子曰小玖的博客

PE工具篇PEiD一款著名的PE侦壳工具，可以检测PE常见的一些壳，但是目前已经无法从官网获得：EXEInfoPEPE侦壳工具，PEiD的加强版，可以查看EXE/DLL文件编译器信息、是否加壳、入口点地址、输出表/输入表等等PE信息：下载地址：http://www.exeinfo.xn.pl/DetectIt Easy开源的PE侦壳工具，是一个跨平台的应用程序，有Windows、Linux、Mac OS多个可用版本：下载地址：http://nti...

MEGA官网链接：https://mega.nz这个网盘的特色1.不会限速2.国内可用（即使不会翻墙）3.网盘云端加密，资源不会被封杀。4.官方还提供了Linux客户端之后就会弹出mega的界面。界面看上去非常友好。接下来我们创建一个账号开始登陆。点击创建账号，开始填写以下信息，勾选我同意，之后点击下一步。.接下来需要验证邮箱，这一步需要去验证一下。另外mega的浏览器插件也非常强大,如果你没有同步本地文件的需求, 可以安装浏览器插件,插件是可以直接打开，并且进行登录，在国内就可

我们已经知道可以利用Aurorun.inf来指定光盘自动加载的图标和运行的文件，其实Autorun.inf的用处可大了，下面就向大家详细介绍有关Autorun.inf的应用。　　了解Autorun.inf　　什么是Autorun.inf文件呢，严格的说它是一个必须存放在驱动器根目录下的有一定格式的文本文件，它是由一个或多个“节”组成，每个“节”民须以节名作为开始的一行，节名必须用中括号[]括起来，节名之下则为本节中的命令。　　其中Autorun.inf一共支持三个节，它们分虽为[auto...

INF是DeviceINFormationFile的英文缩写，是Microsoft公司为硬件设备制造商发布其驱动程序推出的一种文件格式，INF文件中包含硬件设备的信息或脚本以控制硬件操作。INF的功能1复制文件、删除文件、或重新命名文件。2新增或删除注册表（Registry）中的项目。3修改重要的系统设置文件（如Autoexec.bat、Config.sys、.INI等）INF的规则INF是纯文本文件，它是分节的，这点和INI文件类似，每节以"[]"扩起来，每一个节名最长为255个...

安装信息(Setup Information)文件是Windows系统支持的一种安装信息存放文件，一般以INF作为扩展名，因此也叫INF文件。安装信息INF文件与Windows内建的安装服务引擎(API函数库)紧密协同工作，基于其严格的编写语法制作而成的INF文件在拷贝、删除文件，增、删注册表键，更改系统设置等方面都有优秀的表现，完全可以用来实现应用程序文件安装的目标，而且价格免费，透明度高，安装程序小，可完全定制。INF文件是文本文件，可在任何文本编辑器内查看、创建、修改，普通用户使用Wi...

一直以来都在学习PE文件结构，从不敢轻视，但是即使如此还是发现自己在这方面有所不足，于是便想到了用纯手工方式打造一个完整的可执行的PE文件。在这期间我也查了大量资料，但是这些资料都有一个通病就是不完整，看雪得那个只翻译了一部分，加解密技术内幕介绍的更是笼统，而且是打造一个只有180字节的PE文件，是高手们茶余饭后的怡情小游戏。 鉴于此，心想为什么不自己摸索着手工打造一个完整些的呢？一是加强一下自己对于PE文件的了解，二是写出一篇参考性比较强的文章，给有志于在此发展的朋友们铺...

INF文件应用示例一、修改telnet服务，端口改为99，NTLM认证方式为1。===============================C:\myinf\Telnet.inf[ Version ]Signature = " $WINDOWS NT$ "[ DefaultInstall ]AddReg = AddRegName[ My_AddReg_Name ]HKLM , SOFTWARE\Microsoft\TelnetServer\ 1.0 , TelnetPor...

INF是Device INFormation File的英文缩写，是Microsoft公司为硬件设备制造商发布其驱动程序推出的一种文件格式，INF文件中包含硬件设备的信息或脚本以控制硬件操作。在INF文件中指明了硬件驱动该如何安装到系统中，源文件在哪里、安装到哪一个文件夹中、怎样在注册表中加入自身相关信息等等。安装监视器、调制解调器和打印机等设备所需的驱动程序，都是通过INF文件，正是INF的功劳才使得Windows可以找到这些硬件设备的驱动并正确安装。当我们通过“开始→控制面板→添加删除程序→Window

WindowsAPI API(Application Programming Interface),我们调用时只需提供正确的参数以及接收返回值就可以判断API执行是否成功或者通过GetLastError获得错误原因. 大部分API在R3都是处理各种校验,真正执行功能都是在R0(并不是所有的API都是在R0处理). 系统中几个核心DLL(Kernel32.dll,User32.dll,GDI32.dll,Ntdll.dll(大多数API通过此DLL进入内核)). 通过API

我的网盘-->项目-->项目资料

Windows更新并不总是工作正常，有时会出现问题，无法正常更新，这时，可以尝试修复它。修复Windows更新常用的一个方法是是手动安装更新，可以使用任何浏览器从windows更新目录中**更新，这些更新文件一般是用* .msu文件的形式提供，但是也有更新文件提供的是* .cab文件，这些文件就不是那么容易安装了。 本文目录 手动安装Cab文件 使用DISM-Gui快速安装cab文件 一次安装多个cab文件 ...

使用一个名为DDFGenerator的外部工具。它是免费的，小的，它可以正确处理长文件名。要使用makecab.exe压缩结构化文件夹和文件，必须使用DDF文件。我没有使用你引用的答案中提到的批处理脚本，而是将DDFGenerator用于同一目标。DDFGenerator on CodePlex说，你想要“压缩”的文件夹位于C：\ MyFolder \ MyData，使用此命令在C：\ MyFolder生成一个名为“solution.ddf”的DDF文件：DDFGenerator "C:\

已知的 DDF 文件：DDF文件说明.DDF文件属于 Windows 11, 10、Windows 7、Windows 8 / 8.1、Windows Vista、Windows XP 等操作系统中使用的 Settings Files 类别。.DDF 文件与 Microsoft 开发的 Diamond Directive File 关联，采用 Text 格式，并属于 Settings Files 类别。文件格式： .ddf 分类： Diamond Directi...

在内网渗透时，当没有rar、7z等压缩工具时候，拖取文件的时候为了防止流量过大，又必须压缩把文件压缩。当然你可以自己上传一个压缩工具。Windows自带制作压缩文件工具makecb你可以了解哈。压缩单文件makecab 1.doc 1.zip至于是压缩成zip、rar、cab看你个人喜欢解压命令expand 1.zip 1.doc压缩一个文件夹下的多个文件先用dir /b >>name.txt把要压缩的文件名写入一个txt然后压缩makecab /f name.txt压缩多个文件..

一、准备工作下载makeCAB下载IExpress:用于制作CAB（比较好用，有界面）工具下载地址：https://download.csdn.net/download/wangwb0820/10522753Demo下载地址：点这里https://download.csdn.net/download/wangwb0820/10522791二、制作CabFROMYANTAI.dll为ActiveX控件选择cab保存路径三、证书制作及签名...

1.制作cab文件在此之前你需要实现ActiveX控件安全的初始化和脚本，相关信息可以查阅ActiveX控件实现安全的初始化和脚本利用iexpress.exe（windows提供的一个向导式cab制作工具）进行打包，进入CMD键入iexpress回车即显示如下界面：2.更新cab更新cab文件，只需修改对cab文件引用的版本号就可以了，cab文件中的inf文件的版本号不是必须修改的。如旧的："<div><object id='_mi' s...

程序环境：Windows Xp SP2, IE 6, Tomcat 6.0, VC++6.0javascript 利用MFC开发的ActiveX控件要正常运行必须依赖MFC库。可是你不能保证你用户的机器上装有与你开发环境相同的库，因此，当你发行一个ActiveX控件，你必需要包证这些依赖库的存在。 ActiveX控件作成ocx文件，用于客户端调用本地程序，其中有用到VC中的几个.dll文件。包成cab文件，在服务器端页面进行控件调用，下载cab文件并自动注册、使用。ActiveX控件调...

如果不想自己辛辛苦苦码出来的作品被人轻易的破解cpoy就使用这款工具试试吧。^_^使用版本：4.9.7500.9484 , 可以在网上找到破解版。本次对本地测试站点的web.dll进行混淆测试，主要功能为上传文件。未混淆：混淆后：未混淆站点测试：...

VoltPillager: Hardware-based fault injection attacks against Intel SGX Enclaves using the SVID voltage scaling interfaceAbstractHardware-based fault injection attacks such as voltage and clock glitching have been thoroughly studied on embedded devices.

一、使用AD域的好处大企业为了统一管理电脑，公司IT人员都会在公司搭建域控，将公司所有电脑都加入到域中，然后进行权限的集中管理。公司员工电脑加入域后，可以控制员工的登录权限，文件访问权限，打印权限，电脑配置修改权限等。阻止一些软件自动升级，用户私自安装软件，电脑的安全得到了一定的防范。对于用户集中权限管理后，IT管理工作效率高，现在很多企业的ERP软件，加密软件都和AD域进行帐户绑定，分配权限。软件安装，可以进行软件的统一下发等等，减少IT管理工作量。等等。二、搭建AD域

0x01 快速自启动目录快速启动目录自启动方式源于Windows中的一个目录，这个目录一般叫"启动"或者"Startup"。位于该目录下的PE文件会在开机后进行自启动。由于不同版本的Windows启动目录的路径都是不同的，所以我们用一个SHGetSpecialFolderPath来获取该路径。该API位于ShlObj.dll中。我们用隐式载入方式获取。先看MSDN:该API有四个参数。1. HWND窗口句柄作为保留一般为NULL。2. pszPath是输出参数。是API返回的启动目录的路

这种技术普遍用在病毒或木马的编写上。其作用是将额外的PE文件以资源的形式放在母体中，等到母体运行时会把额外的PE文件释放到本地磁盘。优点是简洁不用多个文件，缺点是增大了母体体积。下面来演示一下如何使用这种技术:1. 添加资源文件并且选择自定义新的资源类型2. 自定义一个新的资源类型名称3. 点击OK后的，将多余部分删除调整成这样4. 再次添加资源文件，上次是创建资源类型，而这次是导入该类型的资源5. 选择你要导入的资源，我这里导入Psapi.dll文件，当然其实可以选

通过两种方式实现自删除，第一种方式是通过调用MoveFileEx，第二种方式是程序释放批处理脚本后，用批处理脚本删除程序自身并让批处理自我删除。0x01 自删除技术A) MoveFileEx方式BOOL MoveFileEx( LPCTSTR lpExistingFileName, LPCTSTR lpNewFileName, DWORD dwFlags);其函数原型非常简单，该函数原本用于移动文件。第一个参数lpExistingFileName是需要被移动的文件路径

Endpoint Protection 可帮助管理和监视Microsoft Defender 高级威胁防护 (ATP)（之前称为 Windows Defender ATP）。Microsoft Defender ATP 可帮助企业检测和调查其网络上的高级攻击并作出应对。Configuration Manager 策略可帮助加入和监视 Windows 10 客户端。Microsoft Defender ATP 是Microsoft Defender 安全中心提供的一项服务。通过添加和部署客户端加...

镜像虚拟磁盘subst命令。这个命令可以简化好多操作，比如：一个常用的文件放在一个路径很深的文件夹中，每次我们想要操作这些文件就必须沿着文件夹的路径一级一级地打开，这样操作很费时【现在我的操作一般都是在根目录下写一个bat，然后每次找那个目录时，运行这个bat。或者把这个路径记录在一个记事本中每次往地址栏上贴一次】。现在知道了这个命令当然就方便多了。。。做法：比如我们要给E盘下一个文件夹testdir建一个虚拟磁盘F，那么可以用命令：subst F: E:\testdir这样就直接双击

工具/原料 计算机 windows10 方法/步骤 单击左下角windows图标然后找到打开windows Defender安全中心 打开病毒和威胁防护 打开病毒和威胁防护设置选项 然后将实时保护关闭 下拉找到排查项，单击添加或删除排除项 选择添加排除项 选择排除项的类型为文件 把你要运行的软件加到排查项即可...

解决方案：1. 开始 > search > gpedit.msc2.Computer Configuration -> Administrative Templates -> System -> Credentials Delegation -> Encryption Oracle Remediation3.Encryption Oracle Remediation -> choose Enable -> change protecti...

如果经常用到远程桌面的话 , 可以将其设置为快捷方式设置windows10 的远程桌面为快捷方式, 好处 : 不用每次输密码 操作快捷.1. win+r 打开运行 并输入 mstsc 回车2. 点击 "显示选项"3. 展开后 点击 "编辑" 输入ip 如下图4 点击"更多选项"5. 点击 "使用其他账户"6. 输入 "账户名" 和 "密码" 这里要注意 账户名需要是 计算机加上用户的格式才可以 例如 XXXX\x...

大家知道，SYSTEM是至高无上的超级管理员帐户。默认情况下，我们无法直接在登录对话框上以SYSTEM帐户的身份登录到Windows桌面环境。实际上SYSTEM帐户早就已经“盘踞”在系统中了。想想也是，连负责用户验证的Winlogon、Lsass等进程都是以SYSTEM身份运行的，谁还能有资格检验SYSTEM呢?既然SYSTEM帐户早就已经出现在系统中，所以只需以SYSTEM帐户的身份启动Windows的Shell程序Explorer，就相当于用SYSTEM身份登录Windows了。　　一、获得特权

    关于SID和RID的文章有很多，为什么要写这篇文章（tips:瞎攒一份）？其实在我们进行安全数据分析的时候，经常会遇到日志源无法满足模型建设的问题，那么我们能够放弃这个模型么？不能啊！！！甲方粑粑不允许啊！所以我们要对模型进行调整，使模型满足当前日志源质量，对模型进行调整就会带来准确度就会下降，误报率上升的问题。在排除误报时，这些SID会给我们很大的帮助。SID    SID安全标识符（Security Identifiers），是标识用户、组和计算机帐户的唯一的号码。在第一次.

0x00 前言这是NTLM篇的最后一篇文章了，在之前已经花了三篇文章阐述了跟NTLMRelay有关的方方面面的内容。在这篇文章里面将要介绍下签名，他决定了NTLMRelay能不能利用成功。以及我们将会介绍跟NTLMRelay相关的一些漏洞,MS08-068,MS16-074,CVE-2015-0005,CVE2019-1040,CVE-2019-1384，将整个NTLMRelay漏洞利用串起来...

0x00 前言这篇文章是ntlm篇的第二篇，怎么发起ntlm请求。在 阅读这篇文章之前，有两点说明这篇文章的主要内容是使服务器向攻击者发起ntlm 请求，但是没有进一步利用，因此本篇文件的表述都是获得net-ntlm hash。使用Responder来捕获。Responder的用法可自行搜索。这里不展开。 有些地方较为敏感，因此使用的net-ntlm hash的截图并非真实图片。这个地方...

0x00 前言这个系列文章主要讲ntlm认证相关的内容。以及着重介绍ntlm两大安全问题–PTH和ntlm_relay。ntlm篇分为四篇文章第1篇文章也是本文，这篇文章主要简单介绍一些基础概念以及引进一些相关的漏洞，比如Pass The Hash以及ntlm_relay。其余三篇文章的内容全部都是讲ntlm_relay,这个安全问题是ntlm篇的重点内容。第2篇文章主要讲触发...

在渗透测试进入内网之后，首要目标就是得到域控权限，将域中所有用户的hash值全部跑出来，下载到本地。很多工具比如meterpreter中的smart_hashdump和Impacket中的secretsdump.py都可以做到。但是有些情况下我只能拷贝出来NTDS.dit文件，然后离线将这些密码提取出来。今天正好碰到了这一情况，接下来我将详细的介绍一下如何将密码导出，当然假设我已经成功将这两个...

一、准备到微软下载AIK，并安装。我用的是6001.18000.080118-1840-kb3aik_cn.iso二、创建自定义 Windows PE 映像的过程0、使用copype.cmd创建本地 Windows PE 构建环境copype.cmd x86 c:\winpe_x861、使用 ImageX 将基本映像 (Winpe.wim) 应用到本地共享目录。例如，...

用户帐户用户帐户是对计算机用户身份的标识，本地用户帐户、密码存在本地计算机上，只对本机有效，存储在本地安全帐户数据库 SAM 中，文件路径：C:\Windows\System32\config\SAM，对应的进程：lsass.exe。通过本地用户和组，可以为用户和组分配权利和权限，从而限制用户和组执行某些操作的能力。不同的用户身份拥有不同的权限 每个用户包含一个名称和一个密码 用...

编码 编码含义 0 操作成功完成。 1 功能错误。 2 系统找不到指定的文件。 3 系统找不到指定的路径。 4 系统无法打开文件。 5 拒绝访问。 6 句柄无 效。 7 存储控制块被损坏。 8 存储空间不足，无法处理此命令。 9 存储控制块地址无效。 10 环境错 误。 11 ...

概述Curl命令可以通过命令行的方式，执行Http请求。在Elasticsearch中有使用的场景，因此这里研究下如何在windows下执行curl命令。软件下载下载地址：https://curl.haxx.se/download.html使用方式一：在curl.exe目录中使用　　解压下载后的压缩文件，通过cmd命令进入到curl.exe所在的目录。　　由于博主使用的是windo...

1)空连接命令，建立空连接:net use \\IP\ipc$"" /user:"" (一定要注意:这一行命令中包含了3个空格)2)建立非空连接:net use \\IP\ipc$"用户名" /user:"密码" (同样有3个空格)3)映射默认共享:net use z: \\IP\c$ "密码" /user:"用户名" (即可将对方的c盘映射为自己的z盘，其他盘类推)如果已经和目标建立...

https://serverfault.com/questions/840557/auto-login-a-user-at-boot-on-windows-server-2016Use Sysinternals Autologon. It stores the credentials in the registry more securely than other methods.Auto...