最近分析一款“特殊”的棋牌游戏,发现其payload是一款收集用户隐私信息的插件,比较好奇该木马收集的哪些用户信息以及具体的实现方式,特此记录。
第一部分主要实现其获取用户MAC地址和一些隐私文档信息的方法,具体如下:
一月 23, 2017
一月 13, 2017
本文已发表于“安全客”,转载请注明出处。
原文地址:https://cranklin.wordpress.com/2016/12/26/how-to-create-a-virus-using-the-assembly-language/ ,@crankerson感谢分享!
病毒编写的艺术似乎丢失了似的。我们不要将恶意软件,特洛伊木马,蠕虫等等混淆成病毒。你可以使用任何友好的脚本语言去编写那些垃圾程序并且拍着自己的后背嘚瑟一下,但这并不能让你成为一个病毒作者。编写计算机病毒并不一定就是你所看到的关于破坏,还得要看你的病毒可以传播多广泛同时避免被检测,也得要比杀毒软件公司更为聪明。这事关创新和创造力。
十二月 23, 2016
本文已发表于“安全客”,转载请注明出处。
某天,在测试一张新数据表的字段时,由于在phpmyadmin不断地删除该数据表,导致一时不慎将整个数据库drop掉,当时立马就吓尿了,那是我们运营了一年的宝贵数据,突然就全没了,虽然还有两个月前的一次备份数据,但中间改动的很多新结构以及产生的新数据都没法恢复。情急之下,立刻关掉数据库服务器,在网上寻找各种不靠谱的硬盘数据恢复软件,试图通过恢复mysql相关的数据库文件来找回,但是都没有效果,只能找到一些数据表的结构文件(.frm),然而这些结构我其实都有备份,没什么卵用。由于之前网上看过通过mysql相关文件可以从不同机器恢复数据,坚信恢复数据是可能的,所以不断寻求方法。后来,先找了认识的一个研发同事帮忙,他告我他都是用的别人管理的数据库服务,会自动备份,不需要自己维护数据库,并且告诉我恢复不了;然后他又帮我找到了另一个DBA同事,来到了现场帮我看,看我没有开启mysql的binlog配置,又给了我一个结论:没办法恢复了!当时我就真慌了,于是带着压力和微弱的信念,最终找到了可行的恢复方案,特此记录。
十二月 6, 2016
本文已发表于“安全客”,转载请注明出处。
这一期的漏洞分享给大家带来的是CVE-2015-1641的学习总结,这个漏洞因其较好的通用性和稳定性号称有取代CVE-2012-0158的趋势。该漏洞是个类型混淆类漏洞,通过它可以实现任意地址写内存数据,然后根据漏洞的特点,再结合一些典型的利用手法可以达到任意代码执行。
漏洞原理
这个漏洞的常见样本是rtf文档格式的文件,这点和下文的漏洞利用有关,主要原因是rtf方便构造利用组件(当然这并不绝对)。然而,漏洞的原理其实和rtf文档格式无关,而是与office的open xml文档格式的实现有关。这种文档格式常见的word文档拓展名就是docx,实际上是一个使用open xml组织文档内部资源后的zip压缩包。
十月 1, 2016
本文已发表于“安全客”,转载请注明出处。
在上一期的office漏洞分享中,介绍了传奇漏洞cve-2013-3906的技术框架,其中涵盖了不少溢出类漏洞的经典。这一期给大家带来的分享是CVE-2014-1761,这个漏洞严格的说来主要影响的是office套件中的word程序,不像前面两期的漏洞可以在office套件中的多种程序里利用。当然每个漏洞都有自己的特色,只要运用得当,每个漏洞终会出彩。下面本人还是遵循老套路,讲完原理谈利用,最后再给大家演示一下如何编写此漏洞的木马程序捆绑器(通过逆向一个生成器)。
漏洞原理
这次的漏洞发生在WWLIB.DLL这个动态库里面,从其版本信息也能看出它主要是服务于word程序的。事实上,这个漏洞是由于word程序在解析rtf这类文档格式的文件时发生的溢出,而word程序提供对rtf这类文档的支持正是通过WWLIB.DLL这个解析库来实现的。