繁星流动天际

原创 Communication ports used by Endpoint Protection

Issue/Introduction:This article describes the communication ports, protocols, and processes used by Symantec Endpoint Protection (SEP) clients and the Symantec Endpoint Protection Manager (SEPM).Resolution:Communications Ports and Protocols...

原创 思科光纤模块兼容性解决

思科设备不允许使用非思科标配的光模块，所以会报错。解决service unsupported-transceiverno errdisable detect cause gbic-invalidspeed nonegotiate

原创 快速 tracert Cyrus

C:\Users\laixiangmin>tracert用法: tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout][-R] [-S srcaddr] [-4] [-6] target_name选项:-d 不将地址解析成主机名。-h maximum_hops 搜索目标的最大跃点数。-j host-list 与主机列表一起的松散源路由(仅适用于 IPv4)。-w timeout 等待每...

原创 用HI和应用程序策略强化终端的本地安全策略

问题在工作组的环境中，我们没有办法通过一个类似AD的组策略模式，将所有终端上的本地安全策略（主要针对密码策略）设置为强密码要求等，但是，我们可以通过SEP来实现这个管理需求。我们可以通过设置SEP中的HI策略，来强化终端上的本地安全策略，比如，设置密码为：密码必须满足复杂度要求、密码长度至少为8位、密码有效期为30天。并且还可以通过设置SEP中的应用程序策略，来阻止终端用户修改这些策略。环境本文档中，我们使用的软件版本分别为：SEP/SEPM：RU6MP...

原创 进入的Novell IPX以太网帧类型为0xE0E0的数据流被SEP防火墙过滤

问题用户的应用程序使用IPX(Internet Packet eXchange)协议来通信。在安装了带有网络威胁防护功能的SEP之后，尽管在SEPM中已经允许了所有可选的IPX协议类型，但用户发现SEP的防火墙仍然过滤了IPX数据包，它的类型是以太网0xE0E0。用户想添加这个协议类型为0xE0E0到防火墙的服务列表中，但0xE0E0不能被输入，看上去服务列表不支持这种协议。环境SEPM版本11.0 RU6aSEPM安装平台: Windows 2003 st...

原创 如何理解Liveupdate Administrator (LUA) 下SEP的更新文件

在使用LUA为SEP下载病毒定义时，病毒定义更新文件夹下会包含如下文件：■*.skn --白名单更新文件■*.cal --商业应用程序列表更新文件■*.osi -- X86 MAC病毒定义更新■*.osx -- MAC病毒定义更新■*110119022.m25 --从2011-01-19 v 22以来的日增量更新■*emt64nav2k8enc.m25 --- 64位月增量更新HUBdefs■*nav2k8ennm25.m25 --- 32...

原创 如何将SEPM内嵌式数据库迁移到其他分区

迁移操作步骤如下：1.开始---运行-- services.msc2.停止服务：Symantec Endpoint Protection Manager Service3.停止服务：Symantec Embedded Database Service4.将数据库文件sem5.db从\Program Files\Symantec\Symantec Endpoint Protection Manager\db移到新的驱动器，如D:\DB5.从注册表修改数据库路径：开始—运行-...

原创 如何设置受管的SEP客户端，禁止用户访问某些网站

请按以下步骤操作：1.登录SEPM控制台中，打开“防火墙策略”。2.在“防火墙策略”页面上，单击“规则”。3.在“规则”选项卡的“规则”列表下方，单击“添加规则”。4.在添加防火墙规则向导中，单击“下一步”。5.在“选择规则类型”面板中，选择规则类型：“主机”。6.单击“下一步”，地址类型为“DNS域”；7.输入要禁止访问的网站例如，*.baidu.com，便可。8.单击下一步，如有多个网站要禁止，请单击“添加更多”来添加。9.完成后，单击“完成”...

原创 如何在运行SEPM配置向导时将不可认的复杂数据库密码改为简单密码

如果在原先密码中有一些特殊字符,在重新运行SEPM配置向导时是不可认的。SEPM内置数据库密码可以使用Sybase提供的工具dbisqlc.exe来修改。此工具位于C:\ProgramFiles\Symantec\Symantec Endpoint Protection Manager\ASA\win32\。要修改内置数据库密码，请执行以下步骤：1.点击开始-->运行，输入services.msc，点击OK。2.确认Symantec内嵌数据库在运行。...

原创 如何在SEP12.1的管理服务器和客户端之间启用SSL

问题如何在SEP 12.1中的SEPM服务器和客户端之间启用安全套接层协议----Secure Sockets Layer (SSL)环境本文档仅针对于Symantec Endpoint Protection 12.1SSL在SEP 11.x版本中，使用的是IIS服务器，而不是Apache.这部分内容请参考http://www.symantec.com/docs/TECH102371（SEP 11.x: Configuring SSL to work with...

原创 如何从SEPM服务器及客户端上移除网络访问控制(SNAC)组件

如何从Symantec Endpoint Protection Manager(SEPM)服务器及客户端上移除网络访问控制Symantec Network Access Control(SNAC)组件请遵循以下步骤进行操作：1.打开Windows服务管理器，停止Symantec Endpoint Protection Manager（以下简称SEPM）服务；2.进入SEPM安装目录，默认是：C:\Program Files\Symantec\Symantec Endpoin...

原创 调度报告不能按照预定义的时间来发送

问题调度报告不能按照预定义的时间来发送？例如，用户配置的了调度报告，在每天上午7:00发送，但用户每天直到下午15:00才收到。原因如果制定的报告中的开始时间，相对与当前时间已经过去了，那么这个报告就会立即被创建和发送，之后也会在24小时后再次创建和发送。例如，用户在2011-6-14 15:00时定义了一个调度报告，报告的开始时间是2011-6-14 7:00，那么这个报告就会被立刻创建和发送，而不是等到第二天的7:00，以后也是每天15:00被创建和发送。解决方案...

原创 在SEPM上由于某些组的策略被破坏，导致一些组无法获取新的策略和病毒定义

问题在SEPM上修改策略后，某些组无法获取新的策略，并且客户端的病毒定义也无法获取更新。环境SEP11原因被破坏的策略导致SEPM在编译组策略和更新文件信息失败，导致编译中断。解决方案可以通过以下方法来定位受损的客户端组：1.开启SEPM的debug编辑:\\Program Files\Symantec\Symantec Endpoint Protection\tomcat\etc下的conf.properties文件，并在最后添加一行sc...

原创 对于已经失去控制，并且设定了保护密码的SEP客户端，如何停止服务和卸载

环境有些客户端由于SEPM的灾难恢复失败或其它原因导致无法与SEPM通信，并且设置了密码保护，但密码又已经忘记了。这时，就需要停止SMC服务或者，移除SEP，然后再重新安装。解决方案停止SMC服务：更改注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec EndpointProtection\SMC | smc_exit_test为0，然后执行命令 “smc–stop” 即可绕过密码来停止SMC服务。卸载...

原创 Shared Insight Cache的工作方式及一些知识

Shared Insight Cache主要是SEP针对虚拟化环境中的扫描加速，简单来说就是在虚拟环境的各个系统中同样的文件只扫描一次。Shared Insight Cache的工作方式如下文阐述：客户端在扫描某个文件中是否存在病毒和间谍软件后，它会将扫描结果提交到Shared Insight Cache。扫描结果以投票的形式进行提交。客户端仅提交未感染病毒的文件的投票。当Shared Insight Cache收到投票时，如果客户端没有最新病毒定义，则服务器会忽略该投票。如果有可用的新定...

原创 SEP客户端C盘空间被xfer目录占满

问题用户发现个别安装了SEP的客户端在C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer文件夹下发现大量文件, xfer文件夹持续增长并占用所有C盘的可用空间。环境Windows XP SP2原因此问题确认为SEP 11 RU6 MP1之前的已知问题，当SEP客户端病毒定义更新后会自动重新扫描隔离区文件，在解压缩隔离文件时出现此...

原创 SEP如何从日志事件创建集中式例外

您可以从防病毒和防间谍软件扫描或主动型威胁扫描的日志事件创建集中式例外。但不能从防篡改的日志事件创建例外。当您从日志事件创建异常错误时，您可以将风险、文件、文件夹、扩展名或进程添加到“集中式例外策略”。可在创建例外时指定集中式例外策略。从日志事件创建集中式例外1.在“监视器”选项卡上，单击“日志”选项卡。2.在“日志类型”下拉列表中，选择下列其中一个选项：■风险■TruScan主动型威胁扫描■应用程序与设备控制3.如果您选择“应用程序与设备控制”，则可以从“日志...

原创 SEP反破解方案C-保护SEP的文件夹和注册表

保护SEP的文件夹和注册表用户可以通过修改本地安全策略，将SEP客户端的安装目录添加为不被允许的路径规则，影响SEP客户端的正常使用。另外，用户可能通过第三方工具来修改SEP目录的权限，从而导致SEP客户端不能正常使用。对于SEP客户端，有如下目录至关重要：%PROGRAMFILES%\Symantec%PROGRAMFILES%\Common Files\Symantec SharedC:\Documents and Settings\All Users\Appl...

原创 Imperva WAF 添加黑名单

原创 SEP反破解方案B-保护SEP的服务

保护SEP的服务停掉SEP的服务，目前可能的方法包括有：使用360安全卫士中的“系统服务状态”、使用Windows操作系统中的SC命令。在Windows系统中，每一项服务都在注册表的HEKY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下有对应项，要保护SEP客户端的服务不被篡改，我们只需要保护对应的注册表项不被修改。我们需要保护的SEP的服务包括：■SmcService■SNAC■ccSetM...

原创 SEPM嵌入式数据库损坏的一种修复方法及sem5.log的缩小方法

若要修复SEPM嵌入式数据库损坏，可参考下面的方法：1.运行嵌入式数据库进程DBSRV9.EXE（program files\symantec\symantec endpoint protection manager\ASA\win32）注意参数：Option: -b（参数：Database: program files\symantec\symantec endpoint protection manager\db\sem5.db; Server Name:服务器主机名；Option: -b）...

原创 SEPM的admin密码如何重置

在SEP 11.0中SEPM（Symantec Endpoint Protection Manager）的admin账户密码可以重置，使用的是SEPM按照路径下“\Tools\resetpass.bat”的批处理文件，将密码重置为“admin”。为保障SEPM的安全性，SEP 12.1针对admin账户的重置使用完全不同另一种方式——“邮件密码”。客户可以通过登录窗口中的“忘记密码”，给相应的账户进行密码重置（其中包括admin账户）。收到邮件后，访问系统所给出连接...

原创 SEPM执行LiveUpdate 失败，错误“磁盘空间不足...”

问题服务器病毒定义无法更新，运行 LiveUpdate 持续失败。错误运行 LiveUpdate 时失败，错误 1863:"LiveUpdate needs to save a file, but there is not enough free disk space. Please free up disk space on your computer and run LiveUpdate again."原因SEPM 服务器系统分区可用空间为 0，\Program ..

原创 SEP12.1.2现在支持自动卸载其他某些杀毒软件

在安装杀毒软件的时候，我强烈建议卸载其他杀毒软（特别是360）。这不是简单的兼容性问题，而是个逻辑问题。如果两个杀毒软件都有实时扫描功能，一个文件x被读取，杀毒软件A进行扫描x，同时产生缓存Ax。杀毒软件B扫描x，同时产生缓存Bx；同时扫描缓存Ax，产生缓存BAx。这时杀毒软件A扫描缓存Bx和BAx，产生新缓存ABx和ABAx。。。。。。现在安装最新版本的Symantec Endpoint Protection 12.1.2（SEP 12.1 RU2）可以自动删除某些杀毒软件。其中...

原创 SEP RU6 MP3 繁体中文版简体中文版在SEPM生成报告的树型图中显示乱码

问题当用户尝试在SEPM中创建报告的时候，所有的在饼状图中的字都会显示为乱码。错误这个问题是RU6 MP3繁体中文版/简体中文版的产品问题，由于一些java script的后台脚本被修改导致不能引用宋体字符集，而是引用了Arial字符集，这导致需要宋体字符集解码的文字全部显示为乱码。解决方案目前这个问题只在RU6 MP3版本中存在，会在以后的版本中修复。临时解决方案是，让用户从其他电脑上拷贝Arial Unicode MS (ARIALUNI.TTF)到SEPM...

原创 离线密码破解hashcat

1、新建word文件并加密。2、安装office2john.pycd johncd run./office2john.py /root/demo.docx > hash.txtgedit hash.txt，删除demo.docx:hashcat –help使用自带字典hashcat –m 9600 hash.txt /usr/share/wordlists/passwd.txt –o out.txt --force...

原创 信息搜集waf探测

wafw00f 是python脚本,用于检测网络服务器是否处于网络应用的防火墙(WAF,web application firewall)保护状态

原创 DNS收集分析DMitry

Dmitry是一个由C语言编写的UNIX/(GNU)Linux命令行工具，它可用于收集主机相关信息，比如子域名、Email地址、系统运行时间信息。列出帮助信息：$ dmitry –help查看更完整的文档:$ man Dmitry选项详解：-o filename创建ascii文本输出，到指定的文件名里。如果没有指定输出文件名，则会保存为“target.txt”。如果未...

原创 DNS收集分析dnsenum

下面是dnsenum工具的一些参数实现由于kali中一些工具的翻墙无法实现（即使在你挂了代理的情况下），所以最后一项的google引擎搜索基本作废。一般还有一项常用参数 --dnsserver 指定用来查询的dns服务器。（如果不指定的话，使用默认dns服务器）默认dns服务器在/etc/resolv.conf中存放我这里指定用的114.114.114.114域名服务器进...

原创 DNS收集分析之host

1>Host指令提供一个简单的DNS解析的功能。正常地使用名称到IP的解析，当指令没有任何参数和选项的时候，它将输出简单的带命令行参数和选项的概要。名称是可以被解析的域名，也可以是点分十进制的IPV4的地址或冒号分隔的IPV6的地址，默认地，也可以行使一个反向解析的功能，DNS服务器既有名称又有IP地址，host查询可以替代它们，或者可以列在/etc/resolv.conf文件里2&...

原创 DNS收集分析fierce

fierce 是一套暴力收集 DNS 解析的工具，你可以指定 Domain 然後挖出更多 Sub domains，或是反解指定 IP 網段特別注意 fierce 不支援 IPv6，IPv6 可以使用 dnsdirct6在此紀錄一些 fierce 用法標準掃 DNS 方式fierce 會掃出所有的 Domain 並解出 IP，最後還會統整出所在的網段threads 可指定執行的...

原创 DNS收集分析dig

dig domain （默认输出A记录）dig domain anydig ns.baidu.com biadu.com axfr

原创 DNS收集分析reverseraider

reverseraider -d domain | -r rangekali 已经移除

原创 DNS收集分析lbd

Load balance detector负载分担检测器作用：查看DNS/HTTP/HTTPS有没有使用负载均衡

原创 DNS收集查询dnsrecon

dnsrecon.py <options>--help--domain--range--name_server--dictionary-f--type

原创 DNS收集分析dnsmap

dnsmap qq.com options-w <wordlist-file>-r <regular-results-file>-c <csv-results-file>-d <delay-millisecs>-i <ips-to-ignore> (useful if you're obtaining false positi...

原创 Preclassify

When a packet is encapsulated and/or encrypted, the ToS byte is by default copied to the new IP header, however the other header fields are no longer available for classification and QoS actions. QoS...

原创 OSPF Forwarding Address 引起的环路

拓扑为两台路由器通过ethernet直连，运行OSPFR1----R2R1上写一条静态路由，下一跳关联到R2以太网的IP地址，重发布进OSPF，R2不会接收这个外部路由，因为R1的forwarding address 符和non-0.0.0.0的条件，R2所看到的这条外部路由的forwarding address是它自己的以太网接口地址。These conditions set the fo...

原创 ospf lsa 4是不可替代的

不同区域，lsa 4是必须的，lsa 3是不能替代的。我举个例子！拓扑：r4---r3---r2其中r4和r3属于area1，r3和r2属于area 0，很明显，r3就是abr了！1：现在我在r2上重发布路由进来，这个时候r2就成为了asbr，它将产生rid为r2的lsa 5，并且也产生了一个特殊类型的lsa 1（用在abr上产生lsa 4）。2：当这2个lsa传递到r...

原创 配置多链路捆绑PPP

配置多链路捆绑PPP是将多个物理链路合并或者捆绑成一个大逻辑链路的机制。主要起到增加带宽，减少延时，线路备份的作用，另外一个作用是可以将不同类型的接口捆绑为一个逻辑接口。多链路PPP常用于：同步接口异步接口 ISDN　　BRI　and PRIMLPPP是由LCP在初始化时设置的一个功能选项。MLPPP将packet分成多个小块的片段同时送到远端router，LCP再将它们恢复成完整...