oRbIt

摘要： “TabSiPlus 外挂插件”主要有两部分组成，分别是“外挂插件加载器”和“插件动态库”。“插件动态库”完成Source Insight窗口的Hook，显示Tab标签栏，截获Source Insight的窗口消息并根据消息调整Tab标签栏等功能，这是一个动态链接库，不能主动执行，所以还需要一个“外挂插件加载器”，“外挂插件加载器”是一个独立的可执行文件，它的主要功能就是发现Source Insight的进程，并把插件动态库“注入”到Source Insight的进程中。本文将简单介绍这两个组件是如何协同工作，最终实现插件的完整功能。 首先介绍“外挂插件加载器”，它就是TabSiHost.e. 阅读全文

摘要： 外挂的目的就是将代码注入到其它进程中，所以必须要有目标进程才能完成注入，而所谓的目标进程通常是某软件的一部分或者是全部，所以要对目标程序有深入地了解。一般外挂都是针对某个应用程序开发的，其装载、运行都依赖于宿主进程提供的环境，如果“挂”错了，后果很严重。有一些软件运行时会启动多个进程，每个进程完成各自的任务，所以要分清到底应该“挂”哪个进程，好在“Source Insight”比较简单，所有的功能都在一个进程中完成，分析起来比较简单。 要给“Source Insight”加一个用于文件切换的标签栏，就要对“Source Insight”的窗口体系进行深入研究，因为文件切换体现在“Source. 阅读全文

摘要： 恶意软件终于有了司法界定，但距离消失为时尚早【摘要】这个《细则》的出台为打击流氓软件迈出了可喜的一步，但是如果说到流氓软件的末日还为时尚早。流氓软件不会因为《细则》的出台就缴械投降，这是一块大蛋糕，没有人迟到肚子里还会吐出来，它们会以各种形式改头换面继续存在。流氓软件可能因为公众压力或逐步强硬起来的司法压力而选择“从良”，收敛一些行为，但是在利益的驱使下其行为毕竟是“淫荡”的，比如某流氓软件就迫于压力发布了一个“从良”的官方版本，但是随之流传的还有一个行为“淫荡”的影子版本。有安全专家表示，在利益驱动下，恶意软件为了逃避社会的谴责和技术查杀已经无所不用其极，反恶意软件之路，依然任重道远。【关. 阅读全文

摘要： 输入您的搜索字词 提交搜索表单 C++0x，崭新的C++，还是另一个JAVA？ 最近，从全球最活跃的C++社区boost传来消息，新的C++标准：C++0x，最早将在2007年10月发布。很早就有人猜测，C++0x中的x到底是8还是9，不过现在看来很可能是7，但是也不尽然，因为上一个C++标准本来计划是1997年发布，但是因为STL的引入而推迟到1998年。这次又遇到了相同的情况，大家都不怀疑TR1和TR2(Technical Report)将成为新标准的一部分，但是随着越来越多的boost库被移到TR2中，TR2的进一个完善很可能拖新标准的后腿。不过，C++0x是C++的一次重大升级，恐怕. 阅读全文

摘要： 摘要：所谓SMC（Self Modifying Code）技术,就是一种将可执行文件中的代码或数据进行加密，防止别人使用逆向工程工具（比如一些常见的反汇编工具）对程序进行静态分析的方法，只有程序运行时才对代码和数据进行解密，从而正常运行程序和访问数据。计算机病毒通常也会采用SMC技术动态修改内存中的可执行代码来达到变形或对代码加密的目的，从而躲过杀毒软件的查杀或者迷惑反病毒工作者对代码进行分析。由于该技术需要直接读写对内存中的机器码，所以多采用汇编语言实现，这使得很多想在自己的程序中使用SMC技术进行软件加密的C/C++程序员望而却步。针对这种现状，本文提出了几种基于C/C++语言的机器指令定 阅读全文

摘要： 输入您的搜索字词 提交搜索表单 Firefox 和 ThunderBird 分别是Mozilla网络套件中的浏览器和邮件客户端，其中Firefox不使用微软的IE内核，对很多流氓插件具有天生的免疫力，ThunderBird也是集新闻组、RSS、PGP以及反垃圾邮件的等功能于一身的一款优秀的邮件客户端，这些优点使得这两个工具成为Mozilla网络套件中最最受欢迎的两个工具。这两个工具和Mozilla套件中的其它工具一样是开源的，任何人都可以下载它们的源代码研究，如果有兴趣的话还可以加入到这两个工具的开发者行列中。本文目的不是介绍这两个软件的用法，关于Mozilla套件的更详细的介绍可以访问Mo. 阅读全文

摘要： 输入您的搜索字词 提交搜索表单 上一篇文章介绍了“TabSiPlus”是如何进行代码注入的,本篇将介绍如何构建一个外挂软件最重要的部分，也就是为其扩展功能的定制代码。本文前面提到过，由于windows进程管理的限制，扩展代码必须以动态链接库的形式挂载到被挂程序的进程空间中，使用上一篇介绍的方法已经可以通过创建远程线程的方式启动一个线程，让这个线程加载我们的定制动态链接库，现在就看看这个动态链接库是如何实现的。 首先这是一个动态链接库，因为考虑到扩展功能中有大量的界面操作，所以选择支持MFC，同时，还要提供一个名为“InitFunc”的导出函数，供在被挂程序中启动的远程线程调用，以初始化外挂动. 阅读全文

摘要： 输入您的搜索字词 提交搜索表单 今天下午我还在和一个流氓软件“搏斗”，那是来自网络上的一个陌生人发给我的，邮件标题是“求助，请帮我看看这个程序有什么问题？”。我一向不愿以最坏的恶意来推测别人，但是遇到的事情多了，也便有了经验了，我启动了虚拟机，于是这个程序的险恶用心就赤裸裸地展现在我的眼前。说实话，这些流氓软件使用的rootkit技术都是一些公开的技术，许多论坛都有专门的讨论，编制这些流氓软件的人并不是什么技术高手，只要会代码抄袭就行了。我分析过一些知名的流氓软件，其中抄袭国外的开源rootkit工具代码的痕迹非常明显。如果说病毒的出现是黑客们醉心技术的无心之果，那么流氓软件则是从开始就是为. 阅读全文

摘要： 输入您的搜索字词 提交搜索表单 这几天研究了一下雅虎助手是如何干扰360卫士的，发现如果安装雅虎助手的时候不安装3721就不会有问题，看来问题出在3721上了。于是在安装雅虎助手的时候选择安装3721，结果问题果然出现了，联想到前几天在360论坛上看到vcmfc提到雅虎助手/3721通过一个系统CBT钩子干扰“360安全卫士”和“兔子”，于是特别留意了一下系统钩子运行的情况。安装了雅虎助手之后，我先运行了一个自编的系统钩子检查程序AntiHook.exe，果然立刻发现了雅虎助手安装的钩子，见下图：yhelper.dll没有加密措施，对“360安全卫士”和“兔子”的迫害代码随处可见，比如，下面. 阅读全文

摘要： 输入您的搜索字词 提交搜索表单 CNNIC发布了中文官方上网软件，说这只是一款浏览器辅助软件，但真的是这样吗？看完本文你就知道你所安装的这个“辅助软件”到底是个什么货色了。 先来看看它的安装和卸载吧，等会专门分析安装过程，先说一些卸载吧。卸载中文官方上网需要填一个随即生成的确认码，这是为了防止竞争同行或类似360安全助手之类的软件自动删除自己，然后执行正常的卸载程序。但是问题是卸载干净了吗？答案是没有，有一个残留的驱动程序仍然驻留在你的系统中，目的是干扰同行或类似360安全助手之类的软件正常运行，这个逻辑很简单，不用我？别的你也别想用的好。证据:主驱动程序cdnprot.sys不能删除，有些. 阅读全文