摘要:
标题:web蠕虫编写艺术作者:未知译者:riusksk(泉哥)来源:国外著名黑客杂志《hack in zine》*导言*自动化*搜集目标*绕过IDS,多态性和通讯*结语===导言=== 本文以一些未公开的WEB蠕虫为例,这些蠕虫可通过PHP漏洞脚本进行自我传播。该蠕虫叫World Cant Wait ,在11.2被公布在成千上万个信息公告栏和博客上,以此反对布什政权。原先它利用的是一个私有漏洞,就是最近曝出的关于CuteNews 1.4的php代码执行漏洞。这个蠕虫可自动寻找目标,并自我繁殖。在蠕虫病毒肆虐的同时,街上的人们还高喊着抗议口号。在此我并不打算冒着触犯法律的风险而去破坏一些系统,而 阅读全文
摘要:
2011年10月09日 星期日 16:25转载自 cvvd最终编辑 cvvd相信大家通过前几篇对PE文件的学习,已经可以自己找到资源表了!没错它就是数据目录的第三项,从这里我们得到的是如下结构的RVA前3x4byte空间一般为0,只有后面的NumberOfNamedEntries(以资源名表示的资源数目)和NumberOfIdEntries(以ID表示的资源数目)有用。PE资源被定义为一个树状的数据结构,它由数据目录(IMAGE_RESOURCE_DIRECTORY)+节点(IMAGE_RESOURCE_DIRECTORY_ENTRY)组成。上图是DIRECTORY_ENTRY的C定义,它的汇 阅读全文
摘要:
2011年10月09日 星期日 16:24转载自 cvvd最终编辑 cvvd让我想想,这集应该谈什么来着?哦,对了,上次说的重定位数据了,嗯。说到数据的重定位,我们就不得不谈谈系统究竟为什么要对数据进行麻烦的重定位?既然在IMAGE_OPTION_HEADER中有一项ImageBase,指定了程序欲加载的位置,那么程序中用到的地址引用就都可以 以映射基址进行定位,但要知道程序(通常是DLL)有时并不总会按照你预想的位置进行加载,举一个简单的例子来说,当一个DLL欲加载到10 00 00 00地址时,此位置恰巧已经有一个ImageBase指定为10 00 00 00的DLL已经在先前的调用中加载 阅读全文
摘要:
2011年10月09日 星期日 16:23转载自 cvvd最终编辑 cvvd图1PE加载器在完成文件实体数据到内存虚拟数据的映射之后,便开始从位于IMAGE_OPTION_HEADER末端的IMAGE_DATA_DIRECTORY数组的第2项(如图2),取出输入表的RVA和大小,准备开始输入函数的初始化。输入表的RVA实际上是指向一个以IMAGE_IMPORT_DESCRIPTOR为元素的数组,该数组以一个全零的结构作为结尾。图2图3从该结构(如图3)的Name字段,可以推测每一个该结构都只能描述一个动态库,事实上也是如此。其中OriginalFirstThunk和FristThunk都是IM 阅读全文
摘要:
转载自 cvvd最终编辑 cvvdPE文件格式作为Windows框架下的一种最为通用的可移植文件格式,被广泛使用的同时,也被广大Cracker研究。我写本系列文章的目的也主要立意于作为一名程序员或信息安全人员应该如何理解PE文件,这有助于我们对Windows旗下的win32子系统程序的理解和运用。闲话不多说。现在我们就将作为一个PELoader来学习一下PE文件是怎样运行起来的,它究竟何其他的文件有什么区别。1.PE文件头,作为dos下程序的拓展,PE文件头部也包含了DOS可执行头部(IMAGE_DOS_HEADER 其大小为40H),我们可以在DOS头部的e_lfanew字段得到PE文件头相 阅读全文
摘要:
菜鸟的病毒分析基本信息 报告名称:简单pe添加节病毒分析 作者: 报告更新日期: 2012.07.08 样本发现日期: 样本类型: 样本文件大小/被感染文件变化长度: 样本文件MD5 校验值: 样本文件SHA1 校验值: 壳信息: 可能受到威胁的系统: Microsoft Windows NT 4.0Microsoft Windows NT 4.0 Terminal Services EditionMicrosoft Windows 2000Microsoft Windows XPMicrosoft Windows Server 2003Microsoft Windows v... 阅读全文
摘要:
在Windows NT下,各个进程的地址空间被隔离了,不同进程之间不能自由地相互访问内存,而且对于用户态代码有了访问限制:ring3程序代码只能读写其进程空间中应用专属的部分(在进程空间为4GB 的情况下,通常是低2GB),对系统内核部分占用的空间是没有读写权限的。这使得内存驻留感染变得困难,不过类似的想法和技术仍然是可能实现的,需要做的不过是一点变通:既然每个进程有其专属的进程空间,尽管不能做到永久驻留,但病毒代码至少在进程的生命期内仍然是可以驻留的;既然Windows下仍然有作用和DOS下中断相同的API,那么病毒自然可以截获API,从而监视文件读写,伺机进行感染。至少让程序在它的生命周期 阅读全文
摘要:
win32 搜寻节间隙感染pe文件经过上次那个变形pe头病毒的洗礼,分析这个终于不那么蛋疼了病毒行为:感染目录下的txt.exe文件 在原程序运行前运行病毒代码 弹出被感染对话框 继续感染其他病毒流程:搜索api 打开文件 内存映射 搜索每一个节 查看节剩余空间能否插入病毒 如果能 更改相关属性 添加病毒 写文件 关闭文件 完成.text:00401000 ;.text:00401000 ; +-------------------------------------------------------------------------+.text:00401000 ; | This fil 阅读全文
摘要:
pe文件感染病毒感觉好长时间没写了,这个pe结构着实让我很头痛,花了很长时间了解它。现在终于了解一点点了,下手分析一下win32简单的病毒。具体的有关于pe结构seh结构的问题去看雪上看看有很多的。win32留给病毒的位置不多因为留给节表的位置不够节表头的大小有40字节,如果自己想向pe文件添加一个节的话那么就要先凑够这40个字节。这个病毒就是巧妙的将pe头与dos头融合在一起留出足够的空间添加一个节。病毒行为:感染特定标题的exe文件(这个完全是因为作者想要控制病毒的感染力),注入病毒,在源程序之前运行病毒代码。流程:查找kernel32,获取kernel32基址。获取函数中用到的kerne 阅读全文
摘要:
dos已经里我们很遥远了,之所以从dos开始只是因为我太笨了,怕自己接受不了复杂的win32。其实dos病毒远没有那么简单,dos也有隐藏,也有加密,也有反探索,也有反跟踪。。。这些技术全部都存在于win32病毒只不过他们不再用中断而是api。更加复杂的api。同时从16位汇编过度到32位,更恐怖的是64位已经开始发挥威力了。win32病毒的基础也离不开重定位这是dos病毒里面常用的同时也是win32中必不可少的。dos中我们可以做0级的操纵者掌握整个dos可是到了win32我们变成了可被的小三,到处受限制。我们能利用的知识api但是当我们把病毒注入文件时api也不再是那个api了,我们只能通 阅读全文