![](https://img-blog.csdnimg.cn/20201014180756916.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
security
文章平均质量分 63
萧柚
这个作者很懒,什么都没留下…
展开
-
傀儡进程内存Dump
简单的说是指通过给CreateProcess传递一个CREATE_SUSPENDED参数可以使得被创建的子进程处于挂起状态,此时EXE的映像会被加载到进程空间中,但是并不会立即被执行,除非调用ResumeThread。在ResumeThread之前,通过GetThreadContext获取主线程的上下文以取得PEB等,调用ZwUnmapViewOfSection/NtUnmapViewOfSect转载 2014-05-23 14:19:40 · 1217 阅读 · 0 评论 -
OAUTH认证
OAUTH认证授权的流程进行初步认识。其实,简单的来说,OAUTH认证授权就三个步骤,三句话可以概括:1. 获取未授权的Request Token2. 获取用户授权的Request Token3. 用授权的Request Token换取Access Token 当应用拿到Access Token后,就可以有权访问用户授权的资源了。这三个步骤对应OAUTH的转载 2015-02-04 15:14:30 · 594 阅读 · 0 评论 -
修改文件所有者和权限
修改文件的所有者并添加everyone完全控制权限。一定要先设置一下Owner,然后再进行权限设置,二者一起执行是不会成功的。BOOL AdjustPrivileges(LPWSTR lpName){ HANDLE hToken = NULL; TOKEN_PRIVILEGES tp = {0}; TOKEN_PRIVILEGES oldtp = {0}; D转载 2014-11-02 09:33:09 · 1461 阅读 · 0 评论 -
CryptAPI RSA加密解密
//下面的代码没有考虑源数据的长度问题,需要注意。// INCLUDES#include "stdio.h"#include "conio.h"#include "windows.h"#include "wincrypt.h"#include "tchar.h" // FUNCTIONSint Keys(_TCHAR* strPublicKeyFile, _TCHAR* strP转载 2014-11-02 09:31:56 · 4871 阅读 · 0 评论 -
WMI, Query Windows SecurityCenter2
In Windows Vista, the WMI query to get anti-virus information has been changed. Pre-Vista clients used the root/SecurityCenter namespace, while Post-Vista clients use the root/SecurityCenter2 namespac转载 2014-10-11 13:58:20 · 993 阅读 · 0 评论 -
解除文件的独占锁定
解除文件的独占锁定,通过ZwQuerySystemInformation查询当前系统的所有句柄信息, 然后调用OpenProcess获取目标进程句柄,遍历当前所有进程, 根据进程ID, 得到此进程打开的所有句柄信息, 接下来用DuplicateHandle复制Handle到本地进程,然后通过文件句柄获取对应的文件对象的完整名字.确定文件名后, 如果要删除文件, 则调用OpenProcess与DuplicateHandle关闭句柄, 然后ZwDeleteFile删除文件。原创 2014-07-27 10:53:02 · 3652 阅读 · 1 评论 -
ISA2006安装和部署基础(虚拟机非域环境)
ISA Server 2006是目前企业中应用最多的ISA版本,该版本增强了对OWA发布和多个Web站点发布的支持,并新增了对SharePoint Portal Server发布的支持;新增了单点登录特性,支持针对通过某个Web侦听器所发布的所有 Web 服务的单点登录;新增了服务器场功能,支持通过多个Web服务器组成服务器群集以实现负载均衡,并且此特性无需Windows的NLB或群集支持;强化了DDOS防御功能,极大的增强了对于DDOS攻击的防范能力。原创 2014-05-31 16:03:33 · 1586 阅读 · 0 评论 -
64位inline api hook
说起Api hook朋友们都不陌生,说白了也就是运用WINDOWS系统钩子,捕获程序对系统API的调用,从面改变API默认的处理方式,以达到某种特殊的目的。而inline api hook在32位系统中通常是先保存API函数入口处的5个字节,然后改变API函数入口处的5个字节为一个JMP xx xx xx xx跳转指令,xx xx xx xx处是我们自己的处理函数的偏移地址。在我们的处理函数中,进转载 2014-05-23 14:25:20 · 1001 阅读 · 0 评论 -
动态加载并执行Win32可执行程序(下)
#include #include #include #include struct PE_Header{ unsigned long signature; unsigned short machine; unsigned short numSections; unsigned long timeDateStamp; unsigned lon转载 2014-05-23 14:17:13 · 671 阅读 · 0 评论 -
动态加载并执行Win32可执行程序(上)
本文所贴出的PoC代码将告诉你如何通过CreateProcess创建一个傀儡进程(称之为可执行程序A),并把dwCreationFlags设置为CREATE_SUSPENDED,然后把另一个可执行程序(称之为可执行程序B)的内容加载到所创建的进程空间中,最终借用傀儡进程(A)的外壳来执行可执行程序B的内容。同时这段代码也会告诉你如何手工对Win32可执行程序进行重定位处理,以及如何从进程空间中取消转载 2014-05-23 14:14:52 · 1102 阅读 · 0 评论 -
Internet Explorer in Protected Mode – How the Low Integrity Environment Gets Created
Recap: Mandatory Integrity ControlDuring the development of Vista the developers at Microsoft felt that the traditional ACL-based mechanism to control access to system resources was not enough. Th转载 2015-07-13 15:36:53 · 759 阅读 · 0 评论