原创 Linux常用开发服务器的代码[Linux zhoulifa ]

经常用到的几个自定义函数：1、开启监听的函数http://linux.chinaunix.net/bbs/viewthread.php?tid=786283&extra=view plaincopy to clipboardprint? /*----------------------源代码代码开始-----------------------------------

原创 Linux下一个Proxy的分析[很多地方代码有错误,从新找了真的代码

Linux是一个可靠性非常高的操作系统，但是所有用过Linux的朋友都会感 觉到，Linux和Windows这样的"傻瓜"操作系统（这里丝毫没有贬低Windows的意思，相反这应该是Windows的优点）相比，后者无疑在 易操作性上更胜一筹。但是为什么又有那么多的爱好者钟情于Linux呢，当然自由是最吸引人的一点，另外Linux强大的功能也是一个非常重要的原因，尤 其是Linux强大的网络功能更是

转载 IceSword&Rootkit Unhooker驱动简析

IceSword版本：1.20cn 修订号：061022 ----------------------------------------------------0. 进程   (略) 1. 端口   IS调用IoBuildDeviceIoControlRequest分别向Tcpip.sys所创建的TCP设备对象和UDP设备对象发送IRP，在输出缓冲区中将返回端口/IP/状态/PID的结构数组(D

转载 Borland 传奇拾遗： CodeGear RAD Studio 2007, 转折继续，产品诱人

本来CodeGear已经发布了Delphi 2007和C++Builder 2007，照理说这个仅仅添加了Delphi for .NET的新东西——RAD Studio 2007应该不会带来太多的新特性，但是仔细梳理一下，还是可以看出CodeGear公司不像Borland那样只想着赚大钱。CodeGear的用户可以得到的现实好处还是很多的。升级策略首先，来介绍一下CodeGear的产品升级策略。之

转载 游戏外挂设计技术探讨

一、 前言 　　所谓游戏外挂，其实是一种游戏外辅程序，它可以协助玩家自动产生游戏动作、修改游戏网络数据包以及修改游戏内存数据等，以实现玩家用最少的时间和金钱去完成功力升级和过关斩将。虽然，现在对游戏外挂程序的“合法”身份众说纷纭，在这里我不想对此发表任何个人意见，让时间去说明一切吧。　　不管游戏外挂程序是不是“合法”身份，但是它却是具有一定的技术含量的，在这些小小程序中使用了许多高端技术，如拦截S

转载 游戏外挂设计技术探讨

一、 前言 　　所谓游戏外挂，其实是一种游戏外辅程序，它可以协助玩家自动产生游戏动作、修改游戏网络数据包以及修改游戏内存数据等，以实现玩家用最少的时间和金钱去完成功力升级和过关斩将。虽然，现在对游戏外挂程序的“合法”身份众说纷纭，在这里我不想对此发表任何个人意见，让时间去说明一切吧。　　不管游戏外挂程序是不是“合法”身份，但是它却是具有一定的技术含量的，在这些小小程序中使用了许多高端技术，如拦截S

原创 Vuln: Kaspersky Internet Security 6 SSDT Hooks Multiple Local Vulnerabilities

/* Testing program for Multiple insufficient argument validation of hooked SSDT function (BTP00000P006KA) Usage: prog FUNCNAME FUNCNAME - name of function to be checked Description: This program calls

转载 PE文件之旅

平台 : windows XP SP1编译器 : VC++6.0时间 : 2004.12 -- 2005.01参考资料: 看雪>，MengLong[DFCG]>，>.Coded by: princeE-mail : Cracker_prince@163.comPE文件之旅 第一篇 Sections PE文件之旅 第二篇 DLL的秘密 -- 输出表 PE文件之旅 第三篇 加壳与脱壳的战场 输入表PE

转载 finding the registered URL protocols

****************************************************************************************URIFind is a small tool for finding all of the registered URL protocols in your system, it is useful for reviewi

转载 信息安全的职业生涯

Author：赵彦Homepage：www.ph4nt0m.orgMailto: ay4z3ro@hotmail.com继《信息安全从业参考》，虽然只是我大脑里的残羹冷炙，不过我觉得没意思的东西或许对于别人来说有启发，为了避免某些人猜测我的作为，再补充一句，这些东西对我本人来说是毫无意义的。假设你是一个刚毕业的学生，无非有两种方式，top-down和down-top的方式，但无论如何，此时你都不可

原创 Nmap的高级用法指南

很多人都只是简单的用-O -sV参数来探测，我把我的探测方法说一下。nmap -P0 -sT -vv -n -p80 --script=./showSMTPVersion.nse -iL c:/smtp.txt -oN c:/Vulnerable.txt-sV --version-all探测应用程序版本，使用最高强度探测-O --osscan-guess探测操作系统版本，使用最积极模式-P0绝大多

转载 一次曲折的安全检测

此次安全检测过去有段时间了，一直想写成稿子就是没有时间，具体环境可能有所淡忘，但整个过程和思路还是很明了的。由于在校期间课余在学校的网络工作室工作，所以对一些学校网站的服务和发展比较关注。这期间发现某学院的文件交换系统非常的不错，在校园网内使用会带来很多方面的便捷。搜索了下网上没有现成的系统下载，难道非要自己现写不成…踩点：服务器开放了21和80端口，Serv-U6.2、Apache/2.055(

转载 国外FlashFxp解密代码

function decryptffxp($ciphertext) { $magic_buffer="yA36zA48dEhfrvghGRg57h5UlDv3"; $count =0; $length =strlen($ciphertext); while ($count  { $cts.=chr(hexdec($ciphertext[$count] . $ciphertext[$count +

转载 突破磁盘低级检测实现文件隐藏

作者：Azy完成于：2007-08-08目前，一些已公开的主流anti-rootkit检测隐藏文件主要有两种方法：第一种是文件系统层的检测，属于这一类的有icesword， darkspy，gmer等。第二种便是磁盘级别的低级检测（Disk Low-Level Scanning），属于这一类的ark也很多，典型代表为rootkit unhooker，filereg（is的插件），rootkit r

转载 CMD下开启远程桌面服务

一、缘起 近段时间微软出现的DNS溢出漏洞疯狂了一段时间，就是现在也还有许多服务器可以成功溢出。相信大家都有体验过溢出的经验了吧，嘿嘿。但是当我们溢出成功后，返回得到的就只有一个system权限的cmdshell。要是服务器开启了远程桌面服务，那我们直接加一个用户，再添加进管理员组，就可以登录服务器了。这样的话，拿下存在DNS溢出的服务器只是分秒间的事情。从溢出到得到服务器控制权花不了多少时间。不

转载 简单修改木马壳头过卡巴斯基

在众多反病毒产品中，卡巴斯基在用户口碑相当不错，很多用户都说卡巴司基的虚拟机脱壳技术很强。然而笔者仅仅对通用的“加壳”步骤进行了小小的调整，却有了惊人的发现——仅通过简单的壳头修改，卡巴大叔竟然无语了。“小样，你以为你穿了马甲我就不认识你了？”这句台词耳熟能详。现在用户用这句话来形容反病毒厂商的脱壳技术。这项技术的产生与病毒程序编写者使用的“加壳”技术密切相关。众所周知，所谓“加壳”就是一种通过一

转载 一个隐蔽克隆帐号的方法

漏洞发现日期 05年某月注：因为最近没怎么关注网络安全 凭记忆中貌似没人说过这个方法 所以放出来 不要拍砖我 thx！原理很简单的啊 sam的 FV键值吧 重点如何躲过检测一般的检测克隆帐号的都是检测 sam里面有没有相同的 FV吧 利用这个特性绕过检测吧 呵呵步骤1.net user allyesno freexploit /add&net localgroup administrators a

转载 PcAnywhere在线解密源码

1.  2. /* ---------------------------------------------------------- */  3. /* PcAnywhere CIF Decode  4. /* QQ:7259561 MSN:cnse8@msn.com  5. /* Blog:http://1v1.name  6. /* ----------------------------

转载 针对抓win2003系统密码的诡计

命令行下卸载win2003 sp1/sp2%systemroot%/$NtServicePackUninstall$/spuninst/spuninst/U按无人参与模式删除 service pack。如果使用此选项，那么在卸载 SP1 的过程中，只有出现致命错误才会显示提示。/Q按安静模式删除 SP1，此模式与无人参与模式相同，只是隐藏了用户界面。如果使用此选项，那么在卸载 SP1 的过程中不会

转载 IMail iaspam.dll 8.0x Remote Heap Overflow Exploit

 /*  by axis  2007-06-05  http://www.ph4nt0m.org  以前有这个一个imail的expPRIVATE Remote Exploit  For IMAIL Smtp Server(1.2)This is For imail 8.01-8.11 versionUsage:faint.exe -d  [options]Options:        -d: 

转载 编写Unicode有效的Shellcode

对于溢出爱好者来说，能够编写Shellcode是一个必备的基本技能,特别是能应对各种在实际情况中对Shellcode存在各种限制条件的时候，这种 能力就显得尤为重要了。黑防2007年第二期中介绍了纯字母数字的Shellcode的编写，在3期中的WinRAR 7z溢出中就派上了用场。Unicode大家应该不陌生,在一些大型程序中，比如Word、Excel考虑到不同语言平台的差异性,都会使用 Unic

转载 使用SoftIce调试free build版的Driver方法

Binjo 创建：2006/07/24 -------------------------------------------------------------------------- 1. 使用IDA生成map文件。 2. 使用Visual Studio中的mapsym.exe生成sym文件。   e.x:    mapsym -m test.map    产生test.sym文件

转载 我是如何发现CCProxy远程溢出漏洞的

CCProxy是一个国产的支持HTTP、FTP、Gopher、SOCKS4/5、Telnet、Secure(HTTPS)、News(NNTP)、 RTSP、MMS等代理协议的代理服务器软件。因为其简单易用、界面友好，非常适合在对流量要求不高的网络环境中使用，所以在国内有很多初级的网管喜欢用 这个软件，有时候我在公司上网也要用它做代理。前些日子我测试发现CCProxy 6.0版本存在多处缓冲区溢出漏

原创 Haxdoors of the Kaspersky Antivirus 6/7

By: EP_X0FF Haxdoors of the Kaspersky Antivirus 6/7 ================================ Preamble ================================ Kaspersky Antivirus one of the most technically modern antiviruses avai

转载 关于自修改代码的一点浅析

相信大家都在程序调试或者分析中碰到过自修改代码的情况吧。所谓自修改代码，就是程序自我保护的一种机制。它使我们的反汇编调试器看起来相当地无助。因为我们看到的所谓的反汇编代码并非执行过程中的代码，它表面上看起来不合逻辑甚至一塌糊涂，但是运行起来却井井有条。因此，这项技术被广泛用在那些反破解的商业软件中，在试图bypass杀毒软件的黑客软件中也颇有涉及。在另一方面，cracker初学者们对这类程序大伤脑

转载 ESP定律手工脱壳步骤

第一步：查壳第二步：用OD载入。第三步：按F8单步向下走，注意，当右边的ESP（堆栈指针寄存器），和EIP（　　　　指令指针寄存器）同时变红时，就停下。第四步：记下ESP地址，并在左下角的Commanc中输入　dd　ESP所对应的地址。　　　　并回车。第五步：在数值下面单击右键--断点----硬件访问---WORD。第六步：按F9运行来到断点。第七步：然后在按F8单步向下走，注意：一个大跳转就来到

转载 Themida/WinLicense V1.8.2.0 +脱壳 FOR PcShare远程控制会员版本20070826

【文章作者】: 冰橙子【详细过程】今天拿到PcShare远程控制会员版本20070826，看看说明一、加了插默认浏览器的功能二、重新修改了文件下载,一目了然,肉机不上线也可以管理。三、加了窗口管理的功能、四、加了群发消息的功能五、加了强制肉机访问网页的功能六、增加代理(不完善测试阶段)七、增加了记录系统登录密码功能看着看着 就想破解，说干就干，不管是不是菜鸟，还是先查壳把，  用PEID查壳： T

原创 注释PEMaker6源代码（二）

转载 ring3 下挂钩Native API 简单实现文件防删除

简单实现文件防删除，说简单是因为没有用很底层的技术，例如文件驱动之类。我只用最简单的方法实现了, 使用 ring3 的API hook 技术。随着技术的发展这种技术已经过不了很多的主动防御技术了。主要是思路和方法和分析过程。(高手飘过)ring3 下挂钩 API 基本上也就是修改导入表，和Inline hook 修改前5个字节这几种方法。挂钩Native API 没有什么区别，也就是多声明几个结构

转载 注释PEMaker6源代码（三）

今天大概看了一下精华8《向PE中注入代码》的译文，之前没有仔细看过，因为发现看过之后对源代码还是不是很明白，所以就没有参照这篇译文进行注释，大多都是自己理解+网上搜索，今天发现很多地方有失误。 大框的地方一定要参照译文，不要被我蒙蔽了。 继续注释CPECryptor类,如下：//在pecrypt.cpp里，我提

转载 MBR和DBR详细分析

系统2K PRO SP4,C盘采用NTFS,用WinHex提取MBR和DBR,拿IDA分析的.关键在DBR几处不明白.1.一点预备知识: 主引导扇区代码（MBR）代码: ;====================================================================================; ; MBR( Master Bo

转载 注释PEMaker6源代码（一）

这两天看了精华8的“向导入表中注入代码“这篇文章，对阅读PEMaker6源代码进行了部分注释，要不总是忘了哪一部分是什么功能，为了增加点发帖量，将注释过的几个类逐一整理后发布，老鸟就无需看了,也是为了自己加强学习。这篇介绍CPELibrary类的功能：找回并重建PE文件（具体可参照加壳技术->加壳软件的编写->向PE中注入代码)类定义：class CPELibrary {private:  //-

转载 现代dump技术及保护措施

  现代dump技术及保护措施[Ms-Rem]（上）现代dump技术及保护措施本文目的我们都喜欢使用免费的软件，这也就意味着需

转载 浅谈NT下Ring3无驱进入Ring0的方法

(测试环境:Windows 2000 SP4,Windows XP SP2.Windows 2003 未测试) 在NT下无驱进入Ring0是一个老生常谈的方法了，网上也有一些C代码的例子，我之所以用汇编重写是因为上次在[原创/探讨]Windows 核心编程研究系列之一(改变进程 PTE)的帖子中自己没有实验成功(其实已经成功了，只是自己太马虎，竟然还不知道 -_-b),顺面聊聊

转载 改好DEBUG七处缺点的comexe实现报告

首先声明,本文所指DEBUG,系DOS 6.22,win 98及2k三者DEBUG.EXE. (1) DEBUG命令T及P的2处缺点 跟踪命令T,建立在8086标志寄存器第8位(自陷位)置1后,处理器执行完一条 被跟踪指令,就进单步中断1的基础上(进入时,被调试进程栈顶3个字,被无辜破坏). DEBUG预先接管中断1,在那里,对被跟踪指令的执行完现场,先保存,后显示. 于是,DEBUG用以下5步,

转载 Administrator用户直接获取SYSTEM权限

来源：http://www.nsfocus.com作者："scz" scz@nsfocus.com>标题: MSDN系列(3)--Administrator用户直接获取SYSTEM权限日期: 2003-06-21 21:51更新:--------------------------------------------------------------------------目录:

转载 了解 Windows Vista 内核

以下是连接:了解 Windows Vista 内核：第一部分 概览: 线程优先级和计划 基于文件的符号链接

转载 再和DriverStudio"过不去"之加强版

作 者: hopy时 间: 2007-09-18,17:38链 接: http://bbs.pediy.com/showthread.php?t=51896 再和DriverStudio"过不去"之加强版   (>系列2) （测试平台 windows 2000 sp4 + masm32v9.0）    上篇仅仅说到如何抢先DriverStudio，并在结尾留给大家一

转载 淘来的几个SMC代码

第一个程序独立运行时与在OD中运行时GetModuleHandleA取得的句柄值不一样，OD中将大于70000000，好象只对XP有效。其它程序自己用OD试试。代码:.data    hInst          dd        ?    szStr          db        ?    szBytes        db        ?CTEXT 

转载 城里城外看SSDT

2007年7月5日作于京师海淀 2006年，中国互联网上的斗争硝烟弥漫。这时的战场上，先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花，大有逐渐淡出之势；取而代之的，则是更狠毒、更为赤裸裸的词汇：驱动、隐藏进程、Rootkit……在这篇文章里，李马首度从ring3（应用层）的围城跨出，一跃而投身于ring0（内核层）这一更广阔的天地，为你展现SSDT（系统服务描述符表）的奥秘。