作者:yykingking (yykingking_at_126.com)
某些RK,木马会经常HOOK一些关键函数从而达到隐藏等目的,而相应的ARK检测软件也会通常会先恢复这些关键函数的HOOK(譬如利用硬盘文件恢复),然后再调用来检测RK,这样就可以检测出某些隐藏.下面就介绍利用调试器实现某些内核函数的HOOK.
Intel386以后的系列CPU增加了8个32位的调试寄存器,从Dr0到Dr7,方便调试使用.如果设置了相应的调试信息,在条件满足的情况下将会发生 1 号(DB例外)中断,CPU就会陷入中断例程,执行中断代码,我们的HOOK目的就可以通过这个实现.
首先看下面百度出来的对寄存器组的使用方法的解释:
这八个寄存器中由四个用于断点,两个用于控制,另两个保留未用。对这八个寄存器的访问,只能在0级特权级进行。在其它任何特权级对这八个寄存器中的任意一个寄存器进行读或写访问,都将产生无效操作码异常。此外,这八个寄存器还可用DR6及DR7中的BD位和GD位进行进一步的保护,使其即使是在0级也不能进行读出或写入。
对这些寄存器的访问使用通常的MOV指令:MOV reg Dri 该指令将调试寄存器i中的内容读至通用寄存器reg中;MOV Dri reg 该指令将通用寄存器reg中的内容写至调试寄存器i中。此处i的取值可以为0至7中的任意值。
这些寄存器的功能如下:DR0—DR3 寄存器DR0—DR3包含有与四个断点条件的每一个相联系的线性地址(断点条件则在DR7中)。因为这里使用的是线性地址,所以,断点设施的操作,无论分页机制是否启用,都是相同的。DR4—DR5 保留。DR6是调试状态寄存器。当一个调试异常产生时,处理器设置DR6的相应位,用于指示调试异常发生的原因,帮助调试异常处理程序分析、判断,以及作出相应处理。DR7是调试控制寄存器。分别对应四个断点寄存器的控制位,对断点的启用及断点类型的选择进行控制。所有断点寄存器的保护也在此寄存器中规定。(下面这图怎么也改不好,大家还是去百度吧)
|---------------|----------------|Dr6 | …
CSDN 9月30日消息】国外媒体 McAfee CEO David DeWalt 说网络威胁和犯罪已经成为1050亿美元的商业活动,已经超过了全球范围内违法毒品的交易。
David DeWalt表示,尽管政府一再强调,安全工具也不断地增加和完善,但企业仍不低估来自于网络钓鱼(phishing)、数据丢失和其他网络攻击所带来的威胁。
在一份报告中DeWalt说道,“很奇怪大家对于网络安全所面临的威胁警觉度竟然这么低!”无论是政府还是企业,“我们已经看到了很多严重的网络攻击,它们来自于专业的团队并攻击全球范围内的企业。”
DeWalt引用最近比较大的企业像Ameritrade, Citigroup以及Bank of America,他们受到了比较严重的网络攻击,进而他引出:网络犯罪已经成为美国1050亿美元的商业活动,已经超过了全球范围内违法毒品的交易。
上周在线交易公司TD Ameritrade Holding说,他的一个数据库被黑客攻击了,而且黑客已经掌握了许多TD的客户资料。而Ameritrade(一家公司)前表示早在一年前就遭受了数据库随时,到今年7月18日,公司630万的帐号被泄露。
“每年个人和企业因数据丢失而造成的损失为400亿美元” DeWalt说。但是发现、起诉和认证网络犯罪的相关法律却没有出台。“抢劫一个11岁的小孩受到的惩罚比在线偷窃数百万要重得多,原因是没有办法跟踪和抓获网络罪犯。”
九月 30th, 2007
Tor < 0.1.2.16 ControlPort Remote Rewrite Exploit
No Comments, 未分类, by Neeao, 1,710 views.<!–
Tor < 0.1.2.16 with ControlPort enabled ( not default )Exploit for Tor ControlPort "torrc" Rewrite Vulnerability http://secunia.com/advisories/26301
Rewrites the torrc…
文章作者:MIKA[EST]信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
说实话俺本来不想再发了,因为俺发出来以后没人给俺提提意见(俺不需要你说那些夸奖的话,俺只是想能有人提出一些建议或者修正一些bug),先前发的那些有一些代码是肯定有问题的了,可是就只见有人用没见有人提出这些不对的地方,好伤心啊但是俺当初说了,有更新就发出来,俺不能说话不算数。所以俺把这个最终版发出来,以后俺不会再更新了,有能力的人自己想添什么东西自己弄吧,不是都让开源吗?这个可都是原代码,如果你不知道怎么改那就是你自己的事了。最终版添加的功能比较多,改动的地方也很多,所以俺单独开贴发出来,希望冰冰哥哥不要怪俺。增加了一些常用的功能函数:1、获取数据库服务器信息,包括一些扩展存储是否可用(但有的时候并不是很准确)2、log备份获取webshell3、差异备份获取webshell4、xp_dirtree列目录5、xp_regread读注册表6、xp_cmdshell执行命令7、自定制sql语句执行
如下图:需要说明的是备份webshell的时候,“ Webshell Absolute Path”这一栏是填webshell的绝对路径的,比如c:\inetpub\wwwroot\mimi.asp。当执行备份webshell的时候,页面下面会显示执行的进度,每条语句都会显示出来。有红色的,有兰色的,当显示红色的时候说明页面返回错误(http头返回状态非200),而兰色表示返回正常(http头状态是200),但是俺这里特别强调一点,经过俺多次测试发现,即使返回红色信息,wbshell也能正常备份,所以不要太以来于返回的信息,去试一下就知道是否成功了。
程序运行界面如下:下面这个截图是列目录的时候抓取的:这个截图就是获取服务器信息的:另外为了让这个工具更加实用,俺让它不仅仅只针对cookie注入了,url注入也一样用了,如下图,具体的方法好好看一下页面上的说明。看到上面这个图了吗?后面多了两个,url不用说了就是url注入,cookie就是cookie注入了。
最后俺再罗嗦几句,俺BF让俺打的下段,跟俺没关系的:”论坛气氛大不如以前了,大家都藏着掖着,很多人以前辈自居,每每评说某项技术的时候,总是指指点点,含含糊糊地说几句高深漠测的话,便算是讨论技术了。我自己也是,无法安心于过去那种畅快淋漓的讨论,只好暂时退隐。但我一直希望能看到论坛有所起色,故让我媳妇在这里调节一下气氛,当然这个气氛不是一个人能带起来的。但气氛是可以感染的,希望她带来的那点气氛能感染到每一个曾经追求技术的人,使论坛尽快恢复原有的气息!“PHP 这个东西还是挺好的,它的函数库非常庞大,有很多你想不到的功能函数php都有,所以用它来写一些实用性的工具还是蛮好的,希望大家读完这个帖子收获的不仅仅是一个工具download:http://201314.free.fr/attachments/200709/mika.rar
Auto病毒专杀 V2.1 b0520_简体中文绿色免费版
Auto病毒专杀是一款专门用于预防及查杀Auto病毒、U盘病毒、闪盘病毒的工具。 除了可以30秒闪电查杀RavMone、 Rose、Sxs、Fun.xls等几十种通过U盘传播的病毒,还可以对系统实行主动防御,自动检测清除插入U盘内的病毒,从根本上杜绝病毒通过U盘感染电脑,解决你的后顾之忧。免疫功能让病毒永远也无法进入你的U盘;解锁功能解除U盘锁定状态,解决无法安全删除设备问题;修复功能修复无法显示隐藏文件、双击无法打开硬盘、清除右键Auto字样、修复无法打开杀毒软件。 最新更新: …
From:网络
igm.exe病毒中毒症状:
1.MSconfig的启动项里发现IGM.EXE2.还自动启动
igm.exe病毒病毒清除办法:
以上两点都具有病毒的特征,自启动和自保护可以判定这个程序是一个病毒。
既然是病毒,就要删除。
清除此文件的突破口就是停止此文件运行。
这里就用到了一个禁用文件的命令了,禁用了文件,文件就不会运行,这样就可以轻松清除了~~
先打开cmd (按开始-运行-输入“CMD”-打开-出现黑框)然后输入下边说要输入的命令,回车。
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要禁止运行的文件" /v debugger /t reg_sz /d debugfile.exe /f
比如要禁用IGM.EXE,那么就要输入这个命令reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution…
软件版本:ARP防火墙单机版 v4.3.1软件大小:4.70 MB发布日期:2007-08-16应用平台:win2000/XP/2003/VistaMD5校验:0c57000cba268f17ded6041158fbea6e
『2007-08-16』发布ARP防火墙单机版 v4.3.1 本版本更新以下内容: 1. [修复] 解决特殊情况下界面假死、统计数据显示错误的问题。 2. [修复]…
by 云舒 on 2007, September 29
先说说伪造证书的方法。首先使用openssl来生成一个证书,我这里生成了一个example.crt和example.key两个,保护密码为 1234。然后连接到真实的HTTPS服务器,获取真正的证书。再对开始伪造的证书进行修改,将伪造证书的几个字段改成和真实服务器的一样,增加迷惑性。
这个程序也包含在下面了,代码很短,可以自己看看,我不多描述了,主要用了X509_set_version, X509_set_serialNumber,X509_set_subject_name和X509_set_issuer_name等4个API修改的。不过比较郁闷的是windows下面编译的openssl竟然有点小问题,X509_NAME这个结构体是undefined的,写代码的时候想办法避开就好了。这样做出来的证书,开起来和真实的一样,不过公钥不同,因为如果公钥也用真是服务器的,我们没私钥那么中间人就白做了。
现在要说的就是怎么做中间人攻击了,对于一般的站点,会同时具备HTTP和HTTPS两种,所以需要在中间人的机器上监听tcp 80和tcp443,然后对数据进行转发。这一部分没什么难的,就是程序写得比较乱。本来forward等几个文件的函数可以合并到一起的,去年我就是这么做的,但是结果bug非常多。这几天突然想起对HTTPS的攻击,就把代码翻出来重写了。代码变长了很多,但是效果好了很多。唯一遗憾的是,貌似对 firefox无效,不知道为什么,需要进一步分析。
我对自己登录xfocus的论坛过程做过测试,密码什么的还是能抓到的,gmail我也测试过,基本没太大的问题。附件里面是代码,编译好的程序和我的测试证书也在,不说了,代码描述吧(代码非常乱,嘿嘿)……
攻击的时候可以这样:代码:
D:\Projects\HttpsMiM\Release>MakeCert.exe 125.208.7.30write fake cert to 125.208.7.30.crt, use this to do the…
现今的网络,安全越来越受到大家的重视,在构建网络安全环境时,在技术手段,管理制度等方面都逐步加强,设置防火墙,安装入侵检测系统等等。但网络安全是个全方位的问题,忽略哪一点都会造成木桶效应,使得整个安全系统虚设。本文从分析Web服务器的logging记录来找出漏洞,防范攻击,从而加强Web 服务器安全。
Web服务是Internet所提供最多,最丰富的服务,各种Web服务器自然也是受到攻击最多的,我们采用了很多措施来防止遭受攻击和入侵,其中查看Web服务器的记录是最直接,最常用,又比较有效的一种方法,但logging记录很庞大,查看logging记录是很繁琐的事情,如果抓不住重点,攻击线索就容易被忽略。下面就对最流行的两类Web服务器:Apache和IIS做攻击的实验,然后在众多的记录中查到攻击的蛛丝马迹,从而采取适当的措施加强防范。
1.默认的web记录
对于IIS,其默认记录存放在c:\\winnt\ \system32\\logfiles\\w3svc1,文件名就是当天的日期,记录格式是标准的W3C扩展记录格式,可以被各种记录分析工具解析,默认的格式包括时间、访问者IP地址、访问的方法(GET or POST…)、请求的资源、HTTP状态(用数字表示)等。对于其中的HTTP状态,我们知道200-299表明访问成功;300-399表明需要客户端反应来满足请求;400-499和500-599表明客户端和服务器出错;其中常用的如404表示资源没找到,403表示访问被禁止。
Apache的默认记录存放在/usr/local/apache/logs,其中最有用的记录文件是access_log,其格式包括客户端IP、个人标示(一般为空)、用户名(如果需要认证)、访问方式(GET or POST…)、HTTP状态、传输的字节数等。
2.收集信息
我们模拟黑客攻击服务器的通常模式,先是收集信息,然后通过远程命令一步步实施入侵。我们使用的工具是netcat1.1 for windows,Web服务器ip为10.22.1.100,客户端IP为:10.22.1.80。
C:>nc -n 10.22.1.100 80 HEAD / HTTP/1.0 HTTP/1.1 200 OK Server: Microsoft-IIS/4.0…
据安全公司F-Secure首席执行官Kimmo Alkio说,移动恶意软件的威胁水平并不特别高.移动恶意软件比目前感染PC的恶意软件落后大约20年.Alkio称,该公司已经注意到移动恶意软件一直在增长.但是,这家公司认为移动恶意软件在近期还不会显著增长,因为移动安全威胁的水平比目前在PC领域看到的威胁落后许多年.他表示,移动恶意软件的威胁水平目前还不高.
Alkio称,目前攻击手机和智能手机的病毒变体有300多个,但是攻击PC的这种威胁有大约40万个.移动安全收入仅占F-Secure总收入的1%.
正如Alkio指出的那样,移动病毒的风险之一是能够让移动用户支付服务费.目前使用病毒软件攻击手机的只是一些有特殊癖好者,并不是在PC领域的追逐金融利益的犯罪分子.
2004年6月,F-Secure公布了利用蓝牙技术向其它采用Symbian Series 60操作系统的手机传播的手机恶意软件的详细情况.据说这是第一例自我复制的手机病毒.
消息来源:ccidnet