计算机网络、系统、编程的基础及原理
0
2008/10/20 
18:19 
562
一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
路径:C:\Documents and Settings\Owner\「开始」菜单\程序\启动
二. 第二自启动项目:
这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找到该目录,将所需要启动的文件拖放进去就可以达到启动的目的.
路径:
C:\Documents and Settings\User\「开始」菜单\程序\启动
三. 系统配置文件启动:
对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方式启动.
1)WIN.INI启动:
启动位置(xxx.exe为要启动的文件名称):
[windows]
load=xxx.exe[这种方法文件会在后台运行]
run=xxx.exe[这种方法文件会在默认状态下被运行]
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
路径:C:\Documents and Settings\Owner\「开始」菜单\程序\启动
二. 第二自启动项目:
这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找到该目录,将所需要启动的文件拖放进去就可以达到启动的目的.
路径:
C:\Documents and Settings\User\「开始」菜单\程序\启动
三. 系统配置文件启动:
对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方式启动.
1)WIN.INI启动:
启动位置(xxx.exe为要启动的文件名称):
[windows]
load=xxx.exe[这种方法文件会在后台运行]
run=xxx.exe[这种方法文件会在默认状态下被运行]
由于对磁盘结构不是很熟,仅仅从逆向分析的角度,通过对这个驱动的分析过程,学习了向SCSI端口向扇区写数据的方法。如有错误或纰漏之处,请大家指出。
摘要
这是一个6月23号捕获的机器狗变种。跟之前不同的地方,主要是将以前ring3下写磁盘替换文件的操作使用驱动实现了,本文的主要部分也是对该部分的解析。可以看出,机器狗的作者对内核驱动以及磁盘结构都很熟悉。
三、驱动分析
1、基本信息
文件名:%windir%\system32\drivers\obj2.sys
DeviceName:\\Device\\DogBaby
SymbolicLinkName:\\DosDevices\\DogBaby
2、摘除ntfs的AttachedDevice
3、恢复disk的Hook
1)、摘除disk的AttachedDevice
2)、根据_DRIVER_OBJECT.DriverSection获得_LDR_DATA_TABLE_ENTRY的链表,枚举该链表查找名为CLASSPNP.SYS的模块,找到则获取该模块的基址Base和EntryPoint,如果EntryPoint - Base等于0AE8Fh(入口的RVA),则取g_pClassInternalIoControl = Base + 4FC3h。然后注册驱动disk的派遣例程为_DRIVER_OBJECT.IrpInternalDeviceControlDispatch = pClassInternalIoControl。
摘要
这是一个6月23号捕获的机器狗变种。跟之前不同的地方,主要是将以前ring3下写磁盘替换文件的操作使用驱动实现了,本文的主要部分也是对该部分的解析。可以看出,机器狗的作者对内核驱动以及磁盘结构都很熟悉。
三、驱动分析
1、基本信息
文件名:%windir%\system32\drivers\obj2.sys
DeviceName:\\Device\\DogBaby
SymbolicLinkName:\\DosDevices\\DogBaby
2、摘除ntfs的AttachedDevice
3、恢复disk的Hook
1)、摘除disk的AttachedDevice
2)、根据_DRIVER_OBJECT.DriverSection获得_LDR_DATA_TABLE_ENTRY的链表,枚举该链表查找名为CLASSPNP.SYS的模块,找到则获取该模块的基址Base和EntryPoint,如果EntryPoint - Base等于0AE8Fh(入口的RVA),则取g_pClassInternalIoControl = Base + 4FC3h。然后注册驱动disk的派遣例程为_DRIVER_OBJECT.IrpInternalDeviceControlDispatch = pClassInternalIoControl。
如果你的无线网络出现了问题,其原因可能是来自各个方面。当你试图解决这一问题时,可能会涉及硬件厂商以及网络配置等诸多因素。当一个无线网络发生问题时,你应该首先从几个关键问题入手进行排错。一些硬件的问题会导致网络错误,同时错误的配置也会导致网络不能正常工作。在这篇文章中,我们将介绍一些无线网络排错的方法和技巧。本文针对的是基本的无线网络,而不是特殊的无线网络。
硬件排错
当只有一个接入点以及一个无线客户端出现连接问题时,我们可能会很快的找到出有问题的客户端。但是当网络非常大时,找出问题的所在可能就不是那么容易了。
在大型的无线网络环境中,如果有些用户无法连接网络,而另一些客户却没有任何问题,那么很有可能是众多接入点中的某个出现了故障。一般来说,通过察看有网络问题的客户端的物理位置,你就能大概判断出是哪个接入点出现问题。
当所有客户都无法连接网络时,问题可能来自多方面。如果你的网络只使用了一个接入点,那么这个接入点可能有硬件问题或者配置有错误。另外,也有可能是由于无线电干扰过于强烈,或者是无线接入点与有线网络间的连接出现了问题。
检查接入点的可连接性
硬件排错
当只有一个接入点以及一个无线客户端出现连接问题时,我们可能会很快的找到出有问题的客户端。但是当网络非常大时,找出问题的所在可能就不是那么容易了。
在大型的无线网络环境中,如果有些用户无法连接网络,而另一些客户却没有任何问题,那么很有可能是众多接入点中的某个出现了故障。一般来说,通过察看有网络问题的客户端的物理位置,你就能大概判断出是哪个接入点出现问题。
当所有客户都无法连接网络时,问题可能来自多方面。如果你的网络只使用了一个接入点,那么这个接入点可能有硬件问题或者配置有错误。另外,也有可能是由于无线电干扰过于强烈,或者是无线接入点与有线网络间的连接出现了问题。
检查接入点的可连接性
袁哥 < yuange@163.net >
大家经常讨论SNIFFER,觉得还是很多人没有真正理解SNIFFER,所以把我的一点理解写出来大家共享。
先讲讲HUB的工作原理吧。由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式,物理上是广播的,就是一个机器发给另一个机器的数据,共享HUB先收到然后把它接收到的数据再发给别的(来的那个口不发了)每一个口,所以在共享HUB下面同一网段的所有机器的网卡都能接收到数据。交换式HUB的内部单片程序能记住每个口的MAC地址,以后就该哪个机器接收就发往哪个口,而不是像共享HUB那样发给所有的口,所以交换HUB下只有该接收数据的机器的网卡能接收到数据,当然广播包还是发往所有口。显然共享HUB的工作模式使得两个机器传输数据的时候别的口也占用了,所以共享HUB决定了同一网段同一时间只能有两个机器进行数据通信,而交换HUB两个机器传输数据的时候别的口没有占用,所以别的口之间也可以同时传输。这就是共享HUB与交换HUB不同的两个地方,共享HUB是同一时间只能一个机器发数据并且所有机器都可以接收,只要不是广播数据交换HUB同一时间可以有对机器进行数据传输并且数据是私有的。
再讲讲网卡的工作原理。网卡收到传输来的数据,网卡内的单片程序先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。CPU得到中断信号产生中断,操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。
有了这HUB、网卡的工作原理就可以讲SNIFFER了。首先,要知道要SNIFFER的东西必须是要物理信号你能收到的东西。显然只要通知网卡接收其收到的所有包(一般叫作乱模式),在共享HUB下就能接收到这个网段的所有包,但是交换HUB下就只能是自己的包加上广播包。知道了原理那就好办。要想在交换HUB下接收别人的包,那就要让其发往你的机器所在口。交换HUB记住一个口的MAC是
大家经常讨论SNIFFER,觉得还是很多人没有真正理解SNIFFER,所以把我的一点理解写出来大家共享。
先讲讲HUB的工作原理吧。由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式,物理上是广播的,就是一个机器发给另一个机器的数据,共享HUB先收到然后把它接收到的数据再发给别的(来的那个口不发了)每一个口,所以在共享HUB下面同一网段的所有机器的网卡都能接收到数据。交换式HUB的内部单片程序能记住每个口的MAC地址,以后就该哪个机器接收就发往哪个口,而不是像共享HUB那样发给所有的口,所以交换HUB下只有该接收数据的机器的网卡能接收到数据,当然广播包还是发往所有口。显然共享HUB的工作模式使得两个机器传输数据的时候别的口也占用了,所以共享HUB决定了同一网段同一时间只能有两个机器进行数据通信,而交换HUB两个机器传输数据的时候别的口没有占用,所以别的口之间也可以同时传输。这就是共享HUB与交换HUB不同的两个地方,共享HUB是同一时间只能一个机器发数据并且所有机器都可以接收,只要不是广播数据交换HUB同一时间可以有对机器进行数据传输并且数据是私有的。
再讲讲网卡的工作原理。网卡收到传输来的数据,网卡内的单片程序先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。CPU得到中断信号产生中断,操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。
有了这HUB、网卡的工作原理就可以讲SNIFFER了。首先,要知道要SNIFFER的东西必须是要物理信号你能收到的东西。显然只要通知网卡接收其收到的所有包(一般叫作乱模式),在共享HUB下就能接收到这个网段的所有包,但是交换HUB下就只能是自己的包加上广播包。知道了原理那就好办。要想在交换HUB下接收别人的包,那就要让其发往你的机器所在口。交换HUB记住一个口的MAC是
现在很多网站都采用了通用防注入程序,那么对于这种网站,我门是否就束手无策了呢?答案是否定的,因为我们可以采用cookie 注入的方法,而很多通用防注入程序对这种注入方式都没有防备。
在讲之前,我们还是来回顾下ASP脚本中Request对象的知识吧,上面几讲中都提到Request对象获取客户端提交数据常用的是GET和POST二种方式,同时request对象可以不通过集合来获得数据,即直接使用"request("name")"但它的效率低下,容易出错,当我们省略具体的集合名称时,ASP是按QueryString,from,cookie,servervariable,集合的顺序来搜索的,在request对象成员中集合cookies,它的意思是"读取用户系统发送的所有cookie值,我们从第二讲关于"cookies欺骗入侵和原理"中知道,cookies是保存在客户端计算机的一个文本文件,可以进行修改,这样一来,我们就可以使用Request.cookie方式来提交变量的值,从而利用系统的漏洞进行注入攻击.
我们首先还是来看看中网景论坛的最新版本"(CNKBBS2007)中网景论坛2007v5.0 "官方下载地址"http://www.cnetking.com/websys2.asp?id=26"发布时间是2007-06-06,打开系统的源代码后,在"user_RxMsg_detail.asp"文件中,有如下代码:
<!--#i nclude file="opendb.asp" --> (调用opendb.asp文件)
<!--#i nclude file="char.asp" -->
<%
Call CheckUserLogin(username)
在讲之前,我们还是来回顾下ASP脚本中Request对象的知识吧,上面几讲中都提到Request对象获取客户端提交数据常用的是GET和POST二种方式,同时request对象可以不通过集合来获得数据,即直接使用"request("name")"但它的效率低下,容易出错,当我们省略具体的集合名称时,ASP是按QueryString,from,cookie,servervariable,集合的顺序来搜索的,在request对象成员中集合cookies,它的意思是"读取用户系统发送的所有cookie值,我们从第二讲关于"cookies欺骗入侵和原理"中知道,cookies是保存在客户端计算机的一个文本文件,可以进行修改,这样一来,我们就可以使用Request.cookie方式来提交变量的值,从而利用系统的漏洞进行注入攻击.
我们首先还是来看看中网景论坛的最新版本"(CNKBBS2007)中网景论坛2007v5.0 "官方下载地址"http://www.cnetking.com/websys2.asp?id=26"发布时间是2007-06-06,打开系统的源代码后,在"user_RxMsg_detail.asp"文件中,有如下代码:
<!--#i nclude file="opendb.asp" --> (调用opendb.asp文件)
<!--#i nclude file="char.asp" -->
<%
Call CheckUserLogin(username)
