- 博客(15)
- 资源 (6)
- 收藏
- 关注
转载 机器狗病毒样本(穿透冰和点还原卡)
目前网上流传一种叫做机器狗的病毒,此病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。顺便说一句,这个病毒从技术上来说,可以大胆的猜测应该是还原业内人士开发研制的,这种技术的应用极为少见,且如果精通这种技术的高手要做病毒不会用这种hook系统的磁盘设备栈的方式,完全
2008-01-23 10:07:00 7156
原创 穿透还原的工作原理分析(逆向工程)--机器狗
文章末尾所添加的机器狗、IGM、写穿还原的工具(已可以被卡巴检测到是病毒)是在无敌小龙那里看到的,我加了个备用地址。 样本脱壳 OD加载样本explorer.exe, 对GetModuleHandleA下断,参数为NULL时即为入口点处对此函数的调用, 退出CALL之后可以得到入口为 004016ED。 重新加载样本,对004016ED下内存写入断点,中断后StepOver一步,然后在0
2008-01-23 09:55:00 2807
原创 新版“机器狗”病毒详细分析资料
报告名称:新版“机器狗”病毒详细分析资料(全部资料的一少部分)报告类型:病毒原理逆向反汇编分析播报编写作者:Coderui编写日期:2008年01月15日>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>-------------------------------------------------
2008-01-23 09:53:00 2739 4
原创 基于CallStack的Anti-Rootkit HOOK检测思路
基于CallStack的Anti-Rootkit HOOK检测思路:MJ00112007-11-2th_decoder@126.comAnti-Rootkit目前扫描Hook的方法主要有以下几种:1.对抗inline -hook ,IAT/EAT HookAnti-Rootkit使用读取磁盘上系统文件并将之进行map/重定位后,同内存中的代码进行对比的方法来检测inline hook(或EAT/I
2008-01-18 09:35:00 1570
原创 伪造返回地址绕过CallStack检测以及检测伪造返回地址的实践笔记
Author:[CISRG]KiSSinGGerE-mail:kissingger@gmail.comMSN:kyller_clemens@hotmail.com题目有点搞......Anti-CallStack Check and Anti-Anti-CallStack Check...(;- -)发现最近MJ0011的“基于CallStack的Anti-Rootkit HOOK检测思路”和gy
2008-01-18 09:31:00 5315 1
转载 Hacking The Interwebs
通过flash构造soap请求走UPNP协议来黑家庭用的小交换机 “With great power comes great responsibility”, but those with great power usually aren’t that responsible. Nevertheless, we try to be responsible as much as we can.
2008-01-18 09:30:00 1271
原创 MS08-001 - The case of the missing Windows Server 2003 attack vector
Part 3 of our MS08-001 blog post series http://blogs.technet.com/swi/archive/2008/01/08/ms08-001-part-3-the-c... -the-igmp-network-critical.aspx> mentioned that Windows Server 2003 does not expose an
2008-01-18 09:27:00 1302
原创 绕过现代Anti-Rookit工具的内核模块扫描
创建时间:2007-10-24 更新时间:2007-10-25文章属性:原创文章提交:MJ0011 (tyjaaa_at_163.com)绕过现代Anti-Rookit工具的内核模块扫描(Bypass modern anti-rootkit toolss kernel mode scan)MJ0011th_decoder@126.com2007-10-24本文描述了一些方法,可以绕过目前主流的现
2008-01-18 09:05:00 1295
转载 仿腾讯 QQ 和 Skype 通过URL触发自己的程序
下载源代码 如果你电脑中装有QQ,在IE地址栏输入:“tencent://Message/?menu=yes&exe=&uin=13231462”然后[回车],立即可以与我的QQ建立临时会话,如下图: Skype也有类似的功能。到底是如何实现的呢?看MSDN中有这么一段话: The IURLSearchHook interface is used by the brows
2008-01-18 09:02:00 1839
原创 文件过滤系统驱动开发Filemon学习笔记
下载filemon源代码WINDOWS文件过滤系统驱动开发,可用于硬盘还原,防病毒,文件安全防护,文件加密等诸多领域。而掌握核心层的理论及实践,对于成为一名优秀的开发人员不可或缺。WINDOWS文件过滤系统驱动开发的两个经典例子,Filemon与SFilter,初学者在经过一定的理论积累后,对此两个例子代码的研究分析,会是步入驱动开发殿堂的重要一步,相信一定的理论积累以及贯穿剖析理解此两个例程
2008-01-18 09:00:00 2229
转载 华为路由器防火墙配置命令总结
一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建 扩展访问列表 access-list [ normal | special ] listnumber2
2008-01-02 09:53:00 2467
转载 社会工程学翻译资料
社会工程学翻译资料1 社会工程学的定义 社会工程学是通过操纵合法用户获取机密信息的一种方法。一个社会工程学工程师通常使用电话、互联网来欺骗,让人们暴露敏感的信息或让他们做一些违反某些规定的事情。社会工程学工程师利用人们的自然倾向,信任他或她的话,通过这种方法,胜于利用计算机的安全漏洞。人们普遍同意,
2008-01-02 09:14:00 1699
原创 网络安全技术详解 跳板攻击与防御
黑客在进行攻击时会借用其他系统来达到自己的目的,如对下一目标的攻击和被侵占计算机本身的利用等等。本文介绍了常见的黑客对被侵占计算机的使用方式和安全管理员相应的应对方法。 黑客进行网络攻击时,除了自己手中直接操作的计算机外,往往在攻击进行时和完成之后利用、控制其他的计算机。他们或者是借此达到攻击的目的,或者是把这些计算机派做其他的用途。本文汇总描述了黑客各种利用其他计算机的手段,希望网络与系统管
2008-01-02 09:12:00 4401
转载 蠕虫程序 Worm.Win32.AutoRun.dz
病毒名称Worm.Win32.AutoRun.dz捕获时间2007-10-24病毒症状 该病毒是一个使用Delphi编写的蠕虫程序,长度为27,136字节,图标为常规可执行文件图标,病毒扩展名为exe。病毒分析 该蠕虫程序激活后,在%systemroot%/system32目录下生成systom.exe文件;添加注册表启动项,使systom.exe随系统自动启动;修改注册表项来
2008-01-02 09:08:00 2261
UDP协议可靠传输文件
2011-09-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人