14
7月
好几天的加班把我累坏了,晚上回家都22:00了,刚想洗洗休息了,突然想到给MM买的东东收到都两天了,还没机会给老板付款呢,速度给MM打个电话问下需不需要调换什么的,就开机去确认。
没想到就在那时候出状况了,机子突然重启了,晕死,这是什么意思捏,从来没出现过这样的问题呢?当再次重启到硬件检测的那块时突然发现CPU的温度飙升到了61度,靠,为了安全期间偶把CPU保护的温度设置了60度,超过就重启,原来问题在这呢,可问题又来了,虽然是老机了,但是我的CPU温度从来没超过45度,所以我才设置那么低的保护值,速度的关闭电源打开机箱,才发现CPU风扇一端的扣子自动跳开了,当然风扇就在旁边挂着,没办法,只好顺便拆了清理了下灰尘,装上继续开机,可是显示器一直没收到信号,怎么回事捏,首先想到显示器的接口,重新拆下装了下,还是不成,无奈再拆机箱了,看了半天才发现内存一头是出来的,NND,这是怎么回事捏,也太奇怪了吧,因为当时机子刚按了开机按钮,也没多想就把内存一头插了进去,显示器终于收到信号了,事后才想起,开机过程中插拔内存是多么危险地动作,随时都有烧毁器件的可能发生,汗死,忙糊涂了。
后来想想这问题虽然不是多么有难度的问题,但是却是很奇怪地说,CPU风扇扣子无故跳出,内存一头跳出,难道都是太热了想出来凉快下,如果不是那又是什么问题呢,一起的室友都不怎么玩我的电脑呢,当然更谈不上是拆我的机箱了,这问题想了多天都没想通,汗死
还是不想了,赶紧给人确认了休息了。
没想到就在那时候出状况了,机子突然重启了,晕死,这是什么意思捏,从来没出现过这样的问题呢?当再次重启到硬件检测的那块时突然发现CPU的温度飙升到了61度,靠,为了安全期间偶把CPU保护的温度设置了60度,超过就重启,原来问题在这呢,可问题又来了,虽然是老机了,但是我的CPU温度从来没超过45度,所以我才设置那么低的保护值,速度的关闭电源打开机箱,才发现CPU风扇一端的扣子自动跳开了,当然风扇就在旁边挂着,没办法,只好顺便拆了清理了下灰尘,装上继续开机,可是显示器一直没收到信号,怎么回事捏,首先想到显示器的接口,重新拆下装了下,还是不成,无奈再拆机箱了,看了半天才发现内存一头是出来的,NND,这是怎么回事捏,也太奇怪了吧,因为当时机子刚按了开机按钮,也没多想就把内存一头插了进去,显示器终于收到信号了,事后才想起,开机过程中插拔内存是多么危险地动作,随时都有烧毁器件的可能发生,汗死,忙糊涂了。
后来想想这问题虽然不是多么有难度的问题,但是却是很奇怪地说,CPU风扇扣子无故跳出,内存一头跳出,难道都是太热了想出来凉快下,如果不是那又是什么问题呢,一起的室友都不怎么玩我的电脑呢,当然更谈不上是拆我的机箱了,这问题想了多天都没想通,汗死
还是不想了,赶紧给人确认了休息了。
6
7月
新的工作陆续展开,简直忙死了,看看小blog也好长时间么写了,感觉荒废了,无奈忙的要死,包括工作、应酬、其他俗事,反正是没时间,晕死,这周更惨,接了一外面人做的活才把我给累惨了,汗....
每天早上7点准时出发,本来是8点,工作需要,下午也提前半小时,下班到8点,晕死,周二接的,没想到周五还早呢,无奈领导说让我辛苦下,接着干,当时我在心里已经招呼过某人的十八代了,无奈已经干到半路,也不好交给别人,交了也影响我的成绩,嘎嘎,没办法只好继续了,刚周末完了,活也结束了,下午回来的稍微早点,想想今天事还多,blog的主机马上到期了,不知道为什么平台没提示,幸亏我提前抽时间网银冲了钱,本来想把工资卡也挂到网银的,一直不想去,怕不安全,没申请u盾,本来就挣三个半钱,没了活不活了,吃过饭上idc那找到 了支付帐户,联系IDC财务没在,看来今天是办不了了,明天再说吧,顺便上来看看荒废的博客,写写东西吧!
本来考虑好的,公司来了新员工,想一起去金川峡玩的,虽然来这一年多了,还一直没去过,虽然没什么玩的,但是在这个小城市来说那地方还是很受欢迎的,好多部门都是结伴去玩,无奈我到了新的单位,同事岁数都不小了,好像没一起玩的可能,只好找咱小的了。为这事痞子丁还专门来找我策划,我加班弄的没去抢,靠,这天气越来越热的,估计短时间内是没有去的打算了,因为下周预计又是没周末的,公司每年最大的项目开始了,大家都忙,也不好意思休假,当然也是不允许的,汗,还是悲哀下了洗衣服去,命苦的人那
每天早上7点准时出发,本来是8点,工作需要,下午也提前半小时,下班到8点,晕死,周二接的,没想到周五还早呢,无奈领导说让我辛苦下,接着干,当时我在心里已经招呼过某人的十八代了,无奈已经干到半路,也不好交给别人,交了也影响我的成绩,嘎嘎,没办法只好继续了,刚周末完了,活也结束了,下午回来的稍微早点,想想今天事还多,blog的主机马上到期了,不知道为什么平台没提示,幸亏我提前抽时间网银冲了钱,本来想把工资卡也挂到网银的,一直不想去,怕不安全,没申请u盾,本来就挣三个半钱,没了活不活了,吃过饭上idc那找到 了支付帐户,联系IDC财务没在,看来今天是办不了了,明天再说吧,顺便上来看看荒废的博客,写写东西吧!
本来考虑好的,公司来了新员工,想一起去金川峡玩的,虽然来这一年多了,还一直没去过,虽然没什么玩的,但是在这个小城市来说那地方还是很受欢迎的,好多部门都是结伴去玩,无奈我到了新的单位,同事岁数都不小了,好像没一起玩的可能,只好找咱小的了。为这事痞子丁还专门来找我策划,我加班弄的没去抢,靠,这天气越来越热的,估计短时间内是没有去的打算了,因为下周预计又是没周末的,公司每年最大的项目开始了,大家都忙,也不好意思休假,当然也是不允许的,汗,还是悲哀下了洗衣服去,命苦的人那
4
7月
袁哥 < yuange@163.net >
大家经常讨论SNIFFER,觉得还是很多人没有真正理解SNIFFER,所以把我的一点理解写出来大家共享。
先讲讲HUB的工作原理吧。由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式,物理上是广播的,就是一个机器发给另一个机器的数据,共享HUB先收到然后把它接收到的数据再发给别的(来的那个口不发了)每一个口,所以在共享HUB下面同一网段的所有机器的网卡都能接收到数据。交换式HUB的内部单片程序能记住每个口的MAC地址,以后就该哪个机器接收就发往哪个口,而不是像共享HUB那样发给所有的口,所以交换HUB下只有该接收数据的机器的网卡能接收到数据,当然广播包还是发往所有口。显然共享HUB的工作模式使得两个机器传输数据的时候别的口也占用了,所以共享HUB决定了同一网段同一时间只能有两个机器进行数据通信,而交换HUB两个机器传输数据的时候别的口没有占用,所以别的口之间也可以同时传输。这就是共享HUB与交换HUB不同的两个地方,共享HUB是同一时间只能一个机器发数据并且所有机器都可以接收,只要不是广播数据交换HUB同一时间可以有对机器进行数据传输并且数据是私有的。
再讲讲网卡的工作原理。网卡收到传输来的数据,网卡内的单片程序先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。CPU得到中断信号产生中断,操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。
有了这HUB、网卡的工作原理就可以讲SNIFFER了。首先,要知道要SNIFFER的东西必须是要物理信号你能收到的东西。显然只要通知网卡接收其收到的所有包(一般叫作乱模式),在共享HUB下就能接收到这个网段的所有包,但是交换HUB下就只能是自己的包加上广播包。知道了原理那就好办。要想在交换HUB下接收别人的包,那就要让其发往你的机器所在口。交换HUB记住一个口的MAC是
大家经常讨论SNIFFER,觉得还是很多人没有真正理解SNIFFER,所以把我的一点理解写出来大家共享。
先讲讲HUB的工作原理吧。由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式,物理上是广播的,就是一个机器发给另一个机器的数据,共享HUB先收到然后把它接收到的数据再发给别的(来的那个口不发了)每一个口,所以在共享HUB下面同一网段的所有机器的网卡都能接收到数据。交换式HUB的内部单片程序能记住每个口的MAC地址,以后就该哪个机器接收就发往哪个口,而不是像共享HUB那样发给所有的口,所以交换HUB下只有该接收数据的机器的网卡能接收到数据,当然广播包还是发往所有口。显然共享HUB的工作模式使得两个机器传输数据的时候别的口也占用了,所以共享HUB决定了同一网段同一时间只能有两个机器进行数据通信,而交换HUB两个机器传输数据的时候别的口没有占用,所以别的口之间也可以同时传输。这就是共享HUB与交换HUB不同的两个地方,共享HUB是同一时间只能一个机器发数据并且所有机器都可以接收,只要不是广播数据交换HUB同一时间可以有对机器进行数据传输并且数据是私有的。
再讲讲网卡的工作原理。网卡收到传输来的数据,网卡内的单片程序先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。CPU得到中断信号产生中断,操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。
有了这HUB、网卡的工作原理就可以讲SNIFFER了。首先,要知道要SNIFFER的东西必须是要物理信号你能收到的东西。显然只要通知网卡接收其收到的所有包(一般叫作乱模式),在共享HUB下就能接收到这个网段的所有包,但是交换HUB下就只能是自己的包加上广播包。知道了原理那就好办。要想在交换HUB下接收别人的包,那就要让其发往你的机器所在口。交换HUB记住一个口的MAC是
3
7月
首先要澄清的一个概念是 infostealer.gampss病毒不是一个病毒,而是一个系列的病毒的名称。因此虽然你的杀软也告诉你中了infostealer.gampss病毒,但你网络上搜索的infostealer.gampss病毒的清除方法对你可能根本无效,这一点都不奇怪。
infostealer.gampss病毒 是 Symantec norton antivirus(诺顿)定义的以窃取游戏帐号、密码为主的木马类病毒。目前发现此类病毒的变种很多,一般具有随机文件名,可能会劫持AppInit_DLLs,也有可能会通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks加载DLL,某些时候还会劫持IFEO,使杀软失效。至于修改下系统时间让卡巴等变呆更是小儿科的行为。在IFEO劫持方面,有时会指向病毒的一个备份文件,有时却是正常的系统文件,其结果就是系统的死慢甚至假死。可参考本博的近期处理的几则案例。某些infostealer.gampss病毒会通过系统服务或者驱动的方式获得进一步的控制权。一般情况下还不会忘记对autorun.inf的利用。比较厉害的infostealer.gampss病毒会联合使用如上的各种可能,使得被清除变得不宜。
病毒行为:
1、由于这个种木马生成伪装系统文件,给手动删除造成迷惑,故需小心判定。
2、此木马会通过系统保护项重复生成感染。
3、此木马也可能会在C:\Documents and Settings\系统用户名\Local Settings\Temp\生成1.exe、2.exe等可执行文件进行破坏exe关联。
4、中毒后,病毒修改了系统执行关联,控制不能执行.exe的命令,重启电脑系统后会导致病毒防火墙等都不能启动。此时IE执行的命令文件是病毒文件:Program Files\Internet Explorer\iexplore.com,故上网时不能直接使用IE执行,如果存在Windows\explorer.com则要先删除。
解决步骤:
infostealer.gampss病毒 是 Symantec norton antivirus(诺顿)定义的以窃取游戏帐号、密码为主的木马类病毒。目前发现此类病毒的变种很多,一般具有随机文件名,可能会劫持AppInit_DLLs,也有可能会通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks加载DLL,某些时候还会劫持IFEO,使杀软失效。至于修改下系统时间让卡巴等变呆更是小儿科的行为。在IFEO劫持方面,有时会指向病毒的一个备份文件,有时却是正常的系统文件,其结果就是系统的死慢甚至假死。可参考本博的近期处理的几则案例。某些infostealer.gampss病毒会通过系统服务或者驱动的方式获得进一步的控制权。一般情况下还不会忘记对autorun.inf的利用。比较厉害的infostealer.gampss病毒会联合使用如上的各种可能,使得被清除变得不宜。
病毒行为:
1、由于这个种木马生成伪装系统文件,给手动删除造成迷惑,故需小心判定。
2、此木马会通过系统保护项重复生成感染。
3、此木马也可能会在C:\Documents and Settings\系统用户名\Local Settings\Temp\生成1.exe、2.exe等可执行文件进行破坏exe关联。
4、中毒后,病毒修改了系统执行关联,控制不能执行.exe的命令,重启电脑系统后会导致病毒防火墙等都不能启动。此时IE执行的命令文件是病毒文件:Program Files\Internet Explorer\iexplore.com,故上网时不能直接使用IE执行,如果存在Windows\explorer.com则要先删除。
解决步骤:
28
6月
现在很多网站都采用了通用防注入程序,那么对于这种网站,我门是否就束手无策了呢?答案是否定的,因为我们可以采用cookie 注入的方法,而很多通用防注入程序对这种注入方式都没有防备。
在讲之前,我们还是来回顾下ASP脚本中Request对象的知识吧,上面几讲中都提到Request对象获取客户端提交数据常用的是GET和POST二种方式,同时request对象可以不通过集合来获得数据,即直接使用"request("name")"但它的效率低下,容易出错,当我们省略具体的集合名称时,ASP是按QueryString,from,cookie,servervariable,集合的顺序来搜索的,在request对象成员中集合cookies,它的意思是"读取用户系统发送的所有cookie值,我们从第二讲关于"cookies欺骗入侵和原理"中知道,cookies是保存在客户端计算机的一个文本文件,可以进行修改,这样一来,我们就可以使用Request.cookie方式来提交变量的值,从而利用系统的漏洞进行注入攻击.
我们首先还是来看看中网景论坛的最新版本"(CNKBBS2007)中网景论坛2007v5.0 "官方下载地址"http://www.cnetking.com/websys2.asp?id=26"发布时间是2007-06-06,打开系统的源代码后,在"user_RxMsg_detail.asp"文件中,有如下代码:
<!--#i nclude file="opendb.asp" --> (调用opendb.asp文件)
<!--#i nclude file="char.asp" -->
<%
Call CheckUserLogin(username)
在讲之前,我们还是来回顾下ASP脚本中Request对象的知识吧,上面几讲中都提到Request对象获取客户端提交数据常用的是GET和POST二种方式,同时request对象可以不通过集合来获得数据,即直接使用"request("name")"但它的效率低下,容易出错,当我们省略具体的集合名称时,ASP是按QueryString,from,cookie,servervariable,集合的顺序来搜索的,在request对象成员中集合cookies,它的意思是"读取用户系统发送的所有cookie值,我们从第二讲关于"cookies欺骗入侵和原理"中知道,cookies是保存在客户端计算机的一个文本文件,可以进行修改,这样一来,我们就可以使用Request.cookie方式来提交变量的值,从而利用系统的漏洞进行注入攻击.
我们首先还是来看看中网景论坛的最新版本"(CNKBBS2007)中网景论坛2007v5.0 "官方下载地址"http://www.cnetking.com/websys2.asp?id=26"发布时间是2007-06-06,打开系统的源代码后,在"user_RxMsg_detail.asp"文件中,有如下代码:
<!--#i nclude file="opendb.asp" --> (调用opendb.asp文件)
<!--#i nclude file="char.asp" -->
<%
Call CheckUserLogin(username)
