相信很多人都有和笔者一样的经历,由WIN XP构成的网络所有设置和由WIN 2000构成的完全一样,但还是出现了根本不能访问的情况,笔者认为这主要是因为XP的安全设置和2000不一样所导致。针对这个问题笔者在网上查了一些资料,并将各种网上提供的常见解决方法做了相应测试,现在整理介绍给大家,希望能对遇到此问题的网友有所帮助,并请高手继续指点。部分内容摘自网络,请原谅不一一注明出处。
首先,这里不考虑物理联接和其它问题,只谈及策略问题。此外,请安装相应的协议并正确
不用api获取进程ID和线程ID
作者:admin 日期:2009-08-29
彻底改掉进程名
作者:admin 日期:2009-08-29
无dll穿墙原理
作者:admin 日期:2009-08-27
穿墙概念不用说了,就是穿透防火墙。软件防火墙会监视进程对网络的使用情况,发现可疑软件使用网络时会提醒用户要是用户阻止的话,你的什么下载者什么远程控制就没用了。怎么穿墙呢,其实很简单,用一个已经获得用户允许使用网络的程序来进行网络连接。一般来说如果用户要上网就要用到浏览器,所以浏览器程序一般是被允许使用网络的。那怎么让浏览器来干我们想干的事呢,对,注入。一般注入是把要执行的代码放到dll里面然后把这个dll注入到远程地址中去执行,而今天要讨论的是无dll穿墙呀,难道不是注入。其实也是注入。只不过比dll注入来得更直接,直接把程序写到远程地址空间里去。
为了方便我们要写一个函数来做我们要在远程空间里做的事,比如说下载,比如说远控的服务端。
假设这个函数名字为download()
为了方便我们要写一个函数来做我们要在远程空间里做的事,比如说下载,比如说远控的服务端。
假设这个函数名字为download()
关于pe中的入口点和跳转问题
作者:admin 日期:2009-08-27
pe里面的入口点和跳转问题。在我一开始学习pe的时候曾经就被这两个问题困惑过,可能很多朋友在学习的过程中也会遇到,所以我想在这里把这两个问题说清楚一点。没什么技术含量大牛飘过啦。
大家知道pe的入口点是在IMAGE_FILE_HEADER里面AddressOfEntryPoint指定的。其实这个说得挺清楚的,是address而不是offset,当然指的是内存里面的地址。那为什么会搞错呢?因为我用vb和vc++分别编译了一个简单的程序李测试,这时候我发现只要入口点的内存地址-映像基址=文件中的偏移量(因为OD载入厚就停留在入口点的),所以我误以为AddressOfEntryPoint就是一个文件偏移值,结果在写一个文件感染的程序的时候就只能感染这两个文件,其他像windows计算器还有资源管理器都出错。于是我就开始摸索,发现计算器的入口点减去映像基址并不等于入口点在文件里面的偏移,所以程序根本跳转不到我想要的地方。那我就纳闷了,装载器怎么找到要执行的地方呢?后来我又看到内存里面的入口点地址-映像基址就=AddressOfEntryPoint,于是我就想是不是AddressOfEntryPoint指的就是这个。我把入口点的地址放到oc转化器里面转换得到文件中的偏移,这个地方的数据果然和内存里面的是一样的。
所以结论就是:内存中程序开始执行的地址=映像基址+AddressOfEntryPoint,而在文件中偏移为AddressOfEntryPoint的地方不一定是程序的入口点数据。因为windows的pe文件是有对齐的,在很多时候文件对齐和内存对齐是不一样的,AddressOfEntryPoint要经过一定的转换才能得到offset。为什么上面用vb和vc++编译出来的程序刚好一样呢?因为这两个程序的文件对齐系数和内存对齐系数刚好是一样的,而且代码段刚好都在第一个节。
大家知道pe的入口点是在IMAGE_FILE_HEADER里面AddressOfEntryPoint指定的。其实这个说得挺清楚的,是address而不是offset,当然指的是内存里面的地址。那为什么会搞错呢?因为我用vb和vc++分别编译了一个简单的程序李测试,这时候我发现只要入口点的内存地址-映像基址=文件中的偏移量(因为OD载入厚就停留在入口点的),所以我误以为AddressOfEntryPoint就是一个文件偏移值,结果在写一个文件感染的程序的时候就只能感染这两个文件,其他像windows计算器还有资源管理器都出错。于是我就开始摸索,发现计算器的入口点减去映像基址并不等于入口点在文件里面的偏移,所以程序根本跳转不到我想要的地方。那我就纳闷了,装载器怎么找到要执行的地方呢?后来我又看到内存里面的入口点地址-映像基址就=AddressOfEntryPoint,于是我就想是不是AddressOfEntryPoint指的就是这个。我把入口点的地址放到oc转化器里面转换得到文件中的偏移,这个地方的数据果然和内存里面的是一样的。
所以结论就是:内存中程序开始执行的地址=映像基址+AddressOfEntryPoint,而在文件中偏移为AddressOfEntryPoint的地方不一定是程序的入口点数据。因为windows的pe文件是有对齐的,在很多时候文件对齐和内存对齐是不一样的,AddressOfEntryPoint要经过一定的转换才能得到offset。为什么上面用vb和vc++编译出来的程序刚好一样呢?因为这两个程序的文件对齐系数和内存对齐系数刚好是一样的,而且代码段刚好都在第一个节。
Web服务器安全加固脚本 For Linux
作者:admin 日期:2009-08-27
向PE头的缝隙中插入代码
作者:admin 日期:2009-08-26
有些人感觉[b]pe[/b]文件很复杂,其实呢只要学懂了你就会觉得[b]pe[/b]还是很简单的。上次写过一个往pe的第一个节里面写代码的东西,其实跟这个差不多,换汤不换药。这个可能会更简单,HOHO,废话不说了,直接进入正题。
先说一下往pe头缝隙里面写代码的原理
我们这次说的是windows平台下的感染(姑且成为感染吧),pe文件有一个dos头,其实说实话是几乎没什么用,就是用来跳到真正的[b]pe[/b]头,里面的一部分代码是可以覆盖的。但是为了简单我们今天就不用这一部分空间了。其实还有一个更好的空隙就是解表到第一个节直接的空隙。大家都知道可执行文件在磁盘中是按照特定方式对齐的。比如文件对齐粒是1000的话,第一节开始的位置就是1000,应为所有[b]pe[/b]头加起来不可能超过1000,而且远小于这个值,约为250.所以还有一大片空间来写我们的代码。
先说一下往pe头缝隙里面写代码的原理
我们这次说的是windows平台下的感染(姑且成为感染吧),pe文件有一个dos头,其实说实话是几乎没什么用,就是用来跳到真正的[b]pe[/b]头,里面的一部分代码是可以覆盖的。但是为了简单我们今天就不用这一部分空间了。其实还有一个更好的空隙就是解表到第一个节直接的空隙。大家都知道可执行文件在磁盘中是按照特定方式对齐的。比如文件对齐粒是1000的话,第一节开始的位置就是1000,应为所有[b]pe[/b]头加起来不可能超过1000,而且远小于这个值,约为250.所以还有一大片空间来写我们的代码。
Tags: pe
理解Windows消息机制
作者:admin 日期:2009-08-25
Windows系统是一个消息驱动的OS,什么是消息呢?我很难说得清楚,也很难下一个定义(谁在嘘我),我下面从不同的几个方面讲解一下,希望大家看了后有一点了解。
1、消息的组成:一个消息由一个消息名称(UINT),和两个参数(WPARAM,LPARAM)。当用户进行了输入或是窗口的状态发生改变时系统都会发送消息到某一个窗口。例如当菜单转中之后会有WM_COMMAND消息发送,WPARAM的高字中(HIWORD(wParam))是命令的ID号,对菜单来讲就是菜单ID。当然用户也可以定义自己的消息名称,也可以利用自定义消息来发送通知和传送数据。
2、谁将收到消息:一个消息必须由一个窗口接收。在窗口的过程(WNDPROC)中可以对消息进行分析,对自己感兴趣的消息进行处理。例如你希望对菜单选择进行处理那么你可以定义对WM_COMMAND进行处理的代码,如果希望在窗口中进行图形输出就必须对WM_PAINT进行处理。
3、未处理的消息到那里去了:M$为窗口编写了默认的窗口过程,这个窗口过程将负责处理那些你不处理消息。正因为有了这个默认窗口过程我们才可以利用Windows的窗口进行开发而不必过多关注窗口各种消息的处理。例如窗口在被拖动时会有很多消息发送,而我们都可以不予理睬让系统自己去处理。
4、窗口句柄:说到消息就不能不说窗口句柄,系统通过窗口句柄来在整个系统中唯一标识一个窗口,发送一个消息时必须指定一个窗口句柄表明该消息由那个窗口接收。而每个窗口都会有自己的窗口过程,所以用户的输入就会被正确的处理。例如有两个窗口共用一个窗口过程代码,你在窗口一上按下鼠标时消息就会通过窗口一的句柄被发送到窗口一而不是窗口二。
1、消息的组成:一个消息由一个消息名称(UINT),和两个参数(WPARAM,LPARAM)。当用户进行了输入或是窗口的状态发生改变时系统都会发送消息到某一个窗口。例如当菜单转中之后会有WM_COMMAND消息发送,WPARAM的高字中(HIWORD(wParam))是命令的ID号,对菜单来讲就是菜单ID。当然用户也可以定义自己的消息名称,也可以利用自定义消息来发送通知和传送数据。
2、谁将收到消息:一个消息必须由一个窗口接收。在窗口的过程(WNDPROC)中可以对消息进行分析,对自己感兴趣的消息进行处理。例如你希望对菜单选择进行处理那么你可以定义对WM_COMMAND进行处理的代码,如果希望在窗口中进行图形输出就必须对WM_PAINT进行处理。
3、未处理的消息到那里去了:M$为窗口编写了默认的窗口过程,这个窗口过程将负责处理那些你不处理消息。正因为有了这个默认窗口过程我们才可以利用Windows的窗口进行开发而不必过多关注窗口各种消息的处理。例如窗口在被拖动时会有很多消息发送,而我们都可以不予理睬让系统自己去处理。
4、窗口句柄:说到消息就不能不说窗口句柄,系统通过窗口句柄来在整个系统中唯一标识一个窗口,发送一个消息时必须指定一个窗口句柄表明该消息由那个窗口接收。而每个窗口都会有自己的窗口过程,所以用户的输入就会被正确的处理。例如有两个窗口共用一个窗口过程代码,你在窗口一上按下鼠标时消息就会通过窗口一的句柄被发送到窗口一而不是窗口二。
添加用户的汇编代码
作者:admin 日期:2009-08-25
OD教程
作者:admin 日期:2009-08-24
pe文件中的资源
作者:admin 日期:2009-08-24
PE文件格式
作者:admin 日期:2009-08-24
系统出现非法操作程序错误提示对策
作者:admin 日期:2009-08-24
清除系统垃圾的批处理代码
作者:admin 日期:2009-08-24
手动删除删不掉的文件
作者:admin 日期:2009-08-24
1.覆盖文件再删除。在硬盘的另外区域新建一个和待删文件同名的文件,然后剪切并覆盖待删文件,最后再删除该文件。
2.请常用软件“兼职”删除。我们可以使用Winrar、FlashFXP、Nero、ACDSee来删除顽固文件,这种方法往往有奇效。使用方法非常简单,以FlashFXP为例,只需在本地目录中浏览到待删文件,对其执行删除操作即可。
注意:使用Winrar来删除文件的方法跟其它软件不同,步骤如下:右键单击待删除文件或者文件夹,选择“添加到档案文件”菜单,在谈出窗口中勾选“存档后删除源文件”,单击“确定”,这样Winrar在创建压缩文件的同时,也会帮我们删除顽固的文件,我们只需要将创建的压缩文件删除即可。
2.请常用软件“兼职”删除。我们可以使用Winrar、FlashFXP、Nero、ACDSee来删除顽固文件,这种方法往往有奇效。使用方法非常简单,以FlashFXP为例,只需在本地目录中浏览到待删文件,对其执行删除操作即可。
注意:使用Winrar来删除文件的方法跟其它软件不同,步骤如下:右键单击待删除文件或者文件夹,选择“添加到档案文件”菜单,在谈出窗口中勾选“存档后删除源文件”,单击“确定”,这样Winrar在创建压缩文件的同时,也会帮我们删除顽固的文件,我们只需要将创建的压缩文件删除即可。
WinXP系统网络不能互访七大解决之道
作者:admin 日期:2009-08-24
win2003 开机优化技巧两则
作者:admin 日期:2007-07-22
设置win2003本地策略应用
作者:admin 日期:2007-07-22
各大搜索引擎入口
作者:admin 日期:2007-07-20
一搜网站登录http://www.yisou.com/search_submit.html?source=yisou_www_hp
百度免费登录入口 http://www.baidu.com/search/url_submit.htm
新浪免费登录入口 http://bizsite.sina.com.cn/newbizsite/docc/index-2jifu-09.htm
搜狐免费登录入口 http://db.sohu.com/regurl/regform.asp?Step=REGFORM&class=
免费搜索登录入口 http://www.7free.net/so/protocol.asp
百度免费登录入口 http://www.baidu.com/search/url_submit.htm
新浪免费登录入口 http://bizsite.sina.com.cn/newbizsite/docc/index-2jifu-09.htm
搜狐免费登录入口 http://db.sohu.com/regurl/regform.asp?Step=REGFORM&class=
免费搜索登录入口 http://www.7free.net/so/protocol.asp
怎样避免被搜索引擎视为作弊
作者:admin 日期:2007-07-20
一个网站要想成功注册,它起码应具备两个条件,一是网站本身要有较好的内容和设计,二是网站没有作弊行为。这里所谓的“作弊”,是指采用一些特殊的、有悖常规的网页设计手法,以期提高网站排名的行为。如何设计好网站,相关的资料很多,本文就不废话了。这里主要谈谈后者,即在提高网站排名的同时,如何避免被搜索引擎视为作弊而拒绝注册。 那么,在搜索引擎看来,哪些行为算作弊呢?这里罗列了一下,从中你可看到,现在有些人还视为“密技”的东西,其实已经过时了。
堆砌页面关键字:为了增加某个词汇在网页上的出现频率,而故意重复它。这是有人常用的花招,不过,现在很多搜索引擎都能识破它。它们通过统计网页单词总数,判断某个单词出现的比例是否正常。一旦超过“内定标准”,就对你的网页说“ByeBye”了。
放置隐形文本:所谓的“鬼页法”。为了增加关键字数量,网页中放一段与背景颜色相同的、包含密集关键字的文本,访客看不到,可搜索引擎却能找到,过去一度还真能提高网站排名,但现在,主要搜索引擎都能识别出来,照样玩不通了。
堆砌页面关键字:为了增加某个词汇在网页上的出现频率,而故意重复它。这是有人常用的花招,不过,现在很多搜索引擎都能识破它。它们通过统计网页单词总数,判断某个单词出现的比例是否正常。一旦超过“内定标准”,就对你的网页说“ByeBye”了。
放置隐形文本:所谓的“鬼页法”。为了增加关键字数量,网页中放一段与背景颜色相同的、包含密集关键字的文本,访客看不到,可搜索引擎却能找到,过去一度还真能提高网站排名,但现在,主要搜索引擎都能识别出来,照样玩不通了。
框架型网页的优化技巧
作者:admin 日期:2007-07-20
从一开始,框架型网站对于即使是专业的搜索引擎优化也成了一个挑战。是否该用框架技术去设计一个新网页,也已成了大家争论不休的话题。在这篇文章中,我们为你提供了一些基本的优化技术,同时你也能够了解到:如何让一个使用框架的网页为主要搜索引擎正确索引及如何对其进行优化。 首先,让我们来看看使用框架设计的网站具有哪些好处。它的优越性体现在整个网页设计的整体性的保持及更新上。这也是为什么有相当多网站设计者都倾向于使用框架技术来进行网站的设计。尤其对于那些大型网站(至少500页以上的内容)而言,框架结构的使用可以使网站的维护变的相对容易。
什么是框架型网页?
如果一个网页的左边导航菜单是固定的,而页面中间的信息可以上下移动,这一般就可以认为是一个框架型网页。此外,一些框架型站点的模板在其页面上方放置了公司的LOGO或图片。不过这一块也是位置固定的。而页面的其它部分则可以上下左右移动。有的框架型站点模板还会在其固定区域中放入链接或导航按钮。另外,在框架型网页中,深层页面的域名通常不会在URL中体现出来(这就意味着在浏览器的URL一栏中,不会显示你当前所看的深层页面,而是主页的URL)。 这种问题在一般结构的网站中是不存在的。
无论是在一些内容比较好的书籍里还是在网上,你都能看到很多关于搜索引擎优化方面的文章。在这些文章当中,基本上都认为网站用框架来设计是极不可取的。这是由于大多数的搜索引擎都无法识别网页中的框架,或者无法对框架中的内容进行遍历或搜索。
在这种情形下,又有人可能会告诉你使用框架的网站永远不可能为搜索引擎索引, 也不可能得到好的优化。这种论调对错参半。倘若框架使用得当,这种论调是站不住脚的。但对于框架的错误使用,或在网站设计时压根不考虑今天搜索引擎技术的方方面面,那么这句话又是有一定道理的。
什么是框架型网页?
如果一个网页的左边导航菜单是固定的,而页面中间的信息可以上下移动,这一般就可以认为是一个框架型网页。此外,一些框架型站点的模板在其页面上方放置了公司的LOGO或图片。不过这一块也是位置固定的。而页面的其它部分则可以上下左右移动。有的框架型站点模板还会在其固定区域中放入链接或导航按钮。另外,在框架型网页中,深层页面的域名通常不会在URL中体现出来(这就意味着在浏览器的URL一栏中,不会显示你当前所看的深层页面,而是主页的URL)。 这种问题在一般结构的网站中是不存在的。
无论是在一些内容比较好的书籍里还是在网上,你都能看到很多关于搜索引擎优化方面的文章。在这些文章当中,基本上都认为网站用框架来设计是极不可取的。这是由于大多数的搜索引擎都无法识别网页中的框架,或者无法对框架中的内容进行遍历或搜索。
在这种情形下,又有人可能会告诉你使用框架的网站永远不可能为搜索引擎索引, 也不可能得到好的优化。这种论调对错参半。倘若框架使用得当,这种论调是站不住脚的。但对于框架的错误使用,或在网站设计时压根不考虑今天搜索引擎技术的方方面面,那么这句话又是有一定道理的。
