前几天遇到一个问题在分析代码时，样本是替换了Linux的命令文件，然后想要远程调试虚拟机上的elf样本，开始是用的Remote Linux debugger方式，结果attach时候报错：The debugger could not attach to the selected process.This can perhaps indicate the process was just t...

Xpose原理控制zygote进程，通过替换/system/bin/app_precess程序控制zygote进程，使它在系统启动过程中加载Xposed framework的一个jar文件即XposedBridge.jar,从而完成对Zygote进程及创建的Dalvik/ART虚拟机的劫持，并且能够允许开发者独立替代任何class，例如framework本身，系统UI或者随意一个app。控制程序两

下面资料比较老了，记录下只为增加下了解虚拟机后门检测（IN）__try{__asm{pushedxpushecxpushebxmoveax, 'VMXh'movebx, 0// 将ebx设置为非幻数’VMXH’的其它值movecx, 10 // 指定功能号，用于获取VMWare版本，当它为x14时...

逆向linux样本遇到一个函数linux中关于errno1）errno是一个整型变量，当系统调用和一些库函数发生错误时会通过设置errno的值来告诉调用者出了什么问题。2）errno的有效值都是非零的。（这个manpage有个悖论，第二段中说，errno从来不能被设为0，而在第三段又说有些接口会将其设置为0）3）errno在ISO C标准中定义的，它可能是一个宏并且不能被显示声明（...

Android平台的进程注入和linux平台的注入技术类似，采用ptrace机制来实现ptrace在执行系统调用之前，内核会先检查当前进程是否处于被“跟踪”(traced)的状态。如果是的话，内核暂停当前进程并将控制权交给跟踪进程，使跟踪进程得以察看或者修改被跟踪进程的寄存器。ptrace()是一个系统调用,它允许一个进程控制另外一个进程的执行.不仅如此,我们还可以借助于ptrace修改某...

工具使用取证工具：winhex，FTK Imager，VMware-converter挂载工具：Arsenal-Image-Mounter-v3.1.107简介在windows平台中一般使用VMware-converter来进行取证，因为这种方式是在系统跑起来之后进行取镜像，而且取出来直接是vmware可以识别的格式，直接可以在分析时仿真起来，但是有时候由于任务限制，取证不允许在对方主机上安装任何

符号链接转设备名可以调用ZwOpenSymbolicLinkObject，ZwQuerySymbolicLinkObject直接查询到设备名反过来是调用第一种方法，把每个盘符A到Z的符号链接对应的设备名求出来，然后一一比对。一种实现DWORDWINAPIMyQueryDosDeviceW(LPCWSTR ...

通过githubAPI利用代码{repository(name: "grank", owner: "lctt") {ref(qualifiedName: "master") {target {... on Commit {idhistory(first: 5) {edges {node {author {

API函数的调用过程（3环部分）Windows APIApplication Programming Interface，简称 API 函数。Windows有多少个API?主要是存放在 C:\WINDOWS\system32 下面所有的dll，dll里面函数都是API几个重要的DLLKernel32.dll:最核心的功能模块，比如管理内存、进程和线程相关的函数等...

#grep -Ril "IBM" /tmp递归列出/tmp目录下包含文本字符串"IBM"的文件有时要修复dex文件的前八个字节。ClassLoader和动态加载类加载器Android的虚拟机ART和davilk都是JVM的一种实现，使用寄存器来实现。JVM的类加载器包括3种：Bootstrap ClassLoader（引导类加载器）C/C++代码实现的加载器，用于加载指定的JDK的核心类库，比如j