2007年7月随笔档案 - 酒水不犯茶水

兄弟聚会摘要: 性情中人，啥都不说了
......
阅读全文

posted @ 2007-07-31 21:20 009 阅读(771) | 评论 (2) 编辑

Stock(以便查看) 摘要:
日K线

posted @ 2007-07-31 18:14 009 阅读(334) | 评论 (0) 编辑

WTS APIs（Windows终端服务API）获取进程信息(ZT) 摘要:
WTS APIs（Windows终端服务API）获取进程信息
　Windows XP 有一个新特性叫做“快速用户转换——Fast User Switching”，这个特性允许多个用户同时在一台机器上登陆。当一个用户登陆后，另一个用户启动的进程仍然能够运行。这个神奇的特性所倚仗的是 WTS APIs。如果你想了解更多有关 WTS 的内容，可以参考 MSJ Oct99 的一篇文章：“Windows NT和 Windows 2000 终端服务APIs介绍”，作者是 Frank Kim。
　　Windows XP为每一个登陆用户创建一个WTS会话（Session）。每个运行进程总是与这样一个Session关联。Windows XP的任务管理器允许你列出进程清单，不论是针对所有会话的还是仅仅针对自己的会话，任务管理器对话框的进程标签中有一个"显示所有用户的进程"复选框可以对此进行选择。
................. 阅读全文

posted @ 2007-07-22 00:28 009 阅读(1674) | 评论 (0) 编辑

“黑客之门”后门的魅力(ZT) 摘要: 　“黑客之门”介绍

　　黑客之门采用的目前一些先进的后门技术，它只有一个Dll文件，通过感染系统文件启动自身，被感染的系统文件大小和日期都不会改变；同时采用线程插入技术，本身没有进程；本身不开端口，而是重用系统进程开的任意一个端口，如80，135，139，445等，因此它的隐藏性非常好，而且穿透防火墙也是很容易的事。这个版本文件不大，只提供一些很有用的命令。目前还没有发现如何工具能查到这个后门，象Fport，Llister，RKDetector等查工具都失效。

　　程序的自启动

　　既然是一个后门，那么就要随系统的启动而启动，根据黑客之门的介绍，它是通过感染系统程序文件来实现程序的自启动的。既然是感染了系统文件（像病毒），那就看看感染前和感染后的系统文件的区别吧！为了测试感染前后的差别，我准备了一个专门用来被感染的文件TestLoad.exe，它没有什么功能，只是弹出一个对话框，这样好等待测试，麻雀虽小，五脏俱全，省得动系统文件了。接着运行命令：
................... 阅读全文

posted @ 2007-07-22 00:09 009 阅读(816) | 评论 (0) 编辑

破解所谓的“网页源代码加密” 摘要: 之前见过这段代码，觉得用view-source就可以了就没记，现在这招不好用了，前段时间死活找不到这段代码，这回不能放过了
在地址栏或按Ctrl+O，输入：
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
源代码就出来了。不论加密如何复杂，最终都要还原成浏览器可以解析的html代码，而documentElement.outerHTML正是最终的结果。
............. 阅读全文

posted @ 2007-07-21 14:23 009 阅读(471) | 评论 (0) 编辑

获取通过终端登录的当前用户winlogon进程pid 摘要: /*此代码用于获取通过终端登录的当前用户winlogon进程pid
在开了终端服务的机器上运行没问题，没有开终端服务的得不到pid，自己修改吧
Author:009
Email:baicker.009(a)gmail.com
Web:http://www.blogjava.net/baicker
Date:20070720
*/

#include <stdio.h>
#include <windows.h>
#include <wtsapi32.h>

#pragma comment(lib, "wtsapi32.lib")

void main()
{
DWORD ProcessId, SessionId;
BOOL Res=0;
DWORD winlogonPid = 0;
............
阅读全文

posted @ 2007-07-21 13:42 009 阅读(781) | 评论 (0) 编辑

当当网礼券摘要:
薯片里面的，谁要谁拿去
卡号：LAY6651112001144374
密码：978256
阅读全文

posted @ 2007-07-21 12:47 009 阅读(306) | 评论 (0) 编辑

浅析本机API(ZT) 摘要:
此文只能说是一篇笔记，是关于本机API的.本机API是除了Win32 API，NT平台开放了另一个基本接口。本机API也被很多人所熟悉，因为内核模式模块位于更低的系统级别，在那个级别上环境子系统是不可见的。尽管如此，并不需要驱动级别去访问这个接口，普通的Win32程序可以在任何时候向下调用本机API。并没有任何技术上的限制，只不过微软不支持这种应用开发方法。
User32.dll,kernel32.dll,shell32.dll,gdi32.dll,rpcrt4.dll,comctl32.dll, advapi32.dll,version.dll等dll代表了Win32 API的基本提供者。Win32 API中的所有调用最终都转向了ntdll.dll，再由它转发至ntoskrnl.exe。ntdll.dll是本机 API用户模式的终端。真正的接口在ntoskrnl.exe里完成。事实上，内核模式的驱动大部分时间调用这个模块，如果它们请求系统服务。 Ntdll.dll的主要作用就是让内核函数的特定子集可以被用户模式下运行的程序调用。Ntdll.dll通过软件阅读全文

posted @ 2007-07-20 12:32 009 阅读(268) | 评论 (0) 编辑

汇编ring3下实现HOOK API续之备份函数法(ZT) 摘要: 我曾经写过一编文章,名字叫"汇编ring3下实现HOOK API",里面详细介绍了汇编ring3下实现HOOK API的几种方法,文章中着重介
绍了介绍了"改写内存地址JMP法"的方法,这也是比较通用的一种方法,让我们再来回顾一下改写内存地址JMP法的具体方法::
直接跳转，改变API函数的入口或出口的几个字节，使程序跳转到自己的函数,该方法不受程序加壳的限制。这种技术,说起来也不
复杂，就是改变程序流程的技术。在CPU的指令里，有几条指令可以改变程序的流程：JMP，CALL，INT，RET，RETF，IRET等指令。理
论上只要改变API入口和出口的任何机器码，都可以HOOK,下面我就说说常用的改写API入口点的方法:
因为工作在Ring3模式下,我们不能直接修改物理内存,只能一个一个打开修改,但具体的方法又分成好几种,我给大家介绍几种操
作思路:
....... 阅读全文

posted @ 2007-07-13 14:23 009 阅读(1039) | 评论 (2) 编辑

汇编ring3下实现HOOK API (ZT) 摘要:
=====[ 1. 内容 ]=============================================

1. 内容
2. 介绍
2.1 什么叫Hook API?
2.2 API Hook的应用介绍
2.3 API Hook的原则
3. 挂钩方法
3.1 改写IAT导入表法
3.2 改写内存地址JMP法
4. 汇编实现
4.1. 代码
4.2. 分析
5. 结束语
=====[ 2. 介绍 ]================================================
这篇文章是有关在OS Windows下挂钩API函数的方法。所有例子都在基于NT技术的Windows版本NT4.0
及以上有效(Windows NT 4.0, Windows 2000, Windows XP)。可能在其它Windows系统也会有效。
你应该比较熟悉Windows下的进程、汇编器、和一些阅读全文

posted @ 2007-07-13 14:19 009 阅读(902) | 评论 (0) 编辑

未公开函数MessageBoxTimeOut 实现定时消息(ZT) 摘要: #include
#include

//Functions & other definitions required-->
typedef int (__stdcall *MSGBOXAAPI)(IN HWND hWnd,
IN LPCSTR lpText, IN LPCSTR lpCaption,
IN UINT uType, IN WORD wLanguageId, IN DWORD dwMilliseconds);
typedef int (__stdcall *MSGBOXWAPI)(IN HWND hWnd,
IN LPCWSTR lpText, IN LPCWSTR lpCaption,
IN UINT uType, IN WORD wLanguageId, IN DWORD dwMilliseconds);

int MessageBoxTimeoutA(IN HWND hWn 阅读全文

posted @ 2007-07-13 13:57 009 阅读(4341) | 评论 (0) 编辑

关闭SFC[文件保护]的源代码(ZT) 摘要: WindowsXP Professional SP2测试通过.

.386
.Model Flat,StdCall
Option CaseMap :None

Include \Masm32\Include\Windows.inc
Include \Masm32\Include\User32.inc
Include \Masm32\Include\Shell32.inc
Include \Masm32\Include\Kernel32.inc
Include \Masm32\Include\Advapi32.inc
.......... 阅读全文

posted @ 2007-07-13 13:36 009 阅读(1163) | 评论 (0) 编辑

编程禁止Windows文件保护(ZT) 摘要: 这里要用到一个未公开的API——SfcFileException，其声明如下：
代码:
DWORD WINAPI SfcFileException(DWORD dwUnknown0, PWCHAR pwszFile, DWORD dwUnknown1);
参数说明： dwUnknown0 未知，设为0
pwszFile 文件名
dwUnknown1 未知，设为-1
........... 阅读全文

posted @ 2007-07-13 12:38 009 阅读(417) | 评论 (0) 编辑

HP-UX安全加固使用手册(ZT) 摘要: 一、基本系统管理
1、常用命令
1. # ioscan -fn
列出各I/O卡及设备的所有相关信息：如逻辑单元号，硬件地址及设备文件名等。
2. # ps -ef
列出正在运行的所有进程的各种信息：如进程号及进程名等。
3. # netstat -rn
列出网卡状态及路由信息等。
4. # lanscan
列出网卡状态及网络配置信息。
......

阅读全文

posted @ 2007-07-12 14:06 009 阅读(554) | 评论 (0) 编辑

清空系统密码(ZT) 摘要: 这东西再放都长毛了,放出来....精灵还写了个利用工具,找不到了.回头补上..

system32下有个msv1_0.dll

xp sp2
F8 10 75 11 B0 01 8B 4D
修改为
E0 00 75 11 B0 01 8B 4D

2k professinal
F8 10 0F 84 71 FF FF
修改为
E0 00 0F 84 71 FF FF
阅读全文

posted @ 2007-07-10 17:39 009 阅读(413) | 评论 (0) 编辑

我普通话不标准？摘要: 一出租车司机，我说到天苑酒店，说半天，死活不知道哪里，最后到目的地，没好气地说：天"月"啊，你发音不标准，说天"月"不就行了

整天徘徊在杀与不杀之间，很痛苦

问我是哪里人，”kao，你管我哪里人“

阅读全文

posted @ 2007-07-05 18:23 009 阅读(250) | 评论 (0) 编辑

07 2007 档案

公告

常用链接

留言簿(113)

随笔分类

随笔档案

文章分类

相册

Link

搜索

最新评论

阅读排行榜

评论排行榜

酒水不犯茶水叶的离去，是风的追求还是树的不挽留？
BlogJava \| 首页 \| 发新随笔 \| 发新文章 \| 联系 \| 聚合 \| 管理	随笔：325 文章：0 评论：612 引用：0