口袋侦探1安卓内购破解流程

口袋侦探是由韩国NFLY STUDIO于2013年左右推出的手机游戏,分为1、2两部,由口袋汉化组汉化。NFLY STUDIO传闻已解散,该游戏也很久未更新,安卓版只能在很老的Android 4环境下运行。

阅读更多

设置iframe中body的contentEditable属性

在HTML中,实现富文本/所见即所得编辑器的一种方法是将iframe中body的contentEditable属性设置为true。QQ邮箱的写信功能就使用了这一原理:

QQ邮箱写信功能

阅读更多

绕过火绒勒索病毒诱捕功能的一种方法

火绒的设置中可以勾选开启勒索病毒诱捕功能,开启后,火绒会在C盘创建两个文件夹,里面包含一些诱饵文件。当勒索软件对这些诱饵文件加密时,就会被火绒拦截。

https://bbs.huorong.cn/thread-22817-1-1.html

这两个文件夹的属性与普通的用户文件夹不同。勒索软件如果只需要加密普通的用户文件夹,则只用进行一些简单的判断就能识别并避开这些诱饵文件了。

阅读更多

利用Windows事件通知机制监控进程创建

利用Windows内核提供的事件通知机制,可以对系统内某一类事件的操作进行监控。比如,可以通过PsSetCreateProcessNotifyRoutineEx函数注册一个创建进程的通知,从而实现对进程创建的监控。

本文主要参考《Windows内核编程》第21章。

阅读更多

Process Hollowing在64位进程中的简单实现

首先,创建一个挂起状态的合法进程(比如notepad进程),然后再使用ZwUnmapViewOfSectionNtUnmapViewOfSection将合法的notepad模块占据的内存空间给unmap掉。接下来,向notepad的内存空间中写入恶意的PE文件,并通过修改进程的context,将入口点改为恶意PE文件的入口点。最后,使用ResumeThread使notepad恢复执行,从而达到在notepad进程空间中运行恶意PE文件的效果。这种方法就是Process Hollowing。

本文大量参考Leitch, J. (n.d.). Process Hollowing.这篇文章。

阅读更多

编写具有自我重定位功能的64位代码并注入其他进程

进程注入的一种实现方法是将恶意代码直接复制到目标进程的内存空间,并通过CreateRemoteThread在目标进程中执行这段恶意代码。这个方法的一个难点在于,恶意代码复制到目标进程的内存空间后,它的基地址可能会发生变化。假如说恶意代码需要对自身某个特定地址的数据进行访问,就会访问不到这个数据,因为数据的地址已经改变了。为了解决这一问题,需要进行重定位的操作。

阅读更多