|
[讨论]发个骗子的信息,经常在论坛出没
貌似是Smitnyl.A的那套玩意~ |
|
[讨论]发个骗子的信息,经常在论坛出没
不过看VS工程截图,像是那套东西~ 现在解析FS在实模式XX的东西目前抓到的样本有三种, 最多的是这个Rocket的玩意, 其次是Smitnyl.A,一个轻量级感染userinit.exe的东西 再一个就是类似BMW的那种向EXE注入代码的玩意~ 真不知道国内这帮搞MBR马的人是怎么想的,非得要去感染/替换系统文件,一旦被杀就爽了~ |
|
[讨论]发个骗子的信息,经常在论坛出没
话说,这套Rocket的货我也有啊 N久前的货了,实模式解析NTFS/FAT32文件系统感染sfc_os.dll的 一点都不优雅~这货在某些Win7系统上会挂的很惨的~ |
|
|
|
|
|
[求助]本地ARP欺骗运用程序.
SPI~ARP多麻烦~ |
|
|
|
[讨论]对NT6 MBR的一个疑问
看看0x1B0到0x200之间的数据~ |
|
[招聘][悬赏十万]擎天软件公司招聘安全研究工程师(悬赏十万)(无视学历、年龄、性别,可专职、兼职、外包)
搞XX的自重。 话说TDL4也没那么复杂的吧,看你VFS怎么搞了。据说有的硬盘尾部的数据不能乱动,VFS不能放哪。 |
|
[原创]BK记录1--TDL4 引导 IDB
你有没有想过如果那个DLL被杀了咋办。 |
|
[原创]BK记录1--TDL4 引导 IDB
1.一般磁盘的未分配空间都是小于等于8M的 这个可以通过2个IOCTL获取,然后一减就减出来了 2.实际上可以试试多种办法结合在一起,例如Patch OSLoader+替换KDCOM 这样我感觉兼容更好些。一直想搞就是因为各种课没时间。。。。 |
|
[原创]BK记录1--TDL4 引导 IDB
1.我没用内存dump,我直接用的是bmzip解压。解压出来的是一个dll。我也发现符号表只有很少一部分能用。。。 2.这个可以参考Peter Kleissner的The Art of Bootkit Development.pdf,里面有比较详细的说明。他的那个是直接Patch ntoskrnl的。 3.这个我还真没注意,在win7下我发现只有硬盘最末尾的2048个扇区是可以直接写入的,别的扇区直接写入是被拒绝的。但是我看了几个机器的硬盘 如果没中TDL4的话,最后的2048扇区是空的啊,没见到有数据。。。关于磁盘分区有关的数据这个我就不清楚了 |
|
[原创]BK记录1--TDL4 引导 IDB
xxoo文件的话,如果被杀就有意思了。。。 |
|
[原创]BK记录1--TDL4 引导 IDB
1.那个是压缩的,不是加密的,有工具可以解开,bmzip就可以。不过内存里肯定看不到原始的数据。。。 2.这个没错 3.你说的这个没错。不过bootmgr每次加载的位置都是固定的吧,可以搜索然后再patch的吧。 每次都是加载到0x00400000,并且 kd> r cr0 cr0=00000011 kd> r cr3 cr3=00000000 处于保护模式但是没有启用分页 |
|
|
|
[原创]BK记录1--TDL4 引导 IDB
1、Win8下 非调试模式启动的系统不会加载KDCOM.DLL 而是KD.DLL 2、Win8下 不管是KDCOM.DLL还是KD.DLL的导出表的Size都和Win7下有所不同 3、IDA一下KD.DLL 你会发现这个文件执行的流程也和KDCOM不一样了。 4、Win8下 你如果要是Patch Bootmgr以PE模式启动的话,肯定会进入修复模式的,PE模式不进行完整性验证,那个本来就是个漏洞,是可以通过KBXXXXXXX修补的。你如果分析过KB2506014这个补丁的话,你会发现他不仅仅是为KDCOM的导出表多加了一个函数,他对winload bootmgr都做了修改。TDL4为了绕过这个补丁,采取搜索并且Patch mov edi,0xC0000428这个指令的方式来绕过这个补丁。实际上如果采用Patch 返回值的方式,微软出任何补丁就都没有意义了,因为int 13h hook会在他加载的过程中污染读到的buffer,可以让他跳过自校验,微软怎么补我都能Patch,跟免杀一样,成了猫捉老鼠了。个人感觉这属于基于BIOS引导的PC的体系结构的问题了。。。 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值