<![CDATA[Friddy's罐子 - 反黑客日记]]> http://www.friddy.cn/ PJBlog3 2009-09-05T18:52:37+08:00 <![CDATA[强大无比的Webshell扫描器]]> friddy http://www.friddy.cn/ root@friddy.cn 2009-09-05T18:52:37+08:00 2009-09-05T18:52:37+08:00 扫描完了还可以给一个表报,扫描速度也是快的没法说,扫10000个文件的目录只要2s钟。。。。。
直接上图:




下载地址:http://www.friddy.cn/download/webshellscanner.rar
原下载地址:http://www.yxlink.com/html/zhichiyuxiazai/ruanjianxiazai/2009/0904/146.html]]> http://www.friddy.cn/default.asp?id=104 <![CDATA[【非广告】能从网络报文分析画出黑客攻击过程的“牛软”]]> friddy http://www.friddy.cn/ root@friddy.cn 2009-05-12T22:22:40+08:00 2009-05-12T22:22:40+08:00
传统安全产品能够发现具体的黑客攻击过程信息,但这些信息数量巨大,一次完整的黑客攻击可能包括数千次的攻击过程,这些攻击又被埋在数万条,甚至数十万、百万条与之无关的攻击中。因此如何及时有效发现网络中正在发生的恶意攻击行为,甄别出哪些黑客进行了攻击,控制了哪些机器,造成了哪些伤害,成为当前急需解决的重大课题。

睿视系统采用国际领先的黑客入侵过程重现技术(如下图所示),将海量的、底层的、孤立的黑客攻击过程进行重现,形成有威胁、高层次、有关联的安全场景,准确定位出黑客来源和受控制的机器,分析出攻击造成的潜在后果,为安全的精确防御提供可能。尤其是在用户对黑客攻击处于未知状态下,即能主动上报安全事件,将黑客攻击限制在萌芽状态,降低了维护网络安全的成本,减少了因安全问题带来的损失,提升了用户防护信息安全的能力。



一个案例:
网站SQL注入案例

--------------------------------------------------------------------------------



案例概要
攻击者利用网站的SQL 注入漏洞,取得以MS SQL Server管理员权限执行系统命令的权限,然后试图在系统中添加用户。为了穿透防火墙,黑客下载并使用了端口转向工具,并企图通过该工具使用远程桌面控制被攻击服务器。该入侵行为被睿智系统及时发现,安全人员已及时采取措施,未造成严重影响。相关处理方案已经实施完毕。

黑客入侵过程重现



黑客入侵过程重现示意图

下载地址:http://www.ssyeah.com]]> http://www.friddy.cn/default.asp?id=94 <![CDATA[Javascript 虚拟执行引擎近期小结]]> friddy http://www.friddy.cn/ root@friddy.cn 2009-03-20T09:57:59+08:00 2009-03-20T09:57:59+08:00 近期在做Javascript的虚拟执行引擎,V8的一个最小环境已经做好了,编译起来方便多了。

下面是一段把ActiveX的clsid分开书写的例子。这种分开书写的网页木马,让大量的IDS与IPS
 
的签名头疼,以Snort来说,就有千余条的WEB-CLIENT的规则失效。
 
 
 
 
 
 
 
 
 
 
下面是整的比较清爽的一个Javascript VM的环境,调用script->Run()就能虚拟运行Javascript了
下面是运行后的效果,恩!clsid已经连接起来了。WOW!!!
再看点火力猛点的网页木马,下面这个就是个N多杀软不能检测的例子(不全)。
 
下面我们让这个Javascript虚拟执行一下,明文出来了:
下面这张图显示的是Shellcode
接下来这张很明显的可以看出,是ms09-002的网马
到此完毕。
 
后面一段时间将花业余的时间做内存审计和统计相关的工作,尽力完善它。
]]> http://www.friddy.cn/default.asp?id=89