摘要:
应急响应 二进制安全 渗透测试 python,C++编程 流量分析溯源 阅读全文
摘要:
利用虚拟网卡MAC地址 MAC地址的前三个字节标识一个供应商,而以00:0C:29开始的MAC地址与VMwara相对应。恶意代码只需要检测模拟网卡MAC地址是否在VMware范围中即可 绕过VMware痕迹探测 反虚拟机指令 绕过VMware痕迹探测 反虚拟机指令 阅读全文
摘要:
调用函数检测方式 IsDebuggerPresent(检测本进程) 检查进程环境块(PEB)中IsDebugged标志 如果没有被调试就返回0,如果调试附加了进程,函数返回非零值 CheckRemoteDebuggerPresent(检测其他进程) 这个函数和上面的函数检测的原理是一致的,但是他可以 阅读全文
摘要:
1.GINA拦截 在Windows XP系统中,恶意代码利用微软图形识别和验证界面(GINA)拦截技术窃取信息,GINA的目的就是微软让合法的第三方通过添加代码来自定义登陆过程。恶意代码就是利用GINA对第三方的支持来加载窃密器 具体的图形(类似于HOOK): 击键记录(这里并不是SetWindow 阅读全文
摘要:
Dos攻击:拒绝服务攻击,就是合理的用运用服务请求来占用过多的服务资源,从而使用户无法得到服务响应,单一的dos就是一对一的方式,但是随着计算机的发展,计算机处理数据的能力增长,这样使得dos攻击难度增加,所以就出现了DDos 分布式拒绝服务攻击。就是利用更多的肉鸡来发起攻击,使得攻击规模增大。 D 阅读全文
摘要:
AppInit_DLL(利用user32.dll) 通过AppInit_DLL特殊的注册表项,这样可以获取DLL的加载,因为AppInit_DLL中的DLL会在进程加载User32.dll时被加载 由于很多程序都是加载User32.dll,所以这些进程也会加载AppInit_DLL,恶意代码编写者通 阅读全文
摘要:
进程替换的原理: 1.先利用CreateProcess来创建一个进程,但是在创建的过程中需要以挂起的方式去创建 2.进程被创建后,恶意代码就需要将进程的内存空间进行替换,通常会使用ZwUnmapViewOfSection来释放指向的内存 3.原宿主的内存被释放后,需要用VirtualAllocEx为 阅读全文
摘要:
APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码,每一个线程都有一个附加的APC队列,他们在线程处于可警告的时候才被处理(WaitForSingObjectEx,SleepEx) 如果程序在线程可警告等待状态时候排入一个APC队列,那么线程将开始执行APC函数,恶意代码则可以设置 阅读全文
摘要:
我们可以调用RaiseException来产生额外的软件异常 SEH的位置: 操作系统会检查FS段寄存器,这个段寄存器会有一个段选择子,使用段选择子可以查找线程环境快TEB,TEB中第一个数据结构是线程信息块(TIB).TIB中第一个元素就是SEH的链的指针 SEH异常处理结构类似于栈操作,新的异常 阅读全文
摘要:
1.软件断点 但是软件断点的缺点就是,当我们调试自身代码的时候,如果有修改自身代码的操作,就会将我们提前好的int 0xCC,进行无意的修改,这样断点也就无法正常断下 2.硬件断点 所以相对于这一点,硬件断点的优点就显而易见 当我们在地址0xXXXXXXX设置一个断点,处理器不会关心地址所在储存的内 阅读全文
摘要:
1.OD有loaddll.exe的功能,可以帮我们直接定位到dllmain函数 我们需要将其他硬件断点直接关闭,然后F9运行程序 在 然后在dll中可以看函数名称及其导出调用 然后在dll中可以看函数名称及其导出调用 阅读全文
摘要:
除零异常是由硬件抛出 内存无效的访问是由操作系统抛出 也可以在代码中使用RaiseException调用,显式抛出异常 这里也就说明了异常被处理完成之后如何回到我们的代码流继续执行代码(通过栈帧) 当然漏洞的利用也可以通过将栈发生溢出,然后主动抛出一个异常,代码流也就会主动跑到刚刚溢出的异常处理函数 阅读全文
摘要:
1.Windows使用两种处理器特权级别:1.内核 2.用户 2.几乎所有的代码都在用户模式,除了操作系统和硬件驱动 3.用户模式不能直接访问硬件,它被限制只能访问CPU上所有寄存器和可用指令的一个子集,所以我们为了改变硬件或者修改内核中的状态,必须依赖API 4.进入内核模式的方式:SYSENTE 阅读全文
摘要:
六,注入与HOOK dll注入 我们想在远程的进程中注入一段程序,即我们写的代码,注入一个dll是最合适,也是最方便的 注入dll的套路: 一,打开进程,获取到进程句柄 二,根据打开的进程,我们在远程进程上开辟内存空间,方便我们一会将dll写入开辟的空间内 三,我们先将dll的路径写入开辟的虚拟内存 阅读全文
摘要:
1. 进程 进程就是一个正在运行当中的程序 我们理解进程可以把它当做一个容器来理解,容器里面包含的有线程,其本身并没有执行代码的能力。因此我们在进程的创建之初都会创建一个主线程用于执行代码,如果此主线程结束,系统就会销毁这个进程内核对象 进程简单的分为两种:系统进程和用户进程 系统进程就是用于完成操 阅读全文
摘要:
编写的步骤: 1.包含头文件和库 #include<winsock2.h> #progma comment(lib,"ws2_32.lib") 2.指定需要使用的winsock规模最高版本,并初始化winsock,装入winsock.dll WSAstartup(MAKEWORD(2,2),&wsa 阅读全文
摘要:
1.一个简单的警告框 #include <windows.h> #include "stdio.h" int APIENTRY wWinMain( HINSTANCE hInstance, HINSTANCE hPreInstance, LPTSTR lpCmd, int nCmd ){ //一个简 阅读全文
摘要:
WINDOW窗口相关点 风格:Windows窗口风格三个典型风格:重叠窗口,弹出窗口,子窗口 分别是:WS_OVERLAPPED WS_POPUP WS_CHILD 控件基础 控件时windows系统内置的窗口类,他们时某一个窗口的子窗口,所以创建他们的风格必须是WS_CHILD 控件消息: 控件消 阅读全文
摘要:
sscanf_s(); 字符串转数字 atoi(目标字符串) sprintf_s(); 数字转字符串 SetLastError(); 每个线程下,保存错误码函数,在API函数退出前都会调用此函数 GetLastError(); 在API结束后,紧跟着调用此函数们能够得到错误码,多用于检测API是否使 阅读全文
摘要:
dll又称动态链接库 他是实现操作系统共享函数库概念的一种方式,我们常见的dll有 系统API模块文件: user32.dll kernel132.dll ActiveX控件: windows上的日历控件 控制面板: 控制面板上的每一项都是一个专用的DLL 设备驱动程序文件: 打印机程序 dll文件 阅读全文