随笔分类 - 安全之路
摘要:代码 #!/usr/bin/env python # encoding: utf-8 import os import binascii from datetime import datetime, timezone colnum_per_row = 16 file_path = 'demo.sys
阅读全文
摘要:代码样例 #include <iostream> #include <cstdio> #include <cstdlib> #include <cstring> #include <conio.h> #include <string> #include <vector> #include <map>
阅读全文
摘要:下列提出两种获取对象名的方式 通过_OBJECT_TYPE::Name获取对象名称,通过_OBJECT_TYPE::Index获取对象索引; 通过NtQueryObject的方式获取,r0与r3通用,代码如下: #include <cstdio> #include <cstdlib> #includ
阅读全文
摘要:多核处理器同步函数KiIpiGenericCall函数在XP SP3下的寻址方式
阅读全文
摘要:WH_KEYBOARD和WH_KEYBOARD_LL 键盘钩子在堆栈调用上的情况
阅读全文
摘要:简介 此文转载自:https://www.cnblogs.com/gwsbhqt/p/5092390.html 代码
阅读全文
摘要:简介 在之前的文章中曾说过利用 CreateRemoteThread 函数进行远线程注入是最经典的一种方式。但是这种方式却无法成功注入系统进程,因为系统进程是处在SESSION0高权限级别的会话层,用户进程在执行CreateRemoteThread函数时会失败。所以经过前辈们的研究发现,Create
阅读全文
摘要:简介 在之前的文章中笔者曾经为大家介绍过使用 CreateRemoteThread 函数来实现远程线程注入( "链接" ),毫无疑问最经典的注入方式,但也因为如此,这种方式到今天已经几乎被所有安全软件所防御。所以今天笔者要介绍的是一种相对比较“另类”的方式,被称作 “APC注入” 。APC(Asyn
阅读全文
摘要:简介 键盘记录功能一直是木马等恶意软件窥探用户隐私的标配,那么这个功能是怎么实现的呢?在Ring3级下,微软就为我们内置了一个Hook窗口消息的API,也就是 SetWindowsHookEx 函数,这个函数能够实现优先拦截提交给特定窗口的信息,并进行拦截者需要的处理,然后再提交给窗口函数或是下一个
阅读全文
摘要:简介 所谓进程守护,就是A进程为了保护自己不被结束,创建了一个守护线程来保护自己,一旦被结束进程,便重新启动。进程守护的方法多被应用于恶意软件,是一个保护自己进程的一个简单方式,在ring3下即可轻松实现。而创建守护线程的方法多采用远程线程注入的方式,笔者之前曾介绍过远程线程注入的基本方式,主要分为
阅读全文
摘要:简介 在之前的章节中,笔者曾介绍过有关于 "远程线程注入" 的知识,将后门.dll文件注入explorer.exe中实现绕过防火墙反弹后门。但一个.exe文件总要在注入时捎上一个.dll文件着实是怪麻烦的
阅读全文
摘要:简介 添加注册表项是实现文件自启动的经典方法之一,但因为操作注册表项是一个敏感操作,被报毒可能性较大,但即便如此,这个方法还是值得一学的,因为后期大部分编程都涉及到注册表操作。 最常使用到的注册表项有两项: 1. "HKEY_CURRENT_USER\\Software\\Microsoft\\Wi
阅读全文
摘要:简介 大多数后门或病毒要想初步实现 隐藏进程 ,即不被像任务管理器这样典型的RING3级进程管理器找到过于明显的不明进程,其中比较著名的方法就是通过远程线程注入的方法注入将恶意进程的 DLL文件 注入系统认可的正常进
阅读全文
摘要:简介 前面我们介绍到我们可以用进程注入的方法,借用其他应用的端口收发信息,从而达到穿墙的效果,那么今天介绍一种新的方法,叫做 端口复用 技术,他能够与其他应用绑定同一个端口,但同时进行端口复用的程序会接管之前程序的信息接受权,所以我们在复用端口后,要对非后门信息通过 127.0.0.1 本机回环地址
阅读全文
摘要:简介 Windows NT系统后门要实现自启动,有许多种方法,例如 "注册表自启动" , "映像劫持技术" , "SVCHost自启动" 以及本章节介绍的 "服务自启动" 等方法,其中服务自启动相对于上述其他三种需要修改注册表的启动方式而言更不容易被发现。 C++代码样例
阅读全文
摘要:简介 在Windows系统中有一个系统服务控制器,叫做SVCHost.exe,它可以用来管理系统的多组服务。它与普通的服务控制不同的是它采用dll导出的ServiceMain主函数实现服务运行,详细原理可参照Blog: "SVCHOST启动服务实战" 。我们在使用此方法时,要有两个步骤: 1. 编写
阅读全文
摘要:简介 Windows映像劫持技术是微软提供给软件开发者调试使用的在注册表项,能够替换目标进程执行。但如果被病毒木马利用,便会成为触发式自启动的绝佳方式,所以修改映像劫持的操作行为也被反病毒软件列为极其危险的行为之一。 实现映像劫持修改的注册表项为: "HKEY_LOCAL_MACHINE\SOFTW
阅读全文
摘要:简介 在渗透测试中开启对方电脑的3389端口是入侵者加入对方计算机账户后要想直接控制对方计算机的必须步骤,即开启对方计算机的远程终端功能,不同的Windows系统要开启3389需要修改不同的注册表项,为了方便,我们直接添加所有可能的注册表项,其中Windwos2000电脑需要重启激活,本程序并未添加
阅读全文
摘要:简介 根据前面两篇Blog介绍的 "双管道后门" 和 "单管道后门" ,他们的特点是一定需要建立管道以便进行进程间通信。但是能不能不需要管道呢?答案是可以的,这里需要借鉴重叠IO的思想,将程序中的 socket 函数替换成支持重叠IO的 WSASocket 函数。 核心知识点 si.hStdInpu
阅读全文
摘要:原理简述 单管道后门 相对于 "双管道后门(参照前面发的Blog)" ,很明显单管道后门使用了“cmd.exe /c [命令]”的用法在进行cmd进程创建时就顺带执行了命令,所以省去了由socket发往cmd的管道。同时笔者为样例程序加上了 反向连接 的模块,反向连接由宿主机作为client端,操纵
阅读全文
浙公网安备 33010602011771号