浅析后门隐藏技术经 常在网上“飘”的朋友相信对后门这个名称一定很熟悉,其实后门也是一种程序,而由于它的用途的原因,它被广大的杀毒软件列为“通缉犯”,而且见到它便会痛 下杀手,使那些使用后门的朋友痛心欲绝,正因如此,在这被杀和免杀之间,后门的等级得到不断的提升,从后门的原始社会进入了后门的共产主义社会... Read More
前段时间在看雪论坛逛的时候,有人问说怎么实现双进程守护,其中有人说他用VC++实现了,我就找他要了一份源码。我看了一下,觉得也挺简单的,所以就用win32汇编也写了一份,但还不是很完美。为 什么说不完美,因为我写完后在测试的过程中发现,如果利用鼠标给这个对话框发送WM_CLOSE消息的话,进程守护就... Read More
向一个运行中的进程注入自 己的代码,最自然莫过于使用CreateRemoteThread,如今远线程注入已经是泛滥成灾,同样的监测远线程注入、防止远线程注入的工具也举不胜 举,一个木马或后门启动时向Explorer或IE的注入操作就像在自己脸上写上“我是贼”一样。用户态代码想要更隐蔽地藏身于别的进程... Read More
以下是我初学win32汇编的的笔记,学那么久了,也该丢篇文章出来,呵呵。对注册表的操作,例如写入,修改,删除,在一些高级语 言,例如C/C++VB中都有对注册表操作的API,但是我感觉用win32汇编写,比较适合我自己。例如,创建一个REG_SZ类型的数值,就用 RegCreateKey创建一个... Read More
向一个运行中的进程注入自 己的代码,最自然莫过于使用CreateRemoteThread,如今远线程注入已经是泛滥成灾,同样的监测远线程注入、防止远线程注入的工具也举不胜 举,一个木马或后门启动时向Explorer或IE的注入操作就像在自己脸上写上“我是贼”一样。用户态代码想要更隐蔽地藏身于别的进程... Read More
以下是我初学win32汇编的的笔记,学那么久了,也该丢篇文章出来,呵呵。对注册表的操作,例如写入,修改,删除,在一些高级语 言,例如C/C++VB中都有对注册表操作的API,但是我感觉用win32汇编写,比较适合我自己。例如,创建一个REG_SZ类型的数值,就用 RegCreateKey创建一个... Read More
相信在Window按键突破专家没有出来的时候,很多人还不知道软件还可以这样编的吧,本人也是一样,当知道有Window按键突破专家这个软件时,仔细去想一下它的实现原理,才突然恍然大悟,原来原理居然是这么的简单,为什么以前我就没有想到呢。好了,不说那么多废话,直接进入主题,我先是说说按键突破的原理。实现... Read More
最近在搞线程注入,其实这个流程也蛮简单的。一些书上写的线程注入,都是使用call[ebx+XXXX]的形式来解决重定位。这样的 话,invoke伪指令就不能直接使用了。就像用伪指令调用messagebox,本来就是 invokeMessageBox,NULL,addrszCaption,... Read More
相信在Window按键突破专家没有出来的时候,很多人还不知道软件还可以这样编的吧,本人也是一样,当知道有Window按键突破专家这个软件时,仔细去想一下它的实现原理,才突然恍然大悟,原来原理居然是这么的简单,为什么以前我就没有想到呢。好了,不说那么多废话,直接进入主题,我先是说说按键突破的原理。实现... Read More
最近在搞线程注入,其实这个流程也蛮简单的。一些书上写的线程注入,都是使用call[ebx+XXXX]的形式来解决重定位。这样的 话,invoke伪指令就不能直接使用了。就像用伪指令调用messagebox,本来就是 invokeMessageBox,NULL,addrszCaption,... Read More