- 博客(25)
- 收藏
- 关注
RSS订阅原创 病毒分析之“驱动人生”挖矿木马分析及其清除方案
“驱动人生”挖矿木马分析及其清除方案0x00 概述自2018年12月份”驱动人生“挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次。此木马感染量之大,传播速度之快,可称得上是国内挖矿排行”第一“的木马。从最开始的有文件落地的单独可执行EXE,到后来的python版EXE,再到随机膨胀文件版本,再到后来的PowerShell无文件攻击版本。从单一攻击手法,到后来的漏洞...
2019-11-01 11:06:32
10627
原创 游戏安全之借刀杀人
游戏安全之借刀杀人0x0简介我们知道现在大多数网络游戏都是有游戏保护的,由于游戏保护的原因当我们使用第三方程序去操作(读写)游戏进程内存的时候,会提示没有读写权限。这是因为,我们在打开游戏进程(OpenProcess)获取句柄(Handle)的时候,游戏的驱动保护注册有回调过滤我们的句柄权限。然而在Windows下是有一些系统进程必须与其他进程进行交互的,所以这些系统进程会保存有被...
2019-08-08 00:34:07
1256
3
原创 Dll注入技术之驱动注入
Dll注入技术之驱动注入0x0 技术简介实现环境系统:Windows 7 64bit工具:VS+WDK驱动注入我这里驱动注入的技术是:采用驱动向目标进程插入APC执行LdrLoadDll函数加载Dll模块。可以注入64位Dll到64位进程或注入32位Dll到32位进程。暂时没有实现跨位数。APC(异步过程调用)是一种内核机制,它提供了一种在特定线程上下文中执行定制例...
2019-01-04 18:56:12
15638
5
原创 病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法)
病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法)0x0病毒概况撒旦勒索病毒主要是针对企业服务器用户进行感染加密其服务器上的文件并勒索用户的一种病毒。撒旦病毒通过大量漏洞利用工具,扫描入侵主机。成功入侵后加密重要文件。并生成文件用中英韩三种语言提示索要比特币赎金解密文件。0x1恶意行为1.主模块会释放大量攻击模块并执行,也会连接恶意IP下载病毒文件...
2018-10-31 17:08:43
2921
8
原创 病毒分析之伪装360主动防御病毒分析_XiaoBa-20
病毒分析之伪装360主动防御病毒分析_XiaoBa-20样本概况说明:此样本应该是之前被抓的黑客XiaoBa的中期作品。(见下边截图信息)样本最初于18年1月份发布,我这里于18年2月份捕获,样本并不是太复杂,但影响范围比较大。作者病毒家族流行情况见:https://bbs.pediy.com/thread-230294.htm文件: C:\Users\Hades-win7...
2018-08-20 16:31:13
848
原创 病毒分析之Virut病毒感染样本分析(setup.exe)
病毒分析之Virut病毒感染样本分析(setup.exe)样本概况文件: C:\Users\Hades-win7\Desktop\setup_mima666\setup.exe大小: 369664 bytes文件版本:8.0.50727.42 (RTM.050727-4200)修改时间: 2014年4月21日, 11:18:00MD5: E29DAE6188A0B0BB797C42F68D8DFA...
2018-07-16 15:19:15
7280
3
原创 病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))
病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))样本信息文件名称:hra33.dll或lpk.dll文件: C:\Users\Hades-win7\Desktop\hra33.dll.vir大小: 46080 bytes修改时间: 2017年8月1日, 12:08:36MD5: A066B5BB41892068E172E5F52B3137F4SHA1: 658889F4B0F62...
2018-07-16 14:54:26
2983
原创 Dll注入技术之劫持注入
Dll注入技术之劫持注入测试环境系统:Windows 7 32bit工具:FileCleaner2.0 和 lpk.dll主要思路利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数.引用网络中的原理讲解●背景知识●首先我们要了解Windows为什么可以DLL劫持呢?主要是因为Windows的...
2018-06-28 17:45:23
18397
2
原创 安卓逆向(Android)之二__《全民捕鱼》游戏内购破解
安卓逆向之二__《全民捕鱼》游戏内购破解 环境简介系统:Android 4.4工具:Windows 10 64bit 夜神模拟器 Android Killer Java Decompiler 全民捕鱼游戏简介游戏名称:全民捕鱼游戏类型:休闲益智游戏版本:1.7游戏界面如下: 逆向分析首先我们进入商城点击付费金币的购...
2018-06-04 15:35:46
3392
原创 010Editor(v8.0.1最新版)逆向_另类的破解
010Editor(v8.0.1最新版)逆向_另类的破解软件简介010Editor是一款采用QT界面库编写的,兼容多操作系统的十六进制编辑软件.功能强大,简单易用.逆向环境及工具系统环境:Window 7 32bit使用工具:OllyDbg,IDA本次测试版本为官方最新版:Name:010 Editor for Windows 32-BitVersion: 8.0.1, Windows 10/8/...
2018-06-01 17:06:01
6155
原创 010Editor(v8.0.1最新版)逆向_算法分析及注册机编写(附可用key和源码)
010Editor(v8.0.1)逆向分析0x0软件简介010Editor是一款采用QT界面库编写的,兼容多操作系统的十六进制编辑软件.功能强大,简单易用.0x1逆向环境及工具系统环境:Window 7 32bit使用工具:OllyDbg,IDA本次测试版本为官方最新版:Name:010 Editor for Windows 32-BitVersion: 8.0.1, Windows 10/8/7...
2018-06-01 16:53:08
2793
原创 漏洞分析之PCMan FTP Server缓冲区溢出漏洞分析与利用 (CVE-2013-4730)
PCMan FTP Server缓冲区溢出漏洞分析与利用(CVE-2013-4730) 作者:Hades0x0. 漏洞等级软件名称:PCMan FTP Server 软件版本:2.0.7 漏...
2018-05-24 20:51:38
3778
原创 病毒分析之熊猫烧香
病毒分析之熊猫烧香1.样本概况1.1样本信息病毒名称:熊猫烧香所属家族:WhboyMD5值:512301C535C88255C9A252FDF70B7A03SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870CRC32:E334747C文件: C:\spo0lsv.vir大小: 30001 bytes壳: PSG v2.0编程语言:Delphi病毒行为:病毒...
2018-05-22 19:50:45
8359
1
原创 x64技术之SSDT_Hook
x64技术之SSDT_Hook测试环境:虚拟机: Windows 7 64bit过PG工具驱动加载工具PCHunter64系统自带的计算器和任务管理器等实现思路:实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上做了一些手脚.具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.HOOK1.得到系统服务表基址2.保存需...
2018-05-10 21:36:01
5526
5
原创 安卓逆向(Android)之初
Android逆向之初环境搭建系统:Windows 10(1709) 64bitjava环境:JDK 1.8.0_144 ; JRE 1.8.0_144Android Studio Version 3.1.1Android SDK 4.4&8.1安卓模拟器(我使用的是"夜神")AndroidKillerFirst Android CrackMe测试程序...
2018-05-04 17:40:53
548
原创 Rookit技术之SSDT_Hook
Rookit技术之SSDT_HookRookit技术之SSDT_Hook0x0 SSDT简介0x1 测试环境0x2 达到目标0x3 主要思路0x4 关键代码0x5 测试效果0x0 SSDT简介SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,ssdt表就是把ring3的Win32 API和ring0的...
2018-04-27 17:39:16
516
原创 加载驱动遍历驱动模块(使用控制码通讯)
加载驱动遍历驱动模块测试环境系统:虚拟机Windows 7 32bit工具:VS2015+Windbg等各种调试工具说明此demo只是内核编程的小小练习,只是遍历了驱动模块全路径,通过Ring3和Ring0通讯(使用比较复杂的控制码+MDL直接方式通讯),显示在了用户界面上.想要做其他功能,根据这个思路,遍历进程信息,模块信息等等都很容易做到.如果以后有机会再发其他功能的实现主要思路1.程序启动的...
2018-04-26 18:19:09
2064
1
原创 Dll注入技术之远程线程注入
Dll注入技术之远程线程注入测试环境系统:Windows 10 64bit注入目标: win7 64bit 计算器(这个软件用着习惯,所以我从win7上拷贝到win10上了)主要思路:1.使用进程PID打开进程,获得句柄2.使用进程句柄申请内存空间3.把dll路径写入内存4.创建远程线程,调用LoadLibrary5.释放收尾工作或者卸载dll主要函数://打开进程HANDLE WINAPI Op...
2018-04-25 21:23:49
10150
6
原创 驱动加载工具的实现
驱动加载工具的实现主要思路:使用OpenSCManager函数打开服务控制管理器(SCM),获得句柄.使用这个SCM句柄创建(或者打开)服务,服务运行加载驱动,服务停止卸载驱动主要函数:OpenSCManager //打开设备(服务)管理器CreateService //创建服务(或者设备,根据参数不同而不同)OpenService //打开设备或者服务.StartSer...
2018-04-24 19:16:34
2111
原创 手动脱壳-熊猫烧香病毒-FSG v2.0
手动脱壳-熊猫烧香病毒-FSG v2.0操作环境系统:Windows 7 32bit工具: Exeinfope,查壳 OllyDbg,动态调试,Dump内存 ImportREC,修复IATFSG壳简介FSG v2.0是一款超级压缩壳,经过加壳后会减小目标文件体积.这个壳会对源程序IAT做简单的处理.0x0 查壳使用ExeinfoPE查壳,熊猫烧香样本显示带有压缩壳FSG...
2018-04-24 15:36:30
1761
原创 纯手写简单PE
纯手写简单PE环境:Windows 10010EditorLoadPE(查看写的是否正确,文中并没有截图)目的:使用十六进制编辑器(010Editor)手写一个可在Windows10上运行的只弹出MessageBox对话框最简单的exe程序1.构造DOS头 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e...
2018-04-17 22:11:09
1433
原创 溢出漏洞原理及利用(3)
溢出漏洞原理及利用 本文是作者学习过程的笔记整理而来的,如有错误,还请见谅!接上一篇溢出漏洞原理及利用适用性更强的MessageBox适用性更强的MessageBox之前我们写的MessageBox,是直接在调试器中找到的地址.当模块使用动态加载基址的时候,我们重启系统或者在其他机器上运行的时候,函数地址就改变了. 为了程序在其他系统通用,需要动态...
2018-04-15 22:03:06
1125
原创 溢出漏洞原理及利用(2)
溢出漏洞原理及利用 本文是作者学习过程的笔记整理而来的,如有错误,还请见谅!接上一篇溢出漏洞原理及利用利用溢出执行系统的MessageBox利用溢出执行自己的代码利用溢出执行系统的MessageBox既然是函数的返回地址被淹没了,导致执行返回地址处的代码的时候出错,我们也看到返回地址处是我们在password.txt中输入的数据当成了地址,那么我们是不...
2018-04-12 21:47:35
1750
4
原创 溢出漏洞原理及利用(1)
溢出漏洞原理及利用 本文是作者学习过程的笔记整理而来的,如有错误,还请见谅!溢出漏洞原理及利用实验环境实验目的编写一个简单的有溢出漏洞的程序查看程序崩溃日志,找到崩溃点实验环境Windows 10Visual Sutdio 2015x32dbg(x64dbg)*010Editor实验目的学习溢出漏洞的原理学会手工查看程序崩溃...
2018-04-11 21:59:14
4532
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人