Windows
文章平均质量分 90
Mi1k7ea
Mi1k7ea
展开
-
在Windows和Linux系统中的一些信息收集方法
本文将一些在系统上收集信息的方法进行小的整合,有更多的好的方法技巧的话会做新的笔记~Windows:查看网络配置:ipconfig /all查看dns缓存信息:ipconfig /displaydns查看路由信息:netstat -bnao,netstat -r查看网络共享信息:net view,net view /domain查看域账号信息:net user /doami原创 2017-02-26 10:52:16 · 1438 阅读 · 0 评论 -
使用汇编语言编写注入代码
这里主要借助OllyDbg的汇编功能,使用汇编语言编写注入代码即ThreadProc()函数。与上一篇文章的CodeInject.cpp代码类似,但区别在于THREAD_PARAM结构体不包含字符串成员,且使用指令字节数组替代了ThreadProc()函数(因为代码本身同时包含所需的字符串数据)。汇编语言常用的开发工具(Assembler)有MASM、TASM和FASM等。编写简单的待修改...原创 2018-10-06 23:22:49 · 2900 阅读 · 2 评论 -
代码注入(线程注入)
代码注入概念代码注入是一种向目标进程插入独立运行代码并使之运行的技术,其一般调用CreateRemoteThread() API以远程线程的形式运行插入的代码,亦称为线程注入。代码以线程过程(ThreadProcedure)形式插入,而代码中使用的数据则以线程参数的形式插入,即代码和数据是分别注入的。 代码注入与DLL注入的区别DLL注入适用于代码量大且复杂的情况,而代码注入适用于...原创 2018-10-05 23:16:37 · 7085 阅读 · 1 评论 -
Windows缓冲区溢出之SLMail
基本概念与环境准备缓冲区溢出:当缓冲区边界限制不严格时,由于变量传入畸形数据或程序运行错误,导致缓冲区被填满从而覆盖了相邻内存区域的数据。可以修改内存数据,造成进程劫持,执行恶意代码,获取服务器控制权限等。在Windows XP或2k3 server中的SLMail 5.5.0 Mail Server程序的POP3 PASS命令存在缓冲区溢出漏洞,无需身份验证实现远程代码执行。注意,Win7以上系...原创 2018-07-08 00:23:45 · 6055 阅读 · 1 评论 -
通过修改PE加载DLL
基本概念除了DLL动态注入技术外,还可以通过手工修改PE文件的方式来加载DLL,这种方式只要应用过一次之后,每当进程开始运行时便会自动加载指定的DLL。整体思路如下:1、查看IDT是否有充足的空间,若无则移动IDT至其他位置,若有则直接添加至列表末尾;2、若无,修改OPTIONAL头IMPORT TABLE的RVA值并增大Size值,删除绑定导入表BOUND IMPORT Table,复制原IAT...原创 2018-06-24 10:51:58 · 3800 阅读 · 0 评论 -
DLL卸载
DLL卸载DLL卸载(DLL Ejection)是将强制插入进程的DLL弹出的一种技术,原理是驱使目标进程调用FreeLibrary() API,即将FreeLibrary() API的地址传递给CreateRemoteThread()的lpStartAddress参数并把要卸载的DLL的句柄传递给lpParameter参数。注意:使用FreeLibrary() API实现DLL卸载,仅适用于卸载...原创 2018-06-23 09:19:43 · 4075 阅读 · 0 评论 -
DLL注入
DLL注入DLL(Dynamic Linked Library动态链接库)被加载到进程后会自动运行DllMain()函数,用户可以把想执行的代码放到DllMain()函数,每当加载DLL时,添加的代码就会自然而然得到执行。DLL注入是指向运行中的其他进程强制插入特定的DLL文件。其工作原理是从外部促使目标进程调用LoadLibrary() API从而强制执行DLL的DllMain()函数,而且被注...原创 2018-06-22 20:22:57 · 5544 阅读 · 1 评论 -
Windows消息钩取
Windows消息钩取简单地说,消息钩取就是偷看、截取信息。常规Windows消息流:1、发生键盘输入事件时,WM_KEYDOWN消息被添加到[OS message queue];2、OS判断哪个应用程序中发生了事件,然后从[OS message queue]中取出消息,添加到相应应用程序的[application message queue]中;3、应用程序监视自身的[application m...原创 2018-06-13 20:13:01 · 2602 阅读 · 2 评论 -
PE文件格式
PE即Portable Executable,是Windows OS下使用的可执行文件格式。PE文件是指32位的可执行文件,亦称为PE32。64位的可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。PE文件种类如下表:PE文件基本结构:从DOS头至节区头是PE头部分,下面的节区合称PE体。文件的内容一般分为代码(.text)、数据(.data)、资源(.rsrc)节,分别保存。VA&am...原创 2018-06-04 19:57:40 · 3231 阅读 · 0 评论 -
逆向分析HelloWorld程序
这里将之前学习《逆向工程核心原理》的笔记重新实现整理一遍,代码重新编写实现,以方便以后查阅。编写运行HelloWorld程序环境主要是Win7 32位系统,使用VS2010进行编程:#include "windows.h"int main(){ MessageBox(NULL, L"Hello World!", L"blog.csdn.net/ski_12", MB_OK);...原创 2018-05-16 11:25:12 · 7195 阅读 · 0 评论 -
Windows系统安全小结
本文不定期更新,将阶段性的总结记录到博客中,方便以后查看~Windows用户相关命令及隐藏用户:查看所有用户:net users查看指定用户user1:net user user1添加指定用户user1:net user user1 password1 /add删除指定用户user1:net user user1 /del简单地隐藏用户:添加隐藏用户test(在账户名后原创 2017-12-05 10:59:54 · 3205 阅读 · 0 评论 -
webshell的NTFS交换数据流文件隐藏及Python脚本查杀
本文是参考了FreeBuf上的一篇文章然后再学习一遍的~通过NTFS交换数据流文件实现文件隐藏:首先创建一个正常的文本文件test.txt,到命令行通过dir命令查看:先使用echo命令吧,就是将相应的字符写入新建的交换数据流文件中,通过echo hello>>test.txt:webshell.php创建交换数据流文件,然后通过dir /r命令查看,不添加/r参数是查看不到的原创 2017-08-05 13:14:28 · 1852 阅读 · 0 评论 -
在Windows和Linux系统下隐藏痕迹的小技巧
在学习中记录的一些隐藏的小技巧,有新的知识再进行补充~Windows:禁止在登录界面显示新建的名为username的账号:REG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon\SpecialAccounts\UserList” /v username /T REG_DWORD /原创 2017-02-26 11:09:25 · 1643 阅读 · 0 评论 -
Windows下的一种PHP隐蔽后门姿势
在Windows中的PHP解释环境中有两个函数能够自动加载文件,即auto_prepend_file和auto_append_file,其在php.ini中可修改成任意文件,可为PHP或DLL文件。将后门代码写入这两个文件,再修改include_path为后门文件的绝对路径,则Web站点下所有的PHP文件都可以作为PHP后门。1、修改auto_prepend_file和auto_append_...原创 2018-12-09 10:58:27 · 1831 阅读 · 2 评论