LKM 注射 三

下面这部分是要插入的代码:$ cat evil_lkm.c#include #include #include #include #include #include int    gentil_lkmentry(struct lkm_table *, int, int);intinject_ent...

2008-05-30 17:09:00

阅读数:992

评论数:0

暴力句柄Dup结束法

by vxk1.枚举系统中所有的进程,组成ListA2.打开ListA中一个,暴力枚举句柄0到0xFFFF逐一Dup到自身,发现是XX的句柄就XXX掉,检查是否结束掉了XX,如果没有继续用ListA的下一个枚举~ 此法非常强大,有时候不能从csrss.exe里dup,但是可以从service.ex...

2008-05-30 08:30:00

阅读数:910

评论数:0

首页巡警v1.2及以下版本 本地权限提升漏洞(任意内核地址写入)

by mj0011 首页巡警v1.2及以下所有版本的IRP_MJ_DEVICE_CONTROL处理例程存在 任意内核地址写入漏洞该处理例程有两处地方都存在任意地址写入漏洞,其中一处可利用做本地权限提升,可...

2008-05-30 08:23:00

阅读数:1196

评论数:0

cmd.exe 逆向分析

1. cmd.exe 是怎样加载其它进程的。2. 其它进程的命令行参数是怎样被传递的。分析完毕,有了四个小小的收获,与大家分享。菜鸟文章,一目了然,高手飘过。好,现在开始。1. ollydbg 加载cmd.exe  后面一个空的控制台窗口已经创建了。这说明windows 发现cmd.exe 是一个...

2008-05-29 22:43:00

阅读数:1220

评论数:2

My Root Kit Note

by vxkMy Root Kit Note 0. What the Root kit Real Mean For? Root Kit is a kind of tools to hide itself or other files or process from normal users eye...

2008-05-29 22:20:00

阅读数:1168

评论数:1

若干重要的Windows参考资料

要让Linux内核支持Windows应用程序和设备驱动,我们当然得要了解并理解Windows的各种机制和机理。本文的目的是为大家介绍和推荐一些关于Windows的参考资料。当然,对Linux的了解和理解更是必不可少,但是笔者以为既然是行走于我们这个地界的人,对Linux想必自有一定的基础,所以Li...

2008-05-29 21:52:00

阅读数:2643

评论数:0

FUTo: Bypassing Blacklight and IceSword

1.前言摘要自从介绍了FU,ROOTKIT世界就从执行系统HOOK,转移到了隐藏他们的存在。因为在攻击方面新的改变,那么新的防御就不得被建立。新的算法被ROOTKIT检测系统采用。例如BLACKLIGHT,就已经从原来检测ROOTKIT HOOK的存在,转变到试图找到是什么ROOTKIT正在隐藏。...

2008-05-29 21:03:00

阅读数:866

评论数:0

ring0调用Ring3的代码

在ring0调用Ring3的代码    作者:VXK/CVC.GB时间:2005-02-05 每次上driverdevelop总看到有人问怎么在Ring0下调用Ring3的代码——Ring3使用Ring0已经是地球人全知道的事情了,但是ring0下使用ring3的代码恐怕很少有人知道,Ratter...

2008-05-29 21:00:00

阅读数:1139

评论数:0

Checking for NULL MDL Pointers(驱动安全设计)

by diyhack分享一点小细节---Checking for NULL MDL Pointers先说几句:作为成熟的安全产品,稳定性是非常重要的,就算有些技术非常厉害,如果稳定性、兼容性不好的,安全公司宁愿放弃是用该技术。某人喜欢针对某安全工具开刀,须知人家需要顾及到稳定性等诸多因素,还有就是...

2008-05-29 20:50:00

阅读数:912

评论数:0

Ctrl2Cap v2.0

By Mark RussinovichPublished: November 1, 2006IntroductionCtrl2cap is a kernel-mode device driver that filters the systems keyboard class driver in o...

2008-05-29 20:49:00

阅读数:1074

评论数:0

LKM 注射 二

----[ 3.3 - 插入代码  不断发展的技术使得替换函数并且执行变成了可能,不过这还不是特别有趣。如果我们能在已有的模块中插入外来的代码就更好了。有一种方法可以 *轻松* 做到这点--使用ld 这个法宝。$ cat original.c#define MODULE#define __KERN...

2008-05-29 16:04:00

阅读数:919

评论数:0

LKM 注射 一

内容        1 - 介绍        2 - ELF 基础知识          2.1 - The .symtab section          2.2 - The .strtab section        3 - 玩转 loadable kernel modules     ...

2008-05-29 16:00:00

阅读数:835

评论数:0

linux后门系列之adore-ng

前言:kernel 2.6已经大步走入linux的世界,写后门的和用后门的也得跟上潮流。简写约定:fc:fedora corerh:red hatrhel4:red hat enterprise linux 4sk:suckitadore:adore-ngrk:rootkitlkm:loadabl...

2008-05-29 15:58:00

阅读数:1382

评论数:0

一次入侵秀的详细分析

起因  本文聚焦于我的Linux Honeypot,她在网络中散发着阵阵蜜香,引诱蠕虫和各路客们的光临。为了让honeypot 更加attractive,都要采取一些处理方式。最近邮件列表中还有过这种讨论,有个家伙说他朋友在某黑客IRC 中公布了honeypot 的IP 地址,结果一帮罗马利亚黑客...

2008-05-29 15:57:00

阅读数:1208

评论数:0

Adore-ng使用简介

Team: D.S.T 数据安全中心这是个adore-ng的简单安装使用指南,如果是老鸟就不用看了,呵呵adore-ng是一款优秀的LKM rootkit,可以从http://stealth.openwall.net/rootkits/ 这里下载到它的最新版本。目前最新版的是0.54,能够在2.4...

2008-05-29 15:53:00

阅读数:776

评论数:0

一次通过 Oracle8i 入侵系统之旅

来源:冷漠s BlogAuthor:Mickey最近看了些有关 Oracle 的安全资料,看后随手做了一个渗透测试,把过程记录下来方便日后查阅.。先用 SuperScan4.0 扫描下要测试的主机,速度很快,结果如图 1 所示:图 1端口 1521 是 Oracle 的 TNS Listener ...

2008-05-29 15:25:00

阅读数:646

评论数:0

一次通过 Oracle8i 入侵系统之旅

来源:冷漠s BlogAuthor:Mickey最近看了些有关 Oracle 的安全资料,看后随手做了一个渗透测试,把过程记录下来方便日后查阅.。先用 SuperScan4.0 扫描下要测试的主机,速度很快,结果如图 1 所示:图 1端口 1521 是 Oracle 的 TNS Listener ...

2008-05-29 15:21:00

阅读数:682

评论数:0

入侵隐士黑客 www.hack86.com

作者:aloner这次过程主要是要多想想。找到突破口就是了。 没什么技术性。目标:www.hack86.com 一般这些黑客站基本上是不可能直接从主站入手搞的。 http://www.seologs.com/ip-domains.html 旁注吧。查了一下,上面有70几个站点。 这些站里面有很多是...

2008-05-29 15:08:00

阅读数:4656

评论数:0

艰难渗透源码销售站点

艰难渗透源码销售站点2008-05-27 12:12 作者:alonerhttp://www.aloner.cn题外话:最近想做几个垃圾站玩玩。可手上又没有啥好程序。郁闷。那些网上免费的程序又没多少好玩意。百度看看网上谁卖程序。...

2008-05-29 14:58:00

阅读数:834

评论数:0

如何编译升级ubuntu内核

每一个发行版本都带有一些特殊的工具,用来从源代码中创建一个自定义的内核,这篇文章就是关于如何在ubuntu系统中编译内核的。内容包括,如何利用最新的,未被修改过的,从www.kernel.org网站上下载下来的源代码来构建自订制系统,这样,你就能独立于发行版所提供的内核。文章同样涉及了如果你需要一...

2008-05-29 14:41:00

阅读数:2533

评论数:1

提示
确定要删除当前文章?
取消 删除
关闭
关闭