展开

关键词

Active APT

过去的几个月里,Gamaredon 使了许多不同的编程语言,从 C# 到 VBScript、批文件和 C/C++。 VBScript 使 Document.AttachedTemplate 属性将远程模板的引注入现有文档 此 VBScript 模块还打包一个自解压档中,包含一个批文件和两个 VBS 文件, 这些文件窃取程序还可以从 C&C 服器下载和执行意代码。与 Gamaredon 小组使的许多其他工具一样,它们有四种不同的编码语言:C/C++、C#、批文件和 VBScript。 C# 后门线程创建例程 批文件/VBScript 此版本包含多个脚本,以批文件形式和 VBScript 编写。但,最终目标相同的:扫描系统以查找敏感文档。 当然不可能知道这些或疏忽背后的切原因,但该小组生产的样本量及其快速发展可以解释这一点。

6300

Internet Explorer漏洞分析(三)——CVE-2014-6332

-2014-6332漏洞的分析入手 详细的阐述漏洞的成因以及如何去利该漏洞4.本篇文章十分适合漏洞安全研究人员进行交流学习5.若文章中说得不清楚或者的地方 欢迎师傅到公众号后台留言中指出 感激不尽 CRetailMalloc_Alloc函数于为HeapAlloc传递参数并调之: ? 图10 由于申请空间远远超过可分配空间大小,故分配失败,直接跳转到函数末返回值: ? ,扩大数组规模,直至数组aa与ab于内中相邻(准 说,二者相差8字节): ? 图23 但其仍储的vbscript!CScriptEntryPoint对象,其后赋值给i。On Error Resume Next尤为重要,加入该语句执行情况对比: ? 图35 该地址为vbscript!COleScript对象: ? 图36 通过循环于该对象偏移0x120之后搜寻0x0E,该值于检查于SafeMode: ?

21120
  • 广告
    关闭

    什么是世界上最好的编程语言?丨云托管征文活动

    代金券、腾讯视频VIP、QQ音乐VIP、QB、公仔等奖励等你来拿!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    编程语言傻傻分不清:弱类型、强类型、动态类型、静态类型

    使数据之前,必须先声明数据类型(int ,float,double等)。相当于使之前,首先要为它们分配好内空间。 ABAP/SQL/JavaScript/Unix Shell等 注意:强类型义语言速度上可能略逊色于弱类型义语言,但强类型义语言带的严谨性能够有效的避免许多。 出后继续执行,但可能出现意行为。如C里的缓冲区溢出、Jump到地址 Forbidden Behaviours 语言设计时,可以义一组forbidden behaviors. 区 大家觉得C语言要写int a, int b之类的,Python不写(可以直接写a, b),所以C静态,Python动态。这么不够准的。 譬如Ocaml静态类型的,但也可以不地写出。。

    1.8K10

    深入剖析最新IE0day漏洞

    URL Moniker被加载IE漏洞 使CVE-2017-0199漏洞,Word尝试根据其属性,通过默认的文件程序,执行文件;服器响应中的Content-Type (内容类型)HTTP头其中之一 由于这一操作使得攻击者不能直接执行有效负载,就像HTA程序一样,需要利Internet Explorer漏洞克服这一点。 它检查指向tagSafeArray结构的指针不NULL,以及它的引计数,时钟字段中的零,然后继续调ReleaseResources。 ? 本例中,VBScriptClass::Release被调地破坏对象,并且像Class_Terminate这样的破坏者,因为ArrA(1)的VARTYPEVT_DISPATCH。 ? 总结 本文中,我们分析了CVE-2018-8174背后的核心原因,Use-After-Free一个特别有趣的漏洞,这可能由于Class_Terminate VBScript方法中的对象周期造成的

    43920

    Nebula漏洞利包CVE-2016-0189漏洞利分析

    然而这些分析报告,并未提供层面的技术细节,使得读者总有种知其然,不知其所以然的感觉。本文试图利windbg分析漏洞利时的内布局,使得读者对该漏洞利有更深刻的解。 2. 当访问数组元素时,VBScript引擎会调 AccessArray 函数计算元素的放地址。 试着windbg 调试如下代码, vbscript!AccessArray下断点: ? ? CVE-2016-0189 漏洞利深入分析 Nebula EK的漏洞利越界访问的基础上实现了: 1.泄漏VBScript对象的地址 2.读取意地址 3.写入意地址(受限) 这3种手段实现原上都类似的 而48 c2 1b 01 四个字节则作为字符串内容的地址。 读取该字符串的内容则获取了 48 c2 1b 01 地址里放的内容。 最后我们看一下写入意地址(受限)的情形。 ? ElevationPolicy中义了静默加载,比如notepad.exe),向户询问允许。

    53760

    Internet Explorer漏洞分析(三)——VBScript Scripting Engine初探

    数据类型,数组,VarType函数,LenB函数详细分析,并介绍VBS脚本调试技巧4.本篇文章十分适合漏洞安全研究人员进行交流学习5.若文章中说得不清楚或者的地方 欢迎师傅到公众号后台留言中指出 图10 为数组元素赋值则直接将该元素所偏移传递给vbscript!AssignVar: ? 图11 ---- 下面看看二维数组(Dim stu_name(2,3))创建过程: ? 图15 而重新义时加上Preserve关键字于保留之前元素: Dim MyArray()ReDim MyArray(3)MyArray(0) = "A"MyArray(1) = "B"MyArray 图19 调试时可借助这两个函数以变量值或内位置。 0x04 VarType函数 <! 图21 GetVarType函数调PvarGetVarVal——判断类型值为0x4A或0x0C: ? 图22 之后与0x09进行比较,若不则直接返回对象进而获取vt值: ?

    18510

    Vbs脚本编程简明教程

    引发的原因有很多,例如户输入了类型的值,或者脚本找不到必需的文件、目录或者驱动器,我们可以使循环技术,但VBS本身也提供了一些基本技术进行的检测和vbs中,何运行时致命的,此时,脚本将停止运行,并屏幕上显示一个消息。 2、虽然On Error Resume Next语句可以防止vbs脚本发生时停止运行,但它并不能真正,要,你需要脚本中增加一些语句,检查条件并发生时它。 FileExits:一个文件 FolderExists:某文件夹 GetAbsolutePathName:返回一个文件夹或文件的绝对路径 GetBaseName:返回一个文件或文件夹的基本路径 一般情况霞,我把这个特殊的集合想象为数组,可以使其中内建的函数完成储和操纵数据等基本,无须担心数据哪些行列,而使唯一的键进行访问或者一个只能运行中的数据库,并只有两个字段分别

    4.3K41

    APT分析报告:04.Kraken新型无文件APT攻击利Windows报告服逃避检测

    这篇文章将介绍一种新型无文件APT攻击Kraken,它会利Windows报告服逃避检测。其中,DllMain函数反分析检查,以保它不分析/沙箱环境或调试器中运行非常值得我们学习。 该文档包含一个恶意宏,该宏使CactusTorch VBA模块的修改版,通过使VBScript将.Net编译的二进制文件加载到内执行,以进行无文件攻击。 这个报告服WerFault.exe,通常发生与操作系统、Windows函数或应程序相关的时调程序崩溃时,它仍然会执行未的异常程序,但程序会向WER服发送消息,并且服会启动WER报告进程以显示报告对话框。 (3) IsProcessorFeaturePresent 此API调支持指器特性。

    10730

    脚本创建相关

    Tree View的好使户更方便地修改脚本,Tree View支持拖拽,户可以把意一个节点拖拽到他想要的地方,从而达到修改脚本的目的。 分析:所选择的录制脚本模式不正,通常情况下,基于浏览器的Web应使“HTML-based script”模式录制脚本;而没有基于浏览器的Web应、Web应中包含了与服器进行交互的Java 1xx:指示信息--表示请求已接收,继续 2xx:成功--表示请求已被成功接收、解、接受 3xx:重向--要完成请求必须进行更进一步的操作 4xx:客户端--请求有语法或请求无法实现 5xx 如果被测的Web 应没有使义的页面,那么这里不作更改;如果被测的Web 应使了自义的页面,那么这里需要义,以便让VuGen 运行过程中检测,服器返回的页面包含预义的字符串 ,进而判断该页面页面。

    27320

    CVE-2018-8174双杀漏洞分析复现及防御

    该漏洞当时影响最新版本的IE浏览器以及使了IE内核的应程序。浏览网页或者打开Office文档的时候都可能中招。 微软4月20号也认了此漏洞,并5月8号发布了官方补丁。 并且可以通过p2操作p1,那么如果再次使p1,则可以通过p2修改程序功能等目的。p1就叫做 悬垂指针,UAF会造成内破坏的原因就使了悬垂指针。 我们看看的地方: 2.2 验证 IDA里面查看过 VBScriptClass::Release 的伪代码,以及上面的调试后,我们猜测脚本中的重载的析构函数中,Set array_b(0)= : 此漏洞就于release 函数中,如果义的脚本中重载了析构函数,这个函数中操作了类的引计数(UAF),而release函数不能正的判断类的引计数造成而去析构了这个类,但仍然指向这个类的指针就变成了悬垂指针 StartExploit 中认一下 UAF InitObjects vb_adrr=LeakVBAddr() IsEmpty(vb_adrr) //认IsEmpty的值 IsEmpty

    38820

    JavaScript学习笔记(一)——JS基础知识介绍

    DOM的级别: 1级:基本的节点操作一级里都包括了 2级:增加了对样式表,文档显示,事件,等的支持 3级:可以javascript加载和保文档,检查文档 JavaScript与HTML HTML ,这个语句段可以被当作一个整体和执行: 1)函数由关键字function义(也可由Function构造函数构造); 2)使function关键字义的函数一个作域内可以的(包括义函数的语句前 );而var关键字义的必须义后才能被调; 3)函数名函数时引的名称,它对大小写敏感的,调函数时不可写函数名; 4)参数表示传递给函数使或操作的值,它可以常量,也可以变量,也可以函数 绝大部分事都由户的动作所引发,如:户按鼠标的按钮,就产生click事件,若鼠标的指针的链接上移动,就产生mouseover事件等等。Javascript中,事件往往与事件程序配套使。 而对事件的,W3C的方法addEventListener()函数,它有三个参数:事件、引发的函数、使事件捕捉。

    37820

    asp连接access,增删改查

    些基础或者了解下的东西。到自己搜吧。 ---- 1、首先呢,使脚本VBScript。Firefox不支持,只能使IE了。 由于需要调试,查看服器出等信息。 “设置”-》“Internet选项”-》“高级”-》取消“显示友好http消息” 这样就有可能看到,服信息。还需要设置下服器。 “编译”-》“调试属性”-》“将发送到浏览器”属性改为“True” 这样浏览器就不会只显示,“http 500 服器内部”。而显示具体的信息。 3、信息 ADODB.Connection '800a0e7a' 未找到提供程序。该程序可能未正安装。 /index.asp,行 4 查找得知, win7,8 x64的原因。 器。

    32310

    Windows中劫持DLL

    使一个恶意的DLL代替合法应程序尝试加载的丢失/不的DLL DLL重向:通过编辑改变,其中DLL被搜索的位置,例如%PATH%环境变量,或.exe.manifest/.exe.local文件 旁边的户可写文件夹中,使方式上,它与(签名)二进制代执行有相似之,这的一种变体(带有某种逻辑上学上的称呼)"bring your own LOLbin",其中合法应程序带有恶意DLL(而不从受害者计算机上的合法位置复制 户帐户控制(UAC)作为一种安全功能WindowsVista中引入,以正常权限运行的进程提升到更高权限之前,通过提示请求认,户抱怨执行时会出现大量的UAC提示之后,Microsoft 但攻击者仍然可以被利的合法/受信程序的旧版本,因此,即使每个应程序从现开始加载它们之前开始检查其DLL,我们仍然必须此问题。 ,这里可以找到一个示例Sigma规则——它成功地检测到我们的DLL劫持,尽管正如您所看到的,它的伸缩性不很好,很可能会出现报,您可以采一种更通的方法,通过查找意外位置Microsoft

    24410

    使WiX制作具有时间限制的安装包

    更多信息可以参考:http://wix.sourceforge.net/ 最近研究了一下如何使WiX制作具有时间限制的安装包,下图demo的效果图。 ? 选择合适的脚本语言(VBScript or JScript)实现制操作。 2. 选择合适的实际执行上面的脚本。 下面分享我的实现过程: 1. 实现一段检查当前时间越界的脚本代码,并将它封装到CustomAction中。     使VBScript比较当前日期和限日期,小于0表示越界,这时调WScript想注册表添加坏键。 本文的demo中,我PrepareDlg之前执行脚本,对于大多数情况而言,这已经最早的时机了。当然,你也可以选择AppSearch之前执行。 添加Condition于检查第三步添加的属性,并需要的时候弹出信息。

    43960

    null 和 undefined

    ,JavaScript的数据类型分成原始类型(primitive)和合成类型(complex)两大类,Brendan Eich觉得表示”无”的值最好不对象;其次,JavaScript的最初版本没有包括机制 Object.getPrototypeOf(Object.prototype) // null typeof null // object 如果义的变量准备对象,那么最好将该变量初始化为 undefined: 法: if(abc==undefined) // 正如上面所说,js规`==` 判断时,null和undefined等同的 正法: if (typeof 测试对象 JavaScript 中,null 于对象, undefined 于变量,属性和方法。 对象只有被义才有可能为 null,则为 undefined。 因此,如果我们想测试对象,必须先检测对象义。 因此,这的: if (abc !== null && typeof abc !

    37140

    41个Web开发者都收藏的实代码

    (division)义大段的页面元素,会产生转行 义同一行内的元素,跟
    的唯一区别不产生转行 <layer> ns 的标记,ie 不支持,相当于
    电子邮件提交表单 <form name="form1″ method this.scrollHeight"> </textarea> 日期减去天数等于第二个日期 <script language=Javascript> function cc(dd,dadd) { //可以加上 transition 表示使哪种特效,取值为 1-23: 0 矩形缩小 1 矩形扩大 2 圆形缩小 3 圆形扩大 4 下到上刷新 5 上到下刷新 6 左到右刷新 7 右到左刷新 8 竖百叶窗 9 横百叶窗 – if(event.keyCode==13) event.keyCode=9; –> </script> 这样的方式,可以实现焦点往下移动,但对于按钮也起同样的作,一般的客户输入完 资料以后,

    10330

    总结收藏的41个JavaScript实技巧

    < div>(division)义大段的页面元素,会产生转行 < span>义同一行内的元素,跟< div>的唯一区别不产生转行 < layer> ns 的标记,ie 不支持,相当于< this.scrollHeight”> < /textarea> 日期减去天数等于第二个日期 < script language=Javascript> function cc(dd,dadd) { //可以加上 回车 客户端脚本页面添加document 的onkeydown事件,让页面接受到回车事件后,进行Tab 键的功能,即只要把 event 的 keyCode 由 13 变为 9 这样的方式 判断为 button, 因为 HTML 上会有 type=”button” 判断为 submit,因为 HTML 上会有 type=”submit” 判断为 reset,因为 HTML 上的”重置”应该要被执行 判断为空,因为对于 HTML 上的”链接”也应该被执行,这种情况发生的情况不多,可以使”tabindex=-1″的方式取消链接获得焦点。

    32410

    Microsoft 安全公告摘要(2015 年 10 月)

    攻击者也可能使 IE 呈现引擎的应程序或 Microsoft Office 文档中嵌入标有“安全初始化”的 ActiveX 控件,以将向到经特殊设计的网站。 如何使该表?对于您可能需要安装的每个安全更新,使该表了解安全公告发布 30 天内发生代码执行和拒绝服漏洞的可能性。根据您的特配置,检查下面的每个评估,从而部署本月更新的优先次序。 您应该查看列出的每个软件程序或组件,了解需要安装何安全更新。如果列出了软件程序或组件,则也会列出软件更新的严重等级。注意 您可能必须为单个漏洞安装几个安全更新。 Microsoft Baseline Security Analyzer (MBSA) 支持管员扫描本地和远程系统中缺少的安全更新和常见的安全配置。 要可从安全软件供应商得到活动保护,请访问计划合作伙伴( Microsoft Active Protections Program (MAPP) 合作伙伴中列出)提供的活动保护网站。

    34270

    WMI ——重写版

    Windows管规范(WMI)Microsoft对基于Web的业标准(WBEM),公共信息模型(CIM)和分布式管组(DMTF)的实现。 data queries ,请实际查询中使,需要明WQL仅能查询,无法使 Methods 进行增删改等操作。 TotalPhysicalMemory < 2147483648 SELECT * FROM Win32_ComputerSystem WHERE NumberOfLogicalProcessors < 2 可通过内器的数量判断为 ,当前机器大概率Vmware 的 VM/Sandbox Powershell 中这样的: 后面不啰嗦, 只要解这个类的查询逻辑,就很容易解命令, Get-WmiObject 本质上也 使了 适Process Explorer监控发现calc.exe进程启动之后,自动结束进程,目前稳性尚未明,如果使上线,做好进程迁移。

    50110

    网页制作的中的一些工具代码

    怎样通过asp的手段检查访者了代 <% if Request.ServerVariables("HTTP_X_FORWARDED_FOR")<>"" then response.write Const adLockOptimistic = 3 '只有Update方法时才锁记录集,而此前的其他操作仍可对当前记录进行更改、插入和删除等 Const adLockBatchOptimistic = 4 '当编辑时记录不会被锁,而更改、插入和删除方式下完成的 Const adCmdText = &H0001 Const adCmdTable = &H0002 %> 18.

    相关产品

    • 云服务器

      云服务器

      云端获取和启用云服务器,并实时扩展或缩减云计算资源。云服务器 支持按实际使用的资源计费,可以为您节约计算成本。 腾讯云服务器(CVM)为您提供安全可靠的弹性云计算服务。只需几分钟,您就可以在云端获取和启用云服务器,并实时扩展或缩减云计算资源。云服务器 支持按实际使用的资源计费,可以为您节约计算成本。

    相关资讯

    热门标签

    扫码关注云+社区

    领取腾讯云代金券