defcon-25-workshop代码解读 partII

1
这个项目还是比较有意义的,里面会有一些值得借鉴的函数,比网上现找的质量好些。
  • 11.locklogger - injects into winlogon.exe and keylogs 注入winlogon.exe以及键盘记录
    dll注入winlogon并进行键盘记录,这里的关键点应该是dll注入winlogon进程
    关于win7的session0隔离的总结

    1
    2
    3
    4
    5
    6
    7
    使用OutputDebugStringA()函数可以将调试信息输出,然后用debugview工具进行查看。
    ANSI的ASCII字符集及其派生字符集(也称多字节字符集)比较旧,Unicode字符集比较新,固定以双字节表示一个字。
    操作字符串的API在声明时,会指定字符集。每个含有字符串的API同时有两个版本:即ANSI,Unicode。尾部带A的API是ANSI版本,带W的API是Unicode版本。例如:SetWindowTextA,是ANSI函数;而SetWindowTextW,是Unicode函数.
    _tmain()是unicode版本的的main()
    VS注释与取消注释快捷键
    CTRL + K , CTRL + C(注释)
    CTRL + K , CTRL + U(取消注释)
  • 12.puppetstrings - take a free ride into ring 0
    ring0层实现进程隐藏

    1
    这个还是比较有意思的
  • 13.ThreadContinue - injection using SetThreadContext() and NtContinue()
    反射型dll注入,利用SetThreadContext() and NtContinue()进行dll注入。

  • 14.getsystem - gets system using Named Pipe impersonation
    利用服务管理程序sc获取system权限

    1
    关于sc介绍可以看这里https://technet.microsoft.com/en-us/library/bb490995.aspx
  • 15.steamroll - brute forces login credentials

    爆破登录信息,代码量比较大,加入了av,之前看到过一个非常简单的爆破代码,利用的是LogonUser()函数。

  • 16.combrowser - using IE COM object to make web requests
    使用IE COM对象发送web请求
  • 17.httpbrowser - using HTTP API to make web requests
    自己实现了一个http发包的方法。
  • 18.toxicserpent - log all network traffic, poison, port knock C2
    流量日志
  • 19.RunShellcode - run shellcode from .NET
    一个run shellcode的GUI小工具 c#写的
  • 20.offsetfix - converting static analysis offsets with ASLR

  • 21.rawhook - simple example showing function prologue hooking

  • 22.wmiquery - shows how to look up AV using WMI
    使用wmi查询AV