infinite

病毒介绍遭受WannaCry病毒侵害的电脑，其文件将被加密锁死，惯常来说，受害用户支付赎金后 可以获得解密密钥，恢复这些文件。但是根据火绒工程师的分析，遭受WannaCry攻击的 用户可能会永远失去这些文件。 WannaCry 病毒存在一个致命缺陷，即病毒作者无法明确认定哪些受害者支付了赎金，因 此很难给相应的解密密钥，所以用户即使支付了赎金，也未必能顺利获得密钥该电脑系统 及文件依旧无法得到恢复。 至于网上流传的各种“解密方法”，基本上是没用的，请大家切勿听信谎言，以防遭受更多 财产损失。一些安全厂商提供的“解密工具”，其实只是“文件恢复工具”，可以恢复一些被 删除的文件，但是作用有限。因为病毒是生成加密过的用户文件后再删除原始文件 ，所以存在通过文件恢复类工具恢复 原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁，导致被删除的原 始文件数据块被覆盖，致使实际恢复效果有限。且随着系统持续运行，恢复类工具恢复数 据的可能性会显著降低。该病毒分为两个部分： 蠕虫部分，用于病毒传播，并释放出勒索病毒。 勒索病毒部分，加密用户文件索要赎金。 以下是对wnry的行为...

更新这篇文章的原因是记录自己在hexo搭建博客中踩得各种坑。目的是为了提醒自己，下次同样问题的时候可以不用再查。如果我的踩坑记录能帮到其他人，那自然是更好。 hexo d 报 Error: Spawn failed 这里出错的原因是因为git 进行push或者hexo d的时候改变了一些.deploy_git文件下的内容。 解决方法是删除.deploy_git文件夹（在blog的目录中）; 查询到的方法为 ##删除git提交内容文件夹 rm -rf .deploy_git/ ##执行 git config --global core.autocrlf false ##最后 hexo clean && hexo g && hexo d 但是我这里报错 ls看一下 删除当前目录下的所有文件及目录，命令行为： rm -r * 文件一旦通过rm命令删除，则无法恢复，所以必须格外小心地使用该命令。 执行后，该文件夹中所有文件都被删除 最后 hexo clean && hexo g && hexo d 解决后...

MySQL学习笔记登录和退出MySQL服务器# 登录MySQL $ mysql -u root -p12345612 # 退出MySQL数据库服务器 exit; 基本语法-- 显示所有数据库 show databases; -- 创建数据库 CREATE DATABASE test; -- 切换数据库 use test; -- 显示数据库中的所有表 show tables; -- 创建数据表 CREATE TABLE pet ( name VARCHAR(20), owner VARCHAR(20), species VARCHAR(20), sex CHAR(1), birth DATE, death DATE ); -- 查看数据表结构 -- describe pet; desc pet; -- 查询表 SELECT * from pet; -- 插入数据 INSERT INTO pet VALUES ('puffball', 'Diane', 'hamster'...

开源工具：https://github.com/0xjiayu/go_parserGo 语言的编译工具链会全静态链接构建二进制文件，把标准库函数和第三方 package 全部做了静态编译，再加上 Go 二进制文件中还打包进去了 runtime 和 GC(Garbage Collection，垃圾回收) 模块代码，所以导致文件结构非常复杂 go语言分析的难点go语言是一种适合处理高并发需求的语言，这和他的goroutine有关，这是一种轻量级线程，goroutine可以初始时只给栈分配很小的空间，然后随着使用过程中的需要自动地增长。这就是为什么Go可以开千千万万个goroutine而不会耗尽内存。每次执行函数调用时Go的runtime都会进行检测，若当前栈的大小不够用，则会触发“中断”，从当前函数进入到Go的运行时库，Go的运行时库会保存此时的函数上下文环境，然后分配一个新的足够大的栈空间，将旧栈的内容拷贝到新栈中，并做一些设置 独特的调用约定和栈管理机制，使 C/C++ 二进制文件逆向分析的经验在这里力不从心：Go 语言用的是 continue stack 栈管理机制 ...

UPX加壳：使用x64dbg脱壳之开源壳upx - 知乎 (zhihu.com) 压缩后FILE size明显变小 查壳，发现已经加上了壳、 过了一些查杀， 自动脱壳方法（一般不灵） upx -d /path/to/file 手动脱壳用ada打开，发现加壳后发生了很大变化 找到OPE（原始程序入口地址） 设置硬件断点 （不会修改原有代码）hardwware c++程序的OEP特征00408027 >/$ 55 push ebp 00408028 |. 8BEC mov ebp,esp 0040802A |. 6A FF push -0x1 0040802C |. 68 F0F14000 push C++.0040F1F0 00408031 |. 68 84AF4000 push C++.0040AF84 ; SE 处理程序安装 00408036 |. 64:A1 00000000 mov eax,dword p...

DLL注入（英语：DLL injection）是一种计算机编程技术，它可以强行使另一个进程加载一个动态链接库以在其地址空间内运行指定代码，在Windows操作系统上，每个进程都有独立的进程空间，即一个进程是无法直接操作另一个进程的数据的（事实上，不仅Windows，许多操作系统也是如此）。但是DLL注入是用一种不直接的方式，来实现操作其他进程的数据。假设我们有一个DLL文件，里面有操作目标进程数据的程序代码逻辑，DLL注入就是使目标进程加载这个DLL，加载后，这个DLL就成为目标进程的一部分，目标进程的数据也就可以直接操作了 DLL注入基本流程（1） 打开目标进程HANDLE OpenProcess( DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId ); //- dwDesiredAccess 访问权限 //- bInheritHandle 是否继承句柄 //- dwProcessId 要打开的进程pid HANDLE hProcess = OpenProcess(PROCESS_ALL...

PE文件浅析相关术语文件偏移地址（File Offset,FOA）数据在PE文件中的地址。这是文件在磁盘中存放是相对于文件开头的偏移。 装载基址（Image Base）PE文件装入内存时的基地址。 虚拟内存地址（Virtual Address，VA）PE文件中的指令被装入内存之后的地址。 相对虚拟地址（Relative Virtual Address，RVA）内存地址相对于映射基址的偏移量。 三者关系VA=Image Base+ RVA PE解码器 IMAGE_DATA_DIRECTORY 数据目录结构typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; /**指向某个数据的相对虚拟地址 RAV 偏移0x00**/ DWORD Size; /**某个数据块的大小 偏移0x04**/ } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECT...

Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub. Quick StartCreate a new post$ hexo new "My New Post" More info: Writing Run server$ hexo server More info: Server Generate static files$ hexo generate More info: Generating Deploy to remote sites$ hexo deploy More info: Deployment __文章作者:helson __文章链接:https://helsome.gihub.io/2024/01/17...