- 博客(14)
- 收藏
- 关注
RSS订阅原创 IceSword偏门功能介绍
(1)进程窗口中单击右键,选择“内存读写”,弹出如下对话框:输入起始地址和长度就可以读写内存,以及对这段内存进行反汇编。(2)用IceSword的监视进线程创建和监视进程终止功能,能够监视木马行为。例如杀毒软件进程被结束,可以看是哪个进程结束的。又比如某木马采用多线程相互守护技术,假如你结束了一个线程,一会儿它又起来了,可以用IceSword看是哪个线程起了它。截图如下:
2012-02-29 18:28:54
845
原创 木马爱修改的常见注册表项及其功能
IE相关:设置IE多线程下载网页的线程数:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings MaxConnectionPerServer(字符串值) 10(设置最大同步下载连接数为10)MaxConnectionPer1_0Server(DWORD值)
2012-02-28 15:49:41
2332
原创 一个注册为输入法的木马分析
我已把此木马样本传到以下链接:http://download.csdn.net/detail/cs08211317dn/4096819一.大致描述:1. 样本名称:z.exe2. 家族名: PWS:Win32/Zuten.gen!D(MIcrosoft)3. MD5:E298C3D646F3F25F2DE7DA8509A3D3B04
2012-02-28 15:13:16
1106
原创 利用专用文件夹隐藏文件 (tasks、fonts)
专用文件夹控制面板、回收站和计划任务文件夹%systemroot%tasks 。可以通过在cmd.exe 下复制一个文件过去。例如: copy abc.txt %systemroot%tasks 键入: cd %systemroot%tasks 你可以看到,文件已经复制到了tasks目录中了。但是如果你通过资源管理器进入这个tasks目录,你会看不到abc.txt文件。只有通过xu
2012-02-27 20:24:31
1757
转载 regsvr32.exe
regsvr32.exe用于注册Windows操作系统的动态链接库和ActiveX控件。regsvr32.exe 文件建议修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限 regsvr32.exe是32位系统下使用的DLL注册和反注册工具,使用它必须通过命令行的方式使用,格式是: regsvr32 [/u] [/s] [/
2012-02-27 17:53:35
1189
转载 sc.exe 详解
sc.exe是一个命令行下管理本机或远程主机服务的工具,他的功能是非常强大的, 下面我们来讲讲他的一些常用的基本用法: 你可以在命令行下键入sc.exe/?获得帮助. 我们以在本机为例. 1.SC的基本格式: sc [command] [service name] 这是他的基本格式,在管理远程主机时只需在SC后加上\\IP地址 sc \\192.168.0.1
2012-02-27 14:26:17
3377
转载 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
函数MoveFileEx(szDstFile, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);实际上是对注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations键进行修改,让操作系统在下一次启动后,AutoChk运行后
2012-02-23 11:16:07
14140
2
转载 解决LSP问题导致无法上网
判断LSP是否损坏,以及修复方式的微软网址: http://support.microsoft.com/?scid=kb%3Bzh-cn%3B811259Winsock LSP全称Windows Socket Layered Service Provider(分层服务提供商),它是Windows底层网络Socker通信需要经过的大门。一些流氓软件可以把自已加进去,就可以截取、访问、
2012-02-22 20:37:34
17372
原创 attrib指令
attrib指令用于修改文件的属性.文件的常见属性有:只读.存档.隐藏和系统. 只读属性是指文件只可以做读的操作.不能对文件进行写的操作.就是文件的写保护. 存档属性是用来标记文件改动的.即在上一次备份后文件有所改动.一些备份软件在备份的时候会只去备份带有存档属性的文件. 隐藏属性顾名思义即为隐藏文件.在通常情况下.在资源管理器中不显示带有隐藏属性的文件.
2012-02-17 17:41:57
2193
原创 Cacls命令使用格式
Cacls命令使用格式如下: Cacls filename [/T] [/E] [/C] [/G user:perm] [/R user [...]] [/P user:perm [...]] [/D user [...]] Filename——显示访问控制列表(以下简称ACL); /T——更改当前目录及其所有子目录中指定文件的 ACL; /
2012-02-17 17:26:14
2230
转载 关于IE8的SCODEF和 CREDAT
这里提供一些信息供理解IE8中的松散耦合处理方式。由于IE8的LCIE更新, 现在比较难知道当前的tab是哪个iexplore.exe在处理。 如果你在用vista以上的系统, 任务管理器里有两列可以提供信息,分别是 commandline 和 pid, 如果这两列被启用的话, 可以在任务管理器看到这样的进程:iexplorer.exe 872 “c:\progra
2012-02-17 16:53:44
4990
原创 计算机寄存器及标志位详解
以下是计算机内部寄存器阵列图:以下FR控制标志位及其含义:1. CF 进位标识位进行加减运算时, 如果最高二进制位产生进位或错位, CF则为1, 否则为0. 程序设计中, 常用条件转移指令JC, JNC指令据此标志位实现转移2. PF 奇偶标志位操作结果中二进制位1的个数为偶数是, PF为1, 某则为03. AF 辅助进位
2012-02-17 11:12:35
3786
转载 汇编指令大全
[数据传送指令]一、通用数据传送指令1、传送指令 MOV (move)指令的汇编格式:MOV DST,SRC 指令的基本功能:(DST)指令支持的寻址方式:目的操作数和源操作数不能同时用存储器寻址方式,这个限制适用于所有指令。指令的执行对标志位的影响:不影响标志位。指令的特殊要求:目的操作数DST和源操作数SRC不允许同时为段寄存器;目的操作数DST不能
2012-02-16 16:18:18
2280
转载 regini.exe使用方法
创建一个名称test 类型reg_dword 数据1 如果是只有=那会默认以类型reg_sz创建HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ystest =reg_dword 12。注册表键数值 [更改的权限]例如:HKEY_CURRENT_USER\Software\Microsoft\
2012-02-14 18:04:51
4256
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人