ISF 2011,脱库事件和其他。
最近CSDN等知名网站密码泄漏的事情闹得沸沸扬扬,我的1个主帐号和几个马甲不幸中招,然后我才突然想起来前几天我的新浪微博两次被莫名其妙添加关注和粉丝,看来是这几次脱库有点关系。于是我也在慌乱之中洋洋洒洒地改了无数密码。
平静之余,我想起来11月底在上海参加的ISF 2011。这是我第一次参加比较正式的安全界的会议,虽说ISF的规模和影响力在业内还不是非常地知名,但是于我来说仍有重要的意义。
VA2FO插件更新0.2,增加FO转VA功能。
插件介绍:一个可以直接在OD里实现“物理地址和虚拟地址相互转换”的插件。详细请看上一篇文章。
这个功能早就想加进去了,这几天才终于抽出点时间实现。
目前增加了“物理地址”转“虚拟地址”的功能,所以现在这个版本包含了“虚拟地址”和“物理地址”“相互转换”的功能,并且修复了上个版本的几个小问题。
ZeroAccess’s trick – A wolf in sheep’s clothing.
In previous article, my colleague talked about a new way to inject virus codes into other normal processes in order to bypass firewall’s detection. During the continuous research of ZeroAccess, we find there’re some improvements for this series of anti-detection and anti-debug methods. And what’s most interesting is ZeroAccess seems to really like lsass.exe. It often wears lsass’s clothing.
In this case, the variation of ZeroAccess did not use ZwMapViewOfSetion to inject into explorer.exe. It just used normal ZwAllocateVirtualMemory and ZwWriteVirtualMemory to fill in explorer.exe’s memory with virus codes.
After entered explorer’s virus code space, it will first calls RtlAddVectoredExceptionHandler to install an exception handler.
北京1年。
如果不是这繁忙的国庆,我怕是不会想起我来北京已经一年了这件小事。
去年这个时候,我因为从上海搬家来京太过劳累,以至于搬书的时候闪了小蛮腰,结果中秋节在汉庭的床上躺了三天。接着的国庆7天只能宅在北京五环外的一间小屋里,养伤顺带完成了私活的一个项目。
不知道什么原因,总觉来京这一年过得有点漫长。年中的时候,也时不时地会掐指算算,自己年龄几何,毕业几年,来京多久。相比之下,在上海的4年却仿佛白驹过隙。
总的来说,在京的这一年,感受有点错综复杂。而随着年龄和交际圈的增大,自己也变得更加谨慎,很多话如果觉得说出来不太合适,就都咽在了肚子里。所以,对于北京的一些想法,思前想后之后,仿佛都觉得不妥,一来担心这些想法是受自己的负面情绪控制,二来是怕自己的这些看法只是因为对北京了解的太少。
病毒瞄准国内流行软件,迅雷遨游均成目标
病毒瞄准国内流行软件,迅雷遨游均成目标
病毒替换Windows系统文件早已不是什么新鲜事了。但是替换应用程序的组件却一直很少见,这多半是因为触发较难或者通用性不够。过去我们见到过的大部分相关案例是病毒会替换QQ的组件来盗取用户的QQ秘密。而最近,AVG截获到一种会替换国内流行软件的组件来实施恶意行为。而这些流行软件中包括了迅雷、遨游、阿里旺旺等几乎装机必备的软件。
这款病毒首先会从网上下载一个配置文件,里面包含了一些重要信息,包括替换哪些软件的组件,如何去替换。
Virustotal Uploader patched – VTU优化版。
Virustotal uploader,简称VTU,是一个可以上传文件到virustotal.com并常看扫描结果的客户端工具。现在的最新版本是2.0,默认的是安装版本,目前已经被汉化绿化。
用了几次之后,我发现VTU有个不符合使用习惯的地方。VTU如果发现文件的扫描结果在virustotal.com上已经存在,默认会直接打开最新扫描结果的页面,然后才会让你选择是否“重新上传”;如果你选择了“重新上传”,VTU就打开Virustotal上让你选择“reanalyse”还是“view latest report”的页面,也就是说,你还得再点击“reanalyse”才能打开最后的重新扫描的结果页面。
我觉得这个有点累赘了,因为如果你需要重新扫描文件的话,你得操作两次才能得到结果。我觉得应该在一开始就给用户一个选择“直接查看最新扫描结果”还是“重新扫描”的机会。
周末没啥事,也不想贪玩,就给VTU做了点小手术。patch了两块地方:
1:如果发现文件扫描结果已经在virustotal上存在,弹出对话框,让用户选择是“打开已有的最新报告页面”还是“打开重新扫描的结果页面”。
2:如果选择了“打开重新扫描的结果页面”,则直接跳转到重新扫描的页面,而非“选择reanalysze还是view latest report”的页面。
修改后的运行界面如下:
Windows XP/7启动过程和TDL-4的加载过程。
TDL-4应该是最近除了Stuxnet之外,技术最先进的病毒了。
概括来说,TDL-4的行为分下面几个部分:
1· Dropper:释放驱动和在引导感染模块里加载的病毒
2· 内核感染模块:感染MBR,保护hook安装,文件系统创建
3· 引导感染模块:也就是Bootkit部分
OD虚拟地址转物理偏移插件:VA2FO。
工作中做CRC特征的时候,需要根据文件偏移地址选取一定范围。通常调试都是用OD,而OD里显示的都是虚拟地址。这样一来,每次都得自己打开IDA或者StudPE转换一下。
于是我就抽空写了个这样的插件,挺简单的,不过应该还是挺实用的。
源码和dll下载:VirAddr2FileOffset
解压密码:infected
右击选择“Get File Offset”调用,或者按Ctrl + 2。(快捷键在笔记本上似乎不太好使)
替换系统文件盗取密码,暑期玩网游需多加提防
替换系统文件盗取密码,暑期玩网游需多加提防
端午小长假刚过,就迎来了忙碌的高考。高考结束后就是暑假了。暑假干点什么放松好呢?玩网游是大部分男孩子的选择之一。而”网游账号被盗”应该是网游玩家们最大的痛苦之一了。
AVG中国病毒实验室近日截获一种最新的网游盗号木马。该盗号木马隐藏自身的手段很巧妙,只有当你的游戏运行起来之后,该木马才会激活,然后悄无声息地盗取你的网游账号和密码。
