2
8月
由于对磁盘结构不是很熟,仅仅从逆向分析的角度,通过对这个驱动的分析过程,学习了向SCSI端口向扇区写数据的方法。如有错误或纰漏之处,请大家指出。
摘要
这是一个6月23号捕获的机器狗变种。跟之前不同的地方,主要是将以前ring3下写磁盘替换文件的操作使用驱动实现了,本文的主要部分也是对该部分的解析。可以看出,机器狗的作者对内核驱动以及磁盘结构都很熟悉。
三、驱动分析
1、基本信息
文件名:%windir%\system32\drivers\obj2.sys
DeviceName:\\Device\\DogBaby
SymbolicLinkName:\\DosDevices\\DogBaby
2、摘除ntfs的AttachedDevice
3、恢复disk的Hook
1)、摘除disk的AttachedDevice
2)、根据_DRIVER_OBJECT.DriverSection获得_LDR_DATA_TABLE_ENTRY的链表,枚举该链表查找名为CLASSPNP.SYS的模块,找到则获取该模块的基址Base和EntryPoint,如果EntryPoint - Base等于0AE8Fh(入口的RVA),则取g_pClassInternalIoControl = Base + 4FC3h。然后注册驱动disk的派遣例程为_DRIVER_OBJECT.IrpInternalDeviceControlDispatch = pClassInternalIoControl。
摘要
这是一个6月23号捕获的机器狗变种。跟之前不同的地方,主要是将以前ring3下写磁盘替换文件的操作使用驱动实现了,本文的主要部分也是对该部分的解析。可以看出,机器狗的作者对内核驱动以及磁盘结构都很熟悉。
三、驱动分析
1、基本信息
文件名:%windir%\system32\drivers\obj2.sys
DeviceName:\\Device\\DogBaby
SymbolicLinkName:\\DosDevices\\DogBaby
2、摘除ntfs的AttachedDevice
3、恢复disk的Hook
1)、摘除disk的AttachedDevice
2)、根据_DRIVER_OBJECT.DriverSection获得_LDR_DATA_TABLE_ENTRY的链表,枚举该链表查找名为CLASSPNP.SYS的模块,找到则获取该模块的基址Base和EntryPoint,如果EntryPoint - Base等于0AE8Fh(入口的RVA),则取g_pClassInternalIoControl = Base + 4FC3h。然后注册驱动disk的派遣例程为_DRIVER_OBJECT.IrpInternalDeviceControlDispatch = pClassInternalIoControl。
2
8月
现在U盘已经很普及了,几十元就可以买到1G的,而且很多手机功能也带U盘功能了,所以想从别人的电脑里面复制出一些文件,那是非常简单的事情,这样对电脑里面资料就有很大的威胁,其实在Vista系统中就不用担心这个问题,我们可以通过设置来限制系统对USB存储设备的访问,比如禁用所有的USB存储设备、让系统只能使用指定的U盘等。下面我们就来介绍一下设置的过程。
1、把自己的U盘先插入到Vista系统中,让系统可以正常使用U盘,接着进入“控制面板”,双击“设备管理器”,在里面展开“便携设备”,可以看见里面有你的U盘。
2、在上面点击鼠标右键来选择“属性”,在弹出的“属性”窗口中点击“详细信息”标签,然后在设备“属性”下拉框中选择“硬件 ID”,下面的“值”中会出现字符串,这个就是你的U盘的硬件ID,把它复制出来保存好。注意:并非所有的U盘等设备都能找到这个硬件ID。
3、我们还需要复制“通用串行总线控制器”中“USB大容量存储设备”的硬件ID,在“设备管理器”中展开“通用串行总线控制器”列表,找到“USB大容量存储设备”,在它的“属性”窗口中点击“详细信息”标签,复制出它的硬件ID也保存一下。
4、找出U盘的硬件ID后就可以通过组策略来实现了限制设置了。按下快捷键“Win+R”来打开“运行”对话框,输入“gpedit.msc” 来调出组策略窗口,依次展开“计算机配置→管理模板→系统→设备安装→设备安装限制”,双击右侧的“禁止安装未由其他策略设置描述的设备”,在弹出的窗口 中选择“已启用”,再点击 “确定”按钮,设置它可以来禁止策略没描述的USB设备。
1、把自己的U盘先插入到Vista系统中,让系统可以正常使用U盘,接着进入“控制面板”,双击“设备管理器”,在里面展开“便携设备”,可以看见里面有你的U盘。
2、在上面点击鼠标右键来选择“属性”,在弹出的“属性”窗口中点击“详细信息”标签,然后在设备“属性”下拉框中选择“硬件 ID”,下面的“值”中会出现字符串,这个就是你的U盘的硬件ID,把它复制出来保存好。注意:并非所有的U盘等设备都能找到这个硬件ID。
3、我们还需要复制“通用串行总线控制器”中“USB大容量存储设备”的硬件ID,在“设备管理器”中展开“通用串行总线控制器”列表,找到“USB大容量存储设备”,在它的“属性”窗口中点击“详细信息”标签,复制出它的硬件ID也保存一下。
4、找出U盘的硬件ID后就可以通过组策略来实现了限制设置了。按下快捷键“Win+R”来打开“运行”对话框,输入“gpedit.msc” 来调出组策略窗口,依次展开“计算机配置→管理模板→系统→设备安装→设备安装限制”,双击右侧的“禁止安装未由其他策略设置描述的设备”,在弹出的窗口 中选择“已启用”,再点击 “确定”按钮,设置它可以来禁止策略没描述的USB设备。
2
8月
这几天忙完了,正好herozrz要去工作单位报道路过我这坐车,提前让我买了票,当然要到我这来,呆了四天,玩爽啦,哈哈!!
下午四点他就走了,可是上班一看忙的要死,不好意思跟领导请假出来送他,对不住啊,好在拿的东西不是太多,在上车之后给我信息说了下,希望他一路顺风哈!晚上回来正好以前一同学MM好长时间联系不上了,到我这来玩,没想到开机却上不了网,以前有时候也出现这样的问题,是路由器问题,登陆路由器页面自己连接下就好了,可今天连了半天也没动静,一看猫的WAN通讯灯是闪着的,这灯应该是刚开猫时闪亮,等下就常亮的,是不是猫有了问题呢,速度的拆了下来拿到四楼同事那试了下猫是好的,那就是线路问题了,虽然根据故障判断是线路问题还是拆了路由把WAN连接线接到我电脑上拨号,提示678错误,是了,线路不通。因为我当时拉网线时没要电话,那个没用,所以跑到同事宿舍打10000申告障碍,接线MM说24小时内解决。第二天等了一天没见人,晚上开机听了下歌,做完东西就休息了,没网的日子实在难受啊。
第三天下午还是没见人,当时就有点气但是也很无奈,总不能自己爬到杆子上去看吧,没想到下午来人了,没收拾好,因为没有拿到接线端子图不能检查问题,好在那小子还行,顺着楼上下去的线找到了,线路没问题,说是信号柜里的端子有问题了,这下找不到了,几百个端子,无奈只有再等了,说是第四天早上早点来弄的,可是又等了一天还是没反应,眼看下班的时间又到了,都周末了,没网怎么过呢,无奈抱起手机打10000,最后通牒,要是还不来就找到营业厅去。
今天早上也就是断网第五天早上开机看电影呢,一小灵通打了进来,说是线路故障清除,人在门外,进来后发现信号灯正常,拨号竟然显示密码错误,草了,怎么我的密码也错了呢,无语了,维修人员又打10000给修改了下,因为人家是电信的电话不花钱吗,现在的客服电话都烧钱,光提示就三分钟,客服办事效率又低,就光改密码改了两次才成功,不知道接线员是吃什么长大的,汗死!
好在终于能上网了,送走维修人员速度的上网,爽啊
没爽几下就郁闷了,几天没玩手生了许多,上淘宝冲话费,拍错了卖家,正好那卖家没卡了,钱也支付了,无奈网银的钱正好给herozrz冲话费不够了,只好求助拍错的卖家退款,可是系统提示付款24小时候才能退款,本来想冒险先确认了再让卖家打过来PS:危险动作,这样很有可能什么人财两空,卖家同意,后来还是卖家有技巧,先发货再退款,真的很不错的卖家,现在想想怎么觉得还是网上的人值得信任捏,呵呵,退款后顺利买卡充值,汗死!!!
下午四点他就走了,可是上班一看忙的要死,不好意思跟领导请假出来送他,对不住啊,好在拿的东西不是太多,在上车之后给我信息说了下,希望他一路顺风哈!晚上回来正好以前一同学MM好长时间联系不上了,到我这来玩,没想到开机却上不了网,以前有时候也出现这样的问题,是路由器问题,登陆路由器页面自己连接下就好了,可今天连了半天也没动静,一看猫的WAN通讯灯是闪着的,这灯应该是刚开猫时闪亮,等下就常亮的,是不是猫有了问题呢,速度的拆了下来拿到四楼同事那试了下猫是好的,那就是线路问题了,虽然根据故障判断是线路问题还是拆了路由把WAN连接线接到我电脑上拨号,提示678错误,是了,线路不通。因为我当时拉网线时没要电话,那个没用,所以跑到同事宿舍打10000申告障碍,接线MM说24小时内解决。第二天等了一天没见人,晚上开机听了下歌,做完东西就休息了,没网的日子实在难受啊。
第三天下午还是没见人,当时就有点气但是也很无奈,总不能自己爬到杆子上去看吧,没想到下午来人了,没收拾好,因为没有拿到接线端子图不能检查问题,好在那小子还行,顺着楼上下去的线找到了,线路没问题,说是信号柜里的端子有问题了,这下找不到了,几百个端子,无奈只有再等了,说是第四天早上早点来弄的,可是又等了一天还是没反应,眼看下班的时间又到了,都周末了,没网怎么过呢,无奈抱起手机打10000,最后通牒,要是还不来就找到营业厅去。
今天早上也就是断网第五天早上开机看电影呢,一小灵通打了进来,说是线路故障清除,人在门外,进来后发现信号灯正常,拨号竟然显示密码错误,草了,怎么我的密码也错了呢,无语了,维修人员又打10000给修改了下,因为人家是电信的电话不花钱吗,现在的客服电话都烧钱,光提示就三分钟,客服办事效率又低,就光改密码改了两次才成功,不知道接线员是吃什么长大的,汗死!
好在终于能上网了,送走维修人员速度的上网,爽啊
没爽几下就郁闷了,几天没玩手生了许多,上淘宝冲话费,拍错了卖家,正好那卖家没卡了,钱也支付了,无奈网银的钱正好给herozrz冲话费不够了,只好求助拍错的卖家退款,可是系统提示付款24小时候才能退款,本来想冒险先确认了再让卖家打过来PS:危险动作,这样很有可能什么人财两空,卖家同意,后来还是卖家有技巧,先发货再退款,真的很不错的卖家,现在想想怎么觉得还是网上的人值得信任捏,呵呵,退款后顺利买卡充值,汗死!!!
23
7月
Windows系统目录是Windows操作系统的重要目录,当我们访问这个目录时,系统会提示你这个目录的重要性,如果需要进入,只需要单击“显示文件”就可以大摇大摆地走进去了。如果我们给Windows目录增加一个进入口令,只有那些口令输入正确的人才能进入,这样,你的Windows目录不是安全多了,而且一些不愿让别人看到的文档也可以放到里面。
给Windows目录加口令,我们需要借助Windows目录中一个特殊文件:超文本模板文件folder.htt。另外我们再编写一个HTML文档用来进行口令输入错误时的提示。
下面,我们先来修改一下folder.htt,用记事本打开Windows目录中的folder.htt文档(注意它是一个隐藏文件,如果你在Windows目录中找不到它,可以在我的电脑窗口中单击“查看”菜单中的“文件夹选项...”,再单击“查看”标签,在高级设置中选中“显示所有文件”就可以了。),在文档内容最后的语句前面加入如下VBSCRIPT代码:
<Script language="vbscript">
function kouling()
dim pass<BR>
pass=Prompt("对不起,这是重要的系统目录,请您正确输入管理口令才能进入:","")
if pass="abc" then dedecms.com
else<BR> Alert "对不起,您的口令错误!"
Navigate "file://C:\Program Files\error.html"
end if
end function
kouling()
</script>
给Windows目录加口令,我们需要借助Windows目录中一个特殊文件:超文本模板文件folder.htt。另外我们再编写一个HTML文档用来进行口令输入错误时的提示。
下面,我们先来修改一下folder.htt,用记事本打开Windows目录中的folder.htt文档(注意它是一个隐藏文件,如果你在Windows目录中找不到它,可以在我的电脑窗口中单击“查看”菜单中的“文件夹选项...”,再单击“查看”标签,在高级设置中选中“显示所有文件”就可以了。),在文档内容最后的语句前面加入如下VBSCRIPT代码:
<Script language="vbscript">
function kouling()
dim pass<BR>
pass=Prompt("对不起,这是重要的系统目录,请您正确输入管理口令才能进入:","")
if pass="abc" then dedecms.com
else<BR> Alert "对不起,您的口令错误!"
Navigate "file://C:\Program Files\error.html"
end if
end function
kouling()
</script>
18
7月
如果你的无线网络出现了问题,其原因可能是来自各个方面。当你试图解决这一问题时,可能会涉及硬件厂商以及网络配置等诸多因素。当一个无线网络发生问题时,你应该首先从几个关键问题入手进行排错。一些硬件的问题会导致网络错误,同时错误的配置也会导致网络不能正常工作。在这篇文章中,我们将介绍一些无线网络排错的方法和技巧。本文针对的是基本的无线网络,而不是特殊的无线网络。
硬件排错
当只有一个接入点以及一个无线客户端出现连接问题时,我们可能会很快的找到出有问题的客户端。但是当网络非常大时,找出问题的所在可能就不是那么容易了。
在大型的无线网络环境中,如果有些用户无法连接网络,而另一些客户却没有任何问题,那么很有可能是众多接入点中的某个出现了故障。一般来说,通过察看有网络问题的客户端的物理位置,你就能大概判断出是哪个接入点出现问题。
当所有客户都无法连接网络时,问题可能来自多方面。如果你的网络只使用了一个接入点,那么这个接入点可能有硬件问题或者配置有错误。另外,也有可能是由于无线电干扰过于强烈,或者是无线接入点与有线网络间的连接出现了问题。
检查接入点的可连接性
硬件排错
当只有一个接入点以及一个无线客户端出现连接问题时,我们可能会很快的找到出有问题的客户端。但是当网络非常大时,找出问题的所在可能就不是那么容易了。
在大型的无线网络环境中,如果有些用户无法连接网络,而另一些客户却没有任何问题,那么很有可能是众多接入点中的某个出现了故障。一般来说,通过察看有网络问题的客户端的物理位置,你就能大概判断出是哪个接入点出现问题。
当所有客户都无法连接网络时,问题可能来自多方面。如果你的网络只使用了一个接入点,那么这个接入点可能有硬件问题或者配置有错误。另外,也有可能是由于无线电干扰过于强烈,或者是无线接入点与有线网络间的连接出现了问题。
检查接入点的可连接性
