系统安全
关注
分享
扫一扫
D_R_L_T
且听风吟,御剑于心。
展开
-
如何一步一步解码复杂的恶意软件
写在前面的话在检测网站安全性的过程中,最麻烦的一部分工作就是要确保我们能够找出网站中所有已存在的后门。绝大多数情况下,攻击者会在网站各种不同的地方注入恶意代码,并以此来增加再次感染该网站的成功率以及尽可能久地实现持续感染。虽然我们之前已经给大家介绍过数百种后门以及相应的影响,但今天我们想跟大家更加深入地讨论一些关于恶意软件的分析技术,即如何解码复杂的高级恶意软件。本文所分析转载 2017-09-19 08:49:56 · 848 阅读 · 0 评论 -
如何在Windows中使用netsh命令进行端口转发
原文地址:http://www.freebuf.com/articles/system/176889.html自Windows XP开始,Windows中就内置网络端口转发的功能。任何传入到本地端口的TCP连接(IPv4或IPv6)都可以被重定向到另一个本地端口,或远程计算机上的端口,并且系统不需要有一个专门用于侦听该端口的服务。在Linux中,使用iptables可以非常轻松地配置端口重定向。在...转载 2018-07-15 16:27:13 · 3580 阅读 · 0 评论 -
进程隐藏与进程保护(SSDT Hook 实现)(三)
文章目录: 1. 引子:2. 获取当前系统下所有进程:3. 服务管理(安装,启动,停止,卸载):4. 应用程序和内核程序通信:5. 小结: 1. 引子: 关于这个 SSDT Hook 实现进程隐藏和进程保护呢,这是最后一篇博文了,在文章的结尾处呢你可以下载到整个项目的实...转载 2018-07-25 22:32:33 · 1602 阅读 · 0 评论 -
进程隐藏与进程保护(SSDT Hook 实现)(二)
原文链接:http://www.cnblogs.com/boyxiao/archive/2011/09/03/2164574.html文章目录: 1. 引子 – Demo 实现效果:2. 进程隐藏与进程保护概念:3. SSDT Hook 框架搭建:4. Ring0 实现进程隐藏:5. Ring0 实现进程保护:6. 隐藏进程列表和保护进程列表的维护...转载 2018-07-25 22:30:45 · 1513 阅读 · 0 评论 -
进程隐藏与进程保护(SSDT Hook 实现)(一)
原文链接:http://www.cnblogs.com/boyxiao/archive/2011/09/03/2164574.html文章目录:1. 引子 – Hook 技术:2. SSDT 简介:3. 应用层调用 Win32 API 的完整执行流程:4. 详解 SSDT:5. SSDT Hook 原理:6. 小结: 1. 引子 – Hook...转载 2018-07-25 22:30:16 · 1134 阅读 · 0 评论 -
硬件断点和软件断点的区别
硬断点--break point软断点--assert 简单的解释:硬件断点:硬断点需要硬件寄存器提供支持,断点的数目受Embedded ICE中的Watchpoint数目的限制,但是可以在任何地方设置断点。软件断点:软件断点通过在运行起来的程序中设置特征值实现,其数目不受限制,但是一般情况下软件断点只能在可写的存储器的地址中设置(比如:RAM),而不能在ROM(比如:Flash)中设置。 断点可...转载 2018-06-09 13:42:29 · 5834 阅读 · 0 评论 -
MBR、EBR与DBR详解
原文链接:https://blog.youkuaiyun.com/hilavergil/article/details/79270379先看一张硬盘图片(一个盘面):MBR主引导记录(MBR,Main Boot Record)是位于磁盘最前边的一段引导(Loader)代码。它负责磁盘操作系统(DOS)对磁盘进行读写时分区合法性的判别、分区引导信息的定位,它由磁盘操作系统(DOS转载 2018-04-20 15:33:01 · 4614 阅读 · 0 评论 -
教你在64位Win7系统下使用ObRegisterCallbacks内核函数来实现进程保护
原文链接:https://bbs.pediy.com/thread-168023.htm我平时工作很忙,也很少有空闲时间上看雪论坛。我在看雪论坛里面文章发表的很少,几只有几篇,我也很少回答别人的问题。我的很多朋友都这样问我问题:我整理了一下,无非就以下几种问题:(1)怎么样在64位的Windows7操作系统下实现进程保护? (2)我在网络上搜索了很多天,我根本就找不到64位进程保护的文章啊!(3)...转载 2018-04-02 23:51:50 · 1184 阅读 · 0 评论 -
Process Monitor中文手册
1.介绍2.使用Process Monitor3.列的选择4.过滤和高亮5. 进程树(The Process Tree)6. 信息概要工具(Trace Summary Tools)7. 选项8. 保存和记录(Saving and Logging)9. 启动记录10. 配置的导入和导出11. 命令行选项12. Process Monitor脚本13. 注入应用程序调试信息1.介绍Process Mo...转载 2018-03-25 16:08:37 · 5630 阅读 · 0 评论 -
MBR感染学习
前几天工程实践,有人涉及到了MBR的感染。我也来学习一哈。本文我们要了解的几个东西: 1)什么是MBR。 2)怎么感染MBR 。 3)怎么分析MBR感染。 4)BIOS int 10 中断的应用。 5)怎么预防和修复MBR感染。1.什么是MBR(引用自百度知道) MBR,全称为Master Boot Record,即硬盘的主引导记录。 为了便于理解,一般将...转载 2018-03-30 14:30:41 · 606 阅读 · 0 评论 -
应用层下基于异常行为的未知勒索软件检测
近年勒索软件形式愈演愈烈,尤其是 WannaCry 让人印象深刻。近期 Badrabbit 又肆虐欧洲。目前云主机上的防护大多是云厂商自研的防护软件。企业内部终端安全防护,鉴于信息安全的需要,也不会直接使用个人PC上流行的防护软件。在这些防护软件上,对使用内核模块都保持着较为谨慎的态度。如果要做勒索软件检测模块并尽快上线,最好是提供能在应用层就直接实现的方式。同时,目前大家推崇的态势感知方案其实对转载 2017-11-03 11:46:10 · 545 阅读 · 0 评论 -
关于父进程和子进程的关系
原文地址:https://blog.youkuaiyun.com/l_f0rm4t3d/article/details/25567463表面上看,在windows中。如果是a进程创建了b进程,那么a进程就是b进程的父进程,反之,如果是b创建了a,那么b进程就是a的父进程,这是在windows出现以来一直是程序猿们都证实的,但是在在win Vista后面有了一个新安全消息机制,UAC(user accoun...转载 2019-03-25 14:34:06 · 5451 阅读 · 0 评论