COMODO Firewall Pro

06 Feb

Posted by Eataix as anti-malware

以前一直在用CFP V2 ,V3没有用过,所以对CFP的了解仅仅限于pop-up的数量惊人
最近没事可做,于是装了一下CPF V3(准确来说是Version 3.0.15.277)
刚开始启动系统时,在载入CFP后整个系统失去响应,经检查是因为用了debug模式启动系统…fuck
正常进入Windows后用RKU查看了一下SSDT的情况…
RkUnhooker report generator v0.7
==============================================
Rootkit Unhooker kernel version: 3.7.300.509
==============================================
Windows Major Version: 5
Windows Minor Version: 1
Windows Build Number: 2600
==============================================
NtAdjustPrivilegesToken
Actual Address 0xF0A444B8
Hooked by: C:\windows\System32\DRIVERS\cmdguard.sys
NtConnectPort
Actual Address 0xF0A43B98
Hooked by: C:\windows\System32\DRIVERS\cmdguard.sys
NtCreateFile
Actual Address 0xF0A4416A
Hooked by: C:\windows\System32\DRIVERS\cmdguard.sys
NtCreateKey
Actual Address 0xF0A44C26
Hooked by: C:\windows\System32\DRIVERS\cmdguard.sys
NtCreatePort
Actual Address 0xF0A43A7E
Hooked by: C:\windows\System32\DRIVERS\cmdguard.sys
NtCreateSection
Actual Address 0xF0A43FDC
Hooked by: C:\windows\System32\DRIVERS\cmdguard.sys
NtCreateSymbolicLinkObject
Actual Address 0xF0A4469E
Hooked by: C:\windows\System32\DRIVERS\cmdguard.sys
NtCreateThread
Actual Address 0xF0A4364E
Hooked by: C:\windows\System32\DRIVERS\cmdguard.sys
NtDeleteKey
Actual Address 0xF0A448AC
Hooked […]

2 Comments

With great power comes great responsibility

13 Oct

Posted by Eataix as 鸡毛蒜皮

Whatever life holds in store for me, I will never forget these words: "With great power comes great responsibility." This is my gift, my curse. Who am I? I’m Spider-man.
—-Spider-Man

一个小小的漏洞到现在都没有补上我在Q上留言给你了短信也发了
我真的不想再多说什么 Principle of least privilege 这种菜鸟级别的内容还用我多说吗?

In computer science and other fields the principle of minimal privilege, also known as the principle of least […]

0 Comments

Secure or NOT

06 Oct

Posted by Eataix as 鸡毛蒜皮

凤凰木被挂毒(又是mapi.js 可以参见永然文化出版服务网掛馬分析,好大…….的毒網) 原因到现在都没有查出来

学生管理系统存在严重缺陷:

SuperUser账号外泄(同样的在暑假中因为某些人的误操作,学生有了SuperUser的权限.做了什么事情?没人知道.)
而偏偏外泄的账号又有SuperUser的权限–"切换用户". 在windows下你就算用Administrator登录了之后Run as也要输入密码吧.这个系统倒好直接就切换进去了,连密码都省了.怀疑设计这个系统的人有没有构架的能力有没有安全的意识.

面对突发事件的应急速度

凤凰木被挂毒是什么时候?星期三.什么时候解决的? 星期五
学生管理系统的superuser什么时候有的?应该是校园管理系统存在之初就有了 .但是什么时候解决这个隐患?i do NOT know

PS
无意指责谁只是发发牢骚罢了
阅读(81 次)
cT=”0″;nc=”#444444″;nBgc=”#FFF7DE”;nBorder=”#F5E5A9″;
tc=”#649B00″;tBgc=”#FFF4D0″;tBorder=”#F5E5A9″;
tDigg=”%E6%8E%A8%E8%8D%90″;tDugg=”%E5%B7%B2%E8%8D%90″;
defaultItemUrl=”http://rtfm.72pines.com/2007/10/06/secure-or-not/”;defaultFeedUrl =”http://rtfm.72pines.com/feed/”;

0 Comments

无题

05 Oct

Posted by Eataix as Programme

本来想消失一段时间,好好处理一些个人的私事(for example,在一个Tumblelog网站Tumblr上的post(well 也不能算是post,只是像Twitter那一类的Micro-blogging应用)
但是因为某些原因没有什么收获碌碌无为了一段时间
算了不说这么沉重的话题了,说一些技术上的吧
暑假里使用一个晚上学会的Autoit写了一个Sandboxie RegViewer
期间在剑盟会员chinaruto给了很多的帮助.基本上成型了.而热心的chinaruto也帮我在剑盟发布了 .可惜就在发布的当天(or第二天我忘了) 论坛挂了.帖子也丢了.恰逢我当时正在补作业(我是坏孩子).也就没有在意.一直拖到chinaruto再次帮我贴出来(谢谢了,chinaruto ^_^)
本来我已经不想再维护这个小东西了,但是在chinaruto的帮助下(这里这里这里还有这里)渐渐成熟了
曾经想过用VB(虽然个人更熟悉C一点点)但是因为某些原因还是放弃了(Delphi看起来不错改天试试)
at last
感谢chinaruto,韩总的帮助.感谢现任深中学生会文化部部长的打击
PS
源代码在http://bbs.janmeng.com/forum-250-1.html .有需要的请自行下载
当然了,采用的授权是在以前的post说过的Creative Commons Attribution-Noncommercial-Share Alike 3.0(我不喜欢野蛮的GPL)所以请切勿忘记开放源代码
阅读(101 次)
cT=”0″;nc=”#444444″;nBgc=”#FFF7DE”;nBorder=”#F5E5A9″;
tc=”#649B00″;tBgc=”#FFF4D0″;tBorder=”#F5E5A9″;
tDigg=”%E6%8E%A8%E8%8D%90″;tDugg=”%E5%B7%B2%E8%8D%90″;
defaultItemUrl=”http://rtfm.72pines.com/2007/10/05/517503/”;defaultFeedUrl =”http://rtfm.72pines.com/feed/”;

0 Comments

07年暑假收工之作

08 Aug

Posted by Eataix as anti-malware

http://bbs.janmeng.com/viewthr…..a=page%3D2C:\Program Files\Common Files\System\obdaxmi.exe 第一个生成物文件
复制 C:\Program Files\Common Files\System\obdaxmi.exe 到 C:\Program Files\meex.exe
搜索 C:\Program Files\Common Files\Microsoft Shared\txofyde.exe
搜索 C:\Program Files\meex.exe
搜索 d:\autorun.inf
搜索 C:\Program Files\Common Files\System\pyqmcfy.inf
移动 C:\WINDOWS\system32\wniapsvr.exe 到 C:\WINDOWS\system32\olfyodi
移动 C:\WINDOWS\system32\niu.exe 到 C:\WINDOWS\system32\olfyodi.9
移动 C:\WINDOWS\system32\Shell.exe 到 C:\WINDOWS\system32\olfyodi.3
移动 C:\WINDOWS\system32\Shell.pci 到 C:\WINDOWS\system32\olfyodi.4
移动 C:\WINDOWS\system32\crsss.exe 到 C:\WINDOWS\system32\olfyodi.6
移动 C:\WINDOWS\system32\directx.exe 到 C:\WINDOWS\system32\olfyodi.5
移动 C:\WINDOWS\system32\progmon.exe 到 C:\WINDOWS\system32\olfyodi.1
移动 C:\WINDOWS\system32\internt.exe 到 C:\WINDOWS\system32\olfyodi.2
移动 C:\WINDOWS\system32\SoftDLL.dll 到 C:\WINDOWS\system32\olfyodi.7
移动 C:\WINDOWS\system32\MySetup.exe 到 C:\WINDOWS\system32\olfyodi.8
移动 C:\WINDOWS\system32\fixfile.exe 到 C:\WINDOWS\system32\olfyodi.11
移动 C:\WINDOWS\system32\WMDSINFO.dll […]

0 Comments

Two Exploits && Update licence

07 Aug

Posted by Eataix as Programme

Yahoo! Widget < 4.0.5 GetComponentVersion() Remote Overflow Exploit
Microsoft Visual 6 (VDT70.DLL NotSafe) Stack Overflow Exploit
现在手头没有OD,Debug不了
有OD的跟一下看看吧
******************************************************
所有作品的授权由
署名-非商业性使用-相同方式共享 2.5
升级到

署名-非商业性使用-相同方式共享 3.0

您可以自由：

复制、发行、展览、表演、放映、广播或通过信息网络传播本作品
创作演绎作品

惟须遵守下列条件：

署名. 您必须按照作者或者许可人指定的方式对作品进行署名。
非商业性使用. 您不得将本作品用于商业目的。
相同方式共享. 如果您改变、转换本作品或者以本作品为基础进行创作，您只能采用与本协议相同的许可协议发布基于本作品的演绎作品。

对任何再使用或者发行，您都必须向他人清楚地展示本作品使用的许可协议条款。
如果得到著作权人的许可，您可以不受任何这些条件的限制。
Nothing in this license impairs or restricts the author’s moral rights.

即日生效
阅读(70 次)
cT=”0″;nc=”#444444″;nBgc=”#FFF7DE”;nBorder=”#F5E5A9″;
tc=”#649B00″;tBgc=”#FFF4D0″;tBorder=”#F5E5A9″;
tDigg=”%E6%8E%A8%E8%8D%90″;tDugg=”%E5%B7%B2%E8%8D%90″;
defaultItemUrl=”http://rtfm.72pines.com/2007/08/07/two-exploits-update-licence/”;defaultFeedUrl =”http://rtfm.72pines.com/feed/”;

0 Comments

Baidu Hack? Social Engineering!

25 Jul

Posted by Eataix as anti-malware

很久之前我们市高中的第一批录取标准公布,以前的一些同学在这一届参加中考(我家穷啊,没钱上学,只好不上二年级和五年级^_^.所以07年和08年的中考都有我以前的同学)
只对一个有兴趣,可惜毕业前和那些老师闹翻了,我不想再去初中的学校找她的资料,只好自力更生
前今天刚刚入手了一本《Google Hacks（第二版）》,临时拿来练练,不过搜集国内的资料当然是要用百度
Baidu.com中输入
柳xx filetype:xls
惟一一个
【XLS】”2007年深圳市宝安区中招体育考试xx中学考场50米考试编排表”

域名为210.39.43.138,依稀记得好像是宝安区的教育网站
由此找到学号:0306778xx
然后又去招考网上查了一下分数及结果,分数很高,满分490,她居然有471…..
不可否认,这次的题目十分简单,个人感觉我今年考试,也能和她一样的分数.英语顶多扣一两分,数学也是差不多,顶多五分,语文,扣十分…科学?扣一两分.历史与政治,扣十分,不就和她一样了?
部分题目 http://zhidao.baidu.com/questi…..ml?fr=qrl3
传了一份DOC到pages上面
http://eataix.googlepages.com/2007.doc
做了一下数学,似乎没有错的……
哇咔咔,又在一个学校
阔别四年后的金秋时节,凤凰树之下,我和你再次相遇
这次,我绝不放手
–2007.7.25
阅读(99 次)
cT=”0″;nc=”#444444″;nBgc=”#FFF7DE”;nBorder=”#F5E5A9″;
tc=”#649B00″;tBgc=”#FFF4D0″;tBorder=”#F5E5A9″;
tDigg=”%E6%8E%A8%E8%8D%90″;tDugg=”%E5%B7%B2%E8%8D%90″;
defaultItemUrl=”http://rtfm.72pines.com/2007/07/25/baidu-hack-social-engineering/”;defaultFeedUrl =”http://rtfm.72pines.com/feed/”;

0 Comments

台北海洋館

19 Jul

Posted by Eataix as anti-malware

hxxp://www.alphadoll.com/admin/database/index.htmhxxp://www.alphadoll.com/admin/database/baobao.htmString.fromCharCode 加密,很容易解開
ani
hxxp://www.alphadoll.com/admin/database/0day.jpg
hxxp://www.alphadoll.com/admin/database/Down.exe
hxxp://www.alphadoll.com/admin/database/zhu3.htm
hxxp://www.alphadoll.com/admin/database/Down.exe
hxxp://www.alphadoll.com/admin/database/banner.htm
已上報
阅读(94 次)
cT=”0″;nc=”#444444″;nBgc=”#FFF7DE”;nBorder=”#F5E5A9″;
tc=”#649B00″;tBgc=”#FFF4D0″;tBorder=”#F5E5A9″;
tDigg=”%E6%8E%A8%E8%8D%90″;tDugg=”%E5%B7%B2%E8%8D%90″;
defaultItemUrl=”http://rtfm.72pines.com/2007/07/19/517516/”;defaultFeedUrl =”http://rtfm.72pines.com/feed/”;