病毒学习
文章平均质量分 62
clin003
这个作者很懒,什么都没留下…
展开
-
黑软源代码整理
90款黑客工具源代码下载地址:http://www.hack58.net/Soft/html/15/39/2005/200512293901.htm灰鸽子源代码:下载地址:http://ftp.chinageren.com/20051/hgzvip1.2.rarvcn远程控制源代码下载地址:http://www.ahaoz.com/soft/UploadFile/2005-10/WWW.Ahaoz原创 2007-05-02 19:09:00 · 1084 阅读 · 0 评论 -
Rootkit For Windows
Rootkit For Windows *********************************************************** *转载请保留文章完整,谢谢! *Date:2005/9/11 祝童童生日快乐。也纪念世贸大厦 *作者:sunwear [E.S.T] *ps:很多人问我[E.S.T]是什么……其实就是一个技术小组 :) *E-mail:shellcoder原创 2007-10-21 15:38:00 · 985 阅读 · 0 评论 -
什么是rootkit、rootkit技术
在网络安全中经常会遇到rootkit,NSA安全和入侵检测术语字典( NSA Glossary of Terms Used in Security and Intrusion Detection)对rootkit的定义如下:A hacker security tool that captures passwords and message traffic to and from a compute原创 2007-10-21 16:03:00 · 1303 阅读 · 0 评论 -
Rootkit清除工具
Rootkit就像是一件隐身的斗篷,可以隐藏计算机中应用程序的软件。Rootkit悄悄地把自己安装在用户的计算机中,隐藏自己的进程、文件、 网络通 讯和其它可能暴露自己的信息。Rootkit一般隐藏能够让黑客可以轻松找回被控制计算机的工具。Rootkit不易被发现,由于没有任何一家厂商能够可 靠地检测所有的Rootkit,因此建议最好使用多种免费的Rootkit检测工具。 杀毒软件公司Sopho原创 2007-10-21 16:08:00 · 1194 阅读 · 0 评论 -
Rootkit木马:隐藏技术发展的颠峰
Rootkit木马:隐藏技术发展的颠峰自从“广外幽灵”开创了dll木马时代的先河以来,现在采用线程注射的dll木马和恶意程序已经随处可见了,除了普遍被采用的另行编写dll加载器程序躲在启动项里运行加载dll主体之外,“求职信”还带来了一种比较少见的通过注册表 “hkey_local_machine /software/microsoft/windowsnt/currentversion原创 2007-10-21 15:31:00 · 2434 阅读 · 0 评论 -
突破icesword实现文件隐藏
突破icesword实现文件隐藏估计想在icesword下隐藏文件的人有很多吧。今天我介绍一种方法。先介绍一下icesword是如何查找文件的。基本原理就是自己构造一个irp出来,然后直接IoCallDriver发送到fsd。但是 icesword做了更多的工作。它直接读取ntfs.sys 和fastfat.sys,从pe文件格式的角度上计算出正确的fsd的dispatch routine原创 2007-10-21 16:06:00 · 888 阅读 · 0 评论 -
高级WIN2K ROOTKIT检测技术
高级WIN2K ROOTKIT检测技术 (执行路径分析)原文: http://www.blackhat.com/presentations/bh-usa-03/bh-us-03-rutkowski/bh-us-03-rutkowski-paper.pdf 作者: Jan Krzysztof Rutkowski翻译: mslug(译著:由于格式的原因,图片请参照原文.)摘要:本文描述原创 2007-10-21 15:45:00 · 912 阅读 · 0 评论 -
Rootkit技术
随着安全技术的发展和计算机用户群的技术提高,一般的木马后门越来越难生存,于是一部分有能力的后门作者把眼光投向了系统底层——ring 0。位于ring 0层的是系统核心模块和各种驱动程序模块,所以位于这一层的木马也是以驱动的形式生存的,而不是一般的exe。后门作者把后门写成符合wdm规范 (windows driver model)的驱动程序模块,把自身添加进注册表的驱动程序加载入口,便实现了“无启原创 2007-10-21 16:05:00 · 836 阅读 · 0 评论 -
关于工作
没找到是因为没有努力找,自己还不够优秀,开始觉得很烦,或许是因为闲的太久啦再找个工作一定加倍努力决定抛开以前的工作经历重新从零 开始,不再提以前。。找个工作:每天可以按时上班,可以有自己休息的时间,可以有时间提高自己能力,有时间学习就够啦,别的不再求。努力ing原创 2007-11-05 22:46:00 · 1126 阅读 · 0 评论 -
主引导区的恶意程序
首先来认识下 什么是主引导区主引导扇区位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR (Main Boot Record)和分区表DPT(Disk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。只要控制了该区域,那程序就能控制操作系统原创 2008-01-26 15:29:00 · 853 阅读 · 0 评论 -
Arp反欺骗策略
文章提交:backspray (nimaozhi_at_163.com)近来与Arp相关恶意软件越来越猖獗,受害者的也不少,国内的各大杀毒厂商也纷纷推出Arp防火墙。但大部分防火墙虚有其表,原因下面会具体介绍。这篇文章不是科普,主要是思路,更想起到抛砖引玉的作用。让世界清静一点。此外,末学接触并熟悉Arp协议到写出Arp欺骗和反欺骗的test code,前前后后也不过一个星期多一点的时间。经验有限原创 2007-11-23 14:25:00 · 937 阅读 · 0 评论 -
ARP欺骗病毒
鉴于目前ARP欺骗对局域网安全运行造成的影响,我们收集整理了这个ARP欺骗病毒的专题,希望能给您的网络安全运行带来帮助!from:http://wiki.mygogou.com/doc-view-788.html 1、什么是ARP协议 2、ARP欺骗原理原创 2007-12-03 17:11:00 · 1348 阅读 · 1 评论 -
奇虎郑文彬:还原系统保护技术原理和攻防
奇虎郑文彬:还原系统保护技术原理和攻防3月19日,由中国最大的互联网综合服务提供商腾讯发起和组织的互联网安全峰会进入第二天。包括微软、盛大、新浪等互联网界各大巨头的技术专家,学者和专业人士参与了此次的交流。此次峰会是今年以来首场由中国互联网各顶尖企业共同参与的大型网络安全专业盛会。来自奇虎的反木马专家郑文彬,在现场发表演讲。以下为文字实录:郑文彬:大家好!我今天给大家介绍这几个方面:背景、还原系转载 2008-03-20 23:33:00 · 3164 阅读 · 0 评论 -
Win32病毒入门--ring3篇
Win32病毒入门--ring3篇 声明一篇讲述病毒原理的理论性文章,任何人如果通过本文中讲述的技术或利用本文中的代码写出恶性病毒,造成的任何影响均与作者无关。前言病毒是什么?病毒就是一个具有一定生物病毒特性,可以进行传播、感染的程序。病毒同样是一个程序,只不过它经常做着一些正常程序不常做的事情而已,仅此而已。在这篇文章中我们将揭开病毒的神秘面纱,动手写一个病毒(当然这个病毒是不具原创 2008-01-02 17:18:00 · 1884 阅读 · 0 评论 -
al.99.vc挂马分析与解决建议
al.99.vc挂马分析与解决建议arp最近似乎有热起来啦。这几天人一多就卡,不是一般的卡,QQ上去倒是没啥问题。就是网页几乎就打不开。巨慢!!昨晚把机子都检查啦便并且关闭网络恢复系统。早起又中。名字不一样,其中一个是usrinit.exe,我打算用好的userinit.exe去覆盖中毒的机子。360arp防火墙打开不时会报警。但没有ip地址只有mac。这种欺骗性的arp用360a原创 2008-01-07 19:44:00 · 2222 阅读 · 0 评论 -
明天就要离开拉,还没准备好怎么开始
离开,或许是最好的解决办法吧,没什么好说的,也不用解释什么,。。教训 ,把公司事情和私人事情分开,不论在什么时候。原创 2007-09-17 15:39:00 · 1028 阅读 · 0 评论 -
Delphi制作简单下载者(不可自行定制)
Delphi制作简单下载者(不可自行定制)by clin003 from:http://blog.csdn.net/clin003/ at 20070620学习目的:1.了解动态链接库的载入过程2.了解函数变量的定义和使用3.认识程序执行的模式4.了解异常处理的过程5.函数参数的传递6.winexec函数的使用环境:Microsoft windows server 2003 R2 enterpri原创 2007-06-20 01:23:00 · 959 阅读 · 0 评论 -
文本病毒(病毒新理论)
以往大家谈到病毒的时候都要区分是文本还是可执行文件,理论就是病毒是程序代码,所以要是可执行文件才能传染,文本,图象等数据文件就不可能传毒。 但我认为数据文件也可以传毒的。病毒是代码,这是对的。但代码的理解应该广一点并不是一定要是计算机能理解的汇编代码。流传广泛的宏病毒就是一例,这 些 实际是一种解释语言,也是一种代码。我原来的《注意解释代码与CPU代码结合的新型病毒》就阐明了这种解释语言也是转载 2007-05-02 18:10:00 · 921 阅读 · 0 评论 -
利用解释型语言与CPU代码相结合的新型病毒
注意利用解释型语言与CPU代码相结合的新型病毒 from:http://unix-cd.com/hacker/jiaoz/jiaoc546.htmby clin003 at 20070502 from:http://blog.csdn.net/clin003/许多杀毒厂家谈到WORD宏病毒时,认为转载 2007-05-02 18:31:00 · 868 阅读 · 0 评论 -
连接内网的几种模式
连接内网的几种模式 作者:bkbll 作者著:在写这篇文章之前,首先要感谢eyas的”突破TCP-IP过滤防火墙进入内网”一文以及相关代码.同样的,本篇只是作为技术讨论,并不鼓励大家 对内网进行攻击和破坏.由于本人对visual系列软件不怎么熟悉,所以一切程序的编写和调试都是基于 linux 的.在我的redhat linux 6.2(2.2.14)和叶云的(2.4.2)上调试通过,感谢叶云原创 2007-05-02 19:24:00 · 904 阅读 · 0 评论 -
关于PE可执行文件的修改
关于PE可执行文件的修改 在windows 9x、NT、2000下,所有的可执行文件都是基于Microsoft设计的一种新的文件格式Portable Executable File Format(可移植的执行体),即PE格式。有一些时候,我们需要对这些可执行文件进行修改,下面文字试图详细的描述PE文件的格式及对PE格式文件的修改。 1、PE文件框架构成 DOS MZ header DOS s原创 2007-05-02 19:32:00 · 852 阅读 · 0 评论 -
熊猫烧香专杀工具源代码,解除被感染的exe文件
熊猫烧香专杀工具源代码,解除被感染的exe文件/*熊猫烧香专杀,解除被感染的exe文件BY: ww0830Create: 2007-1-7*/#include "windows.h"#include #include #include #define TESTlong g_lCheckFileNumber; //File number checkedlong g_lClearFileNu原创 2007-08-07 03:41:00 · 1187 阅读 · 0 评论 -
Rootkit site links
categories:Decompilers Garage - Homebrew haxoring of a different typeNetwork Drivers - Contains links for both NDIS and TDI drivers.Remote Control Packages links:Anti-trojan.org - The worlds lar原创 2007-08-07 03:51:00 · 2813 阅读 · 4 评论 -
一个简单的CMDSHELL后门
一个简单的CMDSHELL后门文章作者: 小马/SmallHorse [E.S.T VIP](这个E.S.T VIP写不写是无所谓的)信息来源: 邪恶八进制 中国 by clin003 zhuan at 20070511 from:http://blog.csdn.net/clin003 最近闲着无聊,自己琢磨着写了个简单的CMDSHELL后门。同时也避免了入侵时被杀毒软件K了。参考了T-C原创 2007-05-11 19:00:00 · 1050 阅读 · 0 评论 -
一起动手写蠕虫病毒(一)
作者:公子哥 來源:鷹緣社區 http://blog.sina.com.cn/u/4b3b2a1a0100080w by clin003 zhuan at 20070506 from:http://blog.csdn.net/clin003 申明: 所发代码均为测试代码,不保证代码的完整性。 其间或多有纰漏不足之处.待全部完成后我会整理调试好, 发布完整正确的代码。以下代码仅做为参原创 2007-05-11 18:53:00 · 1949 阅读 · 1 评论 -
木马程序隐身技术
作者:Sdear 來源:鷹緣社區(更詳細資料請到社區《技術文摘》版面查看,謝謝!)by clin003 zhuan at 20070511 from:http://blog.csdn.net/clin003 最基本的隐藏:不可见窗体+隐藏文件 木马程序无论如何神秘,但归根究底,仍是Win32平台下的一种程序。Windows下常见的程序有两种: 1.Win32应用程序(Win32 App原创 2007-05-11 19:05:00 · 800 阅读 · 0 评论 -
利用 QQWry.Dat 实现 IP 地址高效检索(PHP)
利用 QQWry.Dat 实现 IP 地址高效检索(PHP)根据 LumaQQ 开发者文档中的纯真 IP 数据库格式详解,我编写了一个 PHP 的查询 IP 所在地区信息的类。在编写过程中发现纯真 IP 数据库格式详解中关于记录区的描述不是很全面,不过出入也不是很大,所以我没必要再写一份纯真 IP 数据库的格式说明了,大家感兴趣的话,读一读下面的代码应该就能看出来了。代码中加了很详细的注释,应该很原创 2007-08-14 19:49:00 · 1847 阅读 · 0 评论 -
破解一ASP木马密码的方法
今天在论坛看到要这个密码的,虽然可以修改为自己的密码啦(我修改後的就可以),不会破解(没学过asp,vb),google啦下,就找到个办法,由于这个文章网上的几个都一样找不到源出处就没注明啦。修改的部分我已经做啦加红标记 破解目标:破解一asp木马的经过加密的登破解asp木马密码陆密码。由于木马里没原创 2007-05-16 13:21:00 · 1305 阅读 · 0 评论 -
病毒狂想曲
病毒狂想曲 from:http://www.caiyihao.com/list.asp?Unid=1013by clin003 from:http://blog.csdn.net/clin003/病毒技术日新月异,反毒公司疲于应付,不过也可以估计一下发展方向,制定好“5年计划”。不了解矛的特点就不能制造出好的盾。矛有多种:直矛、弯矛,独矛、多矛,尖矛、钝矛……同样,盾有多种:平盾、原创 2007-06-09 05:11:00 · 754 阅读 · 0 评论 -
利用线程注射技术隐藏自己的病毒
利用线程注射技术隐藏自己的病毒隐藏是病毒的天性,在业界对病毒的定义里,“隐蔽性”就是病毒的一个最基本特征,任何病毒都希望在被感染的计算机中隐藏起来不被发现,因为病毒都只有在不被发现的情况下,才能实施其破坏行为。为了达到这个目的,许多病毒使用了各种不同的技术来躲避反病毒软件的检验,这样就产生了各种各样令普通用户头痛的病毒隐藏形式。由于木马后门的行为特征已具备病毒条件,因此这里把木马后门也统一归纳原创 2007-06-09 04:20:00 · 762 阅读 · 0 评论 -
反击arp病毒攻击
目录 1 背景情况: 2 反击arp病毒攻击 3 防止arp攻击 4 原文文档 背景情况: 一个机子中病毒啦,发出arp攻击怎么办? 两种情况:1,你可以控制,这样你可以直接过去把他机子关掉,或拔掉网线然后清除病毒等;2,在你可以管理范围之外,你怎么办?忍受被 arp攻击?或许你说用(360)arp防火墙啊,我告诉你,没用,对于dn原创 2008-06-02 00:15:00 · 2605 阅读 · 0 评论