Friddy's罐子 - 反黑客日记

强大无比的Webshell扫描器

root@friddy.cn(friddy) — Sat,05 Sep 2009 18:52:37 +0800

只能用强大、漂亮、NB三个词来形容，支持扫描几乎所有的Webshell（网页木马）。
扫描完了还可以给一个表报，扫描速度也是快的没法说，扫10000个文件的目录只要2s钟。。。。。
直接上图：

下载地址：http://www.friddy.cn/download/webshellscanner.rar
原下载地址：http://www.yxlink.com/html/zhichiyuxiazai/ruanjianxiazai/2009/0904/146.html

【非广告】能从网络报文分析画出黑客攻击过程的“牛软”

root@friddy.cn(friddy) — Tue,12 May 2009 22:22:40 +0800

世界上几乎每20秒就有一起黑客事件发生，仅美国每年所造成的经济损失就超过100亿美元。目前，我国黑客活动已日益频繁，国内各大网络及国防重点单位个人电脑几乎都不同程度地遭到具有敌意的国家和内部恶意人员的攻击。如何切实有效地防范黑客攻击已成为当下计算机信息安全中亟待解决的问题。

传统安全产品能够发现具体的黑客攻击过程信息，但这些信息数量巨大，一次完整的黑客攻击可能包括数千次的攻击过程，这些攻击又被埋在数万条，甚至数十万、百万条与之无关的攻击中。因此如何及时有效发现网络中正在发生的恶意攻击行为，甄别出哪些黑客进行了攻击，控制了哪些机器，造成了哪些伤害，成为当前急需解决的重大课题。

睿视系统采用国际领先的黑客入侵过程重现技术(如下图所示)，将海量的、底层的、孤立的黑客攻击过程进行重现，形成有威胁、高层次、有关联的安全场景，准确定位出黑客来源和受控制的机器，分析出攻击造成的潜在后果，为安全的精确防御提供可能。尤其是在用户对黑客攻击处于未知状态下，即能主动上报安全事件，将黑客攻击限制在萌芽状态，降低了维护网络安全的成本，减少了因安全问题带来的损失，提升了用户防护信息安全的能力。

一个案例：
网站SQL注入案例

--------------------------------------------------------------------------------

案例概要
攻击者利用网站的SQL 注入漏洞，取得以MS SQL Server管理员权限执行系统命令的权限，然后试图在系统中添加用户。为了穿透防火墙，黑客下载并使用了端口转向工具，并企图通过该工具使用远程桌面控制被攻击服务器。该入侵行为被睿智系统及时发现，安全人员已及时采取措施，未造成严重影响。相关处理方案已经实施完毕。

黑客入侵过程重现

黑客入侵过程重现示意图

下载地址：http://www.ssyeah.com

Javascript 虚拟执行引擎近期小结

root@friddy.cn(friddy) — Fri,20 Mar 2009 09:57:59 +0800

近期在做Javascript的虚拟执行引擎，V8的一个最小环境已经做好了，编译起来方便多了。

下面是一段把ActiveX的clsid分开书写的例子。这种分开书写的网页木马，让大量的IDS与IPS

的签名头疼，以Snort来说，就有千余条的WEB-CLIENT的规则失效。

下面是整的比较清爽的一个Javascript VM的环境，调用script->Run()就能虚拟运行Javascript了

下面是运行后的效果，恩！clsid已经连接起来了。WOW！！！

再看点火力猛点的网页木马，下面这个就是个N多杀软不能检测的例子（不全）。

下面我们让这个Javascript虚拟执行一下，明文出来了：

下面这张图显示的是Shellcode

接下来这张很明显的可以看出，是ms09-002的网马

到此完毕。

后面一段时间将花业余的时间做内存审计和统计相关的工作，尽力完善它。