作者:fleshwound([email protected]) http://www.smatrix.org
来源:安全焦点
1 引言
近些年来,恶意代码依赖一些特殊的Native API函数和内核系统函数进行感染、传播、隐藏的这种趋势愈加明显代码,并大量的使用了多重加密壳、驱动关联壳、变形壳等代码保护机制和多态和变形等新的技术。传统的恶意代码查杀技术遭到了严重的挑战。
恶意代码开发者想尽了各种办法,对进程、文件、注册表、系统服务、网络服务等各方面信息进行了控制,内核级的恶意代码做得更加巧妙和隐蔽。从技术上进行分类,恶意代码使用的技术手段可以分为:(1)用户模式系统调用劫持;(2)核心模式系统调用劫持;(3)核心模式数据篡改;(4)核心模式中断处理程序劫持。
阅读全文 »
作者:fleshwound([email protected]) http://www.smatrix.org
来源:安全焦点
2004年8月17日在美国加州圣巴巴拉举行了一次国际密码学学术年会(Crypto’2004),当晚来自中国山东大学的王小云教授做了关于破译 MD5、HAVAL-128、 MD4和RIPEMD算法的报告。当她公布了破解结果之后,报告被激动的掌声打断,引起了全场的轰动。会议结束后,很多专家来到王小云教授身边向她表示祝贺,连世界顶尖级的密码学大师Rivest和Shamir也上前表示他们的欣喜和祝贺,世界信息安全方面的专家们对王小云教授等人的论文给予高度评价, MD5的设计者和著名的公钥密码系统RSA的第一设计者Rivest在邮件中写道:“这些结果无疑给人 阅读全文 »
Tags: md5, SHA-1作者:open
来源:open's Blog
经常会看到鸽子或一些木马可以自定义生成一个服务端程序,开始很奇怪,他是怎么做到的!后来去网上搜了下,但是没找到相关文章! 后来碰巧得到了一个QQ病毒的源代码,而这个程序就可以生成一个文件,于是就研究了下代码,但是收获不大,但是很实用,他的大致思路和鸽子是一样的:
原理一:
在程序的尾部追加数据,然后程序运行时从尾部读取数据,这个方法看似容易,但是实际操作的时候遇到了很多问题,我最不明白的是他既然加了数据又是怎么保持 PE文件本身的格式的!但是这个方法确实可行,我看了鸽子的源码,他所用的方法基本一样!先把一个文件复制出来然后把数据写到文件尾部!
后来一次偶然的机会看到一个很不错的文章!虽然写的不是很清楚,不过大致已经说明了思路,以及方法!
阅读全文 »
作者:open
来源:open's Blog
下面的程序不是木马,只是演示这种实现方法.同样分为两部分:配置器和木马.
配置器代码:
程序代码
{该函数是给配置文件加密用的,采用的是xor加密方式,你可以改成你喜欢的加密方式.
当然,这部分绝对可以省略不要.但如果你往木马中写的配置信息涉及到你的敏感资料,
例如往QQ木马尾部写"邮箱"? "邮箱密码"? 那样人家拿Windows记事本一看,明文记录.
有了这部分就不会出现这种情况,xor虽然简单,但对付菜鸟足亦.需要提醒的一点是,这
里不管你用什么加密方式.木马运行后在内存中一定是解密的,用WinHex类工具一查内存
还是可以查到你的资料.所以尽量避免填写敏感资料,例如QQ木马改用ASP接口,这样它
查到的也是没用的一个网址而已.
}
————————————-
注:本站首发,转载请保留,谢谢!
http://www.huaidan.org
鬼仔's Blog
————————————-
Date:2008-2-15
Author:Yamato[BCT]
Version:Oblog 4.6
漏洞文件AjaxServer.asp:
Sub digglog() //第691行
If Not lcase(Request.ServerVariables("REQUEST_METHOD"))="post" Then Response.End
。。。。。。
If request("ptrue")=1 Then //第703行
阅读全文 »
