随笔分类 -  网络安全

Libpcap BPF(BSD Packet Filter)包过滤机制
摘要:http://hi.baidu.com/ahtaria/blog/item/969ae4447eaa59076a63e57d.htmlLibpcap 重点使用 BPF(BSD Packet Filter)包过滤机制,BPF 于 1992 年被设计出来,其设计目的主要是解决当时已存在的过滤机制效率低下的问题。BPF的工作步骤如下:当一个数据包到达网络接口时,数据链路层的驱动会把它向系统的协议栈传送。但如果 BPF 监听接口,驱动首先调用 BPF。BPF 首先进行过滤操作,然后把数据包存放在过滤器相关的缓冲区中,最后设备驱动再次获得控制。注意到BPF是先对数据包过滤再缓冲,避免了类似 sun 的 阅读全文
posted @ 2011-11-19 23:42 chingliuyu 阅读(5323) 评论(0) 推荐(0)
Linux Netfilter实现机制和扩展技术
摘要:http://www.ibm.com/developerworks/cn/linux/l-ntflt/2.4.x的内核相对于2.2.x在IP协议栈部分有比较大的改动, Netfilter-iptables更是其一大特色,由于它功能强大,并且与内核完美结合,因此迅速成为Linux平台下进行网络应用扩展的主要利器,这些扩展不仅包括防火墙的实现--这只是Netfilter-iptables的基本功能--还包括各种报文处理工作(如报文加密、报文分类统计等),甚至还可以借助Netfilter-iptables机制来实现虚拟专用网(VPN)。本文将致力于深入剖析Netfilter-iptables的组织结 阅读全文
posted @ 2011-11-19 14:09 chingliuyu 阅读(1442) 评论(0) 推荐(0)
学习如何在netfilter上开发一个自定义hook
摘要:记录相关网址: 1、Linux netfilter Hacking HOWTO http://www.netfilter.org/documentation/HOWTO/netfilter-hacking-HOWTO.html#toc3 2、CSDN上一篇参考博文: A example of NF_IP_PRE_ROUTING module http://blog.csdn.net/jiatingqiang/article/details/6282003 阅读全文
posted @ 2011-11-17 10:57 chingliuyu 阅读(286) 评论(0) 推荐(0)
Writing Loadable Kernel Modules using netfilter hooks (in-depth HOWTO) – Part 1
摘要:http://fcns.eu/2010/02/netfilter-hooks/keyword:write new netfilter moduleNote:This article was inspired by the lack ofupdateddocumentation on how to write proper netfilter kernel modules. At the time I’m writing this article, the latest stable release was 2.6.32.8. I am also assuming you are familia 阅读全文
posted @ 2011-11-17 08:53 chingliuyu 阅读(451) 评论(0) 推荐(0)
关于感染型病毒的那些事(三)
摘要:前段时间,我在网上下载了一个3D游戏,想要玩的时候却被提示需要将IE的主页设置为特定的网址才能玩这个游戏.对于我这种有"系统洁癖"的人来说,最反感的就是这种要求,用Peid查了下,发现没有加壳,一路跟下来,发现这个程序也提供了一种病毒感染的思路,那就是资源感染,既将宿主程序作为病毒程序的一个资源保存,将附加了宿主程序资源的病毒程序覆盖原宿主程序,在打开病毒程序时,病毒发作同时将宿主程序释放出来,运行之.这个3D游戏的反汇编片段:view plaincopy to clipboardprint?/**************************************** 阅读全文
posted @ 2011-06-26 21:15 chingliuyu 阅读(399) 评论(0) 推荐(0)
关于感染型病毒的那些事(二)
摘要:从(一)中建立了初步的注入代码后,需要把用来占位的11223344H改为相应的地址,用一个函数来完成.view plaincopy to clipboardprint?//OEP是从PE头中得到的程序入口点,VEP是病毒注入的起始位置,ImageBase是文件基址intBuildInjectCode(DWORDOEP,DWORDVEP,DWORDImageBase){unsignedchar*p=InjectCode;*(DWORD*)(p+1)=VEP+ImageBase+0x2B;//SEH处理程序地址*(DWORD*)(p+15)=ImageBase+0x53;//病毒名,这里我写在了P 阅读全文
posted @ 2011-06-26 21:14 chingliuyu 阅读(297) 评论(0) 推荐(0)
关于感染型病毒的那些事
摘要:http://blog.csdn.net/GaA_Ra/archive/2010/06/27/5697579.aspx在我看来,感染型病毒才是真正称得上为病毒,因为感染型病毒的手动清除比较困难,大学的时候,帮同学杀毒最烦躁的就是碰上感染型的病毒,除非写一个程序自动处理,不然手动清除是相当麻烦的.当然我所谓的真正病毒主要是在我看来,能够轻易用手工清除的病毒都不是好的病毒.现在病毒制造者追求的是快速的传播速度,而忽略了病毒的"顽固性",一个木马简单的就使用一个启动的注册表项显然在清理上太方便了,甚至可以进安全模式删了注册表项,连病毒尸体都可以无视,这样就已经不能发挥作用了. 随 阅读全文
posted @ 2011-06-26 21:13 chingliuyu 阅读(274) 评论(0) 推荐(0)