- 博客(44)
- 资源 (6)
- 收藏
- 关注
原创 Rootkits to target BIOS soon?
At the recent Black Hat Federal Briefings, a presentation was given, which proposes that rootkits may soon attack the BIOS of a compromised system, via the ACPI subsystem, which intention is to provid
2006-01-30 21:39:00 1317
原创 WMF漏洞是微软故意设置的后门吗?
Subject: Re: You wont want to miss tonights Security Now!, #22 Date: Thu, 12 Jan 2006 18:46:56 -0800
2006-01-17 13:35:00 1533
原创 [NT] Windows Embedded Open Type (EOT) Font Heap Overflow
Windows Embedded Open Type (EOT) Font Heap Overflow------------------------------------------------------------------------SUMMARYMicrosoft Embedded OpenType Font Engine "t2embed" is "designed to cre
2006-01-17 13:30:00 1423
原创 快忍受不了这个blog了!!
十分不好使用,现在摘要都没有了,乱成一团, 而且极度难看, 不定时无法访问,不知道csdn负责blog是什么人!!我晕!
2006-01-17 05:28:00 1159
原创 Windows rootkits in 2005
Windows rootkits in 2005, part oneJames Butler, Sherri Sparks 2005-11-04In 2005, the bar has been raised in the arena of malicious software. This has never before been more evident than in the recent
2006-01-17 04:49:00 1377
转载 绕过防火墙的反向连接报警
Author: PolymorphoursEmail: Polymorphours@whitecell.orgHomepage:http://www.whitecell.org Date: 2005-11-17 /* Author: Polymorphours Date: 200
2006-01-17 04:32:00 1256
转载 对抗杀毒软件的内存扫描
Author: PolymorphoursEmail: Polymorphours@whitecell.orgHomepage:http://www.whitecell.org Date: 2005-11-17 /*++ Author: Polymorphours Da
2006-01-17 04:31:00 2009
原创 WINDOWS 2K Dll 加载过程
jefong by 2005/03/30这片文章是我在阅读完MSJ September 1999 Under the Hood后的总结。在windows中exe可执行程序运行时都会调用一些DLL,例如KERNEL32.DLL和USER32.DLL等系统的dll。但是dll是怎么被加载的呢?通常,大家都知道在编写dll时会有一个DLLMain的入口函数,但是实际上这个函数并不是调用dll时最先的工作
2006-01-17 04:25:00 2014
原创 FAKE PROTOCOL NDIS hook 支持拨号的选项
NDIS 支持拨号的选项几年前写 NDIS HOOK,为了支持 NT 4 与 WIN 2K 的拨号定义的一些结构。当时采用的是 FAKE PROTOCOL 方式, 除了一些拨号声明外其他都一样。//Win2K dial network handlerWAN_RECEIVE_HANDLER g_h2KWanReceive ;RECEIVE_PACKET_HANDLER
2006-01-17 04:22:00 1426
原创 向其他进程注入代码的三种方法
原版地址:http://www.codeproject.com/threads/winspy.asp?df=100&forumid=16291&select=1025152&msg=1025152下载整个压缩包下载WinSpy作者:Robert Kuster摘要:如何向其他线程的地址空间中注入代码并在这个线程的上下文中执行之。目录:●导言●Windows 钩子(Hooks)●CreateRemot
2006-01-13 11:16:00 2289
原创 inject的讨论
Now Aphex made a hooking unit(afxCodeHook) in delphi but sadly it only works on NT systems. I can inject the library fine in win9x using elicz elirt library. But actually writing to the import addre
2006-01-13 02:07:00 1959 1
原创 afx good code
madprogram Project1;{$APPTYPE CONSOLE}- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -{
2006-01-13 01:48:00 1509
原创 通过 PEB 改变进程名,实现“穿透”防火墙
PEB(Process Environment Block)——进程环境块,存放进程信息,每个进程都有自己的 PEB 信息。在 Win 2000 下,进程环境块的地址对于每个进程来说是固定的,在 0x7FFDF000 处,这是用户区内存,所以程序能够直接访问。准确的 PEB 地址应从系统的 EPROCESS 结构的 1b0H 偏移处获得,但由于 EPROCESS 在进程的核心内存区,所以程序不能直
2006-01-12 18:10:00 2020
原创 WINDOWS2003 查密码软件findpass2003.exe源程序
WINDOWS2003 查密码软件findpass2003.exe源程序//******************************************************************************** // Version: V1.0 // Coder: WinEggDrop // Date Release: 12/15/2004 // Purpose: To
2006-01-12 18:09:00 2558
原创 利用DelayLoad来优化应用程序的性能.拦截API.
创建时间:2001-06-22文章属性:转载文章来源:http://snake12.top263.net文章提交:stardust (bugmail_at_telekbird.com.cn)中文翻译 by snake 在 1998年12月的MSJ出版刊物中, Jeffrey和我写了关于 在 vc6中使用DelayLoad 功能的专栏.最终结果,是证明了它是多么cool.但是,不幸的是,还有很
2006-01-12 17:57:00 1274
原创 Change exe code
it can be done but not easily, but not with one app, you will need two at least on windows. the windows loader prevents direct modification of the image...heres an outline of the loader process0) cre
2006-01-12 16:50:00 2288
原创 DYNINST EXAMPLE
DYNINST EXAMPLEThe following example shows a set of three snippets of code that can be inserted into an application program to record the byte count of messages sent by the foo function (or any functi
2006-01-12 16:49:00 1938 1
原创 Analysis of a win32 Userland Rootkit
SummaryA rootkit is a program designed to control the behavior of a given machine. This is often used to hide the illegitimate presence of a backdoor and others such tools. It acts by denying the list
2006-01-12 16:43:00 4393 1
原创 Hacker defender - 中文使用说明
======================[ Hacker defender - 中文使用说明 ]====================== NT Rootkit ---------- Authors: Holy_Father
2006-01-10 04:18:00 3509 1
原创 在NT系列操作系统里让自己“消失”
1. 内容 2. 介绍 3. 文件 3.1 NtQueryDirectoryFile 3.2 NtVdmControl 4. 进程 5. 注册表 5.1 NtEnumerateKey 5.2 NtEnumerateValueKey 6. 系统服务和驱动 7. 挂钩和扩展 7.1 权限 7.2 全局挂钩 7.3 新进程 7.4 DLL 8. 内存 9. 句柄 9.
2006-01-10 04:13:00 1448
原创 Hooking Windows NT System Services
WINDOWS NT SYSTEM SERVICESWindows NT has been designed with several design goals in mind. Support for multiple (popular) APIs, extensibility, isolation of various APIs from each other, and security ar
2006-01-10 04:00:00 1208
原创 使用windows系统调用编写shellcode
原创翻译]使用windows系统调用编写shellcode原文作者:Piotr Bania 原文出处:http://securityfocus.com/infocus/1844/1翻译作者:无敌最寂寞本文来源:邪恶八进制信息安全团队使用windows系统调用编写shellcode简介写此文的用意,是想让大家知道在windows系统下我们完全可以写出不依赖于标准API调用的shellcode。当然,
2006-01-10 03:58:00 1808
原创 剖析Windows系统服务调用机制
发布日期:2004-05-08文摘内容: 文摘出处:http://www.xfocus.net/articles/200405/696.html创建时间:2004-05-06文章属性:原创文章提交:Brief (brief_at_safechina.net)剖析Windows系统服务调用机制Author: BriefE-Mail: Brief#fz5fz.orgHomepage: http://w
2006-01-10 03:54:00 1124
原创 3721驻留机制简单研究
转载]3721驻留机制简单研究Quaful@水木清华简单研究了一下3721的机制,写在这里,作为心得笔记吧。大部分收获都来自Softice + 反汇编,不一定适用于某些版本。1. CnsMin.dll的驻留方式3721的核心文件:CnsMin.dll通常存在于/Downloaded Program Files下。通过注册表Run键值加载:Rundll32 /CnsMin.dll, Rundll32
2006-01-10 03:15:00 902
原创 hooksys
Introduction Intercepting Win32 API calls has always been a challenging subject among most of the Windows developers and I have to admit, its been one of my favorite topics. The term Hooking represen
2006-01-10 03:10:00 1451
原创 怎么拦截系统函数
主 题: 怎么拦截系统函数?(超高度难题!) 在Dos下,我们可以拦截中断,用自己的处理替换系统中断,然后调用原来的中断,在Windows中,没有了中断,只有函数,那么我们如何来拦截系统的函数,然后我们的函数又调用原来的系统函数呢?比如说系统有一个GetSystemDirectory()函数,我想用我自己的函数替换它,经过我的函数MyGetSystemDirectory()进行处理,然
2006-01-10 02:42:00 6336
原创 hook
hook是WINDOWS提供的一种消息处理机制,它使得程序员可以使用子过程来监视系统消息,并在消息到达目标过程前得到处理。下面将介绍WINNDOWS HOOKS并且说明如何在WINDOWS 程序中使用它。关于HOOKS使用HOOK 将会降低系统效率,因为它增加了系统处量消息的工作量。建议在必要时才使用HOOK,并在消息处理完成后立即移去该HOOK。HOOK链WINDOWS提供了几种不同类型的HOO
2006-01-10 02:33:00 1391
原创 如何让你的程序避开全局键盘钩子的监视
一直以来有个疑问,就是如果别人在你的电脑上安装了键盘钩子来监视你的键盘按键动作,我的程序怎么才能避开这些全局键盘钩子(system-wide hook)的监视.正好最近一段时间因为工作关系在研究钩子,顺便研究了一下这个问题,今天算是找到了一个解决办法.解决办法:在我的程序中安装一个局部键盘钩子(thread-specified hook),键盘钩子函数中不调用CallNextHookE
2006-01-10 02:25:00 1514
原创 怎么处理才可以让程序的消息不会被HOOK
屏蔽钩子的方法之一是检查消息的来源,内部增加一个校验机制,如果消息来自本应用程序,则予以响应,否则丢弃。1、从CEdit继承一个子类CPasswordEdit,声明全局变量g_bAuthorIdentity表明消息发送者的身份。BOOL g_bAuthorIdentity;然后相应CPasswordEdit的虚拟函数DefWindowProc,在这个回调函数中进行身份验证:LRESULT CPas
2006-01-10 02:24:00 1506
原创 多路复用I/O支持多Client的实现及效率讨论
1. 引言多路复用I/O模型(select)是UNIX/LINUX用得的最多的一种I/O模型,在Windows下也可做为一种同步I/O使用。本文给出该I/O模型处理多Client的简单(在主线程中)实现。2. 关于selectselect I/O模型是一种异步I/O模型,在单线程中Linux/WinNT默认支持64个客户端套接字。这种I/O模型主要涉及以下几个函数及宏:int select(…)、
2006-01-10 02:20:00 1276
原创 fwb,fwb+,fwb++,fwbp+
the definitions for each technology is:FWB++: it doesnt use a DLL to inject into a process, its the code inject FWB techniqueFWB#: the same as FWB++ but unhooks user level APIs to bypass firewallsFWB+
2006-01-08 18:54:00 1524
原创 纯C代码实现重定位
* 一直都有人说只用C/C++写的代码,在远程线程中重定位很难,我一直怀疑是否纯C代 码真的实现不了重定位.经过二个小时的思考,下面给出一个例子,用纯C代码实现 重定位,进一步说明了一个问题,说某个问题实现不了的时候,你自己是否真的了解 了问题本身! VC++ 6.0 SP5编译通过,WinXP SP2及Win2k SP4调试运行通过 重定位基址后所有的变量和函数都用这样的方式引用: pva
2006-01-08 18:35:00 1969
原创 WIN_SHELLCODE
/*/ ______________________WIN_SHELLCODE__________________________/ :: win32 download & exec shellcode ::/ :: by Darkeagle of Unl0ck Research Team [http://exploiterz.org
2006-01-05 16:09:00 913
原创 Vulnerability in Graphics Rendering Engine Allows Remote Code Execution
The following security advisory is sent to the securiteam mailing list, and can be found at the SecuriTeam web site: http://www.securiteam.com- - promotionThe SecuriTeam alerts list - Free, Accurate,
2006-01-05 16:08:00 1245
原创 Microsoft Windows Shimgvw.dll WMF (Exploit)
Microsoft Windows Shimgvw.dll WMF (Exploit)------------------------------------------------------------------------SUMMARYA vulnerability in the way Microsofts Windows parsers WMF files that allows a
2006-01-05 16:07:00 1369
原创 2005 packetstorm exploit
http://packetstorm.linuxsecurity.com/0512-exploits/2005-exploits.tgz
2006-01-05 16:04:00 878
原创 安全稳定的实现进线程监控
作者:suei8423 (suei8423_at_163.com)出处:http://www.xfocus.net/articles/200503/788.html日期:2005-04-04创建时间:2005-03-24文章属性:原创文章提交:suei8423 (suei8423_at_163.com)安全稳定的实现进线程监控作者:ZwelL 用PsSetCreateProcessNotif
2006-01-05 16:03:00 1542
原创 微软计划于下周发布WMF补丁
如果测试通过,微软将于下一周发布针对其Windows Meta文件漏洞的补丁,这也是微软每月一次安全更新的一部分。不过,网络安全专家认为IT管理者们可能等不到补丁发布就要采取行动了。 “对于那些处于学校背景的IT管理者们来说,补丁发布的时间刚刚好,因为补丁发布的时候,学生们正好刚刚放假回来。” SANS Internet Storm Center (ISC)的管理者Scott Fendley在上
2006-01-05 16:02:00 1079
原创 Windows内核调试器原理浅析
前段时间忽然对内核调试器实现原来发生了兴趣,于是简单分析了一下当前windows下主流内核调试器原理,并模仿原理自己也写了个极其简单的调试器:) WinDBG WinDBG和用户调试器一点很大不同是内核调试器在一台机器上启动,通过串口调试另一个相联系的以Debug方式启动的系统,这个系统可以是虚拟机上的系统,也可以是另一台机器上的系统(这只是微软推荐和实现的方法,其实象SoftICE这类内核调
2006-01-05 16:00:00 1406
UDP协议可靠传输文件
2011-09-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人