2017年9月8日
反虚拟机技术总结
摘要: 总结一下反虚拟机检测技术 相关博客:http://bbs.pediy.com/thread-119969.htm 根据特定的文件夹或文件信息 通过查找磁盘中是否存在特定的文件夹或文件,判断当前是否在虚拟机中。VMware虚拟机中通常会有路径C:\Program Files\VMware\VMware 阅读全文
posted @ 2017-09-08 08:45 HsinTsao 阅读(955) 评论(0) 推荐(0) 编辑
病毒特征码
摘要: 特征码选取的基本方法 MD5以及CRC32这样的算法 1、计算校验和 这种方法的特点是简单快速,也是我们之前的专杀工具所采用的方式。但是采用这种方法,一种特征码只能匹配一个病毒,即便病毒的变动很小,也需要重新提取特征码,这造成的后果是会使得特征码库过于庞大,一般用于临时提取特征码。所以这种计算校验和 阅读全文
posted @ 2017-09-08 08:41 HsinTsao 阅读(2638) 评论(0) 推荐(0) 编辑
反调试技术总结
摘要: 总结了一下网上的反调试技术,记录一下 一、使用WindowsAPI : 1.IsDebuggerPresent 2.CheckRemoteDebuggerPresent ->call NtInformationProcess( 2参数ProcessInformationClass) 3.NTQuer 阅读全文
posted @ 2017-09-08 08:36 HsinTsao 阅读(683) 评论(0) 推荐(0) 编辑
2017年9月6日
x86 分页机制——虚拟地址到物理地址寻址
摘要: x86下的分页机制有一个特点:PAE模式 PAE模式 物理地址扩展,是基于x86 的服务器的一种功能,它使运行 Windows Server 2003, Enterprise Edition 和 Windows Server 2003,Datacenter Edition 的计算机可以支持4GB 以 阅读全文
posted @ 2017-09-06 21:25 HsinTsao 阅读(1530) 评论(1) 推荐(1) 编辑
2017年8月26日
Dll注入:修改PE文件 IAT注入
摘要: PE原理就不阐述了, 这个注入是PE感染的一种,通过添加一个新节注入,会改变PE文件的大小,将原有的导入表复制到新节中,并添加自己的导入表描述符,最后将数据目录项中指向的导入表的入口指向新节。 步骤: 1.添加一个新节;映射PE文件,判断是否可以加一个新节,找到节的尾部,矫正偏移,对齐RVA 填充新 阅读全文
posted @ 2017-08-26 13:32 HsinTsao 阅读(3146) 评论(5) 推荐(0) 编辑
2017年8月25日
ring0 关于SSDTHook使用的绕过页面写保护的原理与实现
摘要: 原博:http://www.cnblogs.com/hongfei/archive/2013/06/18/3142162.html 为了安全起见,Windows XP及其以后的系统将一些重要的内存页设置为只读属性,这样就算有权力访问该表也不能随意对其修改,例如SSDT、IDT等。但这种方法很容易被绕 阅读全文
posted @ 2017-08-25 14:29 HsinTsao 阅读(479) 评论(0) 推荐(0) 编辑
x64 分页机制——虚拟地址到物理地址寻址
摘要: 原博客:http://www.cnblogs.com/lanrenxinxin/p/4735027.html 详细的理论讲解都在上面 下面说的是通过windbg手动进行寻址,深入理解 x64: 实践: int main(){ char* v1 = "HelloWorld"; printf("%p\r 阅读全文
posted @ 2017-08-25 14:25 HsinTsao 阅读(2454) 评论(0) 推荐(1) 编辑
ring0 ShadowSSDTHook
摘要: SSDT:主要处理 Kernel32.dll中的系统调用,如openProcess,ReadFile等,主要在ntoskrnl.exe中实现(微软有给出 ntoskrnl源代码) ShadowSSDT: 1.主要处理,user32.dll,GDI32.dll中调用的函数,如postMessage,S 阅读全文
posted @ 2017-08-25 14:09 HsinTsao 阅读(633) 评论(0) 推荐(0) 编辑
ring0 恢复SSDTHook
摘要: 原理: 用ZwQuerySystemInformation 功能号为11(SystemModuleInformation) 得到所有系统模块的地址 遍历搜索得到ntos模块的基地址 读Ntos模块到System进程空间中 在ntos中找到函数真正地址 将地址转换为ssdt的索引 阅读全文
posted @ 2017-08-25 14:06 HsinTsao 阅读(716) 评论(0) 推荐(0) 编辑
ring0 SSDTHook 实现x64/x86
摘要: #include "HookSSDT.h" #include #define SEC_IMAGE 0x001000000 ULONG32 __NtOpenProcessIndex = 0; PVOID __ServiceTableBase = NULL; ULONG32 __OldNtOpenProcessOffset = 0; PVOID __OldNtOpenProces... 阅读全文
posted @ 2017-08-25 14:03 HsinTsao 阅读(970) 评论(0) 推荐(0) 编辑
ring0 SSDTHook
摘要: SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服 阅读全文
posted @ 2017-08-25 14:00 HsinTsao 阅读(420) 评论(0) 推荐(0) 编辑
ring0 暴力枚举进程
摘要: 原理:遍历进程ID,然后openprocess,能打开的都枚举出来 ring0 : ring3 : 阅读全文
posted @ 2017-08-25 13:56 HsinTsao 阅读(426) 评论(0) 推荐(0) 编辑
ring0 进程隐藏实现
摘要: 最近在学习内核编程,记录一下最近的学习笔记。 原理:将当前进程从eprocess结构的链表中删除 无法被! process 0 0 看见 阅读全文
posted @ 2017-08-25 13:52 HsinTsao 阅读(598) 评论(0) 推荐(0) 编辑
2017年8月1日
32位程序下调用64位函数——进程32位模式与64位模式切换
摘要: 之前学习的32位进程中调用64位进程函数的知识整理一下,也就是32位模式与64位模式之间的切换。 相关博客:http://www.cnblogs.com/lanrenxinxin/p/4821152.html 这个博客中提到了github上的开源库,我在另一份开源项目中也看到了个库,可以切换32位至 阅读全文
posted @ 2017-08-01 21:18 HsinTsao 阅读(5155) 评论(0) 推荐(1) 编辑
2017年7月30日
vs下如何调试Dll
摘要: 1.首先需要一个exe加载你的dll 2.dll项目的属性设置 3.将dll设为启动项 4.在dll中设置断点 F5就可以调试了 阅读全文
posted @ 2017-07-30 13:34 HsinTsao 阅读(492) 评论(0) 推荐(0) 编辑
2017年7月25日
CVE-2017-8464 LNK文件(快捷方式)远程代码执行漏洞复现
摘要: 北京时间2017年6月13日凌晨,微软官方发布6月安全补丁程序,“震网三代” LNK文件远程代码执行漏洞(CVE-2017-8464)和Windows搜索远程命令执行漏洞(CVE-2017-8543). CVE-2017-8543,当Windows搜索处理内存中的对象时,存在远程执行代码漏洞。成功利 阅读全文
posted @ 2017-07-25 19:01 HsinTsao 阅读(1012) 评论(0) 推荐(0) 编辑
2017年7月24日
永恒之蓝EternalBlue复现
摘要: 0x01 漏洞原理:http://blogs.360.cn/blog/nsa-eternalblue-smb/ 目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Window 阅读全文
posted @ 2017-07-24 08:17 HsinTsao 阅读(4779) 评论(0) 推荐(0) 编辑
2017年7月20日
利用XShell和WinSCP连接本机和Linux虚拟机——Kali部署
摘要: 1.XShell支持在本机直接连接Linux终端,加快速度,支持命令的复制粘贴 2.WinSCP 支持本机与Linux的文件复制粘贴 关键:使用SSH协议,所以要在Linux开启ssh服务,下面以Kali为例 Kali方面: 0x01 修改此文件 将这行注释放开 将这个改为yes 保存 0x02 开 阅读全文
posted @ 2017-07-20 21:38 HsinTsao 阅读(1090) 评论(0) 推荐(0) 编辑
2017年7月16日
Metasploitable渗透测试实战——生成木马
摘要: 攻击机:kali 目标机:windows 1.生成木马 wincap发送至本机 2.进入msf (命令:msfconsole)启动监听 3.当目标点击test.exe(可伪装)时,触发后门,实现入侵 阅读全文
posted @ 2017-07-16 16:30 HsinTsao 阅读(1472) 评论(0) 推荐(0) 编辑
Metasploitable渗透测试实战——Windows漏洞 MS08-067复现
摘要: Ms08-067 攻防环境: 攻击机:kali ip:198.168.12.212 靶机:Window XP 未打过ms08-067补丁 ip:198.168.12.209 阅读全文
posted @ 2017-07-16 16:23 HsinTsao 阅读(1053) 评论(0) 推荐(0) 编辑