2015年11月_jackey3Lin

12月 11月 10月 09月 08月 07月 04月

转载虚拟机检测技术剖析

作者：riusksk (泉哥)主页：http://riusksk.blogbus.com前言在当今信息安全领域，特别是恶意软件分析中，经常需要利用到虚拟机技术，以提高病毒分析过程的安全性以及硬件资源的节约性，因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机（Virtual Machine）是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。

2015-11-30 14:02:33 1224

在Win16环境中，DLL的全局数据对每个载入它的进程来说都是相同的,因为所有的进程用的都收同一块地址空间；而在Win32环境中，情况却发生了变化，每个进程都有了它自己的地址空间，DLL函数中的代码所创建的任何对象（包括变量）都归调用它的进程所有。当进程在载入DLL时，操作系统自动把DLL地址映射到该进程的私有空间，也就是进程的虚拟地址空间，而且也复制该DLL的全局数据的一份拷贝到该进程空间。（在

2015-11-30 13:08:59 730

转载沙箱逃逸技术

沙箱技术实现特点 (((本文仅仅讨论沙箱的逃逸技术问题，不涉及高大上的架构性问题及APT防御性问题，避免问题的无限扩大化。)))用沙箱动态行为分析检测malware是近几年补充传统AV杀软的通用技术，但是各厂商对沙箱的实现方式和检测方案设计不尽相同，单纯从沙箱角度看，基本分为虚拟化和仿真模拟两大类，然后会在这两种的基础上加上内存分析或者多系统多沙箱联合分析，其中云查杀，信誉，流量检测等本

2015-11-21 11:49:29 9374

转载通过异步过程调用(APC)注入DLL

关于APC的介绍，可以参考MSDN对Asynchronous Procedure Calls的介绍（索引APCs），下面是简单翻译的一段文字。APC（Asynchronous Procedure Calls，异步过程调用）是指在一个特定的线程环境中异步的执行代码。当一个APC被添加到一个线程的APC队列的时候，系统会产生一个软中断；当线程下一次被调度的时候APC函数将被执行。操作系统产生的AP

2015-11-20 15:44:00 619

转载使用def文件简化dll导出

在C++中，我们可以通过 __declspec(dllexport) 将函数导出为Dll中供其它程序使用，例如： _declspec(dllexport)int add(int a,int b);在这种方式下，如果调用该dll的是一个c++程序（同一个编译器的版本）是没有问题的。但是，如果调用该dll是一个其它语言的程序（如C#、VB），则会出错。究其原因，是因为在C++

2015-11-20 14:57:45 539

转载 Windows NT WinLogon Notify(转载+修改版)

方法一：在NT系列Windows操作系统中，恶意软件可以通过关联Winlogon特定的事件来使自身被启动，如Lock，Logoff，Logon，Shutdown，StartScreenSaver，StartShell，Startup，StopScreenSaver，Unlock等，这甚至能够使得恶意软件在安全模式下被加载。WinLogon的通知事件在注册表的位置是：HKEY_LOCAL_M

2015-11-20 14:52:04 1251

转载我们能相信自己的眼睛吗？

几天前一个客户向我们提交了一个样本（SHA1值为fbe71968d4c5399c2906b56d9feadf19a35beb97，检测结果为TrojanDropper:Win32/Vundo.L）。这个木马使用了一种特殊的方式劫持了vk.com以及vkontakte.ru这两个域名（都是俄罗斯的社交网站），并将他们重定向到92.38.209.252的IP地址。通常劫持一个网站并将其重定向到攻击

2015-11-19 18:03:15 852

转载 MSVC CRT运行库启动代码分析

在程序进入main/WinMain函数之前，需要先进行C运行库的初始化操作，通过在Visual Studio中调试，通过栈回溯可以找到位于crt0.c中的_tmainCRTStartup函数，这个函数负责进行一些初始化操作，_tmainCRTStartup的上一层调用来自kernel32.dll。这里简单分析一下crt0.c的代码。实际上，C运行库代码又有两个版本，如果是静态编译的话代码位于c

2015-11-19 15:40:50 1041

转载代码注入技术

代码注入相对DLL注入来说更加隐蔽，但是对技术的要求要更高，个人以为代码注入最好注入稳定的Shellcode。代码注入需要用到的API有VirtualAllocEx、WriteProcessMemory、CreateRemoteThread，类似于DLL注入。通常VirtualAllocEx和WriteProcessMemory会被调用两次，分别是处理线程函数以及线程函数参数，然后通过调用Crea

2015-11-18 17:47:52 897

转载 SYSTEM权限引发的系列问题

Windows下的服务程序（S程序）都是以SYSTEM权限启动的，通过服务程序启动的程序（N程序）自然也会是SYSTEM权限的，而如果开发N的时候没有考虑到SYSTEM权限这种情况，那么有可能N就无法正常的运行于SYSTEM权限下。场景：客户需要在服务下运行我的程序，在这样的情况下我的程序崩溃了:(为了方便调试，我给程序添加了崩溃转储功能，把DUMP文件拿回来之后用Windbg调试了一下，发现

2015-11-18 15:56:02 5091

转载 CComboBox使用技巧：

1. CComboBox风格CBS_AUTOHSCROLL //自动水平滚动条CBS_DISABLENOSCROLL //选中时始终显示滚动条 CBS_DROPDOWN //下拉式 CBS_DROPDOWNLIST //下拉列表 CBS_HASSTRINGS //为字符串提供GetText()函数CBS_LOWERCASE //转换为小写 CBS_NOINTEGRALHEIGH

2015-11-02 15:58:57 1998