存档

‘Windows开发’ 分类的存档

在签名的程序中隐藏和执行恶意软件?

2016年10月16日 3 条评论

在Blackhat USA 2016上,来自Deep Instinct的安全研究人员呈现了一个名为《Certificate Bypass: Hiding and Executing Malware from a Digitally Signed Executable》的演讲,咋一看还觉得挺惊奇的,听过演讲之后才发现原理十分简单,而且大部分内容都集中在内存加载PE文件上,于是忍不住又是一阵惊奇:这也可以?在仔细读完作者的Paper之后,发现和传统技术点还是有区别的,不过也有很大的限制。
早期的恶意[......]

继续阅读

深入解析DLL劫持漏洞

2016年3月3日 11 条评论

0×00. 导读
DLL劫持是一种古老的技术了,本文是《CVE-2016-0041 Windows 10 PhoneInfo.dll Hijacking Vulnerability》的延伸,介绍了DLL劫持的漏洞原理、漏洞挖掘方法、漏洞利用场景等,同时引入了HaifeiLi关于Chrome/Edge自动下载漏洞的介绍,以及最新版本Edge对DLL注入的缓解措施。本文已在外部发表于乌云知识库,特别感谢tombkeeper在行文思路上的建议。
0×01. DLL劫持漏洞介绍
1.1 漏洞简[......]

继续阅读

CVE-2016-0041 Windows 10 PhoneInfo.dll Hijacking Vulnerability

2016年2月18日 1 条评论

微软在2016年2月份发布的补丁中补掉了一个DLL劫持漏洞,该漏洞是MS16-014漏洞之一,CVE编号为CVE-2016-0041。在2015年12月份我注意到了这个漏洞的存在,但是并没有报告给微软,因为我没有给微软报告过漏洞……当时候特地去搜了一下关于phoneinfo.dll的信息,发现只有TK(@tombkeeper)在2015年的CanSecWest安全会议上的一个议题中(Sexrets of LoadLibrary)有提及。
0×01. 漏洞发现
当时候我在Windows 10下监控[......]

继续阅读

也来谈谈沙箱逃逸技术

2015年6月22日 2 条评论

今天在微博上看到有大神发表了关于沙箱逃逸技术的文章针对沙箱检测的逃逸技术小讨论,让我想起来我也还有几个有意思的小技巧,所以也来凑个热闹。需要声明的一点是,本文将要讨论的问题是我很久之前所做的总结,当前是否有效我没有去验证,所以,如果你实际测试的时候发现方法失效了,也请保持冷静!
0×01. 进程检测技巧
许多文章都会提到通过检测进程名字的方式来判断当前环境是否是虚拟机,那么自然要去比较进程名字了,而获取当前进程列表也无外乎几个固定的套路。我发现在检测特定进程名字的时候,是会触发火眼的监[......]

继续阅读

SYSTEM权限引发的系列问题

2014年4月20日 8 条评论

Windows下的服务程序(S程序)都是以SYSTEM权限启动的,通过服务程序启动的程序(N程序)自然也会是SYSTEM权限的,而如果开发N的时候没有考虑到SYSTEM权限这种情况,那么有可能N就无法正常的运行于SYSTEM权限下。
场景:客户需要在服务下运行我的程序,在这样的情况下我的程序崩溃了:(为了方便调试,我给程序添加了崩溃转储功能,把DUMP文件拿回来之后用Windbg调试了一下,发现是由于在SYSTEM权限下通过环境变量获取的一些内容发生变化了,通过部分Windows API获取的内[......]

继续阅读

0ops CTF/0CTF writeup

2014年3月4日 18 条评论

0×00 0CTF
『第一届0ops信息安全技术挑战赛,即0ops Capture The Flag,以下简称0CTF。 0CTF由上海交通大学网络信息中心和上海市信息安全行业协会指导,由上海交通大学信息网络安全协会承办,是2014信息安全技能竞赛校园赛首站。0CTF注册与参赛地址为http://ctf.0ops.net。 比赛时间为北京时间2014年3月1日至2日,每天7时至23时,共32小时。』
看官方微博,这个比赛本来是面向上交校内的,就是校外可以做题但是不发奖,后来也给校外发奖[......]

继续阅读

分类: CTF, 逆向调试 标签: , , ,

CreateProcess的命令行参数

2013年12月14日 1 条评论

最近使用CreateProcess创建rundll32.exe进程,发现并没有正常加载DLL,后来才发现是命令行参数传错了,CreateProcess并不是我想象的那样,网上找了一下,发现还有许多东西不是想的那么简单。下面的文字翻译自《INFO: Understanding CreateProcess and Command-line Arguments》
创建32位进程时CreateProcess的行为
案例1
如果传递了ApplicationName参数,且CommandLine参数是NUL[......]

继续阅读

[HDUSEC CTF]逆向分析彩蛋 Crack Hide

2013年11月26日 没有评论

这是HDUSEC CTF决赛的一道逆向题,最开始是不可见的,后来才公布。运行程序后需要在编辑框输入一个key,然后就是点击按钮了,界面很简陋,没有多看就用IDA分析了。
首先需要找到WinMain函数,这个不多说了。发现这是通过调用DialogBoxParam创建的对话框,那么可以去看窗口过程函数,稍微看一下发现字符串都是加密的,这个跟踪一下发现是通过XOR加密了(0×23),分析一下按钮点击的逻辑为:先获取用户的输入,然后经过3个函数的处理分别设置3个flag,只有都通过的时候才会弹[......]

继续阅读

[HDUSEC CTF]逆向分析Final

2013年11月12日 16 条评论

这是杭州电子科技大学信息安全竞赛(HDUSEC CTF)一个比较坑爹的题目,运行程序之后电脑就自动关了,如果直接在真机测试,那丢点数据也在所难免了,呵呵~ (注:本文是在比赛结束后发的
这个时候,你很可能拿起你的OD准备动手了,可是当你刚载入OD的那一瞬间,屏幕又黑了,看了看主机箱,擦,灯灭了,电脑有关了,这尼玛不是坑爹么!
别哭,开机继续搞!把程序载入PEiD,看,有TLS呢!当然啦,大概就猜TLS里面有坑爹的代码。这个TLS可以看也可以不看的,但是出于好奇心,我还是忍不住看了下。那还是用I[......]

继续阅读

CMD批处理执行多个命令

2013年10月12日 4 条评论

项目中需要通过cmd执行一串命令,这个命令中会执行多个程序,且要求顺序执行,最开始使用的是&&连接多个命令:
taskkill /f /pid 1234 && 命令2 && 命令3
发现taskkill执行之后就不执行了,目标进程确实被杀掉了,但就是不知道为何就不执行了。网上的解释是使用&&连接的命令,如果前面的执行失败,那么后面的也就不会执行了。当然我没办法弄清楚这里taskkill是否真的成功了,虽然效果确实达到[......]

继续阅读

分类: Windows开发 标签: ,