本篇是新手自己写的一点心得.建议新手看看.同时希望前辈多多指教.
写这篇的动机:在网上找了一上午的windbg配置符号教程.楞是没找到详细的,都讲的太模糊而且互相抄袭.不适合新手看.终于靠自己的努力弄懂了一点,呵呵写出来新手们分享.
Continue reading 安装与配置windbg的symbol(符号)
|
|||||
|
蜜罐?不多说了。现分享出一个工具,玩了就真正知道什么是蜜罐了。原文件是英文界面的,是个蜜罐系统,我都搞不明白,原文件居然被卡巴7.0,江民2007,瑞星2007查杀。故此简单的做了下免杀,上面所提到的三种杀毒软件也就给过掉了。感兴趣的自己下去玩吧,入侵者也是可以被诱捕的。 下载地址一 现在的软件保护越来越厉害,从早先的加压缩壳、加密,发展到加密壳,虚拟机保护,以及扭曲变换等一系列的混淆手段,使得逆向一个软件的难度越来越大。究其根本原因,是人类天生不适合处理复杂的程序,在看过《代码大全2》之后,我发现作者一直在强调好的程序架构实际是在努力降低程序在管理上的复杂度,一个程序在运行时,至少在三个方面发生着变化,一个是空间:寄存器,内存的值在不断的变化;一个是时间,程序的运行顺序随时间推移而变化;第三个是语义上的变化,到底一段程序干了什么?它的目的是什么?它的实现机制是什么?看一行行的反汇编出来的代码都是很难搞懂的,更何况还有加壳加密这样的混淆手段在作怪,一段程序的二进制代码,再加上哪怕最简单的花指令混淆,都大大增加了复杂度,使得人脑理解它的原理变成一个艰巨的任务。 很多HACKER朋友虽然知道很多入侵技巧,但是木马免杀却不懂的,这使的很多跨站挂马的朋友丢失了好多珍贵的可以入侵的计算机!很多朋友就问了:你是怎么做到免杀的呢? 我就告诉大家木马如何做到免杀!大家只要记好下面的四句免杀秘诀,按照下面的步骤来处理木马程序,我相信大家也能打造无敌的免杀木马! 1. ascii “http://huigezi”,0 2. ascii “BEI_ZHU”,0 ascii “software\Microso” ascii “ft\Windows\Curre” ascii “ntVersion\Setup”,0 ascii “software\Microso” ascii “ft\Windows\Curre” ascii “ntVersion\Run”,0 3. ascii “entVersion\Run”,0 4. ascii “Internet Explore” ascii “r\IEXPLORE.EXE”,0 5. ascii “http://”,0 6. ascii “Software\Borland” ascii “\Locales”,0 1.写注册表了,或者写启动目录了,这里的文件只要不是白名单,云查杀就干你 2.把文件下到windows/下面的目录了,这里的文件只要不是白名单就干你 一.准备知识 1.向堆栈中压入下一行程序的地址; 说起来360杀毒我感觉还是比较好过的,因为360的主动防御和一些体系都没有像瑞星卡巴那样的完整,我个人觉得360杀毒主要是治,而没有偏重“防”这个是360杀毒的一点失败,但是由360安全卫士很好的解决了。顺便提一下,一个朋友问我360安全卫士的主动怎么过,这个我看了,好像真的有点味道,直接用TASKKILL命令结束“ZhuDongFangYu”这个进程就OK。下面我说怎么过360的MYCCL定位死循环。 360貌似是对木马的查杀有怪癖,我目前没有发现很有效的设置MYCCL过360的方法。用的最多的就是把正向变成反向生成,对金山也有效果。下面说一下360. MYCCL的设置; 1.MYCCL过360主动防御以及设置信任。 2.生成用反向定位。 3.一般360是死循环是针对凤凰ABC,GHOST,好像还有上兴2008以前的版本,这三个把MYCCL的开始和结束设置为CODE段的就OK。 4.MYCCL进程改名 木马的设置: 1.ASCII字符串隐藏,效果非常有效! 2.图标的清晰度,这个好像不确定,审判者是这样的,用WIN的图片但是不清晰是杀的,解决办法就是替换一个相同规格的图标。 3.特定的大小,灰鸽子的大小一定是变的!360白痴的杀大小!(不确定因素) |
|||||
|
Copyright © 2010 魔兽爱好者联盟 - All Rights Reserved
|
|||||
最新评论