相关内容
方法依据
chrootkitlinux 常用后门检查工具 下载地址。 rootkit hunterlinux 常用后门检查工具 下载地址 。 icesword不明程序检测工具。 web 日志分析 工具名称官方地址 logparser日志分析工具 官方网址。 awstats日志文件分析工具 官方网址。 日志分析脚本工具腾讯云安全应急响应服务专家自用工具集...
如何从EPROCESS辨别一个进程是否已退出
前面已经通过遍历活动进程双链,来得到一个进程列表. 但是,这个链表中有些进程其实是已经退出的进程. 因此,在得到一个eprocess之后,必须对其进行识别,判断其是否已经退出. 通过对一死一活两个进程的eprocess的对比,发现以下标志可以用作判断进程是否退出的标准.这是已经退出的icesword的eprocess...
它们的屠城史–木马技术发展趋势与回顾
在如今可以枚举并终止进程中相关dll模块的程序遍天下的现状中,任意一款具备进程模块查找功能的程序如processexplorer、icesword等都能将它们清理干净——它们的文件名太明显了。 但是不得不否认,早期的dll木马技术虽然只是个雏形,但它却是为如今到处横行的真正无第三方exe加载项(使用特殊技术令系统外壳程序加载...
Hacking Tools搜罗大集合
强名称替换工具net unpacker:脱壳工具另外还有:9rays spices .net,dis#,decompiler .net,xenocode foxexe修改lordpe:pe结构编辑器及dump工具peid:exe文件分析工具,配合插件功能强大exescope:exe资源编辑器reshacker:现代化的exe资源编辑器icesword:冰刀进程管理工具和 cff explorer。 exe 加壳upx:近乎...
qt王者荣耀皮肤抽奖器
镜-冰刃幻境, 花木兰-剑舞者, 鲁班大师-归虚梦演, 李元芳-特种部队,老夫子-潮流仙人, 铠-龙域领主, 马超-幸存者, 鲁班七号-福禄兄弟, 刘邦-圣殿之光,李白-范海辛, 梦奇-美梦成真, 马可波罗-激情绿茵, 鲁班七号-木偶奇遇记,刘禅-英喵野望, 哪吒-三太子, 米莱狄-精准探案法, 蒙恬-秩序猎龙将, 露娜-绯红之刃...
SSDT Hook的妙用-对抗ring0 inline hook
interlockedpushentryslist+0x79 (804e3a92) ...同时打开“冰刃”跟“rootkit unhooker”我们就能在ntopenprocess函数头看到这样的“奇观”,第一个jmp是“冰刃”的,第二个jmp是“rootkit unhooker”的。 他们这样是防止被恶意程序通过terminateprocess关闭。 当然“冰刃”还hook了ntterminateprocess等函数。×××...
巧妙利用剪切进行强制卸载
虽然现在网络上有众多的强制卸载软件,用过几个像冰刃、网吧幽灵等软件进行过强制卸载,对大部分软件还是很管用的,不过有时候就遇到很难卸载的, 用这些软件都卸载不了。 为此专门去网上看了些教程,不过貌似要修改注册表之类的东西,这样子就比较困难了,像我们这些菜鸟一不小心删错了,系统可就瘫痪了...
杀毒软件是如何发现病毒的?
而且他加入了注册表查杀,免杀它要先过内存再加强壳 运用软件进行端口及进程防御 冰刃:用于查看隐藏端口,进程,服务等,是一个非常好的安全工具. 端口关联查看器:看端口工具. 木马辅助查找器:灰鸽子工作室出品,用于监视文件. regmon注册表监视器:用来监视注册表. filemon文件监视器,用来查看文件调用的所有dll转自...
浅谈木马如何隐藏上线IP地址
下面给出流程图:解释一下流程图的原理,udp网络协议是面向无连接的,和tcp协议的三次握手不同。 用系统自带的查看网络连接的命令 netstat -ano 是查看不到远程ip地址和端口的,用第三方软件或者工具也同样查看不到,如以前的冰刃、360网络连接查看器等等。 下面结合源代码和效果图来说明下ip地址是如何隐藏的...
