Qiling框架学习

 前几天在看雪公众号上看到这篇文章：Qiling框架分析实战，当时简单看了看开头，应该是IOT漏洞利用的一个执行框架，感觉和我之后想干的很契合，所以打算学习学习。

 Qiling 框架是基于 unicorn 的多架构平台模拟执行框架，能够在模拟执行的基础上提供统一的分析 API，可以进行插桩分析、快照、系统调用和API劫持等操作。Joansivion提供了能够针对Qiling框架进行学习的程序，并提供了相应的writeup。他提供的 writeup 是 arm 架构的。本文也是对其提供的程序进行分析，但是提供的题解是x86_64的。

VMProtect逆向与还原浅析

 VMProtect是一个比较麻烦的壳，《加密与解密》第21章主要讲了这个壳，做一下笔记。此笔记分析的VMP版本为1.7。vmp可以看作一个虚拟机+虚假跳转/流程分割的壳。下面是一个虚假跳转的例子，实际上下面的两个块都只执行了Mov dword ptr ss:[ebp+04h], eax语句。

Go二进制文件逆向分析-2

 之前学过一点Go逆向，但是学的不深，主要是看到SCTF2023-hiddenInNetwork这个题目就蒙了哈哈，插件也不好使。本文主要是接着看JiaYu师傅的博文，深入了解一下Go逆向。

0x00 itab_link（interface映射表）

 Interface(接口) 用来定义一组行为(Interface Methods)，所有实现了这一组行为的类型，都可称之为实现了这个接口。接口的底层定义如下：

webshell应急响应

攻击的两种方式

 钓鱼、0day

webshell事件处理流程

1
2
3
4
5
6
7
8

（a）现场访谈确定范围
（b）分析日志：
	（1）日志存在：确定攻击事件->攻击特征->定位特征文件->确定攻击者IP->攻击复现
	（2）日志不存在：黑盒发掘漏洞并查看相关配置文件是否存在弱口令，如tomcat的tomcat-userxml，反共黑客喜欢用的struts2漏洞
（c）根除webshell
（d）后门排查根除
（e）漏洞修补
（f）输出文档与建议

webshell事件表现

 安全设备报警、被上级部门通报、被挂黑链、被篡改首页

矩阵复习题目（划的题+课后题）

划的题

1-4在ipad笔记上。

0x05

考虑上三角矩阵 $\mathbf{A}$