- 博客(144)
- 资源 (6)
- 收藏
- 关注
原创 下载指定代理文件调用IE使用代理访问指定网站的代码
前段时间haicao写了一个刷站程序,原理是通过更新IE代理,然后调用IE去访问指定的网站,从而达到刷站的目的,后来haicao说这样做效果不理想,结果我也没有能继续开发下去的意愿,现在发布出来。介绍一下: 这个程序只完成了一半,按我设计的功能还没有达到,但是没有希望的东西,也就没有开发的必要了。结构: 1----程序启动时自动下载更新代理文件(完成) 2----设置IE代理,调
2008-03-31 11:39:00 1345
原创 IE代理问题
检测你的IE使用的代理服务器 //-----------------------------------------------//记得引用 WinInet 单元//-----------------------------------------------usesWinInet //----------------------------------------------//定义要
2008-03-31 11:37:00 2716
原创 Local System 权限读取用户IE 代理设置的研究及简单HTTP代理验证
#include "windows.h"#include "stdio.h"#include "string.h"//#include "winsock2.h"//#include "wininet.h"#pragma comment (lib,"ws2_32")void LogToFile(char *LogText);//有ProxyServer键值就取回来返回true,否则返回false;b
2008-03-31 11:37:00 2715
转载 各种网站挂马的代码和原理
只要不破坏原有的语言逻辑,那就想插入哪里就写哪里了,最基本的语句当然是,其中http://www.fucksb.net/mm.htm是我们的木马,下面就不一个一个提示了。 上面可能是一般的挂马方式,也是初学者的玩法,好了,再说深一点点的,那就是js文件,好多网站上,你查看源代码都会调用js文件,其中的语句为,想到了什么,这里也可以挂马,其中我们可以远程调用自己的js,比如:这个mm.js就可以
2008-03-31 09:43:00 5256
转载 解析网页后门和挂马
网站被挂马,被植入后门,这是管理员们无论如何都无法忍受的。Web服务器被攻克不算,还“城门失火殃及池鱼”,网站的浏览者也不能幸免。这无论是对企业的信誉,还是对管理员的技术能力都是沉重的打击。下面笔者结合实例对网页后门及其网页挂马的技术进行解析,知己知彼,拒绝攻击。一、前置知识W&q1Y"o-cJ6SR-m)u,s+tm0网页后门其实就是一段网页代码,主要以ASP和PHP代码为主。由于这
2008-03-31 08:32:00 5756
转载 r0下FSD inline hook防删除
只拦截了Ntfs.sys上的,FastFat同Ntfs。感觉更像是一个inline hook的例子 呵呵 :)引用:/* By 炉子[0GiNr] http://hi.baidu.com/breakinglove_ http://0ginr.com*/typedef NTSTATUS (*pfnD
2008-03-26 16:26:00 1600
转载 深入浅出secdrv.sys本地提权0day Poc
来源:gyzys Blog本文已经发表在《黑客防线》2007年9月刊。作者及《黑客防线》保留版权,转载请注明原始出处适合读者:溢出爱好者前置知识:汇编语言、Windows内核基本原理深入浅出secdrv.sys本地提权0day Poc文/图 gyzy[江苏大学信息安全系&EST]漏洞出在一款名为secdrv.sys的驱动程序中,secdrv.sys是集成在Windows Server 2003和
2008-03-26 16:25:00 2441
原创 Kaspersky 7.0 HOOK SSDT分析
作者:CloudEmail:shangguanwan2@yahoo.cn2007-11-6一、 测试版本和环境卡巴斯基反病毒软件7.0 版本7.0.0.125d (简体中文版)平台:Windows XP Professional(5.1,版本2600) Mobile Inter? Celeron? CPU 1.60GHz工具:IDA Version 5.0.0.879(32bit)目标文件
2008-03-26 16:23:00 1795
原创 黑客的社会工程攻击新技术:机遇型攻击
机遇型攻击是指在特定的时间、地点、事件环境的条件下,采取专门的工具进行入侵与破坏的手段,它属于社会工程攻击的一种,而在2008年将会频繁出现。 时髦的攻击 作为社会工程攻击的一种,机遇型攻击的切入点往往具备出其不意的特征。事实上,以往发动此类攻击的黑客往往对于国际时事、国内热点问题、以及一些关系国计民生的议题颇感兴趣。 目前来看,引发今年机遇攻击的两大热点问题主要包括了:北京奥运会和美国总统
2008-03-26 16:18:00 827
转载 防御DDoS攻击的实时监测模型
拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)已经成为网络安全最大的威胁之一,如何防御DDoS攻击是当前人们关注的热点。然而目前的防御机制几乎没有实现DDoS攻击的实时监测。阐述了一种基于径向基函数的神经网络的实时监测模型,能够实时监测出DDoS攻击,不用增加网络流量,而且可以监测出目前所存在的所有类型的DDoS攻击。1、前言 随着Internet的应用越来越广泛,随之而来的网络安全问题
2008-03-26 16:17:00 3171
转载 企业网对DoS攻击的防御方法
黑客技术的发展似乎是一个个轮回,从最早开始的DoS洪水攻击,到后来黑客们更钟情的漏洞入侵,直到现阶段DoS攻击再现。这种看似原始但直到现在也没有完备方案解决的攻击方式,让叱诧风云的Yahoo、CNN、eBay也深受其害。DoS攻击有何德何能?当企业面对DoS攻击时,又有哪些策略可以减小损失呢?一、了解DoS本质对于安全界来说,DoS攻击原理极为简单,早已为人们所熟知。但目前全球每周所遭遇的DoS攻
2008-03-26 16:16:00 1059
转载 双机热备解决方案
双机备份方案1.1 双机备份方案描述现代IT技术认为,一个成功系统中数据及作业的重要性已远超过硬件设备本身,在一套完善的系统中对数据的安全及保障有着极高的要求。双机容错系统是由IBM公司提出的全套集群解决方案,结合IBM服务器产品的安全可靠性和集群技术的优点,为用户提供一个完善的系统。1.1.1 双机备份方案的原理两台服务器通过磁盘阵列或纯软件模式,连接成为互为备份的双机系统,当主服务器停机后,
2008-03-26 16:16:00 9260
原创 完全解密企业信息安全风险评估
当前,无论是政府还是企业,对于自身的信息安全都非常关注。因此,企业信息安全风险评估再一次引起了业界的关注。那么,此类评估有什么标准?对企业的价值又体现在何处呢?认识存在的风险长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅
2008-03-26 16:14:00 1281
转载 僵尸网络模型分析及解决方案
僵尸网络的攻击要素 下图显示了一个典型的僵尸网络结构 400) {this.resized=true; this.width=400;}" border="0" resized="true" /> 攻击者首先会散布木马病毒感染大量的主机,然后这些主机就成为了所谓的僵尸然后与IRC(在线聊天系统,Internet Relay Chatting)服务器连接获取进一步的指令。
2008-03-26 16:14:00 2435 1
原创 UNIX系统安全危机评估手段
1、概述目前,国内重要政府部门(如财税、公安、电信、移动、电力等)、大型公司和著名门户网站,都使用UNIX系列服务器来运行其关键业务如电子商务、数据库等。这些部门或者公司往往有数百台Linux/Unix系统服务器,由多名系统管理员负责管理,并通过规章制度,对系统管理员的行为进行规范。但是,由于缺乏相应的先进工具和手段,这些部门或者企业无法保证系统管理员严格按照规范来进行管理,无法保证系统管理员的真
2008-03-26 16:13:00 1346
原创 风险评估应用技术和工具初探
安全专家都知道,要战胜黑客就必须了解攻击是如何实施的。黑客们的大部分时间花在搜索有漏洞的机器上:只要有耐心和一堆入侵工具,他们就可以成功突破系统的防线。他们用Ping之类的工具通过IP或域名找到潜在的入侵对象,然后搞清楚对方运行的是什么操作系统、安装了哪些应用软件,据此运行相应的入侵工具;或者,黑客们还会把蠕虫散布到Internet上,敲打每一台计算机的大门,尝试对每一台机器搞些小动作,甚至不必花
2008-03-26 16:12:00 1972
转载 做一个优秀的木匠
|=---------------------------------------------------------------------------=||=---------------------=[ 做一个优秀的木匠 ]=---------------------=||=-----------------------------------------------------------
2008-03-26 16:11:00 955
原创 FISH花指令免杀器
程序采用C++Builder 2007 编写,学了两天pe结构,写个花指令免杀器练手...500)this.width=500;" alt="" /> BYTE Me1[46]={ 0x6A,0xFA,0x6A,0x06,0x6A,0x06,0x64,0xA1,0x00,0x00,0x00, 0x00,0x50,0x64,0x89,0x25,0x00,0x00,0x00,0x00,0x83,0
2008-03-26 16:08:00 1044
转载 安全专家:真实的网络攻击取证纪实
随着信息技术的发展,越来越多的人都喜欢用计算机办公,发邮件,建设自己的个人站点,公司建立自己的企业站点,政府也逐渐的采取了网上办公,更好的为人民服务,银行和证券机构也都开始依托互联网来进行金融和股票交易,但是随着方便的同时也同时带来了新的一些计算机网络安全隐患,随着司法机关的介入,我相信在不久的将来,网络攻击调查取证也会成为立法机构必须要考虑设立的一门新的学科,目前来说开设这个的课程多在网络警察和
2008-03-26 16:04:00 1561
原创 Winlogon劫持记录3389密码小工具
在得到system权限下,通常希望得到3389管理员密码,来进一步得到更多的信息,方便进一步的渗透。gina木马比较不错,但是貌似win 2000少导出一个函数,用在win 2000下可能崩溃。于是写了一个小工具,通过挂钩 msgina.dll WlxLoggedOutSAS 函数,记录登录帐户密码! 启动就用winlogon 通知包,当有3389,连上服务器时。新创建的 winlogon.exe
2008-03-26 16:03:00 3426 1
转载 对趋势科技等数万网站被攻击的分析
一. 首先在网上找到了这次攻击的新闻报道http://www.nsfocus.net/news/6697http://hi.baidu.com/secway/blog/item/e80d8efa4bf73ddab48f31a3.html通过GOOGLE搜索到了相关被黑的页面http://www.google.cn/search?hl=zh-CN&q=site%3Atrendmicro.com++w
2008-03-26 15:59:00 791
转载 大型电信运营业务支撑系统安全评估方法
作者:刘雪勇 宋汇星摘 要:大型电信运营业务支撑系统(BOSS)有其独特的复杂性,集中化改造后,对BOSS系统的信息安全保障能力也提出了更高的要求,安全评估方面的考虑也越来越多。从管理和技术两个方面探讨了大型电信运营业务支撑系统的安全评估方法。 近年来,电信运营商为了满足不同层次的用户需求,不断地推出新业务和新服务,而业务、服务的增多往往意味着管理、协调等问题的增多。为了解决这些问题,国内的一
2008-03-26 15:55:00 1313
转载 WIN32和Kernel直接读写硬盘扇区.
这里是摘自文章里的一个表:硬盘的总体结构***********************************************************************编号 名称 备注1 主引导扇区(含硬盘分区表) 占用一个扇区空间(一个扇区空间为512字节
2008-03-26 15:49:00 1773
转载 Microsoft Internet Explorer FTP含命令注入漏洞
受影响版本:Microsoft Internet Explorer 6.0.2900.2180 Microsoft Internet Explorer 5.01 不受影响系统:Microsoft Internet Explorer 7.0描述:BUGTRAQ ID: 28208Internet Explorer是微软发布的非常流行的WEB浏览器。如果用户访问了包含有恶意FTP URL的
2008-03-26 15:46:00 1391
原创 Microsoft IE 7 setRequestHeader()函数多个请求拆分/渗透漏洞
受影响版本:Microsoft Internet Explorer 7.0.5730.11- Microsoft Windows XP SP2 描述:BUGTRAQ ID: 28379Internet Explorer是微软发布的非常流行的WEB浏览器。IE 7允许通过HTTP请求拆分攻击覆盖Content-Length、Host和Referer等HTTP头,导致HTTP头信息欺骗。类
2008-03-26 15:45:00 976
转载 使用IRP进行文件操作
一定要先感谢为技术的进步而付出辛勤汗水的人,感谢他们对技术的共享.一个通用IRP访问文件的十六进制编辑器(开源代码) -- 被诅咒的神(邪恶八进制信息安全团队)Windows平台内核级文件访问 -- baiyuanfan (baiyuanfan@163.com)特别感谢被诅咒的神,他写的里面包含了非常多
2008-03-26 15:44:00 2653
转载 磁碟机最新变种分析
主防、Hips、Byshell技术、监控文件、破组策略/IFEO、U盘感染进程守护、关杀软、屏蔽安全工具、感染文件(带加密)、破坏安全模式等等哈哈。测试为反汇编和一些实机运行跟踪。因为壳的原因,可能分析的不准确。 :)1、检查互斥体"xcgucvnzn",判断病毒是否已加载在内存中。如存在,则退出,防止多个病毒体被执行。2、创建文件:C:/037589.log 93696 字节C:/lsass.e
2008-03-26 15:26:00 1141
原创 反病毒工具之注册表监视器
核心HOOK API类,理论上可以HOOK 任何使用STDCALL声明的API函数// HookInfo.h: interface for the CHookInfo class.////////////////////////////////////////////////////////////////////////#if !defined(AFX_HOOKINFO_H__D44F1
2008-03-26 15:24:00 830
原创 远程线程注入技术 屏蔽ctrl alt del
在NT/2000中怎么禁用Ctrl+Alt+Delete?(不能用gina,键盘驱动) 在Windows2000中Ctrl-Alt-Delete组合键的处理如下: Winlogon初始化的时候,在系统中注册了CTRL+ALT+DEL Secure Attention Sequence(SAS)热键,并且在WinSta0 Windows 系统中创建三个桌面。 SAS热键的注册使得Winlogon
2008-03-26 15:14:00 1636 1
转载 机器狗木马源文件
机器狗的生前身后,曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字,图标是SONY的机器狗阿宝,就像前辈熊猫烧香一样,大家给它起了个名字叫机器狗。工作原理机器狗本身会释放出一个pcihdd.sys到drivers目录,pcihdd.sys是一个底层硬盘驱动,提高自己的优先级接替还原卡或冰点的硬盘驱 动,然
2008-03-26 15:10:00 1454
原创 注入Winlogon进程示例代码
“Winlogon通知包(Winlogon Notification Package)”就是处理winlogon在切换状态时发出的事件的DLL。你可以通过“Winlogon Notification Package”来监视winlogon事件的响应。你可以注册这些DLL,那么winlogon.exe会在启动时加载它们,并且会在系统状态切换时来调用注册DLL的事件处理函数。当然这一点用来加载后门是在
2008-03-26 15:09:00 795 1
原创 Detour开发包之API拦截技术
我们截获函数执行最直接的目的就是为函数增添功能,修改返回值,或者为调试以及性能测试加入附加的代码,或者截获函数的输入输出作研究,破解使用。通过访 问源代码,我们可以轻而易举的使用重建(Rebuilding)操作系统或者应用程序的方法在它们中间插入新的功能或者做功能扩展。然而,在今天这个商业 化的开发世界里,以及在只有二进制代码发布的系统中,研究人员几乎没有机会可以得到源代码。本文主要讨论Detou
2008-03-26 15:08:00 953
原创 Detour
Detours: 在二进制代码上截获Win32函数调用Galen Hunt and Doug BrubacherMicrosoft ResearchOne Microsoft WayRedmond, WA 98052detours@microsoft.comhttp://research.microsoft.com/sn/detours注: 这篇论文首次发表是授权给U
2008-03-26 15:07:00 1418
转载 向任意进程注入DLL
向任意进程注入DLL可能这对高手来说已经是老掉牙的东西了,还是来说说原理把(本人也是菜鸟啊)!远程注入就是在目标进程中用VirtualAllocEx申请一段内存,然后用WriteProcessMemory函数将自己dll的完整路径复制到远程进程中,然后在Kernel32中计算LoadLibraryA的地址,再调用LoadLibraryA函数加载远程dll,并在CreateRemoteThread创
2008-03-26 15:05:00 1303
原创 内核态进程管理器Intercessor和实现细节
已经修改下载地址下载地址:http://www.csksoft.net/Intercessor_report_src_bin.rar由于文件太大,无法作为附件提供,抱歉 原理和核心驱动代码下载:ftp://FTP_Visitor:visitor@ftp.csksoft.net/Public/Products/APP/Intercessor_report_src_bin.rar-----------
2008-03-26 15:03:00 1874
原创 城里城外看SSDT
2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……那么,以程序员的视角来看,整个过程应该是这样的:由用户输入dir命令。 cmd.exe获取用户输入的dir命令,在内部调用对应的Win32 API函数FindFirstFile、Fin
2008-03-26 13:08:00 862
原创 通过SSDT UnHOOK 函数HOOK
一、在用户空间修改系统服务调度表(SSDT)SSDT位于内核空间,如果要修改SSDT的入口函数,rootkit都是通过驱动程序的方式载入再修改的。然而在用户空间可以通过直接读写/device/physicalmemory来修改SSDT的入口。(译注:修改SSDT入口是可以在用户空间进行,只是SSDT的入口函数必须是在内核空间,所以一般rootkit都是把修改后的程序放在驱动程序中,以便直接加载到内
2008-03-26 12:52:00 1556
原创 Win2K下驱动程序的动态加载
加载一个驱动程序,主要就是,在 SYSTEM/CurrentControlSet/Services 建一个键。 如: SYSTEM/CurrentControlSet/Services/Twdm1 Type(1) ErrorControl(0) Start(3) 多数驱动程序都是通过设置 Start 的值为 0, 1, 2 。 在系统启动的过程中加载驱动程序。 在 win2k 下驱动程序的加载处理
2008-03-25 11:51:00 1071
原创 fsd hook里获取文件全路径
NTSTATUS MyFsdCreate(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp){PDRIVER_DISPATCH RealDispatch;NTSTATUS ntStatus;NTSTATUS status;PFILE_OBJECT
2008-03-24 21:45:00 1065
原创 内核模式的dll编写与调用
http://www.microsoft.com/whdc/driver/tips/KmDLL.mspxhttp://www.wd-3.com/archive/KernelDlls.htm
2008-03-24 21:43:00 1189
UDP协议可靠传输文件
2011-09-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人