yuntianhai-CSDN博客

转载 Crash Dump Analysis

Crash Dump AnalysisXNA Developer Connection (XDC)December 2005Not all bugs can be found prior to release, which means not all bugs that throw exceptions can be found before release. Fortunately,

2008-08-04 16:18:00 1362

转载安全专家浅谈恶意代码的研究分析(4)

通过静态分析调式，进一步分析病毒的一些特征行为。样本中病毒释放后，病毒体为spo0lsv.exe文件，因此需要对此病毒做壳的侦查及脱壳工作（略过）。通过IDA静态分析工具分析脱壳后的spo0lsv.exe样本，如下图所示： 498)this.style.width=498;" border=0>通过观察“strings”窗口，可以初步分析样本的一些情况。如可以看出

2008-07-22 11:30:00 1251

转载安全专家浅谈恶意代码的研究分析(3)

◆再次进行脱壳，最后侦查的结果是使用Dephi语言进行编码。 ◆通过注册表监视工具RegMon，监视病毒运行时对注册表的操作行为；通过文件监视工具FileMon监视病毒运行时对文件的操作行为。也可以用快照工具RegSnap进行注册表和指定目录下的文件进行前后对比，快速找出病毒新建和修改的注册表，以及本地文件的释放行为。498)this.style.width=498;"

2008-07-22 11:25:00 1023

转载安全专家浅谈恶意代码的研究分析(2)

了解了恶意代码的基本概念后，叶子再跟大家一起来研究对恶意代码的分析流程。 ◆首先，我们通过各种渠道收集到最新的未知恶意代码样本时，进行文件格式分析。通过PEID之类的工具进行文件格式检查，分析样本是否进行加壳处理？样本是何种语言编写的？以及是否有其它附加的数据等。样本经过加壳的程序，需要对其进行查壳，确定程序的加壳类型，并通过脱壳工具或手段进行脱壳，分析出程序的编程语言。如果无法查出壳类

2008-07-22 11:23:00 1205

转载安全专家浅谈恶意代码的研究分析(1)

安全专家浅谈恶意代码的研究分析2007年互联网上传播的有记载的新型恶意程序（包括病毒，蠕虫，木马等）数目达2,227,415个，同2006年的结果(535,131个)相比翻升了四倍，恶意软件总数量达到354GB。许多反病毒专家认为这些恶意软件的急速增加已经达到了一种很极端的情况。恶意软件的快速发展、广泛

2008-07-22 11:20:00 800

转载企业认证机制(kerberos)

Kerberos是计算机网络中的验证服务请求的一种安全方法。Kerberos是在麻省理工学院(MIT)的Athena项目中开发的。它的名字取自希腊神话；Kerberos是守卫地域之门的一只三头狗。Kerberos把用户的请求变成验证过程的一张加密的“入场券”，然后验证过程再向服务器提出特定服务的请求。用户的密码不一定要通过网络。Kerberos的版本(客户端或服务器)可以在MIT下载到。

2008-05-19 17:21:00 758

转载驱动编写与调试(6)

（5）然后跟着我做：首先运行windbg，然后打开虚拟机客户机，选中调试模式 498)this.style.width=498;" border="0" /> （6）进入要调试的系统后我们可以在windbg中用Debug命

2008-05-15 14:53:00 815 1

转载驱动编写与调试(5)

二．驱动调试下面我介绍下关于驱动的调试，这里以windbg为例：1.配置windbg双机调试环境，（VMware Workstation）（1）创建windbg快捷方式在目标中加上-k com:port=//./pipe/com_1,baud=115200,pipe 例如："E:/Program Files/Debugging Tools for Windows/windbg.

2008-05-15 14:51:00 894 1

转载驱动编写与调试(4)

在卸载例程中对ssdt进行修复驱动的功能就基本完成了， VOID OnUnload(IN PDRIVER_OBJECT DriverObject){NTSTATUS ntStatus;UNICODE_STRING DeviceName;UNICODE_STRING DeviceLinkS

2008-05-15 14:50:00 861 1

转载驱动编写与调试(3)

这里我们先定义一个控制码 #define IOCTL_PROTECT_CONTROL CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS)这里我们使用他来和应用程序通讯，Irp->AssociatedIrp.SystemBuffer这个结构中存放用户模式程序发送给驱动程序的数据。这里使用METHOD_BU

2008-05-15 14:47:00 1172 1

转载驱动编写与调试(2)

I/O请求包数据结构498)this.style.width=498;" border="0" />MdlAddress(PMDL)域指向一个内存描述符表(MDL)，该表描述了一个与该请求关联的用户模式缓冲区。如果顶级设备对象的Flags域为DO_DIRECT_IO，则I/O管理器为IRP_MJ_READ或IRP_MJ_WRITE请求创建这个MDL。如果一个IRP_MJ_DEVICE_CO

2008-05-15 14:45:00 997 1

转载驱动编写与调试(1)

作者: 诚信网安－－小麒麟出处:51CTO.com　2008-03-07 14:06一．驱动编写随着对windows系统的深入研究，越来越多的内核方面的知识被挖掘出来了，今天我们讨论下如何写一个简单的驱动，并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识。一个简单的驱动一般有以下几个部分组成：1，一个入口点(DriverEntry):用于创建设

2008-05-14 10:36:00 989 1

转载 Lords of the ring0

One of the first useful things you will want to do when in the bowels of ring 0 is attack the thing from a debugger point of view. In my case I like using Windows Debugger [windbg] (hey its free,

2008-04-18 10:47:00 679

转载 30岁前男人需要完成的事

1,事业永远第一　　虽然金钱不是万能的,但没有钱是万万不能的,虽然这句话很俗,但绝对有道理,所以30岁之前,请把你大部分精力放在你的事业上. 2,别把钱看得太重　　不要抱怨自己现在工资低,银行存款4位数以下,看不到前途,现在要做的就是努力学习,即使你文凭再高,怎么把理论运用到实践还是需要一个很长的锻炼过程,社会永远是一所最博大的大学,它让你学到的知识远比你在学校学到的重要得多,所以同样,你也别

2008-04-13 02:52:00 547

转载善待自己：改变命运的N个人生哲理

心灵的栅栏　　人与月亮的距离并不遥远，因为人与人心灵间的距离更为遥远。　　——王尔德　　　　当玛格丽特的丈夫杰瑞因脑瘤去世后，她变得异常愤怒，生活太不公平，她憎恨孤独。孀居３年，她的脸变得紧绷绷的。　　一天，玛格丽特在小镇拥挤的路上开车，忽然发现一幢她喜欢的房子周围竖起一道新的栅栏。那房子已有一百多年的历史，颜色变白，有很大的门廊，过去一直隐藏在路后面。如今马路扩展，街口竖起了红绿灯，小镇已颇

2008-03-31 17:57:00 43592

转载经典的13句话

我不知道我现在做的哪些是对的，哪些是错的，而当我终于老死的时候我才知道这些，所以我现在所能做的就是尽力做好每一件事，然后等待着老死。

2008-03-31 13:30:00 664

原创对齐（alignment）

许多计算机系统对基本数据类型的可允许地址做出了一些限制，要求某种类型的对象的地址必须是某个值K（通常是2、4或8）的倍数。这种对齐限制简化了处理器和存储器系统之间接口的硬件设计。例如，假设一个处理器总是从存储器中读取8个字节出来，则地址地址必须是8的倍数。如果我们能保证所有的double都将它们的地址对齐成8的倍数，那么就可以用一个存储操作来读或者写值了。否则，我们可能需要执行两次

2008-03-30 21:15:00 1060

转载程序的优化文字的减法

认知心理学家Donald A. Norman将人类的行动分解成七个阶段：　　确定目标　　确定意图　　明确行动内容　　执行　　感知外部状况　　解释外部状况　　评估行动结果　　这七个阶段发生在人类所采取的每一个行动时。　　比如最近降温，你想要保持身体的舒适感(确定目标)，所以就得加一件衣服(确定意图)，于是你决定去衣柜里看看哪件衣服适合今天穿(明确行动内容)，然后你

2008-03-28 17:06:00 501

转载程序员的素质编程修养

什么是好的程序员?是不是懂得很多技术细节?还是懂底层编程?还是编程速度比较快?　　我觉得都不是。对于一些技术细节来说和底层的技术，只要看帮助，查资料就能找到，对于速度快，只要编得多也就熟能生巧了。　　我认为好的程序员应该有以下几方面的素质：　　1、有专研精神，勤学善问、举一反三。　　2、积极向上的态度，有创造性思维。　　3、与人积极交流沟通的能力，有团队精神。　　4、谦虚谨

2008-03-28 17:04:00 490

原创 The Microsoft Threading Model(微软多线程模型)

Win32的技术文档一再强调线程分为：GUI线程和Worker线程。 GUI线程负责建造窗口以及处理主消息循环，worker负责运行纯粹运算工作，如重新计算或重新编页等等，它们会导致主线程的消息队列失去反应。一般而言，GUI线程绝不会去做那些不能够马上完成的工作。 GUI线程的定义是：拥有消息队列的线程，任何一个特定窗口的消息总是被这一窗口的线程抓到并处理，

2008-03-28 16:45:00 941

转载女人别叫爱你的男人太累

不是每个男人都是骑着白马的王子，所以，请不要苛求他不够高大和英俊，不要责怪他送给你的只是一双手套而不是九十九朵玫瑰。宝贝们，要知道，不是王子，你才是他永远的公主，他的爱便是让你变成公主的水晶鞋。不是每个男人都能把爱挂在嘴边，所以，请不要在他回答“爱不爱你”不够干脆时心生怀疑，不要让他把这种回答变成一种无奈的习惯。宝贝们，你要学着体会无言的承诺，请相信，当他静静的看着你微笑时，

2008-03-24 13:33:00 525

转载一位25岁的董事长给大学生的18条忠告

一、读大学，究竟读什么？　　大学生和非大学生最主要的区别绝对不在于是否掌握了一门专业技能……一个经过独立思考而坚持错误观点的人比一个不假思索而接受正确观点的人更值得肯定……草木可以在校园年复一年地生长，而我们却注定要很快被另外一群人替代……尽管每次网到鱼的不过是一个网眼，但要想捕到鱼，就必须要编织一张网…… 　　　　二、人生规划：三岔路口的抉择　　不走弯路就是捷径……仕途，商

2008-03-20 20:22:00 548

原创不可征服(Invictus)

Invictus Out of the night that covers me,Black as the Pit from pole to pole,I thank whatever gods may beFor my unconquerable soul. In the fell clutch of circumstanceI have not winced nor cried

2008-01-31 09:13:00 550

转载 Destroying Window Objects

This note describes the use of the CWnd::PostNcDestroy member function. Use this function if you wish to do customized allocation of CWnd-derived objects.This note also explains some of the reaso

2007-11-09 11:28:00 790 1

原创深思中的一段代码（2007.11.7）

DWORD dwScope = RESOURCE_CONTEXT; NETRESOURCE *NetResource = NULL; HANDLE hEnum; WNetOpenEnum(dwScope, NULL, NULL, NULL, &hEnum); WSADATA wsaData; WSAStartup(MAKEWORD(1,1),&wsaData); if (hEnu

2007-11-07 16:33:00 664

我始终认为，对一个初学者来说，IT界的技术风潮是不可追赶。我时常看见自己的DDMM们把课本扔了，去卖些价格不菲的诸如C#, VB.Net 这样的大部头，这让我感到非常痛心。而许多搞不清指针是咋回事的BBS站友眉飞色舞的讨论C#里面可以不用指针等等则让我觉得好笑。C#就象当年的ASP一样，“忽如一夜春风来，千树万树梨花开”，结果许多学校的信息学院成了“Web 学院”。96,97级的不少大学生都去做W

2007-11-06 09:24:00 804

原创调整进程的特权

通过OpenProcess（PROCESS_ALL_ACCESS,FALSE,dId）获取ID较低进程的句柄时可能会得到错误代码，这些进程都是保持系统活动的系统服务。一个普通用户进程不允许执行针对系统服务的所有操作。如果一个程序意外终止了一个系统服务，那么整个系统都将崩溃。因此，一个进程只有拥有确切的访问权限才会有适当的特权。由于多种原因，调试器必须拥有大量的权限来完成他的工作。改变进程

2007-11-05 12:44:00 1089

转载 PE文件格式

PE文件格式转自：看雪（翻译：QduWg，原作LUEVELSMEYER）说明：希望本文能够对初级入门CRACKER有一定帮助，翻译存在疏漏或者不准确，希望来信指出。感谢您的指导！感谢看雪为我们提供这个交流平台，让我们技术与时俱进！！前言：PE("portable executable")文件格式是针对MS windows NT, windows 95 andwin32s的可执行二进制代码(D

2007-11-02 11:12:00 1264

转载简析利用调试器寄存器实现内核函数的HOOK

简析利用调试寄存器实现内核函数的HOOK创建时间：2007-09-23文章转自：www.xfocus.net文章提交：yykingking (yykingking_at_126.com)某些RK,木马会经常HOOK一些关键函数从而达到隐藏等目的,而相应的ARK检测软件也会通常会先恢复这些关键函数的HOOK(譬如利用硬盘文件恢复),然后再调用来检测RK,这样就可以检测出某些隐藏.下面就介绍利用调

2007-11-02 11:10:00 562

原创《未文档化WIN2000揭秘》笔记1

The windows 2000 Native APIWIN2000采用中断机制将对内核服务的请求从用户模式向内核模式传递。 NT平台暴露出一个隐藏的事实是：存在一个比Win32 API更为基础的调用接口Native API,即使一个普通的Win32应用程序也可以在任何时候调用Native API,并不需要到驱动程序一层才能访问此接口。没什么技术上的限制-----

2007-11-02 10:59:00 604

转载人生诤言: 7个主导你成功的真理

1、成功并不像你想像的那么难并不是因为事情难我们不敢做，而是因为我们不敢做事情才难的。　　　　1965年，一位韩国学生到剑桥大学主修心理学。在喝下午茶的时候，他常到学校的咖啡厅或茶座听一些成功人士聊天。这些成功人士包括诺贝尔奖获得者，某一些领域的学术权威和一些创造了经济神话的人，这些人幽默风趣，举重若轻，把自己的成功都看得非常自然和顺理成章。时间长了，他发现，在国内时，他被一些成功人士欺骗了。那些

2007-09-19 21:42:00 534

原创防止进程被任务管理器关掉的办法

1.任务管理器的“结束任务”实际上就是强制终止进程，它所使用的是一个叫做TerminateProcess()的Win32 API函数以下是此函数的定义： BOOL TerminateProcess( HANDLE hProcess; // 将被结束进程的句柄 UINT uExitCode; // 指定进程的退出码 );2.为了得到要杀掉的进程的句柄，首先要取得该进程的句柄，即采用以下函数获取进

2007-08-22 13:31:00 9319