08 2012 档案
摘要:此为《木马技术揭秘与防御》系列读书笔记基本概念钩子(Hook)是windows消息处理机制的一个平台:Ahookis a mechanism by which an application can intercept events, such as messages, mouse actions, and keystrokes. A function that intercepts a particular type of event is known as ahook procedure. A hook procedure can act on each event it receives,
阅读全文
摘要:此为《木马技术揭秘与防御》系列读书笔记端口复用,字面意思就是,重复使用一个端口记得有一次同学的 sina 微博总是自动发消息,当时让他查看本地端口,再通过端口找到对应程序学了端口复用和线程注入之后,发现这种方法对“高级点”的木马完全没用……还是需要一些强大的 HIP 工具来检查回到正题端口复用,使用到了一个重要的函数:int setsockopt( __in SOCKET s, __in int level, __in int optname, __in const char *optval, __in int optlen);其中第三个参数使用BOOL型值SO_REUSE...
阅读全文
摘要:此为《木马技术揭秘与防御》系列读书笔记原理比较简单:“堡垒总是从内部被突破的”,在服务端运行木马,自动连接到指定ip、port的客户端防火墙对内部发起的连接请求无条件信任,绕过ip包过滤规则View Code 1 #include <iostream> 2 #include <WINSOCK2.H> 3 #pragma comment(lib,"ws2_32.lib") 4 #pragma comment(lib,"advapi32.lib") 5 #pragma comment(lib,"user32.lib"
阅读全文
摘要:此为《木马技术揭秘与防御》系列读书笔记进程注入prerequirement类似的说法:线程插入、DLL注入、远程线程插入线程插入:让一个线程在别的进程中执行DLL文件隐藏的原理:dll文件不能单独运行,需要由进程(宿主)加载并调用。因为不能单独运行,dll文件就不会在进程管理器中出现,于是入侵检测软件和进程列表中都只有宿主进程的id,而找不到dll。进程注入的优点:1.需要插入到远程进程的内存空间是通过virtualAllocEx这样的函数分配的,只存在于内存中,如果不是内存查杀,很难发现。2.可以复用宿主进程的名称、端口,更加隐蔽进程注入的流程1. 编写引导程序(Loader.exe),将d
阅读全文
摘要:此为《木马技术揭秘与防御》系列读书笔记windows 服务包括四大部分:服务控制管理器 Service Control management服务控制程序 Service Control Program服务程序 Service Program服务配置程序 Service Configuration Program使用服务的好处:可以“自启动”,多了一种自启动方式在用户登录前开始运行,可以在服务启动时加入杀防火墙的代码在后台运行,不容易被用户发现常用Windows API:SC_HANDLE WINAPI OpenSCManager( __in_opt LPCTSTR lpMachineNam..
阅读全文
摘要:此为《木马技术揭秘与防御》系列读书笔记1. Userinit位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonUserinit 的键值:C:\WINDOWS\system32\userinit.exe, 在逗号后添加要启动的文件即可2.AutoRun.inf 自启动AutoRun 语法:http://hi.baidu.com/tonado/blog/item/40d4d8111bfe1f15b9127b94.html可以设置光盘、磁盘的自启动,还可以修改右键菜单条目3.组策略gpedit.msc
阅读全文
