突破IceSword自身的进程保护

2006/12/17 6:41 | 鬼仔 | 技术文章 | 消灭0留言

文章作者:xyzreg [E.S.T]
信息来源:邪恶八进制信息安全团队

IceSword 的驱动对其自身进程做了保护,使恶意程序终止不了他。IceSword没有用HOOK SSDT的方法,不过也没用什么太BT的方法,而是Inline Hook了NtOpenProcess、NtTerminateProcess几个函数,即修改函数前5个字节,jmp到他自定义处理函数例程里。

终止采用这类保护方法的进程,可以使用暴力的PspTerminateProcess方法,PspTerminateProcess函数未导出,需要我们自己穷举特征码搜索来定位,或者硬编码之。当然,我们还可以恢复IceSword的Inline hook,还原被IceSword挂钩过的NtOpenProcess、NtTermin 阅读全文 »

Tags:

通过arp欺骗来直接挂马

2006/12/16 9:41 | 鬼仔 | 技术文章 | 3 条评论了已经

信息来源:CN.Tink
文章作者:axis#ph4nt0m

目的:通过arp欺骗来直接挂马

优点:可以直接通过arp欺骗来挂马.
通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,或者结合ssh中间人攻击来监听ssh1的密码
但这样存在局限性:1.管理员经常不登陆,那么要很久才能监听到密码
2.目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码.

优点:1.可以不用获得目标主机的权限就可以直接在上面挂马
2.非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句.
3.可以最大化的利用arp欺骗,从而只要获取一台同一vlan下主机的控制权,就可以最大化战果.
阅读全文 »

Tags: ,

arpspoof 3.1b正式发布

2006/12/16 9:38 | 鬼仔 | 工具收集 | 6 条评论了已经

信息来源:CN.Tink

主要功能:ARP欺骗过程中进行数据修改,实现会话劫持攻击
说明: 本程序公开源代码,为了换取更多朋友的指教

实例: 欺骗192.168.0.108访问百度网站的全过程(注:#后是我加的注释)
效果: 192.168.0.108看到的百度首页只有一句话“Hack by cooldiyer”,攻击成功。
图解:
__________________________________________________________________________________
F:\arpspoof\Release>arpspoof /n
ARPSpoof 3.1b by CoolDiyer 06-10-30
[+] Replace Job file 阅读全文 »

Tags:

木马程序隐身的技术

2006/12/16 1:37 | 鬼仔 | 技术文章 | 消灭0留言

来源:dream2fly
最基本的隐藏:不可见窗体+隐藏文件

木马程序无论如何神秘,但归根究底,仍是Win32平台下的一种程序。Windows下常见的程序有两种:

1.Win32应用程序(Win32 Application),比如QQ、Office等都属于此行列。

2.Win32控制台程序(Win32 Console),比如硬盘引导修复程序FixMBR。

其中,Win32应用程序通常会有应用程序界面,比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序,但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况,如木马使用者与被害者聊天的窗口),并且将木马文件属性设置为“隐藏”,这就是最基本的隐藏手段,稍有经验的用户只需打开“任务管理器”,并且将“文件 阅读全文 »

Tags:

VMware->MS Virtual Machine 镜像转换器

2006/12/15 12:29 | 鬼仔 | 工具收集 | 2 条评论了已经

来源:cnBeta
VMware,MS Virtual Machine两大虚拟机之间能切换么?答案是能!有一个工具名叫VMDK2VHD.它可以将VMware的镜像文件转换到微软的平台上,使用起来也很简单.

阅读全文 »

Tags: ,

8款微软产品VPC镜像下载

2006/12/15 12:27 | 鬼仔 | 工具收集 | 消灭0留言

来源:CnFan

微软VHD Test Drive计划为客户提供了一种增强的服务器端软件评估体验,速度更快,支持更好也更加灵活。现在你可以访问预先配置好的微软及其合作伙伴的产品及解决方案,它们都以VHD(Virtual Hard Disk,即Virtual PC镜像)格式提供。
之前我们已经放出的WinXP+IE6虚拟机镜像就是一个VHD,而现在blogs.virtualserver.tv又整理出了另外7款微软产品的VHD文件下载。
Download: [url=http://www.microsoft.com/downloads/details.aspx?familyid=A8EDFC7B-01D8-4500-845B-01370D4EED21&displaylang=en]Microsoft 阅读全文 »

Tags:

让虚拟机(VMWare)支持OEM系统

2006/12/15 12:24 | 鬼仔 | 工具收集 | 消灭0留言

来源:酷秀网络
在Verycd上看到有人问怎么让 VMware 支持安装OEM版的系统,这个也一直是我想知道的。搜索了相关的资料,没发现有这个版本的。但是我想总体的思路是一样的。经过测试成功。环境是主机是联想 OEM XP SP2 HOME,客户机是联想OEM XP PRO,VMware Workstation V5.5.3 Build34685 。
要安装OEM版的系统当然就是改BIOS了,自己的机器不敢动手就先搞个虚拟机开刀。VMware用的是Phoenix BIOS。那修改BIOS的工具就当然是Phoenix BIOS Editor了。没有就去 这里下载
阅读全文 »

Tags:

hh.exe的隐藏参数

2006/12/15 12:21 | 鬼仔 | 技术文章 | 消灭0留言

来源:中国DOS联盟
作者:electronixtar

发一个短一点的帖子哈,今天讲hh.exe的undocumented parameter,hh不经可以用来看 .chm 文件,而且可以用来反编译deompile的~~命令如下:

HH.EXE -decompile <输出路径> <目标chm文件>

哈哈,好用吧~~而且连工程文件都一并decompile出来了哦~~比任何第三方反编译chm工具都好用,都权威哦,而且经测试,速度绝对一流!~~over…

Tags: