- 博客(33)
- 收藏
- 关注
RSS订阅原创 木马编程DIY第10篇之网络进程监视
进程管理程序大家都不陌生,通过CreateToolhelp32Snapshot/Process32First/Process32Next系列函数或者PSAPI库不难探出其中的信息,但对进程是否有网络操作,监听的端口,远程地址,远程端口却力不从心了。然而这种监视对于分析某些恶意软又十分必要,所以我们的目标就是打操,具有网络监视功能的最终梦幻版本。实现效果如图1所示。实现方法
2008-12-29 13:20:00
909
转载 木马编程DIY之线程守护
要防止自己的程序被关闭,通常有两种方法1.像IcesWord一样HOOK系统底层的函数2.使用线程保护。这里我们主要学习线程保护的方法线程保护的思路就是让其它程序监视自己,如果自身程序退出了,那么监视程序就重新启动,这个过程我简单画了一个图如图1所示跟据图示1我们来分析一下线程守护的思路,并编程实现一个简单的线程守护程序,本程序完成的功能是把监视代码插入到Notepad.exe进程以监视程序本身,
2008-12-29 11:10:00
698
转载 在VC中使用ListCtrl保存上线主机SOCKET句柄
在VC中使用ListCtrl保存上线主机SOCKET句柄我知道在BCB中的列表框有一个DATE项,昨天晚上在群里草草说VC的ListCtrl也可以存入一个DWORD类型的数据,这让我很高兴因为,当时我正为如何处理上线主机的SOCKET列表而头疼,而SOCKET是 unsigned long类型的,也就是说可以把上线的主机存在ListCtrl中,而使用这个方法可以搞定了保存SOCKET数据int n
2008-12-29 11:09:00
770
转载 【转】男人25岁前应该知道的事
1.男人是社会的主体,不管你信或不信.所以男人应该有种责任感. 2.25岁之前,请记得,爱情通常是假的,或者不是你所想象的那样纯洁和永远.如果你过了25岁,那么你应该懂得这个道理. 3.吃饭7成饱最舒服.对待女友最多也请你保持在7成. 4.30岁之前请爱惜自己的身体,前30年你找病,后30年病找你.如果你过了30岁,你自然也会懂得这个道理. 5.事业远比爱情重要.如果说事业
2008-05-11 00:05:00
527
转载 【转】Rootkit相关链接
Rootkit相关链接October 21, 2007 – 15:05 categories:Decompilers Garage - Homebrew haxoring of a different type Network Drivers - Contains links for both NDIS and TDI drivers. Remote Control Packages
2008-05-04 19:15:00
1076
转载 【转】内核级Rootkit技术入门(二)
本文将向读者介绍如何将编译好的驱动程序运行起来并察看它的调试语句给出的消息。换句话说,我们要做的是最简单的调试工作。一、驱动程序的加载和执行当我们开发Rootkit的时候,经常需要改变其功能,这时经常重复加载、运行、测试、停止和卸载这一系列的动作。加载和运行驱动程序的方法很多,我们这里介绍的是最简单的一种——利用工具软件InstDrv。InstDrv是一款非常小巧的工具,它的.zip压缩包
2008-05-04 13:05:00
1108
转载 【转】内核级Rootkit技术入门(一)
Rootkit是一种奇特的程序,它具有隐身功能:无论静止时(作为文件存在),还是活动时,(作为进程存在),都不会被察觉。换句话说,这种程序可能一直存在于我们的计算机中,但我们却浑然不知,这一功能正是许多人梦寐以求的——不论是计算机黑客,还是计算机取证人员。黑客可以在入侵后置入Rootkit,秘密地窥探敏感信息,或等待时机,伺机而动;取证人员也可以利用Rootkit实时监控嫌疑人员的不法行为,它不仅
2008-05-04 12:18:00
621
转载 挂马小技巧
1.挂马的一个小技巧 挂马时用的都是这样的源码,但是浏览被挂的时候,状态栏会显示挂马的链接,在mm.htm或被挂的页面加上一句 可能会好一点点儿。 2.网站挂马的技巧(js法) 一般的办法是在一个地方写上 这样就可以访问muma的页面了 升级一下 先找找主页里面是否有JS的脚本,找到script language="javascript" src="/xxxx.js"之类就成功了,接
2008-03-26 10:44:00
679
原创 WinMain、Main的大小
#include #pragma comment(linker, "/subsystem:windows " )int WINAPI WinMain (HINSTANCE hInstance, HINSTANCE hPrevInstance,PSTR szCmdLine, int iCmdShow){ MessageBox (NULL, TEXT ("Hello, Windows 98!")
2008-03-18 19:15:00
763
1
转载 启动服务代码
procedure StartService(psServiceName: string);var hscmanager, hService: SC_HANDLE; lpServiceArgVectors: Pchar; returnstatus: TServiceStatus;begin try lpServiceArgVectors := nil; hscmanager
2008-03-07 17:17:00
953
原创 通杀网页加密源代码
有些网站的源代码是经过加密的,如何快捷的破解这些加密的代码呢?告诉你一个简单而有效的方法。在地址栏或按Ctrl+O,输入: javascript:s=document.documentElement.outerHTML;document.write();document.body.innerText=s;源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而docum
2008-01-15 18:09:00
1135
原创 如何写总结
引言一定要精。能够把你的进步和取得的成果表现出来。下面是一个公司销售部门的年度总结。2007年,在公司各级领导的亲切关怀和正确领导下,在公司各部门的积极支持下,在营销部全体员工的共同努力下,我们取得了三方面的成绩:成功实现了年营销任务5000万元,达到了历史最好水平;成功开发了两个年销售收入在500万的大客户,为明年销售收入上一个新台阶打下了良好的基础;成功地进行了全员营销培训,营销人员的基
2007-12-31 02:57:00
940
转载 怎么写论文
一、科技论文的内容科技论文要解决的主要问题不是“是什么”,而是“怎样做” 和“为什么”,对于“怎样做”的文章,最好要有“为什么要这样做”的内容⑴ 要有创新,至少要有新意。以说,创新有原始创新和集成创新两种.工学类论文中,原始创新比较少,大多是提出一些新方法、新算法,或是以别人没有用过的方法对一个问题进行分析,属于集成创新。虽然这也是可取的,但论文必须雄辩地说明采用采用新方法所取得的结果。⑵ 论文
2007-12-31 02:37:00
1366
原创 论文摘要的编写(转)
如何写好论文摘要1 摘要的概念和作用摘要又称概要、内容提要。摘要是以提供文献内容梗概为目的,不加评论和补充解释,简明、确切地记述文献重要内容的短文。其基本要素包括研究目的、方法、结果和结论。具体地讲就是研究工作的主要对象和范围,采用的手段和方法,得出的结果和重要的结论,有时也包括具有情报价值的其它重要的信息。摘要应具有独立性和自明性,并且拥有与文献同等量的主要信息,即不阅读全文,就能获得必要的信息
2007-12-29 12:59:00
995
原创 php5+mysql5+apache2.26+windowxp
php5.25,apache2.26,mysql5均为安装包。首先安装apache,安装提示安装即可。然后是php,安装后需要修改apache的配置文件。然后安装mysql5,安装后需要把php中的两个dll文件拷贝到windows/system32目录下,还有php的配置文件拷贝到windows目录下。拷贝后还需要修改php配置文件,把多余的extension都注释了,只要extension=p
2007-12-18 00:03:00
1207
原创 bat命令大全(转)
一.简单批处理内部命令简介 1.Echo 命令 打开回显或关闭请求回显功能,或显示消息。如果没有任何参数,echo 命令将显示当前回显设置。
2007-10-24 21:49:00
47432
6
原创 怎样启动另一个可执行文件
1 CreateProcess #include void main( void){STARTUPINFO si;PROCESS_INFORMATION pi;ZeroMemory( &si, sizeof(si) );si.cb = sizeof(si);ZeroMemory( &pi, sizeof(pi) );// Start the child process.if( !CreatePro
2006-12-06 13:23:00
1821
转载 汇编指令手册
一、数据传输指令 它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据. 1. 通用数据传送指令. MOV 传送字或字节. MOVSX 先符号扩展,再传送. MOVZX 先零扩展,再传送. PUSH 把字压入堆栈. POP 把字弹出堆栈. PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈. POPA 把DI,SI,BP
2006-12-06 13:22:00
1282
原创 确定kernel32.dll基址的方法
kernel32.dll这个文件十分重要,它包含很了我们需要使用的函数。比如说,GetProcAdress和LoadLibraryA这个两个函数。想想,通过这两个函数 我们就可以得到所有的函数。如果我们确定了这个动态链接库文件的基址,就可以找到这两个函数的偏移量。怎么确定这个动态链接库的基址呢?这里一共有三个方法1PEBpeb是process environment block的缩写,每个进程都对
2006-12-01 13:43:00
3407
原创 vc内嵌汇编传参的问题
十分郁闷,为什么在传递字符串参数的时候,esp减的数字会影响字符串的提取。当我减10h时,我把字符串首地址传给eax,然后把push eax ,调用函数时可以正常提取字符串参数 ;当我减19h时,同样的步骤函数就不能正常取得字符串。 这是怎么回事呀?本人粗略的考虑是不是应该字节的问题呀。因为当我设置的数字能被4整除的时候,就能正常得到字符串。这个问题还有待询问。
2006-11-15 22:35:00
1079
原创 srv_linkage.h文件说明
该文件是这个软件的一个基本文件,其实主要就是定义了一个结构体,GS( Global Structure )。这个结构体我们在前面的文章中单独说过。现在还是把它拿出来再说说吧。typedef struct GS {// Application Common Base ////////////////////// WORD nSize; // The Size of this Structu
2006-10-21 21:00:00
1241
原创 g_Str,szStr,STR结构,的说明
g_Str变量是定义的一个全局字符串,它包括使用的全部API函数的名称,以及程序使用的全部字符串。该变量位于文件strings.h中,通过函数memcpy将它拷贝给变量szStr变量,szStr变量是结构体VARS的一个域。 全局结构体GS中的STR结构体,与g_St中的字符串是一一对应的。因为szStr和g_Str都是串行保存字符串集合的,所以当把szStr拷贝到
2006-10-21 01:40:00
1342
原创 基础结构
typedef struct GS {// Application Common Base ////////////////////// WORD nSize; // The Size of this Structure (bytes) // An Easy way to detect the version
2006-10-18 14:50:00
719
原创 开始学习一个浩大的程序
现在发现要去学习别人的代码真的是很难呀,特别是一个浩大的程序。现在看到这个程序就有点头疼的感觉,不知道怎么继续下去。 去学习一两个技术,可能还是比较容易,真正要去好好的分析一个好的源程序真的是要下很大的功夫呀。
2006-10-18 14:20:00
639
原创 学习Polymorphours的绕过防火墙的反向连接报警代码,心得,它的思路
整个代码没有使用windows hook技术,而是利用将代码直接写入远程程序空间中。这个代码的运行过程是这样的,首先用CreateProcess来创建一个ie进程,创建时候就把它挂起。然后得到它的基址,通过这个基址使用函数ZwUnmapViewOfSection来卸载这个内存空间的数据,让这个空间的都为0。再用VirtualAllocEx来个ie进程重新分配内存空间,大小为本程序的大
2006-09-25 20:25:00
1120
原创 CONTEXT结构说明
CONTEXT结构包括以下部分: CONTEXT_CONTROL:包含CPU的控制寄存器,比如指今指针,堆栈指针,标志和函数返回地址..AX, BX, CX, DX, SI, D CONTEXT_INTEGER:用于标识CPU的整数寄存器.DS, ES, FS, GS CONTEXT_FLOATING_POINT:用于标识CPU的浮点寄存器. CONTEXT_SEGMENTS:用于标识C
2006-09-24 20:43:00
8257
2
原创 GetSelfImageSize函数学习
源代码:DWORD GetSelfImageSize(HMODULE hModule) { DWORD dwImageSize; _asm { mov ecx,0x30 mov eax, fs:[ecx] mov eax, [eax + 0x0c] mov esi, [eax + 0x0c] add esi,0x20 lodsd mov dwImageSize,ea
2006-09-24 00:06:00
1028
原创 学习Polymorphours的代码,研究一下pe文件格式
这个是pe文件个格式,先有了一个形象的概念。两个基本概念section 就是段,不同的应用程序都有基本的段。我们也可以通过程序修改段,一般.text段放着程序的源代码,.data 存放初始化信息的地方。包括全局变量、字符串常量和静态变量,这些变量在编译时期就给定初值。连接器把obj和lib中的所有.data组合起来放到exe的.data中。而变量放在执行过程中的堆栈中。等等了。可以
2006-09-22 13:49:00
1410
原创 学习Polymorphours的绕过防火墙的反向连接报警代码
/*Author: PolymorphoursDate: 2005/1/10另一种将自己代码注入傀儡进程的方法,配合反弹木马,可绕过防火墙的 反向连接报警。*/#include #include //// ntdll.lib ( 来自DDK 2000 )//#pragma comment(lib,"ntdll.lib") typedef long NTSTATUS; NTSYSAP
2006-09-21 20:08:00
1548
1
原创 由域名得到ip
为了这个我找了一天的代码,其实这个问题和简单的。具体代码如下:hostent * hs=gethostbyname("hmonster.vicp.net"); if(hs==NULL) { return ; } addr.sin_addr.S_un.S_addr=*((DWORD *)hs->h_addr_list[0])这里需要注意的是gethostbyname的参数是
2006-09-20 22:21:00
844
原创 WSAAsyncSelect 说明
这个函数提供的是一种异步I/O模型。利用这个模型,应用程序可以在一个套接字上 接收以WINDOWS消息为基础的网络事件通知。 要想使用WSAAsyncSelect模型,在应用程序中,首选必须使用CreateWindow函数创建一个窗口,再为窗口提供一个例程支持函数。也可以使用一个对话框,为它提供一个对话例程。需要注意的是多个事件务必要在套接字上一次注册。还有就是,一旦在某个套接字上允
2006-09-15 20:30:00
2191
1
原创 setsockopt(CreateSock,SOL_SOCKET,SO_REUSEADDR,(LPSTR)&dwFlag,sizeof(dwFlag));说明
如果是TRUE,套接字就可以与一个其他套接字使用的地址绑定在一起,或者与处于TIME_WAIT状态的 地址绑定在一起。 默认情况下,套接字不同一个正在使用的本地地址绑定在一起。但是少数情况下,还是需要使用这种方式,来实现对一个地址的重复使用。两个独立的套接字不可与同一本地接口(在TCP/IP情况下,则是端口)绑定在一起,以等待进入的连接通知。在TCP环境中,假如服务器关
2006-09-15 10:34:00
6046
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人