当前位置: 操作系统/服务器>windows
本页文章导读:
▪求反病毒软件实时监控的实例,该怎么处理 求反病毒软件实时监控的实例“异常报告”(病毒,蠕虫,木马,可疑操作的报告)、“注册表监控”、“文件系统监控”、“web页面自动运行程序监控”、“报告日志记录”、“可疑文件.........
▪ RAR文件密码破解解决方案 RAR文件密码破解谁能破解rar加密文件,帮帮忙加我QQ ,我把文件传给你!296048950把文件传到网盘上吧
rar文件解密,就只有advanced rar password recovery这工具较好是否能破解成功,要看密码的复杂.........
▪ 线程注入的有关问题 线程注入的问题最近在学习线程注入技术 现在要把一个dll注入到记事本进程中. 这是我的注入线程的工作函数 DWORD WINAPI remote(LPVOID pvparam) { REMOTEPARAM *rp=(REMOTEPARAM*)pvparam; .........
[1]求反病毒软件实时监控的实例,该怎么处理
来源: 互联网 发布时间: 2014-02-18
求反病毒软件实时监控的实例
“异常报告”(病毒,蠕虫,木马,可疑操作的报告)、“注册表监控”、“文件系统监控”、“web页面自动运行程序监控”、“报告日志记录”、“可疑文件的上传分析”或者注册表、文件系统、web页面的监控都可以,,。。
我要例子,,或者其他的可以参考的资源都可以。。。。。。
分不够再加(虽然分对于一些大牛,分不是很重要,但是,表示偶的诚意)
事件日志:
接收到事件的时间(UTC): 09-12-18 3:39:55
生成事件的时间(UTC): 09-12-17 8:50:42
代理 GUID: CD7B4ED6-2D6A-44FC-A781-61EBABB6E60C
正在检测产品 ID: VIRUSCAN8600
正在检测产品名: VirusScan Enterprise
正在检测产品版本: 8.5
正在检测产品主机名: GUOSY
正在检测产品 IPv4 地址: 192.168.0.37
正在检测产品 IPv6 地址: 0:0:0:0:0:ffff:c0a8:25
正在检测产品 MAC 地址:
DAT 版本: 5831.0000
引擎版本: 5400.1158
威胁来源主机名:
威胁来源 IPv4 地址:
威胁来源 IPv6 地址:
威胁来源 MAC 地址:
威胁来源用户名:
威胁来源进程名称:
威胁来源 URL:
主机名: GUOSY
IPv4 地址: 192.168.0.37
IPv6 地址: 0:0:0:0:0:ffff:c0a8:25
MAC 地址:
用户名: MAINLANDMED\guosy
端口号:
网络协议:
进程名称:
文件路径: C:\Documents and Settings\guosy\Local Settings\Temporary Internet Files\Content.IE5\4TID8X4N\6295[1].htm
事件类别: 检测到恶意软件
事件 ID: 1025
威胁严重性: 警报
威胁名称: JS/IFrame.gen
威胁类型: trojan
执行的操作: 已清理
已处理的威胁: true
分析器检测方法: OAS
事件描述
事件描述: 已成功清理感染病毒的文件。
Mcafee企业版,管理平台ePo 4.0。
不同的病毒: 17
不同的感染对象: 33
主机感染: 10
组感染: 1
病毒名称 威胁类型 感染对象 主机感染 组感染 第一次监测时间 最后监测时间
Backdoor.Win32.Agent.afmu 木马 2 1 1 2009年6月1日 13:03:01 2009年6月3日 12:13:00
Backdoor.Win32.Agent.amjs 木马 1 1 1 2010年1月4日 11:28:14 2010年1月4日 11:28:14
Backdoor.Win32.PcClient.czwx 木马 8 1 1 2010年1月14日 9:45:49 2010年1月14日 16:19:49
Trojan.JS.Agent.rk 木马 1 1 1 2009年3月9日 10:43:16 2009年3月9日 10:43:16
Trojan.VBS.Runner.cq 木马 1 1 1 2010年1月14日 9:19:36 2010年1月14日 9:19:36
Trojan.Win32.Agent.cvxj 木马 3 1 1 2010年1月1日 12:07:39 2010年1月1日 17:20:32
Trojan.Win32.Chifrax.a 木马 1 1 1 2010年1月7日 12:27:31 2010年1月7日 12:27:31
Trojan.Win32.Pakes.lly 木马 1 1 1 2010年1月18日 8:41:29 2010年1月18日 8:41:29
Trojan.Win32.StartPage.etr 木马 1 1 1 2010年1月4日 13:04:31 2010年1月4日 13:04:31
Trojan-Clicker.HTML.Agent.aq 木马 1 1 1 2010年1月12日 9:55:50 2010年1月12日 9:55:50
Trojan-Clicker.JS.Iframe.t 木马 2 1 1 2010年1月2日 9:29:53 2010年1月2日 9:30:03
Trojan-Downloader.HTML.IFrame.sz 木马 1 1 1 2010年1月14日 17:27:32 2010年1月14日 17:27:32
Trojan-Downloader.HTML.IFrame.yf 木马 1 1 1 2009年3月6日 13:20:16 2009年3月6日 13:20:16
Virus.BAT.Agent.af 病毒 2 1 1 2010年1月14日 9:45:57 2010年1月14日 16:19:49
Virus.Boot.Chan 病毒 3 1 1 2010年1月2日 10:07:53 2010年1月2日 10:07:53
Virus.Win32.Downloader.ay 病毒 2 1 1 2010年1月11日 16:10:23 2010年1月11日 16:11:57
Virus.Win32.Funtik.a 病毒 2 1 1 2010年1月11日 16:10:04 2010年1月11日 16:11:06
组 A1086AC7A4EF47F~72 Virus.BAT.Agent.af 2010年1月14日 16:19:49 C:\ Documents and Settings\ Administrator\ 桌面\ Function.dll/LocalScan.bat 病毒 N/A N/A 卡巴斯基反病毒 6.0 Windows 工作站 6.0.3.837 2010年1月18日 8:58:02 2010年1月18日 8:58:02 192.168.13.3 A1086AC7A4EF47F WORKGROUP
组 FENGSHUQUN Trojan-Clicker.HTML.Agent.aq 2010年1月12日 9:55:50 http://www.god123.cn/top.html 木马 恶意HTTP对象 <http://www.god123.cn/top.html>:拒绝访问。 N/A 卡巴斯基反病毒 6.0 Windows 工作站 6.0.3.837 2010年1月18日 9:06:09 2010年1月18日 8:56:01 192.168.4.3 FENGSHUQUN CHANGDA
“异常报告”(病毒,蠕虫,木马,可疑操作的报告)、“注册表监控”、“文件系统监控”、“web页面自动运行程序监控”、“报告日志记录”、“可疑文件的上传分析”或者注册表、文件系统、web页面的监控都可以,,。。
我要例子,,或者其他的可以参考的资源都可以。。。。。。
分不够再加(虽然分对于一些大牛,分不是很重要,但是,表示偶的诚意)
事件日志:
接收到事件的时间(UTC): 09-12-18 3:39:55
生成事件的时间(UTC): 09-12-17 8:50:42
代理 GUID: CD7B4ED6-2D6A-44FC-A781-61EBABB6E60C
正在检测产品 ID: VIRUSCAN8600
正在检测产品名: VirusScan Enterprise
正在检测产品版本: 8.5
正在检测产品主机名: GUOSY
正在检测产品 IPv4 地址: 192.168.0.37
正在检测产品 IPv6 地址: 0:0:0:0:0:ffff:c0a8:25
正在检测产品 MAC 地址:
DAT 版本: 5831.0000
引擎版本: 5400.1158
威胁来源主机名:
威胁来源 IPv4 地址:
威胁来源 IPv6 地址:
威胁来源 MAC 地址:
威胁来源用户名:
威胁来源进程名称:
威胁来源 URL:
主机名: GUOSY
IPv4 地址: 192.168.0.37
IPv6 地址: 0:0:0:0:0:ffff:c0a8:25
MAC 地址:
用户名: MAINLANDMED\guosy
端口号:
网络协议:
进程名称:
文件路径: C:\Documents and Settings\guosy\Local Settings\Temporary Internet Files\Content.IE5\4TID8X4N\6295[1].htm
事件类别: 检测到恶意软件
事件 ID: 1025
威胁严重性: 警报
威胁名称: JS/IFrame.gen
威胁类型: trojan
执行的操作: 已清理
已处理的威胁: true
分析器检测方法: OAS
事件描述
事件描述: 已成功清理感染病毒的文件。
Mcafee企业版,管理平台ePo 4.0。
不同的病毒: 17
不同的感染对象: 33
主机感染: 10
组感染: 1
病毒名称 威胁类型 感染对象 主机感染 组感染 第一次监测时间 最后监测时间
Backdoor.Win32.Agent.afmu 木马 2 1 1 2009年6月1日 13:03:01 2009年6月3日 12:13:00
Backdoor.Win32.Agent.amjs 木马 1 1 1 2010年1月4日 11:28:14 2010年1月4日 11:28:14
Backdoor.Win32.PcClient.czwx 木马 8 1 1 2010年1月14日 9:45:49 2010年1月14日 16:19:49
Trojan.JS.Agent.rk 木马 1 1 1 2009年3月9日 10:43:16 2009年3月9日 10:43:16
Trojan.VBS.Runner.cq 木马 1 1 1 2010年1月14日 9:19:36 2010年1月14日 9:19:36
Trojan.Win32.Agent.cvxj 木马 3 1 1 2010年1月1日 12:07:39 2010年1月1日 17:20:32
Trojan.Win32.Chifrax.a 木马 1 1 1 2010年1月7日 12:27:31 2010年1月7日 12:27:31
Trojan.Win32.Pakes.lly 木马 1 1 1 2010年1月18日 8:41:29 2010年1月18日 8:41:29
Trojan.Win32.StartPage.etr 木马 1 1 1 2010年1月4日 13:04:31 2010年1月4日 13:04:31
Trojan-Clicker.HTML.Agent.aq 木马 1 1 1 2010年1月12日 9:55:50 2010年1月12日 9:55:50
Trojan-Clicker.JS.Iframe.t 木马 2 1 1 2010年1月2日 9:29:53 2010年1月2日 9:30:03
Trojan-Downloader.HTML.IFrame.sz 木马 1 1 1 2010年1月14日 17:27:32 2010年1月14日 17:27:32
Trojan-Downloader.HTML.IFrame.yf 木马 1 1 1 2009年3月6日 13:20:16 2009年3月6日 13:20:16
Virus.BAT.Agent.af 病毒 2 1 1 2010年1月14日 9:45:57 2010年1月14日 16:19:49
Virus.Boot.Chan 病毒 3 1 1 2010年1月2日 10:07:53 2010年1月2日 10:07:53
Virus.Win32.Downloader.ay 病毒 2 1 1 2010年1月11日 16:10:23 2010年1月11日 16:11:57
Virus.Win32.Funtik.a 病毒 2 1 1 2010年1月11日 16:10:04 2010年1月11日 16:11:06
组 A1086AC7A4EF47F~72 Virus.BAT.Agent.af 2010年1月14日 16:19:49 C:\ Documents and Settings\ Administrator\ 桌面\ Function.dll/LocalScan.bat 病毒 N/A N/A 卡巴斯基反病毒 6.0 Windows 工作站 6.0.3.837 2010年1月18日 8:58:02 2010年1月18日 8:58:02 192.168.13.3 A1086AC7A4EF47F WORKGROUP
组 FENGSHUQUN Trojan-Clicker.HTML.Agent.aq 2010年1月12日 9:55:50 http://www.god123.cn/top.html 木马 恶意HTTP对象 <http://www.god123.cn/top.html>:拒绝访问。 N/A 卡巴斯基反病毒 6.0 Windows 工作站 6.0.3.837 2010年1月18日 9:06:09 2010年1月18日 8:56:01 192.168.4.3 FENGSHUQUN CHANGDA
[2] RAR文件密码破解解决方案
来源: 互联网 发布时间: 2014-02-18
RAR文件密码破解
谁能破解rar加密文件,帮帮忙加我QQ ,我把文件传给你!296048950
把文件传到网盘上吧
rar文件解密,就只有advanced rar password recovery这工具较好
是否能破解成功,要看密码的复杂程序,如是自己加的密码忘了,确定字符范围、确定密码长度就好办,
RAR目前只能暴力破解,工具用楼上的,关键是密码有多复杂,你的字典有多强壮。如果你有彩虹表,那可以很大程度的提高破解效率
探讨
rar文件解密,就只有advanced rar password recovery这工具较好
是否能破解成功,要看密码的复杂程序,如是自己加的密码忘了,确定字符范围、确定密码长度就好办,
探讨
引用:
rar文件解密,就只有advanced rar password recovery这工具较好
是否能破解成功,要看密码的复杂程序,如是自己加的密码忘了,确定字符范围、确定密码长度就好办,
这个工具好像难找到破解版的,rar加密基本上没有的破解。楼主别想了
advanced rar password recovery
它是可以被暴力破解的,只是时间的问题和密码复杂度
它只能是被暴力破解,如果知道密码格式就好一点儿了
advanced rar password recovery,好用
advanced rar password recovery
很多工具的
都是暴利破解
和盗号一样
暴破吧!!!
探讨
它是可以被暴力破解的,只是时间的问题和密码复杂度
我无意中发现的,下载个红旗linux桌面7.0版,刻录成光盘,直接启动到桌面,找到rar文件,直接双击用ARK打开就行了。我也只有这一次经历,你不妨试试。
http://pxtcl.blog.163.com/blog/static/161228620091118630799/
如果密码长且复杂、无规律,那就不要破了,谁也等不了那么长时间。如果密码小于4位,破解时间我们还是可以接受的。
我看还是不要破解的好,要是感觉那个rar文件有用,在下个没密码的。
如果密码是6为数字英文混合的是不是就很难破解了?
我下了一个advanced rar password recovery。怎么杀毒软件报告是红色的?是不是有毒?
winrar采用单向加密方式,目前暂时没有找到可行的解密方法,只能暴力破解
谁能破解rar加密文件,帮帮忙加我QQ ,我把文件传给你!296048950
把文件传到网盘上吧
rar文件解密,就只有advanced rar password recovery这工具较好
是否能破解成功,要看密码的复杂程序,如是自己加的密码忘了,确定字符范围、确定密码长度就好办,
RAR目前只能暴力破解,工具用楼上的,关键是密码有多复杂,你的字典有多强壮。如果你有彩虹表,那可以很大程度的提高破解效率
探讨
rar文件解密,就只有advanced rar password recovery这工具较好
是否能破解成功,要看密码的复杂程序,如是自己加的密码忘了,确定字符范围、确定密码长度就好办,
探讨
引用:
rar文件解密,就只有advanced rar password recovery这工具较好
是否能破解成功,要看密码的复杂程序,如是自己加的密码忘了,确定字符范围、确定密码长度就好办,
这个工具好像难找到破解版的,rar加密基本上没有的破解。楼主别想了
advanced rar password recovery
它是可以被暴力破解的,只是时间的问题和密码复杂度
它只能是被暴力破解,如果知道密码格式就好一点儿了
advanced rar password recovery,好用
advanced rar password recovery
很多工具的
都是暴利破解
和盗号一样
暴破吧!!!
探讨
它是可以被暴力破解的,只是时间的问题和密码复杂度
我无意中发现的,下载个红旗linux桌面7.0版,刻录成光盘,直接启动到桌面,找到rar文件,直接双击用ARK打开就行了。我也只有这一次经历,你不妨试试。
http://pxtcl.blog.163.com/blog/static/161228620091118630799/
如果密码长且复杂、无规律,那就不要破了,谁也等不了那么长时间。如果密码小于4位,破解时间我们还是可以接受的。
我看还是不要破解的好,要是感觉那个rar文件有用,在下个没密码的。
如果密码是6为数字英文混合的是不是就很难破解了?
我下了一个advanced rar password recovery。怎么杀毒软件报告是红色的?是不是有毒?
winrar采用单向加密方式,目前暂时没有找到可行的解密方法,只能暴力破解
[3] 线程注入的有关问题
来源: 互联网 发布时间: 2014-02-18
线程注入的问题
最近在学习线程注入技术
现在要把一个dll注入到记事本进程中.
这是我的注入线程的工作函数
DWORD WINAPI remote(LPVOID pvparam)
{
REMOTEPARAM *rp=(REMOTEPARAM*)pvparam;
EBeep tBeep = (EBeep)rp->rpBeep;
ELoadLibrary tLoadLibrary = (ELoadLibrary)rp->rpLoadLibrary;
HINSTANCE hInst = tLoadLibrary(rp->path);
// if (NULL == hInst)
// tBeep(3000, 100);
EGetProcAddress tGetProcAddress = (EGetProcAddress)rp->rpGetProcAddress;
typedef void (WINAPI *Ms)();
Ms makesounds;
makesounds = (Ms)tGetProcAddress(hInst, rp->szFunc); //返回的函数指针老是null
if (NULL == makesounds)
tBeep(3000, 100);
// makesounds();
return 0;
}
我的dll中的函数是:
_declspec(dllexport)void MakeSounds()
{
Beep(32767, 1000);
}
实在是不晓得问题出在哪里了!不用动态链接库的版本我好了,我相信我的步骤是对的,但是为什么用dll的版本就成功不了呢????
还请大家多多指教,不胜感激!
标准步骤如下:
1 GetWindowThreadProcessId ,得到该窗口进程Id,存放在dwProcess中
' 2 OpenProcess,打开该进程(如果失败,可能是权限不够,需要用AdjustTokenPrivileges提升一下当前进程的权限),得到一个该进程的句柄,存放在hProcess中
' 3 IsWindowUnicode,判断下一步应该调用GetWindowLongA 还是GetWindowLongW函数
' 4 VirtualAllocEx,在目标进程中分配一些内存,供我们写入线程函数使用。函数返回的就是分配的内存的起始地址,就是我们的线程函数的起始地址,假设叫fnStartAddr;根据我们上边分析的结果,需要33个字节,另外,线程函数最后要有一个 ret指令,占用一个字节,共需34个字节
' 5 把以上分析的结果写入一个临时的缓冲区里
' 6 调用 WriteProcessMemory,把刚才的结果写入远程进程 fnStartAddr的地址处
' 7 调用 CreateRemoteThread,指定线程函数地址为 fnStartAddr
' 8 进行一个小的消息循环,等待我们的返回结果MSG msg;
' 最后进行一些善后工作,关闭打开的线程句柄、进程句柄,释放分配的远程内存
估计是你的权限没有提升
最近在学习线程注入技术
现在要把一个dll注入到记事本进程中.
这是我的注入线程的工作函数
DWORD WINAPI remote(LPVOID pvparam)
{
REMOTEPARAM *rp=(REMOTEPARAM*)pvparam;
EBeep tBeep = (EBeep)rp->rpBeep;
ELoadLibrary tLoadLibrary = (ELoadLibrary)rp->rpLoadLibrary;
HINSTANCE hInst = tLoadLibrary(rp->path);
// if (NULL == hInst)
// tBeep(3000, 100);
EGetProcAddress tGetProcAddress = (EGetProcAddress)rp->rpGetProcAddress;
typedef void (WINAPI *Ms)();
Ms makesounds;
makesounds = (Ms)tGetProcAddress(hInst, rp->szFunc); //返回的函数指针老是null
if (NULL == makesounds)
tBeep(3000, 100);
// makesounds();
return 0;
}
我的dll中的函数是:
_declspec(dllexport)void MakeSounds()
{
Beep(32767, 1000);
}
实在是不晓得问题出在哪里了!不用动态链接库的版本我好了,我相信我的步骤是对的,但是为什么用dll的版本就成功不了呢????
还请大家多多指教,不胜感激!
标准步骤如下:
1 GetWindowThreadProcessId ,得到该窗口进程Id,存放在dwProcess中
' 2 OpenProcess,打开该进程(如果失败,可能是权限不够,需要用AdjustTokenPrivileges提升一下当前进程的权限),得到一个该进程的句柄,存放在hProcess中
' 3 IsWindowUnicode,判断下一步应该调用GetWindowLongA 还是GetWindowLongW函数
' 4 VirtualAllocEx,在目标进程中分配一些内存,供我们写入线程函数使用。函数返回的就是分配的内存的起始地址,就是我们的线程函数的起始地址,假设叫fnStartAddr;根据我们上边分析的结果,需要33个字节,另外,线程函数最后要有一个 ret指令,占用一个字节,共需34个字节
' 5 把以上分析的结果写入一个临时的缓冲区里
' 6 调用 WriteProcessMemory,把刚才的结果写入远程进程 fnStartAddr的地址处
' 7 调用 CreateRemoteThread,指定线程函数地址为 fnStartAddr
' 8 进行一个小的消息循环,等待我们的返回结果MSG msg;
' 最后进行一些善后工作,关闭打开的线程句柄、进程句柄,释放分配的远程内存
估计是你的权限没有提升
最新技术文章: