實力派歌手Lene Marlin

Lene Marlin是從挪威一個名叫"Tromso"的鄉村來的女孩(個人介紹)。

第一次接觸到她的歌是在空中英文的雜誌上介紹，於是上Youtube聽了她最新專輯的第一名歌曲"Here We Are"。

聽了不是只有感動，而是對於那獨特的腔調，不似英國或美國人那種腔調，而是北歐特有語言魅力的腔調。

不看歌詞也許會以為是別的字，但是懂了後才發覺這種腔調是如此扣人心弦！

不過真的看不太懂台灣翻譯的中文歌詞，有些虛幻過度，還是看英文歌詞比較能感受她的心意。

之後聽了她的其他歌曲，真的強力推薦她的所有專輯，等到我錢入口袋時，勢必要把她的所有專輯都入手！

Adobe Reader/Acrobat再爆新漏洞

McAfee Blog於7/22發表一篇關於Adobe Reader的新漏洞，其中夾帶兩個執行檔和SWF檔（ Flash動畫檔），PDF檔也能執行Flash動畫！？沒錯，在這個新的漏洞裡，連Flash動畫都能執行，但這個Flash動畫可是不懷好意的。

如果您開啟某個PDF檔而出現Flash Player，小心！您可能已經中毒了！

連Sophos Lab的分析師都大感意外，直呼"Flash in the PDF？"，畢竟這是第一次發現這種樣本！

目前已知影響的是Adobe Reader 9系列和Adobe Acrobat 9系列。慶幸的是，如果您使用的是Google提供的Adobe Reader，那是8系列的，不會受到此次攻擊的威脅！

但也很不幸的，目前該漏洞Adobe尚未修正，建議您近期不要開啟不明的PDF檔，直到Adobe修正漏洞！

此外F-Secure也很早就發文建議不要使用Adobe Reader作為PDF瀏覽工具，因為它的漏洞實在是太多，而且修復的速度也相當的緩慢！

假外掛真盜號

很多假外掛似乎是同一個大陸集團，雖然是不同出處，但是行為上都有類似之處。

雙副檔名的騙法

於系統資料夾下建立檔案，攔截。看來是楓之谷外掛，但是原名卻說是真三國無雙Online外掛

又建立檔案，名稱就夠可疑的了，攔截

 

死了

 

其實允許之後會發生不少事情，稍微用文字描述一下︰
允許生成那兩個執行檔後，又會產生一個"ro.dll"，測過幾個外掛都有這個行為。

然後生成一些FNE檔和FNR檔，是大陸人的作品—易語言，想必這就是為什麼易語言常常被偵測的原因，因為太常拿來做惡意行為了。

之後一直建立WinSock關聯的登錄檔，數量相當的多，命名有規則性。

期間會看到楓之谷外掛的介面，隨便輸入個帳密，都說帳密錯誤，連網行為都沒有哪可能驗證帳密正確性。

真外掛是很少的，假外掛可不少！就算真的有效果，被盜帳號也是必然的！

自己寫的PE Loader

我基於某些需求，必須不透過Windows內建的PE Loader來加載PE(為了監控所有加載流程)

所以我花了幾天的時間，解決一大堆問題，總算是拼湊出一個可以用的PE Loader

主要是透過執行一個程式，再把要加載的PE載入到這個程式的空間中，然後跳轉到入口執行。

先Patch 宿主程式sub8.exe

加載所需的DLL

完成加載notepad.exe

EQ Secure宣布開始收費

EQ Secure是中國近年網友自行開發的一套HIPS軟體，是一套規則式的純HIPS，不論在白名單或是智慧化上都不夠成熟。

但是由於其刁鑽的監控能力，讓許多測試病毒的網友崇尚使用它來分析病毒行為。

原本EQ Secure打著永久免費的名號，讓許多原本對純HIPS感到卻步的人使用，但沒想到近日卻傳出收費的消息。

同類型的免費HIPS有COMODO、Online Armor，但是白名單和防護能力都做的比EQ Secure好很多。

雖然說EQ Secure收費的原因不得而知，但是以一個好的HIPS的立場來看，EQ Secure還是稍嫌不佳的。

EQ Secure現在收費人民幣300元（最近特價200元），在中國市場來說，似乎有點貴。

總之，我們可以觀察看看EQ Secure今後是否還會再次改變收費制度。

透過修改內存頁表 隱藏Hook

我最近有一種想法 可以用來隱藏需要修改內存之類的Hook 如SSDT Hook 而不被Anit Rookit工具發現

主要原理是修改需要Hook的進程的PDE PTE表，把原本的虛擬位址對應到我Hook過的物理位址

由於每個進程的頁表都不一樣(包括System) 所以如果我只改某個進程的頁表 System或Anti Rookit的頁表並不會被更改 也就看不到我改過的物理內存 我的測試是用修改前五個字節的方式對notepad作Inline Hook NtCreateFile

由於NtCreateFile所在的頁是4M的Large Page 所以我先建一個PTE頁表 每個頁為4K 對應的物理位置為原本的物理內存(這個動作應該是多餘的)

然後在得到NtCreateFile所在的4K頁 把這個頁Copy一份到別的位址 並且把我建的頁表中這頁的物理位址指向Copy出來的那頁，修改Copy出來的那頁 作Inline Hook

最後修改notepad的PDE 把他指向我建立的PTE頁表

測試結果 如果直接Inline Hook NtCreateFile GMER這個工具可以輕鬆檢測

修改後 就隱藏成功了

"Sophos Lab Taiwan"真真假假？

此事件起因於Mobile01的討論版的兩篇文章"USB病毒測試"和"Sophos守護神 + 528隻USB病毒實測"，AVPClub資安論壇上也正在討論此事。

求證於Sophos台灣代理公司後得到回覆：
Hi,
這個網站不是我們公司的網站, 我們的代理商網站是 www.spontech.com.tw

Allan Lan
Country Manager, Taiwan

然而，AVPClub站長像"Sophos Lab Taiwan"詢問之後得到回覆：
先生您好：
我們是Sophos台灣零售版本的代理商，我們委託公關公司幫我們製作行銷網站，目前看到有病毒碼樣本包，發現並非由Sophos提供，經詢問後是由貴網站下載取得，至貴網站去瀏覽了一下，發現已有網友在討論此事，請問是否需要宣告出處？或是連結指向貴網站？
因為病毒碼本身的著作權人應該都非上載的網友，因屬非法行為，應該也沒人敢宣告其為著作權人，所以我們不知該如何引用，能否給我們建議。
另外，如果想與貴論壇進行其它行銷性的配合，不知是否可行？如果可行，可否拜訪進行更進一步商談。請惠予建議。
--
鄒坤霖 Iven Tsou
:: 禎霖資訊 :: 中小企業資安平台 ::
TEL 886-2-27900767 | FAX 886-2-27907081
Mobile 886-932198017
MSN iventsou@hotmail.com

首先我們可以看出"Sophos Lab Taiwan"以著作權法來打壓AVPClub的蒐集朋友。但是他們沒經過蒐集者的同意，就擅自使用於商業用途！

其次可以發現，在Mobile01發表測試文章的帳號"iventsou"和他們回信給AVPClub站長的MSN"iventsou@hotmail.com"，很巧合的一樣！難不成有人冒用帳號來宣傳Sophos？那些試用心得還不都是他們自己寫的，老王賣瓜自賣自誇！

再來"Sophos Lab Taiwan"網站上寫的聯絡方式和公司名稱都是"思邦科技"，但是真正的思邦科技並不在台北，聯絡方式也大不相同！涉有詐騙消費者的嫌疑！

由於此網站並不被Sophos官方所認可，我強烈建議消費者不要購買或試用該網站提供的任何產品！以免觸法或者危害電腦！