原创 JavaScript 反混淆的一般套路和技巧[起][承][轉][結]
https://www.blackglory.me/javascript-deobfuscate-general-routines-and-tips-chapter-1/ 最近發現網上沒有什麼專門深入去講解JavaScript反混淆的文章
原创 pycurl multipart/form-data 上傳文件並添加自定義字段
比如要發送的數據包如下: POST /upload.php HTTP/1.1 Host: www.test.com User-Agent: PycURL/7.43.0 libcurl/7.47.0 OpenSSL/1.0.2e zlib
原创 winhttp API 獲取服務器文件大小(更新時間)等
#include <Windows.h> #include <winhttp.h> #pragma comment(lib,"Winhttp.lib") //這裏要獲取下面的URL的文件的大小 //http://www.test.co
原创 一款JavaScript 混淆(Obfuscator)工具(Tool)的研究(三) 字符串數組
對應加密選項: 此選項主要的作用就是"刪除字符串文字並將其放置在特殊數組中。例如,在var m =“ Hello World”中的字符串“ Hello World”;將替換爲對將在運行時檢索其值的函數的調用,例如:var m = _
原创 yara 源碼學習(二) 規則編譯部分
yara規則的詳細信息請參考: https://yara.readthedocs.io/en/stable/writingrules.html 根據官方文檔,yara規則長這個樣子: [1]:yara rule /* This
原创 一款JavaScript 混淆(Obfuscator)工具(Tool)的研究(二) 反調試及反反調試
這一篇主要是研究一下這個混淆器的反調試功能,並找到對應的解決辦法。 源代碼: // Paste your JavaScript code here function hi() { console.log("Hello World
原创 JS 反混淆
在使用某插件的過程中,大量個性化需求不能滿足,於是我有了更改源碼的衝動。翻遍所有角落,只找了一份壓縮混淆的 js 文件,能否反混淆,這是本節討論的重點。 一、場景復現 先來說說幾種我們迫切需要知道源碼的情況: 1.閱讀源碼,當然,大部分開
原创 vbscript 調試方法
方法全部來源於網絡,此文僅做收集: 注:此文中vbsfile 指代被調試文件 1.系統自帶功能 cscript /d vbsfile cscript /x vbsfile 2.notepad++ 調試vbs 原文:https:
原创 一款JavaScript 混淆(Obfuscator)工具(Tool)的研究(一)
1.研究使用的工具及網站 https://obfuscator.io 主要研究對象,主要是研究此網站的各種混淆方法及破解辦法。 http://jsnice.org/ 用來格式化代碼,方便調試。 notepad++
原创 windows 防止某目錄下文件再生
windows 防止某目錄下文件再生 1.why 比如有一個程序A,此程序對用戶有用,但是A程序每次啓動時,或者一段時間後都會啓動另外一個程序B,已知程序B是一個廣告程序,想阻止他再生,又不想卸載A程序,此時即可使用下面的方法。 2.Ho
原创 yara 源碼學習(三) 掃描部分
yara程序的掃描過程 此部分主要在libyara,c scan.c,eval.c中 不管是掃描進程內存,還是掃描文件夾,掃描文件,最終真正的掃描過程都是函數 int yr_scan_mem_blocks(MEMORY_BLOCK*
原创 powershell 中的字符串混淆
例子1 (VarIaBLE '*MDr*').naMe[3,11,2]-JoiN'' 執行結果是 iex 解析: PS > VarIaBLE '*MDr*' #執行命令 variable '*MDr' Na
原创 powershell 小腳本
1.寫文件 字符串寫文件 $str="test" $str | Out-File "D:\test.txt" 數組寫文件 $ary=@(1..100) [System.IO.File]::WriteAllBytes("d:\test.
原创 yara 源碼學習(一) 綜述
準備工作: yara源碼 V1.7.1 https://github.com/VirusTotal/yara/releases/tag/v1.7.1 csdn:https://download.csdn.net/download/l
原创 一次CTF經歷
文件md5:85C0D584982424D0890F5A82046A05E1 混淆: .text:004010DD 74 03 jz short near p