网络安全类
文章平均质量分 90
Civet148
这个作者很懒,什么都没留下…
展开
-
实现端口复用,突破防火墙的ShellCode
突破防火墙的ShellCode黑森林 发表于 2005-10-26 10:16:00 现在网络上获得控制台的ShellCode要么是在目标机上开一个端口,等待攻击者连接;要么是让目标机主动连接攻击者的主机,俗称反向连接。但前种方法一般都会被防火墙挡住,而后者反连不但需要攻击者有一个公网IP,而且也会被目标机端禁止外连访问的防火墙挡掉。那有没有更好的办法呢? 第一种方法就是复用攻原创 2005-12-26 05:20:00 · 4312 阅读 · 0 评论 -
密集型server/socket/多路复用/select
作一个tcp的服务程序,同时可能有大量的客户端连上来,希望分别记住各个socket谁有数据过来,就读出来,放到一个请求队列--这些事情用一个线程完成另外有一个结果队列,如果结果里包含了socket的编号,用一个线程专门:取出来按编号找回原来发送者socket,发回给原来的客户端还有一个就是处理线程(池),它取出请求队列里的一个请求,进行处理,把处理结果放入结果队列不知道有没有现成的框架?网上只找到原创 2006-05-31 23:50:00 · 3360 阅读 · 0 评论 -
WTS APIs(Windows终端服务API)获取进程信息
Windows XP 有一个新特性叫做“快速用户转换——Fast User Switching”,这个特性允许多个用户同时在一台机器上登陆。当一个用户登陆后,另一个用户启动的进程仍然能够运行。这个神奇的特性所倚仗的是 WTS APIs。如果你想了解更多有关 WTS 的内容,可以参考 MSJ Oct99 的一篇文章:“Windows NT和 Windows 2000 终端服务APIs介绍”,作者是原创 2006-01-20 15:25:00 · 4173 阅读 · 2 评论 -
浅析本机API
创建时间:2005-03-09文章属性:转载文章提交:cisocker (cisocker_at_163.com)by sunwear [E.S.T] 2004/10/02 shellcoder@163.com此文只能说是一篇笔记,是关于本机API的.本机API是除了Win32 API,NT平台开放了另一个基本接口。本机API也被很多人所熟悉,因为内核模式模块位于更低的系统级别,在那个级别上原创 2006-01-01 01:21:00 · 1146 阅读 · 0 评论 -
NtQuerySystemInformation需相应级别的权限一览(含枚举代码)
原创 2006-01-03 21:02:00 · 1714 阅读 · 0 评论 -
内核级利用通用Hook函数方法检测进程
创建时间:2005-05-10文章属性:原创文章提交:LionD8 (liond8_at_126.com)内核级利用通用Hook函数方法检测进程作者: LionD8QQ: 10415468Email: LionD8@126.comBlog: http://blog.csdn.net/LionD8 or http://liond8.126.com介绍通用Hook的一点思想:原创 2006-01-01 03:20:00 · 1043 阅读 · 0 评论 -
管理员组获取系统权限的完美解决方案
创建时间:2005-04-28文章属性:原创文章提交:suei8423 (suei8423_at_163.com)管理员组获取系统权限的完美解决方案Author : ZwelLBlog : http://www.donews.net/zwellDate : 2005.4.28 关于管理员组(administrators)获取系统(SYSTEM)权限的方法其实已经有很多种了.小四哥就提原创 2005-12-30 17:54:00 · 1555 阅读 · 1 评论 -
“黑客之门”后门的魅力:感染与加载(1)
“黑客之门”介绍 黑客之门采用的目前一些先进的后门技术,它只有一个Dll文件,通过感染系统文件启动自身,被感染的系统文件大小和日期都不会改变;同时采用线程插入技术,本身没有进程;本身不开端口,而是重用系统进程开的任意一个端口,如80,135,139,445等,因此它的隐藏性非常好,而且穿透防火墙也是很容易的事。这个版本文件不大,只提供一些很有用的命令。目前还没有发现如何工具能查到这个后门,象原创 2006-01-03 21:44:00 · 1572 阅读 · 0 评论 -
利用NATIVE API列举系统进程
利用NATIVE API列举系统进程楓 发表于 2005-9-25 23:46:00编写列举系统进程的程序,传统的方法为利用tlhelp api系统快照的方式进行列举。其实还用一种方法,即利用ntdll中的NtQuerySystemInformation函数。下面给出代码,很简单。 NTSTATUS NtStatus; DWORD dwReturnLength; DWORD dwBuffSize原创 2005-12-27 08:51:00 · 1499 阅读 · 0 评论 -
利用未公开函数枚举进程及其关联的端口系列之(二)
.flyoutMenu { background-color: #FFFFFF; border-color: #6699cc; border-width: 1px 1px 1px 1px; border-style: solid;}.flyoutMenu TD.flyoutLink { border-color: #F0F0F0; border-width:原创 2005-12-27 08:36:00 · 1949 阅读 · 0 评论 -
rootkit资料
Rootkit For Windows************************************************************转载请保留文章完整,谢谢! *Date:2005/9/11 祝童童生日快乐。也纪念世贸大厦 *作者:sunwear [E.S.T] *ps:很多人问我[E.S.T]是什么……其实就是一个技术小组 :) *E-mail:shellcoder[0原创 2005-12-27 00:43:00 · 1447 阅读 · 0 评论 -
利用未公开函数枚举进程及其关联的端口系列之(-)
通过前述可知,枚举出系统中所有进程以及它们所打开的端口,这完成木马病毒的检测与清除工作的关键任务。要做到这一点方法有多种,但最简单的就是调用NTDLL.dll中的几个未公开API,如NtQuerySystemInfomation,NtQueryInfomationProcess。其中NtQuerySystemInfomation函数提供了一个简单的途径以获得系统中所有的HANDLE(句柄),只要找原创 2005-12-27 00:22:00 · 3244 阅读 · 0 评论 -
windows下shellcode高级编程
windows下shellcode高级编程黑森林 发表于 2005-10-29 22:26:00 网上关于Shellcode的文章不少,但对于windows环境下的讨论不是很多,经典的就更少了,这一篇应该不错,推荐给大家!(站长:黑森林整理) unix等系统因为有用户概念,所以往往溢出是使用先得到普通帐号,然后登陆后用溢出再加载一个SHELL的办法得到ROOT原创 2005-12-26 05:23:00 · 2167 阅读 · 0 评论 -
端口复用劫持
安全焦点(http://www.xfocus.net)FLASHSKY(flashsky1@sina.com)文章-------------------------------------------------因为在winsock的实现中,对于服务器的绑定是可以多重绑定的,在确定多重绑定使用谁的时候,根据一条原则是谁的指定最明确则将包递交给谁,而且没有权限之分,也就是说低级权限的转载 2006-08-08 09:47:00 · 3270 阅读 · 0 评论