首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    如何绕过Windows 10的CFG机制

    了解CFG 控制流保护(Control Flow Guard,CFG)是微软在Windows 8.1 update 3和Windows 10下实现的一个保护机制,用以保护在汇编层下的直接调用。...趋势科技分享的一篇Windows 10如何实现CFG的分析文章很不错。虽说目前已有数种公开的CFG绕过方法,但是这些方法大多是针对CFG的实现算法,而我想从功能的薄弱点入手。...所以剩下的问题便是,我们如何利用任意读写来绕过CFG。 根据趋势科技的研究,函数LdrValidateUserCallTarget调用CFG验证函数是否有效使用了间接调用,如下图所示: ?...我要找的API应该是可以向堆栈加载一个指针用以覆盖返回地址,从而绕过CFG。...记住CFG会保护所有的间接调用,由于jscript9.dll的函数被CFG保护了,所以不能调用直接指向ntdll的函数。偏移地址0×10下就有一个这样的函数: ?

    1.7K60

    五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解

    这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。...接着介绍IDA Python配置过程,并讲解如何实现IDA手动提取控制流图(CFG)。...IDA Python如何批量将指定文件夹中样本转换为CFG,为后续家族分类提供支撑。 IDA能像IPython一样编辑代码的同时运行调试吗?dbg比较困难。...IDA提取的CFG存储究竟存储为什么格式,是json文件吗?又如何转换为图片呢?networkx库有啥用? 如何恢复CFG中不联通的图? 如何利用miasm提取CFG呢?据说其IR比较方便。...一.测试样本生成 二.IDA手动提取CFG 1.IDA概述 2.IDA手动保存CFG 3.GDL转换为图片格式 三.IDA Python基础用法 1.官方文档介绍 2.IDA如何运行Python代码 3

    89211
    领券