2007年12月 的日志

结合内核和病毒技术的最新远程控制软件ntshell v1.0(开源代码)

2007/12/31 7:31 | 鬼仔 | 工具收集 | 2 个回复

软件作者:被诅咒的神
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

这是一个免费开源的远程控制软件,源码仅供学习参考,请勿用于非法用途。

功能特点:
1.提供CMDSHELL、文件管理、进程管理、端口代理(未完成)、屏幕捕获和一些其它功能

2.可感染32位PE文件,感染后可选择在宿主进程空间中运行(无进程)或创建新进程运行,
在宿主进程中运行还可选择端口劫持,即复用宿主所打开的端口,感染不影响宿主正常运行

3.用到了一些内核技术,包括活动进程链脱链(隐藏进程),与ICESWORD相同的进程强杀方
法(能杀掉一些杀毒软件的进程),Ring0打开文件(用于感染正在运行的可执行文件),
2000/xp下采用无驱Ring0

4.同时支持正向连接和反向连接,服务端和控制端均可接受管理多个连接
阅读全文 »

Tags: , ,

推荐:Web 2.0 的流量统计系统 Clicki

2007/12/29 12:52 | 鬼仔 | 乱七八糟 | 消灭0回复

  不知道大家有没有注意到我blog右下角一直有个“最近5天的来源”的统计,我很早就开始用这个了。现在很多时候已经懒得去看统计,直接看一眼这里的来源,就可以知道大概谁链接了我。 :)
  记得当时 David 还没有做现在这样的统计系统,当时只是一个小程序,放到自己站上就可以显示了。
  后来 David 开始做了现在的 Clicki ,前段时间还推出了 Spy 功能,越来越酷了。
阅读全文 »

Tags:

XSS Worm Defense

2007/12/29 11:51 | 鬼仔 | 技术文章 | 消灭0回复

by axis
2007-12-29
http://www.ph4nt0m.org

近日XSS WORM愈演愈烈,随着AJAX技术的发展,这种XSS的高级攻击技巧已经成为了当今的热点。

在圣诞节,baidu个人空间遭受了一次前所未有的XSS WORM攻击,在短短时间内,8700个博客页面被修改,并进行传播,baidu在26日fix了该漏洞,并发了一个公告

http://hi.baidu.com/%B0%D9%B6%C8%BF%D5%BC%E4/blog/item/0e3433fa69eeb61aa8d3110f.html

对于该次WORM攻击,在剑心的blog上有完整的技术分析:
http://www.loveshell.net/blog/blogview.asp?logID=283

对比以前的myspace的XSS 阅读全文 »

Tags: ,

Winlogon劫持记录3389密码小工具(开源代码)

2007/12/29 6:57 | 鬼仔 | 工具收集 | 1 个回复

文章作者:lovemfc
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

在得到system权限下,通常希望得到3389管理员密码,来进一步得到更多的信息,方便进一步的渗透。
gina木马比较不错,但是貌似win 2000少导出一个函数,用在win 2000下可能崩溃。
于是写了一个小工具,通过挂钩 msgina.dll WlxLoggedOutSAS 函数,记录登录帐户密码!
启动就用winlogon 通知包,当有3389,连上服务器时。新创建的 winlogon.exe 会在登录前加载,注册了 "Startup" 的dll,Hook 了函数,登录成功后,记录密码到 boot.dat 文件,并取消Hook。退出3389后,dll 文件即可删除。
阅读全文 »

Tags: , ,

USB记录清除方法

2007/12/28 8:56 | 鬼仔 | 技术文章 | 3 个回复

来源:amxku's blog

有些特殊部门不允许使用移动存储设备,接受检查的时候可以用这招。
删除
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}下的所有项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB 下所有Vid开头的项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR 下的所有Disk&Ven开头的项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UsbFlags 下所有项
c:\windows\setupapi.log 文件

Tags:

社会工程学在黑客中的应用--一个密码引发的“血案”

2007/12/28 5:57 | 鬼仔 | 技术文章 | 1 个回复

鬼仔注:仔细看看能学到很多东西。

信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
文章作者:fhod

说明:文章已发表于黑客X档案2007年第12期,转载请注明出处!
本文首发邪恶八进制.如需转载请注明出处!

PS:因为事搁很久..有些细节和证据已经无法拿出来了..所有以下有部分是根据我的回忆来陈述的..喜欢社工的朋友边看边想也许就知道我是否在编造故事了..如果你是刚入门对社工并不了解的朋友就暂且把他当成是一个小说来看好了..

事情起因
一个偶然的机会..在一次帮助朋友盗一人的QQ的时候..查到此号码是另一人所赠送..也就是她现在的男朋友..通过查看某女QQ空间的留言肯定了QQ号码为198***2就是她男朋友..当时一看跟我QQ一样是生日号..然后就看了下资料 阅读全文 »

Tags: ,

键盘记录工具BlueStar Beta v1.99

2007/12/28 5:51 | 鬼仔 | 工具收集 | 消灭0回复

软件作者:丰初(wwwst)
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

说明:
一:無進程
二:體積小(6K)
三:佔用資源小,幾呼不佔用資源
四:還沒有想到,娃哈哈,XX
注意:此程序记录为键盘驱动记录,只能记录被中机器所对应的物理键盘操作。

程序大小6K,附件里包含动画使用教程。

下载地址:myklog.rar

Tags:

icesword 驱动部分分析(ZT)

2007/12/28 5:51 | 鬼仔 | 技术文章 | 消灭0回复

作者:wuyanfeng
来源:驱动开发网(www.zndev.com)

icesword . exe 在执行的时候会放出一个驱动程序 ispubdrv . sys .
icesword . exe 装载 这个驱动,这个驱动安装后就不会卸载。直到系统重新启动。这可能是因为驱动中调用了
PsSetCreateThreadNotifyRoutine 函数 . 下面是这个函数在 ddk 中的介绍。

///////////////////////////////////////////////
PsSetCreateThreadNotifyRoutine registers a driver – supplied callback that is subsequently notified 阅读全文 »

Tags: ,