分类: |

进程防注

BOOL Lock_CurrentProcess()
{
   HANDLE hProcess = ::GetCurrentProcess();
   SID_IDENTIFIER_AUTHORITY sia = SECURITY_WORLD_SID_AUTHORITY;
   PSID pSid;

查看更多...

分类:c/c++ | 固定链接 | 评论: 0 | 查看次数: 8108

中文域名在谷歌搜索优化有优势吗?

 到目前为止,很多人都只停留在欣赏中文域名的阶段,当我接到客户的新网站的同时也在问:要不要给客人使用中文域名。很长时间,国内站长都在讨论:中文域名的优势到底在哪?浏览器的支持,搜索引擎的收录,等等问题接踵而至。但我们可以从以下几个例子可以看出:其实中文域名还是有不少优势的,而且谷歌Google搜索引擎已经成功将中文域名纳入收录对象。 
  通过搜索教育电视台的“师说”栏目,你可以在谷歌上寻找数页之后,发现www.师说.cn。再用"site:"语句来查询收录情况,你会发现,只有首页被收录,同样的道理,你在yahoo,中文老大百度上面去搜,却无法发现中文域名的影子。难道说这是一道技术门槛?谷歌先行出击,技术过硬,这一点我们从来不予怀疑,今天我们只说一下中文域名在搜索引擎上的表现状况。

  谷歌搜索引擎上看到的中文域名

查看更多...

分类:智慧人生 | 固定链接 | 评论: 0 | 查看次数: 6188

PEB获取GetProcAddrees函数地址

1.fs寄存器指向TEB结构
2.在TEB+0x30地方指向PEB结构
3.在PEB+0x0C地方指向PEB_LDR_DATA结构
4.在PEB_LDR_DATA+0x1C地方就是一些动态连接库地址了,如第一个指向ntdll.dll,第二个就是kernel32.dll的地址。
其结构示意图如图

查看更多...

Tags: 溢出 缓冲区

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 10964

写给计算机专业的大学生

admin:过几天我也要去大学读书了,读的也是这个专业,当作勉励一下自己拉。

首先说一说进入计算机专业的目的,我个人是因为十分喜欢IT业,很喜欢折腾电脑,所以在填报志愿是毫不犹豫的在报了的所有的学校都填写的计算机专业,梦想着进入计算机专业后能遇见很多高手,能交到几个知己,谁之进来后却大失所望。计算机专业的学生有很多以前对计算机不怎么了解,而且还有部分人进大学前连计算机摸都没摸过,对计算机很熟悉的很少,高手更是凤毛麟角,大多数人是服从了父母之命,显而易见,目前社会最热的行业是IT业,工资最高的也是IT业,抱着这个因素,大多数考生的父母都让自己的孩子进入了计算机专业,而大多数学生也天真的认为从计算机专业毕业后就能够像电视里演的大多数白领一样每天只用坐在办公室里和同事们聊聊天,和老板吃吃饭,每天签几个字然后就有高工资等着你去拿。

   进校后他们发现其实他们在专业课方面什么都听不懂,自己也一点兴趣都没有,没有兴趣那就没有学习的动力,而且这个专业是要靠悟性的,而兴趣是培养悟性的第一步,然后他们会发现越往后学专业课越难,也越听不懂,好一点的就会狠下心来,硬着头皮苦学一通,有可能也就能走出一片路来,而不好的就会就此放弃,只需要混着考试通过,混毕业,找个单位安心上班。有些人上了几年学连自己上哪些课都不知道;拿个程序他分不清是用C语言写的还是用PASCAL写的;不小心进了DOS不知道怎么再回到WINDOWS。但说起游戏来头头是道,好像每个都是职业玩家一样,有的每天只知道泡在网吧。这就是中国计算机人才下一代的悲哀!

查看更多...

分类:智慧人生 | 固定链接 | 评论: 0 | 查看次数: 6454

常用sql注入语句

检测可否注入

http://127.0.0.1/xx?id=11 and 1=1 (正常页面)

http://127.0.0.1/xx?id=11 and 1=2 (出错页面)

查看更多...

分类:网络安全 | 固定链接 | 评论: 0 | 查看次数: 7830

纯手工构造超小pe

最近构造了一个微型的 PE 文件,下面把构造的方法和一点心得写出来和大家交流,也算是 
对 PE 格式的一个复习吧。 

最终构造好的文件大小是 180 字节,可以在 Win2k 下运行,运行后会弹出一个消息框。 

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 10473

CreateToolhelp32Snapshot枚举进程

CreateToolhelp32Snapshot枚举进程

其实我感觉这篇文章没什么技术含量,只不过有时候用到这个函数的时候可以参考一下。

每一个应用程序实例在运行起来后都会在当前系统下产生一个进程,大多数应用程序均拥有可视界面,用户可以通过标题栏上的关闭按钮关闭程序。但是也有为数不少的在后台运行的程序是没有可视界面的,对于这类应用程序用户只能通过CTRL+ALT+DEL热键呼出"关闭程序"对话框显示出当前系统进程列表,从中可以结束指定的任务。显然,该功能在一些系统监控类软件中还是非常必需的,其处理过程大致可以分为两步:借助系统快照实现对系统当前进程的枚举和根据枚举结果对进程进行管理。本文下面即将对此过程的实现进行介绍。

查看更多...

分类:c/c++ | 固定链接 | 评论: 0 | 查看次数: 9260

从内存资源中加载DLL 模拟PE加载器

一种保护应用程序的方法 模拟Windows PE加载器,从内存资源中加载DLL
1、前言
目前很多敏感和重要的DLL(Dynamic-link library) 都没有提供静态版本供编译器进行静态连接(.lib文件),即使提供了静态版本也因为兼容性问题导致无法使用,而只提供DLL版本,并且很多专业软件的授权部分的API,都是单独提供一个DLL来完成,而主模块通过调用DLL中的接口来完成授权功能。虽然这些软件一般都采用了加壳和反调试等保护,但是一旦这些功能失去作用,比如脱壳,反反调试,HOOK API或者干脆写一个仿真的授权DLL(模拟授权DLL的所有导出函数接口),然后仿真的DLL再调用授权DLL,这样所有的输入首先被仿真DLL截获再传递给授权DLL,而授权DLL的输出也首先传递给仿真DLL再传递给主程序,这样就可以轻易的监视二者之间的输入输出之间的关系,从而轻易的截获DLL中的授权信息进行修改再返回给主程序。 

2、目前隐式调用敏感DLL中可能存在的安全隐患

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 13075

pe重定位表学习手册

先定义一下用到的几个变量:
char *hModule=NULL;//映射后的基址
PIMAGE_OPTIONAL_HEADER pOptHeader;//扩展头
PIMAGE_DATA_DIRECTORY pRelocTable=NULL;//指向重定位表
PIMAGE_BASE_RELOCATION pRelocBlock;//指向重定位块

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 8341

一点点小常识

这些都是在同学空间上看的

1.吃了辣的东西,感觉就要被辣死了,就往嘴里放上少许盐,含一下,吐掉,漱下口,就不辣了; 
2.牙齿黄,可以把花生嚼碎后含在嘴里,并刷牙三分钟,很有效; 

查看更多...

分类:智慧人生 | 固定链接 | 评论: 0 | 查看次数: 6999

加密pe导入表

       学习了pe结构和加载器的原理之后我们知道加载器加载可执行文件的时候会自动加载需要的dll文件和改写导入表函数地址。要是纯粹加密了导入表导致的结果就是执行文件无法被加载。而这次我要讲的就是加密导入表,而且要保证文件正常执行。怎么做呢?
      当然这只是我的一个设想,有时间我会做一下试验。
      首先要做的就是找到文件中的导入表并把他整个移动到别的地方,有必要的话也可以加密一下。,然后在原来的导入表的位置构造一个新的导入表,这个导入表里面只有kernel32.dll一个dll和LoadLibraryA,GetProcAddress两个函数,这样pe应该是可以正常加载的。
      然后我们要做的就是添加一段代码,并设置为程序的入口点。这段代码的作用就是到我们保存真正导入表的地方把导入表数据全部抄回到原来的地方,并修改每个函数的地址(地址可以用LoadliabrarA和GetProcAddress得到)。最后跳转到真正的程序入口点。

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 11872

瑞星开机杀毒实现原理

用瑞星好长时间了,用久了,就产生思考了:开机杀毒是怎么回事呢?杀毒软件是怎么实现在系统启动的时候在Blue Screen上写东西的呢?

前几天偶然在网上发现一篇文章《Inside Native Applications》,我恍然大悟。

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 10135

不用api获取进程ID和线程ID

在网上看到的代码,在Ring3层获取PID和TID,很有意思,转过来:
______________________________________________________
PID:
    mov pid,fs:[0x20];
TID:

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 10552

彻底改掉进程名

写了个改进程名的东西,跟大家分享!技术含量不高,大牛飘过。

先总结一下,一个进程的名字有可能从以下部位获取(参考小伟同学的《伪造进程初探》一文):

一、EPROCESS中:

查看更多...

Tags: c语言 系统 代码 文件 windows

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 12208

2009年站长赚钱精华内容讲座

  以下是本次讲座实录:

  站长赚钱:关注创意,赢在人脉与执行力

  互联网现状

查看更多...

分类:智慧人生 | 固定链接 | 评论: 0 | 查看次数: 7974

无dll穿墙原理

穿墙概念不用说了,就是穿透防火墙。软件防火墙会监视进程对网络的使用情况,发现可疑软件使用网络时会提醒用户要是用户阻止的话,你的什么下载者什么远程控制就没用了。怎么穿墙呢,其实很简单,用一个已经获得用户允许使用网络的程序来进行网络连接。一般来说如果用户要上网就要用到浏览器,所以浏览器程序一般是被允许使用网络的。那怎么让浏览器来干我们想干的事呢,对,注入。一般注入是把要执行的代码放到dll里面然后把这个dll注入到远程地址中去执行,而今天要讨论的是无dll穿墙呀,难道不是注入。其实也是注入。只不过比dll注入来得更直接,直接把程序写到远程地址空间里去。

为了方便我们要写一个函数来做我们要在远程空间里做的事,比如说下载,比如说远控的服务端。
假设这个函数名字为download()

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 7531

关于pe中的入口点和跳转问题

       pe里面的入口点和跳转问题。在我一开始学习pe的时候曾经就被这两个问题困惑过,可能很多朋友在学习的过程中也会遇到,所以我想在这里把这两个问题说清楚一点。没什么技术含量大牛飘过啦。

大家知道pe的入口点是在IMAGE_FILE_HEADER里面AddressOfEntryPoint指定的。其实这个说得挺清楚的,是address而不是offset,当然指的是内存里面的地址。那为什么会搞错呢?因为我用vb和vc++分别编译了一个简单的程序李测试,这时候我发现只要入口点的内存地址-映像基址=文件中的偏移量(因为OD载入厚就停留在入口点的),所以我误以为AddressOfEntryPoint就是一个文件偏移值,结果在写一个文件感染的程序的时候就只能感染这两个文件,其他像windows计算器还有资源管理器都出错。于是我就开始摸索,发现计算器的入口点减去映像基址并不等于入口点在文件里面的偏移,所以程序根本跳转不到我想要的地方。那我就纳闷了,装载器怎么找到要执行的地方呢?后来我又看到内存里面的入口点地址-映像基址就=AddressOfEntryPoint,于是我就想是不是AddressOfEntryPoint指的就是这个。我把入口点的地址放到oc转化器里面转换得到文件中的偏移,这个地方的数据果然和内存里面的是一样的。

      所以结论就是:内存中程序开始执行的地址=映像基址+AddressOfEntryPoint,而在文件中偏移为AddressOfEntryPoint的地方不一定是程序的入口点数据。因为windows的pe文件是有对齐的,在很多时候文件对齐和内存对齐是不一样的,AddressOfEntryPoint要经过一定的转换才能得到offset。为什么上面用vb和vc++编译出来的程序刚好一样呢?因为这两个程序的文件对齐系数和内存对齐系数刚好是一样的,而且代码段刚好都在第一个节。

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 11525

艳照门”再次被曝 隐私保护刻不容缓

广州日报近日报道称,网上再现艳照门女星不雅照。已被社会淡忘的08艳照门事件再次被提到了风口浪尖。“隐私”保护刻不容缓!隐私到底是什么?《现代汉语词典》给出了定义:“不愿告他人的或不愿公开的个人的事”。虽然解释泛泛,但隐私的主要内容基本为个人信息、数据、肖像、身体肌肤形态(尤其指性器官)的秘密等。“身体肌肤形态(尤其指性器官)的秘密”无疑是最为隐秘的,也是绝大多数人们最不希望公开的。 

  隐私,一直被制造

  然而,随着经济文化的不断开放,青年一代的意识越来越大胆、前卫,他们喜欢制造身体肌肤及性“隐私”,最具代表性的便是时下风行的“裸体婚纱照”、“人体艺术照”。

查看更多...

分类:智慧人生 | 固定链接 | 评论: 0 | 查看次数: 7058

Web服务器安全加固脚本 For Linux

自己并不是专门做Linux工作的,也只是兴趣而已。做安全检测工作的时候会遇到一些*nix的系统。
这个程序把一些常用的安全加固策略自动化了,又添加了防篡改、首页实时监控以及备份功能。
针对PHP做了防注入、防远程包含等措施,其实只是修改PHP.ini文件里的内容。
抽时间再添加一下Apache日志方面的功能。

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 7260

向PE头的缝隙中插入代码

      有些人感觉[b]pe[/b]文件很复杂,其实呢只要学懂了你就会觉得[b]pe[/b]还是很简单的。上次写过一个往pe的第一个节里面写代码的东西,其实跟这个差不多,换汤不换药。这个可能会更简单,HOHO,废话不说了,直接进入正题。

先说一下往pe头缝隙里面写代码的原理

我们这次说的是windows平台下的感染(姑且成为感染吧),pe文件有一个dos头,其实说实话是几乎没什么用,就是用来跳到真正的[b]pe[/b]头,里面的一部分代码是可以覆盖的。但是为了简单我们今天就不用这一部分空间了。其实还有一个更好的空隙就是解表到第一个节直接的空隙。大家都知道可执行文件在磁盘中是按照特定方式对齐的。比如文件对齐粒是1000的话,第一节开始的位置就是1000,应为所有[b]pe[/b]头加起来不可能超过1000,而且远小于这个值,约为250.所以还有一大片空间来写我们的代码。

查看更多...

Tags: pe

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 7554