夜火博客 个人的碎碎念收集箱

shift后门加密版制作及不死3389帐号建立

前段时间去一个流量过百万的站的服务器上参观,朋友加了一个shift后门并称该后门是很久以前他公布的,具体情况我也没多问,回来后自己也做了一个加密码的shift后门.利用winrar加密的.很简单,火力群里一个小弟弟问我怎么做的,叫我写个说明,那么我就简单介绍一下制作过程-Amxking

 1.我们首先建立一个名为win.rar的压缩包,及一个批处理命令名为AK.bat的文件.

 2.再把这个批处理文件AK.bat加到win.rar压缩包内加密.在高级选项里设置密码如:!@#$%^&

一种奇特的挂马方式[zz]

奇特的挂马方式

我写这文章并不是教大家怎么跑去挂马啊,挂马是不对的!不过有的时候真的很想做些让人觉得痛快的事情,因为我就碰到很多的管理员,你跟他说服务器有问题吧!他不信,你改些东西警告他吧,他比你还勤快,你一改他马上覆盖回去,让人真的很郁闷。还有在国外的一些机器上,什么权限都拿到了也不知道他怎么弄的,什么都不让写,好不容易写个文件没一会又改回去了,真的让人很!#$%%#%^#%^,据说就有一种软件能监视重要的文件,一旦发现更改就会给恢复过去,譬如他监视web目录的话我们就不能更改他网站的任何内容了。不过,看了很多大虾的文章,自己也略微研究了下,也总算琢磨点东西出来,不用写任何文件就可以实现将别人的页面涂改和大家经常传说的挂马等等后果,这里就给大家介绍下,那些只知道勤快的管理员也要小心了!

入门术语简介

加壳 : 表示程序的 exe 被一层外壳保护,这层外壳是一些软件保护公司 (或一些高*) 设计出来的,可以把 exe包裹起来,在 exe 执行时提供保护,对抗破解者

爆破 : 意思是透过修改程序,来达到破解目的,主要方法包括,修改重要跳转指令 (jmp, jz, jzn, 等等)

花指令 : (junk code) 意思是程序中有一些指令,由设计者特别构思,希望使反汇编的时候出错,让破解者无法清楚正确地反汇编程序的内容,迷失方向。经典的是一些跳转指令,目标位置是另一条指令的中间,这样在反汇编的时候便会出现混乱。花指令有可能利用各种 jmp, call, ret, 一些堆栈技巧,位置运算,等等

SMC : (self-modifying code) 意思是自我修改的代码,使程序在运行时自我修改,用途包括:
- 使一些重要的跳转位置爆破无效化 (以 smc 对重要位置进行覆写)
- 使一些重要代码隐藏 (在必要时才实时产生重要代码段,防止程序被人静态分析,也防止一些透过搜寻的破解方法)

标签: 技术类

作者:夜火 分类:技术文章 浏览:2376 评论:2

社会工程学在黑客中的应用:一个密码引发的“血案”

夜火:在cn_判官那看到的文章,让我们见识到了社会工程学(简称“社工”)不仅仅是破解密码有用,社会工程学真正应用起来是非常的恐怖的,就如下面的文章,看完之后会有点后背发凉的感觉。BTW:这是0712期黑客X档案里的文章,这期里也有我发的一篇文章,不过没什么技术含量就是~,纯粹是windows应用的小技巧,我要说的是:我12期的样刊还没拿到手!!!今天都1月3号了,我的样刊。。。。。。都该买第0801期了~,联系sagi竟然不甩我,汗~。好了,废话唠叨完了,看文章,虽然比较长,但是看完的话能学到不少东西,如果想见识更多社会工程学应用的话,建议看看本blog收集到的欺骗的艺术》[完整中文版][DOC][PDF],凯文米特尼克写的哦

信息来源:邪恶八进制信息安全团队(www.eviloctal.com
文章作者:fhod
说明:文章已发表于黑客X档案2007年第12期,转载请注明出处!

CMD下的网络安全配置[zz]

自带的关于网络的命令行工具很多,比如大家熟悉的ping,tracert,ipconfig,telnet,ftp,tftp,netstat,还有不太熟悉的nbtstat,pathping,nslookup,finger,route,netsh......这些命令又可分成三类:网络检测(如ping)、网络连接(如telnet)和网络配置(如netsh)。前面两种相对简单,本文只介绍两个网络配置工具。

一行代码解决iframe挂马(服务器端注入、客户端ARP注入等)

一行代码解决iframe挂马(包含服务器端注入、客户端ARP注入等)本文原创:linr@cncert.net 请转载时保留版权信息相信大多数朋友都是iframe木马的受害者,有朋友的网站被注入了N回iframe,心情可想而知。而且现在ARP攻击,注入iframe也是轻而易举的事,仅局域网里都时刻面临威胁,哎,什么世道。灵儿曾经在经典论坛上发过贴子:《一行代码解决网站防挂IFRAME木马方案》http://bbs.blueidea.com/thread-2785512-1-1.html ,有不少朋友都联系了灵儿,有的表示感谢,不过更多的是疑问了,今天把原理细细地讲一下吧:

简单讲解网络安全与安全设置[zz]

转自。。。。。。。。(夜火:不知道写哪个了~见下~)

 文章转载请注名出处
作者 dxainx slinux redhatd 晚上小飞贼 
都是一个人~~

标签: 技术类安全

作者:夜火 分类:技术文章 浏览:3098 评论:0

Svchost.exe进程之谜

  svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。     大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。

如何杜绝iframe挂马

来源:Secker's BLog因为FF(Firefox)不怕IFRAME,于是就拿IE开刀,不知道比尔有没有奖发。我只写了一句代码,就搞定了,哈,痛快。就是IE only(特有的)的CSS中的属性e-xpression,插进去试试,果然那些IFRAME不起作用了。代码如下:.............................

标签: 安全技术类

作者:夜火 分类:技术文章 浏览:867 评论:0

穿透还原的工作原理分析(逆向工程)--机器狗

本来是在龙组论坛上看到了这个名为机器狗的病毒,但是因为是江民的病毒报告,明显的公式化,所以并没多关注,但是刚刚在鬼仔的blog上看到了相关的分析,就转来了

鬼仔注:文章末尾所添加的机器狗、IGM、写穿还原的工具(已可以被卡巴检测到是病毒)是在无敌小龙那里看到的,我加了个备用地址。
样本脱壳
OD加载样本explorer.exe,。.......................

Discuz! 6.0.0 0Day漏洞

// 允许程序在 register_globals = off 的环境下工作$onoff = (function_exists('ini_get')) ? ini_get('register_globals') : get_cfg_var('register_globals');if ($onoff != 1) {@extract($_POST, EXTR_SKIP);@extract($_GET, EXTR_SKIP);}$self = $_SERVER['PHP_SELF'];$dis_func = get_cfg_var("disable_functions");