Hack Eye!

from : http : //www.debugman.com/read.php?tid=614
方法一： 替换win32k . sys在 2k3 的系统下ZwSetSystemInformation禁止了用户模式下加载驱动，只允许SMSS . exe加载win32k . sys。于是我们可以利用一下这个特点：1. 注入SMSS…

一位软件工程师最近宣称,他破解了纽约曼哈顿的计程车,并用它一边坐车一边上网.该显示系统的提供商则称没有敏感信息或关键系统受到损害.这一出租车显示器主要显示出租车运营的信息并可用于乘客使用信用卡支付车费.而这位工程师在博客中贴出了破解后的图像,这一设施采用Windows系统,他在坐车时调出了Internet Explorer,使用连接向导利用自己的aSprint帐户连接到了Adobe网站等.
因为这一系统涉及信用卡,因此系统运营商 VeriFone 的发言人解释,信用卡信息都是加密的,并且不存储在本地.并且他们已经对相应的旧机进行了更换,用户将不能再次绕过程序进入系统.
实际上这一出租车系统早已在纽约的驾驶员中争议颇多,因为他们担心会被GPS监控和跟踪.

by axis2007-12-29http://www.ph4nt0m.org
近日XSS WORM愈演愈烈，随着AJAX技术的发展，这种XSS的高级攻击技巧已经成为了当今的热点。
在圣诞节，baidu个人空间遭受了一次前所未有的XSS WORM攻击，在短短时间内，8700个博客页面被修改，并进行传播，baidu在26日fix了该漏洞，并发了一个公告
http://hi.baidu.com/%B0%D9%B6%C8%BF%D5%BC%E4/blog/item/0e3433fa69eeb61aa8d3110f.html
对于该次WORM攻击，在剑心的blog上有完整的技术分析:http://www.loveshell.net/blog/blogview.asp?logID=283
对比以前的myspace的XSS WORM，近日的orkut、baidu等的xss worm陆续爆发，说明这一危害日益严重。 可以预见的是在2008年，xss worm将成为攻防的焦点。
对于XSS WORM的防御，可以从以下几点出发考虑：（这里不会涉及太多细节）1. 断其源头XSS WORM的必要条件是网站存在XSS 漏洞，而且这个XSS漏洞必须是 persistent (或者叫做 store)类型的XSS，该漏洞必须与网站的其他用户发生交互。
既然是store类型的XSS，那么就为在服务端控制提供了可能（如果是基于DOM的，则可能不从服务端过）。 所以使用一个 security-tier 来控制XSS 是必要的选择。
这个security-tier的选择可以有很多，比如anti-samy一类的项目，或者是mod-security等，其目的都是进行 Input…

Neeao:正所谓互联网处处充满着商机，看你怎么来发掘它了。
导读：　　　　　　在CSDN上看到这样一则新闻：　　而在此之前的1年时间里，搜狐的股价下跌了18%。虽然将阶段性的股价变化归结于某一种力量的结果是天真的，但一个较为准确的说法是：通过一款几 兆大小的输入法软件，市值近12亿美元的搜狐重新撬动了华尔街对自己的热情。　　这是怎么开始的？答案：这是一次为偷懒而创新的结果。　　2005年，本科刚毕业、在太原一家国企做机械设计的马占凯找到了一种省力的方法：写东西时，如果输入法不能直接打出所需词语，他不愿意去输入法的词表里一页一页寻找想敲的字，而是在搜索(比如：zhoujielun)，获得搜索引擎(“您要找的是不是：周杰伦”)，由此复 制粘贴。　　这名没有任何计算机背景，但每天可能使用百余次搜索的年轻人，曾经自己猜测出一套解释：搜索引擎有一个人工整理的巨大词库。但稍微刨根问底之后，他发现，搜索引擎充分利用了用户输入的关键词入搜索引擎的词库。换言之，用搜索引擎来生成一个常用词的巨大词库，花费极小。　　这让马占凯隐隐觉得，让搜索引擎来做输入法大有可为。那时是马占凯工作一周年，他终于忍受不了国有企业的沉闷与缓慢而辞职，怀揣着从亲友那里借来的钱，只身来到北京，起初的目的是为了学些技能，再找工作。百度上市前半个小时，马占凯趴在电脑前，按照网上的客服邮箱给百度写电子邮件，简要阐释了输入法的创意：把百度搜索默认的拼音提示都纳入字库中，再加上在线同步升级数据库的功能，互联网上的热词马上就能出现在输入法的词库中。发出去之后，马坐立不安地等待回复，在脑子里又搜索了一遍，生怕遗漏任何会引起别人的注意的建议。第二天中午，马又补充了一封信，加上在输入法中集成百度搜索和桌面搜索功能的提议。然而，几天下来，不断刷新邮箱的他只收到百度的一封例行回复，无任何进一步商谈或合作意向。马不甘心，在又发去几封邮件仍石沉大海之后，决定转投搜狐。这一次，马等来了迅速而且热情洋溢的回复，搜狐的人表示对此很有兴趣，约马占凯三天之后到办公室一谈。这三天的等待时间，马占凯并没有浪费。他全神贯注的待在电脑前，不断使用搜索引擎、阅读相关理论，想为来之不易的面试做足准备。于是，三天之后，在去搜狐前，他把这三天的成果事先发了过去——30 页的文档，其中包括上万字的搜索笔记、200个灵感点和100个小创意。这种对搜索引擎的熟悉和产品思维为马占凯顺利赢得了第二份工作，成为搜狐的产品经理。在一篇总结性质的PPT中，马占凯写道：在gmail之前大家以为 email就是这样了，在搜狗输入法之前大家以为输入法就是这样了，中国互联网领域很多都没有开始商业化运作，机会还很多。，每当某个关键词的搜索量达到一定的数目，比如几百万次，那么这个关键词就自动被收相应的提示框里输入相应的拼音　　　　以上就是新闻的内容。看完这则新闻我感慨：互联网新经济颠覆了个人的成功模式或者说成才模式。过去或许我们会说：隔行如隔山，技术门槛是很难跨过的。但是我们看到一个毫无计算机背景的马占凯创造了一个全新的输入法，这主要归根于他的敢想感干。首先他敏锐的观察到搜索引擎对输入法的意义，其次他愿意为自己的创意付诸行动。于是我们看到如此灵动的输入法。或许每个人都应问下自己：你是否为自己的创意而行动过？

EFS(Encrypting File System，加密文件系统)加密是一种基于NTFS磁盘技术的加密技术。EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File Encryption Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。接下来系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则它就依赖于本地机器。
　　说起来非常复杂，但是实际使用过程中就没有那么麻烦了。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。换句话说，EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问你加密过的数据时，就会收到“访问拒绝”的错误提示。
　　我的电脑一般来说不会有别人使用，而我经常重装系统，又懒得备份密钥，所以我从来没有使用过Windows 2003或者Windows XP的EFS功能。今天读到了一些关于EFS密钥没有备份因而数据无法恢复的求助帖子，所以突然想出一个点子想试着解开EFS的加密。
　　我构造的试验环境是在Windows XP Pro SP2系统中的一块NTFS磁盘上建立一个test文件夹，启用EFS加密。文件夹中是一个加密过的文本文件1.txt。现在我先用另一个帐户去尝试读取这个文件，然后在第二个系统中(相当于重装系统没有证书的情况)再次尝试读取这个文件。
　　第一步，启用我系统中的GUEST帐户。
　　此时从资源管理器中是不能访问test文件夹的。
　　打开cmd，在任务管理器中终止explorer.exe进程，打开PsExec尝试用system登录。
　　失败。提示进程无法创建。看来全县不够。
　　回到管理员帐户，新建一个管理员帐户test并以之登录。
　　在test帐户中运行资源管理器可以访问test文件夹，但是不能打开1.txt加密文件。
　　此时再用上法以system登录。此时打开文件为乱码!
　　运行IceSword.exe，在 文件 中定位test文件夹。右键选择1.txt，复制到桌面，文件名任意，后缀不变。
　　双击打开文件，正常读出!第一步破解EFS成功!
　　第二步，登陆Windows Server 2003 SP1系统(管理员身份)。
　　使用上述方法再次复制1.txt到桌面，打开后出现乱码，和system读取时情况一致。第二种尝试失败。
　　总结：
　　本方法意义：
　　目前仅适用于察看系统中其他人使用EFS加密过的文件(请读者务必不要做违法及危害他人权利的事!)，在系统重装或私钥丢失情况下的文件恢复有待进一步地探索。
　　本方法使用的两个软件：
　　PsExec IceSword。前者是国外非常流行的远程控制软件，命令行界面。后者则是PJF制作的国内著名隐藏进程察看软件冰刃。
　　本方法适用条件：
　　1. 需要足够运行上述两个软件的权限(如果可以结合net user命令的话应该不难，这只是一个小提示，读者还请自律^_^)。
　　2. 系统内还有该EFS加密文件对应的密钥(这一条件是基于我的初步推测)
　　本方法成功的原因浅析：
　　1. 利用了system帐户特有的内核级权限，这可能是能够读取管理员或其他正常用户密钥的条件。
　　2….

作者：清新阳光 …

作者: 叶子 出处:51CTO.com
在上篇文章《企业怎样做好计算机应急响应工作》中叶子给大家讲了一些计算机应急响应的工作内容。其中讲到应急处理人员在恢复工作时要保存各种证据，以备于涉及法律问题时，可以作为司法证据进行提交和分析。那么在应急响应过程中，我们应该如何进行计算机取证的工作呢？本篇叶子将带你初步了解一下计算机取证工作的流程。
在1981年，IBM首次发布PC作为主流业务后，美国联邦执行人员就发现“白领”通过PC工具进行犯罪，从而开始计算机取证工作的研究和分析。到今天，计算机取证已经作为一门学科，包含多种科目，如计算机、通讯、法律实施、安全、网络、电子、犯罪法律制裁系统等。
在国内，计算机发展比较晚，相对于计算机取证的发展就更晚一些。但刑法中关于计算机犯罪的规定，一定程度上影响着计算机取证的发展。刑法规定如下：
◆第二百八十五条(非法侵入计算机信息系统罪)违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。◆第二百八十六条(破坏计算机信息系统罪)违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。◆第二百八十七条(利用计算机实施的各类犯罪)利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。
这些规定都涉及到计算机犯罪行为，而对于计算机犯罪的调查，必然需要涉及计算机取证调查工作。
计算机取证调查过程从总体上很重要的，每一步的调查都会影响到最终的结果，所以我们需要对调查流程非常熟悉。对于调查的流程大致如下图：核实
调查过程的第一阶段是核实任务：在这个阶段的取证调查人员需要仔细检查系统的注册用户信息、反病毒应用软件和网络设备（防火墙、IDS、路由器）的日志信息来确定事故是否发生。在核实阶段，事故响应小组成员会遇到两种典型的情况：
拔出电源，已关闭的计算机系统和磁盘介质。开机的系统并运行中（进程运行、访问磁盘、网络连接）
取证分析的必须非常仔细，避免易失去的信息被破坏，比如进程信息、内存信息、网络连接状态等。在这个阶段，调查人员需要利用一些简单、可信的工具来检查异常的网络连接、rootkits、新建的目录、最近安装的二进制文件等信息。
信息记录
核实任务成功完成后，事故响应小组已确定某些安全事故正在发生。取证调查人员必须详细记录系统相关的信息。从硬件、软件系统特征信息情况、磁盘的形状（在后面的磁盘分析中使用）。记录电脑正在使用的用户列表，以及其它很多有用的信息。
把数据从受影响系统中拷出，并使用相关软件工具分析：调查者不能再信懒被攻击的系统中的工具，可能已感染了木马。另外这些倒出的数据也被一系列的扣留，可根据官方法律实施条例进行没收。
证据收集
这个阶段是取证分析处理的关键阶段：所有获得到的计算机信息必须传移到外部设备或者为了下一步的分析任务专用的取证工作站上。这些操作是关键的，因为调查者必须确保只有原始的数据被传移和被考虑到。所有收集到系统数据（内存、进程、网络连接、磁盘分区）都必须使用MD5 hash技术加密的算法标签来确保数据的完整性。MD5 hash算法是32位长字符串计算数据的数学算法。这些算法操作是不可逆转的，使用hash值后不可能恢复到原始文件状态。
相关一部分的数据必须使用自动工具来获取，避免执行任务时出现错误。收集数据使用正确的顺序对于易变的数据进行收集，并通过hash签名保护数据的完整性。在开始任务之前，取证调查人必须对系统的完整性进行验证分析。这些是强制性的，避免易变的数据丢失，以及安装日志数据从磁盘中消失而骗过下一阶段的分析。
时间分析
上面证据收集过程的完成，所有的系统数据将被分析并存储在取证工作站。本阶段首先的任务是文件时间创建的分析。完整的二进制文件，inodes 和MAC时间信息，对于了解系统运行状况是非常有用的。系统文件的时间信息显示最近执行运行文件的时间，目录被创建、删除的最后时间，还有脚本运行的最后时间等。
这个阶段主要执行任务是分析因为一些的命令运行导致最后产生的访问文件时间。时间分析方法考虑两部分：一部分是从二进制文件中分析出所有信息（数据和元数据）的中间文件，另一部分直接按时间顺序排列。
操作系统分析
从时间分析中，取证调查人能从受影响的系统中搜索出一些线索。并进一步对数据进行分析，可依靠以下几种工具进行分析：
取证工作站的软件平台在系统分析目标上的软件平台如果分析必须在存活的系统上执行网络配置
在这个阶段，取证分析必须检查完整的磁盘介质信息（物理、数据、元数据、文件系统和文件名字）。搜索可疑证据的二进制安装、文件、增加的目录、删除，打开文件等等。从取证调查者的观点看，Linux是比较灵活的操作系统，支持更多使用文件系统，比Windows系统有一些完整的工具。因此 Linux下的一些取证工具比Windows平台上更加容易使用。
数据恢复
在操作系统分析阶段之后，取证调查人能完全在分析磁盘中的数据，并使用空的磁盘空间来恢复被删除的文件。在Windows环境中，搜索空闲的空间，查看未分配的数据空间，并分析一些文件碎片，重组成删除的目录、文件，以及发现删除时间等一些要的信息和攻击者活动相关的信息。
字符串搜索
在海量的分析数据中，进行搜索特定的字符串数据。在包含的一些文件中，搜索相关的信息，比如IP、手机号码、银行账号、邮件地址追踪攻击者，以及一些专用术语（例如，黑客、rootkit、邮件、受害者和其它一些相关的词）。字符串搜索能在受影响的系统中快速地找出有用的信息。
报告
所有阶段的信息都需要使用简单明了的语言进行详细报告，使得非技术人员比较容易明白工作的过程。取证分析还必须确保解释证据被非常清楚地发现，而且所有的技术、使用的方法都要考虑到。另外一些工具特性报告功能对于保留踪迹在取证分析阶段是非常有用的。
以上只是简单地介绍取证调查的处理流程。但在实际处理过程中，还会
出现各种各样的分析情况。如果你在分析过程中遇到什么样的问题，欢迎来信一起进行分析。
【51CTO.COM 独家特稿，转载请注明出处及作者！】

MJ0011th_decoder@126 . com2007 – 10 – 24
本文描述了一些方法，可以饶过目前主流的现代Anti – rootkit工具，包括但不限于 :Icesword 最新版Gmer最新版Rootkit unhooker 最新版DarkSpy 最新版AVG Anti – rootkit最新版等等
目前的anti – rootkit工具中，对于内核模块主要采用如下几种扫描方式 :
1….

信息来源：驱动开发网（www . zndev . com）文章作者：wuyanfeng
icesword . exe 在执行的时候会放出一个驱动程序 ispubdrv . sys .icesword . exe 装载…