繌、豬!。

哪里找、、爱情草？

860370330@qq.com( 繌、豬!。) — Sat, 28 Nov 2009 13:25:16 GMT

痛.....

繲葯，，爱綪愺

那裡找？？

殘蒛...īńɡ

伱冇嗎?

伱給莪，，

還是峩洎巳找

謝謝伱。。

——蛾旳觧葯

如何防止成为“肉鸡”？

860370330@qq.com( 繌、豬!。) — Thu, 27 Aug 2009 03:45:27 GMT

本文想告知普通电脑用户的是，防止电脑成为别人的“肉鸡”，和攻击者抓“肉鸡”一样超级简单，并且行之有效。您只要认识到如果成为“肉鸡”，会很受伤，你一定会拒绝被任何人控制。做到这几点，攻击者想抓住你，门儿都没有。

首先，“肉鸡”是黑客术语——完全可以控制被人的电脑，此电脑就是所谓的“肉鸡”。

言归正传，防止成为“肉鸡”的，你只需要注意以下几点：

要点1：盗版Windows XP存在巨大风险，需要对这样立即进行安全性改造。
如果你的操作系统是其它技术人员安装，或者有可能是盗版XP，比如电脑装机商的**版本，蕃茄花园XP，雨木林风XP，龙卷风XP等。这样的系统，很多是无人值守安装的。安装步骤非常简单，你把光盘放进电脑，出去喝茶，回来就可能发现系统已经安装完毕。

这样的系统，最大的缺陷在哪儿呢？再明白不过，这种系统的管理员口令是空的，并且自动登录。也就是说，任何人都可以尝试用空口令登录你的系统，距离对于互联网来说，根本不是障碍。

改造方法：
立即修改administrator用户口令，口令使用字母和其它特殊字符的组合，长度不低于8位。
改变登录方式，要求必须按ctrl+alt+del才可以登录。

要点2：任何时候离开你的电脑，建议拔掉网线，不能断线的计算机，建议立即锁定，不要让陌生人能够物理的接触到你的计算机。

随便找一个windows PE的光盘（深山红叶修复工具盘等），用这种光盘引导，可轻易修改你的管理员登录密码，修改你的注册表信息，当然也包括写入病毒，再启动病毒程序。

曾经有个例子，上海某白领的网上银行一次性被云南的黑客划走数10万元。对于一般的网上银行来说，大众版通常限制了一天取款1000元左右，是小额支付，一旦丢失帐号，也不至于损失特别巨大。对于专业版网上银行来说，如果数字证书是存储在本机计算机，当你较长时间离开你的电脑时，攻击者可以远程控制你的电脑，在你的电脑上转移财产。这和你本地进行在线银行业务没有任何区别。对于使用移动数字证书的网上银行用户，千万注意，用完就拔掉数字证书，不要给攻击者任何机会。

解决办法：
当你需要较长时间离开电脑时，锁定电脑，或拔掉网线。

要点3：确保启用网络防火墙
对于互联网用户来说，网络防火墙（注意，这里指firewall，不是很多人认为的病毒实时监控）是隔离你和外界的一道关口，正确启用和配置防火墙，将会使你减少很多直接面对攻击的机会。在你的系统有漏洞未修补时，防火墙可能是唯一可保护你的电脑安全的解决方案。

但是，不要以为开启了防火墙就万事无忧了，防火墙基本只是拦截由外到内（由互联网到本机）通信，由内向外的访问，很容易使用各种手段进行欺骗，木马就是这样逃避防火墙完成盗窃任务的。

尽管，防火墙不是总有效，但有防火墙比没有强很多，是必须要启用的。

要点4：切实关注安全漏洞信息，及时使用各种补丁修复工具，提升系统安全性
系统漏洞在正式公布前，通常会被黑客利用很长时间，这就是通常说的0day攻击，这样的攻击也越来越常见。漏洞涉及windows 操作系统文件和其它应用软件，但风险最大的仍是windows 系统漏洞。应用软件漏洞的利用会受到较多的环境制约，通常风险相对较低。

最近广泛引起人们关注的是flash player漏洞，攻击者可利用这个漏洞运行任意指定的代码。

解决方案：
能用windows update的，一定要用，让windows进行自动更新。看到右下角windows update正在工作的图标，别给阻止了。

部分盗版用户不能正常使用windows update或microsoft update的，建议使用第三方漏洞修复工具，比如金山清理专家的漏洞扫描修复模块。

要点5：安装使用杀毒软件，并经常检查是否工作正常，是否可以进行病毒特征的更新
不要把安全问题只交给杀毒软件来负责，安全是系统工程，杀毒软件只是其中的一环。总是先有病毒，才会有杀毒软件更新。在很多情况下，安装杀毒软件之后，还是会中各种各样的病毒。但这不能说明杀毒软件不必要，相反，杀毒软件是非常重要的，如果没有杀毒软件，你的系统可能会更糟。

越来越多的病毒为了入侵你的系统，首先会尝试将杀毒软件废掉。破坏杀毒软件的功能，可能比杀毒软件对付病毒还要容易。因为破坏者的目标很明确，就是市面最流行的软件，针对这几种安全软件做手脚是很容易的。并且，病毒制造者不象杀毒软件那样，必须考虑每个更新带来的兼容性问题，攻击者只关注木马需要完成的任务，其它后果，病毒制造者是不用花很多功夫去考虑的。

木马病毒制造者是这样痛恨杀毒软件，以至于目前有相当多的木马入侵后，首先会去破坏杀毒软件，只要破坏者愿意，有针对性的破坏杀毒软件总是可以做到的，用户不要指望杀毒软件自身可以做成铜墙铁壁。连操作系统都可以被破坏，何况杀毒软件。

我们还可以把杀毒软件的工作状态，当作另一种检验工具：只要观察到杀毒软件突然不工作了，你首先应该考虑是不是被木马给破坏了。

解决办法：
安装一款适合自己的杀毒软件，并且在有效期内注意经常检查其功能，比如能不能正常启动，能不能正常升级等等。

要点6：一定要小心使用移动存储设备
在互联网发展起来之前，病毒的传播是依赖于软磁盘的，其后让位于网络。现在，公众越来越频繁的使用移动存储设备（移动硬盘、U盘、数码存储卡）传递文件，这些移动存储设备成为木马传播的重要通道。计算机用户通常把这样的病毒称为U盘病毒或AUTO病毒。意思是插入U盘这个动作，就能让病毒从一个U盘传播到另一台电脑。

解决办法：
立即毫不犹豫的禁用U盘的自动播放功能，这个功能的方便性微不足道，但染毒的风险非常重要。
禁用的方法，可以在毒霸或超级兔子等工具中修改。
要点7：安全上网
成为肉鸡很重要的原因之一是浏览不安全的网站，区分什么网站安全，什么网站不安全，这对普通用户来说，是很困难的。并且还存在原来正常的网站被入侵植入木马的可能性，也有被ARP攻击之后，访问任何网页都下载木马的风险。
上网下载木马的机会总是有的，谁都无法避免，只能减轻这种风险。

浏览器的安全性需要得到特别关注，浏览器和浏览器插件的漏洞是黑客们的最爱，flash player漏洞就是插件漏洞，这种漏洞是跨浏览器平台的，任何使用flash player的场合都可能存在这种风险。

解决办法：
及时修补浏览器漏洞，及时将浏览器升级到最新的版本，减少把有风险的系统暴露给攻击者的时间。
避免浏览一些灰色站点，通常这种站点流量比较大，比如人数众多的生活社区、在线视频社区、聊天交友社区、色情类网站、赌博类网站等等。浏览这类网站，如果发现系统异常，应该立即用《”如何检测电脑是不是”肉鸡“》所介绍的方法进行检查。

以上，绝不是安全防护的全部，可以说是最重要的风险最大的几个环节，注意从上面这几点进行安全防护，至少三角猫的黑客拿你没办法。

安全防护是动态的，时刻提高警惕吧，对互联网来说，要有视一切为威胁的观点。就象对一个外科医生来说，在他的眼里，一切物体都是被细菌病毒污染的，消毒是最基本原则。

[转]日本人最恨的中国7大明星！！！不看绝对后悔！！！

860370330@qq.com( 繌、豬!。) — Sun, 23 Aug 2009 06:51:28 GMT

一次发布会，现场大家谈到“南京大屠杀”。在座的一个日本女记者就问到蔡依林，你们中国人老说被杀了30万，难道你们有数过啊。
　　蔡依林有些尴尬，李连杰当即抢答：“我们是没数过，难道你们日本妇女被美国大兵XXXXX过后，你们还要去问她是否有快感？”

大家都知道丰田汽车找姚明拍广告的事吧,但你知道丰田为占领中国市场愿意出多少广告费吗?丰田最终出到了2000万美元,相当于1亿6000万多人民币,姚明的反应是什么?
　　日本丰田公司几次三番找到火箭队的老板亚历山大，目的只有一个，希望他帮忙跟姚明牵上线，让姚明出任丰田的形象代言人。丰田公司一直是火箭队的球场赞助商，火箭队的主场球馆就叫“丰田中心”，所以，老板自然也愿意成全这桩美事，更何况，谁都可以想象，丰田公司在开始行动之前，已经为姚明准备了一份多么丰厚的广告同。但是，结果出乎所有人的意料，姚明几乎没有任何商量的余地，就是两个字：不行。而且，不提供任何解释。不知出任日本企业形象代言人的其他明星做何感想。

2005年成龙作品神话出品后,成龙在韩国做宣传,一个日本人挑衅的问道：“成龙先生,您以前几乎一直在好莱坞打拼,为什么又回到国内发展?是不是因为您在好莱坞不景气?”
　　成龙一愣,随即回答说:“我是一个中国人,永远也不会忘本,在好莱坞打拼如何也不仿碍我在国内发展,我们中国人不像有些国家,因为一部电影在好莱坞略有影响就改了美国籍(这明明指出是日本的一个演员),像我,李连杰,杨紫琼等不管在好莱坞发展如何都会回到国内献给影迷们一些作品,这是我们中国人的品德.而不是有些国家(再一次的讽刺日本国)。”
　　日本记者当时脸红无语


张学友在1997年香港回归的时候,与刘德华,张国荣等香港娱乐圈内人来大陆做宣传。在场有一位日本记者在采访张学友的时候问道:“张学友先生,你们香港回归中国后,你们是对回归有什么看法?有些人说你们香港娱乐圈的人向来是反对回归中国的,是吗?”
　　张学友微微一笑,说:“我只会唱歌,不会参与政治,但我知道身为一个本国人应该做什么,香港当时是被英国侵占的,但领土和人都还属于中国,我们中国人知道自己应该做什么。如果你们日本人存在有辱国耻的思想,那么难免误会初了你们日本人之外,还有别的国家也会这样。你问这些话理所当然。”

刘德华7月5日，刘德华一行来到日本，举办了小型歌友会。歌友会一开始，歌迷欢呼。但是刘德华拒绝用日语向大家问好。接着又拒绝了主办方安排的日语歌曲。并把所有曲目都改为普通话。原定的粤语歌曲也全部取消。
　　刘德华用普通话一字一句说道：“本来我是不想来日本的，但是因为合约在身，不得不来日本。但是你(指记者)不要以为是一纸合约把我牵住的，如果我不来，没人可以把我怎么样。我只是觉得这样对我歌迷不公平，因为歌迷是无辜的。我不想做的事，谁也无法逼我做，而且，你逼我，我也不会做”。
　　刘德华接着说：“引用一句话，艺术是没有国界的，但是艺术家是有国界的。我想说，音乐是没有国界的，但是音乐家是有国界的。”他对着主办方说“以后介绍我时，不要说我是香港歌手，因为我首先是一个中国人”。
　　然后，他当着几百名日本歌迷的面，演唱了一首《中国人》。

刘翔在10届全运会上刘翔冲刺的一刹那，大家看到运动员身上所穿服装的标志，是日本货―美津浓(全运会服装的唯一指定商)。刘翔却用黄色胶带把运动背心和短裤上的商标贴的死死的。国家体育总局必须让穿日本货，刘翔作为国家培养出的运动员他没有反对，可他作出的聪明之举更体现了他抵制日货的决心。事实上，刘翔确实是很恨日本的。都说姚明拒绝丰田汽车的广告，事实上，刘翔也已经拒绝了好几单日本产品的广告邀请，对方开出的价码甚至比耐克和可口可乐还高，可以说是天价(在日本有不少刘翔的田迷，日本每年都盛情邀请刘翔参加日本横滨的田径精英赛)，但刘翔都拒绝了。
　　刘翔做广告有三个原则，这只在刘翔父亲，孙海平等极少数几个人之间保持相互默契：1.必须是有实力，有品牌的大公司。2.如果是外国企业和民族企业两家竞争，优先考虑后者。第三条凌驾于第一条和第二条之上，作为刘翔接广告的第一准则，那就是：所有关于日本的广告一律不接，不管开价多少。

令人肃然起敬的香港明星黄子华：在第23届香港电影金像奖颁奖典礼上(全球现场直播)，主持人黄子华对前来领最佳亚洲电影奖的原岛大地说了一句震惊全场的话：“回去之后别忘了告诉日本人，钓鱼岛是中国的！！！！”

各位爱国人士，大家看完后就帮忙分享下！！！看过要转。

[转载冰血封情]自我提高的学习计划

860370330@qq.com( 繌、豬!。) — Fri, 21 Aug 2009 04:25:22 GMT

原文地址：http://weblog.eviloctal.com/post/258/#topreply
正文：
精通：能独立完成大中型程序单一模块的开发或有开发经验（就是我们通常说的开发过东西）
熟练：能独立完成实现一定功能的小型程序的编程工作（就是我们通常说的能用该语言编程）
掌握：能独立完成简单程序编写并能修改已知代码为自己所用（通常说的能对程序做二次修改）
了解：能独立完成程序代码的执行流程和漏洞的分析（就是我们通常说的能看得懂代码）

选用教材：即是推荐的自学主修教材，最好从头到尾都看完。
其他教材：同样是国际经典教材的，也可以选他们作为教材，初学强烈推荐将整本书看完。
补充教材：是必须要阅读的，因为这些并不是教程，而是一些细节和编程技术的深入探讨和补完，都很有针对性。

编译语言：
1.C语言
能力要求：至少要达到精通
选用教材：《C Primer Plus 中文版（第5版）》
其他教材：《标准C程序设计（第3版）》《C语言入门经典（原书第3版）》
补充教材：《C程序设计语言》《C陷阱与缺陷》《C专家编程》《C与指针》
2.C++语言
能力要求：至少要达到熟练
选用教材：《C++ Primer 中文版（第4版）》
其他教材：《C++ Primer Plus 中文版（第5版）》
补充教材：《C++程序设计陷阱》《Effective C++》《More Effective C++》《Essential C++中文版》
3.ASM语言
能力要求：至少要达到掌握
选用教材：《80x86汇编语言程序设计教程》和《Windows环境下32汇编语言程序设计》
其他教材：《汇编语言》
补充教材：《汇编语言编程艺术》

脚本语言：
1.ASP
能力要求：至少要达到掌握
选用教材：尚无
其他教材：尚无
补充教材：尚无
2.PHP
能力要求：至少要达到精通
选用教材：《PHP与MySQL基础教程（第2版）》
其他教材：《PHP和MySQL Web开发（原书第3版）》《PHP和MySQL Web应用开发核心技术》
补充教材：《Ajax与PHP基础教程》
3.Perl
能力要求：至少要达到熟练
选用教材：《Perl语言入门（第4版）》
其他教材：《Perl技术内幕》《Perl教程（Win32版）》
补充教材：《Perl网络编程》
4.Python
能力要求：至少要达到掌握
选用教材：《用Python学编程》
补充教材：《Python网络编程基础》

操作系统（这里看导师的项目要求，原则上推荐从Microsoft开始。）：
概览类：《深入理解计算机系统》
1.Windows
系统学习类：《深入解析Windows操作系统》
系统编程类：《Windows程序设计》和《Windows核心编程》
网络编程类：《Windows网络编程》
2.Linux
系统学习类：尚无
系统编程类：《Linux程序设计（第3版）》

最后，比较负责的，我做了一张拓扑图给你，以便确认你的学习路线：
400) {this.resized=true; this.width=400;}" border=0 resized="true">
在完成第一层后就阅读《深入理解计算机系统》，读完这本书再继续。

[转载A1Pass]免杀基础三步走之终结篇（了解汇编语言）

860370330@qq.com( 繌、豬!。) — Fri, 21 Aug 2009 04:07:46 GMT

题记：三步走系列之最后一篇。
转载请注明版权：A1Pass http://a1pass.blog.163.com/
原文地址：http://a1pass.blog.163.com/blog/static/29713732200911711147904/

正文：
　　转眼间免杀基础三步走系列文章已经接近结尾了，不知道这个系列文章是否对大家的免杀技术提高起到了什么样的作用。但是不得不客观地说，免杀技术是一门涉猎面非常广的技术，你可以由此轻松转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术。
纵然区区三篇文章还不足以向大家道出免杀技术的精髓，但我会努力使它发挥出应有的作用，让大家能切实的感觉到自己的提高……

　　我们言归正传，这篇文章介绍的就是初学朋友们认为很遥远的汇编语言，其实之所以说遥远，只是因为大家对汇编以及自己潜力的不了解所造成的一种假象，记得一句名言说过“从数学角度上看，人们本无法理解事物，而只能去习惯他们”。
其实单从语言上来说，我认为汇编要比C++简单一些，而且对于我们目前的层次来讲，也是只需与汇编“混个脸熟”即可，没有必要深入理解，这也是为什么文章的子标题定位“了解汇编语言”的原因。
首先，在大家了解汇编语言之前，一定要先明白我们的目标是什么。对于现阶段的我们大多数初学读者，如果想利用一些外行人看似很牛的免杀技术的话，就要对汇编的基本指令及其作用要有一定的了解。当然，在这之前，先要摆脱对汇编的陌生感，不要一看到汇编指令就迷糊，而是要学会在其中发现一些对我们有用甚至是没有用的信息。

一、认识汇编
汇编语言如同其他语言一样，也指的是一个大类，例如VB相对应的VBSscript，C对应的VC或C++等等，这里我们主要学习对我们来说汇编语言的常见格式，即反汇编出来的格式。
首先大家要知道我们最常用的计算机都是应用的Inter 8086指令系统，而我们要了解的汇编语言，也是基于Inter 8086的。Inter 8086指令系统大致可以分为6个功能组，他们是：

1、数据传送类指令 2、算输运算类指令
3、位操作类指令 4、控制转移类指令
5、串操作类指令 6、处理机控制类指令

其中1、2、4类对我们免杀比较有用的，当然，这也是相对而言，并不绝对。下面我们在看看汇编语言的通用格式：
例如：
标号:指令目的操作数,源操作数 ;注释
00001A2B : add esp,1 ;将指针寄存器加1

由上可知，汇编语言的格式由4部分组成，其中标号表示该指令在主机中的逻辑地址，这个大家不用了解。而指令也称为指令助记符，就是我们汇编语言中的“代码”了。而目的操作符与原操作符则代表操作的对象。最后的注释是对这一段指令的说明，可有可无，他在程序编译与执行时不产生任何影响。
下面我们一起看看程序被反汇编之后是什么样子的，如图1所示。

可见在OllyDbg中主要分为“地址”、“HEX数据”、“反汇编”与“注释”这4部分组成，其中的“反汇编”区域便是我们以后的主要“战场”。
其中的“地址”代表程序加载到内存之后的相对地址，与我们平时定位特征码时的偏移量并不是一个概念，紧随其后的“HEX数据”表明这段指令在用16进制查看后的状态，而后面的“反汇编”就是指这段程序的反汇编代码了，另外这里的“注释”大多都是指程序中的字符，或调用的命令。

二、比较常用的汇编指令
这里所指的比较常用的指令是针对我们的免杀工作而言的，大家也可以将其作为一个参考的形式来对待这一小节的内容，遇到不懂的指令就先到这里来查看它的用法，久而久之也就记熟了。
1.传送指令mov
传送指令的格式为：
Mov ebp,esp ;将esp传送至ebp
2.进栈指令push
进栈指令的格式为：
Push ebp ;将基址指针寄存器（ebp）压入堆栈
3.出栈指令pop
出栈指令的格式为：
Pop ebp ; 将基址指针寄存器（ebp）弹出堆栈
4.加法指令add
加法指令的格式为：
Add esp,1 ;将指针寄存器（esp）加1
5.减法指令sub
减法指令的格式为：
Sub esp,1 ;将指针寄存器（esp）减1
6.增量指令inc
增量指令的格式为：
Inc ecx ;计数器（ecx）加1
7.减量指令dec
减量指令的格式为：
Dec ecx ;计数器（ecx）减1
8.无条件转移指令jmp
无条件转移指令的格式为：
Jmp 00000001 ;跳转到00000001
9.子程序调用指令call
子程序调用指令的格式为：
Call XX.00001234 ;调用位于00001234处的子程序

一口气总结了这么多，都是精挑细选出来的，也许有的朋友看完后会感觉一头雾水“那些‘指针寄存器’与‘计数器’都是干什么的啊？迷迷糊糊的……”，其实没必要这么想，上面我只是举了一个例子，你要明白的是这些语句怎么用，而不用搞明白那些例子语句究竟是干什么的。

三、由汇编语言想到的
学了这么多枯燥乏味的东西，它们究竟有什么作用呢？下面我就教大家利用现有的知识将一个应用程序加上我们想要的功能。只要各位朋友炼成此功必然所向披靡！（A1Pass注：玩笑了）
首先，下面的内容会涉及到“2.进栈指令push”、“8.无条件转移指令jmp”和“9.子程序调用指令call”我会依次为大家便做演示边做讲解。
我们的目标就是将“木马辅助查找器 2005”（以下简称‘木马查找器’）加一个功能，当它运行时会向C盘下写入一个内容为C盘里文件目录结构的文本文档。
第一步先祭出我们OllyDbg，并打开“木马查找器”，如图2所示。

看见这些生疏的汇编指令我们先不用担心，我们只需要先找到一处“HEX数据”为0的区域，并记住开头的地址，如图3所示。

然后选中一片区域，并单击右键，选择“二进制”→“编辑”，如图4所示。

在弹出的编辑对话框中输入我们一会要调用的命令“cmd /c dir c:\ > c:\lookme.txt”如图5所示。

熟悉DOS的朋友们应该知道，这是一段将C盘里的文件及目录信息写入位于c:\lookme.txt的文件中的一段DOS命令。
然后我们在选中下面的隔一行处，并按空格键，弹出一个汇编对话框，写入汇编指令“push 0”，如图6所示。

然后我们记住这个地址。下面写入“push 开头地址”，由图3可知，我们选的开头地址为“004B1DB2”，所以这条指令就应为“push 004B1DB2”。在其后面写入“call WinExec”，最后在如图7所示处找到整个程序的入口点，并写上最后一条汇编语言“jmp 004B1D38”即可完工。

我们先在OllyDbg的界面中单击右键弹出如图8所示的菜单。

并选择其中的“复制到可执行文件” →“所有更改”→“全部复制”，然后在弹出的窗口中再次单击右键，并选择“保存到文件”即可，如图9所示。

最后我们就是要修改一下入口点了，打开LordPE后，将我们已经更改之后的“木马查找器【改】”拖放到LordPE的界面中，如图10所示。

然后我们将程序的入口点改为“000B1DD7”，也就是图6所示的那个地址减去400000所得到的数，并点击“保存”即可，如图11所示。

到这里，一个经过我们亲手改造过的程序就诞生了，通过上面的操作，我们赋予了程序原本没有的功能！其实不难发现，这次改造的中心思想就是令程序执行“dir c:\ > c:\lookme.txt”这段DOS命令，如果我们将其换为其他命令呢？当然同样可以执行！这无形间就给与了我们无限的发挥空间，具体更加精彩的利用，就等读者朋友们实现了。

但是现在有一个问题已经突显出来，我们利用的原理究竟是什么？现在就让我一一为大家讲解。
首先，我们是利用一个名为“WinExec”的API函数执行的DOS命令，它的格式为：
UINT WinExec(
LPCSTR lpCmdLine,
UINT uCmdShow );
如果我们要利用，其实就是“WinExec( DOS命令,0)；”，但是汇编调用API函数遵循sdtcall格式，也就是从右到左的格式，所以在用汇编实现时，要先将“0”压入栈，然后再将DOS命令压入栈，再调用我们的函数WinExec，最后来一个JMP跳转，跳到程序入口点，从而保证程序运行的顺序。大体格式如下：
00001234 PUSH EBP ;程序入口点
0000XXXX ……
……
……
00002001 YYYYY ;DOS命令的第一行
00002002 YYYYY
……
00002100 push 0 ;将参数设为0并压入键，0在WinExec函数里就是隐藏运行的意思
00002101 push 00002001 ;将DOS命令压入栈
00002102 call WinExec ;一定要注意大小写
00002103 jmp 00001234 ;程序入口点

在保存完文件后，我们还要将这个文件的入口点改为“push 0”所在的地址，也就是0002100，使文件运行时首先执行我们加入的这个功能，然后再由jmp 00001234跳到程序真正的入口点，使程序正常运行。

讲了这些，相信大家对汇编语言应该熟悉一些了，现在我就带大家了解一下花指令，其实花指令的原理就是一种保证堆栈平衡的思想，
我们就以“防杀精灵终极防杀代码”为例，讲解一个花指令代码。
push ebp ;将基址指针寄存器（ebp）压入堆栈
mov ebp,esp ;将esp传送至ebp，
add esp,-0C ;将esp加“-0C”，不平衡
add esp,0C ;又将esp加“0C”，等于这两条指令就是废话（例如先加-1，再加1）
push eax ;将数据寄存器（eax）压入栈
jmp入口 ;跳到程序入口
由上面这段指令不难看出来，所谓的花指令就是完全没有用的垃圾指令，它的存在只为起到干扰的作用，其实我们上一小节讲的为应用程序增加功能的做法也是一种花指令，如图12可知。

显然我们修改之后的程序已经将PEID骗过了。
由于涉及内容较多，所以讲的有些散，但是相信大家理解起来还是不会有什么困难的，虽然本文的重点是要大家了解汇编，并由此了解花指令的原理，但是还是建议大家先将本文所讲的例子做成功以后，在通篇阅读一遍，相信你的感觉是不会一样的！

[转载A1Pass]免杀基础三步走之二(PE文件结构)

860370330@qq.com( 繌、豬!。) — Fri, 21 Aug 2009 04:02:40 GMT

题记：本文发表于《黑客X档案》08年第9期，这是在其中分离出的第二段。
转载请注明版权：http://a1pass.blog.163.com/ 作者：A1Pass
原文地址：http://a1pass.blog.163.com/blog/static/297137322009195726471/

正文：
　　不知道通过上一节的学习与大家自己的努力，许多以前曾困惑不解的问题现在是否已经有了满意的答案。如果自己认为理解的还不够，就多实践一下，多思考一会，多搜索一次，相信你会因此而变得不再平凡。
这一节就让我带领大家走进文件系统的底层——PE文件结构的学习与探究。
其实PE文件就是指Windows里的DLL与EXE文件，PE的意思就是 Portable Executable，即可移植的执行体。大家也可以将其与JPG文件或MP3文件等对应理解，也许这样就会揭开它的神秘面纱，显得更为亲近一些。当然，PE文件要远比MP3等文件复杂得多，但是作为Windows操作系统里特有的一种可执行文件格式，只要我们能对其有一个大体的了解，就会使我们了解更多的免杀技术的本质，从而更加有效与正确的利用这些技术。

一、PE文件入门
PE文件总的来说是由DOS文件头、DOS加载模块、PE文件头、区段表与区段5部分构成。其实，如果在纯Windows环境下运行，DOS文件头、DOS加载模块根本是用不上的，加上两个DOS相关的结构完全是为了兼容性问题。
为了方便观察与理解，我们可以通过观察图1大体了解PE文件的结构。

　　如图可知，整个程序就是以DOS文件头“MZ”开始的，接下来就是DOS加载模块“This program cannot be run in DOS mode”，几乎每个Windows程序的前面都是这样一些信息！
下面有一个以字母“PE”为开头的文件块，这就是大名鼎鼎的PE文件头了，PE文件头的标准大小为224个字节，由图可见，里面有一个画了横线标记的问号与左面的十六进制信息“E0”相对应，这便是PE文件头体积的描述标记，十六进制的“E0”等于十进制的“224”由此也不难看出PE文件头的大小为224个字节。
再往下就是以“.text”、“ .data”与“.rsrc”组成的区段表了。区段表也称节表，它的作用就相当于一本书中的目录，你想看哪一章哪一节，只要按着目录标注的页数去找就可以，PE文件的区段表也是起同样的作用，但是区段表除此之外还包含有各个区段的读写权限信息。而图中的“.text”、“ .data”与“.rsrc”则是这个程序里的区段名称，也称为“节”。由此可见这个程序是由“.text”、“ .data”与“.rsrc”这3个区段组成的，如图2。

其实通过区段名称就可以大体猜出来这个区段里包含什么信息，在整个程序中能起到什么作用等等。
由此可见，PE文件是一种结构组成十分科学的文件格式，因此也对我们快速的认识它起到了助推器的作用，只要你记住PE文件的这5个构成的结构，你就可以向别人说，我了解PE文件！

二、深入了解PE文件与文件头
下面让我们抽象的了解一下PE文件的构成：
DOS MZ header <头
DOS stub <加载模块
PE header <文件头
Section table <<区段表
Section 1 <<区段1
Section 2 <<区段2
Section ...
Section n <<区段n

如果要详细介绍PE文件，恐怕就是这一期X档案也介绍不完，所以我就为大家简单的说明一下，如果你喜欢，可以当作一种知识储备给背下来。
DOS MZ header：也称之DOS文件头，亦或DOS MZ文件头，它是一段以关键字MZ为开头的数据，偏移量3C处包含着PE文件头的起始位置信息。
DOS stub：这个区块是以一段“This program cannot be run in DOS mode”为标志，当运行环境不匹配时则弹出这句话，对于WIN32位的操作系统来讲，存在的意义不大，完全可以删除。
PE header：这就是需要我们着重研究的PE文件头了，他是一段以关键字“PE”为开头的数据，默认大小224字节，里面包含着许多信息，不过对我们有用的就是描述自身大小的一个字段，他家可以仔细观察图1中PE文件头里的画横线部分。
Section table：区段表，也称为节表，这是一段记录着整个文件中区段的大小与位置信息表。
Section 1：区段，也称之为节，大家可以将其理解为一个个存放数据的抽屉，每个抽屉都有自己不同的名字，往往通过名字就可判断里面包含着真么样的数据。由于这些区段的数量并没有限制，所以用了“Section 2”“Section ...”“Section n”表示剩余部分。

希望通过以上的介绍，大家能对PE文件有一个比较宽泛的了解，但是除此之外，对于免杀技术来说，还有输入表也是我们必须了解的，而对于输入表，就不这么简单了。
输入表也称“导入表”，要想了解导入表，我们还要从导入函数讲起，一看到类似的术语，也许有一些初学的朋友又要嘀咕着埋怨俺了。其实大家不用担心，电脑中的术语与你的名字没有什么区别，你不需要理解它究竟是什么意思，只要知道他代表什么就可以了。
我们知道，如果一个程序需要运行的话，它执行的就是文件内部代码，而导入函数恰恰不属于这个定义，也就是说，导入函数就是代表被程序调用执行，但其执行的代码却不再程序中的一小部分函数。这些函数的真正代码位于某些DLL文件中，这调用者的程序中只保留一些调用这些函数的信息，包括需调用的函数名与DLL文件的名称等等。
但是对于这些硬盘上静态的PE文件来说，在自己被映射到内存之前，无法得知这些导入函数会在哪个地方出现。只有当文件被装入内存后，Windows才会将相应的DLL文件装入，并将导入函数与DLL中的实际函数地址联系起来，这便是“动态链接”的概念，也就是为什么DLL文件会被称为“动态链接库文件”的原因。
说了这么一大堆，归根结底就是要大家明白，动态链接就是由“导入表”来完成的。

三、由这些知识想到的
看完这些，不知道大家有什么想法没有，我想现在肯定仍然有些朋友还被一种叫做“修改PE段”的免杀技巧所困惑，为什么自己总是不成功呢？
记得我曾经在X档案07年第7期中发表一篇名为《木马免杀全攻略》的文章，其中就涉及到了“修改PE段”的免杀技巧，写完之后有一些朋友反映操作不成功，其实就是因为我当时对PE文件结构不了解造成的。
这里我就针对PE文件头的修改在这里详细的介绍一遍。
我们就针对WebHacking[A1Pass干净版]为例，做一次PE文件头的免杀。首先，为了能有一个比较“干净”的修改场所，我们需要将其PE头部的垃圾信息清理一下，这里使用的工具是PeClean，我们只需将WebHacking拖放到PeClean的界面即可完成清理，如图3所示，然后通过反汇编工具WinHex打开。

打开后如图4所示，通过与图1的典型PE文件对比，我们发现许多没用的信息现在已经能够清理干净了，这样更有利于我们的修改操作。

接下来就是计算PE文件头的大小了，我们沿着PE文件头开始标志“PE”往下找，第一个问号处所对应的16进制信息就是PE文件头的大小了，如图5所示。其实这种查找方法是有一定的局限性的，我们也可以这样找，在关键字“PE”后的第17个字节处的数据就是代表PE文件头大小的信息。

我们由图5得知，与之相对应的16进制信息为“E0”，转换为10进制也就是“224”，如图6所示。

由此我们得知了PE文件头的大小为224字节。也许看到这里有的朋友会有疑问，前面介绍PE文件的时候不是说过PE文件头的大小为224字节了吗？为什么这里有讲一遍呢？其实这样做只是考虑到怕大家遇到特殊情况，例如PE文件有已经被做了手脚，如果再详细的介绍一遍，这样可保证大家可以轻松应对任何情况。
下面我们就有关键字“PE”开始向下复制224个字节，其实还有更方便一些的方法我们可以边复制，边注意WinHex右下角的“大小”信息，当其显示为16进制的E0时，即说明我们已经选择了224个字节的信息了，如图7所示。

下面我们按快捷键【Ctrl】+【C】复制这段数据，然后在刚刚选取PE文件中部，由下向上选取224字节的区域，同理，我们看“大小”信息后显示16进制信息E0后即可停止，如图8。

通过图8可知，我们的光标停留在所选区域最前方。也就是偏移量80上，下面我们按快捷键【Ctrl】+【B】，会弹出一个对话框，提示“剪切板数据将写入在偏移量80”，我们点击确定即可，结果如图9所示。

这里一定要注意，在按快捷键之前，一定要确定光标在所选择区域最前方，否则会导致程序不能运行，甚至执行后会导致系统崩溃。
现在我们要将原PE文件头的剩余部分如图10所示用00填充。

然后我们在区段表的第一个节表“.nsp0”前开始选择，一直到PE文件头的头部，如图11所示。

与图可知，我们选择区域的大小为16进制的140，也就是10进制的320字节。我们只需将这个数值减去24，等于296，这就是现在位移后的PE文件头的真正大小。
也就是说，实际上我们PE文件头大小此时已经由原来的224变为现在的296，转换为16进制就是128，现在通过以上的PE文件知识推理可知，我们应该将上面的E0改为现在的128，但是实际应用时我们却不能这么改，因为涉及到高低位的问题，关于高低位的问题这里大家不必了解，只要记住它的规律即可。
就拿我们精要更改的128为例，真正应用时要输入为28 01，如图12所示。

而如果大小是567的话，那么就应输入为67 05，而ABC自然就是BC 0A。
明白了修改PE文件头大小的方法后，我们还应该修改记录PE文件头位置的信息，这个就比较容易了，通过PE文件的基础知识我们知道，记录PE文件头的字段位于DOS文件头的偏移量3C处，如图13所示。

我们可以知道原来的PE文件头位于偏移量C8处，但是现在我们PE文件头位于偏移量80处，所以我们只要将C8改为80即可，如图14所示。

最后保存即可，运行一下试试功能也完全正常。
也许这节讲的难度略微提高了一些，对于新手可能有些障碍，如果你想快速入门，推荐你先读一读我写的《木马免杀全攻略》，也许会让你快速入门。

后记：由于很多爱较真的朋友始终在问我有关于为什么要减24的问题，因此这里贴出一个我回答一位网友的留言。
如果我的回答与我的文章风格相符的话，那么就是“这就是个公式，你只管这样去做”。
因为如果你要搞清楚其中的原因，是需要扎实的PE文件结构基础的。下面是原因与原理：
1、文章着眼点：我们应该清楚，用简单的思路与语言讲述复杂的东西，必然伴随着知识的丢失，就像将double型强制转换为int型一样，这就是说我这篇文章为了保证初学者能看懂，所以偷换了一些概念。

2、E0真正的意思：是表示IMAGE_OPTIONAL_HEADER32结构加数据目录表的大小，也就是不包括以“PE00”起始的IMAGE_FILE_HEADER的大小，而IMAGE_FILE_HEADER的大小就是24字节。因此我们在计算时将其包括在内是不对的，要减去它才行。（详情参见我写的《手工构造典型PE文件》）

3、为什么不在文章中说清：我认为在给初学者讲解的时候，把其看做是一个整体来讲解要比分成三部分来讲解要容易理解的多。况且初学者只需要这个思想与修改的方法，对于其“原理”的对错并不重要，而当其深入研究下去之后，到时发现了我文章中的“错误”，没准应该会比较有成就感，不是嘛？

[转载A1Pass]免杀基础三步走之一(杀毒软件原理)

860370330@qq.com( 繌、豬!。) — Fri, 21 Aug 2009 03:48:24 GMT

题记：本文发表于《黑客X档案》08年第9期，这是在其中分离出一段。
转载请注明版权：http://a1pass.blog.163.com/ 作者：A1Pass
原文地址：http://a1pass.blog.163.com/blog/static/2971373220091475352318/

正文：
随着黑客圈子逐渐向商业化靠拢，以及杀毒厂商间的互相竞争愈演愈烈，导致新出现的免费且好用的木马越来越少，除此之外，木马的生存期也在逐渐缩短！而另一方面，新出现的攻击手法越来越少，使得学习黑客技术的我们不得不考虑怎样摆脱或改善现有环境。
因此，免杀技术逐渐火热起来，而作为一个黑客技术初学者，掌握免杀技术更是迫在眉睫！
这篇文章就带领你由杀毒软件原理开始，逐步砸实基础，从而晋升为免杀高手，为以后的黑客生涯铺平道路。
对于免杀，也许大家或多或少都有些了解，但是大家对杀毒软件又有多少了解呢？也许正因为是你对杀毒软件了解不足，所以才造成一些看似比较奇怪的问题，例如无法精确的定位出特征码，或者每次定位的特征码都不一样等等。
如果我们对杀毒软件若能有一个大体的了解，就会使一些问题迎刃而解，从而做到更加有效率的进行免杀。

一、杀毒软件原理基础
一个杀毒软件的构造的复杂程度要远远高于木马或病毒，所以其原理也比较复杂。而且鉴于现在木马病毒越来越向系统底层发展，杀毒软件的编译技术也在不断向系统底层靠近。例如现在的“主动防御”技术，就是应用RING0层的编译技巧。这里我简单为大家介绍一下基本构成。
一个杀毒软件一般由扫描器、病毒库与虚拟机组成，并由主程序将他们结为一体，如图1。

扫描器是杀毒软件的核心，用于发现病毒，一个杀毒软件的杀毒效果好坏就直接取决于它的扫描器编译技术与算法是否先进，而且杀毒软件不同的功能往往对应着不同的扫描器，也就是说，大多数杀毒软件都是由多个扫描器组成的。而病毒库存储的特征码形式则取决于扫描器采用哪种扫描技术。它里面存储着很多病毒所具有的独一无二的特征字符，我们称之为“特征码”。特征码总的分来只有两个，文件特征码与内存特征码。文件特征码存在于一些未执行的文件里，例如EXE文件、RMVB文件、jpg文件甚至是txt文件中都有可能存在文件特征码，也都有可能被查杀。而内存特征码仅仅存在于内存中已运行的应用程序。而虚拟机则是最近引进的概念，它可以使病毒在一个由杀毒软件构建的虚拟环境中执行，与现实的CPU、硬盘等完全隔离，从而可以更加深入的检测文件的安全性。

简单的说，杀毒软件的原理就是匹配特征码。当扫描得到一个文件时，杀毒软件会检测这个文件里是否包含病毒库里所包含的特征码，如果有，则报毒病查杀，如果没有，纵然这个文件确实是一个病毒，它也会把它当作正常文件来看待。

二、基于文件扫描的杀毒技术
基于文件的杀毒技术可以分为“第一代扫描技术”、“第二代扫描技术”与“算法扫描”这三种方法，对于免杀爱好者来说，要对每一种方法烂熟于心，才能成为高手！但做为一个初学者来说了解一下即可。这里我们就简单介绍一下其中两种种方法，详细的技术原理如果各位得这有兴趣的话可以自己研究。
1、通配符扫描技术
　　通配符扫描技术属于是第一代扫描技术的一个分支，对于“通配符”，可以理解为具有一定意义的符号，例如DOS命令里的*号就是任意长度的任意字符的意思，而且通配符在不同的领域也里可以代表不同的意思。
现在杀毒软件中简单的扫描器常常支持通配符，因为鉴于字符串扫描技术的执行速度与特征码长度限制等问题，使得其逐渐退出历史舞台，取而代之的是通配符扫描技术，通配符扫描技术以同样简单的原理与技术却实现了更为强大的功能。
扫描器中的通配符一般用于跳过某些字节或字节范围，以至于现在有些扫描器还支持正则表达式！
下面我们通过一个例子来讲解通配符扫描技术的原理。
例如我们的病毒库中有这样一段特征码：
0400 B801 020E 07BB ??02 %3 33C9 8BD1 419C
上面的特征码可以解释为：
１、尝试匹配04，如果找到则继续，否则跳出。
２、尝试上一匹配目标后匹配00，如果找到则继续，否则跳出。
３、尝试上一匹配目标后匹配B8，如果找到则继续，否则跳出。
４、尝试上一匹配目标后匹配01，如果找到则继续，否则跳出。
５、尝试上一匹配目标后匹配02，如果找到则继续，否则跳出。
６、尝试上一匹配目标后匹配0E，如果找到则继续，否则跳出。
７、尝试上一匹配目标后匹配07，如果找到则继续，否则跳出。
８、尝试上一匹配目标后匹配BB，如果找到则继续，否则跳出。
９、忽略此字节。
10、尝试上一匹配目标后匹配02，如果找到则继续，否则跳出。
11、在接下来的３个位置（字节）中尝试匹配33，如果找到则继续，否则跳出。
12、尝试上一匹配目标后匹配C9，如果找到则继续，否则跳出。
13、尝试上一匹配目标后匹配8B，如果找到则继续，否则跳出。
14、尝试上一匹配目标后匹配D1，如果找到则继续，否则跳出。
15、尝试上一匹配目标后匹配41，如果找到则继续，否则跳出。
16、尝试上一匹配目标后匹配9C，如果找到则继续，否则跳出。
这种扫描技术通常支持半字节匹配，这样可以更精确地匹配特征码，一些早期的加密病毒用这种方法都比较容易检测出来。
其实现在的一些特征码仍然在使用类似此种方法的特征码表达技术，因此掌握这些知识会对我们以后的免杀有所帮助，同样可以使我们在定位特征码时更加了解自己正在做什么，以及做的是否正确等等，这对于我们来说非常重要。
2、智能扫描
智能扫描属于第二代扫描技术的一个分支，这种方法是在一种病毒变异工具包出现之后提出的。智能扫描法会忽略检测文件中象NOP这样的无意义指令。而对于文本格式的脚本病毒或宏病毒，则可以替换掉多余的例如空格、换行符或制表符等空白字符，这一切替换动作在扫描缓冲区就会执行，从而大大提高了扫描器的检测能力。
3、近似精确识别法
近似精确识别法同样是属于第二代扫描技术的一个分支，但是相比起来应用的更为广泛，这种扫描技术包含了两种方式与若干种方法，在这里不可能一一介绍，下面将主要介绍两种方法的代表。
方法一：多套特征码
该方法采用两个或更多个字符串集来检测每个病毒，如果扫描器检测到其中一个特征符合，那么就会警告发现变种，但并不会执行下一步操作（例如清除病毒体或删除文件）。如果多个特征码全部符合，则报警发现病毒，并执行下一步操作。
方法二：效验和
对于校验和，也许有些朋友会想到文件校验和比对的方法，这个方法的思路是将每一个无毒的文件生成一个校验和，等待下次扫描时在进行简单的校验和比对即可，如果校验和有所变化，在进行进一步的扫描，这样有利于提升扫描器的效率，但是严格地说，这并不算是扫描技术。
效验和扫描技术利用的最为到位的就是比较出名的KAV（卡巴斯基）了，它的第二代扫描器就采用了密码效验和技术，并且没有使用任何搜索字符串技术。关于效验和是一个复杂的概念，简单的说就是通过对病毒中的某一段代码的计算，从而得出一个值（例如123XY4），与MD5加密有些相似，当然这样说不完全正确。
但KAV采用的是一种由卡巴斯基发明的一种叫做密码效验和的特殊算法，这种算法通常会产生两个值。而且病毒库的查询采用了特征码分类思想，例如扫描EXE文件时只调用与EXE文件有关的病毒库，而根据EXE文件的位置不同（例如文件头、入口点）又分为不同的子库，这样有利于提高扫描速度。

三、由此得出的一些经验
首先我们应该明白第一个例子介绍的通配符“0400 B801 020E 07BB ??02 %3 33C9 8BD1 419C”代表的肯定不是一个字节。也就是说，杀毒软件厂商定位的特征一般都是数十字节，所以我们定位特征码时就要避免定位过于精确，一般保证在10字节以内就足够了！因为如果特征码定位的过于精确，会为我们以后的修改操作带来很大不必要的麻烦。我们可以简单的想一下，是修改一个字节的方法多，还是修改10字节的方法多？
而由智能扫描我们也可以得出一个结论，就是不要将杀毒软件想的太傻，例如属于智能扫描的一个分支——启发式扫描，它会将一些异常改动计算到可能性的“权值”里，如果一个文件的可疑改动过多，就会导致报毒，这样我们所做的一些工作就起到了相反的作用，是典型的画蛇添足。所以，修改木马文件时也要掌握一个度的问题，不要修改的过多，但还要保证自己的木马免杀时间够长，这就要明白那些更改会被归为可疑修改，而那些则不会。但是掌握这些是需要一定的PE文件结构基础知识的，对于PE文件，我会在下篇文章详细介绍。
而最后的就是卡巴斯基的密码校验和扫描技术了，恐怕这在业内也是第一次提出来，各位看官有福了！
对于密码校验和的更深层次的知识，这里我们不再细谈，我们只谈他对免杀带来什么样的影响。首先，特殊的扫描方法必然会导致特殊的特征码，所以密码校验和的真正特征码通常体积都比较大，通过脚本木马的一些实验，卡巴斯基7.0对字母的大小写不是很敏感，此外对文件代码的变动也不是很敏感。也就是说，只要包含特征码的这行代码在卡巴斯基的校验和取样范围之内，那么它就会报毒，而如果你将其移出这个范围，那么肯定会导致文件不能正常运行，唯一的办法就是更改代码结构。
如果大家注意总结与思考，会发现一些免杀方面的模糊概念完全可以用本文介绍的知识解释通，例如什么“隐含特征码”等等。
这篇文章不知道大家看着怎么样，我想无论你是刚要入门的新手，还是有一些经验的老手，本文都会提供给你许多你不曾知道的知识。由此也可以看出基础的重要性，正是因为基础的不同，才造成技术的高低。我想授人予鱼不如授人予渔，所以这篇文章偏重于理论，没有什么实例，但是相信会给你带来一些帮助。如果你想成为免杀高手，那么就期待下一篇吧……

计算你的女朋友值多少钱！

860370330@qq.com( 繌、豬!。) — Tue, 18 Aug 2009 13:33:45 GMT

底价都是1000元

身高超过180cm，每过1cm-100元

身高超过170cm，每过1cm+100元

身高低于160cm，每低1cm-100元

留长发的+100

会跳舞的+50

会唱歌的+100

体重超过120斤的，每超过10斤-100元

体重不足100斤的，每差10斤-100元

近视的，超过300度，每100度-100元

谈过恋爱的，被甩一次-100元，甩别人一次+50元

没有谈过恋爱的+100元

超过２３岁的，每超1岁-100元

有病史的，每一项-200元

不会麻将+300元

不会喝酒+300元

嗜酒的-500元

抽烟的-500

养宠物+100元

喜欢宠物的+50　　

会做饭+500元

温柔可爱的+300

不懂事总任性的-200

总告诉你想你的+200

同学聚会喜欢带你去的+100

会关心你不让你抽烟、喝酒的+300

平时不打扰你的个人生活+100

总缠着你逛街的-100

会按照你喜欢的方式打扮自己的+300

不会洗衣服的-200

每天都要吵架的-200

吵架不管是不是她错总先找你的+300

每天要你哄她睡觉的+100

很乖的+200。。。只对你乖。。对别人不乖的+300

会为你哭的+200

总惹你哭的-300

很自立不是想要什么都要你买给她的+200

在你朋友面前不任性的+100

会化妆的+100

会给你洗衣服的+100

成熟稳重的+100

跟你在一起不爱笑的-200

要你逃课陪她玩的-200

考试挂1科-100

会送你她亲手做的东西+100

总说你丑的-200

没照过大头贴的-200

1500以下就别要了
2000到2800正常
2800到3500精品
3500以上你这辈子有着落了赶紧娶吧!迟了就没有了

总结135抓鸡问题

860370330@qq.com( 繌、豬!。) — Wed, 12 Aug 2009 11:25:43 GMT

135抓鸡必备条件

　　135端口现在来说有很多限制，比如电信的就频闭了这个端口，一般的ADSL就扫不到，必须要用服务器或者代理，
用服务器就不需要在讲了，那么我们用代理扫问题就出现了。

　　第一点：首先你最好不用XP系统，用服务器或2000/2003的机子，而且还要用代理，也不是随便找个代理都可以
的，必须是VNP代理延时要在5-10之间，如果超过了这个范围比如你的延时在100--400之间那就说明你的代理非常的

慢，很有可能数据传输回来的时候丢失了一大半，只剩下一小半这个时候。你也只可能扫的到开启135端口的肉鸡，扫出

来的都是真的，但到了猜弱口令的时候就会出现一个都猜不出，甚至工具卡死等情况，如何判断呢我看见过扫到的假的1

35端口的肉鸡，比如说58.50.1.1-----58.50.1.254这个IP段，扫出来的时候显示全部都开启了135端口，仔细一想就明白了

绝对是假的，如果你真的想用代理抓135端口肉鸡的话，建议你最好用收费的代理，免费的代理速度都不行而且也难找，

现在网上病毒多如牛毛不小心就会中招。

　　以上是本人自己总结的一些经验和看法，有不对的地方请指点。
　　要开启的服务TCP/IP NetBIOS Helper、Remote Procedure Call (RPC) Locator 、NT LM Security Support Provider
最简单的方法就是装个WIN2000的虚拟机来扫，先扫本地，再扫外地，都扫不出估计是就是被ISP屏蔽了的。这样还扫不
出就要另外想办法了，比如用VPS(不是VPN，代理是扫不出空口令的)，或者上服务器扫扫看。

下面是转的一些方法：

一：首先因为很多系统现在都是SP2的，首先一定先要突破一下。需要的工具：
TCPIP并发连接数破解，建议把线程改到4000~5000，重新启动计算机才可以生效。
二：接着启动一些网络服务和本地服务，鼠标点右键我的电脑管理里边，服务和应用程序。
不用怕，你肯定会看到很多网络服务。不用着你用鼠标点一下左键左上角会出现相应的
中文字母，那是解释这个服务启动了到底有什么用。具体我也说不清楚，我就举个例子。
有些朋友问我Telnet为什么连接不上去，电脑必须启动一下服务，我在教程中也说过的。
最近有些朋友在新世纪网安发布动画中也陆续讲到了。
TCP/IP NetBIOS Helper
Remote Procedure Call (RPC) Locator
NT LM Security Support Provider
三：你可以下个VPN软件利用代理来扫，因为有些地方电信屏蔽了吧！新疆那里还没受限制。
至于这个工具，我想新世纪网安出来这么多关于这样的教程，这样的工具网上很多，但是
我想说的一点是有些代理软件是假的，请你们检查是否有效果才去用，不然会被带入一个
很经典的误区的。就象定位特征码一样，以前我们看了老教程只定位Code段，导致生成
多少份都会被杀，其实是要定位全部。千万别被一些老教程给引入一些经典的误区！！！

NTSCAN扫不出弱口令的问题
确实满足以上的要求你能够扫到135的IP，我在这里恭喜你！说明你有学习天赋，能够完成
以上我交你们的，说明你已经用心看了。确实很多人都在疑惑为什么，我扫的出135的IP了
为什么却扫不出若口令？当你能扫到135的IP时你肯定会很开心，但是扫不出若口令又
你一落千丈。首先你先要检查你本机是否开启了135的端口。检查方法：首先打开开始，接
着点运行，然后键入cmd按下回车，这时会出来一个CMD命令的对话框，然后请在对话框中
输入以下命令：netstat -an（意思查看本机开放的端口）如果是刚刚学黑客的朋友可以
一下初步的DOSS命令，就是一些经常用的吧！我可以举例一些：ipconfig（一般用于查看本
机IP）、net stop sharedaccess(关闭防火墙）、net user（查看有哪些用户）、net start
（查看开启了哪些服务）、net share(查看系统的共享）等等吧，这些都是些基本的命令，
关于扫不出135的问题：
大家可以去学习一下。扫不出若口令还有就是检查一下你的共享，命令上面已经有了。admin$
和IPC$,有些朋友可能机子被优化过了，一些共享都没了。这样也是扫不出若口令的，还有注意
的一点是Administrator是通过这个若口令来连接的，是空密码的。如果以上方法对于你们都没
有用的话，或者你们那里确实被电信屏蔽了的话，大家可以到我们论坛的华夏交易区去收购一个
稳定的3389服务器。你可以在那里说明必须是可以扫135端口和若口令的服务器。

关于鸽子内网映射的问题
内网映射：至于为什么会在新手区提问，根据我这么多天回答的总结。主要有以下原因：
第一，就是鸽子映射的服务端不会免杀，其实这类的教程已经出来了，可能你们没看到吧！
第二，新手扫不出IP或者不懂入侵，所以抓不到JJ，映射不了。
第三，有人提问问什么我的鸽子配置好后还是上不了线？
答：1：可能是你配置错误，所以上不了线。
2：有可能你没有更新IP，也会上不了线。（这是争对外网用户的）
3：你的机子本身就中了鸽子也会上不了线。
4：免杀错误导致鸽子服务端程序破坏，可是还是会消失，让新手进如误区！
5：如果你是内网的话，记的映射IP以后一定要更新映射的IP。
还有我想补充的是，注意映射了IP以后不要忙着关掉。
因为有可会断开连接，而你继续下面的，导致不能上线，
进入了一个很经典的误区。
　　
第四，鸽子映射的原本端口是9999，可以尝试扫下9999端口的IP连接映射.

关于扫135抓肉鸡建议100％成功

到好多兄弟姐妹说135肉鸡难抓

我提供个方法：
1 要能上网再安装个2000的虚拟机有个免杀马

2 在虚拟机上安装Hotspot Shield launch(自己搜) 进行VPN代理

3 在本机建立FTP服务（我是使用花生壳＋鸽子自带的）

4 在虚拟机上扫135肉鸡扫肉鸡空口令抓肉鸡（FTP地址当然要写本机的）

5 然后就看到鸡来报道了

135抓不到鸡的解决方法

解决方法：

第一种解决方法：
S扫描器扫不到开放135的端口的IP，有可能是你们本地的ISP屏蔽了135端口，你可以先尝试扫你们本地的IP网段

例如我们徐州的是222.187.0.0 和 58.218.0.0 我都用这两个网段抓的

。如果想抓外地的肉鸡，推荐使用<统一软件>来代理自己的IP，扫外网的IP。

第二种和第三种的解决方法是：
首先要看看你的电脑打开135，139，445的端口没有，运行--CMD--输入netstat -an就可以看到。

135端口的打开方法：启动“Distributed Transaction Coordinator”服务，运行dcomcnfg，
展开“组件服务”→“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”，
打勾“启用分布式COM”；然后切换到“默认协议”，添加“面向连接的TCP/IP”。

139端口的打开方法：网上邻居--属性--本地连接--属性--Internet协议（TCP/IP）--高级--WINS；
如果你填写了本地连接的IP，你就启动TCP/IP上的NetBIOS。
如果你没有填写本地连接的IP，在NETBIOS设置里面选默认。

445端口的打开方法：开始-运行输入regedit.确定后定位到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
删除“SMBDeviceEnabled”的DWORD值。我的已经删除了~

[转]现代学生的真实写照

860370330@qq.com( 繌、豬!。) — Fri, 07 Aug 2009 13:57:51 GMT

开学初：　　开学一周后：　　　开学两周后：
－－－－－－－－－－－－－－－－－－－－－－－－
期中考试前：　期中考试：　期中考试1天后：
－－－－－－－－－－－－－－－－－－－－－－－－
期末快到了:　　得知考试时间：　　考前7天：
－－－－－－－－－－－－－－－－－－－－－－－－
考前6天：　　　考前5天：　　　　考前4天：
－－－－－－－－－－－－－－－－－－－－－－－－
考前3天：　考前2天：　　考前1天：
－－－－－－－－－－－－－－－－－－－－－－－－－
考前一天晚上：　　　考前1小时：　　考试中：
－－－－－－－－－－－－－－－－－－－－－－－－－
走出考场：　　　　对某老师的想法……