaz…

实验：使用ESP定律脱壳实验下载 实验步骤 1. PE文件基本信息分析 用Exeinfo对程序进行分析，发现是UPX加壳，版本在0.50到0.72之间点击scan/t，看到详细版本为0.7： 同时可以看到OEP为0007C037H，这实际上是UPX加壳后的软件的一个节的名称，不是真实的OEP 2. 手动脱壳基本原理 函数调用规范约定：cdelc，s…