自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

转载 调试笔记之雨过天晴多点还原软件MBR实例

 BY SUDAMI 为了能够调试多点还原软件"雨过天晴"的启动代码,目前有2种方式:引用:(1) 在Bochs调试器上装Windows XP系统,然后用Bochs单步调试. 不过光安装操作系统就得花20个小时以上(2) 用Wnhex克隆整个磁盘,配置Bochs的*.bxrc文...

2009-11-19 21:08:00 6552 2

原创 WinXP/2k数字签名状态设置

 DWORD WINAPI SetDriverSign(){    HKEY    hReg;    DWORD    dwLen;    DWORD    dwSeed;    DWORD    hProv;    DWORD    hHash;    DWORD    dwData;    B...

2009-11-11 14:40:00 4508 0

转载 分析了一下360安全卫士的HOOK

by: achillis   分析了一下360的HOOK,通过直接hook KiFastCallEntry实现对所有系统调用的过滤。我分析的版本如下:主程序版本: 6.0.1.1003HookPort.sys版本: 1, 0, 0, 1005HookPort.sys的TimeStamp: 4A8D...

2009-11-10 21:18:00 6924 0

原创 Open Source Vbootkit 2.0 Attack Tool for Windows 7

 http://www.findmysoft.com/news/Open-Source-Vbootkit-2-0-Attack-Tool-for-Windows-7/Windows 7 Release Candidate is now out and available for public do...

2009-11-10 21:17:00 5732 1

原创 An Empirical Study of Real-world Polymorphic Code Injection Attacks

 An Empirical Study of Real-world Polymorphic Code Injection AttacksMichalis PolychronakisFORTH-ICS, Greece, email: mikepo@ics.forth.grKostas G. Anag...

2009-11-10 09:08:00 4624 0

原创 Polymorphic Protector

 Among the large amount of malwares we view, we have seen a few this week that were heavily obfuscated by some sort of "polymorphic packer."...

2009-11-10 08:58:00 3701 0

原创 Make your owner PE Protector

 Preface This article was written to provide the better understanding to people who do not have any experience in this field. I am not going to descr...

2009-11-10 08:40:00 4562 0

原创 PE_Info 之DIY

 自己写的PE 信息查看工具(C代码),不甚完美,希望可以帮助初学PE 的读者从编程的角度认识PE文件,Good Luck!       下面是源代码:/*///////////////////////////////////////////////////////////////////////...

2009-11-10 08:35:00 4282 0

原创 cyclotron's Win32 PE Library

 Pamqara写过一个PELibrary,但自己写的东西毕竟用起来比较顺手,所以自己建了一个简单的library,给写壳提供了一些特别的方便性.时间关系,注释不是很详细,让代码来说话吧,欢迎报告bug和扩充库:);>>>>>>>>>>&...

2009-11-10 08:34:00 3727 0

转载 使用TASM编译COFF格式和连接

 作 者: Anskya看到网络上流传的一份Drocon的mercury的代码程序源码使用TASM32编译使用MASM32来连接...关键的地方就在这里为什么要使用TASM编译。。。正常情况下TASM连接出来的程序代码体积远远大于MASM32连接出来的。。其实具体看一下就不难发现.TASM编译出来...

2009-11-10 08:05:00 3967 0

原创 获取内核ntoskrnl.exe基地址的几种常见办法

 作 者: combojiang如果大家写过shellcode一定还记得,shellcode中开头要找kernel32.dll模块的内存加载地址。同样,如果大家要写一个内核的类似东东的话,第一步也是要找出ntoskrnl.exe模块的内存加载位置。有三种常见办法在这里咱们大体描述下:1。利用ZwQ...

2009-11-09 20:53:00 4311 0

原创 IRP Hook 键盘Logger

 作 者: cogito前天拜读combojiang 的rootkit hook 系列之[五] IRP Hook全家福(原帖:http://bbs.pediy.com/showthread.php?t=60022)之后,决定用文中的第三种方法实现一个KeyLogger。但是combojiang前辈...

2009-11-09 20:51:00 4351 1

原创 玩玩ntfs之新建文件

作 者: ProgmBoyby:ProgrammeBoy http://hi.baidu.com/programmeboy环境:首先新建一个512M的文件.然后用filedisk使用这个文件创建一个volume。然后格式化为ntfs格式。我是按每簇512字节格式化的。目标:在根目录下添加一个名为7...

2009-11-09 20:48:00 3930 0

原创 Ring3下WX方法结束微点2009

 作 者: cogito此法系Hovi.Delphic首发,某日看过之后甚感WS(某牛:“太挫了,太挫了”),于是把原作者的VB代码转成VC,以飨读者。 微点的主动防御没有拦截一些系统进程如csrss.exe, smss,exe, lsass.exe, svchost.exe, services....

2009-11-09 20:44:00 3901 0

转载 完整可编译NT4's NTFS源码(可稳定替换xp原版ntfs.sys

 作 者: weolar时 间: 2009-06-01,08:59·   write by http://hi.baidu.com/weolar/blog大家知道,文件系统在操作系统中应该属于比较独立的一块,只需要提供相应接口给上层使用。Windows的NTFS文件系统也是一样,在实际编程中,Wi...

2009-11-09 20:08:00 3679 0

转载 加密资源节

 作 者: 玩命时 间: 2008-07-10,21:27链 接: http://bbs.pediy.com/showthread.php?t=68262什么是WINDOWS的资源这里就不提了。写过WIN程序的人应该都晓得了。如果没写过,那么。。。建议去写哈。关于加密资源节,也是加壳过程中的一个可...

2009-11-09 20:07:00 3305 0

转载 fs TIB TEB PEB

 作 者: winwang时 间: 2009-10-27,17:19链 接: http://bbs.pediy.com/showthread.php?t=100190在本学院拜读多位大牛的著作,自己整理的一些结构(有点不够完整)....都是用户模式的结构首先感谢看雪提供这么好的学习环境声明:以下内...

2009-11-09 16:41:00 3724 0

转载 软件保护壳技术专题 - 反调试器技术

 作 者: 玩命时 间: 2008-08-21,10:38链 接: http://bbs.pediy.com/showthread.php?t=71113反调试是软件保护壳的最基本的功能之一。反调试方法也是多种多样。通过调用标准的API接口,计算指令时间差。查看当调试器加载后的内存的一些标志,还有...

2009-11-09 16:35:00 4363 0

原创 增加区段的VC嵌汇编代码

// 增加区段.cpp : Defines the entry point for the console application.//#include #include #include bool OpenMyFile(char fileName[]);LPVOID AddSection(LPV...

2009-11-09 16:31:00 3791 0

转载 SMC之抛砖引玉(VC++6.0)

 SMC是什么意思?它的英文名叫“Self Modifying Code”,顾名思义,就是“代码自修改”先来个简单的,来改数据代码:CString cs1,cs2; cs1="123456789"; cs2="abcdefghi"; __asm {   mo...

2009-11-09 16:29:00 1103 0

转载 Asm的魅力(二)

 Author:charmeData:2009.9.4Index:hi.baidu.com/charme000废话:上一篇大牛牛们都说是出力不讨好,呼呼!我还是一贯作风吧:一笑而过。做个简单的类比:开发黑客软件的人笑只会使用软件入侵的菜菜肤浅,如果认可这个挂点的话,那研究asm本身实质的人就应该嘲...

2009-11-09 16:25:00 1055 0

原创 使用RSA1024算法防止软件被Keygen

 作 者: jackozoo时 间: 2009-06-27,10:58链 接: http://bbs.pediy.com/showthread.php?t=92380学习新的知识是一件很令人高兴和满足的事情,但是能和别人分享学习的经验,更令人快乐。由于我是一个菜鸟,所以有很多说不清楚的地方,还希望...

2009-11-09 16:25:00 2878 1

原创 ProbeBypass攻击技术

 作 者: qihoocom时 间: 2009-10-29,22:37链 接: http://bbs.pediy.com/showthread.php?t=100321本文介绍了一种方法,利用很多安全防御软件在进行用户态内存校验时的漏洞,对其保护系统进行攻击,达到绕过保护的目的。这是安全防御软件对...

2009-11-09 16:22:00 1137 0

原创 当我们完全控制CISCO路由器时能够做的事情

 翻译 by mix ---------------------------------||----------------和以前一样,我要申明一下,我不是专业的翻译员-----------------||---------所以我也只能够根据我自己的理解,尽量符合原文意思的进行翻译--------...

2009-03-27 10:54:00 2426 0

原创 Black Hat上演示破解SSL会话截获密码

 网站加密又遭重创:在美国举行的黑客大会上,一位独立的黑客演示了一种可以窃取敏感信息的工具,它能欺骗用户使其以为正在访问一个受加密保护的站点的时候,而实际上却是在访问未加密的网站。本周三在华盛顿举行的黑帽子安全大会上,黑客演示了SSLstrip在公共无线网络、洋葱路由系统以及任何其他可以发动中间人...

2009-03-27 10:53:00 3078 0

原创 SSL加密3389远程桌面连接

 从windows2000 server版本开始微软就将一个名为“远程桌面”的程序集成到操作系统中,通过这个“远程桌面”网络管理员可以在网络的另一端轻松的控制公司的服务器,在上面进行操作,删除程序,运行命令和在本地计算机一样。因此“远程桌面”功能极大的方便了网络管理员的工作,在推出以后受到了越来越...

2009-03-27 10:50:00 1502 0

原创 SSL的工作原理

 6.2  SSL的工作原理SSL的工作原理:当一个使用者在Web上用Netscape浏览器漫游时,浏览器利用HTTP协议与Web服务器沟通。例如,浏览器发出一个HTTP GET命令给服务器,想下载一个首页的HTML档案,而服务器会将档案的内容传送给浏览器来响应。GET这个命令的文字和HTML档案...

2009-03-27 10:49:00 5531 0

原创 安全套接层SSL协议

SSL(Secure Sockets Layer)协议最先是由著名的Netscape公司开发的,现在被广泛用于Internet上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。制定SSL协议的宗旨是为通信双方提供安全可靠的通信协议服务,在通信双方间建立一个传输层安全通道。SSL使用对称加...

2009-03-27 10:47:00 1960 0

转载 從大規模轉址事件看IP spoofing、ARP spoofing、ARP掛馬與路徑(route)安全

 来源:阿碼外傳「優秀的鑒識人員除了要懂得物證的處理外,還要用科學的頭腦來思考。物證雖然能夠提供重要的線索與證據,但是要能解開整個迷局,就需要用頭腦串連所有的物證。在我處理過的六千多個案件中,就遇到單憑一件物證破案的案件」--李昌鈺這次的大規模轉址事件,受到各界關注,我們也寫了兩篇(這裡、這裡) ...

2009-03-27 09:05:00 1314 0

原创 BIOS中隐藏Telnet后门

文章属性:原创文章提交:cheng5103 (cheng_5103_at_126.com)[项目简述]     该项目仅为实验性项目,目的是学习国外技术。该项目主要目的是想隐藏一个Telnet后门在主板的BIOS内,并让其随着计算机系统及操作系统成功的运行起来。运行后能反向Telnet连接到指定的...

2009-03-27 09:03:00 2436 1

原创 知名女黑客曝英特尔CPU漏洞

波兰知名美女黑客Joanna Rutkowska成为安全业内焦点人物,她在博客上发表一篇论文,曝光了一个英特尔CPU的缓存漏洞。而另一位安全研究人员Loic Duflot将在加拿大温哥华举行的CanSecWest安全大会上介绍该漏洞和攻击代码。如果这一漏洞被证实存在,黑客就可利用该漏洞获得对电脑近...

2009-03-24 17:12:00 2009 0

原创 多核处理器的9大关键技术

与单核处理器相比,多核处理器在体系结构、软件、功耗和安全性设计等方面面临着巨大的挑战,但也蕴含着巨大的潜能。   CMP和SMT一样,致力于发掘计算的粗粒度并行性。CMP可以看做是随着大规模集成电路技术的发展,在芯片容量足够大时,就可以将大规模并行处理机结构中的SMP(对称多处理机)或DSM(分布...

2009-03-19 17:31:00 2337 0

原创 CPU级RootKit,目前无药可医

Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。&qu...

2009-03-18 17:37:00 3393 0

原创 Analyzing local privilege escalations in win32k

 mxatone mxatone@gmail.com  Contents Foreword Introduction Win32k design General security implementation KeUsermodeCallback utilization Discovery and...

2009-01-15 09:30:00 3517 0

原创 MS09-001漏洞基本分析

This Black Tuesday (the 13th, no less), Microsoft released the first security patch of 2009. This patch addresses three vulnerabilities in the SRV.SY...

2009-01-15 09:29:00 5887 0

原创 【Windows源码分析】(一)初始化内核与执行体子系统

 作 者: 北极星2003 时 间: 2008-03-22,23:59 链 接: http://bbs.pediy.com/showthread.php?t=61749 对于那么没有相关经验的朋友,在阅读本文时最好对照windows源码来看,否则光看着这么多数据结构就足以头大。对于这篇文章,严格来...

2009-01-08 10:08:00 5098 1

原创 运行程序前执行自己的代码

 作 者: 救世猪 来看雪两年多了,到现在还是个相当菜的菜鸟,只索取,从来没有过回报,因为水平太次,实在是写不出来什么~   这个小程序实际是做毕业设计的时候写的,当时写完之后,没有太大的问题了,就没有再改(能蒙混过关就是目的),里面现在仍然是bug多多。它主要是利用Tls CallBack来实现...

2009-01-08 09:45:00 3888 0

原创 线程调度的监视

 pjf(jfpan20000@sina.com)    接着上次的小话题说。    上次提到因为想要无需硬编码的方案从而未选用SwapContext,后来又想了想用SwapContext也基本不用硬编码,但因为用了其它做法,没有再实现hook SwapContext了。前两天难得放假,写了一下看...

2009-01-08 09:44:00 2920 0

原创 HOOK SwapContext 枚举隐藏进程(学习笔记4)

 作 者: bzhkl 时 间: 2008-12-11,12:01 链 接: http://bbs.pediy.com/showthread.php?t=78464 以前想检测一个被隐藏的进程 后来用暴力枚举的方法解决了 但是HOOK SwapContext没有看到有完整的代码 所以搜集了点网上有...

2009-01-08 09:40:00 3442 0

转载 Icelight驱动部分完整逆向(源代码)

 by achillisIcelight(一线光)是个安全小工具,整体功能比较一般,但自我保护还不错,比较全面吧.前几天不能上网,无聊之中看到Icelight的驱动不大(14k),于是就把它给逆了一下,也是我第一次完整逆一个驱动.驱动中Hook时用了两个反汇编引擎(搞不懂为什么用两个),其中一个是...

2009-01-08 09:36:00 2755 1

提示
确定要删除当前文章?
取消 删除