2018年06月_FFE4

12月 11月 10月 09月 08月 07月 06月 04月 03月

原创使用注册表关闭Windows防火墙

#include "stdafx.h"#include <windows.h>int _tmain(int argc, _TCHAR* argv[]){ HKEY hKey = nullptr; LONG lRet = NULL; char* szSubkey = "SYSTEM\\CurrentControlSet\\services\\Shared...

2018-06-11 15:41:12 6625 4

原创【Windows原理】异步IO-_APC(异步过程调用)

// 同步IO的缺点是, 在读写文件时, 如果文件太大, 或者读写的时间太长, 就会在读写函数中// 阻塞住. // 异步IO解决了这个问题, 异步IO读写文件时, 文件再大也不会阻塞住// 但是异步IO要完成这样的特性是有一点付出的// 异步读写文件后, 需要通过一些方式才能知道文件读写(IO任务)什么时候完成. // 这里讲的是第三个方式, 通过设置IO完成函数来处理已完成的IO任...

2018-06-10 01:51:51 818

原创【Windows原理】IO异步-等待事件对象

/*同步IO的缺点是, 在读写文件时, 如果文件太大, 或者读写的时间太长, 就会在读写函数中阻塞住. 异步IO解决了这个问题, 异步IO读写文件时, 文件再大也不会阻塞住但是异步IO要完成这样的特性是有一点付出的异步读写文件后, 需要通过一些方式才能知道文件读写(IO任务)什么时候完成. 这里讲的是第二个方式, 通过等待事件对象的信号来处理已完成的IO任务异步IO中, 无论是R...

2018-06-10 01:51:23 543

原创【Windows原理】线程同步-信号量

#include "stdafx.h"#include <windows.h>int g_num = 0;HANDLE g_hSemaphore = nullptr;DWORD WINAPI ThreadProc(LPVOID lpParam){ for (int i = 0; i < 5;i++) { // WaitForSing...

2018-06-10 01:50:53 212

原创【Windows原理】线程同步-事件对象2

#include "stdafx.h"#include <windows.h>HANDLE g_hEventA = nullptr;// 三个只读线程DWORD WINAPI ThreadProcA(LPVOID lpParam){ WaitForSingleObject(g_hEventA, INFINITE); // 字数计算 return ...

2018-06-10 01:50:23 151

原创【Windows原理】线程同步-事件对象

#include "stdafx.h"#include <windows.h>HANDLE g_hEventA = nullptr;HANDLE g_hEventB = nullptr;DWORD WINAPI ThreadProcA(LPVOID lpParam){ /* * 如果是自动状态 * WaitForSingleObject成功后会把等待对象...

2018-06-10 01:49:35 295

原创【Windows原理】线程同步-互斥体

#include "stdafx.h"#include <windows.h>int g_num = 0;HANDLE g_hMutex = nullptr;DWORD WINAPI ThreadProcA(LPVOID lpParam){ for (int i = 0; i < 5;i++) { //等待g_hMutex信号，如果有信...

2018-06-10 01:48:45 397

原创【Windows原理】线程同步-临界区

#include "stdafx.h"#include <windows.h>int g_nNum = 0;CRITICAL_SECTION g_section = {0};DWORD WINAPI ThreadProcA(LPVOID lpParam){ /* * 判断有没有人进入临界区，如果有，我就等它返回Leave * 如果没人占用，我就...

2018-06-10 01:48:08 189

原创【Windows原理】线程同步-原子锁

#include "stdafx.h"#include <wtypes.h>int g_n;DWORD WINAPI ThreadPro1(LPVOID lpThreadParameter){ for (int i = 0; i < 100000;i++) { // 两个线程必须都锁住，不锁的不受影响 Interlocked...

2018-06-10 01:46:27 480

原创 Media change: please insert the disc labeled

使用Ubuntu1.80 TLS搭建一个样本分析沙箱。需要安装pip，在安装的时候提示找不到CDROM 原来默认它是从光盘映像中寻找资源，打开文件：sudo vi /etc/apt/source.list 找到cdrom那一项，注释掉即可 ...

2018-06-10 00:13:49 327

原创 Android模拟器访问真机搭建的web服务器

Android AVD模拟器默认的IP地址是10.0.2.15，我电脑上搭建的web服务IP是192.167.x.x经过查看Android官方文档，Andorid系统默认指定了10.0.2.2 来访问你的电脑IP早上测试的时候，使用的是10.0.2.2:5000 来访问，没有问题，也不需要改host文件！网上有一些文章说需要修改host文件但是我在测试直接使用10.0.2.2来访问的时...

2018-06-10 00:11:36 1497

原创在Windows7上安装CuckooSanbox

在windows平台下安装还是很简单的，直接使用pip install cuckoo命令就可以了，安装完成后可以打开CMD输入cuckoo看一下命令是否有效。Step 1打开用户目录下有一个C:/Users/<YourUserName>/.cuckoo/conf/cuckoo.conf配置文件找到并修改下面几项1）指定虚拟机 machinery = vmware...

2018-06-08 11:48:22 1344

原创 C++ 开启，查看远程3389端口

最近写一个小demo测试我写的沙箱规则，目的是监控木马程序修改注册表3389的开关，以及修改远程桌面端口。很长时间不使用注册表的API了，读取注册表的时候没有问题，后来想添加一个设置注册表的，也就是写注册表，发现添加了KEY_WRITE权限后，RegOpenKeyEx函数一直返回失败，经过调试，原来是没有管理员运行权限。#include "stdafx.h"#include <wi...

2018-06-08 10:41:54 1136

原创 CuckooSanbox自定义规则 - on_call函数参数详解

之前我们了解到在on_call函数中有三个参数，分别是self、call、process今天在查看Cuckoo源码的时候发现了关于on_call函数中的call参数的一些东西详情可以查看Cuckoo项目源码的：cuckoo-modified-master\modules\processing\behavior.py文件的281行和317行部分CALL参数的详细信息call["tim...

2018-06-07 14:35:42 646

原创 CuckooSanbox自定义规则 - self.mark_ioc() 、self.mark()用法

签名如下：from lib.cuckoo.common.abstracts import Signatureclass TestWriteFile(Signature): name = &amp;amp;amp;quot;test_write_file&amp;amp;amp;quot; description = &amp;amp;amp;quot;test file api calls&amp;amp;amp;q

2018-06-07 11:25:56 361

原创 CuckooSanbox自定义规则 - 签名版本导致服务启动不了

错误具体信息 * ERROR: ValueError: invalid version number ‘20’*平时都是按照官方给的模板去修改签名，有个同事不小心把Signature的minimum字段，最小支持版本修改成了20，导致服务启动不了，修正后以及可以正常启动！...

2018-06-07 10:47:45 296

原创 CuckooSanbox自定义规则 - on_call遇到的一些小问题

今天早上整理以前写的规则，我把其中一条规则on_call函数中的process参数去掉了原来的规则如下class ATBroker(Signature): name = "atbroker" description = "Using ATBroker for AutoRun" severity = 40 categories = ["AutoRun"] ..

2018-06-07 09:39:20 295 2

原创 CuckooSandbox自定义规则 - self.mark_call，self.mark, self.has_mark函数正确使用方法

刚接触Cuckoo这这款沙箱，在编写自定义规则时遇到很多困难，很多模板里面用的函数官网文档上没有太详细的说明。只好自己写规则demo，和测试样本demo，再根据沙箱报告的结果去猜这个函数应该怎么正确使用.在观摩github社区里面其他人共享的Signature模板时，发现别人使用了很多函数，不明白是干什么，常见的模板框架里至少有下面这两个函数on_call(self, call, p...

2018-06-06 18:36:48 2127 11

原创 CuckooSandbox 自定义规则-监控注册表

目标：监控利用ATBroker，来达到自启动行为思路：监控关键注册表写入from lib.cuckoo.common.abstracts import Signatureimport reclass TestReg(Signature): name = "test_reg" description = "just for test registry" se...

2018-06-06 10:38:37 1225

原创 ATBroker正确玩法

木马位置：C:\test\1.exe在下面注册表位置创建一个项，名字随便取，比如wdyHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs 创建完成后，在该wdy项下里面创建注册表键StartExe,值为你要启动的木马路径。然后打开另一处注册表位置，开启触发HKEY_CU...

2018-06-05 11:33:26 1440