- 博客(20)
- 资源 (7)
- 收藏
- 关注
原创 使用注册表关闭Windows防火墙
#include "stdafx.h"#include <windows.h>int _tmain(int argc, _TCHAR* argv[]){ HKEY hKey = nullptr; LONG lRet = NULL; char* szSubkey = "SYSTEM\\CurrentControlSet\\services\\Shared...
2018-06-11 15:41:12 6625 4
原创 【Windows原理】异步IO-_APC(异步过程调用)
// 同步IO的缺点是, 在读写文件时, 如果文件太大, 或者读写的时间太长, 就会在读写函数中// 阻塞住. // 异步IO解决了这个问题, 异步IO读写文件时, 文件再大也不会阻塞住// 但是异步IO要完成这样的特性是有一点付出的// 异步读写文件后, 需要通过一些方式才能知道文件读写(IO任务)什么时候完成. // 这里讲的是第三个方式, 通过设置IO完成函数来处理已完成的IO任...
2018-06-10 01:51:51 818
原创 【Windows原理】IO异步-等待事件对象
/*同步IO的缺点是, 在读写文件时, 如果文件太大, 或者读写的时间太长, 就会在读写函数中阻塞住. 异步IO解决了这个问题, 异步IO读写文件时, 文件再大也不会阻塞住但是异步IO要完成这样的特性是有一点付出的异步读写文件后, 需要通过一些方式才能知道文件读写(IO任务)什么时候完成. 这里讲的是第二个方式, 通过等待事件对象的信号来处理已完成的IO任务异步IO中, 无论是R...
2018-06-10 01:51:23 543
原创 【Windows原理】线程同步-信号量
#include "stdafx.h"#include <windows.h>int g_num = 0;HANDLE g_hSemaphore = nullptr;DWORD WINAPI ThreadProc(LPVOID lpParam){ for (int i = 0; i < 5;i++) { // WaitForSing...
2018-06-10 01:50:53 212
原创 【Windows原理】线程同步-事件对象2
#include "stdafx.h"#include <windows.h>HANDLE g_hEventA = nullptr;// 三个只读线程DWORD WINAPI ThreadProcA(LPVOID lpParam){ WaitForSingleObject(g_hEventA, INFINITE); // 字数计算 return ...
2018-06-10 01:50:23 151
原创 【Windows原理】线程同步-事件对象
#include "stdafx.h"#include <windows.h>HANDLE g_hEventA = nullptr;HANDLE g_hEventB = nullptr;DWORD WINAPI ThreadProcA(LPVOID lpParam){ /* * 如果是自动状态 * WaitForSingleObject成功后会把等待对象...
2018-06-10 01:49:35 295
原创 【Windows原理】线程同步-互斥体
#include "stdafx.h"#include <windows.h>int g_num = 0;HANDLE g_hMutex = nullptr;DWORD WINAPI ThreadProcA(LPVOID lpParam){ for (int i = 0; i < 5;i++) { //等待g_hMutex信号,如果有信...
2018-06-10 01:48:45 397
原创 【Windows原理】线程同步-临界区
#include "stdafx.h"#include <windows.h>int g_nNum = 0;CRITICAL_SECTION g_section = {0};DWORD WINAPI ThreadProcA(LPVOID lpParam){ /* * 判断有没有人进入临界区,如果有,我就等它返回Leave * 如果没人占用,我就...
2018-06-10 01:48:08 189
原创 【Windows原理】线程同步-原子锁
#include "stdafx.h"#include <wtypes.h>int g_n;DWORD WINAPI ThreadPro1(LPVOID lpThreadParameter){ for (int i = 0; i < 100000;i++) { // 两个线程必须都锁住,不锁的不受影响 Interlocked...
2018-06-10 01:46:27 480
原创 Media change: please insert the disc labeled
使用Ubuntu1.80 TLS搭建一个样本分析沙箱。需要安装pip,在安装的时候提示找不到CDROM 原来默认它是从光盘映像中寻找资源,打开文件:sudo vi /etc/apt/source.list 找到cdrom那一项,注释掉即可 ...
2018-06-10 00:13:49 327
原创 Android模拟器访问真机搭建的web服务器
Android AVD模拟器默认的IP地址是10.0.2.15,我电脑上搭建的web服务IP是192.167.x.x经过查看Android官方文档,Andorid系统默认指定了10.0.2.2 来访问你的电脑IP早上测试的时候,使用的是10.0.2.2:5000 来访问,没有问题,也不需要改host文件!网上有一些文章说需要修改host文件但是我在测试直接使用10.0.2.2来访问的时...
2018-06-10 00:11:36 1497
原创 在Windows7上安装CuckooSanbox
在windows平台下安装还是很简单的,直接使用pip install cuckoo命令就可以了,安装完成后可以打开CMD输入cuckoo看一下命令是否有效。Step 1打开用户目录下有一个C:/Users/<YourUserName>/.cuckoo/conf/cuckoo.conf配置文件找到并修改下面几项1)指定虚拟机 machinery = vmware...
2018-06-08 11:48:22 1344
原创 C++ 开启,查看远程3389端口
最近写一个小demo测试我写的沙箱规则,目的是监控木马程序修改注册表3389的开关,以及修改远程桌面端口。 很长时间不使用注册表的API了,读取注册表的时候没有问题,后来想添加一个设置注册表的,也就是写注册表,发现添加了KEY_WRITE权限后,RegOpenKeyEx函数一直返回失败,经过调试,原来是没有管理员运行权限。#include "stdafx.h"#include <wi...
2018-06-08 10:41:54 1136
原创 CuckooSanbox自定义规则 - on_call函数参数详解
之前我们了解到在on_call函数中有三个参数,分别是self、call、process今天在查看Cuckoo源码的时候发现了关于on_call函数中的call参数的一些东西详情可以查看Cuckoo项目源码的:cuckoo-modified-master\modules\processing\behavior.py文件的281行和317行部分CALL参数的详细信息call["tim...
2018-06-07 14:35:42 646
原创 CuckooSanbox自定义规则 - self.mark_ioc() 、self.mark()用法
签名如下:from lib.cuckoo.common.abstracts import Signatureclass TestWriteFile(Signature): name = &amp;amp;amp;quot;test_write_file&amp;amp;amp;quot; description = &amp;amp;amp;quot;test file api calls&amp;amp;amp;q
2018-06-07 11:25:56 361
原创 CuckooSanbox自定义规则 - 签名版本导致服务启动不了
错误具体信息 * ERROR: ValueError: invalid version number ‘20’*平时都是按照官方给的模板去修改签名,有个同事不小心把Signature的minimum字段,最小支持版本修改成了20,导致服务启动不了,修正后以及可以正常启动!...
2018-06-07 10:47:45 296
原创 CuckooSanbox自定义规则 - on_call遇到的一些小问题
今天早上整理以前写的规则,我把其中一条规则on_call函数中的process参数去掉了原来的规则如下class ATBroker(Signature): name = "atbroker" description = "Using ATBroker for AutoRun" severity = 40 categories = ["AutoRun"] ..
2018-06-07 09:39:20 295 2
原创 CuckooSandbox自定义规则 - self.mark_call,self.mark, self.has_mark函数正确使用方法
刚接触Cuckoo这这款沙箱,在编写自定义规则时遇到很多困难,很多模板里面用的函数官网文档上没有太详细的说明。 只好自己写规则demo,和测试样本demo,再根据沙箱报告的结果去猜这个函数应该怎么正确使用.在观摩github社区里面其他人共享的Signature模板时,发现别人使用了很多函数,不明白是干什么,常见的模板框架里至少有下面这两个函数on_call(self, call, p...
2018-06-06 18:36:48 2127 11
原创 CuckooSandbox 自定义规则-监控注册表
目标:监控利用ATBroker,来达到自启动行为 思路:监控关键注册表写入from lib.cuckoo.common.abstracts import Signatureimport reclass TestReg(Signature): name = "test_reg" description = "just for test registry" se...
2018-06-06 10:38:37 1225
原创 ATBroker正确玩法
木马位置:C:\test\1.exe在下面注册表位置创建一个项,名字随便取,比如wdyHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs 创建完成后,在该wdy项下里面创建注册表键StartExe,值为你要启动的木马路径。然后打开另一处注册表位置,开启触发HKEY_CU...
2018-06-05 11:33:26 1440
Windows.Internals.Part.1.7th.Edition
2018-03-23
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人