Langouster 's Blog(虾 窝) - 其它技术http://www.langouster.com/欢迎来到“虾 窝” - RainbowSoft Studio Z-Blog 2.0 bate Buildzh-CNCopyright langouster. Some Rights Reserved.   苏ICP备06046736号   Tue, 07 Sep 2010 15:58:12 +0800分析学习木马鬼影langouster@163.com (langouster)http://www.langouster.com/HTML/101.htmlFri, 19 Mar 2010 19:22:11 +0800http://www.langouster.com/HTML/101.html昨天分析了下鬼影的驱动文件atixx.sys,分析了大概8、9成,学到了一些东西。

1.从这个木马里看到了一条IDA不认识的指令,mov     eax,cr0它对应的机器码是0f20c0;

2.还有指令lock jmp,非常干扰IDA的分析;

3.另外返回使用jmp     dword ptr [esp-4]会对动态调试造成影响

4.驱动文件执行一段加密一段,干扰静态分析。

...

]]>其它技术http://www.langouster.com/HTML/101.html#commenthttp://www.langouster.com/http://www.langouster.com/feed.asp?cmt=101http://www.langouster.com/cmd.asp?act=tb&id=101&key=c3528ce1上次说的0day终于在User权限下溢出成功了langouster@163.com (langouster)http://www.langouster.com/HTML/99.htmlSun, 14 Mar 2010 22:04:27 +0800http://www.langouster.com/HTML/99.html2月16号我发布一篇《最近发现的一个windows溢出0day演示》,当时只是说理论存在非管理员权限下利用的可能性,因为当时只找到管理员权限下利用的方法。

这两天重新研究了下这个漏洞,终于在Win7下找到了非管理员权限下利用的方法,其它系统也能溢出,但有个security_cookie没能突破,不能做到执行指定shellcode。

利用此漏洞只要在Win7 User权限下执行一下一个小程序,就能导致内核溢出,然后执行内核shellcode,shellcode里Attach到system权限的进程,插apc,然后添加一个管理员权限的用户。

...]]>其它技术http://www.langouster.com/HTML/99.html#commenthttp://www.langouster.com/http://www.langouster.com/feed.asp?cmt=99http://www.langouster.com/cmd.asp?act=tb&id=99&key=947ef16fWindbg找应用程序内存泄露langouster@163.com (langouster)http://www.langouster.com/HTML/98.htmlThu, 11 Mar 2010 20:22:42 +0800http://www.langouster.com/HTML/98.html给自己做个记号


1.先运行Windbg安装目录下的gflags.exe,Image File,Image填exe名字,不要全路径,选上Create user mode stack trace database;

2.在Windbg中调试模式运行程序,在退出时显示:

e:\vs工程\tests\testsdlg.cpp(101) : {125} normal block at 0x003B9578, 100 bytes long.
...

]]>其它技术http://www.langouster.com/HTML/98.html#commenthttp://www.langouster.com/http://www.langouster.com/feed.asp?cmt=98http://www.langouster.com/cmd.asp?act=tb&id=98&key=4cff05fa最近发现的一个windows溢出0day演示langouster@163.com (langouster)http://www.langouster.com/HTML/96.htmlSat, 06 Feb 2010 13:48:42 +0800http://www.langouster.com/HTML/96.html1.此漏洞为Windows某处设计缺陷引起,应该是早期Windows遗留下来的问题,具体细节就不说了

2.受此漏洞影响的代码不少,有Microsoft的也有第三方的;
漏洞可能引发的后果可能是堆溢出或栈溢出,目前发现的全为栈溢出;
受此漏洞影响的代码可能是Ring3的也可能是Ring0的,溢出成功后得到的权限也有差别;
此漏洞的利用权限本身没有要求,但我目前只找到可以在管理员权限下触发的方法.

3.用途:Ring3程序进入Ring0、加载驱动、过主防等。

]]>其它技术http://www.langouster.com/HTML/96.html#commenthttp://www.langouster.com/http://www.langouster.com/feed.asp?cmt=96http://www.langouster.com/cmd.asp?act=tb&id=96&key=9a230072正规软件带rootkit模块后果很严重langouster@163.com (langouster)http://www.langouster.com/HTML/95.htmlThu, 28 Jan 2010 21:11:38 +0800http://www.langouster.com/HTML/95.html一不小心从某软件里看到一个强大的dll与强大的sys,直接上图看dll的导出函数:

看到了吗,可以直接调一下就隐藏进程。

由于这个软件的使用范围还非常的广,所有这两个文件基本已被杀软白名单放过,上传到virustotal上看看:

sys文件:     结果: 1/41 (2.44%)

...

]]>其它技术http://www.langouster.com/HTML/95.html#commenthttp://www.langouster.com/http://www.langouster.com/feed.asp?cmt=95http://www.langouster.com/cmd.asp?act=tb&id=95&key=444a4765发一个Maxthon执行本地html漏洞langouster@163.com (langouster)http://www.langouster.com/HTML/89.htmlWed, 14 Oct 2009 19:55:40 +0800http://www.langouster.com/HTML/89.htmlmaxthon的插件功能里存在一个漏洞,使得打开本地html时可能执行任意代码。

例子中是一个自动下载示例程序并运行的例子。示例程序没有危害,只弹对话框。

本地打开下载运行.rar

]]>其它技术http://www.langouster.com/HTML/89.html#commenthttp://www.langouster.com/http://www.langouster.com/feed.asp?cmt=89http://www.langouster.com/cmd.asp?act=tb&id=89&key=223c16d3安全新领域-数字电视langouster@163.com (langouster)http://www.langouster.com/HTML/88.htmlMon, 10 Aug 2009 22:53:22 +0800http://www.langouster.com/HTML/88.html数字电视具有双向通信的特点,不少地方利用这一特点开发了代收水电气费、座机电话费、手机电话费等业务,用户选择进入缴费栏目后输入账号密码即可,由此可能暴露出一个安全问题,通信链路中如果存在监听者乍办,如果数字电视服务商出现内鬼或被黑怎么办?攻击者可以监听用户的上行数据,从中发现敏感信息。我没研究过通信过程是否加密,以及加密的算法等,无聊猜测而已。

今天跟同事聊起时,同事还提到一个更加好玩的想法,劫持播放内容,在播放内容中插播广告,以此盈利。

]]>其它技术http://www.langouster.com/HTML/88.html#commenthttp://www.langouster.com/http://www.langouster.com/feed.asp?cmt=88http://www.langouster.com/cmd.asp?act=tb&id=88&key=ac456ae6Word溢出Shellcode分析langouster@163.com (langouster)http://www.langouster.com/HTML/87.htmlSun, 09 Aug 2009 22:10:03 +0800http://www.langouster.com/HTML/87.html前段时间从朋友处拿到一个Word的溢出样本,看了下,应该是很老的漏洞洞了,Office2003不开补丁有效,打了SP补丁就无效,本时我对这方面研究的不太多,就分析分析当学习。

这里不进溢出的原因、构造什么的,只分析它的Shellcode,它的Shellcode也是有两段的,重点功能在第二段上,里面用到了不少不错的想法,它有以下特点:

1。在Kernel32 模块中查找API用了HASH法,方便并可缩小shellcode体积。

2。里面有一段根据文件大小获得文件句柄的算法很巧妙。

...

]]>其它技术http://www.langouster.com/HTML/87.html#commenthttp://www.langouster.com/http://www.langouster.com/feed.asp?cmt=87http://www.langouster.com/cmd.asp?act=tb&id=87&key=8cff1dbfMicrosoft DirectShow MPEG2TuneRequest Stack Overflow Exploitlangouster@163.com (langouster)http://www.langouster.com/HTML/78.htmlMon, 06 Jul 2009 09:11:51 +0800http://www.langouster.com/HTML/78.htmlMicrosoft DirectShow存在可被远程利用的堆栈溢出漏洞。

关键代码如下:
]]>其它技术http://www.langouster.com/HTML/78.html#commenthttp://www.langouster.com/http://www.langouster.com/feed.asp?cmt=78http://www.langouster.com/cmd.asp?act=tb&id=78&key=264342a1使用BackTrack3破解WEP实战langouster@163.com (langouster)http://www.langouster.com/HTML/74.htmlSun, 01 Mar 2009 21:22:14 +0800http://www.langouster.com/HTML/74.html破解是要无线网卡支持的,并不是每款无线网卡都支持破解,我的T61就不支持,我在taobao上买了一个USB网卡(不说型号了,免的被认为枪手)。用了后信号大增,原来只能搜到不到5个网络,而且网络都是低,现在在10个以上,而且信号都在60%以上。

下载BackTrack3破解光盘http://www.gougou.com/search?search=BackTrack3&restype=-1&id=10000002&ty=0&pattern=0,安装虚拟机。新建一个虚拟机,操作系统选择"other linux 2.6.x kernel",修改虚拟机的属性,将光盘设置成iso的路径:

...

]]>其它技术http://www.langouster.com/HTML/74.html#commenthttp://www.langouster.com/http://www.langouster.com/feed.asp?cmt=74http://www.langouster.com/cmd.asp?act=tb&id=74&key=ea4e581d