2008年8月 的日志

利用WMI打造完美“三无”后门-U盘侦测与Autorun

来源:菠萝的菠萝格

Welcome!各位ScriptKid,欢迎来到脚本世界。

一个好的后门,肯定要有一个比较好的传播方式。比如读取本地联系人列表发送邮件,U盘感染,QQ,MSN传播等等。利用WMI提供的强大windows管理接口来实现多样的传播方式非常简单。这里我只介绍一下U盘方式。

Win32_LogicalDisk类提供了很好的识别各类驱动器的接口。我们可以很轻易的识别出我们可以感染的移动设备。来看代码:
阅读全文 »

Tags: , , ,

利用WMI打造完美“三无”后门-The Core

来源:菠萝的菠萝格

Welcome!各位ScriptKid,欢迎来到脚本世界。

今天忙了一天,比较累。不废话那么多了,切入正题。

这个“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer(以下简称ASEC)。WMI中有许多这 类的事件消费者,简单的来说,当与其绑定的事件到达时,消费者就会被触发执行预先定义好的功能。例如可以用来执行二进制程序的 CommandLineEventConsumer等等

ASEC是WMI中的一个标准永久事件消费者。它的作用是当与其绑定的一个事件到达时,可以执行一段预先设定好的JS/VBS脚本。
阅读全文 »

Tags: ,

利用WMI打造完美“三无”后门-消灭一切假网卡

来源:菠萝的菠萝格

Welcome!各位ScriptKid,欢迎来到脚本世界。

这年头,貌似除了我们呼吸的空气,什么都有假的,有的假的比那真的还真的。更别说在0101的虚拟世界了。hi,请问你是阿猫还是阿狗?:)

如何从一大堆诸如VMWARE之类的软件所模拟的假网卡中找到那块我们需要的真实的物理网卡并且确定确实有个真的网线插在上面,是摆在我们面前的第一个问题。更何况,用MAC地址来进行机器管理,相对还比较可靠^0^

WMI里主要有关网卡的类有三个:Win32_NetworkAdapter,Win32_NetworkAdapterConfiguration和Win32_NetworkAdapterSetting,都是位于CIMV2名称空间。
阅读全文 »

Tags: ,

利用WMI打造完美“三无”后门(序章)

来源:菠萝的菠萝格

Welcome!各位ScriptKid,欢迎来到脚本世界。从今天开始小弟我会连载这篇《利用WMI打造完美“三无”后门》。

序章

在正式开始之前,请允许小弟先介绍一下时代背景,人物性格。

这个后门完成于2006年的这个时候。其主要的思路来自于zzzevazzz大虾的《深入挖掘windows脚本技术》,感谢zzzevazzz提 供了一个这么好的思路。其另外的一篇《Do All in Cmd Shell》也是一篇非常不错的文章。顺便提一句,本文欢迎一切形式的转载,复制粘贴,但请至少保留zzzevazzz字样,谢谢。

在这篇连载里我不会向大家介绍一个完整的可运行的wmi后门代码,而会将其按照运作的流程结构以及功能,分别给大家介绍一下强大的wmi和vbscript脚本带给我们的好处。有想用来干坏事的同学请自行研究,You are not Welcome.
阅读全文 »

Tags: ,

亲历2008全球黑客大会

新闻来源:CSDN
Black Hat的创始人Jeff Moss希望将Black Hat办成一个学习和分享技术的大会。下面就让我们一起来看看这个代表技术自由、言论自由和行为自由的全球最大的Black Hat(黑帽)安全大会,今年给我们带来了怎样的惊喜?
阅读全文 »

Tags:

駭客年會Black Hat / DEFCON 2008 心得一:地下犯罪經濟成熟,影響會議品質?

鬼仔注:该文作者在最后贴的“一段中國玩資安技術的人在 2007 年底貼出來的文”是指tombkeeper发的这篇“为什么近几年公开的技术交流越来越少”,但是作者给转成繁体的了,我在文章最后单独贴出tombkeeper的简体原文(不直接把最后改成简体是不能随意修改作者的文章)。

来源:阿碼外傳

其實阿碼一年要去很多會議,但是大部分是參展,不單純是參加。可是我發現參展時我就比較不能專心聽演講,因為總是有 VIP 客戶會來 booth,那我就必須要在攤位「站台」。自己當講師的時候就更慘了,通常我都最後一分鐘還在做投影片。Black Hat / DEFCON 我們明年才會擺攤位,所以我今年就比較輕鬆些,可以享受專心聽演講的樂趣!不過這些會議跑多了,有經驗的講師一年中講的都大同小異,沒有經驗的講師,講的我又聽不太下去,有時也會覺得浪費時間。

Jeff Moss
(aka Dark Tangent)是 Black Hat / DEFCON 駭客年會的創辦人與主席,每年的會上,他都會接受媒體的採訪。他今年的採訪,主要談到了地下經濟的成熟,對於駭客年會的影響。以下是訪問的影片:
阅读全文 »

Tags: ,

美國駭客年會 Black Hat 2008 觀察–第二天

来源:阿碼外傳

此文續「美國駭客年會 Black Hat 2008 觀察–第一天」…

1. Rod Beckström: 國家安全
2. Arian Evans: Encoded, Layered, and Trancoded Syntax Attacks: Threading the Needle past Web Application Security Controls
3. Billy Hoffman: 擊敗 javascript 分析工具(Circumventing Automated JavaScript Analysis Tools)
4. Justin Clarke: SQL Injection 蠕蟲:為了興趣也為了利益(SQL Injection Worms for Fun and Profit)
5. Jeremiah Grossman: Get Rich or Die Trying – “Making Money on The Web, The Black Hat Way”
6. Matthieu Suiche: Windows Hibernation File for Fun and Profit

說真的如果不是要來 Black Hat / DEFCON,我是絕對不會想到這邊來的。我去過不少城市,但是了解我的人應該都知道,這邊除了駭客年會,還真沒有東西可以吸引我。
阅读全文 »

Tags: ,

美國駭客年會 Black Hat 2008 觀察–第一天

来源:阿码外传

(这篇是一个很详细的观察,针对我在美国骇客年会 Black Hat 有去到的场次。对于整个 Black Hat 今年的趋势观察,我会另外写一篇。)

1. Ian Angell: Complexity in Computer Security–A Risky Business
2. Jared DeMott: AppSec A-Z
3. Billy Rios & Nitesh Dhanjani: Bad Sushi: Beating Phishers at Their Own Game
4. Fyodor Vaskovich: 大規模 NMAP 掃瞄(Nmap: Scanning the Internet)
5. Dan Kaminsky: DNS 有史以來最大漏洞
6. Petko D. Petkov(PDP): 瀏覽器安全(Client-side Security)
7. Rober (RSnake) Hansen: Xploiting Google Gadgets: Gmalware and Beyond
8.
9. 綿羊牆!

會場就在我住的旅館的對面,但是還是很早起床,因為每天都很忙,除了聽一些 talk 還有很多人要碰。今天天氣很好,有太陽時才發現我房間看出去的view還不錯:
阅读全文 »

Tags: ,