m0_64973256的博客

欲想善其事必先利其器，无论是网络安全何种方向，都有自己经常用的工具环境，那么PWN也一样，拥有一个完善的工具环境，可以节约我们很多事，也不会在关键时候因为外在条件而卡壳，可谓逢山开山，逢水架桥，成为一个牛逼pwn手。命令：sudo apt install open-vm-tools。

那么这件事为什么会引起全球关注呢，大家通过美国对日本投放原子弹后果，导致广岛长崎任然处于核辐射领域，再加上当时幸存者受到核辐射的一系列反应后果，现在对于“核辐射”，“基因变异”等相关字眼已经属于闻风丧胆的地步，而对于人体危害根据核辐射强度，会导致疲劳、头昏、失眠、皮肤发红、溃疡、出血、脱发、白血病、呕吐、腹泻等。匿名者起源于国外，是一种以共同理念组成的黑客团体，当然，匿名者自称其不是组织，也不属于任何一个企业和政党，它只是一个理念，一个想法。而日本原子能机构表示，其网站的流量是平时的100倍。

第三个箭头就是删除文件类操作。当然这次没有细致分析，大概知道病毒都是下载文件，然后遍历目录筛选后缀exe和rar的程序进行写入，因为是静态分析，所以细致东西并没有发现，下次会结合动态分析更加详细的分析一次。这里是对文件进行写入操作；这里就是遍历目录，筛选exe和rar后缀，对这类文件进行写入；恶意服务器网址：[ddos.dnsnb8.net]这款木马从恶意网址下载东西，然后修改本地文件；这边有大量的对本地文件修改；

1.张雪峰老师简介张老师本名张子彪，1984年出生于黑龙江省齐齐哈尔市，毕业于郑州大学给排水专业，目前是苏州峰学蔚来教育科技有限公司法定代表人，苏州研途教育科技有限公司副总裁、联合创始人。2023年1月9日，当选江苏省第十四届人民代表大会代表。2016年凭借《七分钟解读34所985高校》走红，主要研究考研方向，大学选报专业等方向。经常上各类节目，并在抖音平台发表作品，直播连麦解答选就业考研等相关问题，在这块领域有很高的成就和庞大的粉丝基础。2.张雪峰老师力荐的十大专业。

文件名称：文件类型(Magic)：文件大小：52.50KBSHA256：SHA1：MD5：CRC32：757BDFA1SSDEEP：ImpHash：首先开始运行，判断是否有病毒的注册表：是：注册函数设置服务请求–设置启动服务–找到dll，释放–把病毒和服务加到hra33.dll，然后加载此dll–线程1（家里IPC链接，局域网内传播，定时启动）—后面三个线程链接服务器下载东西，根据指令进行不同操作；否：启动病毒服务–设置键值–删除原病毒。

作者丨黑蛋。

视频制作不易，求三联支持，拜谢~+公众账号（极安御信安全研究院/北京极安御信安全研究院）报暗号：“资料” 即可领取视频相关工具、源码、学习资料，和其他逆向工程免费课。

当然病毒的主要目的是破坏，可能刚感染病毒并不会有什么提现，就像生物学中的病毒一样，到了某个时刻或者触发了某些情况，他就会疯狂感染我们的计算机文件，一传十十传百，而计算机感染会出现什么症状因不同病毒而异。子病毒会干什么事呢，他会遍历所有文件，把所有的exe程序感染成自己，图标换成一个熊猫烧香的图案，然后会通过对Windows注册表操作，杀死杀毒软件，并通过侵染web文件进行网络传播，当然熊猫烧香本体还会造成电脑蓝屏，频繁重启等情况，目前流传的都是变种。是一款以破坏为目的的病毒。

一、病毒信息病毒名称：骷髅病毒文件名称：d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827文件格式：EXEx86文件类型(Magic)：PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed文件大小：66.50KBSHA256：d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827S

首先黑客可以控制肉鸡的所有行为，包括鼠标，磁盘，摄像头等，这对称为肉鸡的用户来说是很可怕的事情，这样用户是没有任何隐私的，听起来很遥远，但是他就在我们身边。被“盗号”其实就是最常见的一个体现，不止游戏账号很危险，包括游戏里面各种装备，除开游戏，你的QQ账号也很危险，包括QQ里面的虚拟货币等财产。最后，我们简单说一下如果发现我们电脑已经沦为肉鸡，我们应该怎么做呢，首先就是断网，然后马上备份重要文档，随后就是在设置中恢复至上一个节点，最后用杀毒软件进行全面杀毒，，然后马上更改一些账户密码。

这次漏洞属于堆溢出漏洞，他是MIDI文件中存在的堆溢出漏洞。在IE6，IE7，IE8中都存在这个漏洞。而这个漏洞是Winmm.dll中产生的。MIDI文件属于二进制文件，这种文件一般都有如下基本结构：文件头+数据描述 文件头一般包括文件的类型，因为Midi文件仅以。mid为扩展名的就有0类和1类两种，而大家熟悉的位图文件的格式就更多了，所以才会出现文件头这种东西。他通过Winmm.dll解析这种文件之后可以播出音乐。结构图如下：块名称块标记（四字节）块长度（四字节）块数据头块“MThd”

作者丨黑蛋目标程序调试工具16进制编辑器XP SP3ollydbg010Editor。

视频制作不易，求三联支持，拜谢~+公众账号（极安御信安全研究院/北京极安御信安全研究院）报暗号：“资料” 即可领取视频相关工具、源码、学习资料，和其他逆向工程免费课。

有了Shellcode，我们可以开始进行漏洞分析，这里就需要动态调试工具OD了，去附加有漏洞的进程，通过附加Office2003，找到漏洞溢出点，所以研究漏洞，我们还需要对汇编语言的学习，以及对调试工具的熟练使用，而熟练使用调试工具，我们是必备一定的正向开发基础，以及扎实的汇编基础，随后才可以对调试工具的使用进行学习练习。然后才可以通过对漏洞软件的调试，找到溢出点，然后构造我们的Payload，完成我们一次对漏洞Exp的编写，完成我们一次对漏洞的分析利用。语言，数据结构，系统编程，

剩下的就是对二进制人员的基础能力要求了，熟悉汇编啊，熟悉C和C++的底层实现，熟悉各种调试工具，具有较强的软件分析能力。4、相关证书和学历：一些游戏安全相关的证书，如CISSP、CEH等，以及相关学历如信息安全、计算机科学等，可以帮助您在游戏安全领域获得更多的就业机会。除此之外，我们对于FPS游戏和RPG游戏都有反外挂实战课程，RPG游戏目前已经更新到第二款游戏，接近完结，后续还会持续更新。3、定期更新和维护游戏安全：游戏厂商应该定期更新游戏，修复漏洞和安全问题，确保游戏的安全性。

这是一个驱动开发岗位，他对网络安全这块的知识点要求比较高，首先一般程序员是不会学习涉及到驱动开发之类的东西，这类的东西书籍少，学习视频更少，受众小，所以研究人员也是很少的一部分，在庞大的计算机人员中属于小众。安全开发同样是网络安全领域的一大方向，包含很多，与其他方向不同的是，安全开发对于编程能力的要求要更高，就像对多种编程语言的熟练，开发工具的熟练使用以及算法之类的东西。安全开发人员需要具备良好的学习能力和对新技术的敏感性，不断学习和掌握新的安全技术和防御方法，以保证系统或应用程序的安全性。

这里REVERSE和PWN属于二进制方向，也是我们方向找工作，会在CTF中负责的模块，要么负责出题，要么负责打比赛，REVERSE就是逆向，它比较杂乱，不仅仅有Windows平台上的题目，还会给安卓平台上的题目，还有各种语言写成的文件，Java、go、python、C、C++等，然后又会有各种壳，VM，反调试手段，各种加密算法的考验，REVERSE一直以来都是CTF比赛中难度最大的一个方向。最后根据获取的分数进行排名。这个要求比较多，和CTF相关，设计CTF，AWD的题目设计，以及对学员进行培训等。

之前我们简单看了看二进制逆向岗位和漏洞岗，今天我们来看一看病毒岗位，就单纯看二进制病毒岗位和漏洞岗位，其所需要的基础知识是差不多的，在Windows平台上，无非就是汇编，C语言，C++，数据结构，算法，Windows系统编程，PE文件，逆向能力，包括对汇编代码的阅读能力，对各种逆向工具的使用，像OD，Ida，Windbg等等。这个岗位要求很基础，都是对反病毒，逆向工程，系统漏洞有强烈兴趣，但是没有具体要求，然后就是熟悉汇编，熟练使用反汇编工具，具有一定正向开发能力等二进制基础要求。是写报告，分析数据这种。

按照22年对各大乙方公司校招招聘信息了解，他们的招聘信息会比这里看到的更加详细，介绍岗位所需要的知识储备，具体技术都会列举出来，大部分安全研究岗位是需要进行笔试的，而就漏洞岗位，按照不同公司有不同难度，这个没办法确认，只能做足准备，但是他的分值要求也不会很高，这只是一个淘汰赛，然后会按照笔试分数高低优先安排面试，而笔试有简单有较难，就是一些漏洞基础知识，类似EXP指什么，POC是什么意思之类的问题，这是属于简单难度笔试题，会稍微涉及到其他知识问题。，这是渗透方向经常使用的语言，所以这个岗位应该是。

1、可以看到，这是属于，负责安卓应用的加解密等逆向工作，懂得ARM，x86以及Smali指令集，熟悉安卓底层，并拥有一定的开发能力，这个是职位描述，而任职资格无非就是对求职者更加详细的要求，需要求职者拥有软件逆向分析技术，动静态调试能力，使用安卓反编译工具，熟悉加密算法，熟悉安卓和Linux底层文件格式等等。2、像这个岗位，属于Windows逆向，偏向于病毒这块的岗位，除了对基础知识的要求，还包括对工具的使用，编程能力等基础要求，对技术要求就是病毒对抗方面的技术，当然最后的要求等于没说。

小红是一个喜欢新鲜事物的人，一天他在某电商平台上看到有39元的超值福袋出售，根据卖家的描述，福袋里面的东西不指定随机发货，运气好的话有九成新的数码产品，手表，钱包球鞋等等，运气一般的话就是过季的服饰，零碎的物品，福袋的质量，不保证东西不退不换，但是可以买一份刺激，这种销售模式让小红觉得非常的新奇，而且卖家的品种里面还有好几个晒图说收到了价值几百块的衣服和数码产品，于是他马上下单，过了几天小红收到了寄来的快递，拆开之后，他才发现里面是一根劣质耳机和一条塑料珠子串成的手链，加起来不超过5块钱。

我们针对电视剧中出现的羊毛党这一群体进行详细了解一下：首先对于羊毛党而言，受害者是商家，就像电视剧中某公司饮料在饮料瓶盖进行二维码兑换活动，结果被羊毛党修改二维码，进行大量的中奖兑换，导致公司损失惨重。（2）营销活动相关：就像抢茅台这种，利用大量账号，脚本去抢购原价茅台，然后高价转卖出去，获取大量利润，或者什么无门槛优惠卷等东西；（3）黄牛：和羊毛党有些类似，对各种优惠产品进行抢购，再转卖，像演唱会门票，各种优惠卷等；（2）垃圾注册：用假的身份信息，虚假的电话号码，邮箱等批量注册账号，进行养号；

作者：selph。

当用户传入0x222080的时候，驱动进入这个分支，如果数组byte_140013190里的8个值均为1，则会跳转到LABEL_21，很显然，这里验证的内容是dword_140003000的开头是否是hitcon，这说明这里会出现flag。于是经过一番倒腾测试，发现执行一个函数，只有最后一个函数能执行下去，能行，一定是顺序问题，经过又一番测试，得到最终测试顺序，这大概是某种保护手段，阻碍静态分析，真正的函数是运行中动态生成的（实测，异或这两轮的结果并不是可执行的代码）

可以看到，ESI地址指向的值已经拷贝到了栈中EBP-10的位置向下。而返回地址在EBP+4的位置，我们已经可以确定淹没返回值的位置了。cve-2010-3333是一个Office 2003 的栈溢出漏洞，其原因是在文档中读取一个属性值的时候，没有对其长度验证，导致了一个溢出，看着很简单的一个漏洞，却又有点恶心人。这里7FFA4512已经被识别成70004512。后面的弹窗shellcode也是一样。标记3处：这里是00000000，用来让je跳转，不要进入循环call；

所以我们需要在EQNEDT32.exe中下断点，而不是word里面下断点。可以看到计算器的父进程是cmd，但是cmd的父进程存在PID，但是在列表中却找不到PID为1404的进程，卡顿许久，猜测或许是cmd父进程隐藏了自己或者启动时间太短，启动完自己结束。也就是这里是通过淹没返回地址到WinExec上，然后通过修改字符串控制WinExec的参数，启动cmd打开计算器实现。通过启动cmd，打开了计算器，而之后的的AAAA等都是传给计算器参数，是无效的。

前面这步操作无伤大雅，接下来就是构造shellcode了，我们的shellcode肯定在栈中，需要在溢出点那边跳到shellcode中，栈中地址都以00开头，所以不能直接跳转，经过构思，我们可以搞一个jmp esp的跳板，放在溢出点，跳到自身溜下去执行我们的shellcode。shellcode由三部分组成，前一部分无所谓，别放00就行，溢出点放一个跳板地址jmp esp，跳板后面跟我们的弹框shellcode。在这里我们需要知道，ret之后eip指向esp的值，而溢出点就在ESP+C的位置；

CVE-2012-0158是一个office栈溢出漏洞，Microsoft Office 2003 sp3是2007年9月18日由微软公司创作的一个办公软件，他的MSCOMCTL.ocx中的MSCOMCTL.ListView控件检查失误，由于读取长度和验证长度都在文件中，这样参数可以人为修改，触发缓冲区溢出漏洞。拖到010Editor中，搜搜有没有9090（nop滑板指令，大部分会有这种指令用来凑数或者保护数据等）之类的，运气不错，找到相似的。

作者：黑蛋上篇文章说到周游去偷秦淮电脑东西，并绕过了秦淮电脑开机密码。但是随后又因为周游自己使用的软件有病毒，有损毁文件的功能，导致秦淮一直在分析的数据丢失了一部分。所以他们又开始神乎其技的恢复数据： 我们大家在平时，误删的文件都会在回收站中找回，但是如果在回收站中都删除了，那么就毫无办法。但是如果拿到修电脑的技术人员手中，亦或者网上有很多种数据恢复软件，都是可以恢复数据的。那么这种神奇的手段原理是什么呢，今天我们就来聊一聊常见的数据恢复技术–软件恢复。在聊软件恢复前，我们先简单介绍看一下操作系统对文件

这是社会工程师中使用最为广泛的方法，原理大致是这样的，社会工程师首先通过各种手段(包括伪装)成为你经常接触到的同学、同事、好友等，然后，逐渐，他所伪装的这个身份，被你的公司其他同事认可了，这样，社会工程师会经常来访你所在的公司，并最终赢得了任何人的信赖。就像我们在电影上、电视剧中的梦幻情节，忽然在某天，有一位帅哥(或美女)突然要约你出去，期间，你们俩就一见投缘，谈笑甚欢，更美妙的是，见面之后，一次次约会接踵而来，直到她可以像讨论吃饭一样，不费精力就能轻而易举从你的口中，套出了公司的机密信息。

由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。反射器在收到数据包是，会认为该数据包是由目标所发出的请求，因此会将响应的数据发送给目标，当大量的响应数据包涌向同一个目标时，就会消耗目标的网络带宽资源，以此造成DDoS攻击的目的。DNS的作用就是通过主机名，最终得到该主机名对应的IP地址的过程叫作域名解析(或主机名解析)，在解析域名时，首先采用静态域名解析的方法，如果静态域名解析不成功，再采用动态域名解析的方法，将一些常用的域名放入静态域名解析表中。

这也就意味着，我们可以对目标主机为所欲为，做很多普通人无法想象的事情。而像删除照片等事情更是毫无难度，但是在这里我们需要了解一个事情，客户端运行时需要管理员权限的，才可以做到这些事情，所以在使用软件的时候，我们必须格外注意权限的给予，否则我们的隐私将被一览无余。

随着现代软件工业的发展，软件规模不断扩大，软件内部的逻辑也变得异常复杂。防御系统本质是带来了一层保护层，而如果知道系统漏洞，就可以直接绕过保护，类似于家门口上的锁，我用了某家的锁来锁门，来防止小偷，但是制造锁的人却知道如何简单的撬开锁，甚至有一把备用钥匙，可以让锁形同虚设。在这里我们可以看到，如果输入正确口令，那么就可以打开大门，但是如果是作者喊出的口令，无论对错，都会打开大门，这里可以看做作者给自己留的后门，而这个后门是其他人不知道的，如果其他黑客发现这个地方，那么就可以模拟作者声音喊出口令，打开大门。

计算机病毒是人为制造的，有破坏性，又有传染性和潜伏性的，对计算机信息或系统起破坏作用的程序。它不是独立存在的，而是隐蔽在其他可执行的程序之中。计算机中病毒后，轻则影响机器运行速度，重则死机系统破坏；因此，病毒给用户带来很大的损失，通常情况下，我们称这种具有破坏作用的程序为计算机病毒。

通俗来讲，白帽子是指从事正当行业的黑客，他们相当于黑帽与白帽，也就是对网络有很深的了解，并且不骚扰别人。至于灰帽子，是介于白黑之间，亦称灰帽黑客、灰帽子黑客，是指那些懂得技术防御原理，并且有实力突破这些防御的黑客——虽然一般情况下他们不会这样去做。与白帽和黑帽不同的是，尽管他们的技术实力往往要超过绝大部分白帽和黑帽，但灰帽通常并不受雇于那些大型企业，他们往往将黑客行为作为一种业余爱好或者是义务来做，希望通过他们的黑客行为来警告一些网络或者系统漏洞，以达到警示别人的目的，因此，他们的行为没有任何恶意。

终于在第四集中，给出了答案。至此，大家应该对IP地址有一个较为清晰的认知，同时，我们也应该知道IP溯源的关键点，拿到对方IP，即攻击源捕获，方法有很多，像扫描IP，日志与流量分析，钓鱼邮件等手段获取敌方IP。以上知识手段只是简单介绍，他属于网络安全方向中的渗透方向，如果对网络安全渗透方向有了深入的学习，不单可以做到很多很酷的黑客事情，也可以应聘像安全服务工程师，安全研究等网络安全岗位，拿到及其可观的薪资。地址就像是我们的家庭住址一样，如果你要写信给一个人，你就要知道他（她）的地址，这样邮递员才能把信送到。

这个画面一闪而过，可以看到，在这个画面中可以看到一堆有锁的文件，还有“已耗时1003天，预计剩余8928天”，“FILE TRANSFER DECRYPTION（文件传输解密）”等字眼，我个人感觉这是一个伏笔，一条隐线。秦淮已经等待这个文件破解已经三年左右，还需要8928天，这条时间线很关键。哈哈哈，废话不多说，今天在这里，给大家介绍一个东西–压缩包密码破解工具（ZIP），就像秦淮正在做的事。可以看到，密码已经被爆破出来，这就是一次简单的压缩包爆破例子。

所谓的钓鱼网站到底是个什么东西，他是黑客手段中比较简单常见的一种技术，简单来说就是仿造正规网站，然后通过用户授权，输入关键信息，这些信息会反馈到黑客的服务器后台中，达到获取用户信息的目的。如果手机上下载了恶意软件，这些软件可以自己设置自启动，自己后台运行，获取键盘输入信息，各种网站浏览记录，手机保存照片视频等，把这些信息发送到黑客手中，获取用户在某个网站账户信息，就可以登录这个网站，获取更多的信息，亦或者进行其他恶意行为，也可以售卖用户信息，然后不法分子可以通过这些信息，对用户实施诈骗。

有趣的验证方式，通过输入的用户名生成贪吃蛇地图，通过密码来进行移动，吃完豆子CC，走到终点DD算验证通过，很有趣的一次逆向体验。本文图片未能上传成功请移步公众号：极安御信安全研究院 查看。

本文图片未能上传成功请移步公众号：极安御信安全研究院 查看作者：selph。