夜火博客 个人的碎碎念收集箱

PPlive 0Day 网马曝光!

根据近期恶意网址检测的结果,发现有一部分网马利用最新的PPlive 0Day漏洞在传播,虽然目前数目还不多,但是相信很快就会成为网马的主力军,并与迅雷、百度搜霸、暴风影音、PPS等一路,加入今年应用软件网页木马的大潮中。该漏洞是由Bug Center Team(http://www.cnbct.org/index.php) 小组的Maple-x发现的,影响版本:为 pplive 1.8beat2 ,有问题的dll: MngModule.dll 1.7.0.2 ,在该模块中,有一个vsprintf的函数,程序只分配了400h(1024个字节)的大小,中间并没有进行过长度判断,当提交超过1024个A以后就会发生溢出了。因此可以基本判断为是由于vsprintf的字符串长度过长,从而导致的溢出。由此可见,在编写程序时,做好边界检查是多么的重要!该有漏洞溢出模块的CLSID:9F0F8700-A4D8-4E24-A3E0-1CA654CB5179另附上Exploit:

Windows下20个省力的特殊的执行命令[zz]

1. systeminfo:让XP列出更多有用信息 Windows XP 总是在炫耀它可以给稳定工作多么长的时间!要想详细地了解这一信息,你可以接入 Windows的“开始菜单”,再开启“附件菜单”中的“命令提示符”,然后在其中输入“systeminfo”这个命令。电脑就会给你显示出许多有用信息,其中包括了这个系统的初次安装时间,以及本次持续运行的时间。假如你想要保留这些信息,你可以输入“systeminfo >info.txt”,这将会创建一个名为“info.txt”文本文件,你可以稍后用Windows的记事本将其打开,进行查看。(仅限于Windows XP 专业版本) 2.gpedit.msc:设置直接删除文件................................

标签: 技巧Windows

作者:夜火 分类:技术文章 浏览:8240 评论:1

高级恶意软件技术新挑战——突破主动防御

文章作者:xyzreg
作者网站:http://www.xyzreg.net
信息来源:邪恶八进制信息安全团队(forum.eviloctal.com)

这是今年我在XCON2007(安全焦点信息安全技术峰会)所演讲的议题,现在提供ppt资料下载
议题介绍:

主动防御技术已被杀毒软件、软件防火墙、HIPS等安全软件广泛采用,现有的后门木马、Rootkit等恶意软件面临严峻考验。无论传统的恶意软件功能有多强大隐蔽性有多高,初次安装以及工作时都会被主动防御功能拦截并提示用户,使其无法正常安装和工作。本议题阐述了主动防御技术的应用现状和原理,并深入 Windows系统内核详细讲解突破主动防御的各种方法和思路。

下载地址: xcon2007_xyzreg.rar

彻底杜绝autorun.inf自动运行

  通过注册表编辑器与权限控制结合的办法,可以彻底杜绝双击盘符情况下的autorun.inf调用。  具体的办法如下:   1.开始——运行——regedit;   2.定位到  HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Explorer / MountPoints2

IIS5.1中碰到的8ffe2740和Server Application Error错误

        今天为了更好的学习《精通脚本黑客》和测试体验即将到来的z-blog1.8,在本地机装了IIS5.1,但是问题不断,在此总结下,为以后会碰到同样问题的朋友写写经验(怎么这话听着这么别扭,貌似我多高手是的,其实俺是菜鸟,汗一个先~)。

        我这台机器上装的是专业版的XP,IIS信息服务没有隐藏,免去了恢复显示的麻烦,勾选,安装,都比较顺利。可是安装完成后却访问不了http://localhost,在管理中看了下,默认站点没有启动,手动启动,提示错误:

IIS 无法启动 发生意外错误 8ffe2740

用baidu搜了下相关的内容,很多人说是80端口被占用了,有好几个人是被web迅雷给占了,但是我从来都不用web迅雷的,那玩意是适合普通用户的“低级”产品,我当然要用“专业级”的去广告的迅雷了,难不成这个也占用80端口?

标签: Windows技术类

作者:夜火 分类:技术文章 浏览:7398 评论:3

关于“IGM.EXE”病毒紧急公告及解决方案[zz]

夜火:最近的病毒很多,五花八门,无奇不有~在教程吧剑心'Blog看到其在研究IGM病毒,还是个穿还原的,解决不易,转来处理方法,给大家借鉴借鉴: 此病毒可以穿透市面上所有的还原软件。本人曾在虚拟机上安装最新冰点6.3 (单击版本)用病毒样本测试。。都被病毒成功穿透。。可见起危害性如此大。。发上本人的 处理办法。欢迎网友留言以及讨论。。。 在这病毒横行的年代,网络没有绝对的安全;因为总是先有“魔”后有“道”,安全一定是“适度的”。但是,我们并不能因此放任自流,维持“适度”安全离不开建立一套完整的管理和技术保障体系。

Windows自启动方式完全总结[zz]

职业欠钱&zj1244那看到的,转来做收藏之用,以后碰到了难缠的病毒木马等可以查查看~

一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
路径:C:Documents and SettingsOwner「开始」菜单程序启动

二. 第二自启动项目:

如何根据名称识别计算机病毒

        夜火:经过前2天的熊猫变种worm.nimaya.al事件后,就一直想写个判断病毒类型名称什么的文章,给那个中毒的朋友看看,让中毒的那个朋友学学这方面的知识,好自己亲手解决以后碰到的病毒。今天在中关村在线看到了相关的这篇文章,写的比我想的要全面多了,就转过来了,给那个中毒的朋友,和其他需要的朋友学习学习。

        很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么长一串的名字,我怎么知道是什么病毒啊?

  其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

  世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>

.......................

系统进程与非系统进程的描述

system process进程文件: [system process] or [system process]进程名称: Windows内存处理系统进程描述: Windows页面内存管理进程,拥有0级优先。是否为系统进程: 是 alg.exe进程文件: alg or alg.exe进程名称: 应用层网关服务描述: 这是一个应用层网关服务用于网络共享。是否为系统进程: 是

标签: 安全Windows

作者:夜火 分类:技术文章 浏览:3845 评论:0

信息安全职业生涯

作者:赵彦   转自:chinaunix信息安全版本文仅代表个人观点,并且笔者已经离开这个行业,所以文中观点难免出现不客观之处。此外,对于行业之内的从业,可以参考我写的《信息安全从业参考》 http://bbs.chinaunix.net/viewthread.php?tid=711737&extra=page%3D1 假设你是一个刚毕业的学生,无非有两种方式,top-down和down-top的方式,但无论如何,此时你都不可能站在一个很高的视角上,因为你缺乏知识和经验。 down-top从安全公司做技术开始,由网络安全逐渐向信息安全过渡,top-down从四大或咨询公司开始,一开始就走咨询的模式。但我想大多数都是从做技术开始的。

windows系统服务 超详细攻略

  对于我们经常使用的windows 2000/xp这里边有许多服务,那么这些服务都是干什么的呢?我们需要哪些?不需要哪些?在此我向大家做一个介绍……      Win32服务程序由3部分组成:服务应用程序,服务控制程序和服务控制管理器。其中服务控制管理器维护着注册表中的服务数据,服务控制程序则是控制服务应用程序的模块,是控制服务应用程序同服务管理器之间的桥梁。服务应用程序是服务程序的主体程序,他是一个或者多个服务的可执行代码。我们可以在控制面板--管理工具--服务中找到。可以修改他们的当前状态和启动方式,它的启动方式有三种:"自动"是之当计算机启动或者需要的时候就开启。"手动"是可以在命令提示符中通过"net start"命令打开和"net stop"命令关闭的,"已禁止"是指在改变启动方式前,不在启动。  在众多服务程序中他们很多是互相依存的,所以我们不能随便的便停止某项服务,否则很可能造成系统的非正常情况出现,但是有的服务对我们来说的确没有什么作用,而且还占据着我们宝贵的系统资源,其实有很多程序是我们用不到的,可以关闭,从而达到节省资源的目的。

标签: 技术类Windows

作者:夜火 分类:技术文章 浏览:4492 评论:0

网页恶意代码的防疫

  很多情况下好多朋友都被恶意代码烦透了吧,我在各个安全网站到处漫游,看能不能帮大家一把,终于让我找到了这个好文章,大家可以参详一下。不过我开拓进取在这里提醒一下大家,在修改注册表之前一定要备份喔~并且要看准键咯~~`删错了可就……   一、 修改注册表:   我想大部份网友都有过被恶意代码修改过注册表的经历吧,有一招简单的方法是可以永远免疫的, 就是在注册表中删除恶意代码会用到的一个id就可以了, 那就是F935DC22-1CF0-11D0-ADB9-00C04FD58A0B,只要把它删了,那你以后碰到恶意代码,就再也不用担心注册表会再被修改了,它在注册表里面的路径是HKEY_CLASSES_ROOTCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B} 找到后把整个项删掉就可以了,这个项删掉不会对系统有任何影响,请放心删除。(请注意不要删错了哦)