摘要:
在 Windows 系统中,管理员权限和非管理员权限运行的程序之间不能使用 Windows 提供的通信机制进行通信。对于部分文件夹(ProgramData),管理员权限创建的文件是不能以非管理员权限修改和删除的。 然而,一个进程运行之后启动的子进程,会继承当前进程的 UAC 权限;于是有时我们会有降 阅读全文
摘要:
问题:当客户端已高完整性启动(例如启动客户端的进程是Bypass UAC启动的高完整性的进程,导致客户端继承了其高完整性),由于explorer.exe资源管理器是以中等Medium权限启动,客户端的权限较高,导致设置了qt编写的客户端设置了的setAcceptDrops(true)后依然无法触发d 阅读全文
摘要:
问题引入:dll有一个导出函数,函数参数是string&,string在函数内部被=赋值。在exe动态加载此dll,调用此导出函数后,会崩溃。 原因:如果任何STL类的实现中使用了静态变量(我们无从得知但map、string存在此问题),且编译dll时,vc的运行库设置为MT或MTd,会静态链接VC 阅读全文
摘要:
百度了一会,发现没太有文字讲这件事情,因此整理成文字记录一下。 processEvents介绍 长时间运行的操作可以调用processEvents() 保持应用程序响应能力。 void QCoreApplication::processEvents(QEventLoop::ProcessEvents 阅读全文
摘要:
使用 IDA Pro 分析 Lab05-01.dll 1、DllMain的地址是什么? 2、使用Imports窗口并浏览到的gethostbyname,导入函数定位到什么地址? 3、有多少函数调用了gethostbyname? 4、将精力集中在位于0x10001757处的对gethostbyname 阅读全文
摘要:
1.加载一个可执行文件 ① 选项一:当加载一个文件(如PE文件),IDA像操作系统加载器一样将文件映射到内存中。 ② 选项三:Binary File:将文件作为一个原始的二进制文件进行反汇编,例如文件带有shellcode、其他数据、加密参数,甚至里面带有可执行文件,如果文件还是以正常形式加载到ID 阅读全文
摘要:
一、特征修改 一个加载器存在两个明显的特征,一个是shellcode和硬编码字符串。我们需要消除这些特征,比较方便使用一个简单的异或加密就能消除shellcode的特征。第二个是加载器的关联特征也需要消除,通过加入无意义的代码干扰反病毒引擎。 二、花指令免杀 花指令其实就是一段毫无意义的指令,也可以 阅读全文
摘要:
实验三 Lab03-03.exe 1.当使用 Process Explorer 工具进行监视的时候,注意到了什么?2.可以找出内存修改的行为吗?3.这个恶意代码在主机上的感染迹象特征是什么?4.这个恶意代码的目的是什么? 1.运行程序,发现创建了子进程 svchost.exe,主进程 Lab03-0 阅读全文
摘要:
实验1 Lab03-01.exe 实验内容: 1、找出这个恶意代码的导入函数与字符串列表? 2、这个恶意代码在主机上的感染特征是什么? 3、这个恶意代码是否存在一些有用的网络特征码?如果存在,他们是什么? 1.导入函数和字符串列表 字符串有几处可疑的地方:网址、三个注册表值,其中一个注册表值还是自启 阅读全文
摘要:
注:一些恶意代码可能会检测是否在虚拟机环境中运行。17章将具体讨论对抗 VMware 环境的技术。 主机模式网络: 主机模式网络,可以在宿主操作系统和客户操作系统间创建一个隔离的私有局域网。主机模式的局域网并不会连接到互联网。 在配置宿主计算机时,一定要确保补丁完全,且配置一个严格的防火墙,来限制从 阅读全文