BlogJava-太阳照常升起,我依然活着-随笔分类-操作系统http://www.blogjava.net/Athena/category/28312.htmlzh-cnMon, 31 Dec 2007 13:55:57 GMTMon, 31 Dec 2007 13:55:57 GMT60无法停止通用卷设备的解决方法http://www.blogjava.net/Athena/archive/2007/12/31/171833.htmlAthenaAthenaMon, 31 Dec 2007 05:19:00 GMThttp://www.blogjava.net/Athena/archive/2007/12/31/171833.htmlhttp://www.blogjava.net/Athena/comments/171833.htmlhttp://www.blogjava.net/Athena/archive/2007/12/31/171833.html#Feedback0http://www.blogjava.net/Athena/comments/commentRss/171833.htmlhttp://www.blogjava.net/Athena/services/trackbacks/171833.html 第一种方法:
一个国外的十分小巧实用的软件,只有191KB,叫unlocker,十分好用! 这个软件能解锁USB连接设备!就能实现100%安全删除USB连接了!
下载地址:http://www.xdowns.com/soft/softdown.asp?softid=30377
第二种方法:
我们只需要把系统的预览功能关掉,这种问题就不会再出现了,操作办法是:双击我的电脑-工具-文件夹选项-常规-任务-使用windows传统风格的文件夹,然后点击应用-确定就行了.这样就ok了!
第三种方法:
先关闭存在于移动设备上的打开文件。进其他硬盘分区做简单操作例如“复制”“粘贴”等,然后就可停止了。把"rundll32.exe"进程结束,也可以正常删除。方法:同时按下键盘的"Ctrl"+"Alt"+"Del"组合键,这时会出现"任务管理器"的窗口,单击"进程"标签,在"映像名称"中寻找"rundll32.exe"进程(如果有多个"rundll32.exe"进程,全部关闭即可。),选择"rundll32.exe"进程,然后点击 "结束进程",这时会弹出"任务管理器警告",这时为了让用户确定是否关闭此进程,点击"是"即关闭了"rundll32.exe"进程。
还有最后一个办法,关闭计算机,待闪存盘的指示灯灭了以后,即可安全拔出;如果没有指示灯的闪存盘话,那么待计算机电源指示灯关闭熄灭后,即可安全拔出。
但以上方法都是发生了"现在无法停止通用卷设备,请稍候再停止设备"问题后,那么有没有方法预防这个问题呢?
先将闪存插到USB接口,然后在Windows XP中用鼠标右键单击“我的电脑”图标,依次展开“属性→硬件→设备管理器→磁盘驱动器”,找到“USB Flash Drive USB Device”(不同品牌的闪存名称可能不同),然后双击它打开 “USB Flash Drive USB Device属性”对话框。切换到“策略”选项卡,选中“为快速删除而优化”,单击“确定”退出。以后不用理会系统托盘中的“安全删除硬件”图标,只要没有对闪存进行数据读写操作(即闪存的指示灯不闪动),就可以直接将闪存从USB接口拔下来了。
第四种方法:
卸载整个USB驱动,重新安装
第五个方法:
在“开始”-"运行"打入这段代码:REGSVR32 /U SHMEDIA.DLL


Athena 2007-12-31 13:19 发表评论
]]>番茄花园版的漏洞http://www.blogjava.net/Athena/archive/2007/12/24/169956.htmlAthenaAthenaMon, 24 Dec 2007 02:24:00 GMThttp://www.blogjava.net/Athena/archive/2007/12/24/169956.htmlhttp://www.blogjava.net/Athena/comments/169956.htmlhttp://www.blogjava.net/Athena/archive/2007/12/24/169956.html#Feedback0http://www.blogjava.net/Athena/comments/commentRss/169956.htmlhttp://www.blogjava.net/Athena/services/trackbacks/169956.html 此次分析的版本是《番茄花园 Windows XP Pro SP2 免激活 V 2.8》和《番茄花园 Windows XP Pro SP2 免激活 V2.9》及《番茄花园 Windows XP Pro SP2 免激活 V 2.7》,其他版本不详。
1.发现过程:
本人负责维护自己网络的安全,所以经常扫描自己网段的安全性和有无漏洞。这几天例行扫描,发现有部分IP的用户名只有Administrator用户,这个现象本没有什么,只是个人随便试试,发现可以进入,而原版是不可能的,于是本人想弄清是什么版本的系统。
使 用net use命令和用户名Administrator建立空连接(没有密码,却可以成功连接),然后用at命令计划任务关闭Windows Firewall/Internet Connection Sharing (ICS)服务(为了关闭Windows防火墙),然后用opentelnet开启对方的telnet,至此,得到Administrator权限的 shell。然后在telnet下运行net share C$=C:"开启对方c盘的默认共享,然后用copy命令把对方%systemroot%"system32下的oemlogo.bmp和 oeminfo.ini复制到本地磁盘,打开oemlogo.bmp发现正是番茄花园v2.8版。
2.分析过程
本人发现问题后,于是去番茄花园的官方网站下载了v2.8和最新的v2.9进行分析。为了更负责任的测试结果,番茄花园的V2.7、V2.8、V2.9 三个版本的操作系统,几天来安装了有20多次。
在 虚拟机安装,不做任何设置的修改,然后再在真机环境下对虚拟机进行入侵测试,同样可以入侵。在此证明问题不是出在使用者身上,问题而是在系统本身。OK, 下面开始找系统问题所在。查看帐户,安装完后,只有Administrator开启,密码为空;默认共享只有IPC$开启,其他的Admin$和每个盘符 的默认共享也全部关闭;远程桌面为关闭状态;Remote Registry服务同样为关闭状态。看似系统是相当相当安全。可实际上为何还能那么轻松突破入侵呢?第一时间想到的就是原来的系统默认设置遭到了修改。 于是打开注册表查看limitblankpassworduse的值,果然是0;这个键值的默认值本来是1,而被人为修改为0。使用番茄花园版v2.8或 者v2.9的朋友,可以打开注册表编辑器regedit,查看项HKEY_LOCAL_MACHINE"SYSTEM" CurrentControlSet"Control"Lsa下的键值limitblankpassworduse,看键值是否为0;然后安装一次原版 xp sp2,看这个键值;对比一下便知。最后又下载了V2.7测试,2.7没有发现类似安全漏洞。
3.总结
这个问题的发现很遗憾。可以 说,大番茄是一位绝顶高手。这个问题的出现,可以有这么几种猜测:一、大番茄的确是一位高手,东西隐藏的太深了;二、大番茄“失误”造成,不过很难理解, 像大番茄这么一个绝顶高手会出现这么一种技术失误?三、大番茄不懂这个键值,但是假如真的不懂,那大番茄这种绝顶高手的水平,岂不是……?
OK,不过不管大家怎么猜测,不过希望大番茄能很负责的给大家一个解释,希望大番茄并非有意而为之。
至于最新的V2.8和V2.9的捆绑问题,这个就见仁见智的问题了,不做评论,大家都有各自的看法。
4.解决方法
为了防止使用番茄花园版V2.8、V2.9造成损失。可以自行修改limitblankpassworduse的键值为1来解决。

Athena 2007-12-24 10:24 发表评论
]]>Cmd的终极防守http://www.blogjava.net/Athena/archive/2007/12/24/169898.htmlAthenaAthenaSun, 23 Dec 2007 16:15:00 GMThttp://www.blogjava.net/Athena/archive/2007/12/24/169898.htmlhttp://www.blogjava.net/Athena/comments/169898.htmlhttp://www.blogjava.net/Athena/archive/2007/12/24/169898.html#Feedback0http://www.blogjava.net/Athena/comments/commentRss/169898.htmlhttp://www.blogjava.net/Athena/services/trackbacks/169898.html     翻开网络上的入侵资料看看吧!大多数的入侵都是在cmd下完成的,比较典型的有溢出得到一个system权限的cmdshell,然后种植一个Tcmd之 类绑定了cmd.exe的后门。也有利用web程序的漏洞得到一个webshell然后利用低权限的cmdshell来提升权限,最后再种植后门……各种 各样的攻击都说明入侵和cmd.exe是相关的,因为一个cmd.exe就是一个用户与系统交互的一个接口,是入侵者进入系统的首要目标。当然,我们不能 在这里坐以待毙,如何防止别人通过溢出得到你的cmdshell,如何知道别人已经进入系统并且获得cmdshell,如何在人家登陆到我们机器的时候抓 住入侵者呢?现在就让我们打造一个cmd下的终极防线吧。
二  原理
    网络上谈得比较多的一种防范的方法是将cmd.exe设置权限,这样的确可以起到很大的作用,但是权限比较难以确定,并且如果别人自己上传cmd.exe 的话还是可以突破的,然后用nc绑定cmd.exe到一个端口还是可以得到cmdshell。今天我给大家介绍一种新的方法,不用设置cmd的权限哦!首 先说说原理,还是打开你的cmd命令窗口,运行命令cmd /?,看看得到了什么吧!如图一。
=800) window.open('http://www.anqn.com/pic/6/a2007-12-20-734377.JPG');" onload="if(this.width>'800')this.width='800';" border="0">
注意以下内容:
如果 /D 未在命令行上被指定,当 CMD.EXE 开始时,它会寻找以下 REG_SZ/REG_EXPAND_SZ 注册表变量。如果其中一个或两个都存在,这两个变量会先被执行。
    HKEY_LOCAL_MACHINE"Software"Microsoft"Command Processor"AutoRun
        和/或
    HKEY_CURRENT_USER"Software"Microsoft"Command Processor"AutoRun
也 就是说如果存在HKEY_LOCAL_MACHINE"Software"Microsoft"Command Processor"AutoRun和HKEY_CURRENT_USER"Software"Microsoft"Command Processor"AutoRun这两个键值并且你不是用cmd.exe /D启动cmd进程的话会在启动cmd.exe之前先去执行这两个键值指定的程序。嘿嘿,想到什么了,既然可以先于cmd.exe之前执行自己的程序或者 脚本,我们就完全可以控制cmd.exe的动作了。
三  实战
    我们找到了我们可以利用的东西,现在看看如何利用cmd.exe的这个特性来做些什么吧!关键是编辑
HKEY_CURRENT_USER"Software"Microsoft"Command Processor"AutoRun的内容(没有的话你可以新建一个)为你自定义的一个脚本的位置,为了方便我们可以使用批处理,我的系统是2000 adv server。譬如你可以在c:"winnt"system32下写入一个cmd.bat的批处理文件,内容为你希望在启动cmd.exe进程之前要运行 的命令,然后编辑HKEY_CURRENT_USER"Software"Microsoft"Command Processor"AutoRun的内容为c:"winnt"system32"cmd.bat如图二。
=800) window.open('http://www.anqn.com/pic/6/a2007-12-20-580821.JPG');" onload="if(this.width>'800')this.width='800';" border="0" width="800">
假 设你的机器并不是经常及时打上补丁,你就可以编辑system32下cmd.bat的内容为exit,这样就抵御黑客的远程溢出攻击了,因为一般的溢出要 么是反弹一个cmdshell要么是绑定一个cmdshell,而溢出的shellcode执行cmd之后会首先运行的是我们指定的cmd.bat里面的 内容,而内容正是exit退出,这里为了给大家示范我指定的命令是pause命令,如图三。
=800) window.open('http://www.anqn.com/pic/6/a2007-12-20-621945.JPG');" onload="if(this.width>'800')this.width='800';" border="0">
这样不知道真相的人肯定会很郁闷的,即使知道真相如果他是一般的菜鸟的我想对这样的问题他也是束手无策吧,除非他使用的是其他的shellcode。
光是这样的防范还没有什么意思,我们最好能够抓住入侵者,那我们就好好的写这个cmd.bat脚本吧!要抓住入侵者或者想知道入侵事件发生的时间我们可以定义cmd.bat的内容如下:
@echo off                                                                      ""关闭命令回显""
@netstat -an>>c:"winnt"system32"net.log                                        ""取得当前的网络连接状态并输出到net.log文件,用>>重定向是避免日志被后来的冲洗掉""
@date /t>>c:"winnt"system32"date.log                                            ""取得入侵发生的时间""
@time /t>>c:"winnt"system32"time.log
@exit                                                                            ""退出""
这样当有人溢出的时候他的IP就在日志里啦!你完全可以根据自己的情况补充这个脚本的内容,如查看进程,查看端口关联等等,因为不是系统自带的程序我就不给大家展示了!
    但是是不是只能做这么多呢?看到以前的杂志有人写用telnet愚弄入侵者,有了今天的方法可不只能用telnet愚弄入侵者了,所有的绑定cmd.exe的程序都可以被我们愚弄的。譬如我们在cmd.bat里写上:
@echo off                                                            ""关闭命令回显""
@netstat -an>>c:"winnt"system32"net.log                              ""取得当前的网络连接状态并输出到net.log文件,用>>重定向是避免日志被后来的冲洗掉""
@date /t>>c:"winnt"system32"date.log                                ""取得入侵发生的时间""
@time /t>>c:"winnt"system32"time.log
@type c:"winnt"system32"cmd.txt                                      ""打印cmd.txt的内容,也是由我们自己定义的""
@pause                                                                ""暂停程序,让入侵者惋惜去吧!""
@exit                                                                  ""退出程序""
这样我们就可以对入侵者喊话了,喊些什么呢?骂人的话就不要喊了,我这里就给自己做个广告吧,别人telnet上来我的机器上时如图四
=800) window.open('http://www.anqn.com/pic/6/a2007-12-20-360219.JPG');" onload="if(this.width>'800')this.width='800';" border="0">
我的日志内容如图五。
=800) window.open('http://www.anqn.com/pic/6/a2007-12-20-371198.JPG');" onload="if(this.width>'800')this.width='800';" border="0">
其实从任何的cmd后门上登陆时都是这样的效果,我的Tcmd就很郁闷,呵呵!这些在webshell里也是很有奇效的,大家还可以发挥自己的想象力哦,没有什么做不到的。
四  总结
    文章没有什么高深的东西,其实就是cmd的一个属性,与设置权限配合使用,用得好的话效果还是很不错的。有人要问了,这样设置以后我们自己启动cmd怎么 办,很好说的,就是运行的时候用cmd /D参数启动就可以了。有什么问题或者建议欢迎到论坛讨论,我的ID是剑心。(相关代码已经收录)
附:
cmd.bat
@echo off
@netstat -an>>c:"winnt"system32"net.log
@date /t>>c:"winnt"system32"date.log
@time /t>>c:"winnt"system32"time.log
@echo on
@type c:"winnt"system32"cmd.txt
@pause
@exit
cmd.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE"SOFTWARE"Microsoft"Command Processor]
"AutoRun"="c:""winnt""system32""cmd.bat"

Athena 2007-12-24 00:15 发表评论
]]>无法停止通用卷设备的解决方法http://www.blogjava.net/Athena/archive/2007/12/24/169896.htmlAthenaAthenaSun, 23 Dec 2007 16:06:00 GMThttp://www.blogjava.net/Athena/archive/2007/12/24/169896.htmlhttp://www.blogjava.net/Athena/comments/169896.htmlhttp://www.blogjava.net/Athena/archive/2007/12/24/169896.html#Feedback0http://www.blogjava.net/Athena/comments/commentRss/169896.htmlhttp://www.blogjava.net/Athena/services/trackbacks/169896.html 第一种方法:
一个国外的十分小巧实用的软件,只有191KB,叫unlocker,十分好用! 这个软件能解锁USB连接设备!就能实现100%安全删除USB连接了!
下载地址:http://www.xdowns.com/soft/softdown.asp?softid=30377
第二种方法:
我们只需要把系统的预览功能关掉,这种问题就不会再出现了,操作办法是:双击我的电脑-工具-文件夹选项-常规-任务-使用windows传统风格的文件夹,然后点击应用-确定就行了.这样就ok了!
第三种方法:
先关闭存在于移动设备上的打开文件。进其他硬盘分区做简单操作例如“复制”“粘贴”等,然后就可停止了。把"rundll32.exe"进程结束,也 可以正常删除。方法:同时按下键盘的"Ctrl"+"Alt"+"Del"组合键,这时会出现"任务管理器"的窗口,单击"进程"标签,在"映像名称"中 寻找"rundll32.exe"进程(如果有多个"rundll32.exe"进程,全部关闭即可。),选择"rundll32.exe"进程,然后点 击 "结束进程",这时会弹出"任务管理器警告",这时为了让用户确定是否关闭此进程,点击"是"即关闭了"rundll32.exe"进程。 
还有最后一个办法,关闭计算机,待闪存盘的指示灯灭了以后,即可安全拔出;如果没有指示灯的闪存盘话,那么待计算机电源指示灯关闭熄灭后,即可安全拔出。
但以上方法都是发生了"现在无法停止通用卷设备,请稍候再停止设备"问题后,那么有没有方法预防这个问题呢?
先将闪存插到USB接口,然后在Windows XP中用鼠标右键单击“我的电脑”图标,依次展开“属性→硬件→设备管理器→磁盘驱动器”,找到 “USB Flash Drive USB Device”(不同品牌的闪存名称可能不同),然后双击它打开  “USB Flash Drive USB Device属性”对话框。切换到“策略”选项卡,选中“为快速删除而优化”,单击“确定”退出。以后不用理 会系统托盘中的“安全删除硬件”图标,只要没有对闪存进行数据读写操作(即闪存的指示灯不闪动),就可以直接将闪存从USB接口拔下来了。
第四种方法:
卸载整个USB驱动,重新安装
第五个方法:
在“开始”-"运行"打入这段代码:REGSVR32 /U SHMEDIA.DLL


Athena 2007-12-24 00:06 发表评论
]]>