分类 ‘技术文章’ 下的日志

普通恶意代码技术分析与检测

作者:fleshwound([email protected]) http://www.smatrix.org
来源:安全焦点

1 引言
  近些年来,恶意代码依赖一些特殊的Native API函数和内核系统函数进行感染、传播、隐藏的这种趋势愈加明显代码,并大量的使用了多重加密壳、驱动关联壳、变形壳等代码保护机制和多态和变形等新的技术。传统的恶意代码查杀技术遭到了严重的挑战。
恶意代码开发者想尽了各种办法,对进程、文件、注册表、系统服务、网络服务等各方面信息进行了控制,内核级的恶意代码做得更加巧妙和隐蔽。从技术上进行分类,恶意代码使用的技术手段可以分为:(1)用户模式系统调用劫持;(2)核心模式系统调用劫持;(3)核心模式数据篡改;(4)核心模式中断处理程序劫持。
阅读全文 »

浅谈MD5和SHA-1被破解和应用改进策略

作者:fleshwound([email protected]) http://www.smatrix.org
来源:安全焦点

2004年8月17日在美国加州圣巴巴拉举行了一次国际密码学学术年会(Crypto’2004),当晚来自中国山东大学的王小云教授做了关于破译 MD5、HAVAL-128、 MD4和RIPEMD算法的报告。当她公布了破解结果之后,报告被激动的掌声打断,引起了全场的轰动。会议结束后,很多专家来到王小云教授身边向她表示祝贺,连世界顶尖级的密码学大师Rivest和Shamir也上前表示他们的欣喜和祝贺,世界信息安全方面的专家们对王小云教授等人的论文给予高度评价, MD5的设计者和著名的公钥密码系统RSA的第一设计者Rivest在邮件中写道:“这些结果无疑给人 阅读全文 »

Tags: ,

木马生成技术

作者:open
来源:open's Blog

经常会看到鸽子或一些木马可以自定义生成一个服务端程序,开始很奇怪,他是怎么做到的!后来去网上搜了下,但是没找到相关文章! 后来碰巧得到了一个QQ病毒的源代码,而这个程序就可以生成一个文件,于是就研究了下代码,但是收获不大,但是很实用,他的大致思路和鸽子是一样的:

原理一:
在程序的尾部追加数据,然后程序运行时从尾部读取数据,这个方法看似容易,但是实际操作的时候遇到了很多问题,我最不明白的是他既然加了数据又是怎么保持 PE文件本身的格式的!但是这个方法确实可行,我看了鸽子的源码,他所用的方法基本一样!先把一个文件复制出来然后把数据写到文件尾部!

后来一次偶然的机会看到一个很不错的文章!虽然写的不是很清楚,不过大致已经说明了思路,以及方法!
阅读全文 »

Tags:

木马配置器通用写法

作者:open
来源:open's Blog

下面的程序不是木马,只是演示这种实现方法.同样分为两部分:配置器和木马.

配置器代码:

程序代码
{该函数是给配置文件加密用的,采用的是xor加密方式,你可以改成你喜欢的加密方式.
当然,这部分绝对可以省略不要.但如果你往木马中写的配置信息涉及到你的敏感资料,
例如往QQ木马尾部写"邮箱"? "邮箱密码"? 那样人家拿Windows记事本一看,明文记录.
有了这部分就不会出现这种情况,xor虽然简单,但对付菜鸟足亦.需要提醒的一点是,这
里不管你用什么加密方式.木马运行后在内存中一定是解密的,用WinHex类工具一查内存
还是可以查到你的资料.所以尽量避免填写敏感资料,例如QQ木马改用ASP接口,这样它
查到的也是没用的一个网址而已.
}

阅读全文 »

Tags:

SA权限下的思路变通

信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
文章作者:jxsaqjh

注:本文首发于“jxsaqjh网络工作室”,转载请注明出处。

去年的时候已经拿到了这个站的SHELL,可是后门很早就被K了,今天无意间又得到了注入,啊D检测很快就出来了令人欣喜的信息,SA权限,转到NB里面可以列目录但是不能执行,telnet对方1433不能连接,因为曾经入侵过一次知道WEB和SQL在同一台机器上,所以确定对方改了MSSQL端口。
尝试在NB里面恢复CMDSHELL、OACREAT都没有成功,所以开启SQLSERVERAGENT
阅读全文 »

Tags:

Oblog注入漏洞分析

————————————-
注:本站首发,转载请保留,谢谢!
http://www.huaidan.org
鬼仔's Blog
————————————-

Date:2008-2-15
Author:Yamato[BCT]
Version:Oblog 4.6

漏洞文件AjaxServer.asp:
Sub digglog() //第691行
If Not lcase(Request.ServerVariables("REQUEST_METHOD"))="post" Then Response.End
。。。。。。
If request("ptrue")=1 Then //第703行
阅读全文 »

Tags: , , ,

linux平台下渗透日本著名XXXXXX.TV

来源:纯色笔记
作者(暂叫):knell

因为此站为大名鼎鼎的XX电影站,流量很大,且内容很不和谐,所以一切whois,网站内容,重要渗透信息都不方便公开。
(请勿对号入座.)
题记:
第一次在team外写有关渗透的文章,呵呵。当然,还是一如既往的猪肉炖粉条—没技术含量.主要是启发下只会在winows下搞搞asp的"啊D专家,明小子高手们",Linux下一样搞渗透!
整个过程均在Ubuntu 7.10 i386 (Kernel 2.6.22)下完成,没有用到任何windows下的,非GPL的工具…以及任何非公开技术,所有工具都可以在sourceforge下载到源码.
写的断断续续的,今天终于打算给写完了..
目标:这是一个"日本电影站",所以俺的目标很简 阅读全文 »

Tags:

windows命令行(Command Prompt / Console)字体设置

作者:兔毛猫 链接:http://www.2maomao.com/blog/windows-console-font/

Windows命令行的字体一直让我不爽,只有两个选项,英文版还有个Lucida Console比较好看,切换到中文版以后,就只有很让人抓狂的Fixedsys和新宋体,唉,现在只要是可以输入的地方,哪有不让改字体的。
今天搜了一下,英文系统下,通过改注册表是可以做到的:
http://www.orablogs.com/duffblog/archives/001209.html
http://support.microsoft.com/kb/247815
但是中文系统下仍然不行,我先切换到英文系统,然后搞了几个快捷方式再切回来,试了几次总算成功了。
这里有张截图,其中用的是Bitstream Vera Sans Mono字体:
阅读全文 »

Tags: ,