自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

  • 博客(119)
  • 资源 (6)
  • 收藏
  • 关注

原创 PE线程附加

网上此类代码很多,不过大多都是在文件最后增加一个节,并改变PE文件的入口地址来达到目的。(当然这也是最经典的方式!)不过这个方法也有它的不足之处,那就是怕文件头没有地方再新增节表了。所以俺更喜欢把代码插入PE文件的空隙(浪费资源可耻啊!),如果空隙不够的话就增加最后一个节的长度(因为现在很多软件都加了壳,基本上没有什么空隙),呵呵。修改后的PE文件会加载同目录下的Add.dll文件!源代码如下,写

2007-04-28 11:14:00 1333

转载 修改活动进程链来隐藏进程代码

汇编:by zjjm很多贴子都写过如何修改活动进程链来隐藏进程,但大多不说明原因,让别人知其然不知其所以然,今天俺来发个贴子献献丑。大家可能使用过PsGetCurrentProcess函数来获取当前线程的EPROCESS,如果你反汇编这个函数的话,你一定会发现这可能是内核中最简单的一个函数了,只有三行:mov eax, fs:0x00000124;mov eax, [eax + 0x44]

2007-04-28 11:11:00 3247

转载 Int 2Ah - KiGetTickCount

Int 2Ah - KiGetTickCountReWolf^HTBhttp://www.rewolf.prv.plDate: 16.III.2007I. BACKGROUNDEverybody knows that GetTickCount is often used as anti-debug trick,also everybody has patched that function. Th

2007-04-28 10:51:00 1125

转载 Detours within Windows kernel

By: izik   I had to do an inline function hooking (aka. Detouring) to accomplish some task. When Ive started looking around for example in rootkits source codes, it turns out no rootkit is actual

2007-04-28 10:47:00 1040

转载 Hooking the IAT of a driver

By: tibbar  I thought Id publish something that I wrote in a private project over a year ago - how to hook the import address table of a driver (ring 0).Basically, lots of drivers will use kernel

2007-04-28 10:31:00 968

原创 Ultimate way to hide rootkit

Even if Im not paticilary interested in rootkit developingfiled, I visit www.rootkit.com from time to time to check if thereis any new idea regarding rootkits, not because I need it to developthem, b

2007-04-28 10:29:00 1240

转载 Unreal.A, bypassing modern Antirootkits

 By: EP_X0FF  Unreal.A hides driver and file.Driver hidding based on the following methods:1. removing module from PsLoadedModulesList(that bypasses some old rkdetectors)2. removing object from Ob

2007-04-28 10:16:00 1131

转载 Int 2Dh debugger detection and code obfuscation

ReWolf ;---------------------------------------------------------------------------; Int 2Dh debugger detection and code obfuscation - ReWolf^HTB;; Date: 14.III.2007;; ; I. BACKGROUND;; Possibly new

2007-04-28 10:03:00 956

转载 GhostWriting: Writing to another process without opening it nor actually writing to it

c0de90e7 This post is written in English because its the explanation (and release of functional code) of a new technique for win32 based systems called GhostWriting. The conceptLots of todays mali

2007-04-28 10:02:00 1024

原创 Effective file hiding : Bypassing Raw File System I/O Rootkit Detector

cardmagic writes: 0. Something else :After reading Hoglunds post, I finally decide to write this article.Actually in China, many smart rootkit/antirootkit writers have their own interesting materials

2007-04-28 09:59:00 973

原创 Final Keyboard Hook

By: chpie  Final keyboard hook2007. 2 - http://chpie.org/ (korean only)source-code & test-binary is on my vault : 0x60_hook.zipI love keyboard hook and this article shows youthe most fundamental l

2007-04-28 09:58:00 967

转载 New BOOT KIT Released

By: vipinkumar   BOOT KIT is a project related to custom boot sector code subverting Windows NT Security Model.The sample is available in the vault that keeps on escalating cmd.exe to system privi

2007-04-28 09:57:00 938

原创 (推荐书籍)Rootkits——Windows内核的安全防护

Rootkits——Windows内核的安全防护 书名:Rootkits——Windows内核的安全防护 作者:(美)霍格兰德(Hoglund, G.),(美)巴特勒(Butler, J.)著;韩智文译 来源:清华大学出版社 出版时间:2007年04月 ISBN:9787302146520 定价:39元

2007-04-28 09:55:00 2809

转载 NOD的部分杀毒机制

 先给篇以前写的,现在NOD的杀毒机制又升级了,下面的方法有时候已经失效,因为最近的那篇介绍NOD32特征码定位在输入输出表的文章会在黑防第4期发,所以现在不能贴出来,等杂志出来了我就发出来,如果魔王急着要可以和我联系,QQ:149367。本文除例子及定义引用自看雪论坛(www.pediy.com),其余内容为原创,转载请注明版权,转自(http://www.0x08.com)NOD32一般把

2007-04-26 22:35:00 1273

转载 1K后门代码

 /*  1k(程序体积1kb) 反向连接,零管道后门测试:  本地开启nc -l -p 8000,监听8000端口,会得到一个Shell*/#pragma comment(linker,"/subsystem:windows /FILEALIGN:0x200 /ENTRY:Entrypoint")#pragma comment(linker,"/INCREMENTAL:NO /IGNORE:40

2007-04-26 22:14:00 1635

转载 浅谈以太网的Auto-Negotiation和Auto-Sense机制

文章作者:DragonGo 信息来源:网络分析专家论坛(www.netexpert.cn)说起自动协商(Auto-negotiation),我想很多人都不会陌生。当你把你PC机器上的网卡通过一段双绞线连接到某个交换机的某个端口的时候,如果你的网卡和交换机都支持自动协商功能的话,一件有趣的事情就会发生了,网卡和交换机似乎能够互相告知对方自己可以工作的方式包括网速,双工状态。然后自动选择一个大家都能接

2007-04-26 22:07:00 6438

转载 Advanced spoofing (Blind)

原始连接:http://www.oreilly.com.cn/codeexample/networksecurityassessment/blind-spoof.html0. Introduction0.1 What0.2 For whom0.3 Disclaimer0.4 License1. Description of source code2. General information2.1

2007-04-26 22:06:00 2314 1

转载 通过TCP/IP堆栈特征探测远程操作系统

本文主要讨论如何通过探测远程主机的TCP/IP堆栈来收集宝贵的主机系统。首先讲述几种没有包括堆栈探测技术的“传统”的主机操作系统扫描方法。接着是现在较为常见的堆栈特征扫描工具的基本原理。然后讨论一些能使远程主机“在不知不觉间”泄露其信息的技术。最后主要是nmap扫描工具的一些实现细节。动机我想谁都已经非常清楚知道远程主机操作系统有多么重要,因此这里只是作一简单叙述。首先最有用的一点在于绝大多数安全

2007-04-26 22:00:00 4360

转载 Understanding the HTTP Protocol(了解HTTP协议)

原始连接:http://www.windowsnetworking.com/articles_tutorials/Understanding-HTTP-Protocol-Part1.htmlHTTP the protocolThe world of computer network has been around for quite a few decades now, but it wa

2007-04-26 21:57:00 4299

转载 网络安全协议之比较(SSH、 PKI、SET、SSL)

一、SSH介绍 什么是SSH? 传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据, 别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的, 就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式, 就是“中间人”冒充真正的服务器接收你的传给服务器的数

2007-04-26 21:56:00 1116

转载 简介绕过DarkSpy的方法

 文章作者:ytht  DarkSpy是由CardMagic和wowocock编写的anti-rootkit不错的工具。因为正在写的本科毕设与检测rootkit有关,所以这几天分析一下,看有什么可利用的。  分析进行得比较顺利,因为DarkSpy里面所采用的技术多数Internet上已经见过,不过肯定有一些创意的哦。  先说说里面的新东西:驱动开发网站的一位会员启发我们DarkSpy修改了HKEY

2007-04-26 21:52:00 980

转载 Google Search API Worms

原始连接:http://www.gnucitizen.org/blog/google-search-api-wormsOne of the main disadvantages of all AJAX application is the lack of cross domain request capabilities. In simple words, a web object from on

2007-04-26 21:50:00 843

转载 SQL Injection规避入侵检测技术总结

当我们对一个运行IDS系统的服务器进行SQL注射时,我们往往会遇到很大的麻烦,因为我们的注射语句被过滤了,如何规避这种检测手段就成了一门新的技术,本文就对此规避技术提出十一条思路和方法,与大家商戳。一、 运用编码技术绕过,如URLEncode编码,ASCII编码绕过。如or 1=1即%6f%72%20%31%3d%31Test即CHAR(101)+CHAR(97)+CHAR(115)+CHAR(1

2007-04-26 21:49:00 890

转载 使用性能计数器来监控ISA Server 2004

使用性能计数器来监控ISA Server 2004     How to :使用

2007-04-26 21:45:00 874

转载 Explorer内存感染

作者:GriYo / 29A翻译:pker / CVC翻译小组介绍在Win32环境下使我们的病毒在运行结束后仍然驻留内存是一件很不容易的事。病毒保留的内存会随着被感染程序的结束而消失。即使是每进程驻留病毒(per-process viruses),也只是在感染例程没有结束时才能存在于内存中。为了在Win32环境下获得完全的驻留,我们可以考虑如下实现:  - 我们可以在我们的病毒中加入可以把自己的病

2007-04-26 17:50:00 1638

转载 MSN病毒原理及测试代码

下面是测试代码,只有通过MSN传送文件部分Copy code#include "stdafx.h"#include #include #include "msgruaid.h"   //这两个头文件就是接口的定义#include "msgrua.h"     //有兴趣的同学可以在网上找找(没找着可以找我要)#include int main(int argc, char* argv[])

2007-04-26 17:48:00 963

转载 邮件蠕虫与垃圾邮件技术的融合

邮件蠕虫与垃圾邮件技术的融合            文/pkxp(CVC)背景病毒,DDOS,垃圾邮件已经成为当今网络安全的三大技术难题。反垃圾邮件之所以如此困难,是因为(E)SMTP协议本身的缺陷。正如DDOS,是利用TCP/IP协议固有的缺陷一样。需要说明的是,邮件蠕虫为了传播自身而发送的邮件,也属于垃圾邮件的一种。2003年出现的Sobig蠕虫使垃圾邮件的数量大为增加,许多安全专家认为Sob

2007-04-26 17:44:00 1520

转载 Worm.SnowMood.4096

;-----------------------------------------------------------------;病毒名称: Worm.SnowMood.4096(雪人的心);编写环境: WinXP,Masm32v6;完成日期: 2002/11/10;版  本: v1.0;作   者: pkxp/CVC.GB(E-Mail:PeekXP@163.com);警 告 : 仅供技术交

2007-04-26 17:43:00 1147

转载 以毒传毒思想与Win32.Everest源码

Win32.Everest          by pkxp/CVC            lemme introduce my Everest virus, the worlds first virus which spreads via other viruses. The idea came to my head when I was thinking about viruses in 20

2007-04-26 17:42:00 1033

转载 基于U盘传播的简单病毒

原创作者:nevergone 信息来源:www.retcvc.com原始连接:http://www.retcvc.com/cgi-bin/topic.cgi?forum=4&topic=968&show=0#include #include #include #include #define TIMER 1//计时器#define WM_FROMC WM_USER+0     //自定义消息 从C

2007-04-26 17:41:00 1682 1

转载 Six Rootkit Detectors Protect Your System

 原始链接:http://www.informationweek.com/story/showArticle.jhtml?articleID=196901062In October 2005, Windows expert Mark Russinovich broke the news about a truly underhanded copy-protection technology tha

2007-04-26 17:38:00 1281

转载 Keyloggers: How they work and how to detect them

文章作者:Nikolay GrebennikovIn February 2005, Joe Lopez, a businessman from Florida, filed a suit against Bank of America after unknown hackers stole $90,000 from his Bank of America account. The money ha

2007-04-26 17:32:00 1622

原创 Bypassing Raw File System I/O Rootkit Detector

Effective file hiding : Bypassing Raw File System I/O Rootkit Detector@ :: worthy ::    Apr 06 2007, 02:51 (UTC+0)  cardmagic writes: 0. Something else :After reading Hoglunds post, I finally decide

2007-04-26 17:23:00 868

转载 汇编程序员之代码风格指南

©CVC电脑病毒论坛 -- 中国毒客的快乐天地  4作者:Randall HydebxLj  http://webster.cs.ucr.edu/  节选1.0 和 1.1:1.0简介       许多人认为汇编程序难于阅读。虽然大家有这种感觉有许多原因,但最主要的还是汇编语言难以使得程序员写出易读的程序。这并不表示不可能编写出易读

2007-04-26 16:54:00 1674 1

转载 汇编与C配合

1、先准备两个程序,一个汇编、一个C语言在汇编中没有定义变量,因为在一个模块中不会有问题;在C中定义了两个函数,一些局部变量,一些全局变量;这样我们要考虑的内容都完备了。ms.asm mc2.c .386 int sum(int i){ .model flat int k = i; extrn c m:near int j = 0; public _start int s = 0; .code f

2007-04-26 16:50:00 1277

转载 去除XP SP2对raw socket的一些限制

 http://www.opencjk.org/~scz/windows/200701091750.txtA: scz@nsfocus.com 2007-01-09 17:50现在已经是众所周知,XP SP2对raw socket做了一些限制,最引人注目的有两条:1) 不能通过raw socket发送TCP报文。做此尝试时会得到10004号错误。2) 不能通过raw socket发送伪造源IP的U

2007-04-26 16:14:00 1674

转载 XP SP2对raw socket所做的改动

http://www.opencjk.org/~scz/windows/200609051043.txtQ:在XP SP2上raw socket发包,得到10004号错误:A blocking operation was interrupted by a call to WSACancelBlockingCall.A: microsoftXP SP2仍支持raw socket的接收,但raw so

2007-04-26 16:13:00 1692

转载 替换SharedUserData

作 者: xIkUg时 间: 2007-01-18,14:01链 接: http://bbs.pediy.com/showthread.php?threadid=38180版本:1.0作者: xIkUg/RCT/CCG          xikug.xp [at] gmail [dot] com我常去的网站:http://debugman.wintoolspro.comhttp://www.fcg

2007-04-26 15:52:00 2759

转载 计算PE文件校验和的C语言实现

#if 0http://www.opencjk.org/~scz/windows/200701102106.txt在某些时候可能你并不想用imagehlp!CheckSumMappedFile()去计算PE文件校验和,这个函数或许用得上。网上ASM实现很多,C实现不好找吧。最近因为要写个程序自动剁tcpip.sys,顺便折腾了一下PE文件校验和的计算。#endi

2007-04-26 15:42:00 3272 1

原创 珍藏的最全的windows操作系统快捷键

一、常见用法: F1           显示当前程序或者windows的帮助内容。 F2           当你选中一个文件的话,这意味着“重命名” F3           当你在桌面上的时候是打开“查找:所有文件” 对话框 F10或ALT        激活当前程序的菜单栏 windows键或CTRL+ESC   打开开始菜单 CTRL+ALT+Delete     在win9x中打开关闭

2007-04-26 15:38:00 872

UDP协议可靠传输文件

单向的两台机上传输,基本是5m/s,最高可以达到10m/s以上。 公网上,效率也可以---------------------------------------------------- sendfile.exe为收发文件 1.开启一个实例点接收 2.开启另一个实例点发送,指定IP,port默认即可,指定文件就开始传输。 接收的文件在c:\udxtemp.temp 传另一个文件需要关掉以前的实例从1重新开始 --------------------------------------------------- testudx.exe是互传数据的测试工具,数据为随即数据。 a.服务器,勾选,作为服务器(默认为客户),勾选发送数据(可选),点运行 b.填入ip,勾选发送数据(可选),点运行 ---------------------------- pchat.exe是一个基于可靠传输的点到点聊天工具可以保证数据的完整性。

2011-09-14

驱动监视代码,十分难得

驱动监视代码驱动监视代码驱动监视代码,十分难得的

2008-12-25

arpspoof完整源代码

arpspoof 完整源代码arpspoof 完整源代码arpspoof 完整源代码

2008-12-25

vc编写的远程控制源代码

vc编写的远程控制源代码,框架很好,十分稳定

2008-12-25

很好的apihook框架

很好的apihook框架,很好的apihook框架,很好的apihook框架,

2008-12-25

很好的button自绘代码

很好的button自绘代码,很好的button自绘代码,很好的button自绘代码,

2008-12-25

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除