Ikoct的饮冰室

BPF逆向

发表于 2025-01-08 分类于二进制， Reverse
本文字数： 4.9k 阅读时长 ≈ 4 分钟

BPF(Berkeley Packet Filter)是一个在Linux内核运行的安全计算系统可以简单理解为一个专门为了计算过滤规则的虚拟机通常配合prctl() 或 seccomp()进行对系统调用的限制有两个主要32位寄存器:

A(累加器, Accumulator)：存储主要操作数据

X(索引寄存器, Index Register)：通常用于索引计算或临时存储数据

以及16个32位内存单元mem[idx]

支持常见的数值和位运算在使用seccomp或prctl添加了BPF过滤器后每次进行系统调用时都会先对使用的系统调用号sys_number 系统ABIarch 以及传入的参数进行安全计算然后判断是否能够执行系统调用

发表于 2024-12-23 分类于二进制， Reverse
本文字数： 27k 阅读时长 ≈ 24 分钟

记录一下比赛中遇到的Python逆向学习心得

发表于 2024-09-28 更新于 2024-10-23 分类于 Windows内核
本文字数： 368 阅读时长 ≈ 1 分钟

介绍一下如何用IDA配合Windbg和Vmware调试内核

发表于 2024-09-15 更新于 2024-12-02 分类于二进制， Reverse
本文字数： 24k 阅读时长 ≈ 22 分钟

记录一下比赛中遇到的各种C/C++的反逆向技巧(主要是Windows API)

发表于 2024-09-05 更新于 2024-10-23 分类于二进制， Reverse
本文字数： 14k 阅读时长 ≈ 13 分钟

Angr的力量是有极限的所以我要转行学idaapi了!

发表于 2024-08-29 更新于 2024-10-23 分类于二进制
本文字数： 20k 阅读时长 ≈ 18 分钟

侧信道攻击最原始的想法是直接对程序输入数据进行爆破测试例如羊城杯2024逆向的Rust-VM:

发表于 2024-07-18 更新于 2024-10-28 分类于二进制， Reverse
本文字数： 52k 阅读时长 ≈ 47 分钟

Angr提供了一个处理二进制文件的框架主流的指令集指令在被载入CLE框架后会根据功能被抽象为中间语言(IL) Angr提供的就是处理这些被载入为IL的程序可以用来实现自动化的程序调试例如直接载入程序然后像模拟的标准输入流输入数据以达到直接利用原程序进行爆破的目的同时Angr还内置了约束求解器

发表于 2024-05-22 更新于 2024-12-05 分类于二进制， Pwn
本文字数： 31k 阅读时长 ≈ 28 分钟

记录一下入门Pwn的心路历程

发表于 2024-05-10 更新于 2024-10-23 分类于二进制， Reverse
本文字数： 1.7k 阅读时长 ≈ 2 分钟

记录一下学习Frida的历程

发表于 2024-04-29 更新于 2024-10-23 分类于 Windows内核
本文字数： 9.2k 阅读时长 ≈ 8 分钟

msdelta.dll包含了一系列用于对文件进行补丁操作的API 鉴于网上资料极少且官方文档简陋记录一下学习过程