随笔分类 - 代码共享
windows本地script脚本恶意代码分析(带注释)
摘要://经过样本分析和抓取,该恶意程序是款下载者木马。 //不懂的可以百度百科。 http://baike.baidu.com/link?url=0dNqFM8QIjEQhD71ofElH0wHGktIQ3sMxer47B4z_54LSHixZYLcNWDgisJAeMRN5yJKjMu3znZc_sM
阅读全文
WinPipe后门程序代码示例(仅限技术交流)
摘要:具体怎么编译,生成执行程序,不懂得先学习C++程序代码编译和集成开发环境。 多的不说了,只有两个代码文件,一个头文件,一个源文件。不多说了,直接上干货。 (恶意使用,或者商用,后果自负,与本人无关。) head.h main.cpp
阅读全文
绕过防注入的几种方法
摘要:1、运用编码技术绕过如URLEncode编码,ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。2、通过空格绕过如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如o...
阅读全文
ZTE and TP-Link RomPager - DoS Exploit
摘要:#!/usr/bin/env python# -*- coding: utf-8 -*- # Exploit Title: ZTE and TP-Link RomPager DoS Exploit# Date: 10-05-2014# Server Version: RomPager/4.07 UP...
阅读全文
金山软件wps2012-2013通杀0day
摘要:#!/usr/bin/python # Exploit Title: Kingsoft Office Writer v2012 8.1.0.3385 .wps Buffer Overflow Exploit (SEH) # Version: 2012 8.1.0.33...
阅读全文
Windows中一个22年的漏洞
摘要:X Windows系统,今天作为世界各地的Linux桌面,已经存在超过20年了,仍然存在Bug。几天前Sysadmins为libXfont库提供了补丁,来对应新发现的已经在代码中存在了22年的特权升级漏洞,补丁抢在了让人厌烦的exploit前发布了。这一漏洞可以使得登入到一个存在漏洞的机器的人将X服务搞崩溃,或者执行输入代码后成为超级用户。在混沌通信大会(译注:始于1984年,由欧洲最大的黑客联盟组织——德国混沌电脑俱乐部主办。该会议主要研讨计算机和网络安全问题,旨在推进计算机和网络安全。开始多是热爱计算机的黑客参与,其后不断吸引科学家、安全专家和计算机爱好者参加,因此也有人称之为欧州黑客大会
阅读全文
关于口令强度等级的设计
摘要:近来在笔者所参与的一款产品中涉及到口令安全的功能设计,其中一项功能是有关于口令强度的。在设计该功能过程中势必涉及到口令强度的划分设计,怎样的口令才算是低强度的,怎样的口令才算是高强度的?目前诸多的Web系统注册功能中的口令强度设计及划分也无统一标准,更有甚者是直接根据口令长度来设计的口令强度划分。如果要评判一则口令是强是弱,就必须先考虑影响口令强度的因素:复杂性和长度,因为我们在输入口令时只有这两种维度的选择:要么多输入一些特殊字符增强复杂性,要么多输入一些混合字符/字母增加口令长度。在不考虑拖库、社工等口令获取方式的前提条件下,通常情况下,破解口令仅有暴力破解的方式可以选择,其中亦包括字典攻
阅读全文
利用WPS 2012/2013 0day针对中国政府部门的定向攻击
摘要:今天早上,我们捕获到一个利用wps 2012/2013 0day针对中国政府部门的钓鱼邮件定向攻击事件。邮件发件人以2014中国经济形势解析高层报告组委会 标题发出,附件为包含wps2012 0day的攻击文件,目前为止该攻击文件没有杀毒软件可以查杀。一旦使用WPS 2012 打开文件攻击成功,会释放打开一个迷惑性的正常文件 2014中国经济形势解析高层报告会.doc,并且释放运行 win32_453B.dll_,IE7.EXE_,hostfix.bat_.目前不确认该0day是否跟前端时间国外exploit-db上是否是一个漏洞,我们还在持续分析跟踪,敬请关注。同时,我们也正在协助客户分析事
阅读全文
Kingsoft Office Writer 2012 8.1.0.3385 - (.wps) Buffer Overflow Exploit (SEH)
摘要:#!/usr/bin/python# Exploit Title: Kingsoft Office Writer v2012 8.1.0.3385 .wps Buffer Overflow Exploit (SEH)# Version: 2012 8.1.0.3385# Date: 2013-11-27# Author: Julien Ahrens (@MrTuxracer)# Homepage: http://www.rcesecurity.com# Software Link: http://www.kingsoftstore.com#...
阅读全文
浅谈杀软对抗技巧
摘要:一目录安全防御技术进化史安全防御技术的对抗静态特征码查杀启发式查杀云查杀二安全防御技术进化史基于特征码的静态查杀基于行为的启发式查杀主动防御技术基于虚拟机的启发式分析基于云安全机制的防御技术三安全防御技术的对抗静态特征码查杀静态特征码免杀针对macafee、Avira、Nod32、trendmicro免杀效果比较明显。动态调用API①特征码定位;②GetProcAddress获取API地址;③Call。代码混淆技术定位到被查杀的函数块,然后通过API乱序调用或者插入一些正常其它API调用,如释放文件时采用单个字节循环写入。底层API替代调用当模块在进行特殊操作的时候被杀,可以采用调用底层的AP
阅读全文
动态监控驱动、dll、exe加载
摘要:1 /* 2 windows2003 x86/x64 window7 x86 windows2008 R2 x64测试通过 3 */ 4 5 #include 6 #include "nt_help.h" 7 DRIVER_INITIALIZE DriverEntry; 8 9 typedef struct _OBJECT_TYPE_INITIALIZER { 10 USHORT Length; 11 BOOLEAN UseDefaultObject; 12 BOOLEAN CaseInsensitive; 13 #if WINVER>=0x0...
阅读全文
使用WinINet和WinHTTP实现Http访问
摘要:使用WinINet和WinHTTP实现Http访问Http访问有两种方式,GET和POST,就编程来说GET方式相对简单点,它不用向服务器提交数据,在这个例程中我使用POST方式,提交数据value1与value2,并从服务器得到他们的和(value1 + value2)。为实现Http访问,微软提供了二套API:WinINet, WinHTTP。WinHTTP比WinINet更加安全和健壮,可以这么认为WinHTTP是WinINet的升级版本。这两套API包含了很多相似的函数与宏定义,呵呵,详细对比请查阅msdn中的文章“Porting WinINet Applications to Win
阅读全文
如何使用 WinInet 时提供下载上载进度信息
摘要:概要许多开发人员都使用 WinInet 函数来下载或上载文件在 Internet 上的想要提供一个进度条以指示多少文件传输已完成,但多少就越长。您可以使用以下机制来完成此。Collapse image更多信息使用 InternetSetStatusCallback 来获取下载进度的通知为您提供良好的信息请求的进展如何,包括连接状态通知。但是,它不表示一定百分比的传输已完成。若要获取的百分比相当完整的通知,您需要确定传输的大小,然后使用小缓冲区中调用 InternetReadFile 或 InternetWriteFile。然后,您可以作为完整的函数调用来计算传输的百分比。例如,假设您想要下载的
阅读全文
HTTP POST上传文件(wininet实现)
摘要:void UploadFile(LPTSTR lpFilePath){ HINTERNET hSession=0; HINTERNET hConnect=0; HINTERNET hRequest=0; DWORD dwNumberOfBytesWritten=0; DWORD dwBytesSend=0; INTERNET_BUFFERS BufferIn; DWORD dwFlag; LPCTSTR boundary=TEXT("-----------------------------67491722032265"); //...
阅读全文
一个快速查看API的汇编和机器码的工具.发布源码
摘要:提供一个早年写的一个小工具,一直在用,赶紧很顺手,特推荐给大家。欢迎垂询。1,在OD正在跟踪分析某个保护壳的一段code的时候,感觉似曾相识,好像在哪里见过,好像是某个API。----这个时候你就需要用【fosomAPI速查】,快速找到这个API。2,在用OD手动Hook的时候,jmp长跳之后,用汇编写一个小小的Call的时候,需要用一个API,但是IAT被破坏了。---这个时候,你就需要用【fosomAPI速查】,快速查到API,然后把机器码直接copy到OD里面,就OK了。3,随便一个Dll,需要查一下EAT,并且看看某个导出函数的汇编,---这个时候,你就需要用【fosomAPI速查】。
阅读全文
iOS https(SSL/TLS)数据捕获
摘要:要捕获iPhone上的appstore的数据还真的没那么容易,以前介绍的那些使用代理手工导入证书的方法已经完全失效了,结果就是安装证书之后再打开appstore也无法正常的建立连接。按照我的分析其实是appstore在检测证书无效之后直接就没有发起任何的请求(可以通过wireshark抓包查看网络数据)随之而来的是第二种方法,patch ssl证书校验函数,根据这个原理实现的有两个工具,一个是ssl kill switch,另外一个是trustme。原理都是一样的,并且也非常的简单,按照作者的说法是truestme实现的更底层一些。但是很不幸的是,结局是同样的悲哀的,在iOS6之后这个东西也是
阅读全文
浅谈C++源码的过国内杀软的免杀
摘要:以下只是简单的思路和定位。也许有人秒过,但是不要笑话我写的笨方法。定位永远是过期不了的。其实这里废话一下 , 本人并不是大牛 ,今天跟大家分享下 。所以写出这篇文章。(大牛飘过)只是个人实战的经验而已 ,没有任何技术含量。ok 我们开始我们只谈vc++源码免杀 ,过掉 国内的杀毒软件 。 达到不损坏功能 正常上线 从而无视杀软的存在首先说中国国内杀毒软件的特征 。1 金山毒霸 ,我个人觉得杀的代码部分和字符串还是比较普遍的 。输入表函数 我个人不多见 。2 瑞星 ,经实战经验 ,瑞星杀毒软件是垃圾。 过掉金山 也就过瑞星了 除非杀敏感的字符串 。3 江民 ,纯属基本就是杀字符串 。。 大家可以
阅读全文
分析与提取QQ木马盗号技术
摘要:程序大致的流程如下图;因为是用画图工具画的,所以大家就将就看下把,有什么不对的地方请多多指教;程序是用Delphi写的,只有加载器加了个upx壳,其他的都没有加壳;所以分析起来就比较简单了;这个程序的关键技术都在ntshruis2.dll这个模块中了;主要是hook了 4 个QQ进程中4个关键的地方;1.CODE:0040F9A5 push offset a?isvalidaccoun ; "?IsValidAccount@Misc@Util@@YAHVCTXStrin"...CODE:0040F9AA push of...
阅读全文
给记事本添加接口,并通过菜单来执行自定义的功能
摘要:思路:通过反汇编确定记事本的窗口过程地址,把它替换为我们自己的窗口过程地址,在自己窗口过程中先判断是否是自定义的消息,是则执行相应的操作,不是则把流程转到记事本原来的窗口过程中进行处理。添加的功能:转换大小写,加解密文本,统计字数。源代码编译成DLL// ExNotepad.cpp : Defines the entry point for the DLL application.//#include "stdafx.h"#include "resource.h"#include #define IDR_UPPER (128)/*转换为大写*/#defi
阅读全文
修改PE文件的入口函数OEP
摘要:修改入口函数地址。这个是最省事的办法,在原PE文件中新增加一个节,计算新节的RVA,然后修改入口代码,使其指向新增加的节。当然,如果.text节空隙足够大的话,不用添加新节也可以。BOOL ChangeOEP(CString strFilePath) { FILE* rwFile; // 被感染的文件 IMAGE_SECTION_HEADER NewSection; // 定义要添加的区块 IMAGE_NT_HEADERS NT...
阅读全文
浙公网安备 33010602011771号