- 博客(119)
- 资源 (6)
- 收藏
- 关注
原创 PE线程附加
网上此类代码很多,不过大多都是在文件最后增加一个节,并改变PE文件的入口地址来达到目的。(当然这也是最经典的方式!)不过这个方法也有它的不足之处,那就是怕文件头没有地方再新增节表了。所以俺更喜欢把代码插入PE文件的空隙(浪费资源可耻啊!),如果空隙不够的话就增加最后一个节的长度(因为现在很多软件都加了壳,基本上没有什么空隙),呵呵。修改后的PE文件会加载同目录下的Add.dll文件!源代码如下,写
2007-04-28 11:14:00 1334
转载 修改活动进程链来隐藏进程代码
汇编:by zjjm很多贴子都写过如何修改活动进程链来隐藏进程,但大多不说明原因,让别人知其然不知其所以然,今天俺来发个贴子献献丑。大家可能使用过PsGetCurrentProcess函数来获取当前线程的EPROCESS,如果你反汇编这个函数的话,你一定会发现这可能是内核中最简单的一个函数了,只有三行:mov eax, fs:0x00000124;mov eax, [eax + 0x44]
2007-04-28 11:11:00 3247
转载 Int 2Ah - KiGetTickCount
Int 2Ah - KiGetTickCountReWolf^HTBhttp://www.rewolf.prv.plDate: 16.III.2007I. BACKGROUNDEverybody knows that GetTickCount is often used as anti-debug trick,also everybody has patched that function. Th
2007-04-28 10:51:00 1126
转载 Detours within Windows kernel
By: izik I had to do an inline function hooking (aka. Detouring) to accomplish some task. When Ive started looking around for example in rootkits source codes, it turns out no rootkit is actual
2007-04-28 10:47:00 1040
转载 Hooking the IAT of a driver
By: tibbar I thought Id publish something that I wrote in a private project over a year ago - how to hook the import address table of a driver (ring 0).Basically, lots of drivers will use kernel
2007-04-28 10:31:00 969
原创 Ultimate way to hide rootkit
Even if Im not paticilary interested in rootkit developingfiled, I visit www.rootkit.com from time to time to check if thereis any new idea regarding rootkits, not because I need it to developthem, b
2007-04-28 10:29:00 1240
转载 Unreal.A, bypassing modern Antirootkits
By: EP_X0FF Unreal.A hides driver and file.Driver hidding based on the following methods:1. removing module from PsLoadedModulesList(that bypasses some old rkdetectors)2. removing object from Ob
2007-04-28 10:16:00 1131
转载 Int 2Dh debugger detection and code obfuscation
ReWolf ;---------------------------------------------------------------------------; Int 2Dh debugger detection and code obfuscation - ReWolf^HTB;; Date: 14.III.2007;; ; I. BACKGROUND;; Possibly new
2007-04-28 10:03:00 956
转载 GhostWriting: Writing to another process without opening it nor actually writing to it
c0de90e7 This post is written in English because its the explanation (and release of functional code) of a new technique for win32 based systems called GhostWriting. The conceptLots of todays mali
2007-04-28 10:02:00 1024
原创 Effective file hiding : Bypassing Raw File System I/O Rootkit Detector
cardmagic writes: 0. Something else :After reading Hoglunds post, I finally decide to write this article.Actually in China, many smart rootkit/antirootkit writers have their own interesting materials
2007-04-28 09:59:00 973
原创 Final Keyboard Hook
By: chpie Final keyboard hook2007. 2 - http://chpie.org/ (korean only)source-code & test-binary is on my vault : 0x60_hook.zipI love keyboard hook and this article shows youthe most fundamental l
2007-04-28 09:58:00 968
转载 New BOOT KIT Released
By: vipinkumar BOOT KIT is a project related to custom boot sector code subverting Windows NT Security Model.The sample is available in the vault that keeps on escalating cmd.exe to system privi
2007-04-28 09:57:00 938
原创 (推荐书籍)Rootkits——Windows内核的安全防护
Rootkits——Windows内核的安全防护 书名:Rootkits——Windows内核的安全防护 作者:(美)霍格兰德(Hoglund, G.),(美)巴特勒(Butler, J.)著;韩智文译 来源:清华大学出版社 出版时间:2007年04月 ISBN:9787302146520 定价:39元
2007-04-28 09:55:00 2809
转载 NOD的部分杀毒机制
先给篇以前写的,现在NOD的杀毒机制又升级了,下面的方法有时候已经失效,因为最近的那篇介绍NOD32特征码定位在输入输出表的文章会在黑防第4期发,所以现在不能贴出来,等杂志出来了我就发出来,如果魔王急着要可以和我联系,QQ:149367。本文除例子及定义引用自看雪论坛(www.pediy.com),其余内容为原创,转载请注明版权,转自(http://www.0x08.com)NOD32一般把
2007-04-26 22:35:00 1273
转载 1K后门代码
/* 1k(程序体积1kb) 反向连接,零管道后门测试: 本地开启nc -l -p 8000,监听8000端口,会得到一个Shell*/#pragma comment(linker,"/subsystem:windows /FILEALIGN:0x200 /ENTRY:Entrypoint")#pragma comment(linker,"/INCREMENTAL:NO /IGNORE:40
2007-04-26 22:14:00 1635
转载 浅谈以太网的Auto-Negotiation和Auto-Sense机制
文章作者:DragonGo 信息来源:网络分析专家论坛(www.netexpert.cn)说起自动协商(Auto-negotiation),我想很多人都不会陌生。当你把你PC机器上的网卡通过一段双绞线连接到某个交换机的某个端口的时候,如果你的网卡和交换机都支持自动协商功能的话,一件有趣的事情就会发生了,网卡和交换机似乎能够互相告知对方自己可以工作的方式包括网速,双工状态。然后自动选择一个大家都能接
2007-04-26 22:07:00 6439
转载 Advanced spoofing (Blind)
原始连接:http://www.oreilly.com.cn/codeexample/networksecurityassessment/blind-spoof.html0. Introduction0.1 What0.2 For whom0.3 Disclaimer0.4 License1. Description of source code2. General information2.1
2007-04-26 22:06:00 2320 1
转载 通过TCP/IP堆栈特征探测远程操作系统
本文主要讨论如何通过探测远程主机的TCP/IP堆栈来收集宝贵的主机系统。首先讲述几种没有包括堆栈探测技术的“传统”的主机操作系统扫描方法。接着是现在较为常见的堆栈特征扫描工具的基本原理。然后讨论一些能使远程主机“在不知不觉间”泄露其信息的技术。最后主要是nmap扫描工具的一些实现细节。动机我想谁都已经非常清楚知道远程主机操作系统有多么重要,因此这里只是作一简单叙述。首先最有用的一点在于绝大多数安全
2007-04-26 22:00:00 4361
转载 Understanding the HTTP Protocol(了解HTTP协议)
原始连接:http://www.windowsnetworking.com/articles_tutorials/Understanding-HTTP-Protocol-Part1.htmlHTTP the protocolThe world of computer network has been around for quite a few decades now, but it wa
2007-04-26 21:57:00 4308
转载 网络安全协议之比较(SSH、 PKI、SET、SSL)
一、SSH介绍 什么是SSH? 传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据, 别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的, 就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式, 就是“中间人”冒充真正的服务器接收你的传给服务器的数
2007-04-26 21:56:00 1116
转载 简介绕过DarkSpy的方法
文章作者:ytht DarkSpy是由CardMagic和wowocock编写的anti-rootkit不错的工具。因为正在写的本科毕设与检测rootkit有关,所以这几天分析一下,看有什么可利用的。 分析进行得比较顺利,因为DarkSpy里面所采用的技术多数Internet上已经见过,不过肯定有一些创意的哦。 先说说里面的新东西:驱动开发网站的一位会员启发我们DarkSpy修改了HKEY
2007-04-26 21:52:00 980
转载 Google Search API Worms
原始连接:http://www.gnucitizen.org/blog/google-search-api-wormsOne of the main disadvantages of all AJAX application is the lack of cross domain request capabilities. In simple words, a web object from on
2007-04-26 21:50:00 843
转载 SQL Injection规避入侵检测技术总结
当我们对一个运行IDS系统的服务器进行SQL注射时,我们往往会遇到很大的麻烦,因为我们的注射语句被过滤了,如何规避这种检测手段就成了一门新的技术,本文就对此规避技术提出十一条思路和方法,与大家商戳。一、 运用编码技术绕过,如URLEncode编码,ASCII编码绕过。如or 1=1即%6f%72%20%31%3d%31Test即CHAR(101)+CHAR(97)+CHAR(115)+CHAR(1
2007-04-26 21:49:00 890
转载 Explorer内存感染
作者:GriYo / 29A翻译:pker / CVC翻译小组介绍在Win32环境下使我们的病毒在运行结束后仍然驻留内存是一件很不容易的事。病毒保留的内存会随着被感染程序的结束而消失。即使是每进程驻留病毒(per-process viruses),也只是在感染例程没有结束时才能存在于内存中。为了在Win32环境下获得完全的驻留,我们可以考虑如下实现: - 我们可以在我们的病毒中加入可以把自己的病
2007-04-26 17:50:00 1638
转载 MSN病毒原理及测试代码
下面是测试代码,只有通过MSN传送文件部分Copy code#include "stdafx.h"#include #include #include "msgruaid.h" //这两个头文件就是接口的定义#include "msgrua.h" //有兴趣的同学可以在网上找找(没找着可以找我要)#include int main(int argc, char* argv[])
2007-04-26 17:48:00 963
转载 邮件蠕虫与垃圾邮件技术的融合
邮件蠕虫与垃圾邮件技术的融合 文/pkxp(CVC)背景病毒,DDOS,垃圾邮件已经成为当今网络安全的三大技术难题。反垃圾邮件之所以如此困难,是因为(E)SMTP协议本身的缺陷。正如DDOS,是利用TCP/IP协议固有的缺陷一样。需要说明的是,邮件蠕虫为了传播自身而发送的邮件,也属于垃圾邮件的一种。2003年出现的Sobig蠕虫使垃圾邮件的数量大为增加,许多安全专家认为Sob
2007-04-26 17:44:00 1520
转载 Worm.SnowMood.4096
;-----------------------------------------------------------------;病毒名称: Worm.SnowMood.4096(雪人的心);编写环境: WinXP,Masm32v6;完成日期: 2002/11/10;版 本: v1.0;作 者: pkxp/CVC.GB(E-Mail:PeekXP@163.com);警 告 : 仅供技术交
2007-04-26 17:43:00 1148
转载 以毒传毒思想与Win32.Everest源码
Win32.Everest by pkxp/CVC lemme introduce my Everest virus, the worlds first virus which spreads via other viruses. The idea came to my head when I was thinking about viruses in 20
2007-04-26 17:42:00 1033
转载 基于U盘传播的简单病毒
原创作者:nevergone 信息来源:www.retcvc.com原始连接:http://www.retcvc.com/cgi-bin/topic.cgi?forum=4&topic=968&show=0#include #include #include #include #define TIMER 1//计时器#define WM_FROMC WM_USER+0 //自定义消息 从C
2007-04-26 17:41:00 1682 1
转载 Six Rootkit Detectors Protect Your System
原始链接:http://www.informationweek.com/story/showArticle.jhtml?articleID=196901062In October 2005, Windows expert Mark Russinovich broke the news about a truly underhanded copy-protection technology tha
2007-04-26 17:38:00 1283
转载 Keyloggers: How they work and how to detect them
文章作者:Nikolay GrebennikovIn February 2005, Joe Lopez, a businessman from Florida, filed a suit against Bank of America after unknown hackers stole $90,000 from his Bank of America account. The money ha
2007-04-26 17:32:00 1622
原创 Bypassing Raw File System I/O Rootkit Detector
Effective file hiding : Bypassing Raw File System I/O Rootkit Detector@ :: worthy :: Apr 06 2007, 02:51 (UTC+0) cardmagic writes: 0. Something else :After reading Hoglunds post, I finally decide
2007-04-26 17:23:00 871
转载 汇编程序员之代码风格指南
©CVC电脑病毒论坛 -- 中国毒客的快乐天地 4作者:Randall HydebxLj http://webster.cs.ucr.edu/ 节选1.0 和 1.1:1.0简介 许多人认为汇编程序难于阅读。虽然大家有这种感觉有许多原因,但最主要的还是汇编语言难以使得程序员写出易读的程序。这并不表示不可能编写出易读
2007-04-26 16:54:00 1674 1
转载 汇编与C配合
1、先准备两个程序,一个汇编、一个C语言在汇编中没有定义变量,因为在一个模块中不会有问题;在C中定义了两个函数,一些局部变量,一些全局变量;这样我们要考虑的内容都完备了。ms.asm mc2.c .386 int sum(int i){ .model flat int k = i; extrn c m:near int j = 0; public _start int s = 0; .code f
2007-04-26 16:50:00 1277
转载 去除XP SP2对raw socket的一些限制
http://www.opencjk.org/~scz/windows/200701091750.txtA: scz@nsfocus.com 2007-01-09 17:50现在已经是众所周知,XP SP2对raw socket做了一些限制,最引人注目的有两条:1) 不能通过raw socket发送TCP报文。做此尝试时会得到10004号错误。2) 不能通过raw socket发送伪造源IP的U
2007-04-26 16:14:00 1674
转载 XP SP2对raw socket所做的改动
http://www.opencjk.org/~scz/windows/200609051043.txtQ:在XP SP2上raw socket发包,得到10004号错误:A blocking operation was interrupted by a call to WSACancelBlockingCall.A: microsoftXP SP2仍支持raw socket的接收,但raw so
2007-04-26 16:13:00 1692
转载 替换SharedUserData
作 者: xIkUg时 间: 2007-01-18,14:01链 接: http://bbs.pediy.com/showthread.php?threadid=38180版本:1.0作者: xIkUg/RCT/CCG xikug.xp [at] gmail [dot] com我常去的网站:http://debugman.wintoolspro.comhttp://www.fcg
2007-04-26 15:52:00 2759
转载 计算PE文件校验和的C语言实现
#if 0http://www.opencjk.org/~scz/windows/200701102106.txt在某些时候可能你并不想用imagehlp!CheckSumMappedFile()去计算PE文件校验和,这个函数或许用得上。网上ASM实现很多,C实现不好找吧。最近因为要写个程序自动剁tcpip.sys,顺便折腾了一下PE文件校验和的计算。#endi
2007-04-26 15:42:00 3274 1
原创 珍藏的最全的windows操作系统快捷键
一、常见用法: F1 显示当前程序或者windows的帮助内容。 F2 当你选中一个文件的话,这意味着“重命名” F3 当你在桌面上的时候是打开“查找:所有文件” 对话框 F10或ALT 激活当前程序的菜单栏 windows键或CTRL+ESC 打开开始菜单 CTRL+ALT+Delete 在win9x中打开关闭
2007-04-26 15:38:00 872
UDP协议可靠传输文件
2011-09-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人