20170828安全动态&&defcon-25-workshop代码解读

admin
admin
admin
138107
文章
113
评论
2022年7月13日09:20:28评论27 views字数 1652阅读5分30秒阅读模式

每日安全动态

  • 利用xwizard.exe加载dll
    http://www.4hou.com/technology/6969.html

  • 安全研究人员警告:超过1700台IoT设备和相关的telnet凭据已被泄露并公开放在网上
    http://securityaffairs.co/wordpress/62365/iot/iot-devices-credentials-leaked.html

  • Apple iOS <=10.3.1 - Kernel Exploit
    https://www.exploit-db.com/exploits/42555/

  • 大量服务器的登录凭证被PDF钓鱼泄露
    http://www.ringzerolabs.com/2017/08/large-victim-credential-server.html
    https://www.bilibili.com/video/av13897953/

  • AVPASS:可绕过Android恶意软件检测系统的工具
    https://github.com/sslab-gatech/avpass/blob/master/docs/README.md

    每日代码分享

    来源:
    https://github.com/zerosum0x0/defcon-25-workshop
    这里主要介绍了window后渗透以及恶意软件的开发中的一些trick,做免杀的童鞋可以重点关注一下
    1.asynclog - basic keylogger using GetAsyncKeyState()
    不同于使用钩子函数进行键盘的记录,这里使用了GetAsyncKeyState()做键盘记录,api函数在User32.dll中实现。
    3.hooklog 挂钩WH_KEYBOARD_LL 事件 注意要区分WH_KEYBOARD 这里的LL是low level的缩写

    1
    2
    3
    4
    		 
    区别如下:
    https://stackoverflow.com/questions/10718009/difference-between-wh-keyboard-and-wh-keyboard-ll
    简单来说就是一个需要dll一个不需要dll.
    这里可以通过代码了解windows的消息机制。

4.IGO pre-main execution with C++ initialization
我理解的就是在main函数执行之前,会进行初始化的操作,通过编译链接运行代码,可以发现还可以在main函数之前执行我们的代码,确实和平常我们一贯的思路不一样。
5.tlscallback pre-main execution with Thread Local Storage callback

1
 
这个还不是特别明白用途 tlscallback.h头文件中的魔法

6.importless - PE using WinAPI that has no imports

1
 
还不太懂,感觉好像不用IAT就可以使用windows的api,这里以MessageBox函数为例。

7.printscreen - takes a screenshot by simulation of printscreen keypress
模拟按键printscreen键,过360
8.screenshot - takes a screenshot using device context and GDI+
还是屏幕截图,利用的是device contest和GDI+,也是过360的
9.reverseshell - basic reverse TCP shell
这里通过tasklist命令查找不到相应进程pid的映像名称,而网络连接中是可以看到的。
10.passfilter - password complexity filter DLL with logging
通过dll注入当密码改变的时候保存修改后的密码。
11.locklogger - injects into winlogon.exe and keylogs


原文始发于微信公众号(格格巫和蓝精灵):20170828安全动态&&defcon-25-workshop代码解读

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月13日09:20:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   20170828安全动态&&defcon-25-workshop代码解读https://cn-sec.com/archives/964542.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息