201801 - 流沙团 -- 关注网络安全

简单登录脚本测试

流沙团 • 2018-1-17 • C/C++ • 3752View

0x001 易语言模拟了一个登录框展示: 0x002 使用win32 模拟登录测试全部代码: // 20180117_01.cpp : Defines the entry point for the application. //WTWindow #include "stdafx.h" #include <windows.h> BOOL isStart=FALSE; //登录 void QQLogin() { TCHAR szTitle[MAX_PATH...

简单测试鼠标键盘事件

流沙团 • 2018-1-16 • C/C++ • 3883View

类似案件按键精灵的东西，直接上代码 // 20180116_02.cpp : Defines the entry point for the application. // #include "stdafx.h" #include <windows.h> #include <stdio.h> //FindWindow void test1() { TCHAR szTitle[MAX_PATH]={0}; HWND hwnd = FindWindow(TEXT("WTWindow"),TEXT("用户名采集 V1.0...

文件加壳实现（五） —— 已完成

流沙团 • 2018-1-15 • C/C++ • 3812View

20180115.rar 0x001 写了一个多星期了大多参考的时课程，以及红色病毒的代码还有很多的知识点不太理解模模糊糊的写出来了，中间也遇到了很多困难，字节贴关键代码吧我把工程文件也附加上 // TestShell.cpp : Defines the entry point for the application. // #include "stdafx.h" #include <windows.h> #include ...

文件加壳实现（四） —— VirtualAllocEx

流沙团 • 2018-1-15 • C/C++ • 4183View

早上起来忙了两个小时, 主要参考的红色病毒的代码,一直在更改中还有四步才能实现帖一下半成品的代码 // TestShell.cpp : Defines the entry point for the application. // #include "stdafx.h" #include <windows.h> #include <stdio.h> #include <stdlib.h> #include "PEOperate.h" /* 以挂起的形式创建进程，获取Conte...

文件加壳实现（三） —— ZwUnmapViewOfSection

流沙团 • 2018-1-14 • C/C++ • 6646View

还不完整, 继续整理中 // TestShell.cpp : Defines the entry point for the application. // #include "stdafx.h" #include <windows.h> #include <stdio.h> #include <stdlib.h> #include "PEOperate.h" /* 以挂起的形式创建进程，获取Context */ #define KEY 0x56 #pragma pack(push...

十种注入技巧 | 通用性进程注入技巧研究

流沙团 • 2018-1-14 • C/C++ • 3898View

文章地址:https://zhuanlan.zhihu.com/p/28671064 进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术，这需要在另一个进程的地址空间内运行自定义代码。进程注入提高了隐蔽性，一些技术也实现了持久性。尽管有许多流程注入技术，在本博客中，我提供了十种在现实看到注入另一个进程运行恶意代码的技术。我还提供了许多这些技术的屏幕截图，以便于逆向工程和恶意软件分析，协助针对这些常见技术进行检测和防御。 1. 经典的DLL注入方式：通过CREATEREMOTETHREAD和LOADLIBRARY进行注入 ...

【转贴】直接运行内存中的程序

流沙团 • 2018-1-14 • C/C++ • 3266View

Windows的PE加载器在启动程序的时候，会将磁盘上的文件加载到内存，然后做很多操作，如函数导入表重定位，变量预处理之类的。这位仁兄等于是自己写了一个PE加载器。直接将内存中的程序启动。记得以前的“红色代码”病毒也有相同的特性。直接启动内存中的程序相当于加了一个壳，可以把程序加密保存，运行时解密到内存，然后启动，不过对于增加破解难度还要稍微复杂点。否则人家把内存中的进程DUMP出来然后修复导入表就被拖出来了。代码自己改吧 #include "stdafx.h" type...

【转贴】直接载入内存中的DLL

流沙团 • 2018-1-14 • C/C++ • 3344View

前言你可能不希望在发布程序时附带上一个外部的 DLL，因为可能会有些用户在无意中把 DLL 删除了而造成 EXE 不能正确运行，也有可能该 DLL 会被别人拿去使用，也有可能，此 DLL 会成为破解者破解你的程序的突破口。无论出于何种原因，如果你想把一个 DLL 合并到一个 EXE 中的话，本文向你介绍这种方法。 Win32 ...

齐天大圣，美图分享

流沙团 • 2018-1-12 • 随笔 • 3481View

看视频截取的一张图，分享下！！

文件加壳实现（二） —— 读取数据并解密

流沙团 • 2018-1-11 • C/C++ • 3369View

半成品，继续写 // TestShell.cpp : Defines the entry point for the application. // #include "stdafx.h" #include <windows.h> #include <stdio.h> #include <stdlib.h> #include "PEOperate.h" /* 以挂起的形式创建进程，获取Context */ #define KEY 0x56 LPVOID GetLastSecData(LPSTR lpsz...

文件加壳实现（一）—— 添加进文件并加密

流沙团 • 2018-1-10 • C/C++ • 4060View

半成品，要下班了，记录下 0x1 调用函数 BOOL PackExeFile(HWND hwndDlg) { HWND hEditShell = GetDlgItem(hwndDlg,IDC_EDIT_SHELL); HWND hEditSrc = GetDlgItem(hwndDlg,IDC_EDIT_SRC); TCHAR shellPath[256]={0}; TCHAR srcPath[256]={0}; GetDlgItemText(hwndDlg,IDC_EDIT_SHELL,shellPath,256); ...

异或文件加密测试

流沙团 • 2018-1-10 • C/C++ • 3618View

直接上代码吧，写的时候遇到了点问题，找到根源以后，就搞定了，注意define的语法，错的挺郁闷的 // 20180110_01.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <windows.h> #include <stdio.h> #include <stdlib.h> #define FileKey 0x86 //加载PE文件到内存中,并获取文件长...

ReadProcessMemory

流沙团 • 2018-1-6 • C/C++ • 3355View

测试进程之间互相读取信息 // 20180106_06.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <stdio.h> #include <windows.h> int main(int argc, char* argv[]) { TCHAR szFileName[] = "c://ipmsg.exe"; STARTUPINFO si={0}; si.cb = sizeof(STARTUPIN...

进程继承操作的传递控制

流沙团 • 2018-1-6 • C/C++ • 3400View

主要是两个子进程之间的控制： 0x1 代码一 // 20180106_01.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <stdio.h> #include <windows.h> int main(int argc, char* argv[]) { //printf("Hello World!\n"); //开启IE /* BOOL...

斗地主遇到鬼了。。。

流沙团 • 2018-1-5 • 随笔 • 3315View

符合墨菲定律，每一次担心都可能发生，并且所有的小概率都发生了。。