能力值:
( LV13,RANK:530 )
|
-
-
2 楼
放Visual Studio 用 F11 单步跟踪吧.
|
能力值:
( LV5,RANK:60 )
|
-
-
3 楼
?
楼上请详解一下
我现在的目的是要在程序中实现
主要任务就是发现网页中的恶意代码,不知道大家有什么比较好的方法不?
|
能力值:
( LV5,RANK:60 )
|
-
-
4 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
好想法 如果你成功 我将受益
|
能力值:
(RANK:570 )
|
-
-
6 楼
最近想不明白为什么有的人不去补习相关知识就直接去做自己完全不懂的事
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
要慢慢探索。。。。
|
能力值:
( LV12,RANK:230 )
|
-
-
8 楼
<script>本身也可以被编码掉,你在网页源码中找不到<script>时打算怎么办,并且这种挂马还
不少。一般这类恶意代码会调ActiveX,你还不如从COM这边入手,ActiveX被激活的路径有限。
当然,对于纯粹的脚本,那另说了。
|
能力值:
(RANK:1060 )
|
-
-
9 楼
消灭执行权限
|
能力值:
( LV5,RANK:60 )
|
-
-
10 楼
恩,谢谢大家了
主要是我以前从来没接触过相应的东西,毕业设计是这样的题目,所以我想边学边做,但限于自己的知识面太狭窄,有一点想法也不知道可行不,我在网上找相应的资料也很少,我根本没找到。
恩,我在查下com的资料(目前对此一点也不懂),看看如何能Hook对COM的调用不
|
能力值:
( LV5,RANK:60 )
|
-
-
11 楼
对了,突然有另一个问题
就是wscript.exe对脚本文件执行的时候的过程是怎么样的?
看看能不能在中间拦截一些东西……
|
能力值:
( LV12,RANK:230 )
|
-
-
12 楼
这就是我前面说过的啊,你去看COM的东西,最好是用Plain C写一个ActiveX出来,
不要用C++,更不要用MFC、ATL框架代码,这样你会对ActiveX的框架有一种直观的感觉。然
后用cdb之类的工具调试一个具体的从HTML中调用ActiveX的例子,接下来,你就不必再上网问
了,自己就开始了学习中的正反馈过程。
你如果实在找不到入门的,可以从这里看起
[ 2] The COM Programmer's Cookbook - Crispin Goswell [1995-09-13]
http://msdn2.microsoft.com/en-us/library/ms809982.aspx
Don Box的<<Essential COM>>嘛,我个人感觉不是本入门的好书,盛名之下其实难副,更
像是COM专家在梦呓,就是说,他说的都没错(跟大白菜一样),但前提是你已经能看懂了,可
你都能看懂的时候,再看他这本书,又没有更多意义了。当成回笼觉式的速温手册好了。
潘爱民的<<COM原理与应用>>就算了,忽略不计。
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
用wscript执行的话,你就直接中毒了
|
能力值:
( LV5,RANK:60 )
|
-
-
14 楼
恩,谢谢小四
我现在正在看COM,看的vckbase上面的杨老师写的《COM组件设计与应用》
现在有一个大概的认识了……
谢谢
|
能力值:
( LV9,RANK:410 )
|
-
-
15 楼
"看看如何能Hook对COM的调用不" ,这个太强悍了吧,你做的是网页内容分析,难道HOOK是全能武器。
还是从页面内容着手吧。
|
能力值:
( LV5,RANK:60 )
|
-
-
16 楼
从页面着手没有好的方法呀
不知道做才好……
|
能力值:
( LV6,RANK:90 )
|
-
-
17 楼
hook 掉 浏览器进程的loadlibraryA/W GetProcAddressA/W
分析调用者的位置
如果调用指令来自堆栈或heap,就判定为非法.
只容许对来自模块的调用
-------------------------------
想当然的,没有测试过哈,胡言乱语ing....
|
能力值:
( LV9,RANK:1250 )
|
-
-
18 楼
引用的:
WESEC 365门神使用页面分析、访问监控、恶意页面库技术,对浏览页面的链接进行识别,标识出恶意链接,对访问的网页URL进行识别,阻拦恶意页面的访问。从而消除来自网站浏览的安全威胁。
来自这里的介绍:
http://www.scanw.com/blog/archives/category/aboutwesec
|
能力值:
( LV5,RANK:60 )
|
-
-
19 楼
谢谢了
请你详解一下原因,以及如何断定对LoadLibrary的调用是来自堆栈或模块呢?
|
能力值:
( LV6,RANK:90 )
|
-
-
20 楼
思路的前提是
恶意代码通过调用loadlibrary来得到需要的api地址,
而且恶意代码在堆栈或heap中
至于断定
LoadLibraryW proc
call myLoadLibraryW ;inline hook
..
...
LoadLibraryW endp
myLoadLibraryW proc
mov eax,dword ptr [esp+4] ;得到调用LoadLibrary的地址
;在这里判断eax是否是模块中的代码就可以了
ret
具体的判断,我的思路是可以往上遍历内存,找PE头标志
找到后连moduleName都可以搞到了,嘿嘿
或尝试写入,因为一般代码段都是禁止写入的
配合SEH就可以完成。
|
|
|