随笔分类 - 转载文章
基于应用层自身反远程线程注入的研究
摘要:基于应用层自身反远程线程注入的研究现状: 目前所有已知的反远程注入方式: r0层hook 句柄的获取,返回失败,让应用层注入者拿不到目标进程的句柄,如hook ntopenprocess ntdublicatehandle R0层监控 线程创建,比较当前进程句柄 和ntcreatethread 注入进程句柄是否相同,如果不同则判定为 注入行为 R0层 对常规注入线程的threadproc 的地址进行hook ,如果 进程调用ldrLoadLibrary等系列函数,则表示有远程注入行为。 R3层,防止自身被注入,在自己进程里面hook loadlibrary ,这是基于远程注入...
阅读全文
知己知彼 - 十个常用破解网络密码的方法
摘要:个人网络密码安全是整个网络安全的一个重要环节,如果个人密码遭到黑客破解,将引起非常严重的后果,例如网络银行的存款被转账盗用,网络游戏内的装备或者财产被盗,QQ币被盗用等等,增强网民的网络安全意识是网络普及进程的一个重要环节,因此,在网民采取安全措施保护自己的网络密码之前,有必要了解一下流行的网络密码的破解方法,方能对症下药,以下是我总结的十个主要的网络密码破解方法。 1、暴力穷举 密码破解技术中最基本的就是暴力破解,也叫密码穷举。如果黑客事先知道了账户号码,如邮件帐号、QQ用户帐号、网上银行账号等,而用户的密码又设置的十分简单,比如用简单的数字组合,黑客使用暴力破解工具很快就可以破解出密码..
阅读全文
25岁以上程序员单身手册
摘要:1. 生活wrong:每天用两分钟刷牙洗脸,冲出房间的时候扣子还没扣上right:提前一个小时起床,花五分钟刷牙,洗个澡,挑件干净点的衣服去上班wrong:每天早晨经过超市买一包烟,我不吃早餐已经很多年right:经过超市买一听牛奶,其他的根据个人兴趣了wrong:我吃麦当劳肚子起泡泡了,或者,昨天那箱方便面吃完了。right:租一个有厨房房子,去超市买现成的菜调剂一下,心情好添一只啤酒,有人来添一双碗筷wrong:我从来不收拾房间,有必要么,一个人住。right:一周拖一次地,洗次衣服,收拾房子,环境影响心情;买束花,使用一下芳香剂都不错wrong:从来没有早于1点睡觉,睡不着,我的眼袋赶上
阅读全文
告别硬编码-发个获取未导出函数地址的Dll及源码
摘要:还在为找内核未导出函数地址而苦恼嘛?还在为硬编码通用性差而不爽吗?还在为暴搜内核老蓝屏而痛苦吗?请看这里:最近老要用到内核未导出的函数及一些结构,不想再找特征码了,准备到网上找点符号文件解析的代码抄抄,也玩玩符号文件解析获取未导出函数,可惜资料寥寥无几,下了一些代码,发觉编译后问题不断,有的编译通过了却取不到任何地址,弄了半天白弄了,于是静下心来看dbghelp的说明文件(中文的都木有),发觉dbghelp用起来很不爽,由于版本太多,又是32位和64位什么的,最要命的是dbghelp的说明文件里所有升级了的函数一律找不到旧函数的说明了,加之编译器里包含的相关文件版本不一,里面的函数用起来经常出
阅读全文
从BlackHat2013中我们收获了什么
摘要:拉斯维加斯-BlackHat全球黑客大会是每年围观革新安全技术的最好机会,还能和那些 在这个行业里聪明至极的家伙交谈并从中得到些关于前沿技术的动向和启示。今年的会议无论参会人数还是议题数量是历届规模最大的,有很多可听和看之处。包括 11个跟踪研究在内的关键议题以及新闻发布会从早晨一直延续到晚上,即使再精力充沛的人,想一个不落的都去围观也几乎是不可能的。但是,我们看到了一些有意思的家伙和一些牛逼的议题,因此我们将使用最通俗的语言来总结会议当中那些最引人注目的,最重要也最有趣的议题和片段。想要一个 关于黑帽大会上那些好玩的玩意儿全面综合的报告几乎是不可能的,所以就把这篇文章看成是一个有特色的小吃菜
阅读全文
迅雷后门 迅雷签名可疑文件 请大家关注 内部邮件大爆料 过全部杀毒软件
摘要:邮件一这封邮件是工作人员在收到迅雷看看的用户反馈,分析后发送邮件抄送迅雷各大高管以及迅雷看看高管,认为此事件是给用户安插病毒,给个别人谋取私利昨天接到用户反馈,发现一个位于C:\Windows\System32目录下,名为“INPEnhSvc.exe”带有迅雷数字签名的文件。(见附件INPEnhSvc.ex)我们从用户机器上将此文件取回,经技术人员逆向分析,发现该文件有病毒行为。“INPEnhSvc.exe”是一个服务,加/regserver参数可注册启动。启动后有3次服务器连接,访问2个域名分别为:http://conf.kklm.n0808.com(下发配置文件)http://kkyoux
阅读全文
网络蜘蛛爬虫原理
摘要:网络蜘蛛即Web Spider,是一个很形象的名字。把互联网比喻成一个蜘蛛网,那么Spider就是在网上爬来爬去的蜘蛛。网络蜘蛛是通过网页的链接地址来寻找网页,从 网站某一个页面(通常是首页)开始,读取网页的内容,找到在网页中的其它链接地址,然后通过这些链接地址寻找下一个网页,这样一直循环下去,直到把这个网 站所有的网页都抓取完为止。如果把整个互联网当成一个网站,那么网络蜘蛛就可以用这个原理把互联网上所有的网页都抓取下来。 对于搜索引擎来说,要抓取互联网上所有的网页几乎是不可能的,从目前公布的数据来看,容量最大的搜索引擎也不过是抓取了整个网页数量的百分之四十左右。这其中的原因一方面是抓取技术的
阅读全文
Windows多线程编程总结
摘要:1内核对象1 .1内核对象的概念内核对象是内核分配的一个内存块,这种内存块是一个数据结构,表示内核对象的各种特征。并且只能由内核来访问。应用程序若需要访问内核对象,需要通过操作系统提供的函数来进行,不能直接访问内核对象(Windows从安全性方面来考虑的)。内核对象通过Create*来创建,返回一个用于标识内核对象的句柄,这些句柄(而不是内核对象)可在创建进程范围内使用,不能够被传递到其他进程中被使用。1 .2内核对象使用的计数因为内核对象的所有者是内核,而不是进程,所以何时撤销内核对象由内核决定,而内核做这个决定的依据就是该内核对象是否仍然被使用。那么如何判断内核对象是否被使用呢?可以通过内
阅读全文
杀毒软件原理后续阶段
摘要:对于NOD32 pcshare特征码超多的问题解释很简单 pcshare是一个典型的4代木马(也有人称为3代,看分代标准)很 多代码很典型,适用于杀软研究广谱查杀。NOD32的启发更偏向于基因启发,但他没有独立的基因库,用病毒库代替了基因库,通过在病毒库里比对代码,确认 病毒,看到我前面对基因启发的介绍,相信对NOD32病毒库小不难理解吧,很明显NOD32的开发者也意识到了这点,所以NOD32对启发可以报的病毒是 不入库的。对于pcshare4处关键作为启发杀毒,剩下26个特征是辅助定位,4处关键修改后少量修改辅助定位就可以了。关于OD修改字符串例如pcshare有一个定位在“%S%S%S”上
阅读全文
杀毒软件原理进阶阶段
摘要:学习免杀,首先你得学会汇编把,基础的指令要懂得一些,一般的指令修改必须会,一般的修改这里就不赘述了,接下来就是掌握一些常用的免杀技巧,这里总结一些 第一:我们学习免杀的方向:只是为了保护自己的黑软的话!就不会学的那么累(没必去学汇编编程)有时候简单加下壳或者脱下壳就OK!如果是要挑战世界的杀 毒软件的话,毕竟每个PC用户安装的杀软都不一样!想抓鸡拿服务器的朋友就要进修脱壳破解,高级汇编的内容了,这将决定你免杀技术的高低! 第二:免杀的环境:做免杀,逃不了测试这个木马是不是修改成功!所以为了保护自己的系统,我建议学免杀要先学会使用虚拟机,很多人会说,为什么不用影子? 影子系统虽然也是可以保护的,
阅读全文
杀毒软件原理初步入门
摘要:一个杀毒软件的构造的复杂程度要远远高于木马或病毒,所以其原理也比较复杂。而且鉴于现在木马病毒越来越向系统底层 发展,杀毒软件的编译技术也在不断向系统底层靠近。例如现在的“主动防御”技术,就是应用RING0层的编译技巧。这里我简单为大家介绍一下基本构成。一 个杀毒软件一般由扫描器、病毒库与虚拟机组成,并由主程序将他们结为一体。 扫描器是杀毒软件的核心,用于发现病毒,一个杀毒软件的杀毒效果好坏就直接取决于它的扫描器编译技术与算法是否先进,而且杀毒软件不同的功能往往对应着不 同的扫描器,也就是说,大多数杀毒软件都是由多个扫描器组成的。而病毒库存储的特征码形式则取决于扫描器采用哪种扫描技术。它里面存储
阅读全文
对某病毒的一次完全逆向分析
摘要:一次从网上下载了个rar压缩包,双击之后winrar直接崩溃。当时心想,自己是不是太幸运了,竟然撞到了一个利用winrar漏洞的POC。然而测试发现,即使不打开rar文档,winrar同样一启动就崩溃。可见,不是winrar有漏洞。难道是由于前期对winrar的patch造成的?直接把备份的winrar还原回去,“暂时”能用了。又过了几天,由于某种原因,需要用Chrome浏览器,结果Chrome浏览器启动即崩溃,再打开winrar又崩溃„„这时,笔者开始怀疑是不是中招了。结果用IDA查了下Chrome主程序的反汇编,入口点代码异常。可见,确实中毒了,而且是PE感染型病毒。笔者用的是win7系统
阅读全文
密码控件安全技术浅析及攻击实例
摘要:密码控件是一个很常见的控件,这篇文章主要介绍一下安全密码控件的一些实现思路和攻击思路。1 物理密码键盘和密码控件的对比先说一下程序中的密码控件和现实中的密码键盘的对比。几乎每个人都在银行或者ATM机器上输入过密码,那在输入密码的过程中你接触到的那个键盘就是一个金融密码键盘。一般柜台的密码键盘都像鼠标一样带一个数据线,这个数据线就是连接密码键盘和银行处处理终端的。结构图如下:上图显而易见,如果一个坏人想要去窃取密码信息,由两个方式:A. 在终端记录用户的输入按键B. 从数据线中截获用户密码输入对于第一种方法,就靠用户在输入密码时候的自我保护了,而第二种方法也不是轻易能实现的。不要小瞧了这个密码键
阅读全文
一个QQ木马的逆向分析浅谈(附带源码)
摘要:程序流程:首先注册自己程序的窗口以及类等一系列窗口操作,安装了一个定时器,间隔为100ms,功能搜索QQ的类名,如果找到就利用FindWindow("5B3838F5-0C81-46D9-A4C0-6EA28CA3E942", NULL)找到当前运行的QQ号,之后隐藏QQ主界面,弹出自己的界面,利用socket发送输入的密码到指定的IP、端口,达到窃取用户的QQ密码。程序很简单不过,不过代码确实有点多,不过很多都是多是对字符串的操作,动态就直接无视吧。具体分析:我们向下观察就可以直接来到mainmain函数代码很少,就这么少。不过当然代码基本都在消息处理窗口。首先来到004
阅读全文
菜鸟开始学习SSDT HOOK((附带源码)
摘要:看了梦无极的ssdt_hook教程,虽然大牛讲得很细,但是很多细节还是要自己去体会,才会更加深入。在这里我总结一下我的分析过程,若有不对的地方,希望大家指出来。首先我们应该认识 ssdt是什么?从梦无极的讲解过程中,我联想到了这样一个场景:古时候有一户人家,姓李,住在皇宫外面,他们家有一个女儿进皇宫当宫女。有一天,李家的老大爷要送东西给他女儿,我们假定他可以进皇宫,于是就开始了这样一个过程。进皇宫只有一条路,那就是走正门,于是李大爷带着东西从家走到了城外,进皇宫前必须从这门口进去,通过一条路后才能到达皇宫,守门的侍卫挺友善的,把老大爷的东西让一个侍卫拿到一个地方去放着,然后叫了一个手下带着老大
阅读全文
struts2最新s2-016代码执行漏洞CVE-2013-2251
摘要:这是一个代码执行漏洞,利用java代码来执行系统命令。 影响版本:Struts 2.0.0 – Struts 2.3.15漏洞说明:The Struts 2 DefaultActionMapper supports a method for short-circuit navigation state changes by prefixing parameters with “action:” or “redirect:”, followed by a desired navigational target expression. This mechanism was intended to
阅读全文
雷军红米手机:以山寨血洗山寨
摘要:在互联网圈子,要把说话不算话的大佬拉出来排名,雷布斯一定名列前茅。刚说过“手机屏幕超过4.3寸80%的老百姓不同意”,然后就用4.3寸的小米2以 及4.5吋的小米2A堵住自己的嘴巴;刚义正言辞地表态“将专注在高性能高性价比的发烧级手机……不考虑中低端的配置”,4.7吋799元的低端红米手机 却又闪亮登场。 当传闻了很久的红米以799元的低价发布后,剥开小米公关用“悬疑”、“20亿美金投资”、“千元神器”等夸张性辞藻铺就的浮云,红米其实很简单:雷布斯不过用小米惯常的手法,以CPU做顶做出了又一款没有任何特点的低端帐篷型产品,然后再用庞大的水军和所谓意见领袖疯狂炒作而已。 仅此而已!难怪魅族的..
阅读全文
Blackhat EU 2013 黑客大会(Full Schedule for Black Hat USA 2013)
摘要:大会文档下载:https://www.blackhat.com/eu-13/archives.html此次BHEU议题整体较水,涉及系统安全、移动安全、网络传输安全、WEB安全、游戏安全等。下面随便挑几个议题简单介绍下,有些议题不是很感兴趣,有些也特水,有兴趣的自己到上面链接下载文档。1、《APERFECTCRIME?ONLYTIMEWILLTELL》讲述SSL攻击方法——CRIME,如何从SSL加密的会话中获取到cookie,CRIME原理就是通过在受害者的浏览器中运行JavaScript代码并同时监听HTTPS传输数据,进而解密会话Cookie,也算是中间人攻击MIMT的一种方法。该议题对
阅读全文
Windows XP PRO SP3 - Full ROP calc shellcode
摘要:/*Shellcode: Windows XP PRO SP3 - Full ROP calc shellcodeAuthor: b33f (http://www.fuzzysecurity.com/)Notes: This is probably not the most efficient way butI gave the dll's a run for their money ;))Greets: Donato, JahmelOS-DLL's used:Base | Top | Size | Version (Important!)___________|_______
阅读全文
QQ2013登录报文简单分析(不可用于非法用途)
摘要:[NO.1 2013-05-08 00:31:16 046 SEND 115字节]02 31 03 08 25 27 B5 88 6F 91 D2 03 00 00 00 0101 01 00 00 65 F9 00 00 00 00 C3 B6 C0 FB CA 4698 AD 09 B6 99 ...
阅读全文
浙公网安备 33010602011771号