- 博客(46)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 模式匹配之Boyer-Moore算法
BM 算法是一个较优的模式匹配算法。一般,如果不考虑模式串的长度,一个具有时间复杂度O(n)的算法应该是最优的了,但是事实不是如此。BM算法可以实现更高效率的模式匹配。分析和实验说明,BM匹配算法对于那些字符集比较大,而模式串中出现的字符比较少的时候,工作效率最快。而且,考虑KMP匹配方式的优化,可以结合KMP匹配和BM匹配,进一步提高效率。 算法的关键和 KMP 类似,也是构造一个辅助数组,不过,不同于KMP算法的是,BM算法的辅助数组大小只和匹配串的字符集大小相关(一般情况下也就是ASCII字符集,25
2010-11-28 00:37:00
962
转载 一句话木马的工作原理
<br />一句话木马的工作原理:一句话木马分析服务端与客户端。<br />"一句话木马"服务端(是用于本地的html提交脚本木马文件)<br />就是我们要用来插入到asp文件中的asp语句,(不仅仅是以asp为后缀的数据库文件),该语句将回为触发,接收入侵者通过客户端提交的数据,执行并完成相应的操作,服务端的代码内容为 <%execute request("value")%> 其中value可以自己修改<br />"一句话木马"客户端(远程服务器上被插入一句话的asp可执行文件)<br />用来向服务端
2010-11-19 21:03:00
71385
1
转载 黑客游戏网址大全 - Hack Game Collection
<br />不知道是不是很多人像我一样,很喜欢这类黑客解谜游戏,感觉很锻炼脑子,当时黑客防线推出那款黑客游戏,有一关,我想了足足8个小时,也不觉得累。后来华夏等网站相继推出黑客游戏,我是乐此不疲。在网上也找了很多国外的黑客游戏。这里是我收集的一些黑客游戏,有网页版的,有客户端版的。对于黑客游戏,不仅仅是锻炼自己的推理能力,而且还能让自己的思维更加活泼。不过电脑小白就不要玩了。。。。。。。很可能想爆了脑袋也过不去一关。这里需要很多的知识,Java, PHP, HTML, Javascript等网页语言,另外有
2010-11-19 00:54:00
6713
原创 DLL劫持漏洞技术原理
<br />一、回顾DLL挟持的发展<br /> 2010年08月24日微软发布安全公告2269637,提到三方软件编程不安全存在一个DLL挟持的缺陷可以导致远程攻击,随后DLL劫持漏洞开始大规模传播,金山毒霸云安全实验室也在第一时间发布病毒预警,并发布对应的金山毒霸免疫工具。<br /> 2010年08月24日流行的漏洞信息共享网站exploit-db马上就爆出多个DLL挟持漏洞涉及的软件有:Wireshark(免费嗅探器),WindowsLiveemail(邮箱客户端),MicrosoftMovie
2010-11-17 12:55:00
1446
转载 Heap Spray:高危漏洞的垫脚石
<br />Tags: Heap Spray | 信息安全 | 高危漏洞<br />网络木马已经成为当今网络世界里最大的危害,而它们的散播源,则来自各个知名或不知名的网站,经由网页浏览器破窗而入,悄悄地在受害者的系统里扎根潜伏,最终给受害者带来一定的损失,这是一种几乎无法完全防御的瘟疫。<br />http://www.chip.cn/index.php?option=com_content&view=article&id=1543:chipheap-spray&catid=7:test-technolog
2010-11-16 21:15:00
1440
转载 od加载微软符号
<br />http://www.unpack.cn/viewthread.php?tid=40076<br />用过windbg的人都知道,windbg可以加载微软符号库,如果没有符号,可以自动去微软网站上下载<br />OD也有这个功能,下面我们来发掘一下。<br /><br />工具:<br />ollydbg 1.10<br />StrongOD v0.2.6.413以上<br />准备一个空目录去放微软符号(如果你经常用windbg调试,可以设成同一个目录)<br />将下载微软符号库的相关文件c
2010-11-16 20:19:00
1322
转载 MS09-002 exploit 源码分析
攀蟾折桂摄寰宇,摘星揽月御乾坤。踏云踩雾骋宵壤,驱风逐日闯天地。 ------泉哥MS09-002 exploit 源码分析 - [溢出研究]Tag:MS09-002exploit版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明http://riusksk.blogbus.com/logs/37734905.html刚拿到黑防样刊,先看了上面的一篇关于MS09-002漏洞分析的文章《Thingking in MS09-002》,略有感悟,因此记录一下,就当作学习笔记。 // MS09-002
2010-11-16 19:58:00
1126
转载 让IDA加载系统dll时识别Symbol
<br /><一> 使用 Symbol Server 技术<br />Microsoft Symbol Server 是使用 Debugging Tools for Windows 软件包附带的 SymSrv 技术 (SymSrv.dll) 构建的。SymSrv 会生成本地符号高速缓存,以进行快速、自动的符号解析。<br /><br />使用 Symbol Server 就像在符号路径中使用相应的语法一样简单。通常,语法的格式如下:SRV*your local symbol folder*http://ms
2010-11-16 19:55:00
11170
3
转载 VMware Workstation提供的可编程接口
<br />何谓Vmrun命令?其实这并不是什么神秘的东西,相信部分朋友使用过Vmware workstation来安装过一些虚拟机吧。如果你足够细心的话,你会发现在这个软件的安装目录下能找到一个Vmrun.exe可执行文件。如果你从命令行敲入vmrun.exe(当然你得切换到workstation的根目录下),你会惊奇的发现很多该命令提供了很多的参数,这些参数的功能成为了Host机器与Guest机器之间的功能强大的连接桥梁。那么,先一睹下到底有哪些命令可供我们玩转。 <br /> 1、PO
2010-11-15 21:10:00
1416
1
转载 对抗启发式代码仿真检测技术分析
作者:nEINEI邮箱:neineit@gmail.com完成于:08-05-06来源:安全焦点最近在研究病毒的检测技术,虽然在这个木马、流氓件猖獗的年代,检测技术(除了考虑效率因素外)已经变得不是十分重要了。但俺仍然出于兴趣想从这 里面寻找些思路。或许对抗技术的本身并不在于谁彻底打败了谁,而在于彼此间共同进步。在查阅资料中发现了这篇文章(Anti heuristic te
2010-05-12 00:27:00
1471
转载 游戏外挂检测和反检测
关于游戏外挂检测和反检测(真正的防封技术)在网上找到篇关于游戏外挂检测和反检测的文章拿来跟断点的朋友分享。详细文章见附件,这里写些简介。 一:内存探测法 服务器发送个Paket检测游戏内存,然后返回服务器。这对游戏公开的挂威胁大。 反侦测基本思想是拦截Peket,返回伪装Peket。 二:DLL扫描 游戏反外挂系统(Module32First/
2010-04-24 22:56:00
33661
原创 SSDT hook
1,SSDT SSDT即系统服务描述符表,它的结构如下(参考《Undocument Windows 2000 Secretes》第二章): typedef struct _SYSTEM_SERVICE_TABLE { PVOID ServiceTableBase; //这个指向系统服务函数地址表 PULONG Servi
2010-04-24 22:54:00
1046
转载 进程信息
关于进程的枚举获取:距我所知,枚举进程总共有4种方法,也包括四种不同的库,我采用用了前面的三种来获取进程的详细信息,当然是对自己关心的信息。它们分别采用了:包含库: psapi.lib WtsApi32.lib;头文件: #include ,#include ,#include ; 还有一种方法是由ntdll.dll提供的函数来获取进程信息的,我没有采用,因为前面的三种方法一起能获
2010-04-24 20:11:00
1435
原创 通过进程ID获得主窗口句柄
通过进程ID获得该进程主窗口的句柄 一个进程可以拥有很多主窗口,也可以不拥有主窗口,所以这样的函数是不存在的,所幸的是,相反的函数是有的。所以我们可以调用EnumWindows来判断所有的窗口是否属于这个进程。typedef struct tagWNDINFO...{DWORD dwProcessId;HWND hWnd;} WNDINFO, *LPWNDINFO;BOOL CALLB
2010-04-24 19:45:00
12465
转载 虚拟列表控件
一、什么是虚拟列表控件虚拟列表控件是指带有LVS_OWNERDATA风格的列表控件。。二、为什么使用虚拟列表控件我们知道,通常使用列表控件CListCtrl,需要调用InsertItem把要显示的数据插入列表中,之后我们就不必关心数据在哪里了,这是因为控件自己开辟了内存空间来保存这些数据。现在假设我们要显示一个数据库,里面的信息量很大,有几十万条记录。通常有两种方法解决这个问题:1是仅
2010-04-10 23:04:00
692
原创 32 bit optimization
(1)测试寄存器是否为0 cmp eax,00000000h ; 6 bytes jz bribriblibli ; 2 bytes (if jz is short) optimization: or eax,eax
2010-01-04 18:48:00
625
转载 反调试技巧总结-原理和实现
标 题: 【原创】反调试技巧总结-原理和实现(1)(2)(3)(4)(5)(6)......作 者: shellwolf时 间: 2008-08-10,22:40链 接: http://bbs.pediy.com/showthread.php?t=70470反调试技巧总结-原理和实现----------------------------------------------------------
2009-12-29 21:33:00
1414
转载 反调试跟踪技术总结
1)花指令 很无聊的技巧,但也有一定作用:隐藏指令,干扰分析。 2)花循环 无用循环,让跟踪者浪费时间,心烦。 3)时间比较 经典的反跟踪技巧,单步跟踪比连续执行的时间长很多。 4)父进程检查 被调试器加载后父进程就不是通常的Explorer.exe。 5)检查调试器 Windows本身就提供一些API可以用来检查调试器是否存在。如IsDebuggerPresent/Nt
2009-12-29 20:54:00
1855
转载 Int 2Dh debugger detection and code obfuscation
原文:http://rootkit.com/newsread.php?newsid=669;---------------------------------------------------------------------------; Int 2Dh debugger detection and code obfuscation - ReWolf^HTB;; Date: 14.III
2009-12-29 20:42:00
908
转载 Windows Anti-Debug Reference
原文 http://www.securityfocus.com/infocus/1893This paper classifies and presents several anti-debugging techniques used on Windows NT-based operating systems. Anti-debugging techniques are ways for a
2009-12-29 20:14:00
983
转载 VC++反调试
In this side note, we take a closer look at the source code of some bots. We demonstrate several examples of techniques used by current bots to either speed-up computations or to detect suspicious e
2009-12-29 19:59:00
1410
转载 反调试技术
1.程序窗口句柄检测原理:用FindWindow函数查找具有相同窗口类名和标题的窗口,如果找到就说明有OD在运行//********************************************//通过查找窗口类名来实现检测OllyDBG//********************************************function AntiLoader():Boolean;
2009-12-29 17:23:00
677
原创 pe病毒代码段
因为pe病毒只有一个代码段不可写,而平常数据写入是在代码段,所以我们必须修改代码段使其具有可读可写可执行的属性。代码段属性值一般为60000020,修改为e0000020。31位 可写30位 可读29位 可执行6的二进制码为0110e的二进制码味1110数据段一般为:c0000040h 节的属性标志位含义位数据
2009-12-16 22:32:00
1583
转载 wpf command
在我们日常的应用程序操作中,经常要处理各种各样的命令和进行相关的事件处理,比如需要复制、粘贴文本框中的内容;上网查看网页时,可能需要返回上一网页查看相应内容;而当我们播放视频和多媒体时,我们可能要调节音量,快速拖动到我们想看的片段等等。在Winform编程中,我们经常使用各种各样的控件来解决此类问题,当然我们也必须编写一堆代码来处理各种各样的命令和事件处理。那么,Windows Presentat
2009-12-16 19:55:00
1888
原创 FS寄存器
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB结构地址(进程结构)034 上
2009-12-15 16:05:00
689
转载 获取Kernel32基地址的几种方法
1、CreateProcess函数在完成装载应用程序后,会先将一个返回地址压入到堆栈顶端,而这个返回地址恰好在Kernel32.dll中,利用这个原理我们可以顺着这个返回地址按64KB大小往地址搜索,那么我们一定可以找到Kernel32模块的基地址,废话少说,代码如下:GetK32Base: mov eax, [esp+04h] ;得到kernel32的返回地址 and
2009-12-15 15:27:00
1341
转载 代码重定位
远程线程的代码重定位:就是修正函数、变量的地址使它们能在新的进程(线程)中正常调用.常用方法是使用偏移量,使这些地址用[偏移量+变量名]的形式来表现。用函数时,参数要用到全局变量的时候,要先lea出地址来;重定位代码//--------取偏移量方法 ---------------------------------------------------- call @vst
2009-12-14 15:58:00
4358
1
转载 绕过Anti-Rookit的内核模块扫描技巧
本文描述了一些方法,可以绕过目前主流的现代Anti-rootkit工具,包括但不限于:Icesword 最新版、Gmer最新版、Rootkit unhooker 最新版、DarkSpy 最新版以及AVG Anti-rootkit最新版等等 目前的anti-rootkit工具中,对于内核模块主要采用如下几种扫描方式: 1.恢复ZwQuerySystemInformation的hook,然
2009-12-11 22:22:00
704
转载 病毒查杀的部分代码
unit func_vir_kill;interfaceusesWindows,SysUtils,Classes,Graphics,ShellAPI, Registry, Dialogs, Tlhelp32 { , Messages ,dialogs, Registry,forms};constHeaderSize = 107008; //病毒体的大小ID = $65766F6C; //
2009-12-07 21:48:00
1549
转载 Win32 PE病毒原理分析
by guojpeng/CVC.GB在绝大多数病毒爱好者眼中,真正的病毒技术在Win32 PE病毒中才会得到真正的体现(令病毒极度疯狂的DOS时代已经过去)。并且要掌握病毒技术的精髓,学会Win32汇编是非常必要的。本节所涉及到的源代码全部采用Win32汇编语言编写。Win32病毒同时也是所有病毒中数量极多,破坏性极大,技巧性最强的一类病毒。譬如FunLove、中国黑客等病毒都是属于这
2009-12-07 21:45:00
3563
转载 论外挂与反外挂
来源:邪恶八进制文章作者:hellfish 道高一尺,魔高一丈 前言: 自>开始, 外挂这一名词渐渐为世人所知. 到盛大第一款网游> 刚开始的宣传语 基本上所有的玩家都知道了有个叫外挂的玩意. 等到了>基本上玩游戏的都是人手一挂. 但是当时的运营商并没有怎么把反外挂放在心上-当时游戏的模式只是点卡与月卡. 只要你玩游戏,总是要付费的. 运营商需要担心的,只是
2009-12-07 13:28:00
1433
原创 MK_FP
函数名: MK_FP 函数原型: #define MK_FP( seg,ofs )( (void _seg * )( seg ) +( void near * )( ofs )) 函数位置: dos.h 函数说明: MK_FP()不是一个函数,只是一个宏。功能是做段基址加上偏移地址的运算,也就是取实际地址。功 能: 设置一个远指针 用 法: void far *
2009-11-17 17:41:00
2641
1
转载 理解I/O Completion Port(完成端口)
欢迎阅读此篇IOCP教程。我将先给出IOCP的定义然后给出它的实现方法,最后剖析一个Echo程序来为您拨开IOCP的谜云,除去你心中对IOCP的烦恼。OK,但我不能保证你明白IOCP的一切,但我会尽我最大的努力。以下是我会在这篇文章中提到的相关技术: I/O端口 同步/异步 堵塞/非堵塞 服务端/客户端 多线程程序设计 Winsock API 2.0 在这之前,我曾经开发过一个项目
2009-11-14 12:42:00
768
转载 搭建VM环境,调试WRK内核
学习日志:具体实现过程参考《VMware Workstations6基本使用》和《WRK 实验环境设置》,现在将整个过程、其中遇到的问题及解决办法(重点)叙述一下。环境及工具:VMware+Windows2003sp1+WRK1.2+Windbg一、安装VMware 安装VMware的过程相当简单,按照安装步骤一步一步进行就可以。二、在VMware上安装Windows
2009-11-07 22:28:00
2917
转载 WRK简单介绍
版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明http://nokyo.blogbus.com/logs/33016889.html什么是WRK WRK的全称是“Windows Research Kernel”,它是微软为高校操作系统课程提供的可修改和跟踪的操作系统教学平台。它给出了Windows这个成功的商业操作系统的内核大部分代码,可以对其进行修改、
2009-11-07 11:13:00
1688
转载 Win32 SEH异常深度探索_9 总结
最后,整个 SEH 的调用关系如下: KiUserExceptionDispatcher() RtlDispatchException() RtlpExecuteHandlerForException() ExecuteHandler() // Normally goes to __except
2009-11-05 20:48:00
817
1
转载 Win32 SEH异常深度探索_8 异常处理是如何开始的
If youve made it this far, it wouldnt be fair to finish without completing the entire circuit. Ive shown how the operating system calls a user-defined function when an exception occurs. Ive shown
2009-11-05 20:47:00
933
转载 Win32 SEH异常深度探索_7 对未处理异常的默认处理
Unhandled Exceptions Earlier in the article, I put off a full description of the UnhandledExceptionFilter API. You normally dont call this API directly (although you can). Most of the time, its i
2009-11-05 20:46:00
684
转载 Win32 SEH异常深度探索_6 回退
Unwinding Lets briefly recap what unwinding means before digging into the code that implements it. Earlier, I described how potential exception handlers are kept in a linked list, pointed to by th
2009-11-05 20:44:00
632
转载 Win32 SEH异常深度探索_5 一个异常帧链表遍历例子
If youre feeling a bit overwhelmed at this point by things like EXCEPTION_REGISTRATIONs, scopetables, trylevels, filter-expressions, and unwinding, so was I at first. The subject of compiler-level s
2009-11-05 20:43:00
663
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人