linx
百度空间 | 百度首页 
 
文章分类
 
默认分类(5)
 
win内核/安全(26)
 
linux内核/安全(0)
 
web/网络安全(3)
 
经济(0)
 
开发(c/java/php/.net...)(3)
 
其他(日志/备忘)(1)
 
待 删(2)
 
     
 
最新评论
 
     
 
最近访客
 
 

44si
wengongling

1253512815
madaxian33

eaglenet
charme000

myvbscript
_achillis
     
 
 
文章列表
 
又见windows键盘监听
2009年10月13日 星期二 23:31
上回我写了一篇关于键盘记录的文章《键盘监听,告别hook》,这种方法:

优点:
1.速度快,基本不会出现掉键的情况。
2.稳定,绝不会影响用户的键盘输入。
3.无任何hook,不修改任何系统代码。
4.现在有些主动防御一般hook win32k!NtUserGetAsyncKeyState()以监控木马行为,所以直接调用win32k!_GetKeyState()实现键盘监听是个
阅读全文>>
类别:win内核/安全 | 评论(1) | 浏览()
 
我的很挫的恶意代码检测方法
2009年09月27日 星期日 11:42








mshtml.dll实现了html引擎,jscript.dll实现了javascript引擎。Vbscript.dll和otherBHO.Dll实现了vbscript引擎和第三方控件的方法。
(参考:
阅读全文>>
类别:win内核/安全 | 评论(4) | 浏览()
 
很痛苦地搞jscript
2009年09月16日 星期三 17:57
写个xx.js,然后用wscript.exe载入,再windbg之:

d=0;
WScript.echo(d);
while(d++<100){
str=escape("abcde");
eval("fff=d;");
a=new Array();
a[0] = "ffffffff";
a["test"] = "ggggggggggg";
}

先下个断点:

bp jscript!SrcEscape

阅读全文>>
类别:win内核/安全 | 评论(10) | 浏览()
 
[转]Web安全工具大汇聚
2009年07月28日 星期二 19:07
http://baoz.net/web-security-tools-collection/
类别:web/网络安全 | 评论(1) | 浏览()
 
支付宝登陆插件、网上银行登录插件的作用
2009年07月28日 星期二 19:01
1.防止跨站,很神奇吧?用document.getElementById获取密码框的内容试试

2.防止GetAsyncKey、全局钩子做键盘记录

3.其他的暂时没想到


最近有同事讨论银行的安全保护问题,所以想到了这个东东。
其实支付宝登陆插件、银行登录插件保护是很脆弱的,对木马形同虚设。



类别:win内核/安全 | 评论(3) | 浏览()
 
[转]Web Application Vulnerability Scanners
2009年07月28日 星期二 11:22
http://baoz.net/web-application-vulnerability-scanners/

Web Application Vulnerability Scanners are tools designed to automatically scan web applications for potential vulnerabilities. These tools differ from general vulnerability assessment tools in that they do not perform a broad range of checks on a myriad of software and hardware. Instead, they perform other checks, such as potential field manipulation and cookie poisoning, which allows a more focused assessment of web appl

阅读全文>>
类别:web/网络安全 | 评论(2) | 浏览()
 
好久不更新blog了,写点最近看的东西。
2009年07月23日 星期四 18:42
好久不更新blog了,写点最近看的东西。


一.分析网页挂马的tip:

1.document.frames[0]document.getElementsByTagName('script')[0]是不一样的!
document.frames[0]获得的是一个window对象,所以在js里面读取不同源的document.frames[0]会提示“拒绝访问”


2.分析挂马
   静态分析:
   - xxxxxxxxxxx

   动态分析:
   - 基于sniff
阅读全文>>
类别:web/网络安全 | 评论(2) | 浏览()
 
tip: 虚拟机装在移动硬盘上,一点也不卡
2009年05月05日 星期二 21:49
尽管我的机子都上2G内存了,开个vmw还是卡得要命,
听硬盘声音就知道瓶颈在硬盘上了,于是买了个移动硬盘,问题迎刃而解。
类别:win内核/安全 | 评论(7) | 浏览()
 
在知春路上遇到微软亚洲研究院
2009年04月14日 星期二 17:05
在图上显示该点
阅读全文>>
类别:待 删 | 评论(8) | 浏览()
 
键盘监听,告别hook
2009年03月31日 星期二 14:45
0: kd> uf win32k!NtUserGetAsyncKeyState
win32k!NtUserGetAsyncKeyState:
bf85ceed 8bff            mov     edi,edi
bf85ceef 55              push    ebp
bf85cef0 8bec            mov
阅读全文>>
类别:win内核/安全 | 评论(7) | 浏览()
 
如果你有关于ms产品的问题
2009年03月27日 星期五 11:22
如果你有关于ms产品的问题,到
http://social.microsoft.com/Forums/zh-CN/categories/
提问吧,ms在那里养着一群人呢
类别:待 删 | 评论(2) | 浏览()
 
"物理检测/过滤"dom&xss
2009年03月25日 星期三 22:56

类别:win内核/安全 | 评论(3) | 浏览()
 
今天开始实习
2009年03月25日 星期三 18:22
今天第一次去实习。
早上办理入职手续,
下午很轻松便完成了当天的工作,
然后学习员工手册...

感谢大家这么多年来对我的帮助。
尤其是qz、jx对我的帮助,以及公司给我的机会。
以后我会多多share我懂的东西来感谢大家。
类别:其他(日志/备忘) | 评论(7) | 浏览()
 
居然被word nday击中!
2009年03月17日 星期二 11:07

尽管我已经用360打过最新的补丁,还是被这个word nday击中了!
是360检测的失误么?


于是立马把它扔到vmw里面,用我的半成品win ids观察了一番。
发现这个exp居然用到了驱动级后门~

亮点:
1.利用了驱动级的后门,还hook了几个函数
2.dll注册系统服务,然后利用svchost.exe启动+进程保护,不好删除。
3.生成一个新的doc迷惑用户。这个功能和上次那个IE day 的shellcode类似。


阅读全文>>
类别:win内核/安全 | 评论(9) | 浏览()
 
win ids demo
2009年03月09日 星期一 14:39
搞了半天,就快成功了

一个webshell从上传(写入)到访问(运行)的行为特征:

使用web上传漏洞上传asp/php webshell              --由iis_dllhost.exe/apche_httpd.exe调用NT api写文件。
            |
            |
            |
阅读全文>>
类别:win内核/安全 | 评论(4) | 浏览()
 
更多文章>>
     
 
 
好友最新文章
 
     
 
RSS订阅
 
   
 
订阅我的空间
 
已有人次访问本空间
 
订阅RSS  什么是RSS?

您也想拥有这样的空间?请点此申请。
     


©2009 Baidu