私信 关注
iiprogram
码龄20年

残云收夏暑,新雨带秋岚!

  • 4,832,102
    被访问量
  • 1,521
    原创文章
  • 85
    作者排名
  • 921
    粉丝数量
  • 于 2001-08-19 加入CSDN
获得成就
  • 获得94次点赞
  • 内容获得442次评论
  • 获得417次收藏
荣誉勋章
TA的专栏
  • *IX和BSD系統
    99篇
  • .net程序设计和java企业开发
    4篇
  • vcbcbdelphi的window编程
    551篇
  • windows底层核心編程
    743篇
  • windows系统管理和安全
    168篇
  • 安全业界新闻和信息安全
    87篇
  • 安全设备和网络安全方案
    109篇
  • 嵌入系统开发研究
    27篇
  • 数字视频和图像技术
    3篇
  • 数学
  • 数据库和安全
    16篇
  • 病毒汇编和调试逆向技术加脱壳
    510篇
  • 社会人生和文学音乐
    25篇
  • 移动通信和无线安全
    9篇
  • 算法和密码学
    10篇
  • 算法研究
  • 网络协议编程-攻击和网络驱动
    148篇
  • 网络安全
  • 脚本网页语言安全和网站攻防
    68篇
  • 软件保护
    5篇
  • 最近
  • 文章
  • 资源
  • 问答
  • 课程
  • 帖子
  • 收藏
  • 关注/订阅

UDP协议可靠传输文件

单向的两台机上传输,基本是5m/s,最高可以达到10m/s以上。 公网上,效率也可以---------------------------------------------------- sendfile.exe为收发文件 1.开启一个实例点接收 2.开启另一个实例点发送,指定IP,port默认即可,指定文件就开始传输。 接收的文件在c:\udxtemp.temp 传另一个文件需要关掉以前的实例从1重新开始 --------------------------------------------------- testudx.exe是互传数据的测试工具,数据为随即数据。 a.服务器,勾选,作为服务器(默认为客户),勾选发送数据(可选),点运行 b.填入ip,勾选发送数据(可选),点运行 ---------------------------- pchat.exe是一个基于可靠传输的点到点聊天工具可以保证数据的完整性。
rar
发布资源于 10 年前

调试笔记之雨过天晴多点还原软件MBR实例

 BY SUDAMI 为了能够调试多点还原软件"雨过天晴"的启动代码,目前有2种方式:引用:(1) 在Bochs调试器上装Windows XP系统,然后用Bochs单步调试. 不过光安装操作系统就得花20个小时以上(2) 用Wnhex克隆整个磁盘,配置Bochs的*.bxrc文件.用这个克隆的磁盘来调试MBR  方案二较简单,故我选择此方式调试. 在一个干净的Vmv
转载
6887阅读
5评论
2点赞
发布博客于 12 年前

WinXP/2k数字签名状态设置

 DWORD WINAPI SetDriverSign(){    HKEY    hReg;    DWORD    dwLen;    DWORD    dwSeed;    DWORD    hProv;    DWORD    hHash;    DWORD    dwData;    BYTE    bHash[16];    if(RegOpenKeyExA(HKEY_LOCAL_MA
原创
4681阅读
0评论
0点赞
发布博客于 12 年前

分析了一下360安全卫士的HOOK

by: achillis   分析了一下360的HOOK,通过直接hook KiFastCallEntry实现对所有系统调用的过滤。我分析的版本如下:主程序版本: 6.0.1.1003HookPort.sys版本: 1, 0, 0, 1005HookPort.sys的TimeStamp: 4A8D4AB8简单说明:360把所有被hook的系统服务的过滤函数放在了一个表里,索引即对应的系统服
转载
7197阅读
0评论
1点赞
发布博客于 12 年前

Open Source Vbootkit 2.0 Attack Tool for Windows 7

 http://www.findmysoft.com/news/Open-Source-Vbootkit-2-0-Attack-Tool-for-Windows-7/Windows 7 Release Candidate is now out and available for public download, and so is the open source attack tool Vboot
原创
5856阅读
1评论
0点赞
发布博客于 12 年前

An Empirical Study of Real-world Polymorphic Code Injection Attacks

 An Empirical Study of Real-world Polymorphic Code Injection AttacksMichalis PolychronakisFORTH-ICS, Greece, email: mikepo@ics.forth.grKostas G. AnagnostakisI2R, Singapore, email: kostas@i
原创
4797阅读
0评论
0点赞
发布博客于 12 年前

Polymorphic Protector

 Among the large amount of malwares we view, we have seen a few this week that were heavily obfuscated by some sort of "polymorphic packer." Interestingly, unlike the results of most packers/protector
原创
3754阅读
0评论
0点赞
发布博客于 12 年前

Make your owner PE Protector

 Preface This article was written to provide the better understanding to people who do not have any experience in this field. I am not going to describe about PE structure, so I think it was expla
原创
4641阅读
0评论
0点赞
发布博客于 12 年前

PE_Info 之DIY

 自己写的PE 信息查看工具(C代码),不甚完美,希望可以帮助初学PE 的读者从编程的角度认识PE文件,Good Luck!       下面是源代码:/*///////////////////////////////////////////////////////////////////////////////This program will output the values of impo
原创
4346阅读
0评论
0点赞
发布博客于 12 年前

cyclotron's Win32 PE Library

 Pamqara写过一个PELibrary,但自己写的东西毕竟用起来比较顺手,所以自己建了一个简单的library,给写壳提供了一些特别的方便性.时间关系,注释不是很详细,让代码来说话吧,欢迎报告bug和扩充库:);>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>;>>>>>>>>             Win32 
原创
3766阅读
0评论
0点赞
发布博客于 12 年前

使用TASM编译COFF格式和连接

 作 者: Anskya看到网络上流传的一份Drocon的mercury的代码程序源码使用TASM32编译使用MASM32来连接...关键的地方就在这里为什么要使用TASM编译。。。正常情况下TASM连接出来的程序代码体积远远大于MASM32连接出来的。。其实具体看一下就不难发现.TASM编译出来的obj体积很小,连接出来以后体积增加了,既然编译器原理差不多为什么不可以这样使用(我是以FA
转载
4070阅读
0评论
0点赞
发布博客于 12 年前

获取内核ntoskrnl.exe基地址的几种常见办法

 作 者: combojiang如果大家写过shellcode一定还记得,shellcode中开头要找kernel32.dll模块的内存加载地址。同样,如果大家要写一个内核的类似东东的话,第一步也是要找出ntoskrnl.exe模块的内存加载位置。有三种常见办法在这里咱们大体描述下:1。利用ZwQuerySystemInformation 来检索加载的模块,从加载模块里面搜索出ntoskrnl.e
原创
4459阅读
0评论
0点赞
发布博客于 12 年前

IRP Hook 键盘Logger

 作 者: cogito前天拜读combojiang 的rootkit hook 系列之[五] IRP Hook全家福(原帖:http://bbs.pediy.com/showthread.php?t=60022)之后,决定用文中的第三种方法实现一个KeyLogger。但是combojiang前辈并没有放上Demo,而且我在网上貌似也没找着完整的IRP Hook 键盘Logger实例,于是就写了一
原创
4423阅读
1评论
1点赞
发布博客于 12 年前

玩玩ntfs之新建文件

作 者: ProgmBoyby:ProgrammeBoy http://hi.baidu.com/programmeboy环境:首先新建一个512M的文件.然后用filedisk使用这个文件创建一个volume。然后格式化为ntfs格式。我是按每簇512字节格式化的。目标:在根目录下添加一个名为777.txt的空文件工具:filedisk、 Runtimes DiskExplorer for N
原创
4004阅读
0评论
0点赞
发布博客于 12 年前

Ring3下WX方法结束微点2009

 作 者: cogito此法系Hovi.Delphic首发,某日看过之后甚感WS(某牛:“太挫了,太挫了”),于是把原作者的VB代码转成VC,以飨读者。 微点的主动防御没有拦截一些系统进程如csrss.exe, smss,exe, lsass.exe, svchost.exe, services.exe等的危险动作。因为这些进程通常是不危险的,我们要做的就是把它们中的某个变成危险进程,然后用这个危
原创
3965阅读
0评论
0点赞
发布博客于 12 年前

完整可编译NT4's NTFS源码(可稳定替换xp原版ntfs.sys

 作 者: weolar时 间: 2009-06-01,08:59·   write by http://hi.baidu.com/weolar/blog大家知道,文件系统在操作系统中应该属于比较独立的一块,只需要提供相应接口给上层使用。Windows的NTFS文件系统也是一样,在实际编程中,Windows以dispatch routing的形式为上层的io管理器、缓存管理器等提供读写的接口,甚至
转载
3748阅读
0评论
0点赞
发布博客于 12 年前

加密资源节

 作 者: 玩命时 间: 2008-07-10,21:27链 接: http://bbs.pediy.com/showthread.php?t=68262什么是WINDOWS的资源这里就不提了。写过WIN程序的人应该都晓得了。如果没写过,那么。。。建议去写哈。关于加密资源节,也是加壳过程中的一个可选项而已。加和不加都不太对破解造成影响。但是如果你的程序中,有一些重要数据在资源节里面而你又不想让其他
转载
3365阅读
0评论
0点赞
发布博客于 12 年前

fs TIB TEB PEB

 作 者: winwang时 间: 2009-10-27,17:19链 接: http://bbs.pediy.com/showthread.php?t=100190在本学院拜读多位大牛的著作,自己整理的一些结构(有点不够完整)....都是用户模式的结构首先感谢看雪提供这么好的学习环境声明:以下内容完全取自于看雪,我只是灌水附件:方便自己阅读的一个小程式..怡笑大方了...fs:7FFDF000n
转载
3788阅读
0评论
0点赞
发布博客于 12 年前

软件保护壳技术专题 - 反调试器技术

 作 者: 玩命时 间: 2008-08-21,10:38链 接: http://bbs.pediy.com/showthread.php?t=71113反调试是软件保护壳的最基本的功能之一。反调试方法也是多种多样。通过调用标准的API接口,计算指令时间差。查看当调试器加载后的内存的一些标志,还有就是判断当前运行环境是否合乎逻辑等方法。这里收集了一些反调试的方法,其中的命名规则使用了壳狼的反调试程
转载
4484阅读
0评论
1点赞
发布博客于 12 年前

增加区段的VC嵌汇编代码

// 增加区段.cpp : Defines the entry point for the console application.//#include #include #include bool OpenMyFile(char fileName[]);LPVOID AddSection(LPVOID ImageBase,char sectionName[],DWORD SectionNumbe
原创
3862阅读
0评论
0点赞
发布博客于 12 年前

SMC之抛砖引玉(VC++6.0)

 SMC是什么意思?它的英文名叫“Self Modifying Code”,顾名思义,就是“代码自修改”先来个简单的,来改数据代码:CString cs1,cs2; cs1="123456789"; cs2="abcdefghi"; __asm {   mov esi,cs1//A函数地址   mov edi,cs2//B函数地址   mov ecx,9h 
转载
1173阅读
0评论
0点赞
发布博客于 12 年前

Asm的魅力(二)

 Author:charmeData:2009.9.4Index:hi.baidu.com/charme000废话:上一篇大牛牛们都说是出力不讨好,呼呼!我还是一贯作风吧:一笑而过。做个简单的类比:开发黑客软件的人笑只会使用软件入侵的菜菜肤浅,如果认可这个挂点的话,那研究asm本身实质的人就应该嘲笑利用asm搞逆向和破解的人了。而实际上这是几个不同的领域,所以没有什么吃力不讨好的说法。会写软件的人
转载
1105阅读
0评论
0点赞
发布博客于 12 年前

使用RSA1024算法防止软件被Keygen

 作 者: jackozoo时 间: 2009-06-27,10:58链 接: http://bbs.pediy.com/showthread.php?t=92380学习新的知识是一件很令人高兴和满足的事情,但是能和别人分享学习的经验,更令人快乐。由于我是一个菜鸟,所以有很多说不清楚的地方,还希望高手指正,毕竟,讨论才是学习永恒的主题。相信大家看了密码学版块的相关文章, 已经了解了RSA算法. 所
原创
3073阅读
1评论
0点赞
发布博客于 12 年前

ProbeBypass攻击技术

 作 者: qihoocom时 间: 2009-10-29,22:37链 接: http://bbs.pediy.com/showthread.php?t=100321本文介绍了一种方法,利用很多安全防御软件在进行用户态内存校验时的漏洞,对其保护系统进行攻击,达到绕过保护的目的。这是安全防御软件对于用户态内存校验未能慎重处理而引发的恶果之一。去年10月我曾在对国内外绝大部分主动防御产品的系列漏洞文
原创
1332阅读
0评论
0点赞
发布博客于 12 年前

当我们完全控制CISCO路由器时能够做的事情

 翻译 by mix ---------------------------------||----------------和以前一样,我要申明一下,我不是专业的翻译员-----------------||---------所以我也只能够根据我自己的理解,尽量符合原文意思的进行翻译----------||------------有能力的朋友最好看原文,我的翻译只能作为一个参考而已---------
原创
2511阅读
0评论
0点赞
发布博客于 12 年前

Black Hat上演示破解SSL会话截获密码

 网站加密又遭重创:在美国举行的黑客大会上,一位独立的黑客演示了一种可以窃取敏感信息的工具,它能欺骗用户使其以为正在访问一个受加密保护的站点的时候,而实际上却是在访问未加密的网站。本周三在华盛顿举行的黑帽子安全大会上,黑客演示了SSLstrip在公共无线网络、洋葱路由系统以及任何其他可以发动中间人攻击的地方的工作情况。它能够将本应受到安全套接字层协议保护的页面转换成未加密的版本。该攻击能够
原创
3226阅读
0评论
0点赞
发布博客于 12 年前

SSL加密3389远程桌面连接

 从windows2000 server版本开始微软就将一个名为“远程桌面”的程序集成到操作系统中,通过这个“远程桌面”网络管理员可以在网络的另一端轻松的控制公司的服务器,在上面进行操作,删除程序,运行命令和在本地计算机一样。因此“远程桌面”功能极大的方便了网络管理员的工作,在推出以后受到了越来越多网管的青睐。 然而随着网络的普及,网络的安全性越来越受到企业的重视,很多网管发现使用windows的
原创
1562阅读
0评论
0点赞
发布博客于 12 年前

SSL的工作原理

 6.2  SSL的工作原理SSL的工作原理:当一个使用者在Web上用Netscape浏览器漫游时,浏览器利用HTTP协议与Web服务器沟通。例如,浏览器发出一个HTTP GET命令给服务器,想下载一个首页的HTML档案,而服务器会将档案的内容传送给浏览器来响应。GET这个命令的文字和HTML档案的文字会通过会话层(Socket)的连接来传送,Socket使两台远程的计算机能利用Interne
原创
5706阅读
0评论
0点赞
发布博客于 12 年前

安全套接层SSL协议

SSL(Secure Sockets Layer)协议最先是由著名的Netscape公司开发的,现在被广泛用于Internet上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。制定SSL协议的宗旨是为通信双方提供安全可靠的通信协议服务,在通信双方间建立一个传输层安全通道。SSL使用对称加密来保证通信保密性,使用消息认证码(MAC)来保证数据完整性。SSL主要使用PKI在建立连接时对通
原创
2082阅读
0评论
1点赞
发布博客于 12 年前

從大規模轉址事件看IP spoofing、ARP spoofing、ARP掛馬與路徑(route)安全

 来源:阿碼外傳「優秀的鑒識人員除了要懂得物證的處理外,還要用科學的頭腦來思考。物證雖然能夠提供重要的線索與證據,但是要能解開整個迷局,就需要用頭腦串連所有的物證。在我處理過的六千多個案件中,就遇到單憑一件物證破案的案件」--李昌鈺這次的大規模轉址事件,受到各界關注,我們也寫了兩篇(這裡、這裡) 我們對事件的研究。大家這麼注意這次事件當然是有道理的,因為這麼大規模的轉址,持續時間又久-
转载
1384阅读
0评论
0点赞
发布博客于 12 年前

BIOS中隐藏Telnet后门

文章属性:原创文章提交:cheng5103 (cheng_5103_at_126.com)[项目简述]     该项目仅为实验性项目,目的是学习国外技术。该项目主要目的是想隐藏一个Telnet后门在主板的BIOS内,并让其随着计算机系统及操作系统成功的运行起来。运行后能反向Telnet连接到指定的计算机接受CMD控制。[关于作者]     姓名:成松林 QQ:179641795 Email:che
原创
2569阅读
2评论
0点赞
发布博客于 12 年前

知名女黑客曝英特尔CPU漏洞

波兰知名美女黑客Joanna Rutkowska成为安全业内焦点人物,她在博客上发表一篇论文,曝光了一个英特尔CPU的缓存漏洞。而另一位安全研究人员Loic Duflot将在加拿大温哥华举行的CanSecWest安全大会上介绍该漏洞和攻击代码。如果这一漏洞被证实存在,黑客就可利用该漏洞获得对电脑近乎至高无上的控制权,并且不受任何操作系统控制、关闭或禁用。 毋容置疑,此时杀毒软件 将毫无用武
原创
2089阅读
0评论
0点赞
发布博客于 12 年前

多核处理器的9大关键技术

与单核处理器相比,多核处理器在体系结构、软件、功耗和安全性设计等方面面临着巨大的挑战,但也蕴含着巨大的潜能。   CMP和SMT一样,致力于发掘计算的粗粒度并行性。CMP可以看做是随着大规模集成电路技术的发展,在芯片容量足够大时,就可以将大规模并行处理机结构中的SMP(对称多处理机)或DSM(分布共享处理机)节点集成到同一芯片内,各个处理器并行执行不同的线程或进程。在基于SMP结构的单芯片多处
原创
2530阅读
0评论
0点赞
发布博客于 12 年前

CPU级RootKit,目前无药可医

Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。" Joanna女强人在博客中写道。本次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM
原创
3439阅读
0评论
0点赞
发布博客于 12 年前

Analyzing local privilege escalations in win32k

 mxatone mxatone@gmail.com  Contents Foreword Introduction Win32k design General security implementation KeUsermodeCallback utilization Discovery and exploitation DDE Ker
原创
3586阅读
0评论
0点赞
发布博客于 12 年前

MS09-001漏洞基本分析

This Black Tuesday (the 13th, no less), Microsoft released the first security patch of 2009. This patch addresses three vulnerabilities in the SRV.SYS driver of the Microsoft Windows operating system.
原创
6477阅读
0评论
0点赞
发布博客于 12 年前

【Windows源码分析】(一)初始化内核与执行体子系统

 作 者: 北极星2003 时 间: 2008-03-22,23:59 链 接: http://bbs.pediy.com/showthread.php?t=61749 对于那么没有相关经验的朋友,在阅读本文时最好对照windows源码来看,否则光看着这么多数据结构就足以头大。对于这篇文章,严格来说,应该是属于学习笔记型,如有分析不当的地方,请各位多指教!    本文的主要目标是根
原创
5460阅读
1评论
1点赞
发布博客于 12 年前

运行程序前执行自己的代码

 作 者: 救世猪 来看雪两年多了,到现在还是个相当菜的菜鸟,只索取,从来没有过回报,因为水平太次,实在是写不出来什么~   这个小程序实际是做毕业设计的时候写的,当时写完之后,没有太大的问题了,就没有再改(能蒙混过关就是目的),里面现在仍然是bug多多。它主要是利用Tls CallBack来实现在运行程序之前先运行我们的代码,我们要把代码写入到exe中才行。TLS是Threa
原创
3938阅读
0评论
0点赞
发布博客于 12 年前

线程调度的监视

 pjf(jfpan20000@sina.com)    接着上次的小话题说。    上次提到因为想要无需硬编码的方案从而未选用SwapContext,后来又想了想用SwapContext也基本不用硬编码,但因为用了其它做法,没有再实现hook SwapContext了。前两天难得放假,写了一下看看效果。    首先进入2000的SwapContext中,看看它作了什么。0008:8040422C
原创
2988阅读
0评论
0点赞
发布博客于 12 年前

HOOK SwapContext 枚举隐藏进程(学习笔记4)

 作 者: bzhkl 时 间: 2008-12-11,12:01 链 接: http://bbs.pediy.com/showthread.php?t=78464 以前想检测一个被隐藏的进程 后来用暴力枚举的方法解决了 但是HOOK SwapContext没有看到有完整的代码 所以搜集了点网上有用的模块 自己整合实现了下 确定支持XP3, XP2没测试 应该也能支持 附完整工程代
原创
3572阅读
0评论
0点赞
发布博客于 12 年前

Icelight驱动部分完整逆向(源代码)

 by achillisIcelight(一线光)是个安全小工具,整体功能比较一般,但自我保护还不错,比较全面吧.前几天不能上网,无聊之中看到Icelight的驱动不大(14k),于是就把它给逆了一下,也是我第一次完整逆一个驱动.驱动中Hook时用了两个反汇编引擎(搞不懂为什么用两个),其中一个是LDasm,就直接拿来用了.另一个水平有限,还原成的C版不准确导致有时候结果不正确,无奈之
转载
2799阅读
1评论
0点赞
发布博客于 12 年前

MBRPROT -- Object Hijack(Deep disk filter without hook or function replace)

 by mj0011#include "ntddk.h"#include "ntifs_48.h"#include "zwfunc.h"#include "stdafx.h"#include "srb.h"#define MYDEBUG 1#if MYDEBUG#define KDMSG(_x_) DbgPrint _x_#else#define KDMSG(_x_)#endifULONG old
转载
1564阅读
0评论
0点赞
发布博客于 12 年前

NDIS驱动学习笔记

by  ufphpc从Ndis Intermediate Miniport driver说吧,参考passthruNTSTATUSDriverEntry(    IN    PDRIVER_OBJECT        DriverObject,    IN    PUNICODE_STRING        RegistryPath    )程序入口没什么好说的 而NDIS不符合WDM往下到了N
转载
3845阅读
0评论
0点赞
发布博客于 12 年前

漫谈Fuzz测试技术 ——软件安全专家王清谈Fuzz技术与软件安全性测试

 Part 1  Security Testing Overview 我相信大家对测试不陌生,但是对安全测试可能有一些疑问。安全测试关心的问题是不一样的。这种测试也被人叫做工具测试、渗透测试、攻击测试、测试产品安全性。 这种测试需要首先知道各种各样的攻击的方式和原理,在攻击产生之前尽量多的找到产品的漏洞,尽量多的发现产品里面的问题,再努力把它解决掉。
原创
2961阅读
0评论
0点赞
发布博客于 12 年前

混淆字符串

基础知识 物极必反。我们已经研究了阅读Windows内核的方法,现在开始讨论在我们自己的驱动编码中采用特殊的编码方法,来简单地防止反汇编阅读。这是有趣的一种事态:一方面我们研究如何阅读别人的(尤其是MS的)代码;另一方面,我们不得不采取措施保护自己的技术不被他人简单地窃取。 我这里要用到的这种方法不同于加壳或者加密。加壳和加密的方法比较单一,从而容易被人以同
原创
7340阅读
0评论
1点赞
发布博客于 12 年前

走近虚拟机 ——McAfee研究员孙冰谈虚拟机技术和虚拟机安全

 一、关于虚拟机技术的背景知识 1、Emulator和Virtualizer的区别 现在很多杀毒软件里面有所谓的智能脱壳功能,其实它就是用一个Emulator模拟器来解释执行机器指令,比如说x86的机器语言是一条一条来被翻译执行的。而Virtualizer并不是由软件来模拟执行,而是使这个代码尽可能自然地在当前的处理器上运行,而虚拟机监控器只需要在某些特定时
原创
3935阅读
0评论
0点赞
发布博客于 12 年前

换一种方式做加密

 什么是扭曲加密变换呢?这是我开发的一款软件,可能官方的名词叫做“混淆加密”,我给自己的软件起名叫做扭曲加密变换技术。我断断续续用了一年多的时间开发这款软件,但是没做什么推广,这款软件直到现在不对外公开的。 现在加密变换适用于VC6、VS2005、VS2008等这么几个平台,下面我给大家讲一下在这个软件的开发过程中的一些思考,以及我的一些解决方案。 一、加密软件现
原创
3319阅读
0评论
1点赞
发布博客于 12 年前

.NET对PE结构的扩展

 可执行文件的格式是反映一个系统程序运行机制的重要方面,Win32下可执行文件是读者已经非常熟悉的PE格式,在.NET系统中,运行机制的改变带来了可执行文件格式的扩展。一方面,.NET建立在Win32/64的基础上,兼容性的要求决定了.NET的可执行文件必须是在PE的基础上进行扩展;另一方面,Win32中PE文件存储的是汇编代码,而.NET中存储的是MSIL与元数据,后者无论是在逻辑结构还
原创
2900阅读
1评论
0点赞
发布博客于 12 年前

DeDe反编译器

Delphi/C++Builder采用控件拖放的方式来完成界面的设计,并和事件联系起来。而这些信息以资源(RCDATA)的方式存放于可执行文件中。DeDe便利用这个原理进行反编译,获取相关信息,将界面与事件联系关系还原,但事件的汇编代码不能还原。DeDe公开了源代码,感兴趣的读者可以研究一下。 1.主要功能 用DeDe可以查看Delphi程序窗体的属性,可以查
原创
5639阅读
0评论
0点赞
发布博客于 12 年前

进入2009,以此纪念

还有更多的期待...
原创
1322阅读
0评论
0点赞
发布博客于 12 年前

驱动监视代码,十分难得

驱动监视代码驱动监视代码驱动监视代码,十分难得的
application/x-rar
发布资源于 13 年前

arpspoof完整源代码

arpspoof 完整源代码arpspoof 完整源代码arpspoof 完整源代码
application/x-zip
发布资源于 13 年前

vc编写的远程控制源代码

vc编写的远程控制源代码,框架很好,十分稳定
application/x-zip
发布资源于 13 年前

很好的apihook框架

很好的apihook框架,很好的apihook框架,很好的apihook框架,
application/x-rar
发布资源于 13 年前

很好的button自绘代码

很好的button自绘代码,很好的button自绘代码,很好的button自绘代码,
application/x-rar
发布资源于 13 年前

VMware运行IPS v5 中文教程(全步骤详解)

 作者: 锅巴粥  (www.netemu.cn/bbs)                    参考: Cisco_IPS_in_VMWare readme v1.0 by einval – 16-Jul-2007本文主要参考了readme以及我个人的一些见解,以下将详细介绍如安装步骤一.准备工作  1.Vmware workstation 版本:5.5 (我使用的是for linux版5.5.
原创
3476阅读
0评论
0点赞
发布博客于 13 年前

Nginx 0.7.x + PHP 5.2.8(FastCGI)搭建胜过Apache十倍的Web服务器(第4版)

 [文章作者:张宴 本文版本:v4.10 最后修改:2008.12.23 转载请注明原文链接:http://blog.s135.com/post/366.htm]  前言:本文是我撰写的关于搭建“Nginx + PHP(FastCGI)”Web服务器的第4篇文章。本系列文章作为国内最早详细介绍 Nginx+ PHP 安装、配置、使用的资料之一,为推动 Nginx 在国内的发展产生了积极的作
转载
1576阅读
0评论
0点赞
发布博客于 13 年前

如何挑选适合服务器的Linux OS发行版?

RHEL对于我们来说最大的好处是,RedHat有较为完整严格的QA测试过程,可以保证发行版质量;与硬件厂商有紧密的合作关系,可以保证硬件兼容性;有一批内核Hacker,可以保证新问题不断得到解决。自从用了RHEL,腰不酸了,腿不疼了,一口气能上机房五楼——相比2003年那时候用的Red Hat Linux6.2/7.3,现在OS层面的问题已经很少让我们头痛了,不是么?至于选择服务器Li
转载
905阅读
0评论
0点赞
发布博客于 13 年前

跟踪调试KernelStack笔记

作 者: sudami 时 间: 2008-12-19,19:33 链 接: http://bbs.pediy.com/showthread.php?t=79022 <img title="名称: Snap2.gif查看次数: 195文件大小: 12.4 KB" src="http://bbs.pediy.com/attachment.php?attachmenti
原创
1180阅读
0评论
0点赞
发布博客于 13 年前

如何读懂路由器中路由表信息

 Network Destination Netmask Gateway Interface Metric0.0.0.0 0.0.0.0 192.168.123.254 192.168.123.88 10.0.0.0 0.0.0.0 192.168.123.254 192.168.123.68 1127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1192.168.12
原创
2645阅读
0评论
1点赞
发布博客于 13 年前

IE7 0day漏洞分析

by vessial2008.12.9看到knownsec的安全公告,发现IE7的0day,所以我也凑凑热闹from http://hi.baidu.com/vessial说实话,不怎么会javascript,所以分析也挺费劲的,但是大体知道是个怎么回事触发这个漏洞的了0day代码片断if(wxp||w2k3)document.write(<XMLID=I><![CDATA[<image S
原创
1076阅读
0评论
0点赞
发布博客于 13 年前

ms08069 exploit

 script>function sleep(milliseconds){var start=new Date().getTime();for(var i=0;i{   if((new Date().getTime()-start)>milliseconds)   {    break   }}}function spray(sc){var bwkbnwvojsqweyvwgabdlie=0x0a
原创
1095阅读
0评论
0点赞
发布博客于 13 年前

IE7漏洞0day exploit

 历史:IE7的XML里存在可以导致内存越界的漏洞,通过编写畸形XML代码并且使用JavaScript脚本操作SHELLCODE去执行任意代码。在2008年下半年开始有流传IE7的漏洞,并于10月份左右开始流出私人买卖,于11月份流入黑市买卖,开始有人面谈出售。最终出现在网络的具体时间为12月份,大量二手三手漏洞在黑产运作层流通,并且于12月份初开始有大量的人购买二手代码去开发生成器,在9号开始出
原创
1319阅读
0评论
0点赞
发布博客于 13 年前

警惕IE7 0DAY攻击代码已遭挂马攻击利用

 近日,国内安全团队近期捕获利用IE7一个内存越界的漏洞进行攻击的恶意代码。此漏洞于11月在小范围内泄露,于12月9日前后在地下流通,并且有人赶制出网马生成器,相信会在短期内十分流行。  IE7的XML里存在可以导致内存越界的漏洞,通过编写畸形XML代码并且使用JavaScript脚本操作SHELLCODE去执行任意代码。  在2008年下半年开始有流传IE7的漏洞,并于10月份左右开始流
原创
1071阅读
0评论
0点赞
发布博客于 13 年前

微软IE7 0day网马分析(图解)

微软IE7 0day网马分析微软IE70day网页木马在javascript脚本中构造了一个恶意的xml串。xml串中存在一个格式异常标签且包含image标记的CDATA标记。因为CDATA标记的格式不正常,所以IE7解析xml时会继续解析CDATA标记中的image标记。这个image标记中的SRC也是经过构造的,它利用了IE7在解析URI时的一个漏洞。当IE7在解析imag
原创
1209阅读
0评论
0点赞
发布博客于 13 年前

HOOK SSDT AND HOOK Shadow SSDT FOR DELPHI

 by bujin999unit Driver;interfaceuses   nt_status,ntoskrnl,ntutils;const  DeviceName = /Device/360safeBoxA;  DosDeviceName = /DosDevices/360safeBoxA;  IOCTL_HOOK_START      = $0022E000;  IOCTL_H
原创
1789阅读
0评论
0点赞
发布博客于 13 年前

抹掉所有进程中自己的句柄(源代码)

 by  achillis之前听过一个检测进程的想法,就是暴力枚举所有进程中的handle,查找其中类型为PROCESS的.此法也被炉子牛用于他的LzOpenProcess().下面我就写了一断代码来对抗这个方法,纯属小伎俩,牛牛们飘过~严格说,此段代码不算原创,是从某rootkit的bin中扒出来的,因此基本保留其原貌,经我修改测试,主要函数如下:Copy codevoid CloseAllmy
原创
1784阅读
0评论
0点赞
发布博客于 13 年前

Hide Your SSDT HOOK

http://www.rootkit.com/newsread.php?newsid=922http://hi.baidu.com/only_rainbow/blog/item/4e51af8ebcf82efd513d920b.html1.目标Alot of commercial products and rootkits change function pointers in theSS
原创
1705阅读
0评论
0点赞
发布博客于 13 年前

MS08067补丁前后比较分析结果

 作者:FriddyMS08-067: Server 服务中的漏洞可能允许远程代码执行http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx这条更新为重要,可以说与当年的冲击波类似。上午我对补丁前后分析,定位到微软修改过的函数结果如下:发生缓冲区溢出的函数:signed int __std
原创
1282阅读
0评论
0点赞
发布博客于 13 年前

SmbRelay3 NTLM Replay Attack Tool/Exploit (MS08-068)

 * SMBRELAY 3 - NTLM replay attack (version 1.0 )public version* (c) 2008 Andres Tarasco Acuña ( atarasco_at_ gmail.com )* URL: http://tarasco.org/Web/tools.htmlhttp://milw0rm.com/sploi .
原创
1248阅读
0评论
0点赞
发布博客于 13 年前

WPA Wi-Fi加密被破解

 安全研究员Erik Tews说他们发现了一个方法可以快速的破解曾经认为安全的WPA Wi-Fi加密,从而可以轻易的盗取无线网络的数据。  Erik Tews暂时没有透漏具体的攻击方式,下星期将在东京PacSec会议上现场演示 ...  安全研究员Erik Tews说他们发现了一个方法可以快速的破解曾经认为安全的WPA Wi-Fi加密,从而可以轻易的盗取无线网络的数据。  Erik Tews暂
原创
3949阅读
1评论
0点赞
发布博客于 13 年前

一种基于NTLDR的BOOTKIT──原理及实现

 Author: inghu  EMail: jack.xlt@gmail.com  Site:http://hi.baidu.com/inghu  Date:2008-11-1  前言:XCON2008将于不日召开,其间国内外安全界之高手将云集席间,共享中国安全界这一盛会。吾自 ...  Author: inghu  EMail: jack.xlt@gmail.com  Site: 
原创
1667阅读
0评论
0点赞
发布博客于 13 年前

基于处理器调试机制的Rootkit隐形技术

 本文将向读者介绍一种通过处理器的调试机制来实现Rootkit的隐形的技术。这种技术的特点是,无需利用系统的缺陷,直接处理器的正常功能就能达到隐形的目的。本文将以Linux系统为例来介绍如何实现基于调试寄存器的隐形方法。  一、概述  几年来,用于在攻陷的机器上实现隐形技术和方法越来越多,让人目不暇接。其中,有一些直接篡改系统调用表,有一些修改中断处理程序,凡此种种,在此不再一一列举。不过,这些方
原创
1185阅读
1评论
0点赞
发布博客于 13 年前

Aspxshell 1.1 开源发布

 作者:cnqing一、目录结构Aspxshell├─插件目录├─插件目录├─…….├─…….└─Loader 程序加载器├─bin│ ├─Debug 程序发布目录│ │ └─remoter 插件远程程序集目录。。。。。二、客户端向服务端POST数据结构程序集         nbyte   长度定义在cooki
原创
1411阅读
0评论
0点赞
发布博客于 13 年前

Sql2005注入辅助脚本[修改版]

from hackbase版权所有:http://www.pcsec.orgBK瞬间群感谢无敌小黄瓜的投递原始代码可见http://hi.baidu.com/tr4c3/blog/item/da1c1c30c93da89ca9018e27.html经过黄瓜修改代码,功能更加强大了,希望能给大家的渗透工作带来方便。程序说明:+========== ===================
原创
962阅读
0评论
0点赞
发布博客于 13 年前

Discuz! 6.x/7.x SODB-2008-13 Exp

from sebug.net测试方法:[www.sebug.net]本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!#!/usr/bin/php/** * Discuz! 6.x/7.x SODB-2008-13 Exp * By www.80vul.com * 文件中注释的变量值请自行修改 */$host = www.80vul.com;// 服务器域名或IP$p
原创
993阅读
0评论
0点赞
发布博客于 13 年前

.NET Framework Rootkits

http://www.cgisecurity.net/2008/11/net-framework-r.html "The paper introduces a new method that enables an attacker to change the.NET language, and to hide malicious code inside its core.
原创
959阅读
0评论
0点赞
发布博客于 13 年前

Reversing MFC App Modified(通用 查找MFC消息事件

 Reversing MFC App Modified(通用 查找MFC消息事件)     Ive read Externalists article (Reversing MFC Applications) about searching for Button Event of any MFC applications and gained a lot yesterday.This 
原创
1204阅读
0评论
0点赞
发布博客于 13 年前

N种内核注入DLL的思路及实现

Author :  sudami  [sudami@163.com]Time  :  01-11-2008Links  :  http://hi.baidu.com/sudami     内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么不能干?”。是啊,要是内核中可以做包括R3上所有能做的事
原创
1568阅读
0评论
0点赞
发布博客于 13 年前

MS08-066 Microsoft Ancillary Function Driver Elevation of Privilege exploit

 from http://hi.baidu.com/vessial这个漏洞跟MS08-025类似,由于ProbeForWrite对0字节长度地址不作检测,造成可以写任何地址,SWI已经对此作了比较详细的说明,大家可以看这儿http://blogs.technet.com/swi/archive...mode-data.aspx简单描述这个漏洞PAGE:000174C3 ; int __stdc
原创
1051阅读
0评论
0点赞
发布博客于 13 年前

构造无人之境: Exploiting Realtek RTL8139单芯片以太网控制器

  构造无人之境: Exploiting Realtek RTL8139单芯片以太网控制器作者:Azy (hi.baidu.com/azy0922)完成:2008-10-22     优良的rootkit(以下简写为rk)通常应该具备隐蔽稳定的通信功能。正如优秀的程序员一直追求用最简洁的代码完成功能需求一样,优秀的rk coder也一直秉承着绝不在rk中加入过多无用的远程命令,让rk尽量回
原创
1478阅读
0评论
1点赞
发布博客于 13 年前

MS08-067漏洞分析

 by diyhack 前天看到微软紧急发布了一个漏洞补丁,就去看了下,发现该漏洞影响覆盖面非常广,包括Windows 2000/XP/2003/Vista/2008的各个版本,甚至还包括测试阶段的Windows 7 Pre-Beta,并且漏洞存在于Windows系统默认开启的Server服务当中,而且超越了当年风靡一时的MS06-040漏洞(又想起当年用该漏洞。。。。。。。嘿嘿)。这也难
原创
3434阅读
0评论
0点赞
发布博客于 13 年前

全面解析恶意软件 从rootkit到bootkit

 作者: Noah Schiffman,  出处:TechTarget,  如今最致命类型的恶意代码就是"Rootkit" ,这种恶意可以获得"root"权限,并部署恶意程序的可执行的软件包,Rootkit是如何危害用户的呢……  【IT专家网独家】可以说,如今最复杂,最致命类型的恶意代码就是"Rootkit" 。顾名思义,这种恶意可以获得"root"权限,在unix系统中最高
原创
1575阅读
1评论
0点赞
发布博客于 13 年前

Trojan exploiting MS08-067 RPC vulnerability

There are reports emerging Friday morning of a new Trojan exploiting the MS08-067 RPC vulnerability in Windows that Microsoft patched with an emergency fix yesterday. Known as Gimmiv.A, the Trojan pro
原创
875阅读
0评论
0点赞
发布博客于 13 年前

More detail about MS08-067, the out-of-band netapi32.dll security update

 Today Microsoft released a security update that fixes a remote code execution vulnerability in the Windows Server Service. This is a serious vulnerability and we have seen targeted attacks using th
原创
1188阅读
0评论
0点赞
发布博客于 13 年前

Microsoft Security Bulletin MS08-067 – Critical

  Summary This security update resolves a privately reported vulnerability in the Server service. The vulnerability could allow remote code execution if an affected system received a specially crafted
原创
1007阅读
0评论
0点赞
发布博客于 13 年前

Linux Kernel PRCTL Core Dump Handling本地溢出代码

 有漏洞的内核:(Kernel 2.6.x  (>= 2.6.13 && 代码如下:/*****************************************************//* Local r00t Exploit for:                           *//* Linux Kernel PRCTL Core Dump Handling       
原创
825阅读
0评论
0点赞
发布博客于 13 年前

linux command line reference

 This is a linux command line reference for common operations.Examples marked with • are valid/safe to paste without modification into a terminal, soyou may want to keep a terminal window open
原创
1296阅读
0评论
0点赞
发布博客于 13 年前

Linux系统信息查看命令大全

 系统# uname -a # 查看内核/操作系统/CPU信息# head -n 1 /etc/issue # 查看操作系统版本# cat /proc/cpuinfo # 查看CPU信息# hostname # 查看计算机名# lspci -tv # 列出所有PCI设备# lsusb -tv # 列出所有USB设备# lsmod # 列出加载的内核模块# env # 查看环境变量资源# free
原创
820阅读
0评论
0点赞
发布博客于 13 年前

Solaris 9 [UltraSPARC] sadmind Remote Root Exploit

 #!/usr/bin/perl# holygrail2 ##---------------------------------------------------------------------------------## SunOS 5.9
原创
786阅读
0评论
0点赞
发布博客于 13 年前

Token Kidnapping Windows 2008 PoC exploit

Now its time for Windows 2008 exploit (it should work on Windows 2003 too) You will see that the super secure IIS 7 can be owned, too weak by default :) You can find the PoC exploit here http://www
原创
797阅读
0评论
0点赞
发布博客于 13 年前

大型门户网站的cdn部署

 http://www.cnblogs.com/analyzer/archive/2008/02/05/1064742.html新浪采用了ChinaCache做的CDN系统,ChinaCache在全国分布了四十多个点,同时采用基于动态DNS分配的全球服务器负载均衡技术。  从新浪的站点结构可以看出:  > www.sina.com.cn  Server: UnKnown
原创
952阅读
0评论
0点赞
发布博客于 13 年前

多服务器群集和负载均衡方案

 系统采用三层结构来实现负载均衡:        网络层次结构1. 外部网层邮件系统网络通过入口负载均衡连接到上层网络或INTERNET网。 2. 负载均衡层负载均衡层主要负责对邮件请求进行负载分担,通过百兆连接前端邮件服务器。负载均衡层定时对相连的邮件服务器进行健康检查,若发现服务不正常的服务器,则记录它的状态,下一次任务将不再指派给这个服务器。负载均衡的方案可采
原创
1159阅读
0评论
0点赞
发布博客于 13 年前

循环复用DNS实现多服务器的负载均衡

 http://forum.eviloctal.com/archiver/tid-19804.html文章作者:王琦  孟昭勇[b]摘  要[/b]  分析了目前常用的负载均衡技术,并以四台服务器的负载均衡为例,介绍了利用循环复用DNS实现负载均衡的方法。[b]关键词[/b]  负载均衡      DNS      循环复用         1  概述      企业知名度增加,网站访问量逐渐
原创
1501阅读
0评论
0点赞
发布博客于 13 年前

美国骇客年会(Black Hat 2008) 观察:第二天

 说真的如果不是要来 Black Hat / DEFCON,我是绝对不会想到这边来的。我去过不少城市,但是了解我的人应该都知道,这边除了骇客年会,还真没有东西可以吸引我。 今天的 keynote 是美国政府资安界的当红新人炸子鸡 Rod Beckstrom,大家都来看他的风采。Rod 是我们营运长 Matt 的 Stanford MBA 学长,也是一位有名的创业家,他之前以 twiki 作
原创
1428阅读
0评论
0点赞
发布博客于 13 年前

Black Hat 2008 观察第一天

 编者按:全球瞩目的信息安全会议Black Hat USA 2008上周在美国拉斯维加斯开幕,众多的安全厂商和独立安全研究人员都在会上发表了自己最新的研究成果。作为亲身经历的Wayne,将自己的所见、所闻、所想与大家分享。会场就在我住的旅馆的对面,但是还是很早起床,因为每天都很忙,除了听一些 talk 还有很多人要碰。今天天气很好,有太阳时才发现我房间看出去的view还不错:screen.widt
原创
1253阅读
0评论
0点赞
发布博客于 13 年前

Virtual Honeypots

 Niels Provos 和Thorsten Holz在他们的新书Virtual Honeypots(虚拟蜜罐)中告诉我们,一个Honeypot实际上就是监测我们会受到威胁的资源。   蜜罐能够获得非法使用的信息,网络攻击和检查到不为人熟知的缺陷。最近有一种新的蜜罐模式叫做虚拟蜜罐(Virtual Honeypots),它是在虚拟的环境中运行的,譬如说VMware。   以下就是与Network
原创
772阅读
0评论
0点赞
发布博客于 13 年前

如何使用Linux LiveCD评估系统的安全性

 您希望不用经过冗长的安装和配置过程就可以实现对Linux系统安全性的评估吗?在本文中我们会介绍 4 个包: Auditor、Whoppix、Knoppix-STD 和 PHLAK,采用这些包之后,您就可以利用 LiveCD 了。 真正安全的系统只能关机断电,放到一个混凝土浇注的建筑物中的一个密闭的房间中,并配备警力进行守卫。 我们很多人都没有把自己的系统安全性挖掘至极至,那么我们应该如何来评
原创
1402阅读
1评论
0点赞
发布博客于 13 年前

搭建一个Windows下的蜜罐系统

 搭建一个基于*nix系统的蜜罐网络相对说来需要比较多系统维护和网络安全知识的基础,但是做一个windows系统的蜜罐(下面简称winpot)的门槛就比较低,而且大部分朋友都会M$的select & click :),今天我们就一起尝试搭建一个windows下的蜜罐系统 由于win和*nix系统不一样,我们很难使用有效的工具来完整的追踪入侵者的行为,因为win下有各式各样的远程管理软件(VNC,r
原创
3860阅读
0评论
2点赞
发布博客于 13 年前

蜜罐&蜜网_Hack hell(概述)

 关键字: 密罐  蜜网   本文将通过solairs10操作系统与windowns操作系统来完成一次蜜罐的架设过程,使用到两种工具分别为Honeypot和VMware。前置说明,本文可能比较的理论化,将设计到蜜罐,蜜网,资源,成本,黑客等方面技术!第一部分:什么是蜜罐:蜜罐( Honeypot) 是一种专门设计成被扫描、攻击和入侵的网络资源. 它的目的就是建立一个诱骗环境吸引攻击者和入侵者,
原创
2803阅读
0评论
0点赞
发布博客于 13 年前