1. 引言 CVE-2017-0213 是一个比较冷门的COM 类型混淆 (Type Confusion)漏洞。巧妙的利用该漏洞,可以实现本地的提权。该漏洞由著名的Google Project zero 发现。漏洞信息原文可参见【1】 然而原文对漏洞的描述有些过于任性,尽管笔者熟悉好几国英文J,反复读了好几遍还是觉得云山雾罩。因此决定亲自分析下,和读者共同分享一下。 2. 技术分析 2.1 DCOM 简介 这个漏洞要从DCOM 谈起了。相信大家对Windows的组件对象模型(COM) 都已经非常熟悉
错误代码: Failed to instantiate CLSID_VirtualBox w/ IVirtualBox, but CLSID_VirtualBox w/ IUnknown works. PSDispatch looks fine. Weird. 返回代码: E_NOINTERFACE (0x80004002) 组件: VirtualBoxClientWrap 界面: IVirtualBoxClient {d2937a8e-cb8d-4382-90ba-b7da78a745
根据我们的推断,排除第1和第3种情况,第2种情况采用试一试的态度,按照步骤做了一下
解决Generic Host Process for Win32 Services错误的问题,这个错误一般有三种情况。
解决WINXP系统开机后弹出Generic host process for win32 services 遇到问题需要关闭! 出现上面这个错误一般有三种情况。 1.就是病毒。开机后会提示Generic Host Process for Win32 Services 遇到问题需要 关闭”“Remote Rrocedure Call (RPC)服务意外终止,然后就自动重起电脑。一般该病毒会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立msblast.exe键值,还会在c:\windows\system32目录下会放置一个msblast.exe的***程,解决方案如下: RPC漏洞 详细描述: 最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。如果***者成功利用了该漏洞将获得本地系统权限,他将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等. 已发现的一个***现象: ***者在用户注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立一个叫“msupdate”(估计有变化)的键,键值一般为msblast.exeC:\windows\system32目录下会放置一个msblast.exe的***程序. 另外受***者会出现“Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止,Windows必须立即重新启动”等错误信息而重启。 建议到http://www.microsoft.com/security/security_bulletins/ms03-026.asp下载相应补丁。如果已受***,建议先拔掉网线,在任务管理器中结束msblast.exe进程,清除注册表中的相应条目,删除system32下的***程序,最后打补丁。
•编号:CVE-2014-6332•漏洞影响:远程代码执行(RCE)•CVSS 2.0:9.3
解决WIN补丁系统开机后弹出Generic host process for win32 services 遇到问题需要关闭! 出现上面这个错误一般有三种情况。 1.就是补丁。开机后会提示Generic Host Process for Win32 Services 遇到问题需要 关闭”“Remote Rrocedure Call (RPC)服务意外终止,然后就自动重起电脑。一般该病毒会在补丁HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 下建立msblast.exe键值,还会在c:/windows/system32目录下会放置一个msblast.exe的补丁程,解决方案如下: RPC漏洞 详细描述: 最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个补丁漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。如果攻击者补丁利用了该漏洞将获得本地系统权限,他将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等. 已发现的一个攻击现象: 攻击者在用户注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 下建立一个叫“msupdate”(估计有变化)的键,键值一般为msblast.exeC:/windows/system32目录下会放置一个msblast.exe的木马程序. 另外受攻击者会出现“Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止,Windows必须立即重新启动”等错误信息而重启。 建议到补丁补丁相应补丁。如果已受攻击,建议先拔掉网线,在任务管理器中结束msblast.exe进程,清除注册表中的相应条目,删除system32下的木马程序,最后打补丁。
.NET 高级调试的第二篇文章,第一篇文章《.NET 高级调试:认识调试工具》记录了自己学习 Net 高级调试的第一步,认识一些调试工具,有了工具的倚仗,我们开始仗剑走天涯了,开始Net高级调试正式的征程了。
<?xml:namespace prefix = o ns = “urn:schemas-microsoft-com:office:office” /> Generic Host Process
由于在这篇博文的其余部分中,我们将大量讨论 JScript VAR 和字符串,因此在深入了解这些漏洞的工作原理之前先描述这些内容是很有用的。
前言 熟悉.Net开发的朋友会知道,项目在编译时,除了可执行的.exe文件外,在运行目录常常会生成.pdb的文件,好多人都不知道这个文件是干什么用的,今天就详细介绍一下。 介绍 本文帮助那些处于初级或
反恶意软件扫描接口简称"AMSI",它是微软在Windows中阻止危险脚本执行的解决方案,AMSI理论上是一个好的解决方案,它通过分析正在执行的脚本然后根据是否发现恶意内容来阻止或允许,然而正如我们稍后将讨论的那样,它有一些基本的实现缺陷,使得我们可以绕过检测
最近一段时间做的工作主要是为引擎提供Lua的IDE,包括编辑智能提示和调试部分。
该篇文章主要分享了作者在使用.NET进行应用程序调试方面的一些经验和技巧,包括异常处理、调试工具、代码调试、性能优化、内存泄漏检测、远程调试、日志记录、死锁、线程调试、Visual Studio调试、F5负载均衡和服务器端应用程序等方面的内容。作者还介绍了如何使用Visual Studio调试.NET应用程序,并提供了详细的步骤和截图。此外,作者还介绍了一些常用的.NET调试工具,如Fiddler、Wireshark、Process Monitor等,以及如何使用这些工具进行网络调试、进程监控、文件读写等方面的操作。最后,作者还分享了一些调试.NET应用程序的经验和技巧,包括如何识别和解决死锁、内存泄漏、性能问题等。
随着应用程序的复杂度不断上升,要想将好的设计思想稳定的落实到线上,我们需要具备解决问题的能力。需要具备对运行时的错误进行定位且快速的解决它的能力。本篇文章我将分享一下我对.NET应用程序调试方面的学习和使用总结。
通常,使用 com4j 的第一步是从 COM 类型库生成 Java 类型定义。COM 类型库通常位于 .ocx、.dll、.exe 或 .tlb 文件中。除了使用 OleView 预测文件之外,我仍然不知道如何为给定的 COM 库定位类型库。
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反调试的技巧。 一.探测Windows调试器 恶意代码会使用多种技术探测调试器调试它的痕迹,其中包括使用Windows API、手动检测调试器人工痕迹的内存结构,查询调试器遗留在系统中的痕迹等。调试器探测是恶意代码最常用的反调试技术。 1.使用Windows API 使用Windows API函数检测调试器是否存在是最简单的反调试技术。Windows操作系统中提供了这样一些API,应用程序可以通过调用这些API,来检测自己是否正在被调试。这些API中有些是专门用来检测调试器的存在的,而另外一些API是出于其他目的而设计的,但也可以被改造用来探测调试器的存在。其中很小部分API函数没有在微软官方文档显示。通常,防止恶意代码使用API进行反调试的最简单的办法是在恶意代码运行期间修改恶意代码,使其不能调用探测调试器的API函数,或者修改这些API函数的返回值,确保恶意代码执行合适的路径。与这些方法相比,较复杂的做法是挂钩这些函数,如使用rootkit技术。 1.1IsDebuggerPresent IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。
Windows 反恶意软件扫描接口 (AMSI) 是微软推出一种通用接口标准,允许的应用程序和服务与机器上存在的任何毒软件进行调用。AMSI 为的最终用户及其数据、应用程序和工作负载提供增强的恶意软件保护。
在调试程序的过程中,如果程序在某个位置挂起执行(例如:中断到某个断点),通常我们希望能够通过一些工具观察程序的当前状态。其中,最重要的当属查看程序中数据的值。例如,查看某个变量的类型和值、某个寄存器的值、或某段内存的值。所以,几乎所有的调试器提供了大量用于检查和修改程序数据的工具。 表 1列出了Visual Studio所提供的用于检查和修改程序数据的工具。
Data Access Component (DAC) Notes ================================= Date: 2007 调试托管代码需要对托管对象及其构造有深入的
What Every Dev needs to Know About Exceptions in the Runtime ============================================================ Date: 2005 CLR中的异常有个重要区别,他是托管异常,通过诸如c#的的try/catch/finally的形式开放给应用程序。还有运行时内部异常。大多数运行时开发者很少考虑如何生成并公开托管异常模型。但是运行时开发者需要知道异常是如何实现的。为了保证区分两种
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了APT组织Fin7 / Carbanak的Tirion恶意软件,包括OpBlueRaven行动。这篇文章将介绍一种新型无文件APT攻击Kraken,它会利用Windows错误报告服务逃避检测。其中,DllMain函数反分析检查,以确保它不在分析/沙箱环境或调试器中运行非常值得我们学习。
首发于奇安信攻防社区:https://forum.butian.net/share/1475
Windows无人参与安装在初始安装期间使用应答文件进行处理。您可以使用应答文件在安装过程中自动执行任务,例如配置桌面背景、设置本地审核、配置驱动器分区或设置本地管理员账户密码。应答文件是使用Windows系统映像管理器创建的,它是Windows评估和部署工具包(ADK:Assessment and Deployment Kit)的一部分,可以从以下站点免费下载https://www.microsoft.com.映像管理器将允许您保存unattended.xml文件,并允许您使用新的应答文件重新打包安装映像(用于安装Windows)。在渗透式测试期间,您可能会在网络文件共享或本地管理员工作站上遇到应答文件,这些文件可能有助于进一步利用环境。如果攻击者遇到这些文件,以及对生成映像的主机的本地管理员访问权限,则攻击者可以更新应答文件以在系统上创建新的本地账户或服务,并重新打包安装文件,以便将来使用映像时,新系统可以受到远程攻击。
今天为大家介绍一款基于.NET Core运行时实现的Windows HOOK库,CoreHook。
本文针对的是Windows操作系统中常用的防破0解及防逆向工程保护技术,即反调试方法,各种防逆向工程技术的主要目标是尽可能多的使逆变工具尽可能失效。
我的机器老是这样。启动起来就有这个。。。 那位高手能告诉我这是怎么会事。故障的原因以及解决的办法。
首发于奇安信攻防社区:https://forum.butian.net/share/1478
在windows里面调试跟异常息息相关,如果想要对调试得心应手,异常处理的知识是必不可少的,本文主要介绍的是软件调试方面的有关知识,讲解调试程序和被调试程序之间如何建立联系
一般来说,电脑硬件不easy生病。内存故障的可能性并不大(非你的内存真的是杂牌的一塌徒地)。主要方面是:1。内存条坏了(二手内存情况居多)、2。使用了有质量问题的内存。3。内存插在主板上的金手指部分灰尘太多。4。使用不同品牌不同容量的内存。从而出现不兼容的情况。5。超频带来的散热问题。你能够使用MemTest 这个软件来检測一下内存,它能够彻底的检測出内存的稳定度。
我们知道一些游戏为了防止被分析会加入反调试的代码,那么我们的木马样本同样也需要用到反调试技术。攻和防其实是相对的,只有了解了调试的原理,才能更深入的进行对抗,本文就对一些常见的反调试手段进行总结并对深层原理进行探究。
下面借用网上的一张图来说明这个流程,上面说了可以让任何进程执行powershell其实也就是说使用具有注入功能的程序将一个非托管的C++DLL注入到目标进程中,然后该非托管DLL启动CLR,并加载要执行的托管DLL,最后调用CLR执行托管代码。
32位汇编第三讲,RadAsm,IDE的配置和使用,以及汇编代码注入方式 一丶RadAsm的配置和使用 用了怎么长时间的命令行方式,我们发现了几个问题 1.没有代码提醒功能 2.编写代码很慢,
本文记录一个 WPF 已知问题,当传入到渲染的 Geometry 几何里面包含了 NaN 数值,将可能让应用程序收到从渲染层抛上来的 UCEERR_RENDERTHREADFAILURE 异常,且此异常缺乏必要信息,比较难定位到具体错误逻辑
(1)如果安装了VMware Tools,则使用CreateToolhelp32Snapshot、Process32Next扫描进程列表,查看是否有VMwareService.exe、VMwareTray.exe和VMwareUser.exe (2)查看网卡地址是否以00:0C:29开头,或查看其它硬件版本 (3)探测内存痕迹,搜索含有VMware的字符串 (4)Red Pill反虚拟机技术->漏洞指令sidt,根据返回的idtr值不同,在多核处理器上无效 (5)No Pill技术->漏洞指令sldt,主机系统上的LDTR值为0,虚拟机中不为0 (6)查看查询I/O通信端口,监视in指令,第二个操作数为VX (7)查看str指令,主机和虚拟机中返回值不一样,str指令用来从任务寄存器中检索段选择子
在Windows上做开发的程序猿们都知道,x86架构处理器有一条特殊的指令——int 3,也就是机器码0xCC,用于调试所用,当程序执行到int 3的时候会中断到调试器,如果程序不处于调试状态则会弹出一个错误信息,之后程序就结束。使用VC开发程序时,在Debug版本的程序中,编译器会向函数栈帧中填充大量的0xCC,用于调试使用。因此,经常我们的程序发生缓冲区溢出时,会看到大量的“烫烫烫…”,这是因为“烫”的编码正是两个0xCC。
本篇继续阅读学习《有趣的二进制:软件安全与逆向分析》,本章是自由控制程序运行方式的编程技巧,主要介绍调试器的原理、代码注入和API钩子
一:源起 1.何为CB/S的应用程序 C/S结构的应用程序,是客户端/服务端形式的应用程序,这种应用程序要在客户电脑上安装一个程序,客户使用这个程序与服务端通信,完成一定的操作。 B/S结构的应用程序,是浏览器/服务端形式的应用程序,这种应用程序不用在客户端部署任何东西,客户只需要通过浏览器与服务端通信,来完成一定的操作。 两种类型的程序优缺点对比: 对比内容 C/S结构的应用程序 B/S结构的应用程序 部署 较困难 方便 升级
一、引言 Windows Thumbnail Handler是Windows平台下用来为关联的文件类型提供内容预览图的一套COM接口。通过实现Thumbnail相关的COM接口,就可以为
第一步:下载CEF 到这里下载最新版本的CEF http://cefbuilds.com/ 下载解压之后,大概会看到如下图所示的文件 cefclient:是一个比较复杂的示例代码 cefsimple:是一个简单的示例代码 Debug:是用于调试的库 include:是一系列的头文件 libcef_dll:里面的代码是对libcef.dll的包装 Release:是用于发布的库 Resources:是必要的资源文件 其他文件暂时就不一一解释了。 第二步:编译工程 用VS打开程序,开始编译 如
« 安装cronolog,格式化Apache的日志文件 | Blog首页 | 配置AWStats,Apache日志分析工具 »
此项目包含各种.NET程序集,这些程序集包含来自Windows库的P/Invoke函数、接口、枚举和结构。每个程序集都与一个或几个紧密相关的库相关联。例如,Shlwapi.dll包含从Shlwapi.lib导出的所有函数;Kernel32.dll包含Kernel32.lib和kernelbase.lib的全部。
1.变量未初始化。下面的程序在debug中运行的很好。 thing * search(thing * something) BOOL found; for(int i = 0; i < whatever.GetSize(); i++) { if(whatever[i]->field == something->field) { /* found it */ found = TRUE; break; } /* found it */ } if(found) return whatever[i]; else return NULL; 而在release中却不行,因为debug中会自动给变量初始化found=FALSE,而在release版中则不会。所以尽可能的给变量、类或结构初始化。
注册/反注册dll或ocx文件时,无论是用regsvr32还是DllRegisterServer/DllUnregisterServer,可能会遇到【内存位置访问无效】的问题:
Antimalware Scan Interface(AMSI)为反恶意软件扫描接口。
完整的错误是这样的 无法加载 DLL“xxx.dll”: 应用程序无法启动,因为应用程序的并行配置不正确。有关详细信息,请参阅应用程序事件日志,或使用命令行 sxstrace.exe 工具。 (异常来自 HRESULT:0x800736B1)
VMWare的GDB调试器功能比较简单也比较基础,该调试器并不知道处理器和线程的任何信息(对于Windows系统),因而如果想要得到一些高等级的信息,我们需要自己做一些额外的工作。本文主要讲解了如何使用IDAPython脚本来让IDA处理已经加载的模块列表和加载符号库。
在IDA Pro6.1中我们扩展了Bochs调试器插件,现在已经可以进行64位代码段的调试。在IDA Pro 6.2版本中将有可能实现PE+ 可执行程序的动态调试。由于程序将会在Bochs系统中执行,因而在调试的过程中我们并不需要实际的64位操作系统,因而在实际的调试过程中可以从任何的32位或者64位的Linux,Mac OS 或者Windows操作系统中使用IDA Pro进行64位可执行文件的调试。
领取专属 10元无门槛券
手把手带您无忧上云