- 博客(34)
- 资源 (6)
- 收藏
- 关注
转载 Microsoft Windows XP/2003/Vista memory corruption 0day
Since its already wide spread on the public forums and exploit ispublished on multiple sites and there is no way to stop it, I thinkits time to alert lists about this.On the one of Russian forums:
2006-12-23 17:50:00 942
转载 最新vista漏洞Microsoft Windows csrss (?) memory corruption exploited in-the-wild
Dear Secure@microsoft.com, On one of Russian forum security vulnerability is discussed in Microsoft Windows (Windows XP is tested). A vulnerability is caused by memory corruption is stri
2006-12-23 17:45:00 1001
转载 Detecting Windows NT/2K process execution
Download source files - 33 Kb Abstract Intercepting and tracing process execution is a very useful mechanism for implementing NT Task Manager-like applications and systems that require
2006-12-21 17:00:00 1050
转载 Different ways to install kernel hooks under Windows NT based systems
1. Via installing a standard device driverCalling the CreateService API with the service type parameter set to SERVICE_KERNEL_DRIVER makes the driver to be installed into the kernel. The Service Contr
2006-12-21 10:24:00 1727
转载 VC下发布的Release版程序的异常捕捉
寻找Release版程发生异常退出的地方比Debug版麻烦得多。发生异常的时候windows通常会弹出一个错误对话框,点击详细信息,我们能获得出错的地址和大概的出错信息,然后可以用以下办法分析我们的程序。 一. 用MAP文件定位异常代码位置。 1. 如何生成map文件 打开“Project →Project Settings”,选择 C/C+
2006-12-21 08:32:00 1447
转载 亲密接触VC6.0编译器
大家可能一直在用VC开发软件,但是对于这个编译器却未必很了解。原因是多方面的。大多数情况下,我们只停留在“使用”它,而不会想去“了解”它。因为它只是一个工具,我们宁可把更多的精力放在C++语言和软件设计上。我们习惯于这样一种“模式”:建立一个项目,然后写代码,然后编译,反反复复调试。但是,所谓:“公欲善其事,必先利其器”。如果我们精于VC开发环境,我们是不是能够做得更加游刃有余呢? 闲话少说
2006-12-21 08:29:00 1203
转载 2003蠕虫王反汇编代码
;SAPPHIRE WORM CODE DISASSEMBLED;eEye Digital Security: January 25, 2003 push 42B0C9DCh ; [RET] sqlsort.dll -> jmp esp mov eax, 1010101h ; Reconstruct session, a
2006-12-20 17:06:00 1807
转载 黑客反汇编高速入门
by sinox直到最近看了一本win32汇编书籍,他里面说可以把vc程序反汇编,获得汇编程序。如果随便用ida反汇编,如过没有把原程序和汇编放在一起,那么仍然没有收获。我按照说明操作了终于得到原程序和汇编放在一起的文件,就像在调试状态一样,每个c语言程序对应一个扩展名叫.cod文件.用它来学习真是大爽,天书变成可破解的代码!具体做法是打开vc项目,选择菜单project->setting
2006-12-20 11:20:00 3080 1
转载 Win32.LostLove 病毒分析及清除
1、LostLove病毒,该病毒的特征是感染扩展名为EXE和SCR的Windows的PE文件,文件长度增加1186字节。病毒发作时会查找C—Z盘所有符合条件的文件,并将其感染,同时会打开 http://www.wx-packs.com/lx/boy/boyhacker.htm页面,不会造成其他的破坏。2、感染数据以被感染的 C:/WINDOWS/CALC.EXE 为例,正常为94,208字节,感染
2006-12-20 11:10:00 1479
转载 Win2k病毒Demo
;*********************************************************************;* *;* The program information
2006-12-20 11:05:00 1354
转载 使用远程线程制作不死进程
远程线程指把当前进程部分代码注入到其他进程做为线程执行,虽然钩子程序能挂钩其他程序的消息,但钩子程序退出,注入的dll也就退出了,而远程线程不会 随着本地进程退出而结束。而且可以处理更多的事情,而不局限于消息。由于98不支持所以只能在nt内核上运行,下面是制作远程线程需要使用的api。获取进程句柄方法之一是使用GetWindowThreadProcessId函数,这个函数可以从一个窗口句柄获得创建
2006-12-14 17:16:00 1100
转载 Windows NT File System Internals》学习笔记之物理内存管理简介
from fengcaho页帧和页帧数据库NT VMM必须管理系统内可用的物理内存。VMM使用的方法和现代商用操作系统中使用的方法类似。 NT VMM将可用的RAM划分为固定尺寸的页帧。页帧的大小可以从4K~64K。在Intel X86结构上,页尺寸为4K。每一个页桢都在页帧数据库(PFN Database)中有相应的入口项。页帧数据库在非分页内存池中,它是一个页帧入口数组。PFN
2006-12-14 17:15:00 2536
转载 Windows NT FileSystem Internals》学习笔记之IO_STACK_LOCATION的结构
by fengcahoNTDDK定义的Stack Location结构体由以下几个字段组成:MajorFunction:该字段定义了一个函数功能集,内核模式驱动可以实现其中的每一个函数。每一个函数由一个函数代码对应。当内核模式驱动接收到一个IRP时,驱动首先检查当前StackLocation中的MajorFunction字段,得出驱动将要执行的功能,可能的MajorFu
2006-12-14 17:13:00 2280
原创 Windows NT FileSystem Internals》学习笔记之Complete IRP
by fengcaho以为完成IRP的处理仅仅是简单的调用一下IoCompleteRequest()函数而已,内部的代码应该很简单。阅读了Win2K源代码才发现,事情并不简单啊,呵呵,再一次发现Win2K源代码的价值了。驱动必须调用IoCompleteRequest()通知I/O管理器相应的IRP已经处理完毕。IoCompleteRequest函数的处理过程如下(对应着Win2
2006-12-14 17:10:00 3130
转载 驱动开发之二:尝试挂接file system
hookfilesystem.c 代码 //尝试挂接file system #include "Hookfilesystem.h" HANDLE hFileHand
2006-12-14 17:08:00 2110
转载 API Spying Techniques for Windows 9x, NT and 2000
Yariv Kaplan API spying utilities are among the most powerful tools for exploring the inner structure of applications and operating systems. Unfortunately, neither the SDK nor the DDK provide any do
2006-12-14 17:03:00 1520
转载 Careless BugCheck
from jonh lancarelessly, a bugcheck occured when i was debugging Windows Server 2003 in VMWare.Opened log file d:/bugcheck.log kd> !analyze -v ****************************************************
2006-12-14 17:01:00 1815
转载 NDIS Debugging Tips 0x02 What's the system routine used to flush DMA cache of Windows?
by jonh lan: http://www.microsoft.com/whdc/driver/kernel/dma.mspx host a very good article interpreting NT DMA model,during the digesting process, I got a question, whats the system routine used
2006-12-14 16:55:00 1176
原创 NDIS Debugging Tips 0x01 how ndis miniport connect its ISR to system ?
kd> !idtDumping IDT:37: 80a6e030 hal!PicSpuriousService373d: 80a6f2d4 hal!HalpApcInterrupt41: 80a6f128 hal!HalpDispatchInterrupt50: 80a6e108 hal!HalpApicRebootService51: 810ecdd4 serial!SerialCIsr
2006-12-14 16:53:00 1955
原创 [Please don't DEP me, Sir] 0x00 The First Peer Inside DEP (Data Execution Prevention)
from john lan[Note] All the stuff of this series are experimented in Windows Server 2003 Standard Edition with SP1[[Note] All the stuff of this series are about software only DEP feature, not for
2006-12-14 16:49:00 1243
转载 SEH (Structured Exception Handling) Security Changes in XPSP2 and 2003 SP1
from eeyeIf youre reading this, hopefully you already know why abusing Structured Exception Handling, or SEH, is extremely interesting for Windows exploit writers. As a quick summary, SEH can provi
2006-12-14 16:22:00 2516
转载 KernelMode Callback UserMode
a snapshot of usrer mode call kernel mode, then kernel mode callback to usermode, then user mode call kernel mode again, some malware use K callback U trick to inject code to target process address sp
2006-12-14 16:21:00 2182
原创 停止ICS防火墙
现在越来越多的服务器用的是ICS防火墙,配合ipsec来管理远程登陆和端口安全搞的真是要天下无黑了很多服务器直接打下来却连不上3389,仔细分析完也没找到什么防火墙或者新鲜软件,ipsec服务关闭以后也没效果。着实郁闷了一翻想一想就是自带ICS搞的鬼吧服务中显示:Windows Firewall/Internet Connection Sharing (ICS)我们可以用net stop "Win
2006-12-14 16:10:00 1207
转载 Metasploit的使用测试
以 MS06-040 為例,測試 Metasploit v2.6以 MS06-040 為例,測試 Metasploit v2.6。 安裝完 v2.6 後,於目錄下執行 msfupdate.bat,來 update exploits。 接下來執行 MSFConsole/msfconsole.bat, msf > show exploits #列出所有的 exploits msf > use ne
2006-12-14 16:08:00 1573
原创 Microsoft Word Document Code Execution Proof of Concept
=====The file I have attached is a very basic two stage bug. stage 1 (thefirst mod) forces the code down a wrong path. the second mod byitsself is harmless, however when used with the first it wi
2006-12-14 15:57:00 933
转载 因为Google code search,Web从来没有这么不安全过!!!
译文:被Google Labs称呼为"Google code search(http://www.google.com/codesearch)"的服务已经悄悄的进入了开放源代码的Web,这意味着开发文档和漏洞跟踪(原文:bug track)数据库几乎失去了作用.事实上在大多时候,开发人员对开放源代码库进行维护都尽量避免重新造轮子的工作.像phpBB这类的程序几乎50%的代码都是开发人
2006-12-14 15:34:00 1695
转载 12月最新Windows Live邮箱注册漏洞及分析
12月最新Windows Live邮箱注册漏洞及分析 从2006年6月18日@live邮箱爆出注册漏洞开始,其实微
2006-12-13 09:59:00 2989
原创 核心态加载驱动和本地应用
Loading drivers and Native applications from kernel mode, without touching registry By: vipinkumar You are Responsible for everything.Also,if you develop something off this,you should give credit to
2006-12-11 11:22:00 2300 1
转载 outpost firewall 的一些技术分析
OmegacmLabs: “Firewalls. Outpost Firewall Pro”Basic aims of this document. Protection features Methods of protection Outpost Firewall Pro from risks are various enough. Main
2006-12-11 11:07:00 1323
转载 Borland传奇拾遗:Borland的第四次转变
惊天的出卖2006 Feb 8是让众多Borland产品特别是IDE产品用户感到紧张和不安的一天,在宣布并购Segue Software公司并得到其著名的测试方面套件Silk系列的同时,Borland CEO Tod Nielsen宣布了将IDE产品线出卖的消息。当然,令人意想不到的发布出卖消息的同时Tod表示还没有明确的出售对象——还没有找到下家就急于宣布出卖消息,这次发布消息的目的就是希望有兴
2006-12-05 17:28:00 3318
转载 携世界级核心技术 瑞星杀毒软件2007版全球发行
,国内最大的信息安全厂商瑞星召开盛大的发布会,隆重推出年度旗舰级新品——“瑞星杀毒软件 2007版”,该产品在全球安全业界首次将商用“虚拟机”技术应用到杀毒引擎中,结合Startup Scan(抢先杀毒)、未知病毒查杀等技术,对“多重加壳”等恶性顽固病毒的查杀能力实现重大突破,整体技术处于世界先进水平.瑞星宣布,2007新品将以中(简、繁)、英、德、日、俄五种语言版本在全球同步发行.瑞星“虚拟机脱
2006-12-05 17:26:00 1602
转载 Microsoft Windows Wkssvc NetrJoinDomain2 Stack Overflow(MS06-070) Exploit
/***************************************************************************Microsoft Windows Wkssvc NetrJoinDomain2 Stack Overflow(MS06-070) Exploitby cocoruder(frankruder_at_hotmail.com),200
2006-12-05 16:26:00 1340
转载 WinRAR buffer overflow
#include "windows.h"/*Exploit buffer overflow for WinRar 3.40-3.60 ( 7-zip module )coded by terminator1990 ( terminator1990@ya.ru )Tested on: WinRar 3.40 EngWinRar 3.41 EngWinRar
2006-12-05 16:19:00 1098
UDP协议可靠传输文件
2011-09-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人