1.首先祝大家2009春节快乐,牛年牛气冲天,行大运。
2.去年回家二十九,今年由于买票晚了,仅买到了三十的票,回去要到三十了,^_^。
3.站点从明日起即25日-3 1日停止更新,^_^。
Archive for 一月, 2009
卡巴斯基实验室近日发布警告,提醒用户留意以美国总统就职典礼为诱饵的垃圾邮件的出现.
1月17日(星期六),卡巴斯基实验室下属的内容过滤实验室检测到大量恶意垃圾邮件,这些邮件都声称美国总统奥巴马原定于1月20日举行的就职仪式将可能 取消,其中还列出了一些看似合理的理由,邮件中还包含一个链接,看上去这个链接指向的网站会提供更多详情.链接指向的所有网站域名都含有新当选总统的名 字,同奥巴马竞选活动的网站非常相似.
然 而,邮件中的链接真正指向的是恶意网站,并且会诱使用户点击其中的新闻链接,一旦点击后,就会下载一个 .exe 文件到用户的电脑中.根据卡巴斯基实验室的恶意程序分类,该恶意程序是一种名为Email-Worm.Win32.Iksmas的电子邮件蠕虫.相应的记 录已于1月17日被添加到了卡巴斯基实验室的反病毒数据库中.另外,卡巴斯基产品的启发式分析技术能够有效地提示告用户并阻断下载该恶意程序的尝试.
卡巴斯基实验室资深的垃圾邮件分析专家Tatyana Kulikova说:“美国总统的就职仪式是近期全球最热门的话题之一,任何关于此话题的新闻都会引起大家的强烈兴趣.看起来垃圾邮件发布者们也想充分利 用总统就职这个机会尽可能的吸引注意力.这又是一个典型的垃圾邮件发布者跟病毒编写者合作的例子,他们非常巧妙地利用了社会工程学技术.他们创建了很多相 似的网站,但这些网站中植入的恶意程序都是同一个.”
卡巴斯基实验室建议用户访问未知网站时一定要注意,同时要定期更新反病毒软件的数据库.
Trace注:文章中提到的Incognito可以到这里下载。
I recommend double clicking the video and watching it in full screen so its somewhat legible. This video walks through…
Trace注:一款Fuzzer,功能比较全,需要JavaRuntime支持。
Version 1.2 (codename Athena) introduces the ability to open, load and save files on fuzzing sessions using the .jbrofuzz format….
from:baozi
This article is part of on-going Software For Geeks series. PuTTY is hands-down the best, free, and lightweight SSH client…
来源:microsoft
法则 1:如果动机不良的人能够说服您在自己计算机上执行他的程序,那么该计算机便不再属于您。
法则 2:如果动机不良的人能够在您的计算机上变更操作系统,那么该计算机便不再属于您。
法则 3:如果动机不良的人能够无限制地实体存取您的计算机,那么该计算机便不再属于您。
法则 4:如果您允许动机不良的人上载程序到您的网站,那么该网站便不再属于您。
法则 5:强大的安全性敌不过脆弱的密码。
法则 6:计算机的安全性只等同于可靠的系统管理员。
法则 7:加密数据的安全性只等同于解密金钥。
法则 8:过期的扫毒程序比起没有扫毒程序好不了多少。
法则 9:完全的匿名不管在现实或网络上都不实际。
法则 10:技术不是万能药。
每年 Microsoft Security Response Center 调查的安全报告数以千计。在部分案例中,一旦发现其中一份报告指出某个安全性的弱点肇因于某项产品的缺陷,我们就会尽快开发修补程序以修正错误 (请参阅「浏览 Microsoft Security Response…
安全研究人员表示,许多声称美国当选总统奥巴马本周将拒绝宣誓就职的网站都包含有恶意特洛伊木马病毒.
据国外媒体报道称,F-Secure、 MXLogic和趋势等安全厂商的研究人员称,网络犯罪分子试图诱骗网民访问这些挂有Waledec变种的网站.这些垃圾邮件的主题非常具有诱惑力,例如,“听说有关奥巴马的最新消息了吗?”、“奥巴马放弃正在沉没的船只”等.
垃圾邮件中的链接指向貌似合法的网站,其中既有假新闻,也有真新闻.“头版头条”新闻的标题是“奥巴马拒绝就任总统”.
据趋势和F-Secure的研究人员称,如果用户点击一个声称能够阅读详细报道的链接,就会下载一个Waledec变种文件.Waledec在去年圣诞节前曾通过虚假电子贺卡诱骗用户上当.
标题:VMware漏洞实例分析之一 – 共享文件夹目录遍历漏洞
作者:vxasm (mail: xasm2008@gmail.com)
时间:2008-10-5
一 名词定义
Host机:运行VMware软件的真实主机;
Guest机:装在VMware软件中的虚拟系统;
后门:VMware有一套自己专有的“Backdoor I/O Port”指令,Host和Guest之间的所有数据都是通过一个固定的IO端口,使用in和out指令来进行传递,Guest就是通过这个端口发命令让Host帮助它完成某些自身不能完成的工作。
二 漏洞背景
理论上来说,可以认为Host机和Guest机是两台不同的电脑,只不过它们是共享同一套真实的物理硬件,这样就带来一个问题,即如何在Host和 Guest之间传输数据, VMware的共享文件夹就是解决该问题的一个很实用功能,不需要设置任何网络,就可以在Host和Guest机器间互相传输文件。至于怎么设置共享文件 夹,不是本文的重点,就不多说了,不熟悉的建议Google一下先。
在安装完VMware Tools后,会在Guest机上看到一个名为Hgfs.sys的文件,这个驱动文件实现了一个虚拟的文件系统,这个虚拟文件系统的根目录就 是\\.host,当你在Guest机上进入任何共享文件夹的目录时,可以看到路径都是以\\.host开始的,在这个目录下的所有操作都将通过后门传递 给运行在Host上的VMware主程序。举例来说:在Host机上有个目录是:E:\Debug\Share,把这个目录设置为Guest系统的共享目 录后,VMware会记录下这个目录所对应的Host路径是E:\Debug\Share,当在Guest机的“运行”对话框中输入:\\.host \Shared Folders\Share,就会在Guest上打开E:\Debug\Share这个目录。这个过程是通过后门完成的,Guest把“遍历目录“命令传 递给Host,Host上的VMware主程序找到该目录对应关系,通过API函数遍历E:\Debug\Share目录,把得到的数据通过后门返回给 Guest,最后Guest上就列出了Share目录下的所有文件。
三…
作者:Azy
完成:2008-10-22
优良的rootkit(以下简写为rk)通常应该具备隐蔽稳定的通信功能。正如优秀的程序员一直追求用最简洁的代码完成功能需求一样,优秀的rk coder也一直秉承着绝不在rk中加入过多无用的远程命令,让rk尽量回归其原始定义–获得“root”权限的kit的宗旨。而如何实现隐蔽是rk通 信首先要考虑的问题。
因此,出现了各式各样的隐蔽隐藏技术。几年前的高级手段随着内核技术的公开与普及在时下被理所当然地判定为浅“藏”辄止,而时受深度检测工具干扰 的在内核级深藏不露的rk亦不能使rk coder感到一劳永逸。因为构造隐蔽通信中的无人之境才是他们永恒不变的追求。
一、浅“藏”
一直以来隐蔽战线采取着一种策略,即:藏得了就藏,藏不了就“装”。靠在ring3层隐藏自己端口的rk如今肯定是回天乏术了,而像ring3级 别的Hacker Defender以及Byshell则是通过挂接网络native api来实现端口复用从而达到不开端口隐蔽通信的伪装效果。尽管作者们使用的技术与技巧十分之精湛,但面对如今这个内核代码满天飞的局面,ring3对抗 ring0还是显得势单力薄了一些。ring3级别的挂钩很容易被检测,端口复用同样会在ring0层的连接枚举下无可遁形,同时又受到基于主机的防火墙 的封杀。与此同时或是更早,PCC(Passive Convert Channels)进入到某些人的视线之中。这种将后门或者rk通信数据嵌入到正常的数据包之中的方法的确很有创意(例如通过TCP报头中的ISN来传递 数据的NUSHU),但却无法逃脱本身缺陷导致的局限性以及被检测的厄运。
二、深藏不露?
伴随着rk面向内核层的全线出击,隐蔽通信方面也催生出了新技术。而这些新技术的答案也往往可以在NDIS_PROTOCOL_BLOCK之中找 到。为什么?因为协议驱动,中间层驱动和微端口驱动在NDIS体系中按照自顶向下的顺序排列。所以位于最上层的协议驱动首当其冲地成为了宰割对象。并且 NDIS_PROTOCOL_BLOCK这个结构可以用很强大来形容,它下面的各个成员链接到的结构可以说是五花八门、不尽其数,这里面当然就包括 NDIS_OPEN_BLOCK,NDIS_PROTOCOL_CHARACTERISTICS等结构。这些结构之中包含有N多函数指针,于是很容易联想 到对它们进行暗箱操作。
协议驱动在DriverEntry()中会调用NdisRegisterProtocol()向NDIS库注册自己的协议,获取到一个指向 NDIS_PROTOCOL_BLOCK的指针。NDIS做的则是把这个结构放到协议块链表的最前面,链表头由ndisProtocolList指定。事 实上,每个协议的NDIS_PROTOCOL_BLOCK通过一个单向链表链在了一起。
Uay通过挂接NDIS_PROTOCOL_CHARACTERISTICS结构中的发送和接收例程实现自己的隐蔽通信;Deepdoor则是挂 接了TCP/IP协议的NDIS_OPEN_BLOCK块中的发送和接受处理例程达到目的。Uay和Deepdoor有些类似,都是在协议层上进行挂接,…
5810