SoftRCE再次回归上线

星期天,2009-04-26 at 3:38 上午

作者:ayarei

不知道如何形容这次的再相会。没错,SoftRCE.net终于再次上线了。很高兴,在前一段时间,我们选择了比较稳定的服务商Wopus中文社区作为IDC。之前SoftRCE.net之所以离线,是因为没有获得国内网站备案。(SoftRCE.net确实申请了网站备案,但是迟迟没有获得备案号,最终被ISP商强制关闭。)这次的服务器是选定在了美国,虽然速度慢了一些,但是起码不会受到不可理解的原因导致的关闭的困扰。

这次如果没有什么意外的话,SoftRCE.net会坚持上线,并且将会带来更多精彩内容。希望大家继续期待和支持吧 :)

醒目:blog是可以自行注册订阅者的,如果你想获得作者权限,请联系管理员Robinh00d先生 :D

By admin | Posted in 华山论剑(Watering) | Comments (17)

SoftRCE的Mail Server开通了!

星期天,2009-02-01 at 2:27 下午

前两天在live.cn开通了SoftRCE的邮件服务器,目前支持申请500个@SoftRCE.net为后缀的邮箱,在SoftRCE内部注册过的用户可以向admin_at_softrce_dot_net发送邮件或者联系QQ:530222815申请开通邮箱,该账号可以作为邮箱和MSN使用。

By robinh00d | Posted in 华山论剑(Watering) | Comments (0)

容易被忽略的IDA快捷键

星期六,2009-01-10 at 3:04 下午

1. 选中寄存器按V,用输入内容替换寄存器名

2. 选定汇编指令段按T,批量修改范围内结构偏移

3. 选中操作数按Alt+F1,输入内容替换操作数

4. 选定汇编指令行按Alt+F2,输入内容替换原有指令

5. Insert,输入段前注释

6. Shift+Insert,输入段后注释

By admin | Posted in 乾坤挪移(RCE) | Comments (0)

[转载]在英特尔软件网络博客上看到的

星期天,2008-11-16 at 3:44 下午

《“老子”是伟大的多核计算科学家》

原文地址如下:

http://softwareblogs-zho.intel.com/2008/11/10/817/#comment-1425

我也看《道德经》但是境界没别人高啊! 

By admin | Posted in 华山论剑(Watering) | Comments (1)

今天又地震~~

星期天,2008-11-16 at 11:25 上午

四川平武县今晨发生5.1级地震  2008年11月16日08:13  新华网
  新华网北京11月16日电 据国家地震台网测定,北京时间11月16日6时59分,在四川省绵阳市平武县(北纬32.2度,东经104.7度)发生5.1级余震。震源深度约22公里,震中距绵阳市约80公里,距成都市约170公里。据初步了解,成都市和绵阳市平武、江油等地有震感!

 

上帝保佑我还活着!赶快在SOFTRCE上留篇文章。不然不知道以后还有没有机会。。。  。。。

By admin | Posted in 华山论剑(Watering) | Comments (0)

绕过主动防御的代码注入方法一点思考

星期三,2008-10-22 at 11:57 上午

目前大多数的杀软都是hook NtWriteVirtualMemory和NtUserSetWindowsHookAW、NtUserSetWindowsHookE来防止代码注入。

关于代码注入Ring3层的方法主要有:
  • 远程线程CreateRemoteThread
  • 消息钩子SetWindowsHookEx
  • Ring3 APC QueueUserApc
  • 修改线程上下文SetContextThread
其中第一种和第三种方法需要传入一个param,但是要求这个param必须在目标进程内存空间,之前的一些方法比较笨重,直接在目标进程VirtualAllocEx内存,然后把希望的参数内容写入这个内存,使用了WriteProcessMemory函数,而这个函数是被hook的,所以杀软可以很容易的拦截代码注入行为。
仔细想想,杀软的这种防御是很失败的!原因是为了要一个param,攻击者完全没有必要做这么大的动作去目标进程内存空间申请内存并写内存,我在思考是否可以不用WriteProcessMemory函数呢?反正我的目的就是得到一个合理的param,并且这个param是在目标进程内存空间即可! Read More »
By admin | Posted in 东邪西毒(VIRII/AV) | Comments (0)

构造无人之境: Exploiting Realtek RTL8139单芯片以太网控制器

星期三,2008-10-22 at 11:34 上午

优良的rootkit(以下简写为rk)通常应该具备隐蔽稳定的通信功能。正如优秀的程序员一直追求用最简洁的代码完成功能需求一样,优秀的rk coder也一直秉承着绝不在rk中加入过多无用的远程命令,让rk尽量回归其原始定义–获得“root”权限的kit的宗旨。而如何实现隐蔽是rk通信首先要考虑的问题。
因此,出现了各式各样的隐蔽隐藏技术。几年前的高级手段随着内核技术的公开与普及在时下被理所当然地判定为浅“藏”辄止,而时受深度检测工具干扰的在内核级深藏不露的rk亦不能使rk coder感到一劳永逸。因为构造隐蔽通信中的无人之境才是他们永恒不变的追求。 Read More »

By admin | Posted in 独孤九剑(Kernel) | Comments (0)

Vista Bootmgr/Winload使用的大部分选项ID

星期天,2008-10-19 at 3:46 上午

vista bootmgr的选项存储在systemdevice\boot\bcd,这个HIVE文件类似以前的boot,ini

boot.ini的选项在该HIVE中是以guid->option id的形式来体现的

除了保留了原来boot.ini可以使用的大部分选项外,还新增了许多选项,例如test signing, disable integrity checks,hypervisor debug options,cmdcons等等等

以下是我分析WINLOAD.EXE和bootmgr找出的一些选项ID(50个,包括大部分选项),通过这些选项ID可以查看、修改VISTA的许多启动设置(结合参考:http://www.debugman.com/read.php?tid=1999Read More »

By mj0011 | Posted in 乾坤挪移(RCE) | Comments (0)

[POC]基于IO Packet隐藏文件和注册表,过磁盘解析和总线解析

星期天,2008-10-19 at 3:44 上午

昨天晚上玩过游戏,睡觉前写了一点代码,下午醒来又稍微改了改

只是POC~

文件的貌似有时候能隐藏又时候不行~郁闷的是每次跟过去就可以隐藏了,不跟的话有时候又隐藏不了~最后懒得改了~~~另外 由于没有动CACHE,所以对于用API或者FSD的文件检查反而过不去~ Read More »

By mj0011 | Posted in 独孤九剑(Kernel) | Comments (0)

About Handling Nmi

星期三,2008-10-15 at 2:39 下午

本文基于Windows2003以上32位系统,因为XP处理NMI很弱,我们后面再说。
最近为硬件写驱动,需要处理关于NMI的一些东西,2003或者Vsita32上如果你不想弄的太复杂,可以调用新增的KeRegisterNmiCallback函数注册一个回调函数等待处理.但是在XP下就很困难,解决的办法有两个:hook或者update.所谓hook,这个不难理解,hook在哪里就仁者见仁了;而update就是仿造2003下的实现方法,在XP下自己实现一些处理例程,虽然要建立一些必要的结构,也要修改特定的描述符,显得繁杂,但是比起hook来更有成就感.另外,研究和处理中断的方法类似,大家可以自己调试编码其他的中断,会有很多启发的. 项目的代码不好公开,那就把以前记录的一些资料和最新的体会写下来,希望对大家有用。 Read More »

By admin | Posted in 独孤九剑(Kernel) | Comments (0)