- 博客(6)
- 资源 (48)
- 收藏
- 关注
原创 Windows长短路径问题引发OD调试样本退出
样本行为:1、CopyFileA( )函数拷贝自身到C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SQLAGENTSAK.exe下(使用的是短路径)2、CreateProcessA创建子进程,参数cmd /c ping 1.1.1.1 -n 1 -w 1000 & start C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SQLAGE...
2019-06-23 19:15:54 527
原创 Windows管理员权限思考
进程以管理员权限和非管理员权限运行有很大的特权差别,具体怎么检查当前进程是否以管理员权限运行,代码如下:#include <stdio.h>#include <Windows.h>#include <Sddl.h>int main(){ BOOL IsMember; PSID l_pSid=NULL; SID_IDENTIFIER_AUTH...
2019-06-23 18:17:09 2298
原创 恶意代码常用操作:清空系统日志
后门或者远控代码常用清空系统日志来妨碍取证工作,遇到一个后门样本,代码如下:使用ebx作为计数器,做3次循环,删除3种系统日志,具体的哪3种系统日志要看上面代码的字符串赋值,如下:要清空的3种系统日志:"System"、"Security"、"Application"续一:关于ELF(Event Log File)详见《软件调试》第15章...
2019-06-23 18:04:37 306
原创 获取Windows系统所有用户名
使用netapi32.dll动态链接库中的NetUserEnum( )函数可以枚举系统的所有账户名,申请的内存空间使用NetApiBufferFree( )函数释放。代码如下:#include <stdio.h>#include <Windows.h>#include <lm.h>#pragma comment(lib, "netapi32.lib"...
2019-06-23 17:49:52 5375
原创 ExpandEnvironmentStringsA( )函数
第一次看到这个函数感觉是新增一个环境变量,再看传入的参数又感觉不像。扩充环境字符串:将由百分号封闭起来的环境变量名转换成那个变量的内容。可以写个例子看看#include <stdio.h>#include <windows.h>int main(int argc,char* argv, char* env){ char l_szSrcA[256]={"...
2019-06-15 15:42:37 3705
原创 PE文件加壳
1、upx的壳,官网地址https://upx.github.io/这种壳很常见,应该是技术已经很纯熟了,加壳、脱壳利用官网发布的工具可以轻松实现。程序参数如下:试验一下:加壳:(如果程序已经加过upx的,工具发现后会提示已经加过壳,不再二次加壳)脱壳:(如果程序没有加过upx壳,工具会提示,不会进行脱壳)2、MPRESS壳,官网地址http://www.mat...
2019-06-15 14:10:48 1676
0day第11.7节作者没有提供的漏洞程序收集.zip
2020-06-05
cuckoo主机分析机通信行为分析.zip
2020-05-19
us-14-Kamlyuk-Kamluk-Computrace-Backdoor-Revisited.pdf
2020-01-18
dex2jarAndjd-gui.7z
2021-08-12
VirtualFunction.zip
2020-04-08
windbg_app.7z
2019-07-09
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人