_set_invalid_parameter_handler异常处理函数
摘要:VS2005之后的版本,微软增加了一些新的异常机制,新机制在出现错误时默认不通知应用程序,这时程序就崩溃了。所以这种情况下,必须调用_set_invalid_parameter_handler、_set_purecall_handler设置自己的异常处理函数。以下示例代码:// test.cpp//...
阅读全文
posted @ 2014-09-22 16:38
随笔分类 - 安全相关
仅仅学习研究,无他。
【原创】多字节版本下MFC控件处理字符集的BUG
摘要:工程项目属性:字符集:多字节stdafx.h文件中添加:#pragma comment(linker,"/manifestdependency:\"type='win32' name='Microsoft.Windows.Common-Controls' version='6.0.0.0' processorArchitecture='x86' publicKeyToken='6595b64144ccf1df' language='*'\"")注意:如果多字节
阅读全文
posted @ 2013-12-02 15:32
自己动手写API监控工具
摘要:需求来源:1.长期做木马外挂的逆向分析工作,基本上也就看看API调用情况也就知道大概的原理了,手工一个个地分析无疑浪费时间和精力。2.想知道一个感兴趣的应用程序是如何编写的,监控下API调用情况也可以基本了解实现原理。现状:目前市面上这样的工具还是蛮多的,有AutoDebug,ApiTracing,...
阅读全文
posted @ 2011-12-31 13:30
魔兽盗号样本bigfoot2分析
摘要:运行后连续释放以下文件并运行:"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\T200645150560000027841\BigFoot.exe""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\T200646380243000028112\BigFoot.exe""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\T200647210381000028253\BigFoot.exe"其中第一个是正常的大脚程序,后面的两个均是捆绑的恶意程序。第一个恶意程序(第二个ex
阅读全文
posted @ 2011-12-20 15:22
魔兽盗号样本bigfoot1分析
摘要:主程序在temp目录下生成类似:"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ope3.tmp""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ope4.exe"的文件,都调用SHELL32.ShellExecuteA运行。其中第一个是正常的大脚程序,第二个是木马exe,大小:26.5KB,MD5:f8cb9dd43c052ee8c1b51e78485316b6ope4.exe有简单的壳,运行后释放:"C:\WINDOWS\fOnts\eSEWZRdrSK3NeEJVy4.Ttf"&q
阅读全文
posted @ 2011-12-20 14:41
Ring3下Dll注入方法整理汇总
摘要:1.dll劫持,粗略整理了下,可以劫持的dll有(持续更新):lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll以lpk为例,在win7下由于lpk被加入KnownDLLs且该注册表值不可修改,使得lpk强制从系统目录加载,不过可以将lpk.dll加入ExcludeFromKnownDlls来解决,具体可以创建一个lpk.reg文件:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Con
阅读全文
posted @ 2011-12-16 16:19
一款魔兽盗号木马分析
摘要:这款魔兽盗号木马是模仿“多玩魔兽盒子”欺骗用户从而进行盗号的,请看“多玩魔兽盒子”官方网站:http://wow.duowan.com/wowbox1/,木马模仿的钓鱼网站:http://www.tudouw.com/ 。可以看出做得很相似,稍不留意的话就会被钓鱼。大家该问了,这样的网站怎么会访问到的啊,如果魔兽玩家通过百度搜索“多玩魔兽盒子”,第一页便会有这个钓鱼网站。可以看出万恶的百度给它做了竞价排名,这就叫做为虎作伥、周助为虐,这个百度得记一大过,它只会圈钱了。网络太可怕了,什么都不敢相信了……再说这个木马,除了网页上做得很相似外。它的下载文件也和真正的“多玩魔兽盒子”差不多,只是稍微大
阅读全文
posted @ 2011-12-12 14:10
木马另类删除文件的方法
摘要:如果直接拦截DeleteFile发现并没有断下来,它用的方法是:创建一个回收站文件,例如:c:\recycle\12234.tmp,然后使用MoveFile将文件改为c:\recycle\12234.tmp,最后使用NULL调用MoveFile移动文件到c:\recycle\12234.tmp,从而删除了c:\recycle\12234.tmp。
阅读全文
posted @ 2011-12-07 14:59
监视窗口创建的方法
摘要:1)安装WH_CBT钩子 2)RegisterShellHookWindow方法,例子: http://hi.baidu.com/sysnap/blog/item/8e44a497b3aacf6655fb96af.html
阅读全文
posted @ 2011-12-07 14:56
一款QQ盗号木马分析
摘要:文件结构:资料.exe1.1CrashRacoaF.fnr运行后会弹出一个“汇款单”的图片文件,嫣然是一个伪装的木马。这个图片其实是在C盘下面的:C:\汇款单.jpg。简单分析文件:资料.exe是主程序。1.1是个dll,导出一个名叫“开始”的函数。这两个文件都有加壳,可以轻松脱掉。CrashRacoaF.fnr是个zip压缩包,解压后里面会有很多个文件,其实这里面的文件都一样,原始名称是shell.dll,版本信息是:大连大有吴涛易语言软件开发有限公司,产品名称:操作系统界面功能支持库。可以知道这个是易语言的库,就不用分析了,至于为什么带有这么多个拷贝就不知道了。如果把1.1文件删除掉,直接
阅读全文
posted @ 2011-12-02 13:44
MFC应用程序逆向经验总结
摘要:如何找到MFC App的InitInstance入口地址OEP:00401A83| E8 68040000 | call 00401EF0 | __security_init_cookiepping00401A88| E9 36FDFFFF | jmp 004017C3 | __tmainCRTStartup__tmainCRTStartup:004017C3| 6A 5C | push 5C |004017C5| 68 B83B4000 | push 403BB8 |004017CA| E8 79060000 | call 00401E48 | __SEH_prolog4中间代码省略……00
阅读全文
posted @ 2011-09-23 16:20
用特征码秒杀各程序语言按钮事件
摘要:http://bbs.pediy.com/showthread.php?t=123811作者:小童工具:OllyDbg、Delphi程序一个、易语言程序一个、MFC程序一个----------------------------------------------------------------------------------------------------------------------------------------------------------《《《Delphi程序》》》特征码:FF93200100005BC353------------------------
阅读全文
posted @ 2011-09-20 14:58
