作者:open
来源:open's Blog
经常会看到鸽子或一些木马可以自定义生成一个服务端程序,开始很奇怪,他是怎么做到的!后来去网上搜了下,但是没找到相关文章! 后来碰巧得到了一个QQ病毒的源代码,而这个程序就可以生成一个文件,于是就研究了下代码,但是收获不大,但是很实用,他的大致思路和鸽子是一样的:
原理一:
在程序的尾部追加数据,然后程序运行时从尾部读取数据,这个方法看似容易,但是实际操作的时候遇到了很多问题,我最不明白的是他既然加了数据又是怎么保持 PE文件本身的格式的!但是这个方法确实可行,我看了鸽子的源码,他所用的方法基本一样!先把一个文件复制出来然后把数据写到文件尾部!
后来一次偶然的机会看到一个很不错的文章!虽然写的不是很清楚,不过大致已经说明了思路,以及方法!
阅读全文 »
作者:open
来源:open's Blog
下面的程序不是木马,只是演示这种实现方法.同样分为两部分:配置器和木马.
配置器代码:
程序代码
{该函数是给配置文件加密用的,采用的是xor加密方式,你可以改成你喜欢的加密方式.
当然,这部分绝对可以省略不要.但如果你往木马中写的配置信息涉及到你的敏感资料,
例如往QQ木马尾部写"邮箱"? "邮箱密码"? 那样人家拿Windows记事本一看,明文记录.
有了这部分就不会出现这种情况,xor虽然简单,但对付菜鸟足亦.需要提醒的一点是,这
里不管你用什么加密方式.木马运行后在内存中一定是解密的,用WinHex类工具一查内存
还是可以查到你的资料.所以尽量避免填写敏感资料,例如QQ木马改用ASP接口,这样它
查到的也是没用的一个网址而已.
}
————————————-
注:本站首发,转载请保留,谢谢!
http://www.huaidan.org
鬼仔's Blog
————————————-
Date:2008-2-15
Author:Yamato[BCT]
Version:Oblog 4.6
漏洞文件AjaxServer.asp:
Sub digglog() //第691行
If Not lcase(Request.ServerVariables("REQUEST_METHOD"))="post" Then Response.End
。。。。。。
If request("ptrue")=1 Then //第703行
阅读全文 »
来源:rosicky311(小浩)的窝
受影响版本:
Real Networks rmoc3260.dll 6.0.10 45
Real Networks RealPlayer 11
描述:
BUGTRAQ ID: 28157
CNCAN ID:CNCAN-2008031113
Real Networks RealPlayer是一款流行的媒体播放程序。
Real Networks RealPlayer包含的'rmoc3260.dll' ActiveX控件存在内存破坏问题,远程攻击者可以利用漏洞以应用程序进程权限执行任意指令。
问题存在于'rmoc3260.dll' ActiveX控件,版本为6.0.10.4:
{2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93}
阅读全文 »
