- 博客(37)
- 资源 (2)
- 收藏
- 关注
原创 剖析Windows系统服务调用机制
剖析Windows系统服务调用机制发布日期:2004-05-08文摘内容: 文摘出处:http://www.xfocus.net/articles/200405/696.html创建时间:2004-05-06文章属性:原创文章提交:Brief (brief_at_safechina.net)剖析Windows系统服务调用机制Author: BriefE-Mail: Brief#fz5fz.
2005-01-31 23:19:00 2314
原创 获得进程的EPROCESS
获得进程的EPROCESS发布日期:2004-06-02文摘内容: 文摘出处:http://www.xfocus.net/articles/200406/706.html创建时间:2004-06-01文章属性:原创文章提交:MustBE (zf35_at_citiz.net)By [I.T.S]SystEm32Welcome to our web site http://itaq.ynpc
2005-01-31 23:16:00 5604 1
翻译 《Undocumented Windows 2000 Secrets》翻译 --- 第二章(1)
第二章 The Windows 2000 Native API翻译:Kendiv(fcczj@263.net)更新:Saturday, January 29, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。本章对于Windows 2000 Native API的讨论,主要集中在这些API和系统模块之间的关系,将重点介绍Windows 2000采用
2005-01-31 22:26:00 4556 2
转载 Linux下vi的用法
Linux下vi的用法摘要Linux下vi的基本用法指南(2005-01-09 20:08:05)By lanf, 出处:http://tech.ccidnet.com/pub/article/c302_a200213_p1.html作者:Linux知识宝库一、基本命令介绍 ---- 1.光标命令k、j、h、l——上、下、左、右光标移动命令。虽然您可以在linux中使用键盘右边的4个光
2005-01-25 09:09:00 3172
原创 (转载)如何降低IDS的漏报和误报
如何降低IDS的漏报和误报发布日期:2002-01-29文摘内容: 【中国计算机报】01-12-6 目前,漏报率和误报率太高一直是困扰IDS用户的主要问题。 起初,黑客们一般通过对IP包进行分片的方法来逃避IDS的监测,很多IDS系统没有碎片重组的能力。所以这些IDS系统不能识别采用分片技术的攻击。如果你的NIDS系统不能进行碎片重组,请考虑更换你的产品或要求产品供应商提供给你能进
2005-01-18 09:37:00 3266
原创 (转载)高级扫描技术及原理介绍
高级扫描技术及原理介绍发布日期:2002-01-29文摘内容: 作者:refdom (refdom@263.net) Scan,是一切入侵的基础,对主机的探测工具非常多,比如大名鼎鼎的nmap。我这里没有什么新鲜技术,都是一些老东西老话题,即使参考的Phrack文档也甚至是96年的老文档,我只是拾人牙慧而已。 最基本的探测就是Ping,不过现在连基本的个人防火墙都对Ping
2005-01-18 09:36:00 1916
原创 (转载)理解IDS的主动响应机制
理解IDS的主动响应机制发布日期:2002-02-26文摘内容: 流云LinuxAid论坛 在开发者的团体内,关于“什么是检测攻击的最有效的方法?”的问题的争论还在激烈的进行着,不过IDS的用户对目前的IDS技术还是感到满意的,为了获得更有优势的竞争,很多的IDS产品提供商,都在其产品中加入了主动响应的功能。这个功能的概念就是说IDS将检测攻击者的攻击行为,并组织攻击者继续进行攻击。
2005-01-18 09:35:00 2440
原创 (转载)Windows NT/2000下的空连接
Windows NT/2000下的空连接发布日期:2002-03-28文摘内容: 日期:2002-03-11作者:Joe Finamore概述谜语:"什么时候是NULL而不是null?"答案:"当它是一个空连接时。"空连接是在没有信任的情况下与服务器建立的会话,此文将讨论在NT4.0及Windows2000下的空连接问题,将研究连接的使用及弱点,同时将显示如何控制和消除这些弱点。在NT 4
2005-01-18 09:34:00 2538
原创 Linux路由器配置实例
Linux路由器配置实例发布日期:2002-06-06文摘内容: 著者:冷风http://www.chinalinuxpub.com任务:使用 Linux服务器配置路由器。目标:实现单位两个网段:192.168.1.0/24和192.168.2.0/24两个网段互相访问。步骤:1.安装一台双网卡的机器2.将eth0的地址设置为192.160.1.254,eth1的地址设置为192.168.
2005-01-18 09:31:00 3863
原创 (转载)Honeypot技术讲解
Honeypot技术讲解创建时间:2001-03-03 更新时间:2003-11-13文章属性:原创文章来源:http://www.xfocus.org文章提交: ()Honeypot技术讲解http://www.xfocus.orgemail:Morrison@xfocus.org引言:我的一个好朋友前两天和我聊天的时候告诉我了一个故事:他在网上认识了一个人,告诉说自己是个网络黑客,而且说目前在
2005-01-18 09:29:00 4448
原创 (转载)Windows NT安全性理论与实践
Windows NT安全性理论与实践发布日期:2002-06-11文摘内容: Windows NT安全性理论与实践Ruediger R. AscheMicrosoft 开发者网络技术组摘要本文是是一系列技术论文的第一篇,描述封装Windows NT安全性应用程序接口的C++类层次的实现和编程。这一系列论文包括:"Windows NT Security in Theory and Pract
2005-01-18 09:28:00 2036
原创 (转载)IDS的弱点和局限
IDS的弱点和局限创建时间:2002-06-24文章属性:原创文章来源:www.cnsafe.net文章提交:mayi (mayi99_at_263.net)1 NIDS的弱点和局限NIDS通过从网络上得到数据包进行分析,从而检测和识别出系统中的未授权或异常现象。1.1 网络局限1.1.1 交换网络环境 由于共享式HUB可以进行网络监听,将给网络安全带来极大的威胁,故而现在
2005-01-18 09:24:00 2350
原创 (转载)入侵检测系统FAQ(全)
入侵检测系统FAQ(全)创建时间:2002-08-24文章属性:整理文章来源:www.cnsafe.net文章提交:mayi (mayi99_at_263.net)1.介绍-入侵者如何进入系统?-入侵者为什么要侵入系统?-入侵者如何获得口令?-典型的入侵过程?-一般的侵入类型有哪些?-什么是漏洞(exploits)?-什么是侦察(reconnaisance)[译注:原文如此,疑为reconnais
2005-01-18 09:23:00 2569
原创 (转载)探测远程Windows主机的NetBIOS信息
探测远程Windows主机的NetBIOS信息发布日期:2003-03-27文摘内容: 原创:TOo2y(夜色) 来源:中华安全网(SafeChina) 探测远程Windows主机的NetBIOS信息Author: TOo2y[原创]E-mail: TOo2y@safechina.netHomepage: www.safechina.netDate: 12-25-2002注: 本文相
2005-01-18 09:07:00 3225
原创 (转载)一份详尽的IPC$入侵资料
一份详尽的IPC$入侵资料发布日期:2003-03-27文摘内容: 原创:iqst(iqst) 来源:菜菜鸟社区http://ccbirds.yeah.net [ccbirds入门级教程]--各个击破1--ipc$入侵一 唠叨一下:网上关于ipc$入侵的文章可谓多如牛毛,而且也不乏优秀之作,攻击步骤甚至可以说已经成为经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄.不过话虽这样
2005-01-18 09:06:00 2125
原创 (转载)零拷贝技术研究与实现
零拷贝技术研究与实现发布日期:2003-11-24文摘内容: 文摘出处:http://www.xfocus.net/创建时间:2003-11-21 更新时间:2003-11-23文章属性:原创文章提交:firstdot (firstdot_at_163.com)零拷贝技术研究与实现作者:梁健(firstdot)E-MAIL:firstdot@163.com感谢王超、史晓龙的共同研究与大力帮
2005-01-18 09:05:00 2599 3
原创 (转载)解析Windows2000的IDT扩展机制
解析Windows2000的IDT扩展机制发布日期:2003-09-28文摘内容: 文摘出处:http://www.xfocus.net/articles/200309/618.html创建时间:2003-09-22文章属性:原创文章提交:Brief (brief_at_safechina.net)解析Windows2000的IDT扩展机制Author: BriefE-Mail: Brie
2005-01-18 08:58:00 2007
原创 (转载)《再谈进程与端口的映射》之狗尾续貂篇
《再谈进程与端口的映射》之狗尾续貂篇发布日期:2004-05-08文摘内容: 文摘出处:http://www.xfocus.net/articles/200405/695.html创建时间:2004-05-01文章属性:原创文章提交:hhhkkk (hac01_at_163.com)《再谈进程与端口的映射》之狗尾续貂篇日 期:2004-5-1作 者:hhhkkk [hhkkk@126
2005-01-18 08:16:00 2176
原创 (转载)再谈进程与端口的映射
再谈进程与端口的映射创建时间:2002-02-05文章属性:原创文章来源:www.whitecell.org文章提交:ILSY (masteruser_at_263.net)Author : ilsy Email : ilsy@whitecell.org HomePage: http://www.whitecell.org 日 期:2002-02-06类 别:安全 关键字:进程 PDE
2005-01-18 08:15:00 2625
原创 (转载)VC++程序员应当如何阅读ADO文档
VC++程序员应当如何阅读ADO文档《ADO API参考》用VB的语法描述了ADO API的内容。但ADO程序员却使用着不同的编程语言,比如VB,VC++,VJ++。对此《ADO for VC++的语法索引》提供了符合VC++语法规范的详细描述,包括功能、参数、异常处理等等。ADO基于若干的COM借口实现,因此它的使用对于一个正进行COM编程的程序员而言更简单
2005-01-18 06:37:00 2560
原创 (转载)反病毒引擎设计 --- 绪论篇
反病毒引擎设计之绪论篇 作者:NJUE 发文时间:2004.01.14 目 录1 绪论1.1背景1.2当今病毒技术的发展状况 1.2.1系统核心态病毒 1.2.2驻留病毒 1.2.3截获系统操作 1.2.4加密变形病毒 1.2.5反跟踪/反虚拟执行病毒 1.2.6直接API调用 1.2.7病毒隐藏 1.2.8病
2005-01-18 02:16:00 4301
原创 (转载)反病毒引擎设计 --- 虚拟机查毒篇
反病毒引擎设计之虚拟机查毒篇作者:NJUE 发文时间:2004.01.14 编者按:绪论《反病毒引擎设计之绪论篇》我们介绍了病毒技术的发展状况和一些病毒的特点和感染机制。下面我们重点对虚拟机查毒进行阐述。 目 录2.1虚拟机概论2.2加密变形病毒2.3虚拟机实现技术详解2.4虚拟机代码剖析 2.4.1不依赖标志寄存器指令模拟函数的分析 2.4
2005-01-17 19:29:00 4224 1
原创 (转载)反病毒引擎设计 --- 实时监控篇
反病毒引擎设计之实时监控篇作者:NJUE 文章来源:安全焦点 2004年01月15日 编者按:绪论《反病毒引擎设计之虚拟机查毒篇》我们重点对虚拟机查毒进行了阐述。下面看看如何对病毒实时监控。 目 录3.1实时监控概论3.2病毒实时监控实现技术概论3.3 WIN9X下的病毒实时监控 3.3.1实现技术详解 3.3.2程
2005-01-17 19:15:00 7586 1
翻译 《Undocumented Windows 2000 Secrets》翻译 --- 第一章(3)
第一章 Windows 2000对调试技术的支持翻译:Kendiv(fcczj@263.net)更新:Monday, January 17, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。枚举系统模块和驱动(Drivers)psapi.dll可以返回当前内存中的内核模块。这本是非常简单的工作。psapi.dll的EnumDeviceDrive
2005-01-17 18:09:00 2469 2
原创 (转载)Windows Xp Sp2溢出保护
Windows Xp Sp2溢出保护转自:http://www.xfocus.net创建时间:2004-12-17 更新时间:2004-12-20文章属性:原创文章来源:http://www.xfocus.net文章提交:funnywei (funnywei_at_163.com)Windows Xp Sp2对于溢出保护funnywei & jerry我们知道在我们对溢出漏洞进行exp的时候,经常
2005-01-16 04:56:00 2276
原创 Windows网络编程经验小结
Windows网络编程经验小结 转自:CSDN网友的强贴,其ID:gdy119 (夜风微凉) 1. 如果在已经处于 ESTABLISHED状态下的socket(一般由端口号和标志符区分)调用closesocket(一般不会立即关闭而经历TIME_WAIT的过程)后想继续重用该socket:BOOL bReuseaddr=TRUE;setsockopt(s,SOL_SOCK
2005-01-15 06:32:00 3275 3
翻译 《Undocumented Windows 2000 Secrets》翻译 --- 第一章(2)
第一章 Windows 2000对调试技术的支持翻译:Kendiv(fcczj@263.net)更新:Friday, January 18, 2005声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 内核调试器的命令尽管调试器的命令已经注意了易记性,但有时总是难以回忆起它们。因此,我把它们都整理到了附录A中。表A-1是其快速参考。这个表是调试器的help
2005-01-14 20:18:00 2938
翻译 《Undocumented Windows 2000 Secrets》翻译 --- 第一章(1)
第一章 Windows 2000对调试技术的支持翻译:Kendiv(fcczj@263.net)更新:Friday, January 14, 2005本书的主页:http://www.orgon.com/w2k_internals/本书电子版的下载地址:http://www.volynkin.com/references.htm声明:转载请注明出处,并保证文章的完整性,本人保留译文的
2005-01-12 23:34:00 5532 7
原创 Windows 95 System Programming SECRENTS学习笔记---第五章(4)
GetProcessHeap 使用一个Win32 Heap函数,首先你得有一个heap handle。大部分程序都使用KERNEL32在程序产生时给与的一个默认堆(default heap)。你可以调用GetProcessHeap获得其Heap handle。这个函数很简单,它取出KERNEL32的一个全局变量,指向当前进程的process database。其中存放有进程的默认堆的句柄
2005-01-11 04:55:00 3224 3
原创 Windows 95 System Programming SECRENTS学习笔记---第五章(3)
接下来VirtualAlloc处理来自fdwAllocationType参数的各种标志值。首先,它看看是否有未公开的0x80000000标志,那意味要分配2GB以上的内存。VirtualAlloc忽略MEM_TOP_DOWN标志。然后它再测试是否你只传入了MEM_COMMIT或MEM_RESERVED标志。任何其他的标志都会引发调试版的一个警告信息。最后,函数代码调用mmPAGEToPC,那是一个
2005-01-11 04:53:00 3079
原创 Windows 95 System Programming SECRENTS学习笔记---第五章(2)
Windows 95的“Copy on Write”(写入时才复制)既然知道Windows 95尽其可能的共享程序代码,我们很自然就会关心:调试器(Debugger)对此如何应对。有什么问题吗?哦,调试器会在你的程序代码中写入中断点(break point)指令(INT 3,opcode 0xCC)。如果调试器写入中断点指令的那个code page是被两个进程共享的话,就会有潜在的问题。要知道
2005-01-11 04:49:00 3108 1
原创 Windows 95 System Programming SECRENTS学习笔记---第五章(1)
Windows 95 System Programming SECRETS读书笔记、心得第五章 内存管理Author: KendivLast Update: Tuesday, January 11, 2005 虽然本书内容是根据Windows 95而写的,但是很多思路和细节对于我们研究Windows2000及其后续系统还是非常有用的。本读书笔记不是针对全书的,只针对原书的第3、
2005-01-11 04:42:00 2994
原创 Windows 95 System Programming SECRENTS学习笔记---第三章(7)
虽然我所说的不足以让你写一个自己的操作系统层面的异常处理机制,但是以足够让你了解SEH是如何运作的。在本章的示例程序SHOWSEH程序中,会利用__try块来设立异常处理链表。设立好后,该程序将遍历SEH链表并打印出每一个节点的内容。 SHOWSEH的输出结果如下图所示。我要你注意几点。第一,请注意“next rec”一栏总是递增的,那是编译器用来放置EXCEPTIONREGISTRATI
2005-01-11 04:36:00 3779 1
原创 Windows 95 System Programming SECRENTS学习笔记---第三章(6)
线程控制函数Win32 API提供了几个函数,用来修改和查询线程的执行状态。在底层,线程可以读些另一个线程的寄存器(假设它有其他线程的handle)。在高层方面,有些Win32 API允许你暂停/开始其他线程的执行。让我们看看这些线程控制函数。 GetThreadContext和IGetThreadContextGetThreadContext使线程有能力获得另一个线程的寄存器的副
2005-01-11 01:52:00 2220
原创 Windows 95 System Programming SECRENTS学习笔记---第三章(5)
补充: 进程的handle保存在自己的process handle table中,系统可以通过hProcess找到对应的process database,那么进程所拥有的线程的handle保存在哪儿?前面提到过,在PDB中有两个位置与此有关:一个用来保存该进程拥有的线程个数,另一个保存ThreadList的表头。个人感觉,hTread应该在process handle table中,
2005-01-11 01:46:00 2188
原创 (转载)中间层驱动工作原理
中间层驱动工作原理转自:http://www.nsfocus.net/作者:noble 出处:http://www.nsfocus.com日期:2005-01-06本文如有错误,请联系作者,谢谢。(1)注册表常识:1)、设备数据库所在的注册表健值为: HKLM/SYSTEM/CurrentControlSet/Enum/ ENUM子项中是一个设备数据库,在数据库存放计算机中所有安装的,
2005-01-07 00:45:00 2746
原创 (转载)Windows 2000 Kernel Exploit 的一点研究
Windows 2000 Kernel Exploit 的一点研究转自:http://www.xfocus.net创建时间:2003-06-03文章属性:原创文章提交:eyas (ey4s_at_21cn.com)windows 2000 kernel exploit 的一点研究ey4s2003-05-23 以下是研究MS03-013所公布漏洞时的一点心得,其中可能有不少错误的地方,请大家多
2005-01-02 03:32:00 2996
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人