AntiVirus & Reverse
文章平均质量分 64
pengdawei521
这个作者很懒,什么都没留下…
展开
-
木马入侵的工作原理
木马入侵的工作原理 在介绍木马的工作原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。一个完整的木马系统由硬件部分,软件部分和具体连接部分组成………… 一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。 (1)硬件部分:建立木马连接所必须的硬件实体。控制端:对服务端进行远程控制的一方。服务端:被控制端远程控制的一方。INTERN转载 2006-10-30 17:00:00 · 1863 阅读 · 0 评论 -
一段加密的Javascript风险代码
一段加密的Javascript风险代码,利用IE及其插件漏洞传播病毒:var vDA1 = new window["/x44/x61/x74/x65"]()//datevDA1["/x73/x65/x74/x54/x69/x6d/x65"](vDA1["/x67/x65/x74/x54/x69/x6d/x65"]() + 24*60*60*1000)//setTime getTimevar eOT原创 2007-10-19 19:20:00 · 777 阅读 · 0 评论 -
Anti Debug 二
利用GetTickCount API的Anti Debug的例子, 反汇编代码:004088C8 |. FF55 EC CALL DWORD PTR SS:[EBP-14] ; GetTickCount004088CB |. 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX;得到第一个GetTickCount值0原创 2007-09-27 18:55:00 · 414 阅读 · 0 评论 -
病毒命名规则
一般格式为:..。病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀Trojan,蠕虫病毒的前缀是Worm等等还有其他的。病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的“CIH”,还有近期闹得正欢的振荡波蠕虫病毒的家族名是“Sasser”。病毒后缀是指一个病毒的变种特征,是原创 2007-10-24 11:04:00 · 206 阅读 · 0 评论 -
网络安全知识:认识变形病毒的基本类型
病毒传播到目标后,病毒自身代码和结构在空间上、时间上产生了不同的变化,这种病毒被称为是变形病毒。 我们以下简要划分的变形病毒种类分为四类。 第一类变形病毒的特性是:具备普通病毒所具有的基本特性,然而,病毒每传播到一个目标后,其自身代码与前一目标中的病毒代码几乎没有三个连续的字节是相同的,但这些代码其相对空间的排列位置是不变动的,这里称为:一维变形病毒。 在一维变形病毒中, 个别的转载 2007-10-24 13:24:00 · 596 阅读 · 0 评论 -
C语言函数调用约定
在C语言中,假设我们有这样的一个函数:int function(int a,int b)调 用时只要用result = function(1,2)这样的方式就可以使用这个函数。但是,当高级语言被编译成计算机可以识别的机器码时,有一个问题就凸现出来:在CPU中,计算 机没有办法知道一个函数调用需要多少个、什么样的参数,也没有硬件可以保存这些参数。也就是说,计算机不知道怎么给这个函转载 2007-10-25 12:56:00 · 338 阅读 · 0 评论 -
IE MS06014漏洞share一下
密码: Option Explicit function Decode(k) dim s,t,i s=Split(k," ") t="" For i = 0 To UBound(s) t=t+Chr(s(i)) Next Decode=t End Function原创 2007-10-25 15:07:00 · 466 阅读 · 0 评论 -
病毒感染技术分析
前言病毒感染技术五花八门,这里对其做一大概介绍,并对一些应用不多但比较有潜力的技术加以分析。文中以Win32病毒为主,但也提搅艘恍〥OS病毒技术,由于涉及面比较广,错误在所难免,请大家多多包涵! 一、传统技术这里说的传统,指的是比较典型、应用比较多的感染方式,而不是普通意义上“老掉牙”的那种传统!一般传统的病毒感染技术分成下面几类:1.后缀式感染这是DOS以及Windows下文件型病毒最常转载 2007-10-29 15:59:00 · 555 阅读 · 0 评论 -
取一个进程的父进程名
#include #include #include #include int main(int argc, char* argv[]){ DWORD dwCurProId = 0, dwParentId = 0; HANDLE hProcess = NULL, hProcessSnap = NULL; PROCESSENTRY32 pe32 = {0}; pe32.dwS原创 2007-10-17 16:20:00 · 535 阅读 · 0 评论 -
windows 文件夹BUG
CreateDirectory(_T("D://Program Files//360safe//MFC42.DLL//10I11O10..//"), NULL); RemoveDirectory(_T("D://Program Files//360safe//MFC42.DLL//10I11O10..//"), NULL);dd原创 2007-11-07 18:39:00 · 213 阅读 · 0 评论 -
病毒 资料篇
1 服务器ARP攻击《服务器被ARP攻击了》 http://www.zenghuijun.com/post/ARP-attack.html《服务器ARP病毒攻击分析与防御》http://www.cuobie.cn/blog/parser-server-arp-attack.html《ARP欺骗攻击防护》http://www.7x24.cn/colocation/arp-safety.htm《ARP原创 2007-11-12 16:44:00 · 453 阅读 · 0 评论 -
Reverse
OllyDbg+WinXP万能断点法:POINT H收集翻译http://bbs.pediy.com/showthread.php?s=&threadid=10833&highlight=pointhPoint-h in WinXP english tutorial http://bbs.pediy.com/showthread.php?s=&threadid=8915&highlight=p原创 2008-02-19 18:15:00 · 292 阅读 · 0 评论 -
com/lsass.exe smss.exe(磁碟机病毒) 感染方式之我分析 -- 2008第一博
为XXX研究所提供技术支持时截获的样本,com/lsass.exe smss.exe,病毒中文名为磁碟机病毒,貌似很强,此等病毒岂能错过,分析之,不感独乐,遂将感染方式贴上:感染文件类型:(文件全名后三位)1 .htm, tml, .js2 .exe3 .rar, .zipweb文件感染函数:1 按行读取web文件内容2 如果没有找到匹配的:document.write(""); 则在文件原创 2008-01-08 19:34:00 · 918 阅读 · 0 评论 -
强行卸载DLL模块
// 程序功能:结束进程中的一个模块。// 程序日期:2006.10.8 // 程序说明:这个程序写于2003年,主要针对一些木马注入程序。以往结束远程注入木马(dll)时需要 // 结束进程,这个程序不用结束进程而直接结束单个DLL。结束后会出现一些问题,某些情况// 下会导致整个进程异常,这是很正常的,例如结束了一个进程需要调用的DLL;或者结束后DLL//转载 2007-09-12 16:44:00 · 422 阅读 · 0 评论 -
再读PE结构(二)
传上第二部分三、数据目录表1 数据目录表是干什么的? 用以快速定位PE结构中的其他的结构:输出表、输入表等。数据目录表的大小一般为16(IMAGE_NUMBEROF_DIRECTORY_ENTRIES)个,它的大小由文件头结构中的SizeOfOptionalHeader指定。其结构定义为:typedef struct _IMAGE_DATA_DIRECTORY { DWORD Virt原创 2007-09-03 20:21:00 · 401 阅读 · 0 评论 -
发现LordPE一BUG
今天发现LordPE的中FLC(File Location Calculator)计算地址的一个BUG。测试文件,壳:Krypton 0.5 -> Yado/LocklessEP:0x00077000File Offset: 00001000ImageBase: 00400000SectionAlignment::00001000FileAlignment::00000200NumberOfSe原创 2007-08-24 13:06:00 · 317 阅读 · 0 评论 -
木马的基本原理
本文试图以我国最著名的木马之一 冰河为例,向大家剖析木马的基本原理,为大家揭开木马的神秘面纱。 木马冰河是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。 一、基础篇(揭开木马的神秘面纱)无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是转载 2006-11-02 18:51:00 · 1066 阅读 · 0 评论 -
手动脱PEcompact 2.x
手动脱PEcompact 2.x的壳一、OllyDbg忽略内存访问异常,载入主程序:00401000 > B8 1CBA5000 MOV EAX,0050BA1C00401005 50 PUSH EAX00401006 64:FF35 0000000>PUSH DWORD PTR FS:[0]0040100D 6转载 2006-11-09 18:54:00 · 1150 阅读 · 0 评论 -
透视木马程序开发技术:病毒源代码详解(下)
6、目标机器情况的获取 相对于以上几部分来说,这里实现的方法简单多了,这一段内容会比较轻松,一般获取机器情况的方法是调用相关的API,这一点上是和应用程序很相像的。 AnsiString cs; FILE *fp; fp=fopen("temp.had","w+"); //TODO: Add your source code here //获得CPU型号转载 2006-11-10 16:16:00 · 514 阅读 · 0 评论 -
透视木马程序开发技术: 源代码详解(上)
近年来,黑客技术不断成熟起来,对网络安全造成了极大的威胁,黑客的主要攻击手段之一,就是使用木马技术,渗透到对方的主机系统里,从而实现对远程操作目标主机。 其破坏力之大,是绝不容忽视的,黑客到底是如何制造了这种种具有破坏力的木马程序呢,下面我对木马进行源代码级的详细的分析,让我们对木马的开发技术做一次彻底的透视,从了解木马技术开始,更加安全的管理好自己的计算机。 1、木马程序的分类木马程序技转载 2006-11-10 15:26:00 · 607 阅读 · 0 评论 -
透视木马程序开发技术:病毒源代码详解(中)
4、木马程序的建立连接的隐藏 木马程序的数据传递方法有很多种,其中最常见的要属TCP,UDP传输数据的方法了,通常是利用Winsock与目标机的指定端口建立起连接,使用send和recv等API进行数据的传递,但是由于这种方法的隐蔽性比较差,往往容易被一些工具软件查看到,最简单的,比如在命令行状态下使用netstat命令,就可以查看到当前的活动TCP,UDP连接。 C:/Documents转载 2006-11-10 16:14:00 · 467 阅读 · 0 评论 -
DLL木马的原理
DLL木马的原理 DLL木马的实现原理是编程者在DLL中包含木马程序代码,随后在目标主机中选择特定目标进程,以某种方式强行指定该进程调用包含木马程序的DLL,最终达到侵袭目标系统的目的。 正是DLL程序自身的特点决定了以这种形式加载木马不仅可行,而且具有良好的隐藏性: (1)DLL程序被映射到宿主进程的地址空间中,它能够共享宿主进程的资源,并根据宿主进程在目标主机的级别非法访问相应的系统资转载 2006-11-10 16:56:00 · 478 阅读 · 0 评论 -
一个人慈的马儿
木马可谓是见缝就插,想尽一切办法,让自身加载到内存运行。今天却 碰一个人慈的马儿,不多得儿。拿来看看.....00404373 |> /68 346F4000 PUSH Worm_Win.00406F34 ; /pLocaltime = Worm_Win.00406F3400404378 |. E8 B3F5FFFF CALL原创 2007-04-05 17:14:00 · 364 阅读 · 0 评论 -
sysload3.exe 感染型病毒分析
sysload3.exe分析结果:一、基本信息MD5:e1c174d72cca73ade18c72772d840794 二、病毒特征 感染型病毒,可通过局域网、软盘、U盘传播。该样本主要感染文件类型为.exe,且文件大小介于10K 和 10M 的文件。三、病毒现象 1 创建自启动项: HKEY_CURRENT_USER/Software/Microsoft/W原创 2007-04-06 18:41:00 · 773 阅读 · 0 评论 -
Rabbit.exe病毒分析报告
Rabbit.exe兔子病毒分析报告 一、基本信息 MD5:c22b19f74737c6b464c1650ac633f7e1壳:*PESHiELD 0.25 -> ANAKiN* 二、病毒特征 蠕虫,该病毒破坏用户电脑上的可执行程序(.exe)文件,破坏后的EXE文件将不可恢复,当用户中毒后,系统资源被大量消耗,使用户无法正常工作。 该病毒会关闭正在运行的I原创 2007-04-11 18:04:00 · 615 阅读 · 0 评论 -
Windows自动启动归纳:
Windows自动启动归纳:一、Run键值实现 1. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce HKEY_LOCAL_MACHINE/SOFTWARE/Micro原创 2007-04-30 23:02:00 · 741 阅读 · 0 评论 -
强悍的PegeFile.pif(下载者+ARP欺骗)分析
中毒后的现象: 1)下载N多木马, 2)ARP欺骗了,局域网内的其他电脑上网时,都会先访问hxxp://www.369678.cn/ppp.html,下载病毒。 隐藏的有点诡异, 产生的文件: 1) 每个磁盘分区下都有这两个文件: autorun.inf PegeFile.pif 2) 其他文件 c:/windows/ TIMHost.exe NVDispDrv.ex原创 2007-08-09 22:46:00 · 1015 阅读 · 0 评论 -
再读PE结构(一)
还记得第一次见到PE这个名词的时候,还是在铜陵市图书馆里,在一本《计算机学报》里看到的,也不知道是哪一期了,当时也没看明白说的什么,看的云里雾去。第二次又见PE是半年前,因为工作需要,花了几天通了解了一遍,现在又忘的差不多,其中也有一部分当时看的就似懂非懂。所以现在在拾起来再看一遍,谁叫它是Windows的基础呢。费话就不多说了,下面开始。PE结构鸟瞰一、PE文件的存储形式磁盘中的PE文件原创 2007-08-20 22:08:00 · 371 阅读 · 0 评论 -
Windows任务管理器被禁用的解决
1. 修改注册表键值: 修改HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System 子键下的DisableTaskMgr为DWOD 0x000000002. 使用Windows中的组策略: “开始” --> "运行",输入“gpedit.msc”,选择 [”本地计算机“策略] --> [用户配置原创 2007-05-26 22:33:00 · 628 阅读 · 0 评论 -
Sality.q病毒变种之EXE感染方式分析
/* Sality.q病毒变种之EXE感染方式分析 * 文件名:vcmgcd32.dll * MD5:ae22ca9f11ade8e362254b452cc07f78 * 壳:未加 * By Vincent.peng on 2008.04.08 */调试方法:在Fun为10003FF0的CreateThread断下,然后转EIP到10003FF0处。一、感染过程分析:1 保存文件属性、时间。2 设原创 2008-04-10 10:20:00 · 1249 阅读 · 0 评论