维先生的博客

0x00 概要

最近看到一个PC版微信木马，会窃取电脑版微信的隐私信息。该木马主要分为2个部分，第一部分负责监控运行着的微信进程读取其中包含的微信id、用户名、手机号和数据库密钥，第二部分则负责解密用户的微信数据库以获取聊天信息和联系人信息。

0x01 读取微信密钥

查看全文 »

0x00 前言

最近又碰上一种需要提升权限到系统最高权限（System）的情况，于是想搬出以前从网上GET到的一种利用系统服务启动的路子来实现这个需求，然后发现在最新的Win10系统上有点不好使了，所以才有了本文一系列的学习记录。

0x01 概念解释

涉及Windows系统权限的话题其实可以展开很多来讲，本文重点是如何从正常用户拥有的管理员权限（Administrator）提升到拥有更高的SYSTEM用户的权限。

查看全文 »

本文已发表于“安全客”，转载请注明出处。

好久没分析漏洞了，趁着最近Flash 0day的热度再来玩一波。

0x1 提取内嵌swf

拿到的样本是个docx文档，解压后发现内嵌有一个activeX控件，根据控件的classid能够判断出是一个Flash动画相关：

查看全文 »

本文已发表于“安全客”，转载请注明出处。

0x1 前言

前些天从安全客上看到一篇翻译文章是关于利用PNG像素隐藏PE代码，对实现细节很感兴趣就抽空稍微研究了下相关内容，于是就有了本次分享。

查看全文 »

最近碰到一个木马样本，喜欢加强壳，其中一个壳是经常见到但没去脱过的“Enigma”壳，由于需要分析木马的代码流程，就选了这个壳玩玩，然后发现其中隐藏导入表的手法和去年看雪秋季CTF最后一题“九重妖塔”（@不问年少）有异曲同工之妙，特此记录下脱壳的过程。

查看全文 »