123321_百度空间
 
文章列表
 
利用WMI打造完美“三无”后门-终焉
2008-09-01 22:54
Welcome!各位ScriptKid,欢迎来到脚本世界。

今天给大家带来这个连载的最后一篇。

通过前面的几篇连载,有一定脚本编写功底和WMI技术知识的同学经过一定的修改,其实已经可以实现我们的这个无进程,无文件驻留,无端口的后门以及前面所说的下载者,U盘识别和感染等等功能。当然了,如果想真正实现对后门的控制,你还要有一个WEB SERVER以及一个管理端。如下图:

阅读全文>>
类别:Scriptkid | 评论(0) | 浏览()
 
利用WMI打造完美“三无”后门-Downloader and Uploader
2008-08-29 19:58

Welcome!各位ScriptKid,欢迎来到脚本世界。

终于到周末。可以多陪陪家人,玩玩游戏,研究研究自己感兴趣的东西了。

今天继续的是两个很简单的功能,下载指定文件到目标机器与获取目标机器任意文件。

直接来看示例代码。

Downloader

Function DownLoadFile
Set Http=CreateObject("WinHttp.WinHttpRequest.5.1") //想绕过防火墙请使用InternetExplorer.Application
SplitCmd=Split(CmdText,"|") //分离命令参数。命令格式是:命令号|远程URL|本地文件|超时时间

阅读全文>>
类别:Scriptkid | 评论(0) | 浏览()
 
利用WMI打造完美“三无”后门-U盘侦测与Autorun
2008-08-26 23:23

Welcome!各位ScriptKid,欢迎来到脚本世界。

一个好的后门,肯定要有一个比较好的传播方式。比如读取本地联系人列表发送邮件,U盘感染,QQ,MSN传播等等。利用WMI提供的强大windows管理接口来实现多样的传播方式非常简单。这里我只介绍一下U盘方式。

Win32_LogicalDisk类提供了很好的识别各类驱动器的接口。我们可以很轻易的识别出我们可以感染的移动设备。来看代码:

Function DetectDisk
Set DiskInfos=WMIService.ExecQuery("Select * from Win32_LogicalDisk") //查询本机所有逻辑盘

阅读全文>>
类别:Scriptkid | 评论(0) | 浏览()
 
利用WMI打造完美“三无”后门-The Core
2008-08-25 21:21

Welcome!各位ScriptKid,欢迎来到脚本世界。

今天忙了一天,比较累。不废话那么多了,切入正题。

这个“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer(以下简称ASEC)。WMI中有许多这类的事件消费者,简单的来说,当与其绑定的事件到达时,消费者就会被触发执行预先定义好的功能。例如可以用来执行二进制程序的CommandLineEventConsumer等等

ASEC是WMI中的一个标准永久事件消费者。它的作用是当与其绑定的一个事件到达时,可以执行一段预先设定好的JS/VBS脚本。

阅读全文>>
类别:Scriptkid | 评论(0) | 浏览()
 
利用WMI打造完美“三无”后门-消灭一切假网卡
2008-08-21 20:35

Welcome!各位ScriptKid,欢迎来到脚本世界。

这年头,貌似除了我们呼吸的空气,什么都有假的,有的假的比那真的还真的。更别说在0101的虚拟世界了。hi,请问你是阿猫还是阿狗?:)

如何从一大堆诸如VMWARE之类的软件所模拟的假网卡中找到那块我们需要的真实的物理网卡并且确定确实有个真的网线插在上面,是摆在我们面前的第一个问题。更何况,用MAC地址来进行机器管理,相对还比较可靠^0^

WMI里主要有关网卡的类有三个:Win32_NetworkAdapter,Win32_NetworkAdapterConfiguration和Win32_NetworkAdapterSetti

阅读全文>>
类别:Scriptkid | 评论(0) | 浏览()
 
利用WMI打造完美“三无”后门(序章)
2008-08-20 22:31

Welcome!各位ScriptKid,欢迎来到脚本世界。从今天开始小弟我会连载这篇《利用WMI打造完美“三无”后门》。

序章

在正式开始之前,请允许小弟先介绍一下时代背景,人物性格。

这个后门完成于2006年的这个时候。其主要的思路来自于zzzevazzz大虾的《深入挖掘windows脚本技术》,感谢zzzevazzz提供了一个这么好的思路。其另外的一篇《Do All in Cmd Shell》也是一篇非常不错的文章。顺便提一句,本文欢迎一切形式的转载,复制粘贴,但请至少保留zzzevazzz字样,谢谢。

在这篇连载

阅读全文>>
类别:Scriptkid | 评论(0) | 浏览()
 
Kaspersky 7.0 WindowsMessage Blue Screen Of Death Bug
2008-08-18 21:21

Kaspersky 7.0 WindowsMessage Blue Screen Of Death Bug

By Apollozong of Tencent security Center

感谢Sowhat大牛的协助分析

受影响版本:

Kaspersky Antivirus 7.0,Kaspersky Internet Security 7.0

不受影响版本:

Kaspersky Antivirus 2009,Kaspersky Internet Security 2009

细节:

卡巴斯基在处理windows消息中存在一个BUG,在处理WM_SETTEXT时没有对lParam参数进行校验。当lParam指向一个不可读的内核空间地址时,将会导致一个蓝屏崩溃错误。

Proof of

阅读全文>>
类别:Vulnerability | 评论(0) | 浏览()
 
“鲜为人知”的SendWindowMessage
2008-08-17 11:23

有同学看到标题可以能比较奇怪,这有什么鲜为人知的。这里说的是潜藏在MS office Word VBA中的一个SendWindowMessage方法。百度了一下,国内除了一些个别的office教材中偶尔提到外,很少有提到过这个method。这里记录一下。

先看一下MSDN的定义

SendWindowMessage Method

Sends a Windows message and its associated parameters to the specified task.

expression.SendWindowMessage(

阅读全文>>
类别:Scriptkid | 评论(0) | 浏览()
 
     
 
 
个人档案
 
war3apollo

广东 深圳 
 
   
 
文章分类
 
     
 
最新评论
 
     
 
好友最新文章
 
     
 
最近访客
 
 

只吹东风
marathonera

星夜思
wshidi1

moonflow1989
15645209XXX

hngyliuyi
zzzevazzz
     
 
背景音乐
 
     
 
订阅我的空间
 
已有人次访问本空间
 
订阅RSS  什么是RSS?

您也想拥有这样的空间?请点此申请。
     

帮助中心  |  空间客服  |  投诉中心  |  空间协议
©2012 Baidu