文章属性:转载文章来源:www.xici.net/main.asp文章提交:wzfish (wzfish_at_21cn.com)本帖版权归原作者,其它媒体或网站转载请与e龙西祠胡同[http://www.xici.net]或原作者联系,并注明出处。 作者: antghazi 发表日期: 2001-12-14 17:48:53 返回《黑客也是侠》 快速返回如何修改可执行文件的图标作者:AntGhazi/2001.12.14 主页:antghazi.yeah.net在网上有很多关于PE文件格式的说明,讲得最多莫过于IMAGE_DOS_HEADER、IMAGE_NT_HEADERS、IMA...
面对众多的计算机高手,考虑许久,终于还是决定出来献丑一下,文章内尽量使用最简 洁易懂的词汇及例子来介绍,希望能够对一些初学与进阶者有所帮助。 关于进程的隐藏,98下的例子数不胜数。WinNT/Win2K下的隐藏方法,西祠的高手s hotgun在去年的6月就已经在网上发布出实例《揭开木马的神秘面纱<四>》 ,我也多次 拜读他的文章,对他的计算机水平及热心帮助朋友的作风十分敬佩。这里也可算是对sh otgun的文章的补充与深入介绍吧,好了,闲话少说。 在WinNT下真正隐藏进程这一说法,可以讲是根本不可能实现,只要我们的程序是以进 程内核的形式运行,都是不可能逃离CTRL+ALT+DEL的法...
先讲一下思路:需要三个进程A,B,C;两个DLL。 初始进程A,用于在进程B中创建远程线程,创建成功立即退出,不会留给任务管理器任何捕捉它的机会(你根本来不及观察)。 进程B作为远程线程的寄主,选择的时候应该是那些系统中必须执行的进程,比如EXPLORER.EXE。其中的远程线程用于监视目标进程。 进程C为目标进程在这里也就是QQ.EXE。 第一个DLL(InspectQQLandDlg.dll),远程线程的载体。 第二个DLL(MyHook.dll),全局钩子函数的载体。 现在要做是利用进程A把InspectQQLandDlg.dll映射到进程B,同时启动该DLL中的远程线程,再利用该...
InternalGetWindowText函数为我们提供了获取Windows NT/2000系统中窗口标题的最快速的方法。它位于User32.dll。这个函数的功能类似于 GetWindowText,但是比GetWindowText快多了,因为它使用INT 2E 中断。InternalGetWindowText 是一个未公开的函数,它只能在Windows NT/2000 系统中使用,Windows 95/98系统中虽然也有这个函数,但只是摆摆样子而已,每次调用都返回错误代码 ERROR_CALL_NOT_IMPLEMENTED。
// fastgetwndtext.cpp (W...
来源: ChinaUnix博客 作者: ChinaUnix博客 发布时间:2008-01-01 21:40:00 volatile关键字是一种类型修饰符,用他声明的类型变量表示能被某些编译器未知的因素更改,比如:操作系统、硬件或其他线程等。遇见这个关键字声明的变量,编译器对访问该变量的代码就不再进行优化,从而能提供对特别地址的稳定访问。 使用该关键字的例子如下: int volatile nVint; 当需求使用volatile声明的变量的值的时候,系统总是重新从他所在的内存读取数据,即使他前面的指令刚刚从该处读取过数据。而且读取的数据即时被保存。例如:vola...
以往大多数的木马/后门都是通过修改系统ini文件(比如Win.ini,System.ini)或修改注册表的RUN值来实现自启动的,更有更简单的是修改Autobat.exe(老大,地球不适合你,你还是回火星吧),但随着网络用户安全意识的提高,连我家旁边卖茶叶蛋的大妈都知道怎么对付这些老方法了。为了适应新时代木马后门技术的发展需求,一种利用视窗系统 NT/2000/XP系统服务的后门产生了,目前的WinShell,WinEggDrop等众人皆知的Telnte扩展后门都利用了这种方式。相信非常多小菜们对这种后门技术并不了解,所以,我在这里就充个大头,给大家传授教业解解惑吧(受害MM目光呆滞,一...
以往大多数的木马/后门都是通过修改系统ini文件(比如Win.ini,System.ini)或修改注册表的RUN值来实现自启动的,还有更简单的是修改Autobat.exe(老大,地球不适合你,你还是回火星吧),但随着网络用户安全意识的提高,连我家旁边卖茶叶蛋的大妈都知道如何对付这些老方法了。为了适应新时代木马后门技术的发展要求,一种利用Windows NT/2000/XP系统服务的后门产生了,现在的WinShell,WinEggDrop等众人皆知的Telnte扩展后门都利用了这种方式。相信很多小菜们对这种后门技术并不了解,所以,我在这里就充个大头,给大家传授教业解解惑吧。
前置原理 ...
要实现代码如下///////////////////////////////////////////////////////////////////////////////////// typedef struct TagHost { CString host; CString user; CString pass; CString filename; CString Lo ...
要实现代码如下///////////////////////////////////////////////////////////////////////////////////// typede...
转
似水流年论坛
#include<winsock2.h>#pragma comment(lib,"ws2_32.lib")#include<windows.h>#include <Shlwapi.h>#pragma comment(lib,"Shlwapi.lib")#include <tlhelp32.h>#include <stdio.h>#include <string.h>//参数结构 ; typedef struct _RemotePara{ DWORD dwLoadLibrary; DWORD dwFreeLibrary; DWORD dwGetPr...
远程控制中,有一个重要的部份就是如何实现远程关机,如在各种黑客入侵中,我们到处可以见到木马的身影,木马它作为一种远程控制软件,它一般是实现了远程关机功能的。如我国大名鼎鼎的木马“冰河”等,都是有这个功能的,只是它是各种功能的集合罢了,今天我们就来看看这个重要的关机部分是如何编程实现的,在这里我就用眼下流行的VC6.0来编写,同时用VC也大大减少了我们的一些设计工作,让我们的菜鸟也来动手写一下自己的入侵工具。 在木马中,我们是采用的让客户端Socket给服务端的Socket发送相关的指令,同时当服务端收到相应的指令后,就执行相对应的操作指令,这些操作当然是在服务端的计算机上所进行的。而...
来源:互联网
DLL在程序编制中可作出巨大贡献,它提供了具共性代码的复用能力。但是,正如一门高深的武学,若被掌握在正义之侠的手上,便可助其仗义江湖;但若被掌握在邪恶之徒的手上,则必然在江湖上掀起腥风血雨。DLL正是一种这样的武学。DLL一旦染上了魔性,就不再是正常的DLL程序,而是DLL木马,一种恶贯满盈的病毒,令特洛伊一夜之间国破家亡。?DLL木马的原理 DLL木马的实现原理是编程者在DLL中包含木马程序代码,随后在目标主机中选择特定目标进程,以某种方式强行指定该进程调用包含木马程序的DLL,最终达到侵袭目标系统的目的。 正是DLL程序自身的特点决定了以这种形式加载木马不仅可...
来源:黑白网络 作者: 日期:2008-04-28
对系统服务的管理几乎是目前的木马必不可少的功能,比如神气儿、上兴远程控制等,都提供了此项服务。要是我们能给自己编写的木马也加上这个功能,看着也不赖哦。好啦,废话不多说,下面开始干活! 取得配置权限
在对服务进行管理设置前,我们需要以相应的权限打开服务,本文通过下面的两个API来实现操作。
SC_HANDLE OpenSCManager(
LPCTSTR lpMachineName,
// pointer to machine name string
LPCTSTR lpDatabaseName,
// ...
实现思路
来源:黑白网络 作者: 日期:2008-05-12 这类程序的典型代表就是木马的服务端了,我们想要达到目得,会有这样的想法:程序运行时先检查有没有另一个实例在运行,没有的话就运行自己,有的话就退出自己.编程实现通常有两种方法可以实现我们分别来介绍1.使用互斥对像使用API函数CreateMutex来创建命名互斥对象来实现程序互斥是一个比较通用的方法,我们可以在主函数加入如下代码: HANDLE hObject = CreateMutex(NULL,FALSE,"LengFeng");if(GetLastError() == ERROR_ALREADY_EXISTS)//...
1.锁定鼠标:这个功能很简单只要一个ClipCursor()就可以搞定了看看下面的小程序#include <stdio.h>#include <windows.h>int main(int argc, char* argv[]){printf("/n别害怕15妙后你的鼠标就可以使用了^_^/n");RECT rect;rect.bottom=1;rect.right=1; ClipCursor(&rect);::Sleep(15000);ClipCursor(NULL);//释放return 0;} 注:本文于06/12月于黑客防线发表版权归黑客防线所有,转载请注明出处rec...
篇幅原因只给出部分代码。。。
static DWORD hProcessId;//查找进程ID
hProcessId=0;
void CRemoteDllDlg::OnBtnInject() { // TODO: Add your control notification handler code here TCHAR getName[MAX_PATH]; GetDlgItemText(IDC_EDIT_TARGET,getName,MAX_PATH); TCHAR lpStr[MAX_PATH]; GetDlgItemText(IDC_EDIT_DLL,lpStr,M...
日记都是转载的。
如果未声明作者的篇章请原谅。可以与我联系,我将改正过来补上作者名字
QQ88587583
转载的日记只为了有时候没得上网就用手机上网来查看。。请勿见怪
只为研究技术和原理。
第18章 堆栈对内存进行操作的第三个机制是使用堆栈。堆栈可以用来分配许多较小的数据块。例如,若要对链接表和链接树进行管理,最好的方法是使用堆栈,而不是第1 5章介绍的虚拟内存操作方法或第1 7章介绍的内存映射文件操作方法。堆栈的优点是,可以不考虑分配粒度和页面边界之类的问题,集中精力处理手头的任务。堆栈的缺点是,分配和释放内存块的速度比其他机制要慢,并且无法直接控制物理存储器的提交和回收。
从内部来讲,堆栈是保留的地址空间的一个区域。开始时,保留区域中的大多数页面没有被提交物理存储器。当从堆栈中进行越来越多的内存分配时,堆栈管理器将把更多的物理存储器提交给堆栈。物理存储器总是从系...
第2章 U n i c o d e随着M i c r o s o f t 公司的Wi n d o w s 操作系统在全世界日益广泛的流行,对于软件开发人员来说,将目标瞄准国际上的各个不同市场,已经成为一个越来越重要的问题。美国的软件版本比国际版本提前6 个月推向市场,这曾经是个司空见惯的现象。但是,由于各国对Wi n d o w s 操作系统提供了越来越多的支持,因此就更加容易为国际市场生产各种应用软件,从而缩短了软件的美国版本与国际版本推出的时间间隔。
Wi n d o w s 操作系统始终不逾地提供各种支持,以帮助软件开发人员进行应用程序的本地化工作。应用软件可以从各种不同的函数...
理解线程是非常关键的,因为每个进程至少需要一个线程。本章将更加详细地介绍线程的知识。尤其是要讲述进程与线程之间存在多大的差别,它们各自具有什么作用。还要介绍系统如何使用线程内核对象来管理线程。与进程内核对象一样,线程内核对象也拥有属性,我们将要观察许多用于查询和修改这些属性的函数。此外还要介绍可以在进程中创建和生成更多的线程时所用的函数。
第4章介绍了进程是由两个部分构成的,一个是进程内核对象,另一个是地址空间。同样,线程也是由两个部分组成的:
• 一个是线程的内核对象,操作系统用它来对线程实施管理。内核对象也是系统用来存放线程统计信息的地方。
• 另...
22.4 使用远程线程来插入DLL
插入D L L的第三种方法是使用远程线程。这种方法具有更大的灵活性。它要求你懂得若干个Wi n d o w s特性、如进程、线程、线程同步、虚拟内存管理、D L L和U n i c o d e等(如果对这些特性不清楚,请参阅本书中的有关章节)。Wi n d o w s的大多数函数允许进程只对自己进行操作。这是很好的一个特性,因为它能够防止一个进程破坏另一个进程的运行。但是,有些函数却允许一个进程对另一个进程进行操作。这些函数大部分最初是为调试程序和其他工具设计的。不过任何函数都可以调用这些函数。
这个D L L插入方法基本上要求目标进程中的线程...