分类: 破解调试 |

不用api获取进程ID和线程ID

在网上看到的代码,在Ring3层获取PID和TID,很有意思,转过来:
______________________________________________________
PID:
    mov pid,fs:[0x20];
TID:

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 10675

彻底改掉进程名

写了个改进程名的东西,跟大家分享!技术含量不高,大牛飘过。

先总结一下,一个进程的名字有可能从以下部位获取(参考小伟同学的《伪造进程初探》一文):

一、EPROCESS中:

查看更多...

Tags: c语言 系统 代码 文件 windows

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 12507

无dll穿墙原理

穿墙概念不用说了,就是穿透防火墙。软件防火墙会监视进程对网络的使用情况,发现可疑软件使用网络时会提醒用户要是用户阻止的话,你的什么下载者什么远程控制就没用了。怎么穿墙呢,其实很简单,用一个已经获得用户允许使用网络的程序来进行网络连接。一般来说如果用户要上网就要用到浏览器,所以浏览器程序一般是被允许使用网络的。那怎么让浏览器来干我们想干的事呢,对,注入。一般注入是把要执行的代码放到dll里面然后把这个dll注入到远程地址中去执行,而今天要讨论的是无dll穿墙呀,难道不是注入。其实也是注入。只不过比dll注入来得更直接,直接把程序写到远程地址空间里去。

为了方便我们要写一个函数来做我们要在远程空间里做的事,比如说下载,比如说远控的服务端。
假设这个函数名字为download()

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 7678

关于pe中的入口点和跳转问题

       pe里面的入口点和跳转问题。在我一开始学习pe的时候曾经就被这两个问题困惑过,可能很多朋友在学习的过程中也会遇到,所以我想在这里把这两个问题说清楚一点。没什么技术含量大牛飘过啦。

大家知道pe的入口点是在IMAGE_FILE_HEADER里面AddressOfEntryPoint指定的。其实这个说得挺清楚的,是address而不是offset,当然指的是内存里面的地址。那为什么会搞错呢?因为我用vb和vc++分别编译了一个简单的程序李测试,这时候我发现只要入口点的内存地址-映像基址=文件中的偏移量(因为OD载入厚就停留在入口点的),所以我误以为AddressOfEntryPoint就是一个文件偏移值,结果在写一个文件感染的程序的时候就只能感染这两个文件,其他像windows计算器还有资源管理器都出错。于是我就开始摸索,发现计算器的入口点减去映像基址并不等于入口点在文件里面的偏移,所以程序根本跳转不到我想要的地方。那我就纳闷了,装载器怎么找到要执行的地方呢?后来我又看到内存里面的入口点地址-映像基址就=AddressOfEntryPoint,于是我就想是不是AddressOfEntryPoint指的就是这个。我把入口点的地址放到oc转化器里面转换得到文件中的偏移,这个地方的数据果然和内存里面的是一样的。

      所以结论就是:内存中程序开始执行的地址=映像基址+AddressOfEntryPoint,而在文件中偏移为AddressOfEntryPoint的地方不一定是程序的入口点数据。因为windows的pe文件是有对齐的,在很多时候文件对齐和内存对齐是不一样的,AddressOfEntryPoint要经过一定的转换才能得到offset。为什么上面用vb和vc++编译出来的程序刚好一样呢?因为这两个程序的文件对齐系数和内存对齐系数刚好是一样的,而且代码段刚好都在第一个节。

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 12116

Web服务器安全加固脚本 For Linux

自己并不是专门做Linux工作的,也只是兴趣而已。做安全检测工作的时候会遇到一些*nix的系统。
这个程序把一些常用的安全加固策略自动化了,又添加了防篡改、首页实时监控以及备份功能。
针对PHP做了防注入、防远程包含等措施,其实只是修改PHP.ini文件里的内容。
抽时间再添加一下Apache日志方面的功能。

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 7400

向PE头的缝隙中插入代码

      有些人感觉[b]pe[/b]文件很复杂,其实呢只要学懂了你就会觉得[b]pe[/b]还是很简单的。上次写过一个往pe的第一个节里面写代码的东西,其实跟这个差不多,换汤不换药。这个可能会更简单,HOHO,废话不说了,直接进入正题。

先说一下往pe头缝隙里面写代码的原理

我们这次说的是windows平台下的感染(姑且成为感染吧),pe文件有一个dos头,其实说实话是几乎没什么用,就是用来跳到真正的[b]pe[/b]头,里面的一部分代码是可以覆盖的。但是为了简单我们今天就不用这一部分空间了。其实还有一个更好的空隙就是解表到第一个节直接的空隙。大家都知道可执行文件在磁盘中是按照特定方式对齐的。比如文件对齐粒是1000的话,第一节开始的位置就是1000,应为所有[b]pe[/b]头加起来不可能超过1000,而且远小于这个值,约为250.所以还有一大片空间来写我们的代码。

查看更多...

Tags: pe

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 7731

理解Windows消息机制

Windows系统是一个消息驱动的OS,什么是消息呢?我很难说得清楚,也很难下一个定义(谁在嘘我),我下面从不同的几个方面讲解一下,希望大家看了后有一点了解。 
            1、消息的组成:一个消息由一个消息名称(UINT),和两个参数(WPARAM,LPARAM)。当用户进行了输入或是窗口的状态发生改变时系统都会发送消息到某一个窗口。例如当菜单转中之后会有WM_COMMAND消息发送,WPARAM的高字中(HIWORD(wParam))是命令的ID号,对菜单来讲就是菜单ID。当然用户也可以定义自己的消息名称,也可以利用自定义消息来发送通知和传送数据。 
            2、谁将收到消息:一个消息必须由一个窗口接收。在窗口的过程(WNDPROC)中可以对消息进行分析,对自己感兴趣的消息进行处理。例如你希望对菜单选择进行处理那么你可以定义对WM_COMMAND进行处理的代码,如果希望在窗口中进行图形输出就必须对WM_PAINT进行处理。 
            3、未处理的消息到那里去了:M$为窗口编写了默认的窗口过程,这个窗口过程将负责处理那些你不处理消息。正因为有了这个默认窗口过程我们才可以利用Windows的窗口进行开发而不必过多关注窗口各种消息的处理。例如窗口在被拖动时会有很多消息发送,而我们都可以不予理睬让系统自己去处理。 
            4、窗口句柄:说到消息就不能不说窗口句柄,系统通过窗口句柄来在整个系统中唯一标识一个窗口,发送一个消息时必须指定一个窗口句柄表明该消息由那个窗口接收。而每个窗口都会有自己的窗口过程,所以用户的输入就会被正确的处理。例如有两个窗口共用一个窗口过程代码,你在窗口一上按下鼠标时消息就会通过窗口一的句柄被发送到窗口一而不是窗口二。

查看更多...

Tags: windows 消息机制

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 6677

添加用户的汇编代码

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  .386
  .model flat, stdcall
  option casemap :none  ; case sensitive
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

查看更多...

Tags: 添加 用户 汇编

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 6256

OD教程


这篇[b]OD教程[/b]主要解决下面几个问题
一,什么是 [b]OllyDbg[/b]?

[b]OllyDbg[/b] 是一种具有可视化界面的 32 位汇编-分析调试器。它的特别之处在于可以在没有源代码时解决问题

查看更多...

Tags: OD教程

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 12517

pe文件中的资源

程序所用到的各种资源,比如 bmp,cursor,menu,对话框等都存在PE文件中。
    我们将详细介绍关于资源的各种结构,通过一个例子来说明资源及其相关结构是怎么放在PE文件中的。以及如何在遍历PE文件中的所有资源。我们只最终找到这些资源在文件中的位置和长度。而不具体分析某种资源的格式,比如有个BMP的资源,我们不分析BMP格式。 
一 找到资源在文件中位置。

    资源都放在PE文件的某个节中,该节的节表项中的PointerToRawData,就是资源节在文件中的位置。

查看更多...

Tags: pe 资源

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 6127

PE文件格式

(翻译:QduWg,原作LUEVELSMEYER)
说明:希望本文能够对初级入门CRACKER有一定帮助,翻译存在疏漏或者不准确,希望来信
指出。感谢您的指导!感谢看雪为我们提供这个交流平台,让我们技术与时俱进!!
前言:
PE("portable executable")文件格式是针对MS windows NT, windows 95 and
win32s的可执行二进制代码(DLLs and programs) 。在windows NT内, 驱动程序也是这个
格式。也可以用于对象文件和库。

查看更多...

Tags: pe 格式

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 7962

系统出现非法操作程序错误提示对策

首先当系统提示“非法操作”后不要马上选择关闭,而是应该先看一看它的详细资料,记下是哪些文件执行了“非法操作”,然后再关闭对话框,重启电脑,嫌麻烦不重启就直接打开刚才出错的程序,这样很容易导致多个相关文件接连被破坏,最严重时会使整个系统瘫痪。如果在重启后,运行该程序不再出现“非法操作”,那就说明这只是偶然发生的内存冲突,非常正常,大可不必放在心上。出现“非法操作”有以下多种原因。

一、软件问题

查看更多...

Tags: 系统 非法软件 硬件

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 6865

清除系统垃圾的批处理代码

教大家自己写个程序

这个程序是自动清理电脑里的垃圾而不会破坏系统 比很多软件都好哦

新建一个记事本并输入以下的内容:(复制蓝色内容就行)

@echo off

echo 正在清除系统垃圾文件,请稍等......

del /f /s /q %systemdrive%\*.tmp

查看更多...

Tags: bat 系统 垃圾 代码

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 6682

手动删除删不掉的文件

1.覆盖文件再删除。在硬盘的另外区域新建一个和待删文件同名的文件,然后剪切并覆盖待删文件,最后再删除该文件。

  2.请常用软件“兼职”删除。我们可以使用Winrar、FlashFXP、Nero、ACDSee来删除顽固文件,这种方法往往有奇效。使用方法非常简单,以FlashFXP为例,只需在本地目录中浏览到待删文件,对其执行删除操作即可。

  注意:使用Winrar来删除文件的方法跟其它软件不同,步骤如下:右键单击待删除文件或者文件夹,选择“添加到档案文件”菜单,在谈出窗口中勾选“存档后删除源文件”,单击“确定”,这样Winrar在创建压缩文件的同时,也会帮我们删除顽固的文件,我们只需要将创建的压缩文件删除即可。

查看更多...

Tags: 删除 删不掉 文件

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 6493

WinXP系统网络不能互访七大解决之道

相信很多人都有和笔者一样的经历,由WIN XP构成的网络所有设置和由WIN 2000构成的完全一样,但还是出现了根本不能访问的情况,笔者认为这主要是因为XP的安全设置和2000不一样所导致。针对这个问题笔者在网上查了一些资料,并将各种网上提供的常见解决方法做了相应测试,现在整理介绍给大家,希望能对遇到此问题的网友有所帮助,并请高手继续指点。部分内容摘自网络,请原谅不一一注明出处。

  首先,这里不考虑物理联接和其它问题,只谈及策略问题。此外,请安装相应的协议并正确

查看更多...

Tags: 网络 互访 winxp 网上邻居

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 6310

win2003 开机优化技巧两则

 一、自动登录系统 

  Windows Server 2003每次开机启动时要求同时按 “Ctrl+Alt+Del”三键,然后输入用户名和密码才能登录。对于个人用户,这样设置很麻烦。我们可以通过以下方法实现自动快速登录: 

  单击“开始→运行”输入regedit,打开注册表编辑器,依次展开“HKEY_LOCAL_MACHINE\

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 8134

设置win2003本地策略应用

概要 

  本文介绍了如何在工作组设置中基于Windows Server 2003 的计算机上将本地策略应用于除管理员以外的所有用户。 

  在工作组设置(而非域)中使用基于Windows Server 2003 的计算机时,可能需要在该计算机上实施本地策略,这些策略可应用于该计算机的所有用户,但不可应用于管理员。有了这一例外,管理员可以保留对计算机的无限制访问权和控制权,并且还可以限制可登录该计算机的用户。 

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 5932

各大搜索引擎入口

一搜网站登录http://www.yisou.com/search_submit.html?source=yisou_www_hp 
百度免费登录入口 http://www.baidu.com/search/url_submit.htm 
新浪免费登录入口 http://bizsite.sina.com.cn/newbizsite/docc/index-2jifu-09.htm 
搜狐免费登录入口 http://db.sohu.com/regurl/regform.asp?Step=REGFORM&class= 
免费搜索登录入口 http://www.7free.net/so/protocol.asp 

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 8743

怎样避免被搜索引擎视为作弊

一个网站要想成功注册,它起码应具备两个条件,一是网站本身要有较好的内容和设计,二是网站没有作弊行为。这里所谓的“作弊”,是指采用一些特殊的、有悖常规的网页设计手法,以期提高网站排名的行为。如何设计好网站,相关的资料很多,本文就不废话了。这里主要谈谈后者,即在提高网站排名的同时,如何避免被搜索引擎视为作弊而拒绝注册。 那么,在搜索引擎看来,哪些行为算作弊呢?这里罗列了一下,从中你可看到,现在有些人还视为“密技”的东西,其实已经过时了。 

堆砌页面关键字:为了增加某个词汇在网页上的出现频率,而故意重复它。这是有人常用的花招,不过,现在很多搜索引擎都能识破它。它们通过统计网页单词总数,判断某个单词出现的比例是否正常。一旦超过“内定标准”,就对你的网页说“ByeBye”了。 

放置隐形文本:所谓的“鬼页法”。为了增加关键字数量,网页中放一段与背景颜色相同的、包含密集关键字的文本,访客看不到,可搜索引擎却能找到,过去一度还真能提高网站排名,但现在,主要搜索引擎都能识别出来,照样玩不通了。 

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 5225

框架型网页的优化技巧

  从一开始,框架型网站对于即使是专业的搜索引擎优化也成了一个挑战。是否该用框架技术去设计一个新网页,也已成了大家争论不休的话题。在这篇文章中,我们为你提供了一些基本的优化技术,同时你也能够了解到:如何让一个使用框架的网页为主要搜索引擎正确索引及如何对其进行优化。 首先,让我们来看看使用框架设计的网站具有哪些好处。它的优越性体现在整个网页设计的整体性的保持及更新上。这也是为什么有相当多网站设计者都倾向于使用框架技术来进行网站的设计。尤其对于那些大型网站(至少500页以上的内容)而言,框架结构的使用可以使网站的维护变的相对容易。 
什么是框架型网页? 
  如果一个网页的左边导航菜单是固定的,而页面中间的信息可以上下移动,这一般就可以认为是一个框架型网页。此外,一些框架型站点的模板在其页面上方放置了公司的LOGO或图片。不过这一块也是位置固定的。而页面的其它部分则可以上下左右移动。有的框架型站点模板还会在其固定区域中放入链接或导航按钮。另外,在框架型网页中,深层页面的域名通常不会在URL中体现出来(这就意味着在浏览器的URL一栏中,不会显示你当前所看的深层页面,而是主页的URL)。 这种问题在一般结构的网站中是不存在的。 
  无论是在一些内容比较好的书籍里还是在网上,你都能看到很多关于搜索引擎优化方面的文章。在这些文章当中,基本上都认为网站用框架来设计是极不可取的。这是由于大多数的搜索引擎都无法识别网页中的框架,或者无法对框架中的内容进行遍历或搜索。 
  在这种情形下,又有人可能会告诉你使用框架的网站永远不可能为搜索引擎索引, 也不可能得到好的优化。这种论调对错参半。倘若框架使用得当,这种论调是站不住脚的。但对于框架的错误使用,或在网站设计时压根不考虑今天搜索引擎技术的方方面面,那么这句话又是有一定道理的。 

查看更多...

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 6023