win内核/安全linx

文章列表

您正在查看 "win内核/安全" 分类下的文章

[转]KHOBE – 8.0 earthquake for Windows desktop security software

2010年05月14日星期五 22:05

www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php

arstechnica.com/security/news/2010/05/multicore-cpus-move-attack-from-theoretical-to-practical.ars

阅读全文>>

类别：win内核/安全|评论(0) |浏览(379)

flash修改、调试...相关

2010年03月04日星期四 17:21

flash修改、调试...相关

阅读全文>>

类别：win内核/安全|评论(0) |浏览(473)

traceAPI

2010年01月11日星期一 11:43

经常要分析点patch，病毒什么的，
可是手上没有好用的Process Stalker/traceAPI/沙盒，每次分析都要在windbg、ollydbg上折腾半天，我实在无法忍受下去了！
上周用同事的“主动防御”测试了一下，由于很多功能都是在ring0下实现的，无法trace R3的API调用，效果也不理想。
所以周日的时候决定搞一个traceAPI。

首先想到的是这篇文章：

Path Finder的几个方案

阅读全文>>

类别：win内核/安全|评论(0) |浏览(673)

又见windows键盘监听

2009年10月13日星期二 23:31

上回我写了一篇关于键盘记录的文章《键盘监听，告别hook》，这种方法：

优点：
1.速度快，基本不会出现掉键的情况。
2.稳定，绝不会影响用户的键盘输入。
3.无任何hook，不修改任何系统代码。
4.现在有些主动防御一般hook win32k!NtUserGetAsyncKeyState()以监控木马行为，所以直接调用win32k!_GetKeyState()实现键盘监听是个

阅读全文>>

类别：win内核/安全|评论(0) |浏览(2165)

搞jscript的汇编层hook

2009年09月16日星期三 17:57

写个xx.js,然后用wscript.exe载入，再windbg之：

d=0;
WScript.echo(d);
while(d++<100){
str=escape("abcde");
eval("fff=d;");
a=new Array();
a[0] = "ffffffff";
a["test"] = "ggggggggggg";
}

先下个断点：

bp jscript!SrcEscape

阅读全文>>

类别：win内核/安全|评论(0) |浏览(1079)

键盘监听，告别hook

2009年03月31日星期二 14:45

0: kd> uf win32k!NtUserGetAsyncKeyState
win32k!NtUserGetAsyncKeyState:
bf85ceed 8bff            mov     edi,edi
bf85ceef 55              push    ebp
bf85cef0 8bec            mov

阅读全文>>

类别：win内核/安全|评论(0) |浏览(1792)

"物理检测/过滤"dom&xss

2009年03月25日星期三 22:56

阅读全文>>

类别：win内核/安全|评论(0) |浏览(597)

居然被word nday击中！

2009年03月17日星期二 11:07

尽管我已经用360打过最新的补丁，还是被这个word nday击中了！
是360检测的失误么？

于是立马把它扔到vmw里面，用我的半成品win ids观察了一番。
发现这个exp居然用到了驱动级后门~

亮点：
1.利用了驱动级的后门，还hook了几个函数
2.dll注册系统服务，然后利用svchost.exe启动+进程保护，不好删除。
3.生成一个新的doc迷惑用户。这个功能和上次那个IE day 的shellcode类似。

阅读全文>>

类别：win内核/安全|评论(0) |浏览(847)

win ids demo

2009年03月09日星期一 14:39

搞了半天，就快成功了

一个webshell从上传(写入)到访问(运行)的行为特征：

使用web上传漏洞上传asp/php webshell              --由iis_dllhost.exe/apche_httpd.exe调用NT api写文件。
            |
            |
            |

阅读全文>>

类别：win内核/安全|评论(0) |浏览(738)

二进制代码审核

2009年03月04日星期三 12:57

先站坑，近日慢慢补充内容

参考书：《模糊测试--强制性安全漏洞发掘》（这里提供的web版和印刷版的内容基本相同）

自动化二进制审核工具

阅读全文>>

类别：win内核/安全|评论(0) |浏览(1073)

Honeypot/IDS学习笔记

2009年03月04日星期三 10:08

最早认识honeypot，应该N年前看到的《蜜罐进阶之Hit@me入侵分析》专题。最近在xfocus看到<<绿盟原创大片，arrow倾情主演! >>

阅读全文>>

类别：win内核/安全|评论(0) |浏览(1773)

flash 安全资料、笔记

2009年02月20日星期五 15:51

http://osflash.org/

http://www.baidu.com/s?tn=monline_dg&bs=FlashPlayer&f=8&wd=FlashPlayer+opensource

最近学习crack了一个flash游戏，而后又在ubuntu下把flash开源虚拟机gnash编译了。以下是一些资料：

文档/资源：http://osflash.org

参考1：

http://hi.baidu.com/%CF%AA%B1%DF%B5%BE%CF%E3/blog/item/9052f5334838a742ac4b5fc0.html

讨论FLASH安全

阅读全文>>

类别：win内核/安全|评论(0) |浏览(1046)

调试 p-code—vbs、.net

2009年02月19日星期四 12:23

最近陆续琢磨了一下vbs、javascript、.net、swf的调试/修改方法，这些基本都是stack base的 p-code。
其中最有意思的当属对swf 的crack，网上有不少flash游戏、抽奖程序，如果能够对swf进行实时调试，那将是多么令人兴奋的事情，可惜adobe并没有提供这个功能。

整理好笔记后我再一点点地贴出来。

test.vbs:
wscript.echo "hello"
a=100
b=200
c=a+b
wscript.echo c

阅读全文>>

类别：win内核/安全|评论(0) |浏览(556)

windbg加亮版 beta-2009.2.5

2009年02月05日星期四 0:16

windbg 加亮版 beta-2009.2.5

说明：
为windbg添加语法加亮的功能

用法：
把文件解压到windbg安装目录，再运行windbg_color_xxx.exe即可。
或者先备份windbg.exe，再用windbg_color_xxx.exe替换原来的windbg.exe。

备注：
windbg6.9_color_0205_beta.exe windbg6.9 的加亮版本
windbg6.10_color_0205_beta.exe windbg6.10的加亮版本
windbg6.10_cn_color_0205_beta.exe

阅读全文>>

类别：win内核/安全|评论(0) |浏览(2086)

在windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt

2009年02月01日星期日 10:05

在windbg中查看shadow ssdt：

0: kd> lm
start end module name
804d8000 806e3000 nt (pdb symbols) I:\Symbols\ntkrpamp.pdb\966DF78E558F483199141B029DF5A9D51\ntkrpamp.pdb

阅读全文>>

类别：win内核/安全|评论(0) |浏览(2756)

1 [2] [下一页] [尾页]

文章分类

默认分类(18)

win内核/安全(26)

linux内核/安全(0)

web/网络安全(6)

经济(0)

开发(c/java/php/.net...)(6)

其他(日志/备忘)(1)

待删(3)

Ie(0)

文章存档