-
干掉Edr驱动防护
Life一切都会变,唯有变,才是永恒不变的。卸载EDR最近在一次测试中,想用环三干掉EDR的自保,想了好久都没有很合适的切入点,于是便开始了自保相关函数的分析,看看是不是存在白名单什么之类的。分析了半天,白名单确实也发现了些,但是用来干掉自保缺还是差了点意思。 大表哥对关闭自保验证了签名,于是这条路就这么卡住了。 也恰逢到点,便结束了这一天的征程。再出发第二天转变了下思路,既然白名单没有很好的切入口,那便从卸载流程入手吧,双击uninst.exe程序,卸载流程跑了起来,居然问我要密码,好吧...…
-
道德经
Life这世界是遵循某种规则在运行,我们可以察觉不到,但是无法否认,一旦意识并了解到某种规则,那么便可洞悉这种规则下,所运行的一切事物。我们生活的框架,是被设计出来的,我们的学习生活,也是被设计出来的。变是一种规则,这世界本没有不变的东西,我们从出生开始便活在某种道也好,规则也好,其名字显然没有那么重要,之中。洞悉本源,方能看破虚伪。破解之道,最终需要破解的是设计者的想法。了解一个事物,一个人,一定要了解他的思想,所有的表现(所做的事情),不过是思想的体现而已。 道可以化身万千,而道的规则...…
-
解密Sqlite数据库
Life好久没写文章,因为好久没做技术研究,未来可能更多的会转向其它方面的研究。思路不管研究什么东西,切入的思路是很重要的。就比如sqlite,如果你连怎么加密都不知道,更何谈解密,以及找到密码呢。参考代码https://github.com/rindeal/SQLite3-Encryption如何解密? sqlite3 *pDb = NULL; int status = sqlite3_open("d:\\1.db", &pDb); // 设置数据库的密...…
-
禁止edge中bing自动登录
这货使用edge是因为国内方便数据的同步,毕竟google被墙了,也没有办法。使用bing也是同样的道理。国内确实没有什么好用的搜索引擎,广告推广太多了,看不下去。但是bing有个烦人的地方,就是当edge中登录账号后,打开bing,会自动的登录上去,记录你的各种记录,出于职业习惯,还是不希望任何信息被记录的,于是只能硬刚。一番搜索后,最多的方案其实就是在edge中屏蔽[*.]bing.com的所有cookie。但是这会引入一个新的问题,就是搜索引擎没有正常使用了,稍微搜个东西,就提示找不...…
-
eventlog xpath 查询语法
Life本来无一物,何处惹尘埃。写给下一年的寄语简单介绍win7以上的系统日志,支持筛选, 格式遵循 XPath 语法。 下面来探索一下 使用方法。以下所有例子都基于 Secutiry 系统日志。<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*</Select> </Query></QueryList>这是最基本的语法, ...…
-
4-22 15:55
Life有时候还是会时不时的想起来一些以前的事情,可能还是无法释怀吧。纪念时间会忘记一切,虽然过去一年多了,但记忆却像一道疤一样,还是会时不时的会想起。马上就要双因素认证了,也不知道这个博客还能维持多久,也许是最后一篇文章了,纪念下这个机器猫吧结束放下即心安。…
-
有意思的explorer.exe
Life好久没搞分析了,还是分析一些东西比较有意思,重拾一下。Hotkey如果不是机缘巧合,可能很多人都不知道,lnk & url 文件的快捷方式是可以设置热键的,其实能设置热键倒也是无所谓,但是如果再加上一条,把带有热键的lnk&url快捷方式放到一些固定的目录,explorer就会自动加载解析,然后生效,这个事情是不是就有意思多了。 更有意思的是,当你手工删除后(url快捷方式),你会发现热键依然有效果,这是不是有意思到天上了。那下面一块探究下这个过程。哪些目录会生效这...…
-
聊天软件水印
Life有好多话想写,却又不知道该说些什么,直接上技术吧。关于水印公司的聊天软件,总是喜欢搞一些水印,对于一个正常的打工者来说,确实是很反感这些东西,于是乎,开搞,在旧版本的tt中,关键字是 water_mark, 如下图所示:通过查找引用,是直接可以找到关键代码的,如下图:于是乎,旧版本的tt,就可以直接去掉水印了。 patch完,替换,完美。架构变更前两天,提示有新版本的更新,本来就已经跳过好几个版本了,于是就升级了,还是习惯性的动作,找到主程序,哎!!! exe改名字了,新的exe ...…
-
基于wmi中__InstanceOperationEvent类实现的异步监控
Life最近一直在搞数据库和应用弱密码的事情,搞得脑子都要崩溃了,还是搞一些喜欢的东西,比较有意思。__InstanceOperationEvent 类__InstanceOperationEvent 这个类可以通过wmi监控系统里面发生的一些事件,很早之前便想着写一个基于 这个类的监控,这两天终于还是给写出来了。主要包括下面三部分,这里只是拿__InstanceCreationEvent举例说明,当然能监控的事情远不止于此,有时候如果只是为了感知一些事情的发生,而不想上驱动的话,这应该是...…
-
csdn复制斗争史
Life万物皆可覆盖 - js声明本篇基于 TamperMonkey 脚本实现故事的开始作为一个白嫖党,在用csdn上面复制东西的时候,发现必须得登录,才能复制,妥妥的心里不开心,于是开始了攻防,研究后发现是通过 css 来限制复制的,于是便写了第一版的脚本// 移除限制复制功能if($("#content_views pre")[0]){ $("#content_views pre").attr("style","user-select:auto");}// 移除限制复制功能if ...…
-
windbg中使用js脚本设置条件断点 - 优化篇
Life只有不断探索,才会有不断的进步,每一天都是美好的一天上个方案回顾老实说,上一篇文章里面的方案,我自己并不是很满意,原因就是每次都得加载下脚本,解析,然后才能工作,这样子会浪费很多的时间,所以,在实际使用时,还是得使用下函数的方案。于是乎就有了这篇令我满意的文章。前提在使用javascript 前,还是需要初始化环境kd>.load jsprovider.dllkd> .scriptprovidersAvailable Script Providers: NatVi...…
-
windbg中使用js脚本设置条件断点
Life马上五一了,从过年到现在一次都没有回家呢,再不回去,整个人都不好了。2023,又是特殊的一年。条件断点windbg中支持 javascript 脚本,这是一个很强大的功能。 前两天在测试功能的时候,需要安装sql server,但是安装过程竟然被拦截了,通过procmon 发现,在进程创建的时候,直接通过apc 退出了,那么第一反应,必然是某个驱动在进程创建的时候给杀掉了进程。折腾了好长时间,最终无奈还是上了双击调试。但是NtTerminateProcess 在整个的安装过程中调用...…
-
常用网站搜集
列表音乐下载 https://www.musicenc.com/电子书下载 zlibrary镜像站 & https://zlib.knat.network/…
-
获取当前所有登录的用户
Life我一直坚信,在计算机的世界里没有秘密,只要用心寻找,很多东西就躺在那里,等着我们去慢慢的发掘。调研因为项目需求,需要获取当前登录的所有的用户,于是顺手就google了下。https://blog.csdn.net/kingfox/article/details/116353723这篇文章总结了几种获取用户名的方式,1. GetUserName2. GetEnvironmentVariable3. Windows Terminal Session API4. 通过获取当前Shell的...…
-
winword中dde执行
Life做一个有灵魂的人,而不是只是会服从命令的行尸走肉声明并非完整的dde流程介绍,只是介绍dde用来执行恶意代码的过程,dde叙述过程可能不全前置条件完整的ddeauto命令是这样的{DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"}当用户第一次打开带有ddeauto的文档时,winword会检测,并提示用户执行dde命令当用户同意后,正式开始dde的执行流程ddedde也是数据交互的一种方式,这种交互的方式是通过windows的...…
-
从js到amsi
Life如果肉已经腐烂,何不忍痛挖掉,即使付出再大代价,也比留下污染更好。 ——— 纪念以前的日子前奏很早以前的开发的功能,拿出来分享下吧。js和jse文件是可以双击直接执行的。根据用户配置的不同,会使用wscript.exe或者cscript.exe来解析。下面所有的分析过程是基于wscript.exe进行的脚本很简单,就是加载了一个com组件判断下文件在不在。选择脚本执行引...…
-
_pAtlModule崩溃
Life以前被罩着的时候,啥问题,群里面一吼,基本都知道答案了,无奈老大哥跑路了,于是只能自己硬着头皮去解决这些问题,有些路还是需要自己去蹚一下。否则永远都是个弟弟CComObjectcom本来就是我的弱点,但是工程中还是用到了。工程中新建了一个模块,需要用到一个很简单的com智能指针对象,就下面这句话,结果却崩溃了。。。 CComObject<CMyObject>::CreateInstance(&m_pMsgCallback);通过调试发现最后崩溃的代码是AT...…
-
视频转换
Life工作需要热情,否则就只能是一个上下班的工具了,偶尔逆向一下,才会激情满满。视频转换逆向的动力来源于爱好,工作,或者某些政治任务,比如媳妇要转视频格式,关键还是一个特殊的格式,f4v。一顿google后,发现某捷的视频转换器挺好,于是很开心的下载下来想白嫖一下。因为之前的版本,是注册形式的,手里之前写过注册机。但是新版本是一个会员模式的,好吧,看来得磨练下技术了。打开之后,点击转换,出现了这货,这不是搞事情么最喜欢的就是弹窗了,结果一看还是QT的那这样就更好办了,这相当于就告诉了你,...…
-
js测试用例
Life情绪只是一种对外表达想法的工具,应该驾驭,而不应被其左右常见用例进程创建function process_create(){ var WSHShell = WScript.CreateObject("WScript.Shell"); // IWshShell.Run WSHShell.Run("calc.exe"); // IWshShell.Exec WSHShell.Exec("calc.exe"); // IShellDispatch.ShellExecute var She...…
-
wmi-event
Life最近在研究看能不能通过wmi的event来监控一些系统的事件,发现了一篇英语写的文章,不得不说,总结的真好,转载保存原文链接https://flylib.com/books/en/2.568.1/handling_wmi_events.htmlTable of contents: Overview WMI Event Basics Intrinsic Events Extrinsic Events Timer Events Event Delivery Mechanis...…
