security
文章平均质量分 75
tjhd1989
这个作者很懒,什么都没留下…
展开
-
STP安装与使用
STP的全称为Simple Theorem Prover,由MIT的Vijay Ganesh领导的小组开发,主要用于约束求解类问题。官方主页:http://people.csail.mit.edu/vganesh/STP_files/stp.html安装官网给出了一个64位的编译文件,但是考虑到很多系统都是32位,所以有必要对源码重新编译安装一次。安装环境是linux系统(我的是C原创 2012-11-02 15:39:38 · 1558 阅读 · 0 评论 -
利用virustotal公共API获取病毒样本扫描结果
virustotal.com网站允许用户上传恶意样本,然后返回46个病毒扫描器的扫描报告。利用virustotal.com网站提供的公共API,可以编写python脚本自动获取这个扫描报告。官方网站就有详细的教程 https://www.virustotal.com/en/documentation/public-api/首先要注册一个帐号,登录后在帐号Profile下可以发现原创 2013-04-26 15:09:44 · 2848 阅读 · 7 评论 -
Window环境下Snort的配置
配置snort就是个自我折腾的过程,由于要的装的软件很多,并且每个软件版本更新也很多,网上找的许多配置都多多少少有点问题,安装的过程总会遇到各种意外。不过折腾之后,其实也不难,顺带还学习了php的配置。配置系统: Windows XP所需软件:1. appserv-win32-2.5.10.exe 一次搞定php环境(集成了Apache, MySQL, PHP, phpM原创 2012-04-10 16:07:30 · 614 阅读 · 0 评论 -
MetaSploit入门
简单的使用了一下MetaSploit,作个备忘,有需要的时候再系统学习下。MetaSploit下载地址:https://github.com/rapid7/metasploit-framework/wiki/Downloads-by-Version我下的最新版本号为4.4.0-dev,集成了840 exploits - 495 auxiliary - 250 payloads - 27 e原创 2013-04-10 14:51:01 · 906 阅读 · 0 评论 -
使用INetSim模拟Internet
分析恶意软件时,有时需要对其发起各种网络请求进行响应才能继续观察其行为。INetSim正是一款可以模拟各种Internet交互的软件,目前支持的协议有HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S、DNS、FTP/FTPS、TFTP、IRC,以及NTP等。可以配置INetSim以fake模式响应HTTP/HTTPS请求,INetSim会基于访问的文件扩展名返回相应的文件,比如访问原创 2013-05-23 11:41:07 · 1086 阅读 · 0 评论 -
pydbg追踪指令和API调用
通过这两个实例可以大概了解下pydbg的用法。如何实现追踪指令见https://github.com/OpenRCE/paimei/blob/master/tracer_single_step.pyPedram Amini所写,先定义断点句柄,其中获得exe主模块的映像基址和结束地址,然后将所有线程设为单步模式。接着又定义单步处理句柄,其中如果单步异常地址在模块内,输出该地址和原创 2013-01-14 11:33:11 · 680 阅读 · 0 评论 -
QEMU简单教程(不断更新中...)
QEMU是一个开源的虚拟机和模拟器,由法国天才程序员Fabrice Bellard 所开发,可以模拟不同的处理器架构(x86,server and embedded PowerPC, and S390 guests)。官网为 http://wiki.qemu.org/Main_PageKVM是构建在QEMU之上的虚拟机,其本身主要是一个Linux内核模块,只不过了整合了QEMU,目前受到原创 2012-12-02 10:50:21 · 7810 阅读 · 0 评论 -
Bitblaze动态模块TEMU的安装
安装环境:ubuntu-11.10 安装过程tar zxvf temu-1.0.tar.gz 解压后会得到文件夹temu-1.0在该文件夹的docs目录下有文件install-temu-release.sh,里面提供了所有安装需要的命令如果安装qemu的命令不能用,可以网上搜搜。安装gcc-3.4的命令不可用,可以选择deb包安装(源码安装会折腾死人。。。)。从http原创 2012-11-16 08:53:48 · 1486 阅读 · 5 评论 -
STP求解路径约束的一个例子
wowsteal.cvc-------------------------------INPUT_0: BITVECTOR(32);INPUT_1: BITVECTOR(32);ASSERT(0bin1=(LET Constraint_0=0bin1IN(LET R_EAX_0=INPUT_0IN(LET R_ESI_0=R_EAX_0IN(LET R_原创 2012-11-02 15:51:30 · 973 阅读 · 1 评论 -
TEMU插件tracecap的编译
编译环境为Ubuntu-12.04 (32位)编译所需文件清单:temu-1.0.tar.gzbitblaze-additional-2010-06.tar.gztemu-release2009-gcc4.patchsleuthkit-2.04.tar.gzsleuthkit-2.04.patchsleuthkit-linux3.patchllconf-0.4.6原创 2014-01-15 17:15:30 · 614 阅读 · 0 评论 -
TEMU源码分析
TEMU属于开源二进制分析平台Bitblaze的动态分析组件, Bitblaze项目由加州大学Berkeley分校的Dawn Song领导开发。TEMU基于模拟器QEMU构建。由于QEMU是一个全系统的模拟器,能模拟不同的CPU架构,所以TEMU也能执行全系统的动态分析,即能追踪和分析整个guest OS的运行。理论上TEMU除了支持x86的处理器架构外,还可以支持其他的处理器架构,如Powe原创 2014-01-15 13:37:33 · 785 阅读 · 1 评论 -
用gdb调试temu及插件
在终端输入:gdb ~/bitblaze/temu-1.0/tracecap/temu或者直接设置好参数gdb --args ~/bitblaze/temu-1.0/tracecap/temu ~/vm/winxp_sp2_by_qemu.img -monitor stdio -snapshot -m 512 -load-plugin ~/bitblaze/temu-1.0/sa原创 2013-01-05 12:35:25 · 648 阅读 · 0 评论 -
TEMU和Vine的简单用法
TEMU的用法首先要创建一个虚拟的系统qemu-img create -f qcow2 /opt/kvm/winxp.img 10G 创建格式为qcow2大小为10G的虚拟磁盘文件sudo qemu-system-i386 -hda /opt/kvm/winxp.img -cdrom /opt/kvm/winxp_sp2.iso -boot d 根据镜像iso文件在winxp.img原创 2012-11-16 10:21:21 · 1871 阅读 · 0 评论 -
shellcode入门
整理自《0day安全:软件漏洞分析技术》第2版系统:VMware安装的Window XP SP2工具:vc++6.0, ollydbg, Dependency Walker, python步骤:通过内联汇编__asm实现功能,再在OllyDbg中提取对应字节码,最后转化为shellcode。例1:该程序弹出一个对话框,点击确认后程序退出执行用到的两个函数MessageBox原创 2013-04-09 11:34:47 · 544 阅读 · 0 评论 -
Bitblaze静态模块Vine的安装
安装环境:ubuntu-11.10(该版本在VMware7.0下可以成功安装VMware tools,但ubuntu-12.04不行)安装过程:解压vine-1.0.tar.gz后进入文件vine-1.0,在其doc目录下有文件install-vine-release.sh,提供了所有安装命令,先是安装编译vine需要的各种软件,然后./configure和make(系统默认gcc原创 2012-11-16 08:38:09 · 1007 阅读 · 0 评论 -
Windows下使用二进制插装工具Pin
Pin是Intel公司提供的一个程序插装工具,支持IA-32,Intel(R) 64和IA64架构上的Linux和Windows可执行程序。Pin允许一个工具在可执行程序的任何地方插入任意代码(用C或C++编写)。这些代码在程序运行的时候动态添加(修改内存映像)。这也使得可以将Pin附加到进程上。下载地址:http://software.intel.com/en-us/articles/p原创 2012-11-04 09:08:24 · 2337 阅读 · 5 评论 -
pydbg测试实例(三)进程快照的获取和恢复
转自《python灰帽子》第4章目标:获取进程快照和恢复进程思路:开启两个线程,第一线程创建一个pydbg调试器对象,并用它加载一个可执行程序;第二线程通过pydbg的方法process_snapshot()和process_restore()来获取进程快照和恢复,在获取快照或恢复的时候都要暂停进程的所有线程snapshot.pyfrom pydbg import *f转载 2013-01-15 10:18:36 · 683 阅读 · 0 评论 -
pydbg测试实例(二)内存崩溃信息的输出
转自《python灰帽子》第4章目标:测试非法内存访问,输出崩溃地址,上下文和崩溃地址前后的指令脚本一:access_violation_handler.py(utils工具不包含在pydbg中,而是包含在paimei中,下载地址:https://github.com/OpenRCE/paimei,解压到python的site-packages即可)from p转载 2013-01-14 20:33:13 · 530 阅读 · 0 评论 -
pydbg测试实例(一)软断点设置和内存读写
转自《python灰帽子》第4章目标:对printf函数设置断点,获取其第2个运行参数,并更改为一个随机数脚本一:printf_random.pyfrom pydbg import *from pydbg.defines import *import structimport random# This is our user defined callback转载 2013-01-14 20:50:31 · 500 阅读 · 0 评论 -
pydbg测试实例(四) ftp服务器warftpd-1.65的漏洞测试
转自《python灰帽子》第4章目标:监控危险函数的每次调用,并摄取快照。若出现非法内存访问,恢复到最近一次危险函数调用点,单步执行,重现非法内存访问。(前面三个例子的综合)danger_track.pyfrom pydbg import *from pydbg.defines import *import utilsMAX_INST = 10dangerous_fu转载 2013-01-15 21:03:10 · 1008 阅读 · 6 评论 -
pydbg测试实例(五) 利用pydbg部署软钩子
转自《python灰帽子》第6章目标:对firefox浏览器nspr4.dll模块的PR_Write函数下钩子,从其第二个参数获取未加密的数据,如果包含passwd字符串则输出该数据说明:软钩子本质上是扩展了的软断点处理例程,适合于拦截那些调用次数少的函数添加钩子的函数位于包utils中,通过help(utils.hooking)可以查看相关信息。部转载 2013-01-16 11:46:53 · 880 阅读 · 4 评论 -
pydbg的安装
在Windows下安装pydbg最简单的方法就是下载别人已经编译好的可执行包:http://www.lfd.uci.edu/~gohlke/pythonlibs/#pydbg复杂点的方法如下:1. 下载libdsam-1.5 (pydbg依赖该库)http://code.google.com/p/libdasm/downloads/list解压后进入libdasm-1.5\py原创 2013-01-12 13:10:46 · 704 阅读 · 0 评论 -
利用Immunity Debugger部署钩子
ImmDbg提供了多种钩子。1. 软钩子软钩子针对各种不同调试事件发生时调用的,调试事件如断点、异常、加载或卸载dll、创建或销毁进程线程等。以断点命中时触发钩子LogBpHook为例:import immlibfrom immlib import LogBpHookimport struct#首先继承LogBpHook定义自己的钩子类,重点实现run函数class原创 2013-03-23 14:06:41 · 1419 阅读 · 4 评论 -
TEMU的trace文件分析
temu运行后会在启动时的目录生成文件guest.log和temu.log,guest.log按顺序记录进程的创建,加载的模块,调用的函数,及进程的销毁。temu.log始终为空。加载sample_plugin目录下的插件,会多生成文件plugin.log,该文件对应于源文件中的fprintf输出。temu的终端输出对应term_printf的输出。------------------原创 2013-01-04 22:21:51 · 968 阅读 · 0 评论 -
资料汇总:KiFastCallEntry,SSDT及系统调用
Hook KiFastCallEntry监控系统调用http://bbs.pediy.com/showthread.php?t=144538Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取http://blog.csdn.net/otishiono/article/details/7606429KiFastCallEntry KiServic原创 2013-04-01 16:42:41 · 467 阅读 · 0 评论