linx
百度空间 | 百度首页 
 
文章分类
 
 
 
 
 
 
 
 
 
     
 
最新评论
 
     
 
最近访客
 
 

44si

wengongling

1253512815

madaxian33

eaglenet

charme000

myvbscript

_achillis
     
 
 
文章列表
 
2009年10月13日 星期二 23:31
上回我写了一篇关于键盘记录的文章《键盘监听,告别hook》,这种方法:

优点:
1.速度快,基本不会出现掉键的情况。
2.稳定,绝不会影响用户的键盘输入。
3.无任何hook,不修改任何系统代码。
4.现在有些主动防御一般hook win32k!NtUserGetAsyncKeyState()以监控木马行为,所以直接调用win32k!_GetKeyState()实现键盘监听是个
 
2009年09月27日 星期日 11:42








mshtml.dll实现了html引擎,jscript.dll实现了javascript引擎。Vbscript.dll和otherBHO.Dll实现了vbscript引擎和第三方控件的方法。
(参考:
 
2009年09月16日 星期三 17:57
写个xx.js,然后用wscript.exe载入,再windbg之:

d=0;
WScript.echo(d);
while(d++<100){
str=escape("abcde");
eval("fff=d;");
a=new Array();
a[0] = "ffffffff";
a["test"] = "ggggggggggg";
}

先下个断点:

bp jscript!SrcEscape

 
2009年07月28日 星期二 19:07
 
2009年07月28日 星期二 19:01
1.防止跨站,很神奇吧?用document.getElementById获取密码框的内容试试

2.防止GetAsyncKey、全局钩子做键盘记录

3.其他的暂时没想到


最近有同事讨论银行的安全保护问题,所以想到了这个东东。
其实支付宝登陆插件、银行登录插件保护是很脆弱的,对木马形同虚设。



 
2009年07月28日 星期二 11:22
http://baoz.net/web-application-vulnerability-scanners/

Web Application Vulnerability Scanners are tools designed to automatically scan web applications for potential vulnerabilities. These tools differ from general vulnerability assessment tools in that they do not perform a broad range of checks on a myriad of software and hardware. Instead, they perform other checks, such as potential field manipulation and cookie poisoning, which allows a more focused assessment of web appl

 
2009年07月23日 星期四 18:42
好久不更新blog了,写点最近看的东西。


一.分析网页挂马的tip:

1.document.frames[0]document.getElementsByTagName('script')[0]是不一样的!
document.frames[0]获得的是一个window对象,所以在js里面读取不同源的document.frames[0]会提示“拒绝访问”


2.分析挂马
   静态分析:
   - xxxxxxxxxxx

   动态分析:
   - 基于sniff
 
2009年05月05日 星期二 21:49
尽管我的机子都上2G内存了,开个vmw还是卡得要命,
听硬盘声音就知道瓶颈在硬盘上了,于是买了个移动硬盘,问题迎刃而解。
 
2009年04月14日 星期二 17:05
在图上显示该点
 
2009年03月31日 星期二 14:45
0: kd> uf win32k!NtUserGetAsyncKeyState
win32k!NtUserGetAsyncKeyState:
bf85ceed 8bff            mov     edi,edi
bf85ceef 55              push    ebp
bf85cef0 8bec            mov
 
2009年03月27日 星期五 11:22
如果你有关于ms产品的问题,到
http://social.microsoft.com/Forums/zh-CN/categories/
提问吧,ms在那里养着一群人呢
 
2009年03月25日 星期三 22:56

 
2009年03月25日 星期三 18:22
今天第一次去实习。
早上办理入职手续,
下午很轻松便完成了当天的工作,
然后学习员工手册...

感谢大家这么多年来对我的帮助。
尤其是qz、jx对我的帮助,以及公司给我的机会。
以后我会多多share我懂的东西来感谢大家。
 
2009年03月17日 星期二 11:07

尽管我已经用360打过最新的补丁,还是被这个word nday击中了!
是360检测的失误么?


于是立马把它扔到vmw里面,用我的半成品win ids观察了一番。
发现这个exp居然用到了驱动级后门~

亮点:
1.利用了驱动级的后门,还hook了几个函数
2.dll注册系统服务,然后利用svchost.exe启动+进程保护,不好删除。
3.生成一个新的doc迷惑用户。这个功能和上次那个IE day 的shellcode类似。


 
2009年03月09日 星期一 14:39
搞了半天,就快成功了

一个webshell从上传(写入)到访问(运行)的行为特征:

使用web上传漏洞上传asp/php webshell              --由iis_dllhost.exe/apche_httpd.exe调用NT api写文件。
            |
            |
            |
 
     
 
 
好友最新文章
 
     
 
RSS订阅
 
   
 
订阅我的空间
 
已有人次访问本空间
 
订阅RSS  什么是RSS?

您也想拥有这样的空间?请点此申请。
     


©2009 Baidu