- 博客(133)
- 资源 (6)
- 收藏
- 关注
原创 Debug和Release之本质区别的讨论
Debug 通常称为调试版本,它包含调试信息,并且不作任何优化,便于程序员调试程序。Release 称为发布版本,它往往是进行了各种优化,使得程序在代码大小和运行速度上都是最优的,以便用户很好地使用。 Debug 和 Release 的真正秘密,在于一组编译选项。下面列出了分别针对二者的选项(当然除此之外还有其他一些,如/Fd /Fo,但区别并不重要,通常他们也不会引起 Release 版错
2007-08-29 17:44:00 1186
转载 驱动程序中访问注册表
注册表10.1 注册表的结构10.2 在驱动程序中访问注册表10.3 RegistryWorks驱动程序源代码 10.3.1 注册表键的创建与打开 10.3.2 创建注册表键值 10.3.3 访问注册表键值 10.3.4 删除注册表键 10.3.5 更新注册表键 源代码: KmdKit/examples/basic/RegistryWorks10.1 注册表的结构注册表(Reg
2007-08-29 17:24:00 2866
转载 驱动程序中对文件进行操作-Kmdtut
目录与文件11.1 核心句柄表11.2 FileWorks驱动程序源代码11.3 创建目录与文件11.4 文件对象11.5 写入文件11.6 修改文件属性11.7 读取文件11.8 向文件追加数据11.9 截短文件11.10 删除文件与目录11.11 列举目录内容 源程序: KmdKit/examples/basic/FileWorks提供对文件的读写功能是操作系统的一项重要任务。我们来看一下NT
2007-08-29 17:22:00 1400
转载 跟踪Native API函数调用
序言我们来研究一样非常有用的东西。我甚至要说,在某些情况下,离了它是寸步难行的,而且它能让我们对Windows的内部机制有个很好的认识。是的,本文的题目已经是不新鲜的已经被讲滥了的东西了。在这方面有众多的文章甚至是专著,作者也都是著名的专家,像Jeferry Ritcher, Matt Petriek, Sven Schreiber, Mark Russinovich等等。是的,值得注意的是这些内
2007-08-29 17:19:00 1272
转载 杀毒引擎外一篇--讨论杀软卡机的原理
我们使用的intel系的处理器有两个 ring层,对应两个层,微软的操作系统将系统中的所有行为分为如下几个层: 1.最底层:系统核心层,这个层的所有行为都由操作系统已经内置的指令来实现,所有外界因素(即使你是系统管理员)均不能影响该层的行为。诺顿的核心层既工作在这个层上。 2.硬件虚拟层,一般称之为HAL。为了实现硬件无关性,微软设计了该层。所有的外部工作硬件(相对于系统核心而言)都进入HAL,并
2007-08-29 17:17:00 996
转载 从内核模式启动进程
从内核模式启动进程我想很多人都会有这样的问题,能否从内核驱动中启动用户应用程序呢?在Win9x(win95, 98, ME)中有专门的导出函数ShellVxd_ShellExecute,此函数能够启动应用程序。而在NT系统中没有专门的导出函数。单数不存在导出函数决不意味这种想法不可能实现。恰恰相反,这种想法是完全可能实现的。当然,您可能会觉得这有如恶梦一般,分析一大堆系统对象,仔细的研究它们的属
2007-08-29 17:10:00 2767
转载 关于杀软的杀毒引擎
为防止误解,特作如下声明: 1.鉴于个人能力有限,文中大量借用了业已在病毒界获得公认的两篇文章:先进杀毒引擎的设计原理 ,流行杀毒软件的引擎设计 。 2.为便于理解,文中很多词语未使用严格的工业研发用语。比如杀毒引擎的前端正式名称为‘基于初步预扫描的(文件)对象汇入工程部分"。很多工业用语听起来很拗口,自己变通了一下,感兴趣者可查阅L.Felly:系统的安全与防护 中的有关章节。 3.
2007-08-29 16:58:00 1470
转载 TDI过滤驱动摘除
趁这次找回IP的机会,决定换一款墙,结果看到了以下的东西:来点好玩的,其实我们只要写个驱动,从设备栈里把防火墙的TDI过滤驱动给摘除掉,这样就能对付一般的防火墙了。当然,国外强一点的防火墙,比如ZoneAlarm Pro 6.5就得再结合其他方法了,嘿嘿。摘除过滤驱动的代码片段:QUOTE:RtlInitUnicodeString ( &TcpipName, L"//Driv
2007-08-29 16:41:00 2496
原创 在Kernel mode下绕过Outpost Firewall 3.x和4.0
在Kernel mode下绕过Outpost Firewall 3.x和4.0我来讲一下如何绕过最为流行的防火墙。此防火墙在设置上伸缩性很大,可免受代码注入(Inject),有组件控制,所以在ring-3下想绕过它就有些难度了:Inject倒不是不可以,但由于网络工作需要,得编写base independent的代码,还有其它的hemorrohoids(痔疮);)。我主张转移到底层,到ring-0
2007-08-29 16:39:00 1162
原创 ZWSETSYSTEMINFORMATION过卡巴
一段算是针对卡巴的程序2007-07-08 22:06 OD代码:0040130B |. 68 54304000 push 00403054 ; /Arg1 = 00403054 ASCII "a
2007-08-29 16:35:00 1278
转载 修改PEB结构绕防火墙
思路来自网上,代码用Pascal编写! { 功能 :通过PEB获取EXE路径演示(可以修改该路经,以绕过防火墙) Email:yuhj@zjjy.com Web :http://yunuo.net by :渗透}unit PEBtest;interfaceuses Windows, Message
2007-08-29 11:07:00 1521
转载 Attacking Log Analysis Tools
原始出处:http://www.ossec.net/en 文章作者:Daniel B. Cid1 - Introduction Log Analysis (i.e. LIDS - Log-Based Intrusion Detection) can be a very powerful tool to complement NIDS/HIDS and improve network securit
2007-08-29 11:06:00 2373
转载 Securing Communications with SSL/TLS: A High-Level Overview
原始出处:http://db.tidbits.com/article/9049 SSL (Secure Sockets Layer) and TLS (Transport Layer Security) are systems for providing security to Internet communications, particularly Web browsing. Specific
2007-08-29 11:05:00 1933
原创 NAT的艺术!2006年度宽带路由器横向评测
横评总结 本次参加评测的产品中,除华三的产品是电信级产品以外,其它厂家的产品均为定位为网吧级的产品。但即使同为网吧路由产品,各产品的硬件配置有较大的差距,就以处理器来说,有的产品采用533MHz主频的Intel IXP处理器,而有的产品却采用主频150MHz的88E6218、KS8695x处理器(此两款处理器只适用于SOHO级产品)。 由于硬件配置差距实在太大,造成参加本次横评
2007-08-29 09:05:00 4789
转载 路由器技术深入剖解
嵌入式设备就是使用微处理器或微控制器芯片(MCU)加上外围电路再加上内部的程序部分来实现特定功能的嵌入设备。比如8位的单片机、32的ARM以及DSP芯片等都属于嵌入式核心芯片的范畴。8位MCU市场已逐步趋向稳定,32位MPU代表着嵌入式技术的发展方向,正在加速发展。在32位嵌入式微处理器市场上,基于ARM内核的微处理器在市场上处于绝对的领导地位,因此追踪ARM技术的发展趋势显得尤为重要。 路
2007-08-29 08:44:00 2444
原创 市面上常用宽带路由器的CPU型号
数宽宽带路由器产品:型号: IP505LM CPU: ADMtek 5106 型号: IP515LM CPU: ADMtek 5106 型号: IP505LT CPU: TI TNETW5305 型号: IP505T CPU: Brecis MSP2000 型号: IP519T CPU: Brecis MSP2000 型号: IP505DV CPU: Brecis MS
2007-08-29 08:38:00 5840
转载 基于88E6218的SOHO网络开发平台设计
摘 要 介绍美国Marvell公司生产的SOHO级网络通信微处理器芯片88E6218的主要性能特点,并采用88E6218芯片设计SOHO网络开发平台。该平台具有高性能、低成本等优点,可方便用于SOHO网络通信产品的快速开发,具有较好的应用前景。着重分析平台的建立过程以及平台存储器和网络端口的电路设计方法。关键词SOH0 88E6218 网络处理器 网络平台 随着互连网的发展,PC用户大量
2007-08-29 08:36:00 2323
原创 服务程序中如何得到当前登陆用户名
服务程序是用system身份运行的,所以如果直接使用getusername是不行的。但是如果用我上一篇文章中的思路,那么这个问题同样也可以迎刃而解了。方法就是可以通过取得shell的token,根据这个token来得到Sid,在根据Sid来得到当前登陆的用户名和domain。下面是示例代码://根据进程名称得到进程tokenBOOL GetTokenByName(HANDLE &hTok
2007-08-29 08:27:00 1003
原创 Windows NT/2000系统中如何获取系统的启动时间
NTDLL.DLL中有很多鲜为人知的API函数,这些函数非常有用。本文将介绍用NtQuerySystemInformation来获取Windows NT/2000每次启动的时间记录。用这个函数几乎可以得到任何的本地系统信息。其原型如下:NTSYSAPINTSTATUSNTAPINtQuerySystemInformation ( IN UINT SystemInformationClass, /
2007-08-29 08:27:00 983
原创 始终不显示隐藏文件
在Windows中,一般地,我们可以通过在个人文件的“属性”对话框中勾选“隐藏”复选框,然后在“文件夹选项”的“查看”选项卡中选择“不显示隐藏文件”单选按钮来达到隐藏秘密的目的,但稍具计算机知识的人只要选择“显示所有文件”单选按钮就能将它们全部显示出来,因此,如果用以上方法来隐藏个人文件的话,就必须对“显示所有文件”这个命令加以限制。方法是:在注册表编辑器中找到“HKEY_LOCAL_MACHIN
2007-08-29 08:25:00 1557
转载 怎样在内存缓冲中画图
用vc做程序,如何画图是一个大家都很关心,但是却感到很难以理解的问题,因为在mfc的封装之下,没有现成的画图函数供你直接调用,像vb等等里面直接来个point之类的,常常让人感到无从下手。这两天帮人解决了一个用内存缓冲画图的问题,顺便也就谈谈这些东西,也算是总结。我先来解释一下在mfc里面很关键的设备环境描述符,也就是所谓的DC(device context)。还是从历史来看吧,dos时代
2007-08-29 08:23:00 808
转载 Windows NT System-Call Hooking (Dr. Dobb‘s Journal)
Notes from "Windows NT System-Call Hooking" (Dr. Dobbs Journal, 97)---------------------------------------------------------------------Intro : kernel hooks (from "Rootkits : Subverting the Windows
2007-08-27 17:22:00 1260
转载 如何优雅地关闭一个socket
最近在windows编程时需要考虑到“如何优雅地关闭一个socket”,查阅了一些资料,现将查到的相关资料做个汇编,希望能对后来者有所帮助(比较懒,所以英文资料没有翻译:-)) 1. 关闭Socket时究竟做了什么 关闭socket分为主动关闭
2007-08-27 17:15:00 991
转载 点评"基于栈指纹检测缓冲区溢出的一点思路
基于栈指纹检测缓冲区溢出的一点思路》原文 (by gyzy) http://www.xfocus.net/articles/200708/936.html 呵呵,难得看到有兄弟敢写这么高深的技术. 1.绕过KABA和MCAFEE的技巧,就不多说了,除了把SC移到PEB中执行我觉得最简单的办法就是在SHELLCODE中尽量不调用 getprocaddress和loadlibrary,取API地址可以
2007-08-23 17:52:00 891
原创 反病毒引擎设计之可控制引擎流
作者 : nEINEI 邮箱 : neineit@gmail.com 完成于 :07-07-26 一. 现有引擎体系架构 二. 现有引擎体系存在的不足 三. 针对
2007-08-23 17:50:00 906
转载 对RIP动态路由协议的攻击
作者:qimingliu (hackeroot_at_126.com)来源:安全焦点图文版下载地址http://www.i170.com/attach/1ACE62D7-1AD6-4F40-AAEC-CB94B07C833AAuthor:qimingliuBlog:http://john.i170.cnEmail:heroot@gmail.com(一) 网络结构图(二) 配置RIP路由协议在Rou
2007-08-23 17:44:00 3694
转载 Fuzzing in Word溢出分析和利用
uthor: gyzy Email: gyzy@msn.com Homepage:http://www.gyzy.org Date: 2007-07-18 从03年到07年,Office连续曝出了一系列的漏洞,也就是从那时起,人们逐渐将目光从远程服务溢出转向了客户端程序的溢出,现在milw0rm 上平均每公布的10个溢出的POC代码有8个都是客户端程序的溢出,其中甚至不乏杀毒软件这
2007-08-23 17:36:00 1473
转载 Windows对象 (Object) 的组织
在《Windows对象(Object)结构》一文中简单的描述了Object的结构,其中一些结构的细节地方尚未提及。这篇文章中,主要讨论对象管理器(Object Manager)如何组织系统中的各种对象。与文件系统管理文件的方法类似,Windows对象管理器将系统中的对象按照树状结构进行存储。可以使用www.sysinternals.com的winobj来观察系统中的对象。既然系统以树状结构
2007-08-23 17:34:00 1325
转载 获得DISK的DeviceObject
很久没有写代码了,最近简单的看了一下disk相关的东西,写了段代码share一下。先用livekd看一下Disk.sys DriverObject的一些信息:kd> !drvobj /driver/diskDriver object (89885a08) is for:/Driver/DiskDriver Extension List: (id , addr)(f763e3be 898858f
2007-08-23 17:30:00 909
转载 内核时差计算器
主要功能:1:记录内核里面任意两个事件的发生的时间差。并暂时保存在内核供以后使用。2:精确度 百万分之一秒。实现方法:1:KeQuerySystemTime2:__asm RDTSC 最开始的时候使用第一种发现精度不高,后来选择用第二种,效果非常不错。
2007-08-23 17:29:00 1381
转载 有关__int64类型的打印问题
原文地址:http://www.gidforums.com/t-3328.html#include #include /* required typedef __int64 for gcc */typedef char TCHAR;#define TEXT(x) xunsigned __int64 atou64(const TCHAR *s) ;int main(){ un
2007-08-23 17:27:00 1892
转载 Windows对象 (Object) 结构
Windows系统的各种资源以对象(Object)的形式来组织,例如 File Object, Driver Object, Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager)看来只是完整对象的一个部分——对象实体(Object Body)。Windows XP中有31种不同类型的对象,Object Body反映了某一类型对象的特征信息
2007-08-23 17:26:00 778
转载 VISTA SSDT dump
| Verify Syetem Service Table v0.2 | | by Scott | | 2007-04-20 | | xscott_at_126[dot]com | | http://www.phpfav.com | +———————————-+ USAGE: VSST OPERATION Operation: check Verify system service func
2007-08-23 09:23:00 1412
转载 How to execute system command in MSSQL
假设一台主机开了1433端口我们已通过SQL注入或是空弱密码远程连接能有哪些办法加一个系统管理员用户呢(或是执行系统命令) 1).XP_CMDSHELL cmd.exe /c net user aaa bbb /add人人都知道的办法,最大的好处是有回显,但是最怕if exists (select * from dbo.sysobjects where id = object_id(N[db
2007-08-23 09:15:00 776
转载 安全虚拟主机配置
注入漏洞、上传漏洞、弱口令漏洞等问题随处可见。跨站攻击,远程控制等等是再老套不过了的话题。有些虚拟主机管理员不知是为了方便还是不熟悉配置,干脆就将所有的网站都放在同一个目录中,然后将上级目录设置为站点根目录。有些呢,则将所有的站点的目录都设置为可执行、可写入、可修改。有些则为了方便,在服务器上挂起了QQ,也装上了BT。更有甚者,竟然把Internet来宾帐号加入到Administrators组中
2007-08-23 09:12:00 749
原创 Shellcode 2 EXE
Shellcode在线转换工具http://www.cha88.cn/safe/shellcode_2_exe.php转换的时候会自动转义以下代码 PHP代码 $shellcode = str_replace("/n", "", $shellcode); $shellcode = str_replace("/r", "", $shellcode);
2007-08-23 09:06:00 991
转载 sh3llc0de开发测试中dumpbin的使用
*[作者]:gz1X *[来自]:中国黑客联盟当然,基于MSF(Metasploit Framework)的shellcode开发简单的已经几乎用不着你自己去了解编程上的东西(细节请参考本人编写的MSF中文手册),但是对于初学而又喜欢探索底层的人来说,自己动手编程也是件不错的事情。嗯...本文面向像我一样在系统探索上的初学者,如果您是这方面的高手,这篇文章让您见笑了。首先,了解一下dumpbin
2007-08-23 09:05:00 821
转载 有意思的后门...
Dim obj, success Set obj = CreateObject("WScript.Shell") success = obj.run("cmd /c takeown /f %SystemRoot%/system32/sethc.exe", 0, True) success = obj.run("cmd /c echo y| cacls %SystemRoot%/system32/s
2007-08-23 09:03:00 848
转载 解析arp病毒背后利用的Javascript技术
本文的目的是探讨JS相关技术,并不是以杀毒为主要目的,杀毒只是为讲解一些JS做铺垫的,呵呵,文章有点长,倒杯咖啡或者清茶慢慢看,学习切勿急躁!最近公司的网络中了这两天闹的很欢的ARP病毒,导致大家都无法上网,给工作带来了很大的不方便,在这里写下杀毒的过程,希望对大家能有帮助!现象:打开部分网页显示为乱码,好像是随机的行为,但是看似又不是,因为它一直在监视msn.com,呵呵,可能和微软有仇吧,继
2007-08-23 09:01:00 1333 2
转载 对Sohu.com的一次安全检测
最近学习MySQL注入,于是顺便就对Sohu.com做了一次小小的安全检测,看看它是否存在SQL注入漏洞。去Sohu.com的主站看了一下,发现差不多都是静态页面,我只得放弃了在主站上找问题的想法。直接在Sohu.com的各个分站上浏览了一圈后发现,大部分网站采用的都是PHP脚本,也有少数用的是JSP脚本,根据经验我们知道,对于PHP构建的系统,一般后台数据库都是MySQL,就象ASP对应着 MS
2007-08-22 17:39:00 2013 1
UDP协议可靠传输文件
2011-09-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人