安全代码

Q. Oracle 数据库如何trace执行的SQL statement 1. 开启trace方法(1) : 执行SQL语句 12SQL> alter system set sql_trace = true;SQL> alter system SET EVENTS '10046 trace name context forever, level 12'; 方法(2) : 修改init.ora 配置文件 还可以修改init.ora 文件添加 event=”10046 trace name context forever,level 12” 来达到目的，修改以后需要重新启动数据库。 2. 关闭 trace1SQL> alter system set EVENTS '10046 trace name context off'; 3. trace相关的几个参数 MAX_DUMP_FILE_SIZE dump 文件大小 USER_DUMP_DEST dump 文件路径 可以使用下面语句参...

IDA Pro 6.2 + 的Linux 版本提供了Qt 界面，可以在各大平台正常运行。买不起也有办法 ，使用 wine 可以很好地运行IDA Pro，显示效果基本OK，爱折腾的同学可以自行调整字体。 1$ wine idag.exe IDA Pro 6.1 成功运行.但是idapython 有些问题需要处理，引起idapython不能正常运行的原因主要有下面两个： 文件缺失大概会报下面错误 1err:module:import_dll Library python27.dll (which is needed by L"C:\\ida61\\plugins\\python.plw") not found 要解决这个错误，需要从windows下拷贝两个文件过来，这两个文件是 msvcr90.dll，python27.dll 环境变量1$ wine idag.exe 会报下面类似错误， ImportError: No module named site，发生这个错误的原因是找不到python安装路径，可以使用unix下的python使用shell命令设置...

1234567891011Dim daytimedaytime = formatdatetime(now(), 2)wscript.echo "Now is: " & daytimewscript.echo "Change system data to 2010/12/18..."Set os =WScript.CreateObject("WScript.Shell")os.run "cmd /c date 2010/12/18", 0, Truewscript.sleep 3000wscript.echo "Call some.exe"os.run ".\some.exe", 1, Truewscript.echo "Restore system data to " & daytimeos.run "cmd /c date " & daytime, 0, True

12sc Create SuperCMD binPath="cmd /K start" type=own type=interactsc start SuperCMD

SQL Server 2005 中引入的 xp_cmdshell 选项是服务器配置选项，使系统管理员能够控制是否可以在系统上执行 xp_cmdshell 扩展存储过程。 1. 如何在sql server 2005 中开启xp_cmdshell123456789101112-- To allow advanced options to be changed.EXEC sp_configure 'show advanced options', 1GO-- To update the currently configured value for advanced options.RECONFIGUREGO-- To enable the feature.EXEC sp_configure 'xp_cmdshell', 1GO-- To update the currently configured value for this feature.RECONFIGUREGO 2. 如何查询sql server 2005 拓展存储过程xp_cmds...

挂钩一直是Hack 编程中永恒的主题，基本高级的Rootkit 程序多多少少都会使用Hook 技术。似乎Hook 都被讲烂了，不论是Ring3 的还是Ring0 的网上都有例子。Ring0 的毋庸置疑当然是全局的了，这里说说ring3 的全局hook。Ring 3 有Ring 3 的优势，稳定是压倒一切的，因此Mcafee 和其他一些商业的安全软件都还是使用了Ring3 的Hook 技术，无论如何用户是无法接受蓝屏和死机的。 感兴趣的可以装个Rootkit unhooker 自己看看。 :) 1. 以往的Ring 3全局Hook纵观网上流行的全局Hook 程序都只用了一个Windows API， SetWindowsHookEx，此函数原型： 123456HHOOK SetWindowsHookEx( int idHook, HOOKPROC lpfn, HINSTANCE hMod, DWORD dwThreadId); 1234idhook 安装的钩子类型，如 WH_GETMESSAGE，WH_KEYBOARD 等lpfn h...

小技巧。但是用的人好像不多。例子： Windows 2000 下 123456789101112131415161718NtQuerySystemInformationNo = 0x97;_declspec(naked)NTSTATUS __stdcall PrivateNtQuerySystemInformation (IN SYSTEM_INFORMATION_CLASS, IN OUT PVOID, IN ULONG, OUT PULONG OPTIONAL){ _asm { mov eax, NtQuerySystemInformationNo lea edx, [esp+4] int 2Eh ret 10h }}

Intel(R) 82801GBM (ICH7-M) LPC Interface Controller - 27B9（ACPI\IBM0071\4&61F3B4B&0）是Intel的红外线设备连接。 win2003/2008等服务器版本没有自带这个驱动。IBM T60等机器可以在主板里设置关闭INTERFACE，或者下载XP的红外线补丁（IBM Thinkpad Fast Infrared Port）就可以解决 相关链接：http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-4KUR6Shttp://www.versiontracker.com/dyn/moreinfo/win/36353http://www.soft32.com/download_181790.htmlhttp://forum.thinkpads.com/viewtopic.php?t=22787&sid=3a24f025ddb4d19d3e2d00e12...

简单实现文件防删除，说简单是因为没有用很底层的技术，例如文件驱动之类。我只用最简单的方法实现了, 使用 ring3 的API hook 技术。随着技术的发展这种技术已经过不了很多的主动防御技术了。主要是思路和方法和分析过程。(高手飘过) ring3 下挂钩 API 基本上也就是修改导入表，和Inline hook 修改前5个字节这几种方法。挂钩Native API 没有什么区别，也就是多声明几个结构和变量类型。 关于挂钩API 请参见：www.xfocus.net/articles/200403/681.html 文件删除的ring3 API 是DeleteFile, 此API 存在于kernel32.dll 中，用OD分析一下。(哪个都可以，IDA更不用说) DeleteFileA 的反汇编代码： 12345678910117C80D2FB >/$ 8BFF mov edi, edi7C80D2FD |. 55 push ebp7C80D2FE |. 8BEC mov ebp, esp7C80D300 |. FF75 08 push dword ptr [ebp+8]7C...

关于%5c的暴库利用想已经不是什么新技术了，原因我只找到含糊的说法：的UNICODE是%5c当提交时,IIS无法正常解析,导致暴库。但我对 http://www.hoky.org 测试成功后（现在已经补上）问过hoky.pro，得知%5c与IIS的设置是有关系的。而在默认设置下是可以暴库的。还有很多人说不成功，我要说的三点： 一般的错误返回页面是本地IE提供的,所以我们先得关了本地的错误页面,具体在菜单项的‘工具->internet选项->高级->显示友好信息’。 对方数据库要是Access型。 %5c的暴库需要的是二级目录，一级目录无法成功。如： http://www.sometips.com%5c1.asp?id=1 不成功http://www.sometips.com/other%5c1.asp?id=1 成功 好了，上面说的大家都知道，当是废话。在暴库这么好用的东西下，如果一个网站只有一级目录的话，难道就没有办法了吗？说到重点，其实一级目录我们也同样可以成功的，我们可以通过构造一个多级目录来达到暴库的目的。 http://www.target.com...