oneVs1-CSDN博客

原创一个简单的DNS server

'''This program simulate as a DNS server'''一直工作在UDP 53端口监听DNS请求。收到请求后取出transcation id，query的数据，构造一个DNS相应包。每次返回的IP地址都是127.0.0.1(\x7f\x00\x00\x01)用于样本分析，触发网络行为。import socketserver = '1

2013-07-10 18:45:14 2062 1

原创网络中检测远程WMI应用

Windows 管理规范（Windows Management Instrumentation）是一项核心的 Windows 管理技术，用户可以使用 WMI 管理本地和远程计算机。参见这里了解更多WMI知识：http://www.cnblogs.com/haiq/archive/2011/01/14/1935377.html通常乐意使用WMI的有两种人：IT管理员和黑客。作为入侵检测产品有必要

2013-06-20 17:12:39 2158

原创编译错误：microsoft visual studio 9.0\vc\include\cstdio(42) : error C2059: syntax error : ':'

1>c:\program files (x86)\microsoft visual studio 9.0\vc\include\cstdio(42) : error C2059: syntax error : ':'1>c:\program files (x86)\microsoft visual studio 9.0\vc\include\cstdio(42) : error C2143:

2013-04-23 17:40:05 4793

Man-in-the-browser跟man-in-the-middle（中间人攻击）有点类似，浏览器(IE, firefox)被木马感染后，木马可以修改web页面，修改或者添加http(s)中的任何数据。而这个过程中用户和服务器都不知晓。去年玩过一个flash游戏，游戏成绩最后使用一个POST请求score=2000，通过https传送到服务器上。这时注入一段程序到浏览器中，在数据加密之前把成绩

2013-04-12 23:10:29 4007 1

原创 Get password hash from registry

In many targeted attack case, harvesting windows credential play an important role in later movement phase. Hacker can use psexec to remote access machine with password hash directly. Hash dump te

2013-04-03 16:13:33 1143

原创 PSexec网络分析

CIFS http://download.microsoft.com/download/9/5/E/95EF66AF-9026-4BB0-A41D-A4F81802D92C/[MS-CIFS].pdfSMB http://download.microsoft.com/download/9/5/E/95EF66AF-9026-4BB0-A41D-A4F81802D92C/[MS-SMB].pdf

2013-04-03 16:12:37 893

原创 windows 域渗透

假如你已经控制了域网内的一台电脑A，你是否想以此为跳板进一步扩大战果，将自己的权限从local admin 提高到Domain admin，从而可以访问包括Domain Controller在内的域内中任何一台电脑。通常有两种思路：路线一：如果运气好的话A电脑上有进程或者服务运行在域管理员账号下，这时候可以使用password dump相关工具提取出用户名，密码hash或者密码明文。W

2013-04-03 16:12:10 3364

原创 Psexec原理

http://forum.sysinternals.com/psexec-access-is-denied_topic547_page3.htmlhttp://forum.sysinternals.com/psexec-could-not-start_topic3698.htmlhttp://forum.sysinternals.com/psexec-to-localhost-logo

2013-04-03 16:10:36 3324

原创 Metasploit应用笔记-msfvenom生成meterpreter后门代码

1 用msfvenom生成c语言格式的shellcode.windows/meterpreter/reverse_http是shellcode, X86/shikata_ga_nai是指定对shellcode的编码方法，-i 3 是指定编码次数，LHOST LPORT是shellcode要使用的参数，表示shellcode运行是连接的IP地址和端口。-f c 指定shellcode的c

2013-02-28 18:23:22 18472 1

原创入侵检测系统(IPS)厂家列表

个人非常认同ICSA的认证测试方法，要过认证很有难度，通过认证的产品必然是不错的。厂商Comment网址SymantecIPS产品集成到了桌面安全产品中http://www.symantec.comIntruShield 已被麦咖啡收购http://www.mcafee.com/us/products/network-secu

2013-02-26 16:26:04 3604

原创实用小脚本

激活远程桌面：reg setval -k 'HKLM\System\CurrentControlSet\Control\Terminal Server' -v 'fDenyTSConnections' -d "1"cmd.exe -a "/c sc config termservice start= disabled"cmd.exe -a "/c sc stop termservice

2013-02-25 11:19:53 656

原创有用的工具软件

1 录屏软件FlashBack，录制成swf格式，文件体积小，使用方便。http://www.bbsoftware.co.uk/bbflashback.aspx2 xmlspy，编辑xml，检测xml格式http://www.altova.com/simpledownload2c.html?gclid=CJqchYLXxrUCFSM44godrhIAxQ

2013-02-21 14:22:48 608

原创 Maniant认定上海是黑客总部的报告毫无根据

今天国内国外都火的新闻上海61398部队为黑客总部。多家西方媒体2月19日引述美国网络安全公司Mandiant拟于美国时间周二发表的一份60页报告称称，近年美国遭受的网络黑客攻击多与中国军方有关。实施攻击的黑客组织隶属于"总部设于上海浦东一栋12层建筑内的中国人民解放军61398部队"。国防部、外交部发言都说了，这个shi盆子扣的很不专业。作为一名IT民工、码农、安全从业者，通读报告，发现它确实很

2013-02-20 22:35:52 3547

原创支付宝登陆，加密还是编码？

支付宝登陆认证安全性分析支付宝登陆认证的安全性主要依赖HTTPS的保密通信，其本身的登陆认证设计存在安全漏洞——使用固定的口令加密密钥，口令密文永远不变。一旦HTTPS被截获解密，用户名和口令或者口令密文就泄漏了，这将被用于恶意重放攻击。然而遗憾的是HTTPS中的数据是可以被截获的。密文永远不变的加密，严格上不叫加密，顶多就是编码。形如支付宝这样的大厂商实在不应该出现如此错误啊。文章所

2012-05-04 23:14:22 13644 1

原创 Shellcode检测技术参考文章

http://blog.csdn.net/sealyao/article/details/6708923 Understand Windows Shellcodehttp://nologin.org/Downloads/Papers/win32-shellcode.pdf Analyzing Network Trafﬁc To Detect Self-DecryptingExp

2012-03-13 11:52:35 1274

原创 Web服务器面临的五种应用层DOS威胁

经测试发现，很多web站点无法抵御应用层的DOS攻击。可笑的是有些提供安全服务，安全研究的站点都没有抵御这类攻击的防范。今天把这些方法总结出来，希望Web管理员对自己的服务器进行一下健康体检。此文之前曾发表看雪论坛。ok，经典的DOS有:ICMP flood ，SYN flood，UDP flood，Teardrop attacks ，Spoofing attacks。这里总结一下Web服

2012-03-13 10:34:50 3234

原创浏览器记住密码的隐患

当你在登录网站时，你是否习惯浏览器IE或者FireFox记住你的密码？即便是自己的个人电脑这样做也是很危险的，密码信息将很容易被他人窃取。IE Passview 可以查看IE记住的所有密码.下载基地: http://www.nirsoft.net/utils/iepv.zip运行IE Passview，你将看到IE中所有的被你记住的密码： FireFox则可以不用第三方工具直接

2012-03-12 23:34:16 5707 2

原创 SQL注入漏洞测试工具比较

SQL注入漏洞测试工具比较Sql注入测试一定要使用工具。原因一：工作效率；原因二：人工很难构造出覆盖面广的盲注入的sql语句。例如当一个查询的where字句包含了多个参数，or and的关系比较多时，简单的 or 1=1, and 1=2是很难发现注入点的。Sql注入的工具很多(Top 15 free SQL Injection Scanners)，我最近使用的有Sqlmap，SqliX，

2012-03-12 23:18:04 2991

翻译 SQL注入的五类方法

1 基于bool的SQL盲注入2 基于时间的SQL盲注入3 基于错误的SQL注入是指构造语法上错误的SQL语句，期望从服务获取错误信息，更加错误信息判断服务器版本，代码特点等。4 UNION 查询SQL注入是指在SQL查询后面添加UNION ALL SELECT子句。例如: select field1,field2,field3 from news where id='0' u

2011-11-09 22:22:09 1631

转载经典的就要转载：另类DLL注入法

输入法注入[转帖] 百度搜来的。论述比较详细，不过我还没搞懂！就原文贴一下了！ +Y(cs&V* ----------------------------------------------------------------------------------------------以下是原文 a#FkoA~M Ring3下注入DLL的另类方法，能过杀软和游戏NP（源码） mk_cub@ W%b<(T; :s+AIo6

2010-06-24 22:23:00 5659

原创 OD代码滚动变化的原因和解决方法

在使用OD调试时，有时候上下滚动下鼠标发现同一地址的处的汇编代码居然发生了变化。如图一是正常代码，向上滚动一行发现代码却变成了图二所示的模样。图一图二观察一下发现，0040B3FC处的指令数据时8B4DFC, 0040B3FB处的的指令数据是008B4DFC。显然OD在分析这些指令数据的时候出错了，指令有一个字节的错位，因此后面所有的指令解析都错了，产生了完全不同的指令。

2010-06-13 17:32:00 2946 1

原创惊心动魄，欣喜若狂的破解

这种感觉实在太美妙了。把它给爆破了。就在昨天的这个时候还焦头烂额，没有一点思路。毫无疑问这个周末要耗在这个该死的易语言程序上了。从今天早上10点开始凝神屏气，一直到现在。破了。。破了。。我终于把它破了。那个时候每跳过一个call指令心都砰砰砰的跳。最后是一个F9，破解成功的界面跳出来了，出来了。我人也跳起来了。欣喜若狂，真的是快狂了。静下来。写下来。

2010-05-08 15:43:00 786

转载 autorun.inf语法

转至：http://blog.sina.com.cn/s/blog_4a8b327e01000c7g.html小知识：autorun.inf的历史在Windows 95时代，微软在光盘中引入了autorun.inf技术。在Windows95/98/ME中，光盘自动运行要依靠两个文件：系统文件cdvsd.vxd和光盘上的autorun.inf。cdvsd.vxd会随时侦测光驱中是

2010-02-02 18:32:00 1956

原创为PE文件添加资源节

v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);} Normal 0 false false

2009-12-25 15:25:00 3699 1

翻译对hash值的数字签名和验证 ——C语言实例

对hash值的数字签名和验证 ——C语言实例下面的程序首先计算一串数据的hash值并对hash值进行数字签名，对其数字签名进行验证。签名者使用私钥对hash值进行签名，将自己的公钥发布以便他人验证数字签名。这个实例执行步骤以及用的的API如下：1 使用CryptAcquireContext获取加密服务提供商的句柄(handle)；2 使用CryptGetUserKey

2009-11-25 16:20:00 7005

原创反病毒研究相关网络资源

先将本人所知道的反病毒研究相关网络资源粘贴如下，供自己日后参考，也希望能对其他朋友有所帮助。 1 真实病毒样本下载网址www.offensivecomputing.net http://vx.netlux.org/病毒，木马，蠕虫，文档，源码，应有尽有，可以下一个木马来玩玩。注意：你的杀毒软件可能会杀掉它们。www.eicar.org/anti_virus_te

2009-11-18 20:57:00 987

原创 Windows 程序移植到Linux平台的一波N折

本人前端时间写了个HTML文件分析器，windows平台上的VC6.0，使用标准C++。昨天接到指令，应要求要发布一个Linux版本的，茫然啦，Linux下面的hello world都没有玩过，对linux下的C++程序仅仅限于听他们神吹过的GCC, G++, MAKEFILE什么的，其他一概不知。这就注定移植过程必然full of frustrating. 早上在如同涓涓溪流的网络中下了

2009-11-11 17:44:00 1774

原创 Detours简介

Detours 是Microsoft开发一个库，下载地址http://research.microsoft.com/en-us/projects/detours/，它具有两方面的功能：1 拦截x86机器上的任意的win32 API函数。2 插入任意的数据段到PE文件中，修改DDL文件的导入表。 Detours库可以拦截任意的API调用，拦截代码是在动态运行时加载的。Detours替

2009-10-20 18:06:00 16218 10

转载关于Detours的一些介绍(出处不详)

--- Detours是微软开发的一个函数库（源代码可在http://research.microsoft.com/sn/detours 免费获得）, 用于修改运行中的程序在内存中的影像，从而即使没有源代码也能改变程序的行为。具体用途是：拦截WIN32 API调用，将其引导到自己的子程序，从而实现WIN32 API的定制。为一个已在运行的进程创建一新线程，装入自己的代码并运行。

2009-10-15 10:20:00 1192 2

转载 Windows内核API HOOK 之 Inline Hook

名字起得好，Inline hook，乍一听，似乎很高深。此处的Inline，我以为，意指将汇编代码直接写入内核API的内存区域。InlineHook不像用户态Hook或SSDT hook（用C语言就足够），它需要在程序中嵌入汇编代码（InlineAssembly）以操作堆栈和执行内核API对应的部分汇编指令。当然，这些都须以驱动的形式进行。所谓APIHook，就是用自己写的

2009-10-14 20:20:00 2269

原创关于windows的系统文件保护。转载：http://hi.baidu.com/w1n_r00tkit/blog/item/b4354900691aa2067aec2c6f.html

关于windows的系统文件保护http://hi.baidu.com/w1n_r00tkit/blog/item/b4354900691aa2067aec2c6f.htmlhttp://eyuanhermit.blog.hexun.com/29625080_d.html.方法1 兼容的方法这是个非常兼容的方法我通过逆向一些微软的工具得到的。这个方法被那些工具所使用，用

2009-09-21 15:34:00 4687 3

原创恶意程序行为特征总汇

恶意程序行为特征总汇这里把我所见到的一些病毒行为特征总结一下列了出来，有些搞忘了，以后记起来了，或碰到新的行为特征的时候我再添加进来。 1 看起来就很不爽的图标。 2 运行不报错，无反应，或者直接就自删除不见了，这类情况很可能就是你中毒了。自删除通常是在temp目录下生成一个bat文件，循环尝试删除原病毒文件。 3 把自己拷贝到某个目录下，设置各式各样

2009-09-16 19:49:00 2415 2

转载 Using Rundll32.exe in Windows XP

最近接触到的很多样本都利用了rundll32.exe这个系统文件，下面的文章还算是比较全面的接受的rundll32.exe的用法。Although they are not directly executable as programs, the many DLL files present in Windows contain libraries

2009-09-16 19:42:00 1030

原创病毒分析得出：Dll注入的另一种方式

今天对一个MD5 = bde591202f1d87ced03d134271d7fd3c的病毒样本进行分析得出一种通过改写注册表将dll注入到explore.exe的方法。第一步：在local_machine/software/classes/clsid/下新建一个guid,如{68101905-XXX-xxx}，再在其下新建子键InprocServer32,修改Default的data为

2009-09-16 19:01:00 1603 1

原创 STL迭代器失效问题

相比C语言，C++优势之一就是其STL模板库，专家建议在C++程序设计时，尽量使用STL标准模板来代替数组，链表(不是每个人都能自信的说我能写好链表操作)。插入删除操作是vector list最基本的，用的最频繁的操作，对它们的插入删除都可能会引起一个错误，叫做迭代器失效。看例子： std::vector v1; for(int i = 0;i { v1.pu

2009-04-27 19:00:00 1382

原创局部功能的写作流程

程序新手的程序写作流程：1 大致的定义问题；2 提出解决方法；3 执行解决方案；4 执行过程中发现新问题，或解决方案不能结局问题；循环至step1 或 step 2由这种流程写出的程序没有质量保证，程序始终处于变动更改中。成功的流程取决于定义问题的完整度和解决方案的好坏，流程的循环次数是不定的，成功的流程不能被复制。比较优化的程序写作流程：1 具体而精确的定义问题

2009-02-11 07:42:00 583