浅析ring3下对抗08瑞星主动防御

文章作者:willy123
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

注:文章已经发表在2007年12期《黑客防线》,后由原创作者提交到邪恶八进制信息安全团队,转载请注明原始出处。

其实我对瑞星杀毒软件的印象一直还是不错的,占用资源不大,效率也还不错,而且能看到软件本身在不断进步,毕竟是国产的杀毒软件,还是应该支持一下的。废话不多说了,我们来进入正题,08瑞星不久前刚刚上市,其最主要的技术亮点在于其公司宣传的“主动防御”,下面引用瑞星公司的介绍“瑞星杀毒软件2008 中采用的主动防御技术包含三个层次,资源访问规则控制;资源访问扫描;程序活动行为分析引擎,其中尤其以行为分析引擎技术最为关键。”
从图二中我们可以清楚的看到,在资源访问规则控制里列举了大量hi 阅读全文 »

Tags: ,

渗透测试工具Immunity CANVAS使用安装简介

目前在网络上比较流行的安全漏洞检测工具有Metasploit、Immunity CANVAS、Core Impact,但由于Immunity CANVAS、Core Impact都是商业工具,因此对这两个产品的介绍资料都很少。为了使大家更好的理解和掌握这两款商业攻击,叶子将在本文向我们重点介绍一下 Immunity CANVAS工具的使用,以及下载安装说明。

简介:Canvas是Aitel's ImmunitySec出品的一款安全漏洞检测工具。它包含150个以上的漏洞利用。对于渗透测试人员来说,Canvas是比较专业的安全漏洞利用工具。Canvas 也常被用于对IDS和IPS的检测能力的测试。

费用:购买Canvas的License需要花费1244$,比Core Impact便宜一些。C 阅读全文 »

如何使用Nikto漏洞扫描工具检测网站安全

随着信息技术的发展,网络应用越来越广泛,很多企业单位都依靠网站来运营,正因为业务的不断提升和应用,致使网站的安全性显得越来越重要。另一方面,网络上的黑客也越来越多,而且在利益驱使下,很多黑客对网站发起攻击,并以此谋利。作为网站的管理人员,应该在黑客入侵之前发现网站的安全问题,使网站能更好的发挥作用。那么究竟如何检查网站的安全隐患和漏洞呢?

下面我们介绍一款开放源代码的Web漏洞扫描软件,网站管理员可以用它对WEB站点进行安全审计,尽早发现网站中存在的安全漏洞。

Nikto 是一款开放源代码的、功能强大的WEB扫描评估软件,能对web服务器多种安全项目进行测试的扫描软件,能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题,它可以扫描指定主机的WEB类型、主机名、特定目录、COOKIE、特定CGI漏洞、返回主机允许的 阅读全文 »

Tags:

从卡巴漏洞管窥内核模式Shellcode的编写

来源:gyzy's Blog

本文已经发表在《黑客防线》2007年11月刊。作者及《黑客防线》保留版权,转载请注明原始出处

适合读者:溢出爱好者
前置知识:汇编语言、Windows内核基本原理
从卡巴漏洞管窥内核模式Shellcode的编写
文/图 gyzy[江苏大学信息安全系&EST]
在用户态(Ring3)下存在的种种漏洞在内核态(Ring0)一样存在,并且有些漏洞在用户态下反而比较少见,比较典型的例子就是 DeviceIOControl畸形参数这一类的漏洞。用户态的Exploit技术是内核Exploit技术的基础,假如连用户态下Exploit的一些概念还不是很清楚的话,建议读者先了解一下用户态的Exploit和Shellcode技术,这两者虽然相似,但是还是有很大的不同,在内核态下 阅读全文 »

Tags: ,

深入浅出secdrv.sys本地提权0day Poc

来源:gyzy's Blog

本文已经发表在《黑客防线》2007年9月刊。作者及《黑客防线》保留版权,转载请注明原始出处
适合读者:溢出爱好者
前置知识:汇编语言、Windows内核基本原理
深入浅出secdrv.sys本地提权0day Poc
文/图 gyzy[江苏大学信息安全系&EST]
漏洞出在一款名为secdrv.sys的驱动程序中,secdrv.sys是集成在Windows Server 2003和Windows XP中的Macrovision的SafeDisc软件的一部分。SafeDisc能够阻止对一些媒体的非法拷贝,Windows Vista也集成有SafeDisc,但它没有受到这个漏洞的影响。由于该驱动没有正确地检查用户提供的缓冲区便将输入缓冲区的前4个DWORD拷贝到了输 阅读全文 »

Tags: ,

浅析Windows2000/XP服务与后门技术

一> 序言
Windows下的服务程序都遵循服务控制管理器(SCM)的接口标准,它们会在登录系统时自动运行,甚至在没有用户登录系统的情况下也会正常执行,类似与UNIX系统中的守护进程(daemon)。它们大多是控制台程序,不过也有少数的GUI程序。本文所涉及到的服务程序仅限于Windows2000/XP系统中的一般服务程序,不包含Windows9X。本文相关服务级后门程序和代码可以到我们的主页FZ5FZ下载。

二> Windows服务简介
服务控制管理器拥有一个在注册表中记录的数据库,包含了所有已安装的服务程序和设备驱动服务程序的相关信息。它允许系统管理员为每个服务自定义安全要求和控制访问权限。Windows服务包括四大部分:服务控制管理器(Service 阅读全文 »

Tags:

HTTP协议调试器–Http/Https Protocol Debuger

中文:HTTP协议调试器
英文:Http/Https Protocol Debuger
程序:HttpDebug.exe >>>立即下载
版本:V1.02
日期:2002/06/29
大小:152K
运行:Windows 9x/Me/NT/2000/XP
版权:电猫工作室(EMouze)
主页:www.emouze.com
联系:[email protected]
备注:本软件为绿色软件,只有一个执行文件,拷贝到任意一个目录下执行即可。

功能特点:

1.支持HTTP和HTTPS(SSL加密)网络协议的跟踪和调试。
2.可以查看到HTTP/HTTPS协议连接的详细过程和返回结果。
阅读全文 »

Tags:

隐藏文件和进程的驱动代码

鬼仔注:备份

来源:VirVir'S Blog

隐藏文件和进程的驱动代码……
没什么创新,网上代码整合,熟悉一下驱动……
见笑了……
哈哈……

代码下载