系统安全
文章平均质量分 63
木马、僵网、蠕虫等
无名J0kзr
Talk is cheap, show me the code.
展开
-
缓冲区溢出:入门知识
。原创 2022-07-25 23:16:02 · 593 阅读 · 0 评论 -
系统安全:Ring3下基于GetRawInputData的键盘记录器
文章目录参考原理注册原始输入设备获取原始输入数据参考3种简单的键盘记录简单介绍使用GetRawInputData函数实现键盘按键记录基于RawInput与宿主服务的新型键盘记录器C++ 使用RAWINPUT,获取键盘原始输入原理上网一搜原始输入,一堆机翻的文章,看的人头大果断放弃,转向微软官方文档:raw input注册原始输入设备默认情况下,所有应用程序都不会接收WM_INPUT消息,为了接收某个设备发出的WM_INPUT消息,你必须先注册这个设备。被注册的设备有任何输入时,应用程序会原创 2021-05-04 00:35:01 · 1253 阅读 · 3 评论 -
系统安全:面试相关
文章目录相关职位安全研究员反病毒工程师面试题杂基础部分1. malloc和new的区别2. try-catch异常处理3. C++的重载4. 线程同步如何实现5.Windows消息机制Send和Post的区别6. 进程通信方式进阶部分1. 多线程遍历整个磁盘专业部分1. PE文件如何添加节区2. 分析木马的执行流程3. 逆向工具4. 如何实现免杀5. 病毒木马自启技术6. 手工查杀的思路7. PE病毒感染技术8. 无文件病毒9. DLL劫持及防御10. Rootkit技术11. 通过Windows日志检查病原创 2021-03-29 00:54:09 · 585 阅读 · 0 评论 -
系统安全基础:程序多开检测技术
文章目录杂互斥量实现阻止程序多开杂人不能两次踏进同一条河流,一台主机或一个文件也不应该被感染两次。所以编写感染程序时一定要注意防止感染程序多开,写PE病毒也一定要注意感染后做个标记。互斥量实现阻止程序多开#include <windows.h>#include <stdio.h>HANDLE JudgeRunning(){ // 创建互斥量 HANDLE mutexHandle = CreateMutex(NULL, FALSE, TEXT("is_ru原创 2021-04-13 09:37:12 · 338 阅读 · 1 评论 -
系统安全基础:病毒感染技术
文章目录感染的定义必要条件必要条件的实现其他注意点感染的定义把病毒本身的攻击代码写入其他程序中必要条件目标程序有足够空间可写入写入的代码有机会被执行必要条件的实现1.空间问题,有两种方法比较容易。一是在PE文件中添加一个节区;二是利用节缝隙,将恶意代码填充到缝隙中。2. 执行问题,修改目标可执行文件的入口地址,先执行恶意代码,执行完毕之后再跳转到原程序的入口处继续执行。(类似内联钩子)其他注意点避免二次感染:重复感染目标程序会导致其无法执行。...原创 2021-03-16 20:37:12 · 197 阅读 · 0 评论 -
系统安全基础:恶意软件自启动技术
文章目录注册表启动注册表启动常见的能完成自启动的注册表位置Windows开发:注册表编程示例代码:首先编译一个弹窗程序作为被自动运行的程序autorun_exe.exe,源码如下//// Created by 23028 on 2021/3/15.//#include <windows.h>int main(){ MessageBox(NULL, "autorun success!", "autorun", MB_OK);}然后写一个操作注册表的程序#i原创 2021-03-16 00:27:36 · 601 阅读 · 1 评论 -
Botnet:Kali下Mirai的编译使用及抓包
文章目录杂主要参考1. 编译1.1 安装依赖1.2 克隆源码1.3 编译加密程序1.4 加密主控服务器域名和报告服务器域名1.4 修改病毒本体源码1.5 配置CNC控制中心1.5.1 编辑sql脚本1.5.2 创建用户mirai1.5.3 修改主程序1.6 交叉编译1.7 添加环境变量1.8 构建受控端和主控端程序1.9 构建Loader杂是为了做NIDS啦,网上都找不到Mirai公开的数据集...原创 2020-04-03 23:36:23 · 3727 阅读 · 2 评论