当心灵手巧的我克服重重困难让我那奄奄一息的9700重生之后,我决定写篇博客记录一下我的黑莓情节。
8700
我的第一部黑莓手机是曾经风靡一时的8700G。其实当初买这个手机纯属意外, 大概是在09年夏天,我的前一部手机LG kc550在上海客运总站被偷。当时穷酸的我决定先买一部简单的手机凑合着用。在把心理价位锁定在500左右之后,我选中了一部诺基亚的低端手机,可是到手后发现是移动定制版的,不喜欢只好退掉。后来突然想到当时的同事Face同学给我看过她买了玩的黑莓手机,全键盘的很酷,好像挺能糊弄人。我上淘宝一顿搜索之后,于是认领了自己的第一部黑莓手机,500元的换壳版8700G。那时候8700系列应该已经停产了,所以基本上所有的8700都是翻新的。但如此低廉的价格能买到一部智能手机,更重要的是还是彩屏的!
我觉得还是有必要写个plan的。我记得我列plan的那几年,生活明显带有趋向性。而相比没有plan的去年,日子就有些随意凌乱。
可我毕竟还是懒的,一直觉得需要挑个稍微特殊的日子写plan才能让plan显得有意义,从而增加执行的分量。于是我错过了元旦,错过了除夕,错过了……我大概想了想,下一个还能错过的日子应该要到年中,所以——两个星期的长假在工作后几乎很少出现,着实觉得奢侈,今天是长假最后一天——我想是时候把这个plan整理一下了。
2011年似乎没有什么刻骨铭心的事情发生,至少我转瞬一想过去的一年,没有什么能主动浮现在我脑海里。所以我就照着日历,按时间顺序,开始梳理我的2011。 阅读全文 »
最近CSDN等知名网站密码泄漏的事情闹得沸沸扬扬,我的1个主帐号和几个马甲不幸中招,然后我才突然想起来前几天我的新浪微博两次被莫名其妙添加关注和粉丝,看来是这几次脱库有点关系。于是我也在慌乱之中洋洋洒洒地改了无数密码。
平静之余,我想起来11月底在上海参加的ISF 2011。这是我第一次参加比较正式的安全界的会议,虽说ISF的规模和影响力在业内还不是非常地知名,但是于我来说仍有重要的意义。
插件介绍:一个可以直接在OD里实现“物理地址和虚拟地址相互转换”的插件。详细请看上一篇文章。
这个功能早就想加进去了,这几天才终于抽出点时间实现。
目前增加了“物理地址”转“虚拟地址”的功能,所以现在这个版本包含了“虚拟地址”和“物理地址”“相互转换”的功能,并且修复了上个版本的几个小问题。
In previous article, my colleague talked about a new way to inject virus codes into other normal processes in order to bypass firewall’s detection. During the continuous research of ZeroAccess, we find there’re some improvements for this series of anti-detection and anti-debug methods. And what’s most interesting is ZeroAccess seems to really like lsass.exe. It often wears lsass’s clothing.
In this case, the variation of ZeroAccess did not use ZwMapViewOfSetion to inject into explorer.exe. It just used normal ZwAllocateVirtualMemory and ZwWriteVirtualMemory to fill in explorer.exe’s memory with virus codes.
After entered explorer’s virus code space, it will first calls RtlAddVectoredExceptionHandler to install an exception handler.
如果不是这繁忙的国庆,我怕是不会想起我来北京已经一年了这件小事。
去年这个时候,我因为从上海搬家来京太过劳累,以至于搬书的时候闪了小蛮腰,结果中秋节在汉庭的床上躺了三天。接着的国庆7天只能宅在北京五环外的一间小屋里,养伤顺带完成了私活的一个项目。
不知道什么原因,总觉来京这一年过得有点漫长。年中的时候,也时不时地会掐指算算,自己年龄几何,毕业几年,来京多久。相比之下,在上海的4年却仿佛白驹过隙。
总的来说,在京的这一年,感受有点错综复杂。而随着年龄和交际圈的增大,自己也变得更加谨慎,很多话如果觉得说出来不太合适,就都咽在了肚子里。所以,对于北京的一些想法,思前想后之后,仿佛都觉得不妥,一来担心这些想法是受自己的负面情绪控制,二来是怕自己的这些看法只是因为对北京了解的太少。
病毒瞄准国内流行软件,迅雷遨游均成目标
病毒替换Windows系统文件早已不是什么新鲜事了。但是替换应用程序的组件却一直很少见,这多半是因为触发较难或者通用性不够。过去我们见到过的大部分相关案例是病毒会替换QQ的组件来盗取用户的QQ秘密。而最近,AVG截获到一种会替换国内流行软件的组件来实施恶意行为。而这些流行软件中包括了迅雷、遨游、阿里旺旺等几乎装机必备的软件。
这款病毒首先会从网上下载一个配置文件,里面包含了一些重要信息,包括替换哪些软件的组件,如何去替换。
Virustotal uploader,简称VTU,是一个可以上传文件到virustotal.com并常看扫描结果的客户端工具。现在的最新版本是2.0,默认的是安装版本,目前已经被汉化绿化。
用了几次之后,我发现VTU有个不符合使用习惯的地方。VTU如果发现文件的扫描结果在virustotal.com上已经存在,默认会直接打开最新扫描结果的页面,然后才会让你选择是否“重新上传”;如果你选择了“重新上传”,VTU就打开Virustotal上让你选择“reanalyse”还是“view latest report”的页面,也就是说,你还得再点击“reanalyse”才能打开最后的重新扫描的结果页面。
我觉得这个有点累赘了,因为如果你需要重新扫描文件的话,你得操作两次才能得到结果。我觉得应该在一开始就给用户一个选择“直接查看最新扫描结果”还是“重新扫描”的机会。
周末没啥事,也不想贪玩,就给VTU做了点小手术。patch了两块地方:
1:如果发现文件扫描结果已经在virustotal上存在,弹出对话框,让用户选择是“打开已有的最新报告页面”还是“打开重新扫描的结果页面”。
2:如果选择了“打开重新扫描的结果页面”,则直接跳转到重新扫描的页面,而非“选择reanalysze还是view latest report”的页面。
修改后的运行界面如下:
TDL-4应该是最近除了Stuxnet之外,技术最先进的病毒了。
概括来说,TDL-4的行为分下面几个部分:
1· Dropper:释放驱动和在引导感染模块里加载的病毒
2· 内核感染模块:感染MBR,保护hook安装,文件系统创建
3· 引导感染模块:也就是Bootkit部分
从2005年12月起,
我,一共写了290篇博客。
你,是第386665位访客。
