- 博客(7)
- 收藏
- 关注
RSS订阅原创 一道CTF题学习php的curl扩展模块
前言作为一个web安全学的很痛苦,还始终学不会的人,决定要好好学web安全了。这次见识了一下DDCTF的题目,难度对于我来说非常高,所以决定写一些学习总结,也不算wp,就是笔记这种吧,这篇文章以学习PHP的CURL模块为主,用这道很基础的SQL注入题来引一下子。题目描述一出来什么都没有,只有一个这个提示。所以说,这个就下意识改一下头吧,添加一个X-Forwarded-For项就可以了对吧。而且这个...
2018-05-30 17:27:18
4189
1
原创 反调试技术
前言反调试技术可以被恶意代码用来识别是否被调试,或者让调试器失效,而倘若想要分析相应的包含反调试机制的恶意代码,则需要进行一些操作。我们先来看看主流的一些反调试技术。0x1探测调试器使用windows api使用windows api函数探测调试器是否存在是最简单的反调试技术。下面是一些apiIsDebuggerPresent它查询PEB中的IsDebugged标志。如果进程没有运行在调试器环境中...
2018-04-21 20:02:04
935
1
原创 对抗反汇编
前言恶意代码编写者会使用对抗反汇编技术来延缓或者阻止分析人员分析恶意代码。所以反汇编技术的目的是为了掩盖程序的真实意图。比如jmp short near ptr loc_2+1这个指令看起来没什么,不过结合下文的汇编代码就发现问题了loc_2: call near ptr 15FF2A71h or [ecx],dl ...
2018-04-20 13:58:44
1013
1
原创 进程注入之DLL注入
前言DLL注入是我在大一的时候接触的一种技术,那时候还不懂,最近结合小程序详细的理解了一下。DLL注入是将代码注入到一个远程进程中,并让远程进程调用LoadLibrary()函数,从而强制远程进程加载一个DLL程序到进程中。而当DLL被加载时就会运行DLL中的DllMain()函数,所以就会为恶意代码的执行提供机会,而因为DLL本身是由感染后的进程加载的同时PE文件也并没有对系统进行过多的敏感操作...
2018-04-17 19:51:21
10702
2
原创 Trojanized系统二进制文件恶意代码浅析
前言Trojanized系统二进制文件是一种恶意代码取得存活的方法之一,主要是恶意代码将修改系统的二进制文件,使得其变为被感染 的系统二进制文件,当被感染的系统二进制文件被加载或运行时,将会强制执行相应的恶意代码。主要目标是Windows系统正常操作时最常用的二进制文件,包括一些dll文件。程序分析还是通过一个具有代表性的例子来说明。首先程序为一个PE文件和一个DLL文件构成,先分析这个可执行文件...
2018-04-17 15:38:04
605
原创 GINA拦截简单分析
前言Windows xp 中,恶意代码可以使用微软图形识别和验证界面(GINA)拦截技术窃取登陆凭证,虽然是老系统,老技术了,可能有些过时,不过这种技术神似中间人攻击,而且示例程序极其优秀所以还是值得分析的。GINA拦截图解渣渣图又来了233程序分析首先运行这个程序没什么反应,所以直接可以ida打开分析,main函数长这样,打开string界面,有点东西,有经验的大佬会发现一些敏感关键字。接着发现...
2018-04-16 18:25:44
1029
1
原创 用户态rootkit之inline hook
前言Rootkit是我从大一就听说过的技术,不过那个时候几乎是0基础,也完全不懂这是个什么玩意儿,其实到现在我也不懂rootkit是如何修改内核层和隐藏自己的,不过最近在学习用户态的rootkit,倒是了解了一番,做个笔记。 用户态Rootkit的种类首先我了解的用户态的rootkit是分为两种,一种是IAT hook,还有一种就是inline hook。解释一下,rootkit不同于其他恶意代码...
2018-04-16 16:21:09
697
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人