突破主动防御之注册表监控篇

文章作者:xyzreg [E.S.T] 目前主动防御的概念已经深入人心,许多杀毒软件、软件防火以及HIPS都具有了注册表监控功能,防止自启动项以及IE相关键值被修改,对防范病毒木马以及流氓软件等恶意程序起到了不小的作用。但是现有的注册表监控并非无懈可击,我们仍然可以绕过注册表监控修改注册表。   ...

2007-03-29 11:36:00

阅读数:1045

评论数:0

全球IT业最具影响力100人

日前, 美国著名IT杂志《eWeek》评选出了 "全球IT业最具影响力100人" 榜单, Google两位创始人列位第一, 微软CEO鲍尔默及苹果公司创始人乔布斯分别列第五和第六位, 中国仅李彦宏一人入围, 列第56位.  “全球IT业最具影响力100人”名单:  1 谢尔盖-...

2007-03-29 08:59:00

阅读数:2161

评论数:0

Microsoft DNS Server (Dynamic DNS Updates) Remote Exploit

 /*Exploiting Microsoft DNS Dynamic Updates for Fun and profitAndres Tarasco Acu

2007-03-28 10:19:00

阅读数:747

评论数:0

MS Internet Explorer Recordset Double Free Memory Exploit (MS07-009)

<!--**********************************************************************************Microsoft Internet Explorer ADODB.Recordset Double Free Memo...

2007-03-28 10:01:00

阅读数:785

评论数:0

DebugVista的一般步骤

在Vista系统中以管理员身份运行Cmd.exe1,将当前的配置作一个Copybcdedit /copy {current} /d DebugEntry执行本命令后,Bcdedit会显示新的DebugEntry的GUID2,开启DebugEntry的调试设置bcdedit /debug {Debu...

2007-03-21 11:51:00

阅读数:1555

评论数:1

PE资源分析

PE资源分析_备忘(假设文件以Image形式影射):1,得到IMAGE_NT_HEADERS2,得到第一个Section ==>pSection=IMAGE_FIRST_SECTION(pNtHeader);3,得到.rsrc ==> pResSection++; where pRes...

2007-03-21 11:49:00

阅读数:1094

评论数:0

NMFilter.sys(4.3.2.2485)逆向源代码

////////////////////////////////////////////////////// NMFilter.sys(4.3.2.2485)逆向源代码。// Reverse by 张敏,sczhangmin@163.com。// 在vc2003+ddk下编译通过,未调试验证,仅供...

2007-03-21 11:43:00

阅读数:1759

评论数:0

SSDT Hook的妙用-对抗ring0 inline hook

 转载】SSDT Hook的妙用-对抗ring0 inline hook作 者: 堕落天才时 间: 2007-03-10,15:18链 接: http://bbs.pediy.com/showthread.php?threadid=40832****************************...

2007-03-21 11:35:00

阅读数:1657

评论数:0

脱壳高级篇之认识Import表

、认识Import表 著者: [yAtEs] [Jamesluton@hotmail.com]  译者:hying[CCG]  标题:PE输入表说明  例子:  下载      有很多介绍PE文件的文章,但是我打算写一篇关于输入表的文章,因为它对于破解很有用。      我想解释它的最好的方法是举...

2007-03-21 10:02:00

阅读数:807

评论数:0

浅谈程序脱壳后的优化

ttp://bbs.pediy.com//showthread.php?threadid=28402标 题: 【原创】浅谈程序脱壳后的优化作 者: CCDebuger时 间: 2006-07-03,22:52链 接: http://bbs.pediy.com/showthread.php?thre...

2007-03-21 10:01:00

阅读数:1113

评论数:0

扩充PE文件功能

作者:rhett       扩充PE文件功能的方法大概有以下几种:  1 直接在PE中添加代码 ;这个实现起来比较难,要像病毒一样实现感染和自定位,而且添加的代码比较少, 因为都需要用汇编实现,编写复杂功能代码本身就是很累的事;  2 添加Dll,扩充功能的代码在Dll中实现。这样做有很多优点。...

2007-03-21 09:59:00

阅读数:921

评论数:0

免杀必备-花指令

【深层】伪装 PEtite 2.2 -> Ian Luck 汇编代码:============================伪装代码部分:============================...

2007-03-21 09:58:00

阅读数:1047

评论数:0

终级免杀之PcShare Vs KV2006

终级免杀之PcShare Vs KV2006:含驱动的特征码修改(简单版)1、  驱动程序PcHide.SYS的修改先来修改驱动的文件特征码吧。第一步是用CCL确定其特征码位置,CCL的使用过程就不再赘述了,直接用自动定位功能,检测大小为10,检测范围为text既代码段。直接看定位结果如下:000...

2007-03-21 09:56:00

阅读数:1116

评论数:0

对Rav2005中HOOK的初步分析

对Rav2005中HOOK的初步分析    MicrosoftCTO   昨天升级了一下RAV2004。本以为很快就完,但升级程序却拖了近一个小时。启动后发现,RAV已经被升级到了2005。这事本应该就这么完了,但恰巧我对各种软件的内存占用非常敏感,弄了个empty.exe放在bat里,定期清理一...

2007-03-21 09:55:00

阅读数:1765

评论数:0

peid逆向记录

【文章标题】: peid逆向记录【文章作者】: layper【作者邮箱】: layper2002@yahoo.com.cn【作者主页】: www.sy135.com【下载地址】: 自己搜索下载【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!-------------------...

2007-03-21 09:51:00

阅读数:3572

评论数:0

利用 Debug API 编写一个简单的脱壳机

 者: 一块三毛钱邮件: zhongts@163.com日期: 2005.2.22脱壳的一般步骤是:查找入口点,中断在入口点,dump 进程,修复输入表。大家一般借助调试器来完成这几步。下面我就来介绍如何通过编程实现一个简单的脱壳机,自动完成上面的几个步骤。1. 查找入口点查找入口点可以利用现有的...

2007-03-21 09:50:00

阅读数:976

评论数:0

一款木马的分析

 by nbw4 NE365  为了配合kanxue老大倡议的多发文,加上近来有些乏,找个别的东西分析一下耍耍。随便从网上下了个木马生成器,是个所谓的下载者,就是Downloader。  名字叫什么 木马基地八一极限下载者,木马么,都喜欢搞得比较牛的样子,其实都比较龌龊,技术和人品一样龌龊。   ...

2007-03-21 09:49:00

阅读数:895

评论数:1

黑客组织激活Windows Vista全程揭秘

[广告]: UnPacKcN 祝福大家2007人生如意!标题: 强文一篇:黑客组织激活Windows Vista全程揭秘 发表于: 2007-3-2 04:47 非常长,非常经典的一篇文章.全球最大的黑客组织Defcon的发起...

2007-03-21 09:28:00

阅读数:1512

评论数:0

扭曲变换加密

作者:刘涛涛 me@liutaotao.com网址:http://liutaotao.com/nqby.txt一,一般来讲,加密就是加壳我们经常考虑,一个可执行文件,怎么样加密才能安全呢?一般用的手段,是加壳。加壳工具的工作原理,就是把可执行文件的代码与数据都进行加密变换,作为数据存放。生成的目标...

2007-03-21 09:16:00

阅读数:3586

评论数:1

360最新cnnic专杀工具-360SuperKill“破冰”技术逆向分析

 破冰技术简介(新闻里看到的): CODE:[Copy to clipboard]破冰(Kill Defence)”技术最大的改进在于,以前的一些查杀技术是在恶意软件释放驱动之前,占住驱动的位置,但是如果恶意软件改变释放的驱动或者将位置提前,这种技术就很难奏效了,这也是为什么现在的许多恶意软件清除...

2007-03-21 09:14:00

阅读数:4613

评论数:2

提示
确定要删除当前文章?
取消 删除
关闭
关闭