damaoooo's blog

树莓派折腾记——射频控制开关前几日看了一篇知乎上面的从零开始打造智能开关的教程https://zhuanlan.zhihu.com/p/34219448，问了作者几个问题之后，便摩拳擦掌想试试，将自己的过程，还有安装中遇到的坑记录于此。建议保留这个网页，看看知乎教程之后，再回来看这个，因为知乎教程由于年代原因，坑还是蛮多的。 树莓派初始化安装系统，连接wifi这一套操作网上一抓一大把，就直接从安装了系统开始吧，由于我不搞啥图像之类的，显示器也只是在第一次用的时候采用，所以图形化界面简直是鸡肋，平常我就接一根电源线和一个gpio，因此直接选择用lite版本的系统 换源由于墙的原因，树莓派默认的源，巨慢无比，严重干扰后面的操作，强烈建议换源，但是没有vim换源的操作都很困难，于是只能卑微用默认源先安装了vim 建议使用清华源，里面的教程还是比较详尽的https://mirror.tuna.tsinghua.edu.cn/help/raspbian/ 下面是我的树莓派3B的Debian 10版本 123456# 编辑 `/etc/apt/sources.list` 文件，删除原文件所有内 ...

恶意代码分析实战笔记(四)LAB07-01.exe静态分析通过IDA分析整个程序的逻辑与疑点，先打开导入函数表，大致浏览程序的功能 发现了一个CreateServiceA，StartServiceCtrlDispatcherA，OpenSCManagerA 等等有关于系统服务的函数，说明该程序具有操作系统的操作，InternetOpenUrlA，InternetOpenA函数用于打开一个网址，CreateMutexA，OpenMutexA用于创建和打开互斥锁。 我们使用IDA分析程序的main函数 这个main()函数是用来创建一个服务列表，名字是MalService，主程序是sub_401040()，通过StartServiceCtrlDispatcherA来执行这样的一个函数，我们跟进服务主程序去看看 理清函数功能，首先是打开互斥锁HGL345，如果打开成功就创建这样的互斥锁，如果不成功就退出程序，是保证程序只有一个程序运行 然后打开服务管理器，获取当前进程，找到当前进程的名字和文件目录Filename，创建基于这个随机获取到的文件目录来创建自己的服务，参数解释如下 ...

恶意代码分析实战（三）1：DllMain的地址是什么？ 2：使用Imports窗口并浏览到gethostbyname, 导入函数定位到什么地址？ 3：有多少函数调用了gethostbyname? 4: 将精力集中在位于0x10001757处的对gethostbyname的调用，你能找出那个DNS请求将被触发吗？ 在这儿，找DNS，前面PUSH了这样一个字符串，跟进去 这个就是要DNS查询的地址，上面在压栈的时候有add eax,0dh的操作，因此指向的就是pics.praticalmalwareanalysis.com 5：IDA Pro识别了在0x10001656处的子过程中的多少个局部变量？ 局部变量有23个 6：IDA Pro识别了在0x10001656处的子过程中的多少个参数？参数就是IpThreadParameter=dword ptr 4这一个 7：使用Strings窗口，来在反汇编中定位字符串\cmd.exe /c。 它位于哪？ 8：在引用\cmd.exe /c的代码所在的区域发生了什么？ 上面的部分看上去像是一个命令行操作 上面一部分就是开启一个系统进程，然 ...

恶意代码分析实战笔记（二）LAB03-01.exe1、找出这个恶意代码的导入函数与字符串列表？使用strings查看字符串，发现一下内容 发现了一个网址，然后导入的函数库使用了VideoDriver，ws2_32.dll，还有个vmx32to64.exe听名字是视频32位转64位，又发现了两个注册表项SOFTWARE\Microsoft\Windows\CurrentVersion\Run还有SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders，是开机启动项。然后在Process Explorer里面跑一下，查看DLL，发现dnsapi.dll是查询DNS的 2、这个恶意代码在主机上的感染迹象特征是什么？修改注册表，在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver写一个值C:\WINDOWS\system32\vmx32to64.exe，然后开机自启，在C:\Windows\system32\vmx32to64.exe写入该文件 ...

自动化markdown插入图床之前用的是sm.ms的一个公共图床，的确很不错，还有开放API端口，很不错。于是我写了个自动化脚本，来实现上传到图床然后去对文本的连接进行替换的操作，但是由于这个图床够狠，1分钟必须低于多少次，然后一个小时又不能超过20张，非常烦人，看来免费的才是最贵的。于是下定决心不用这个API，自己去用自己的GitHub来搭建一个图床，VPS的话以后再考虑。 自己写了个脚本完成自动化操作，以后就非常方便了，只需要粘贴图片->图片放入git文件夹->运行自动化脚本,就可以完成替换了，比较方便，使用方法如下 首先在GitHub上面弄个目录来专门放你的图片 然后在本地git clone下来 然后把你的图片放进去，你也可以在typora中设置图片的自动保存路径，这样一来这一步也省去了，直接跑脚本 然后打开脚本，进行个人设置 需要个人设置的地方我都会在下面代码中注释出来 然后图床替换就完成了，是不是很快呢，自动化代码如下 1234567891011121314151617181920212223242526272829303132333435363738394 ...