随笔分类 - 软件安全
摘要:键盘木马及其自启 实验说明:键盘记录是木马常见的一种功能,主要用于窃取用户的账号、密码等机密信息,危害程度较高。熟悉键盘记录功能的实现原理,才能更好地进行防范。 实验目的:本实验通过 Windows 提供的消息钩子,实现一项具有键盘记录功能的木马,并结合实验 3 中劫持文件打开方式,实现木马的自启动
阅读全文
摘要:游戏外挂设计与防范——扫雷 实验说明:游戏外挂是通过篡改游戏原本设定和规则制作而成的辅助程序,它不仅破坏了游戏的公平性、影响游戏生态的健康发展,另外许多外挂程序捆绑木马程序,直接威胁玩家的虚拟财产安全。 实验目的:本实验通过分析 Windows XP 附带的扫雷游戏,实现自动扫雷的外挂程序,一方面了
阅读全文
摘要:恶意代码相关技术与防范 病毒、木马、勒索软件等恶意代码层出不穷,已经严重威胁到人们物理空间和网络空间中的正常活动。熟悉恶意代码常用的技术、"知己知彼",才能更好地防范恶意代码的侵害。 实验目的:本实验通过学习恶意代码生成、植入操作,以及自启动技术,了解恶意代码的设计原理,进而思考对恶意代码的预防和查
阅读全文
摘要:Dword shoot Unlink pwnable.kr Dword shoot,一种很简单的漏洞溢出技巧,所以就简单的说明一下吧。dword shoot 漏洞是出现在双向链表表删除的时候出现的一种漏洞类型。在进行双向链表的操作过程中如果因为处置不当,比如溢出等等的情况下,构成双向链表的指向前一个
阅读全文
摘要:DLL劫持病毒 实验目的 掌握DLL劫持的原理 了解DLL劫持攻击的防御办法 实验原理 Windows2000之后的系统,将强制PE加载器首先在应用程序所在目录中搜索要加载的DLL,如果搜索不到才搜索其他目录。PE加载搜索DLL路径顺序由注册表中的键值决定,注册表路径如下:HKLM\System\C
阅读全文
摘要:Use After Free 作者: 对酒当歌、lanpesk 指针的使用规范一直是程序员需要保持的良好准则, 对指针的不规范使用, 最直观的表现应 该是程序的崩溃,运行逻辑上的错误。 想必大家都听过野指针这一概念, 指的是非法使用的 指针。 野指针也可以是指向一片未被分配的空间。 而我们今天的实验
阅读全文
摘要:PE病毒分析 准备工作 [1]. Filemon等软件监控laborDayVirus病毒行为,观察文件、注册表、进程的变化 FileMon和RegMon的界面设置: 字体:Option-Font(选项-字体) 禁止自动滚动 监控前清空屏幕记录 FileMon和RegMon的过滤设置 “Filter”
阅读全文
摘要:PE文件解析 自制PE文件 参与作者:YZDYDD PE(Portable Executable)∶Windows平台主流的可执行文件格式,它衍生于COFF(Common Object File Format)文件格式,微软希望PE能够适用于所有Windows系统和CPU平台 Windows系统中e
阅读全文
摘要:Side Channel Attack 通过使用所提供的漏洞代码 sidechannel.c,设计一个攻击代码,利用侧信道攻击的方式获取密码,并通过shellcode 来获取 root shell。 本文作者:zmzzmqa 源代码 要攻击的程序源代码 //sidechannel.c //s.pas
阅读全文
摘要:Shellshock Attack Lab 2014年9月24日,Bash中发现了一个严重的漏洞。这个绰号叫Shellshock的漏洞可以利用许多系统,可以远程启动或从本地机器启动。在这个实验中,我们将研究这种攻击,这样才能了解Shellshock漏洞。 本文作者:zmzzmqa、对酒当歌 Lab
阅读全文
摘要:Return-to-libc Attack 学习目标是获得关于缓冲区攻击的有趣变种的一手体验;此攻击可以绕过当前在主要Linux操作系统中实现的现有保护方案。利用缓冲区过度漏洞的常见方法是使用恶意shellcode将缓冲区过度流动,然后导致易受攻击的程序跳转到存储在堆栈中的shellcode。为防止
阅读全文
摘要:反汇编工具的使用 【实验目的】 熟悉动态分析工具OllyDBG的界面和常用模块 熟悉静态分析工具IDA的界面和常用模块 掌握使用OllyDBG分析修改可执行文件的方法 【实验原理】 1OD界面 **反汇编窗口:**显示被调试程序的反汇编代码,标题栏上的地址、机器码、反汇编代码、注释。 **寄存器窗口
阅读全文
摘要:病毒行为监控 搭建病毒分析实验室 虚拟机设置(自己的电脑上必须设置) 如果能使用其他方式实现文件复制进虚拟机可以跳过,从虚拟机断网开始 (1) 在真实机中 设置受限文件夹 下面示例为windows 2003通过组策略编辑器设置受限文件夹 运行gpedit.msc 依次选择“计算机配置”-->“win
阅读全文
摘要:注册表操作 (1)强制隐藏.exe文件的扩展名 注册表项:HKEY_CLASS_ROOT\exefile, 新建字符串值:取名为NeverShowExt。 重启计算机 可见exe后缀确实没有显示,而其他的dll能正常显示。 (2)隐藏“文件夹选项”子菜单项 原本是可以有文件夹选项子菜单的 注册表
阅读全文
摘要:Vtable 实验原理 参考文章:http://phrack.org/issues/56/8.html C++中,当类 中声明虚函数(virtual 关键字)时,编译器会在类中生成一个虚函数表(VTABLE), 虚函数表是一个存储该类的所有成员函数指针的数据结构,虚函数也会被编译器 放入虚函数表中。
阅读全文
摘要:Dirty COW Attack Dirty COW漏洞是竞争条件漏洞的一个有趣案例。它自2007年9月就存在于Linux内核中,并于2016年10月被发现和利用。该漏洞影响所有基于linux的操作系统,包括Android,其后果非常严重:攻击者可以利用该漏洞获得root权限。漏洞存在于Linux内
阅读全文
摘要:Buffer Overflow Pro jmp&call esp 本文作者:对酒当歌、边城 Pre 1、阅读Basic Integer Overflows 这篇文章,大概描述整数溢出的原因和危害。 http://www.phrack.org/issues.html?issue=60&id=10#ar
阅读全文
摘要:Buffer Overflow Attack 缓冲区溢出定义为程序尝试将数据写入超出预分配的固定长度缓冲区边界的情况。恶意用户可以利用此漏洞来更改程序的流控制,甚至执行任意代码段。这个漏洞是由于数据存储(例如缓冲区)和控件存储(例如返回地址)的混合而产生的:数据部分的溢出会影响程序的控制流,因为溢出
阅读全文
摘要:Format String Vulnerability Shellcode 本文作者:对酒当歌、边城 Lec 2、为了顺利完成下节课,建议仔细阅读下面这篇文章的Level 9部分: https://infamoussyn.com/2013/09/11/smashthestack-io-walkthr
阅读全文
摘要:Format String Vulnerability 格式字符串vUl nerability是由printf(用户输入)等代码引起的,其中用户输入的变量的内容用户提供。当此程序使用权限(例如,Set-UID程序),此打印机声明变得危险,因为它可能导致以下后果之一: 使程序崩溃 从内存中任意位置读取
阅读全文
