程序分析 初步分析 我们拿到程序后先进行查壳，可以发现是无壳32位程序，直接使用IDA打开 TLS 在程序跑起来之前会执行该TLS内的东西，我们可以看到有一个反调试，同时对一串字符串进行RC4解密 123456789unsigned int sub_401050(){ size_t v0; // eax if ( !IsDebuggerPresent() ) aY[5] =

前言 属于是赛后看WP才发现自己忘记将数据恢复在ASCII范围内，导致一直出来的都是奇怪东西… 呜呜，送上门的分都没拿到 解题过程 题目给了两个程序，都是Python打包后的，其中V2版本没有去除掉符号表，V1去除掉了，通过观察V2相关东西，同样的可以找到一个Base64后的字符串，并可以直接进行解密 解密可以拿到But maybe I can help you recover the so

前言 之前的实验让我们学习到了如何调用内核的API，我们可以通过创建一个稳定的零环到三环之前的切换环境，而在此次实验中我们将把从三环到零环的_KiFastCallEntry进行Hook，通过该操作来达到在三环到零环之前切换前执行相应的代码 实验过程 我们还是利用上次的代码逻辑，不同的是在本次实验中我们需要使用两个exe来完成对应的Hook 第一个exe将对应_KiFastCallEntry的地址空

前言 我们之前几次的实验大多都是通过设置自己的中断函数来完成一些简单的小东西，如赋值以及修改值等，如果需要实现某高级复杂功能时便需要我们进行调用API来快速省心省力的完成。还是和之前一样，需要我们对系统中断表进行操作，获取到 Ring 0 的权限后进行调用。 实验过程 同样的我们还是先搭建出一个中断处理的模板 12345678910111213141516171819202122232425262

综述 WannaCry是于2017年5月12日爆发的，勒索病毒WannaCry借助高危漏洞“永恒之蓝”（EternalBlue）在世界范围内爆发，并迅速在公网上进行传播，造成了极大的危害。正如其名勒索病毒会对文件进行加密，需要受害者进行支付比特币进行解密。 外部分析 导入导出表 我们先从外部入手，观察其对应的导入导出表，我们可以观察到导入了文件创建、文件读取、获取路径等文件操作，以及创建了互斥体，

前言 还记得我们之前的那个中断提权吗？我们修改了 idtr 表来把我们自己的中断函数进行执行。再此之前我们提到了在中断函数处理时我们无法再中断，但是在内核中存在有如下两个指令，可以让硬件中断变得可以执行或者是禁止执行 12CLI ;禁止中断发生STI ;允许中断发生 需要注意的是，当我们在内核模式下执行的时候应该尽快的恢复中断，如果长时间禁止中断时，我们可能会影响操作系统中其他动作的执行(如鼠标移

前言 在上一次中断提权实验中，我们采用的是单核，但是我们日常中使用的都是多核，那么同样的在多核中存在有一些特性，本次实验将关注于多核下的一些特性，同样因笔者知识有限，同样可能存在些不正确与不严谨的部分，还请多多指正 实验过程 我们还是一样的环境，因此不需要额外的搭建新的虚拟机，我们将原来的单处理器单内核进行修改 保存后我们启动虚拟机，还是同样的使用 WinDbg 来对其进行调试 我们中断下来时

前言 本实验过程相当于复现周壑大佬的相关实验过程，期间可能存在许多理解错误或者是不正确的地方，还请多多指正 内容来源：windows内核实验02_中断提权 环境搭建 在开始实验之前你需要一个虚拟机(本文以XP为示例)、VS进行开发以及一个WinDbg来对内核进行调试 虚拟机部分 我们创建一个32位的XP虚拟机，具体创建过程略去 在创建完成后，我们需要对虚拟机进行设置 将原来打印机带的串口删除

前置知识 通过查资料了解一些 VT 知识点，以及相关退出指令以及常量即可 其实整个题和 VT 关系不是很大，只是借助了 VT 来将对应加密的流程分为了 4 个部分来进行检测 学习参考链接 VT虚拟化技术笔记（part 4）- smallzhong_ zzhouhe/VT_Learn (github.com) VT技术入门 - _周壑 逆向分析 拿到题目后我们可以发现有两个东西，一个exe文件和

逆向分析 我们拖入IDA加载后可以很明显的观察到对应的 Main 函数空空如也 对于这种情况我们运行程序可以发现其有一个明显的字符串 Input:，我们通过这个字符串可以定位到相关的代码处，一番查找后我们可以发现有三处加密 通过 initterm 来初始化加密的全局函数 其中调用了一个RC4加密 一个魔改sha1加密 一个Base 8加密 从密文的16位开始比较 通过分析可以发现调用过程为