轩辕小聪的blog
百度空间 | 百度首页 
               
 
文章列表
 
WinMount 2.2.2 蓝了
2009-05-16 05:36

本本上装的WinMount在把一个有密码的压缩包Mount到新驱动器的时候,我输完密码按确定之后,BSOD了。搞得我深夜分析dump。

dump加载后windbg产生的信息摘要:

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: ff116000, me

阅读全文>>
类别:默认分类 | 评论(3) | 浏览()
 
金山客服内部考试题22,你会不会做错?
2009-04-01 21:00

原帖http://bbs.duba.net/viewthread.php?tid=22035421,25楼回复

在铁军blog上看到这一系列金山客服内部考试题,其中这一题,我认为大家比较容易犯错。

以下哪个修改过的userinit键值的数据会导致用户开机反复注销
A.%systemroot%\system32\userinit.exe
B.userinit.exe
C.c:\windows\system32\userinit.exe,virus.exe
D.c:\windows\system32\userinit.exe

答案是A。这是一个极具迷惑性的题目。迷惑项目主要是C。因为一般

阅读全文>>
类别:默认分类 | 评论(2) | 浏览()
 
Conficker的运行检测条件
2009-04-01 20:10

剑盟原帖http://bbs.janmeng.com/viewthread.php?tid=856992&extra=page%3D1,第5楼回复
hmily发了一个Conficker,为了便于会员测试修改了可能影响的跳转。
未修改时:
0041B6A4     8D45 F0        

阅读全文>>
类别:默认分类 | 评论(2) | 浏览()
 
MS09-002,刚刚触发了一下(二)
2009-02-21 22:57

前面已经知道call进shellcode的代码位于mshtml!CFunctionPointer::PrivateAddRef

用IDA加载mshtml.dll,找到mshtml!CFunctionPointer::PrivateAddRef函数:
.text:42AF7811 public: virtual unsigned long __stdcall CFunctionPointer::PrivateAddRef(void) proc near
.text:42AF7811                                   

阅读全文>>
类别:默认分类 | 评论(1) | 浏览()
 
MS09-002,刚刚触发了一下……
2009-02-21 22:14

在有漏洞的系统中(或者你主动先把补丁给卸载了)要把对shellcode的调用拦截住很简单。

找个实际的漏洞利用网页,把其中的shellcode的声明语句中的shellcode的内容前面加上"%uCCCC%uCCCC%uCCCC",也就是加上几字节int 3代码。保存网页。如果找不到实际的网页,直接上milw0rm把那个示例扒下来就行。

用IE7打开网页,允许ActiveX对象的执行。当IE7进到shellcode开头的时候会触发其中一个int 3断点(说“其中一个”是因为这个有“或然性”,因为不是直接call进shellcode开头,而是call

阅读全文>>
类别:默认分类 | 评论(2) | 浏览()
 
【原创】IE7 0DAY漏洞所用shellcode的分析(五)
2008-12-13 00:55

Get_EnumWindows:

0040742B >   E8 7EFEFFFF     call     <GetUser32>                                
00407430     68 1A7A1E02    

阅读全文>>
类别:默认分类 | 评论(1) | 浏览()
 
【原创】IE7 0DAY漏洞所用shellcode的分析(四)
2008-12-13 00:52

Get_VirtualProtect:
; 得到VirtualProtect地址,方法是得到kernel32.dll基址后再遍历输出表。

00407327 >   E8 AB010000     call     <Getkernel32>
0040732C     68 1BC64679     push     7946C61B
00407331   

阅读全文>>
类别:默认分类 | 评论(0) | 浏览()
 
【原创】IE7 0DAY漏洞所用shellcode的分析(三)
2008-12-13 00:52
GetEnumProcAddress:
; 返回EnumWindows的回调函数的地址
004071EE > /EB 02           jmp     short 004071F2
004071F0   |58              pop   
阅读全文>>
类别:默认分类 | 评论(1) | 浏览()
 
【原创】IE7 0DAY漏洞所用shellcode的分析(二)
2008-12-13 00:48

********************************************************************************************************************
; 主函数代码后面部分,下载病毒

004070BD   /E9 95040000     jmp     <LastCode>                     

阅读全文>>
类别:默认分类 | 评论(0) | 浏览()
 
【原创】IE7 0DAY漏洞所用shellcode的分析(一)
2008-12-13 00:28

标 题: 【原创】IE7 0DAY漏洞所用shellcode的分析
作 者: 轩辕小聪
时 间: 2008-12-11,20:37
链 接: http://bbs.pediy.com/showthread.php?t=78502

作者主页: http://hi.baidu.com/yicong2007
目     的: 纯属学习,请勿用于恶意用途

阅读全文>>
类别:默认分类 | 评论(1) | 浏览()
 
更多文章>>
     
 
 
个人档案
 
yicong2007
男, 24岁
上次登录:
5月16日
加为好友
 
   
 
背景音乐
 
 
最新照片
 
   
 
其它
 
已有人次访问本空间
 
订阅RSS  什么是RSS?

您也想拥有这样的空间?请点此申请。
     
 
最近访客
 
 

酷卡A小可
团中央

zooboa
jinjixie

siamonoi
心海王

szuosky
nokia5300lxw
     


©2009 Baidu