Armadillo CopyMem-ll+Debug-Blocker脱壳过程
Armadillo CopyMem-ll+Debug-Blocker脱壳过程
作者: 飞舞的T恤
菜鸟手动脱Armadillo CopyMem-ll +Debug-Blocker壳全过程,超详细。。。
【使用工具】 Ollydbg,Loadpe,Imprec1.6F
【脱壳平台】 Win2K
【软件名称】 按键精灵3 V3.11
【加壳方式】 Armadillo 3.00a - 3.60 -> Silicon Realms Toolworks
【保护方式】 Armadillo CopyMem-ll +Debug-Blocker
--------------------------------------------------------------------------------
小弟第一次手动脱壳就碰上了Armadillo CopyMem-ll +Debug-Blocker难缠的东东,所以整理了一下两个星期来脱Armadillo CopyMem-ll +Debug-Blocker的全过程,希望能给第一次脱Armadillo CopyMem-ll +Debug-Blocker新手们一点帮助,始大家少走点弯路(我的弯路走了不少)。
小弟第一次脱壳,本来想从简单的壳开始学习的,可像什么upx、aspack等壳都有工具脱,弄的一点兴趣都没有了(本来脱壳就是想在朋友面前炫一下,有工具脱的壳当然没有挑战性了)。这时忽然发现N久(多久记不到了,反正刚出我就下了,一直没用)前放在咱电脑里的按键精灵3 v3.11,哈哈,小样就从你入手当我脱壳的入门学习吧。
用PEiD.exe一看是Armadillo的壳,运行程序发现进程里有两个按键精灵3.exe,哈哈Armadillo 双进程标准壳。在这之前我先看了weiyi75、fly、csjwaman等大大们的双进程标准壳的脱文。最过选择了照着weiyi75大大的脱文《爱的中体验之Armadillo3.x双进程之Mr.Captor》按步就搬的开脱了。主要是weiyi75[Dfcg]的脱文里的脱法简单易学,对我这个新手来说比较直观简便。
OD载入程序,插件自动隐藏OD,忽略所有异常。
00485000 按> $Content$nbsp; 60 pushad //外壳入口
00485001 . E8 00000000 call 按键精灵.00485006
00485006 $Content$nbsp; 5D pop ebp
00485007 . 50 push eax
00485008 . 51 push ecx
00485009 . EB 0F jmp short 按键精灵.0048501A
.....................................................................
命令行下断点 BP OpenMutexA,F9运行。
中断
77E6C503 K> 55 push ebp
77E6C504 8BEC mov ebp,esp
77E6C506 51 push ecx
77E6C507 51 push ecx
77E6C508 837D 10 00 cmp dword ptr ss:[ebp+10],0
77E6C50C 56 push esi
77E6C50D 0F84 4AB90200 je KERNEL32.77E97E5D
.....................................................................
堆栈内容
0012F574 0045C5F1 /CALL 到 OpenMutexA
0012F578 001F0001 |Access = 1F0001
0012F57C 00000000 |Inheritable = FALSE
0012F580 0012FBB4 \MutexName = "2A8:AC7B8F140" //注意MutexName 这个地址 每个机器不同,以看到的为主。
找一块程序领空空地址,写入一些欺骗Arm的代码。
Ctrl+G 401000
00401000 0000 ADD BYTE PTR DS:[EAX],AL //都是空地址。
00401002 0000 ADD BYTE PTR DS:[EAX],AL
00401004 0000 ADD BYTE PTR DS:[EAX],AL
00401006 0000 ADD BYTE PTR DS:[EAX],AL
00401008 0000 ADD BYTE PTR DS:[EAX],AL
0040100A 0000 ADD BYTE PTR DS:[EAX],AL
0040100C 0000 ADD BYTE PTR DS:[EAX],AL
0040100E 0000 ADD BYTE PTR DS:[EAX],AL
OD直接双击修改,填入以下代码。
00401000 60 pushad
00401001 9C pushfd
00401002 68 B4FB1200 push 12FBB4 ; ASCII "2A8:AC7B8F140"
00401007 33C0 xor eax,eax
00401009 50 push eax
0040100A 50 push eax
0040100B E8 6D97A677 call KERNEL32.CreateMutexA
00401010 9D popfd
00401011 61 popad
00401012 - E9 ECB4A677 jmp KERNEL32.OpenMutexA
............................................................
将当前的 Eip 77E6C503 切换到 401000 来。
点右键 选在此处新建 Eip ,看到Eip 变为 401000
F9运行。
中断
77E6C503 K> 55 push ebp //双击它或F2清除断点。
77E6C504 8BEC mov ebp,esp
77E6C506 51 push ecx
77E6C507 51 push ecx
77E6C508 837D 10 00 cmp dword ptr ss:[ebp+10],0
77E6C50C 56 push esi
77E6C50D 0F84 4AB90200 je KERNEL32.77E97E5D
............................................................
找 magic jmp 命令行下断点,bp GetModuleHandleA
77E63DFC K> 55 push ebp //F2去掉断点,右键改为硬件执行。
77E63DFD 8BEC mov ebp,esp
77E63DFF 837D 08 00 cmp dword ptr ss:[ebp+8],0
77E63E03 74 18 je short KERNEL32.77E63E1D
77E63E05 FF75 08 push dword ptr ss:[ebp+8]
77E63E08 E8 87FFFFFF call KERNEL32.77E63D94
77E63E0D 85C0 test eax,eax
77E63E0F 74 08 je short KERNEL32.77E63E19
77E63E11 FF70 04 push dword ptr ds:[eax+4]
77E63E14 E8 3F240000 call KERNEL32.GetModuleHandleW
77E63E19 5D pop ebp
77E63E1A C2 0400 retn 4
........................................................................
F9运行,多次硬件中断,注意堆栈值。
7次F9提示一个非法指令错误,Shift+F9忽略。
0012BEF8 00B1C807 /CALL 到 GetModuleHandleA 来自 00B1C801
0012BEFC 00B2D6C8 \pModule = "kernel32.dll"
0012BF00 00B2E67C ASCII "VirtualAlloc"
0012BEF8 00B1C824 /CALL 到 GetModuleHandleA 来自 00B1C81E
0012BEFC 00B2D6C8 \pModule = "kernel32.dll"
0012BF00 00B2E670 ASCII "VirtualFree"
9次F9提示一个非法指令错误,Shift+F9忽略。
堆栈内容
0012BC70 00B0799B /CALL 到 GetModuleHandleA 来自 00B07995
0012BC74 0012BDAC \pModule = "kernel32.dll"
点调试菜单,里面清除硬件断点。
Ctrl+F9 返回。
00B07995 FF15 C480B200 call dword ptr ds:[B280C4] ; KERNEL32.GetModuleHandleA
00B0799B 8B0D E011B300 mov ecx,dword ptr ds:[B311E0]
00B079A1 89040E mov dword ptr ds:[esi+ecx],eax
00B079A4 A1 E011B300 mov eax,dword ptr ds:[B311E0]
00B079A9 393C06 cmp dword ptr ds:[esi+eax],edi
00B079AC 75 16 jnz short 00B079C4
00B079AE 8D85 B4FEFFFF lea eax,dword ptr ss:[ebp-14C]
00B079B4 50 push eax
00B079B5 FF15 CC80B200 call dword ptr ds:[B280CC] ; KERNEL32.LoadLibraryA
00B079BB 8B0D E011B300 mov ecx,dword ptr ds:[B311E0]
00B079C1 89040E mov dword ptr ds:[esi+ecx],eax
00B079C4 A1 E011B300 mov eax,dword ptr ds:[B311E0]
00B079C9 393C06 cmp dword ptr ds:[esi+eax],edi
00B079CC 0F84 AD000000 je 00B07A7F //这是文章中提到的magic jmp,我改。
改为
00B07995 FF15 C480B200 call dword ptr ds:[B280C4] ; KERNEL32.GetModuleHandleA
00B0799B 8B0D E011B300 mov ecx,dword ptr ds:[B311E0]
00B079A1 89040E mov dword ptr ds:[esi+ecx],eax
00B079A4 A1 E011B300 mov eax,dword ptr ds:[B311E0]
00B079A9 393C06 cmp dword ptr ds:[esi+eax],edi
00B079AC 75 16 jnz short 00B079C4
00B079AE 8D85 B4FEFFFF lea eax,dword ptr ss:[ebp-14C]
00B079B4 50 push eax
00B079B5 FF15 CC80B200 call dword ptr ds:[B280CC] ; KERNEL32.LoadLibraryA
00B079BB 8B0D E011B300 mov ecx,dword ptr ds:[B311E0]
00B079C1 89040E mov dword ptr ds:[esi+ecx],eax
00B079C4 A1 E011B300 mov eax,dword ptr ds:[B311E0]
00B079C9 393C06 cmp dword ptr ds:[esi+eax],edi
00B079CC E9 AE000000 jmp 00B07A7F //修改 (我试过改标志位Z)
.........................................................
清除所有断点。在401000段下内存断点,按F9
00B206B2 8B04B0 mov eax,dword ptr ds:[eax+esi*4] //来到这里
00B206B5 3341 54 xor eax,dword ptr ds:[ecx+54]
00B206B8 8B0D 9455B300 mov ecx,dword ptr ds:[B35594] ; 按键精灵.00495260
00B206BE 3341 04 xor eax,dword ptr ds:[ecx+4]
00B206C1 8B0D 9455B300 mov ecx,dword ptr ds:[B35594] ; 按键精灵.00495260
00B206C7 3341 74 xor eax,dword ptr ds:[ecx+74]
00B206CA 8B0D 9455B300 mov ecx,dword ptr ds:[B35594] ; 按键精灵.00495260
00B206D0 3341 30 xor eax,dword ptr ds:[ecx+30]
00B206D3 8B0D 9455B300 mov ecx,dword ptr ds:[B35594] ; 按键精灵.00495260
00B206D9 3341 20 xor eax,dword ptr ds:[ecx+20]
提示被调试程序无法处理异常,Shift+F9忽略,game over程序退出。
天哪,我错在那里啦!我怎么就到不了“push ebp //到达地球人都知道的位置”
想想第一次脱壳,没这么顺利也是正常的,那么我们在试试其他大大的方法,在后来三、四天里偶用了能找到的脱标准壳的方法来脱它,TMD没一个成功的,这期间每天晚上19点到1点,我都在学习研究各各armadillo标准壳的脱法,搞的每天上班没精神。还是没有一点收获,总不能半途而废吧?去论谈上问问各位大虾吧。。。
期间loveboom大大成给于提示说“可能不是标准双进程壳或是高版本的,所以你按双进程的来脱是不行的”可对于新手的我来说,说了等于白说,希望下次小弟提问时,各们大大能提供详细一点的资料。。。^_^
后来还多亏wangli_com大大的指点。。。
先找oep,在OD中重开程序,下bp WaitForDebugEvent,F9运行
77E7A6CF K> 55 push ebp //来到这里,F2清除断点
77E7A6D0 8BEC mov ebp,esp
77E7A6D2 81EC 9C000000 sub esp,9C
77E7A6D8 53 push ebx
77E7A6D9 56 push esi
77E7A6DA 57 push edi
看堆栈窗口
0012DA98 0046AD67 /CALL 到 WaitForDebugEvent 来自 按键精灵.0046AD61
0012DA9C 0012EB5C |pDebugEvent = 0012EB5C
0012DAA0 000003E8 \Timeout = 1000. ms
在0012EB5C上下转存中跟随
在下bp WriteProcessMemory,F9运行
77E7ADB9 K> 55 push ebp //来到这里
77E7ADBA 8BEC mov ebp,esp
77E7ADBC 51 push ecx
77E7ADBD 51 push ecx
77E7ADBE 8B45 0C mov eax,dword ptr ss:[ebp+C]
77E7ADC1 53 push ebx
77E7ADC2 8945 F8 mov dword ptr ss:[ebp-8],eax
看数据转存窗口
0012EB5C 01 00 00 00 68 03 00 00 ...h..
0012EB64 C4 00 00 00 01 00 00 80 ?....€
0012EB6C 00 00 00 00 00 00 00 00 ........
0012EB74 00 CC 43 00 02 00 00 00 .藽.... //大家看到没有43CC00就是OEP
再在OD中重开程序,下硬件断点:he WaitForDebugEvent,运行停住。回到壳空间,查找常数FFFFFFF8,得到结果:
0046B3D6 OR EAX, FFFFFFF8
0046B3F1 OR EDX, FFFFFFF8
0046B41A OR ECX, FFFFFFF8
0046B8F0 OR EDX, FFFFFFF8
0046B90B OR ECX, FFFFFFF8
0046B933 OR EAX, FFFFFFF8
在0046B3D6上双击,来到这代码处,朝上几行看:
0046B38A 83BD D0F5FFFF 00 cmp dword ptr ss:[ebp-A30],0 //这就是tDasm大侠文中提到的关键代码。
0046B391 0F8C A9020000 jl 按键精灵.0046B640
0046B397 8B8D D0F5FFFF mov ecx,dword ptr ss:[ebp-A30]
0046B39D 3B0D E4B54900 cmp ecx,dword ptr ds:[49B5E4]
0046B3A3 0F8D 97020000 jge 按键精灵.0046B640
0046B3A9 8B95 44F6FFFF mov edx,dword ptr ss:[ebp-9BC]
0046B3AF 81E2 FF000000 and edx,0FF
0046B3B5 85D2 test edx,edx
0046B3B7 0F84 AD000000 je 按键精灵.0046B46A
0046B3BD 6A 00 push 0
0046B3BF 8BB5 D0F5FFFF mov esi,dword ptr ss:[ebp-A30]
0046B3C5 C1E6 04 shl esi,4
0046B3C8 8B85 D0F5FFFF mov eax,dword ptr ss:[ebp-A30]
0046B3CE 25 07000080 and eax,80000007
0046B3D3 79 05 jns short 按键精灵.0046B3DA
0046B3D5 48 dec eax
0046B3D6 83C8 F8 or eax,FFFFFFF8 //断在这里向上看
0046B3D9 40 inc eax
0046B3DA 33C9 xor ecx,ecx
0046B3DC 8A88 809A4900 mov cl,byte ptr ds:[eax+499A80]
0046B3E2 8B95 D0F5FFFF mov edx,dword ptr ss:[ebp-A30]
0046B3E8 81E2 07000080 and edx,80000007
0046B3EE 79 05 jns short 按键精灵.0046B3F5
0046B3F0 4A dec edx
0046B3F1 83CA F8 or edx,FFFFFFF8
0046B3F4 42 inc edx
0046B3F5 33C0 xor eax,eax
0046B3F7 8A82 819A4900 mov al,byte ptr ds:[edx+499A81]
0046B3FD 8B3C8D 60524900 mov edi,dword ptr ds:[ecx*4+495260]
0046B404 333C85 60524900 xor edi,dword ptr ds:[eax*4+495260]
0046B40B 8B8D D0F5FFFF mov ecx,dword ptr ss:[ebp-A30]
0046B411 81E1 07000080 and ecx,80000007
0046B417 79 05 jns short 按键精灵.0046B41E
0046B419 49 dec ecx
0046B41A 83C9 F8 or ecx,FFFFFFF8
0046B41D 41 inc ecx
0046B41E 33D2 xor edx,edx
0046B420 8A91 829A4900 mov dl,byte ptr ds:[ecx+499A82]
0046B426 333C95 60524900 xor edi,dword ptr ds:[edx*4+495260]
0046B42D 8B85 D0F5FFFF mov eax,dword ptr ss:[ebp-A30]
0046B433 99 cdq
0046B434 B9 1C000000 mov ecx,1C
0046B439 F7F9 idiv ecx
0046B43B 8BCA mov ecx,edx
0046B43D D3EF shr edi,cl
0046B43F 83E7 0F and edi,0F
0046B442 03F7 add esi,edi
0046B444 8B15 D4B54900 mov edx,dword ptr ds:[49B5D4]
0046B44A 8D04B2 lea eax,dword ptr ds:[edx+esi*4]
0046B44D 50 push eax
0046B44E 8B8D D0F5FFFF mov ecx,dword ptr ss:[ebp-A30]
0046B454 51 push ecx
0046B455 E8 FF1F0000 call 按键精灵.0046D459
0046B45A 83C4 0C add esp,0C
0046B45D 25 FF000000 and eax,0FF 《--- 修改此处
0046B462 85C0 test eax,eax
在0046B38A处下一硬件执行断点,运行停住。 按照tDasm的方法,修改代码为:
0046B45D FF05 48EB1200 inc dword ptr ds:[12EB48]
0046B463 C705 E8B54900 010000>mov dword ptr ds:[49B5E8],1
0046B46D ^ E9 18FFFFFF jmp 按键精灵.0046B38A
把12EB48处置0,去掉所有硬件断点,并在0046b640处下断,运行,停住。好,所有代码都强制解压完成。
运行LordPE,选择第2个进程(有2个同名进程),即可完全dump出来了。
dump出来了还不能用啦,怎么办,修复IAT表,怎么修复wangli_com大大没说,查看其它大大的脱文大都是跳过magic jmp后用Imprec1.6f选择进程,填入Oep,自动搜索。我试我试,怎么不行找不到IAT数据。经过N次失败后,我都要对armadillo妥协了。。。
怎么办了,自己搞不定就去查资料啦,后来我在密界脱壳文集中找到了tDasm大大的原文〈Armadillo 3.6主程序脱壳〉〈Armadillo 3.6主程序IAT处理〉,照着方法又从脱了一遍非常顺利,当到了IAT处理的时候,tDasm大大文中提到的方法一时无法理解,照着做都会跟飞。
没办法继续找方法哎,当看到jwh51大大的《Armadillo COPYMEMEII之DUMP的一个LOADPE小插件》,我又照着脱了一遍,哈哈原来有这么方便的方法啦,跟tDasm大大的方法原理差不多,当步聚简单的多,新手脱不容易出错,强烈推荐。
在当我看到骨灰C姐姐的《实战Armadillo3.60 Original CopyMem-ll +Debug-Blocker -----UltraEdit》文章后,解开了困惑了我三、四天的IAT表修复问题(建议新手可以学习但最好不用骨灰C姐姐的脱壳方法,她的原理和tDasm、jwh51等大大的方法一样,但过程复杂,容易出错)
好言归正传,我们来修复IAT表。。。
我们用OD载入dump出来的文件,F8单步执行。
0043CC00 1> 55 push ebp //程序入口OEP
0043CC01 8BEC mov ebp,esp
0043CC03 6A FF push -1
0043CC05 68 189C4400 push 111.00449C18
0043CC0A 68 5ECD4300 push 111.0043CD5E
0043CC0F 64:A1 00000000 mov eax,dword ptr fs:[0]
0043CC15 50 push eax
0043CC16 64:8925 00000000 mov dword ptr fs:[0],esp
0043CC1D 83EC 68 sub esp,68
0043CC20 53 push ebx
0043CC21 56 push esi
0043CC22 57 push edi
0043CC23 8965 E8 mov dword ptr ss:[ebp-18],esp
0043CC26 33DB xor ebx,ebx
0043CC28 895D FC mov dword ptr ss:[ebp-4],ebx
0043CC2B 6A 02 push 2
0043CC2D FF15 5C4B4400 call dword ptr ds:[444B5C] //执行到这里我们的程序就飞了
OD重头来一遍,当执行到43CC2D,我们在数据窗口ctrl_G 444b5c是不是看到很多77之类的东西,哈哈,这就是IAT表的存放地,我们顺着向上看,来到数据窗口顶部地址444000就是IAT表的起始地址,我们拿笔记下。
在OD重新载入按键精灵3.exe,忽略所有异常,bp DebugActiveProcess,F9断下。看堆栈窗口:
0012DA9C 0046ABDB /CALL 到 DebugActiveProcess 来自 按键精灵.0046ABD5
0012DAA0 000003CC \ProcessId = 3CC ―――>子进程句柄
打开另一个OD附加3CC这个子进程。然后ALT+F9返回程序
00485000 按>- EB FE jmp short 按键精灵.<ModuleEntryPoint> //断在这里
00485002 0000 add byte ptr ds:[eax],al
00485004 0000 add byte ptr ds:[eax],al
00485006 5D pop ebp
00485007 50 push eax
00485008 51 push ecx
还原代码,不然是死循环,还原开头两行二进制: 60 E8 为 60 E8
00485000 按> 60 pushad
00485001 E8 00000000 call 按键精灵.00485006
00485006 5D pop ebp
00485007 50 push eax
00485008 51 push ecx
OK,BP OpenMutexA,F9后中断,不要清除断点,按照前面说的脱标准壳的方法来一遍,修改完magic jmp后,在直接按F9中断。
用Imprec1.6f选择进程3CC,填入OEP地址3CC00,填入RAV(出就是IAT地址)44000,不要按自动搜索IAT,直接按获取输入表,再按显示无效地址,剪掉修复抓取文件就OK了。
转载于:https://www.cnblogs.com/F4ncy/archive/2005/01/22/95674.html
如若内容造成侵权/违法违规/事实不符,请联系编程学习网邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
相关文章
- web渗透测试常规套路
注:文章首发自合天智汇微信公众平台0x01:本篇文章旨在给小白白们做一次有关web渗透的科普,其中涉及到的套路、工具可能在如今XX狗、XX盾当道的社会已不再适用,但是其中涉及的思想永远不会过时,其中的工具如菜刀等更是经典之作,即使发布已经10余年认识现在渗透测试网站的不…...
2024/4/20 8:12:42 - 通过w3wp.exe反查哪个IIS应用程序池内存使用高
转自木子屋http://www.mzwu.com/article.asp?id=3165 在IIS6.0中,我们一般会为每个站点建立一个应用程序池,这样就会开启好几个w3wp.exe进程,有时在Windows任务管理器中看到某个w3wp.exe进程内存使用特别高,这时怎么判断它所对应的应用程序池?进而知道对应的是哪一个站点…...
2024/5/8 20:17:52 - 目前web渗透的思路
学习web渗透大概已经有了两个多月了,还是一只菜鸡,希望能以文章的方式记录一下自己的学习过程,希望自己能够有所提高。渗透思路如下:0x01信息收集: 目前实战过了两次,越来越能意识到信息收集对渗透测试工作的重要性,web渗透不是仅仅局限于用公开漏洞的EXP直接打过去,还…...
2024/5/8 12:40:06 - 什么是web标准,起到些什么作用,如何理解W3C组织制定的标准(面试题)
问:谈谈你对web标准的理解,以及对w3c组织的认识? 答: (1)web标准规范要求,书写标签必须闭合、标签小写、不乱嵌套,可提高搜索机器人对网页内容的搜索几率。--- SEO (2)建议使用外链css和js脚本,从而达到结构与行为、结构与表现的分离,提高页面的渲染速度,能更快地…...
2024/4/20 17:08:07 - centos7安装W3AF
(转载,侵权删)http://webcache.googleusercontent.com/search?q=cache:17_WnxpLfVQJ:https://jhongguo.blogspot.com/2017/10/centos7-w3af.html&hl=zh-CN&strip=0&vwsrc=0...
2024/5/8 21:00:27 - 爱加密so保护简单脱壳测试
1. 最近研究so文件的保护,在网上搜索发现爱加密支持对so文件的保护,然后联系客户,本来是想让客户保护一个自己的so文件来做测试的,结果客户各种不愿意,说要签什么XX协议后才能给so保护,各种蛋疼..最后客户给了我一个他们保护后so和一个保护前的so与一个说明文档,如下图…...
2024/5/8 13:54:00 - 【安全】Web渗透测试(全流程)
1 信息收集1.1 域名、IP、端口域名信息查询:信息可用于后续渗透IP信息查询:确认域名对应IP,确认IP是否真实,确认通信是否正常端口信息查询:NMap扫描,确认开放端口 如果不会用Nmap,看这里:NMAP 基础教程(功能介绍,安装,使用)发现:一共开放两个端口,80为web访问端口…...
2024/5/9 0:41:41 - centos7如何安装w3m
1.安装epel扩展源: yum -y install epel-release 2.更新完成之后,就可安装 yum -y install w3m...
2024/5/8 22:48:43 - Win2008 R2 RemoteApp深度体验之五,远程桌面Web访问
远程桌面Web访问<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />我们在之前的文章中实现了RemoteApp服务器的部署,配置及测试。RemoteApp服务器使用的协议是大家非常熟悉的RDP协议,RDP协议使用的是3389端口。一般情况下在内…...
2024/5/8 14:12:01 - 手动脱壳—dump与重建输入表(转)
文章中用到的demo下载地址: http://download.csdn.net/detail/ccnyou/4540254 附件中包含demo以及文章word原稿 用到工具: Ollydbg LordPE ImportREC 这些工具请自行下载准备Dump原理这里也不多做描述,想要了解google it!常见的dump软件有LordPE,ProcDump,PETools等本文以…...
2024/4/21 11:22:46 - kali2020.1a安装w3af
安装w3af 安装全程建议科学上网 一、 本次安装环境 Linux kali 5.4.0-kali4-amd64 #1 SMP Debian 5.4.19-1kali1 (2020-02-17) x86_64 GNU/Linux二、 安装python包管理环境 apt install python-pip 三、 安装NPM包管理工具 apt install npm libyaml-dev libsqlite3-dev 四、 补…...
2024/4/21 11:22:45 - Ollydbg手动脱壳得几点小结,转自www.pediy.com
标 题:Ollydbg手动脱壳得几点小结 (4千字)发信人: sxssl[BCG]时 间: 2003-5-4 22:21:32详细信息:Ollydbg手动脱壳得几点小结: 引子:2002.5.5是我有生以来最最黑暗的日子,那段时间我正当高三班主任而且5月份已临近高考,学生很需要我,我正带着高三4个班的课,没人能顶替 我…...
2024/4/21 11:22:44 - 远程计算机或设备将不接受连接,IE无法上网
遇到一个奇葩问题,IE浏览器突然不能上网了(连带着OA不能登录),但是其他浏览器可以,QQ什么的也都正常,只有IE是出现:远程计算机或设备将不接受连接 这个问题,网上找了很多答案都没用,什么设置WINS,允许远程访问,取消internet代理统统都试过了。最后的解决办法是:1.win…...
2024/5/8 13:52:13 - CSS W3C 统一验证工具
CSS W3C 统一验证工具 CssStats 是一个在线的 CSS 代码分析工具 网址是: http://www.cssstats.com/ W3C 统一验证工具: http://validator.w3.org/unicorn/ 它可以检测本地文件!! http://tool.chinaz.com/Tools/CssFormat.aspx css 代码压缩...
2024/4/21 11:22:41 - EnCryPtPE 2003.5.18主程序的脱壳
【目 标】:EnCryPtPE 2003.5.18主程序【工 具】:Olydbg1.1(diy版)、LORDPE、ImportREC1.6F【任 务】:脱马甲【操作平台】:Windows Xp sp1【作 者】:loveboom[DFCG][FCG][US]【简要说明】:不打算发布出去,只是当做自己以后参考用而已【详细过程】:设置:忽略全部异常,其它…...
2024/4/29 23:58:53 - Windows Server 2008 RemoteApp(五)---远程桌面Web访问
在一般情况下,我们是通过客户端上的远程桌面连接器连接到远程桌面服务器,使用的端口默认是3389,但企业内部服务器的3389端口往往是不会在防火墙上对外部开放的,这时就要考虑另一种访问方法,通过部署远程桌面Web访问,使客户端可以通过http协议来访问到远程桌面和RemoteApp…...
2024/5/9 0:13:53 - 解决w3wp.exe占用CPU和内存问题
在WINDOWS2003+IIS6下,经常出现w3wp的内存占用不能及时释放,从而导致服务器响应速度很慢。今天研究了一下,可以做以下配置:1、在IIS中对每个网站进行单独的应用程序池配置。即互相之间不影响。2、设置应用程序池的回收时间,默认为1720小时,可以根据情况修改。同时,设置同…...
2024/4/21 11:22:38 - 星外虚拟主机提权拿服务器
星外虚拟主机提权拿服务器 2011-04-24 12:37星外虚拟主机提权拿服务器 本次是对自己的IDC服务器的一次友情检测。 本来服务器就已经拿了N次了。漏洞一直都放在那里。 结果总有人拿到权限就炫耀。至于吗、?我本来就打算去换空间去了。 (还有仇家格我站,技术差我还不说什么…...
2024/4/21 11:22:37 - exe重定位清除,主要让WIN7的动态基址不起作用
若EXE有重定位表,在属性里将重定位已分离勾上,同时将重定位表的数值清零,OK,WIN7再也不用将EXE动态基址了。爽.原文在看雪:标 题: 【原创】【脱壳修复】win7下简单处理重定位表作 者: xhbuming时 间: 2015-04-23,15:14:40链 接: http://bbs.pediy.com/showthread.php?t=1…...
2024/4/21 11:22:37 - 堡垒机银行行业设计方案
1 文档说明 1.1 麒麟开源堡垒机方案概述 随着银行范围和营业网点的不断延伸扩大,各类特色业务系统和基础网络设备随之上线运行,切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时,随着业务系统应用范围越来越广、数据越来越多,所需日常维护的系统和设备也在…...
2024/4/21 11:22:35
最新文章
- Codeforces Round 940 (Div. 2) and CodeCraft-23 D. A BIT of an Inequality
A BIT of an Inequality 题目描述 给你一个数组 a 1 , a 2 , … , a n a_1, a_2, \ldots, a_n a1,a2,…,an 。求这样的图元( x , y , z x, y, z x,y,z )的个数: 1 ≤ x ≤ y ≤ z ≤ n 1 \leq x \leq y \leq z \leq n 1≤x≤y≤z≤…...
2024/5/9 1:21:20 - 梯度消失和梯度爆炸的一些处理方法
在这里是记录一下梯度消失或梯度爆炸的一些处理技巧。全当学习总结了如有错误还请留言,在此感激不尽。 权重和梯度的更新公式如下: w w − η ⋅ ∇ w w w - \eta \cdot \nabla w ww−η⋅∇w 个人通俗的理解梯度消失就是网络模型在反向求导的时候出…...
2024/5/7 10:36:02 - Java-运算符
运算符 Java语言支持如下运算符: 算术运算符:,-,*,/,%,,--复制运算符:关系运算符:>, <, >, <, , !instanceof逻辑运算符:&&…...
2024/5/8 1:50:44 - JAVA面试大全之架构篇
目录 1、架构基础 1.1、如何理解架构的演进? 1.2、如何理解架构的服务化趋势? 1.3、架构中有哪些技术点? 2、缓存...
2024/5/7 16:48:16 - 【外汇早评】美通胀数据走低,美元调整
原标题:【外汇早评】美通胀数据走低,美元调整昨日美国方面公布了新一期的核心PCE物价指数数据,同比增长1.6%,低于前值和预期值的1.7%,距离美联储的通胀目标2%继续走低,通胀压力较低,且此前美国一季度GDP初值中的消费部分下滑明显,因此市场对美联储后续更可能降息的政策…...
2024/5/8 6:01:22 - 【原油贵金属周评】原油多头拥挤,价格调整
原标题:【原油贵金属周评】原油多头拥挤,价格调整本周国际劳动节,我们喜迎四天假期,但是整个金融市场确实流动性充沛,大事频发,各个商品波动剧烈。美国方面,在本周四凌晨公布5月份的利率决议和新闻发布会,维持联邦基金利率在2.25%-2.50%不变,符合市场预期。同时美联储…...
2024/5/7 9:45:25 - 【外汇周评】靓丽非农不及疲软通胀影响
原标题:【外汇周评】靓丽非农不及疲软通胀影响在刚结束的周五,美国方面公布了新一期的非农就业数据,大幅好于前值和预期,新增就业重新回到20万以上。具体数据: 美国4月非农就业人口变动 26.3万人,预期 19万人,前值 19.6万人。 美国4月失业率 3.6%,预期 3.8%,前值 3…...
2024/5/4 23:54:56 - 【原油贵金属早评】库存继续增加,油价收跌
原标题:【原油贵金属早评】库存继续增加,油价收跌周三清晨公布美国当周API原油库存数据,上周原油库存增加281万桶至4.692亿桶,增幅超过预期的74.4万桶。且有消息人士称,沙特阿美据悉将于6月向亚洲炼油厂额外出售更多原油,印度炼油商预计将每日获得至多20万桶的额外原油供…...
2024/5/7 14:25:14 - 【外汇早评】日本央行会议纪要不改日元强势
原标题:【外汇早评】日本央行会议纪要不改日元强势近两日日元大幅走强与近期市场风险情绪上升,避险资金回流日元有关,也与前一段时间的美日贸易谈判给日本缓冲期,日本方面对汇率问题也避免继续贬值有关。虽然今日早间日本央行公布的利率会议纪要仍然是支持宽松政策,但这符…...
2024/5/4 23:54:56 - 【原油贵金属早评】欧佩克稳定市场,填补伊朗问题的影响
原标题:【原油贵金属早评】欧佩克稳定市场,填补伊朗问题的影响近日伊朗局势升温,导致市场担忧影响原油供给,油价试图反弹。此时OPEC表态稳定市场。据消息人士透露,沙特6月石油出口料将低于700万桶/日,沙特已经收到石油消费国提出的6月份扩大出口的“适度要求”,沙特将满…...
2024/5/4 23:55:05 - 【外汇早评】美欲与伊朗重谈协议
原标题:【外汇早评】美欲与伊朗重谈协议美国对伊朗的制裁遭到伊朗的抗议,昨日伊朗方面提出将部分退出伊核协议。而此行为又遭到欧洲方面对伊朗的谴责和警告,伊朗外长昨日回应称,欧洲国家履行它们的义务,伊核协议就能保证存续。据传闻伊朗的导弹已经对准了以色列和美国的航…...
2024/5/4 23:54:56 - 【原油贵金属早评】波动率飙升,市场情绪动荡
原标题:【原油贵金属早评】波动率飙升,市场情绪动荡因中美贸易谈判不安情绪影响,金融市场各资产品种出现明显的波动。随着美国与中方开启第十一轮谈判之际,美国按照既定计划向中国2000亿商品征收25%的关税,市场情绪有所平复,已经开始接受这一事实。虽然波动率-恐慌指数VI…...
2024/5/7 11:36:39 - 【原油贵金属周评】伊朗局势升温,黄金多头跃跃欲试
原标题:【原油贵金属周评】伊朗局势升温,黄金多头跃跃欲试美国和伊朗的局势继续升温,市场风险情绪上升,避险黄金有向上突破阻力的迹象。原油方面稍显平稳,近期美国和OPEC加大供给及市场需求回落的影响,伊朗局势并未推升油价走强。近期中美贸易谈判摩擦再度升级,美国对中…...
2024/5/4 23:54:56 - 【原油贵金属早评】市场情绪继续恶化,黄金上破
原标题:【原油贵金属早评】市场情绪继续恶化,黄金上破周初中国针对于美国加征关税的进行的反制措施引发市场情绪的大幅波动,人民币汇率出现大幅的贬值动能,金融市场受到非常明显的冲击。尤其是波动率起来之后,对于股市的表现尤其不安。隔夜美国股市出现明显的下行走势,这…...
2024/5/6 1:40:42 - 【外汇早评】美伊僵持,风险情绪继续升温
原标题:【外汇早评】美伊僵持,风险情绪继续升温昨日沙特两艘油轮再次发生爆炸事件,导致波斯湾局势进一步恶化,市场担忧美伊可能会出现摩擦生火,避险品种获得支撑,黄金和日元大幅走强。美指受中美贸易问题影响而在低位震荡。继5月12日,四艘商船在阿联酋领海附近的阿曼湾、…...
2024/5/4 23:54:56 - 【原油贵金属早评】贸易冲突导致需求低迷,油价弱势
原标题:【原油贵金属早评】贸易冲突导致需求低迷,油价弱势近日虽然伊朗局势升温,中东地区几起油船被袭击事件影响,但油价并未走高,而是出于调整结构中。由于市场预期局势失控的可能性较低,而中美贸易问题导致的全球经济衰退风险更大,需求会持续低迷,因此油价调整压力较…...
2024/5/8 20:48:49 - 氧生福地 玩美北湖(上)——为时光守候两千年
原标题:氧生福地 玩美北湖(上)——为时光守候两千年一次说走就走的旅行,只有一张高铁票的距离~ 所以,湖南郴州,我来了~ 从广州南站出发,一个半小时就到达郴州西站了。在动车上,同时改票的南风兄和我居然被分到了一个车厢,所以一路非常愉快地聊了过来。 挺好,最起…...
2024/5/7 9:26:26 - 氧生福地 玩美北湖(中)——永春梯田里的美与鲜
原标题:氧生福地 玩美北湖(中)——永春梯田里的美与鲜一觉醒来,因为大家太爱“美”照,在柳毅山庄去寻找龙女而错过了早餐时间。近十点,向导坏坏还是带着饥肠辘辘的我们去吃郴州最富有盛名的“鱼头粉”。说这是“十二分推荐”,到郴州必吃的美食之一。 哇塞!那个味美香甜…...
2024/5/4 23:54:56 - 氧生福地 玩美北湖(下)——奔跑吧骚年!
原标题:氧生福地 玩美北湖(下)——奔跑吧骚年!让我们红尘做伴 活得潇潇洒洒 策马奔腾共享人世繁华 对酒当歌唱出心中喜悦 轰轰烈烈把握青春年华 让我们红尘做伴 活得潇潇洒洒 策马奔腾共享人世繁华 对酒当歌唱出心中喜悦 轰轰烈烈把握青春年华 啊……啊……啊 两…...
2024/5/8 19:33:07 - 扒开伪装医用面膜,翻六倍价格宰客,小姐姐注意了!
原标题:扒开伪装医用面膜,翻六倍价格宰客,小姐姐注意了!扒开伪装医用面膜,翻六倍价格宰客!当行业里的某一品项火爆了,就会有很多商家蹭热度,装逼忽悠,最近火爆朋友圈的医用面膜,被沾上了污点,到底怎么回事呢? “比普通面膜安全、效果好!痘痘、痘印、敏感肌都能用…...
2024/5/5 8:13:33 - 「发现」铁皮石斛仙草之神奇功效用于医用面膜
原标题:「发现」铁皮石斛仙草之神奇功效用于医用面膜丽彦妆铁皮石斛医用面膜|石斛多糖无菌修护补水贴19大优势: 1、铁皮石斛:自唐宋以来,一直被列为皇室贡品,铁皮石斛生于海拔1600米的悬崖峭壁之上,繁殖力差,产量极低,所以古代仅供皇室、贵族享用 2、铁皮石斛自古民间…...
2024/5/8 20:38:49 - 丽彦妆\医用面膜\冷敷贴轻奢医学护肤引导者
原标题:丽彦妆\医用面膜\冷敷贴轻奢医学护肤引导者【公司简介】 广州华彬企业隶属香港华彬集团有限公司,专注美业21年,其旗下品牌: 「圣茵美」私密荷尔蒙抗衰,产后修复 「圣仪轩」私密荷尔蒙抗衰,产后修复 「花茵莳」私密荷尔蒙抗衰,产后修复 「丽彦妆」专注医学护…...
2024/5/4 23:54:58 - 广州械字号面膜生产厂家OEM/ODM4项须知!
原标题:广州械字号面膜生产厂家OEM/ODM4项须知!广州械字号面膜生产厂家OEM/ODM流程及注意事项解读: 械字号医用面膜,其实在我国并没有严格的定义,通常我们说的医美面膜指的应该是一种「医用敷料」,也就是说,医用面膜其实算作「医疗器械」的一种,又称「医用冷敷贴」。 …...
2024/5/6 21:42:42 - 械字号医用眼膜缓解用眼过度到底有无作用?
原标题:械字号医用眼膜缓解用眼过度到底有无作用?医用眼膜/械字号眼膜/医用冷敷眼贴 凝胶层为亲水高分子材料,含70%以上的水分。体表皮肤温度传导到本产品的凝胶层,热量被凝胶内水分子吸收,通过水分的蒸发带走大量的热量,可迅速地降低体表皮肤局部温度,减轻局部皮肤的灼…...
2024/5/4 23:54:56 - 配置失败还原请勿关闭计算机,电脑开机屏幕上面显示,配置失败还原更改 请勿关闭计算机 开不了机 这个问题怎么办...
解析如下:1、长按电脑电源键直至关机,然后再按一次电源健重启电脑,按F8健进入安全模式2、安全模式下进入Windows系统桌面后,按住“winR”打开运行窗口,输入“services.msc”打开服务设置3、在服务界面,选中…...
2022/11/19 21:17:18 - 错误使用 reshape要执行 RESHAPE,请勿更改元素数目。
%读入6幅图像(每一幅图像的大小是564*564) f1 imread(WashingtonDC_Band1_564.tif); subplot(3,2,1),imshow(f1); f2 imread(WashingtonDC_Band2_564.tif); subplot(3,2,2),imshow(f2); f3 imread(WashingtonDC_Band3_564.tif); subplot(3,2,3),imsho…...
2022/11/19 21:17:16 - 配置 已完成 请勿关闭计算机,win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机...
win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机”问题的解决方法在win7系统关机时如果有升级系统的或者其他需要会直接进入一个 等待界面,在等待界面中我们需要等待操作结束才能关机,虽然这比较麻烦,但是对系统进行配置和升级…...
2022/11/19 21:17:15 - 台式电脑显示配置100%请勿关闭计算机,“准备配置windows 请勿关闭计算机”的解决方法...
有不少用户在重装Win7系统或更新系统后会遇到“准备配置windows,请勿关闭计算机”的提示,要过很久才能进入系统,有的用户甚至几个小时也无法进入,下面就教大家这个问题的解决方法。第一种方法:我们首先在左下角的“开始…...
2022/11/19 21:17:14 - win7 正在配置 请勿关闭计算机,怎么办Win7开机显示正在配置Windows Update请勿关机...
置信有很多用户都跟小编一样遇到过这样的问题,电脑时发现开机屏幕显现“正在配置Windows Update,请勿关机”(如下图所示),而且还需求等大约5分钟才干进入系统。这是怎样回事呢?一切都是正常操作的,为什么开时机呈现“正…...
2022/11/19 21:17:13 - 准备配置windows 请勿关闭计算机 蓝屏,Win7开机总是出现提示“配置Windows请勿关机”...
Win7系统开机启动时总是出现“配置Windows请勿关机”的提示,没过几秒后电脑自动重启,每次开机都这样无法进入系统,此时碰到这种现象的用户就可以使用以下5种方法解决问题。方法一:开机按下F8,在出现的Windows高级启动选…...
2022/11/19 21:17:12 - 准备windows请勿关闭计算机要多久,windows10系统提示正在准备windows请勿关闭计算机怎么办...
有不少windows10系统用户反映说碰到这样一个情况,就是电脑提示正在准备windows请勿关闭计算机,碰到这样的问题该怎么解决呢,现在小编就给大家分享一下windows10系统提示正在准备windows请勿关闭计算机的具体第一种方法:1、2、依次…...
2022/11/19 21:17:11 - 配置 已完成 请勿关闭计算机,win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机”的解决方法...
今天和大家分享一下win7系统重装了Win7旗舰版系统后,每次关机的时候桌面上都会显示一个“配置Windows Update的界面,提示请勿关闭计算机”,每次停留好几分钟才能正常关机,导致什么情况引起的呢?出现配置Windows Update…...
2022/11/19 21:17:10 - 电脑桌面一直是清理请关闭计算机,windows7一直卡在清理 请勿关闭计算机-win7清理请勿关机,win7配置更新35%不动...
只能是等着,别无他法。说是卡着如果你看硬盘灯应该在读写。如果从 Win 10 无法正常回滚,只能是考虑备份数据后重装系统了。解决来方案一:管理员运行cmd:net stop WuAuServcd %windir%ren SoftwareDistribution SDoldnet start WuA…...
2022/11/19 21:17:09 - 计算机配置更新不起,电脑提示“配置Windows Update请勿关闭计算机”怎么办?
原标题:电脑提示“配置Windows Update请勿关闭计算机”怎么办?win7系统中在开机与关闭的时候总是显示“配置windows update请勿关闭计算机”相信有不少朋友都曾遇到过一次两次还能忍但经常遇到就叫人感到心烦了遇到这种问题怎么办呢?一般的方…...
2022/11/19 21:17:08 - 计算机正在配置无法关机,关机提示 windows7 正在配置windows 请勿关闭计算机 ,然后等了一晚上也没有关掉。现在电脑无法正常关机...
关机提示 windows7 正在配置windows 请勿关闭计算机 ,然后等了一晚上也没有关掉。现在电脑无法正常关机以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!关机提示 windows7 正在配…...
2022/11/19 21:17:05 - 钉钉提示请勿通过开发者调试模式_钉钉请勿通过开发者调试模式是真的吗好不好用...
钉钉请勿通过开发者调试模式是真的吗好不好用 更新时间:2020-04-20 22:24:19 浏览次数:729次 区域: 南阳 > 卧龙 列举网提醒您:为保障您的权益,请不要提前支付任何费用! 虚拟位置外设器!!轨迹模拟&虚拟位置外设神器 专业用于:钉钉,外勤365,红圈通,企业微信和…...
2022/11/19 21:17:05 - 配置失败还原请勿关闭计算机怎么办,win7系统出现“配置windows update失败 还原更改 请勿关闭计算机”,长时间没反应,无法进入系统的解决方案...
前几天班里有位学生电脑(windows 7系统)出问题了,具体表现是开机时一直停留在“配置windows update失败 还原更改 请勿关闭计算机”这个界面,长时间没反应,无法进入系统。这个问题原来帮其他同学也解决过,网上搜了不少资料&#x…...
2022/11/19 21:17:04 - 一个电脑无法关闭计算机你应该怎么办,电脑显示“清理请勿关闭计算机”怎么办?...
本文为你提供了3个有效解决电脑显示“清理请勿关闭计算机”问题的方法,并在最后教给你1种保护系统安全的好方法,一起来看看!电脑出现“清理请勿关闭计算机”在Windows 7(SP1)和Windows Server 2008 R2 SP1中,添加了1个新功能在“磁…...
2022/11/19 21:17:03 - 请勿关闭计算机还原更改要多久,电脑显示:配置windows更新失败,正在还原更改,请勿关闭计算机怎么办...
许多用户在长期不使用电脑的时候,开启电脑发现电脑显示:配置windows更新失败,正在还原更改,请勿关闭计算机。。.这要怎么办呢?下面小编就带着大家一起看看吧!如果能够正常进入系统,建议您暂时移…...
2022/11/19 21:17:02 - 还原更改请勿关闭计算机 要多久,配置windows update失败 还原更改 请勿关闭计算机,电脑开机后一直显示以...
配置windows update失败 还原更改 请勿关闭计算机,电脑开机后一直显示以以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!配置windows update失败 还原更改 请勿关闭计算机&#x…...
2022/11/19 21:17:01 - 电脑配置中请勿关闭计算机怎么办,准备配置windows请勿关闭计算机一直显示怎么办【图解】...
不知道大家有没有遇到过这样的一个问题,就是我们的win7系统在关机的时候,总是喜欢显示“准备配置windows,请勿关机”这样的一个页面,没有什么大碍,但是如果一直等着的话就要两个小时甚至更久都关不了机,非常…...
2022/11/19 21:17:00 - 正在准备配置请勿关闭计算机,正在准备配置windows请勿关闭计算机时间长了解决教程...
当电脑出现正在准备配置windows请勿关闭计算机时,一般是您正对windows进行升级,但是这个要是长时间没有反应,我们不能再傻等下去了。可能是电脑出了别的问题了,来看看教程的说法。正在准备配置windows请勿关闭计算机时间长了方法一…...
2022/11/19 21:16:59 - 配置失败还原请勿关闭计算机,配置Windows Update失败,还原更改请勿关闭计算机...
我们使用电脑的过程中有时会遇到这种情况,当我们打开电脑之后,发现一直停留在一个界面:“配置Windows Update失败,还原更改请勿关闭计算机”,等了许久还是无法进入系统。如果我们遇到此类问题应该如何解决呢࿰…...
2022/11/19 21:16:58 - 如何在iPhone上关闭“请勿打扰”
Apple’s “Do Not Disturb While Driving” is a potentially lifesaving iPhone feature, but it doesn’t always turn on automatically at the appropriate time. For example, you might be a passenger in a moving car, but your iPhone may think you’re the one dri…...
2022/11/19 21:16:57