- 博客(2752)
- 资源 (6)
- 收藏
- 关注
转载 调试笔记之雨过天晴多点还原软件MBR实例
BY SUDAMI 为了能够调试多点还原软件"雨过天晴"的启动代码,目前有2种方式:引用:(1) 在Bochs调试器上装Windows XP系统,然后用Bochs单步调试. 不过光安装操作系统就得花20个小时以上(2) 用Wnhex克隆整个磁盘,配置Bochs的*.bxrc文件.用这个克隆的磁盘来调试MBR 方案二较简单,故我选择此方式调试. 在一个干净的Vmv
2009-11-19 21:08:00 8268 6
原创 WinXP/2k数字签名状态设置
DWORD WINAPI SetDriverSign(){ HKEY hReg; DWORD dwLen; DWORD dwSeed; DWORD hProv; DWORD hHash; DWORD dwData; BYTE bHash[16]; if(RegOpenKeyExA(HKEY_LOCAL_MA
2009-11-11 14:40:00 5543
转载 分析了一下360安全卫士的HOOK
by: achillis 分析了一下360的HOOK,通过直接hook KiFastCallEntry实现对所有系统调用的过滤。我分析的版本如下:主程序版本: 6.0.1.1003HookPort.sys版本: 1, 0, 0, 1005HookPort.sys的TimeStamp: 4A8D4AB8简单说明:360把所有被hook的系统服务的过滤函数放在了一个表里,索引即对应的系统服
2009-11-10 21:18:00 8290
原创 Open Source Vbootkit 2.0 Attack Tool for Windows 7
http://www.findmysoft.com/news/Open-Source-Vbootkit-2-0-Attack-Tool-for-Windows-7/Windows 7 Release Candidate is now out and available for public download, and so is the open source attack tool Vboot
2009-11-10 21:17:00 6108 1
原创 An Empirical Study of Real-world Polymorphic Code Injection Attacks
An Empirical Study of Real-world Polymorphic Code Injection AttacksMichalis PolychronakisFORTH-ICS, Greece, email: mikepo@ics.forth.grKostas G. AnagnostakisI2R, Singapore, email: kostas@i
2009-11-10 09:08:00 5566
原创 Polymorphic Protector
Among the large amount of malwares we view, we have seen a few this week that were heavily obfuscated by some sort of "polymorphic packer." Interestingly, unlike the results of most packers/protector
2009-11-10 08:58:00 3964
原创 Make your owner PE Protector
Preface This article was written to provide the better understanding to people who do not have any experience in this field. I am not going to describe about PE structure, so I think it was expla
2009-11-10 08:40:00 5033
原创 PE_Info 之DIY
自己写的PE 信息查看工具(C代码),不甚完美,希望可以帮助初学PE 的读者从编程的角度认识PE文件,Good Luck! 下面是源代码:/*///////////////////////////////////////////////////////////////////////////////This program will output the values of impo
2009-11-10 08:35:00 4607
原创 cyclotron's Win32 PE Library
Pamqara写过一个PELibrary,但自己写的东西毕竟用起来比较顺手,所以自己建了一个简单的library,给写壳提供了一些特别的方便性.时间关系,注释不是很详细,让代码来说话吧,欢迎报告bug和扩充库:);>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>;>>>>>>>> Win32
2009-11-10 08:34:00 4176
转载 使用TASM编译COFF格式和连接
作 者: Anskya看到网络上流传的一份Drocon的mercury的代码程序源码使用TASM32编译使用MASM32来连接...关键的地方就在这里为什么要使用TASM编译。。。正常情况下TASM连接出来的程序代码体积远远大于MASM32连接出来的。。其实具体看一下就不难发现.TASM编译出来的obj体积很小,连接出来以后体积增加了,既然编译器原理差不多为什么不可以这样使用(我是以FA
2009-11-10 08:05:00 4325
原创 获取内核ntoskrnl.exe基地址的几种常见办法
作 者: combojiang如果大家写过shellcode一定还记得,shellcode中开头要找kernel32.dll模块的内存加载地址。同样,如果大家要写一个内核的类似东东的话,第一步也是要找出ntoskrnl.exe模块的内存加载位置。有三种常见办法在这里咱们大体描述下:1。利用ZwQuerySystemInformation 来检索加载的模块,从加载模块里面搜索出ntoskrnl.e
2009-11-09 20:53:00 5126
原创 IRP Hook 键盘Logger
作 者: cogito前天拜读combojiang 的rootkit hook 系列之[五] IRP Hook全家福(原帖:http://bbs.pediy.com/showthread.php?t=60022)之后,决定用文中的第三种方法实现一个KeyLogger。但是combojiang前辈并没有放上Demo,而且我在网上貌似也没找着完整的IRP Hook 键盘Logger实例,于是就写了一
2009-11-09 20:51:00 4641 1
原创 玩玩ntfs之新建文件
作 者: ProgmBoyby:ProgrammeBoy http://hi.baidu.com/programmeboy环境:首先新建一个512M的文件.然后用filedisk使用这个文件创建一个volume。然后格式化为ntfs格式。我是按每簇512字节格式化的。目标:在根目录下添加一个名为777.txt的空文件工具:filedisk、 Runtimes DiskExplorer for N
2009-11-09 20:48:00 4329
原创 Ring3下WX方法结束微点2009
作 者: cogito此法系Hovi.Delphic首发,某日看过之后甚感WS(某牛:“太挫了,太挫了”),于是把原作者的VB代码转成VC,以飨读者。 微点的主动防御没有拦截一些系统进程如csrss.exe, smss,exe, lsass.exe, svchost.exe, services.exe等的危险动作。因为这些进程通常是不危险的,我们要做的就是把它们中的某个变成危险进程,然后用这个危
2009-11-09 20:44:00 4170
转载 完整可编译NT4's NTFS源码(可稳定替换xp原版ntfs.sys
作 者: weolar时 间: 2009-06-01,08:59· write by http://hi.baidu.com/weolar/blog大家知道,文件系统在操作系统中应该属于比较独立的一块,只需要提供相应接口给上层使用。Windows的NTFS文件系统也是一样,在实际编程中,Windows以dispatch routing的形式为上层的io管理器、缓存管理器等提供读写的接口,甚至
2009-11-09 20:08:00 4083
转载 加密资源节
作 者: 玩命时 间: 2008-07-10,21:27链 接: http://bbs.pediy.com/showthread.php?t=68262什么是WINDOWS的资源这里就不提了。写过WIN程序的人应该都晓得了。如果没写过,那么。。。建议去写哈。关于加密资源节,也是加壳过程中的一个可选项而已。加和不加都不太对破解造成影响。但是如果你的程序中,有一些重要数据在资源节里面而你又不想让其他
2009-11-09 20:07:00 3615
转载 fs TIB TEB PEB
作 者: winwang时 间: 2009-10-27,17:19链 接: http://bbs.pediy.com/showthread.php?t=100190在本学院拜读多位大牛的著作,自己整理的一些结构(有点不够完整)....都是用户模式的结构首先感谢看雪提供这么好的学习环境声明:以下内容完全取自于看雪,我只是灌水附件:方便自己阅读的一个小程式..怡笑大方了...fs:7FFDF000n
2009-11-09 16:41:00 4001
转载 软件保护壳技术专题 - 反调试器技术
作 者: 玩命时 间: 2008-08-21,10:38链 接: http://bbs.pediy.com/showthread.php?t=71113反调试是软件保护壳的最基本的功能之一。反调试方法也是多种多样。通过调用标准的API接口,计算指令时间差。查看当调试器加载后的内存的一些标志,还有就是判断当前运行环境是否合乎逻辑等方法。这里收集了一些反调试的方法,其中的命名规则使用了壳狼的反调试程
2009-11-09 16:35:00 4859
原创 增加区段的VC嵌汇编代码
// 增加区段.cpp : Defines the entry point for the console application.//#include #include #include bool OpenMyFile(char fileName[]);LPVOID AddSection(LPVOID ImageBase,char sectionName[],DWORD SectionNumbe
2009-11-09 16:31:00 4154
转载 SMC之抛砖引玉(VC++6.0)
SMC是什么意思?它的英文名叫“Self Modifying Code”,顾名思义,就是“代码自修改”先来个简单的,来改数据代码:CString cs1,cs2; cs1="123456789"; cs2="abcdefghi"; __asm { mov esi,cs1//A函数地址 mov edi,cs2//B函数地址 mov ecx,9h
2009-11-09 16:29:00 1364
转载 Asm的魅力(二)
Author:charmeData:2009.9.4Index:hi.baidu.com/charme000废话:上一篇大牛牛们都说是出力不讨好,呼呼!我还是一贯作风吧:一笑而过。做个简单的类比:开发黑客软件的人笑只会使用软件入侵的菜菜肤浅,如果认可这个挂点的话,那研究asm本身实质的人就应该嘲笑利用asm搞逆向和破解的人了。而实际上这是几个不同的领域,所以没有什么吃力不讨好的说法。会写软件的人
2009-11-09 16:25:00 1243
原创 使用RSA1024算法防止软件被Keygen
作 者: jackozoo时 间: 2009-06-27,10:58链 接: http://bbs.pediy.com/showthread.php?t=92380学习新的知识是一件很令人高兴和满足的事情,但是能和别人分享学习的经验,更令人快乐。由于我是一个菜鸟,所以有很多说不清楚的地方,还希望高手指正,毕竟,讨论才是学习永恒的主题。相信大家看了密码学版块的相关文章, 已经了解了RSA算法. 所
2009-11-09 16:25:00 3675 1
原创 ProbeBypass攻击技术
作 者: qihoocom时 间: 2009-10-29,22:37链 接: http://bbs.pediy.com/showthread.php?t=100321本文介绍了一种方法,利用很多安全防御软件在进行用户态内存校验时的漏洞,对其保护系统进行攻击,达到绕过保护的目的。这是安全防御软件对于用户态内存校验未能慎重处理而引发的恶果之一。去年10月我曾在对国内外绝大部分主动防御产品的系列漏洞文
2009-11-09 16:22:00 1763
原创 当我们完全控制CISCO路由器时能够做的事情
翻译 by mix ---------------------------------||----------------和以前一样,我要申明一下,我不是专业的翻译员-----------------||---------所以我也只能够根据我自己的理解,尽量符合原文意思的进行翻译----------||------------有能力的朋友最好看原文,我的翻译只能作为一个参考而已---------
2009-03-27 10:54:00 2752
原创 Black Hat上演示破解SSL会话截获密码
网站加密又遭重创:在美国举行的黑客大会上,一位独立的黑客演示了一种可以窃取敏感信息的工具,它能欺骗用户使其以为正在访问一个受加密保护的站点的时候,而实际上却是在访问未加密的网站。本周三在华盛顿举行的黑帽子安全大会上,黑客演示了SSLstrip在公共无线网络、洋葱路由系统以及任何其他可以发动中间人攻击的地方的工作情况。它能够将本应受到安全套接字层协议保护的页面转换成未加密的版本。该攻击能够
2009-03-27 10:53:00 3493
原创 SSL加密3389远程桌面连接
从windows2000 server版本开始微软就将一个名为“远程桌面”的程序集成到操作系统中,通过这个“远程桌面”网络管理员可以在网络的另一端轻松的控制公司的服务器,在上面进行操作,删除程序,运行命令和在本地计算机一样。因此“远程桌面”功能极大的方便了网络管理员的工作,在推出以后受到了越来越多网管的青睐。 然而随着网络的普及,网络的安全性越来越受到企业的重视,很多网管发现使用windows的
2009-03-27 10:50:00 2075
原创 SSL的工作原理
6.2 SSL的工作原理SSL的工作原理:当一个使用者在Web上用Netscape浏览器漫游时,浏览器利用HTTP协议与Web服务器沟通。例如,浏览器发出一个HTTP GET命令给服务器,想下载一个首页的HTML档案,而服务器会将档案的内容传送给浏览器来响应。GET这个命令的文字和HTML档案的文字会通过会话层(Socket)的连接来传送,Socket使两台远程的计算机能利用Interne
2009-03-27 10:49:00 6814
原创 安全套接层SSL协议
SSL(Secure Sockets Layer)协议最先是由著名的Netscape公司开发的,现在被广泛用于Internet上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。制定SSL协议的宗旨是为通信双方提供安全可靠的通信协议服务,在通信双方间建立一个传输层安全通道。SSL使用对称加密来保证通信保密性,使用消息认证码(MAC)来保证数据完整性。SSL主要使用PKI在建立连接时对通
2009-03-27 10:47:00 2850
转载 從大規模轉址事件看IP spoofing、ARP spoofing、ARP掛馬與路徑(route)安全
来源:阿碼外傳「優秀的鑒識人員除了要懂得物證的處理外,還要用科學的頭腦來思考。物證雖然能夠提供重要的線索與證據,但是要能解開整個迷局,就需要用頭腦串連所有的物證。在我處理過的六千多個案件中,就遇到單憑一件物證破案的案件」--李昌鈺這次的大規模轉址事件,受到各界關注,我們也寫了兩篇(這裡、這裡) 我們對事件的研究。大家這麼注意這次事件當然是有道理的,因為這麼大規模的轉址,持續時間又久-
2009-03-27 09:05:00 1626
原创 BIOS中隐藏Telnet后门
文章属性:原创文章提交:cheng5103 (cheng_5103_at_126.com)[项目简述] 该项目仅为实验性项目,目的是学习国外技术。该项目主要目的是想隐藏一个Telnet后门在主板的BIOS内,并让其随着计算机系统及操作系统成功的运行起来。运行后能反向Telnet连接到指定的计算机接受CMD控制。[关于作者] 姓名:成松林 QQ:179641795 Email:che
2009-03-27 09:03:00 2792 2
原创 知名女黑客曝英特尔CPU漏洞
波兰知名美女黑客Joanna Rutkowska成为安全业内焦点人物,她在博客上发表一篇论文,曝光了一个英特尔CPU的缓存漏洞。而另一位安全研究人员Loic Duflot将在加拿大温哥华举行的CanSecWest安全大会上介绍该漏洞和攻击代码。如果这一漏洞被证实存在,黑客就可利用该漏洞获得对电脑近乎至高无上的控制权,并且不受任何操作系统控制、关闭或禁用。 毋容置疑,此时杀毒软件 将毫无用武
2009-03-24 17:12:00 2259
原创 多核处理器的9大关键技术
与单核处理器相比,多核处理器在体系结构、软件、功耗和安全性设计等方面面临着巨大的挑战,但也蕴含着巨大的潜能。 CMP和SMT一样,致力于发掘计算的粗粒度并行性。CMP可以看做是随着大规模集成电路技术的发展,在芯片容量足够大时,就可以将大规模并行处理机结构中的SMP(对称多处理机)或DSM(分布共享处理机)节点集成到同一芯片内,各个处理器并行执行不同的线程或进程。在基于SMP结构的单芯片多处
2009-03-19 17:31:00 2851
原创 CPU级RootKit,目前无药可医
Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。" Joanna女强人在博客中写道。本次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM
2009-03-18 17:37:00 3591
原创 Analyzing local privilege escalations in win32k
mxatone mxatone@gmail.com Contents Foreword Introduction Win32k design General security implementation KeUsermodeCallback utilization Discovery and exploitation DDE Ker
2009-01-15 09:30:00 3873
原创 MS09-001漏洞基本分析
This Black Tuesday (the 13th, no less), Microsoft released the first security patch of 2009. This patch addresses three vulnerabilities in the SRV.SYS driver of the Microsoft Windows operating system.
2009-01-15 09:29:00 7714
原创 【Windows源码分析】(一)初始化内核与执行体子系统
作 者: 北极星2003 时 间: 2008-03-22,23:59 链 接: http://bbs.pediy.com/showthread.php?t=61749 对于那么没有相关经验的朋友,在阅读本文时最好对照windows源码来看,否则光看着这么多数据结构就足以头大。对于这篇文章,严格来说,应该是属于学习笔记型,如有分析不当的地方,请各位多指教! 本文的主要目标是根
2009-01-08 10:08:00 6241 2
原创 运行程序前执行自己的代码
作 者: 救世猪 来看雪两年多了,到现在还是个相当菜的菜鸟,只索取,从来没有过回报,因为水平太次,实在是写不出来什么~ 这个小程序实际是做毕业设计的时候写的,当时写完之后,没有太大的问题了,就没有再改(能蒙混过关就是目的),里面现在仍然是bug多多。它主要是利用Tls CallBack来实现在运行程序之前先运行我们的代码,我们要把代码写入到exe中才行。TLS是Threa
2009-01-08 09:45:00 4210
原创 线程调度的监视
pjf(jfpan20000@sina.com) 接着上次的小话题说。 上次提到因为想要无需硬编码的方案从而未选用SwapContext,后来又想了想用SwapContext也基本不用硬编码,但因为用了其它做法,没有再实现hook SwapContext了。前两天难得放假,写了一下看看效果。 首先进入2000的SwapContext中,看看它作了什么。0008:8040422C
2009-01-08 09:44:00 3191
原创 HOOK SwapContext 枚举隐藏进程(学习笔记4)
作 者: bzhkl 时 间: 2008-12-11,12:01 链 接: http://bbs.pediy.com/showthread.php?t=78464 以前想检测一个被隐藏的进程 后来用暴力枚举的方法解决了 但是HOOK SwapContext没有看到有完整的代码 所以搜集了点网上有用的模块 自己整合实现了下 确定支持XP3, XP2没测试 应该也能支持 附完整工程代
2009-01-08 09:40:00 3893
转载 Icelight驱动部分完整逆向(源代码)
by achillisIcelight(一线光)是个安全小工具,整体功能比较一般,但自我保护还不错,比较全面吧.前几天不能上网,无聊之中看到Icelight的驱动不大(14k),于是就把它给逆了一下,也是我第一次完整逆一个驱动.驱动中Hook时用了两个反汇编引擎(搞不懂为什么用两个),其中一个是LDasm,就直接拿来用了.另一个水平有限,还原成的C版不准确导致有时候结果不正确,无奈之
2009-01-08 09:36:00 3028 1
UDP协议可靠传输文件
2011-09-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人