小程的个人博客

配置文件信息IIS/Apache/Nginx/Tomcat/Jboss/Weblogic/Websphere的相关配置文件以及网卡信息1234567891011121314select load_file('C:/Windows/System32/drivers/etc/hosts');/etc/hosts/etc/apache2/apache2.conf/etc/httpd/conf/httpd.conf/etc/udev/rules.d/70-persistent-net.rules //获取网卡名称/etc/network/interfaces //DHCP或静态IP/var/lib/dhclient/dhclient--网卡.lease //DHCP/etc/sysconfig/network-scripts/ifcfg-网卡 //静态IPC:/Windows/System32/drivers/etc/hostsC:/Windows/system32/inetsrv ...

基础如何判断apk文件是32还是64： ARM 32位对应的是armv7架构、armv6架构、armv5架构 ARM 64位是armv8架构 常用的abi: armeabi: armv5架构和armv6架构 （32位） armeabi-v7a:armv7架构 （32位）xxx armeabi-v8a:armv8架构 （64位） x86:x86架构 （32位） x86_64:x86_64架构 （64位） 签名： 签名的算法一般用消息摘要算法（不可逆） md5、、、 签名的源数据一半来自于数据包 签名之前对源数据进行排序，头尾可能会有固定字符串 常用方法与流程1.一般会先抓包，分析参数名，查看待会逆向分析需要找哪些字段 2.抓包细节：清除缓存、cookie等 3.DevicesId的处理细节：找出关键请求 4.常规手段： 静态分析：搜索链接、参数、算法关键字 Log输出 DDMS 用处：一打开APP就加密了的数据 （也可用hook） JEB动态调试 通过解密获取参数 APP资源ID 通过定位加密函数解决问题 零散看到StringBuilder要找toString：输 ...

1.查询嫌疑人用户名“liumosheng”于9月15日登录涉案贷款网站服务器的IP为？ last读取/var/log/wtmp的文件,并把该文件的内容记录的登入系统的用户名单全部显示出来。 然后再进行一个过滤。 113.119.27.244 方法2： 2.查询服务器用户名“wangwu”的登录密码为【标准格式：123456】 123456 更正： root 原因：在做的过程中，使用仿真软件启动时，自动重置所有密码为123456 按照原始的办法，只需要进入emergency mode模式进行修改即可 做法： 1.启动虚拟机进入编辑模式，找到linux16这一行，将lang编码后面的全部删掉，加上rd.break 在最开始使用仿真软件的时候，就设置不重置密码 2.Ctrl+x直接启动进入switchroot界面，重新挂载根目录mount -o remount ，rw /sysroot，然后进入shellchroot /sysroot，接下来就可以正常使用命令了，更改原先的密码之前先将shadow备份一下，以免要用到 3.更改root密码 4.重启 5.用的kali自带的 ...

今天看见一篇Nosferatu – Lsass NTLM 身份验证后门文章，学习一下，做个总结。 我最后也没去复现，目前的水平暂时还不能全部理解。 因此这篇文章将只是对里面我不懂的名词做一个了解与说明。 0x01 大致情况DLL被注入到lsass进程中，并将开始挂钩身份验证WinAPI调用。目标函数是MsvpPasswordValidate()，位于NtlmShared.dll。为了不被检测到，被钩住的函数会调用原函数，并允许正常的身份验证流程。只有在看到身份验证失败后，挂钩才会将实际的NTLM哈希值与后门哈希值交换出来进行比较。 Nosferatu必须被编译为64位DLL，而且必须在具备SeDebugPrivilege权限的命令行下才能使用DLL注入器来注入，也可以使用MavInject来注入。 MavInject 808 /INJECTRUNNING Inject.dll 可以使用Procexp看到它的加载 使用Impacket的登录示例： 略 限制：在Active Directory环境中，通过RDP、runas或锁屏进行的身份验证不能与密码一起工作。但使用SMB、WinRM和W ...

每次开机，Windows都会弹出实时保护发现病毒，并且会自动打开，作为取证人员、网安人员，这都是很不方便的，因此特别找了两种永久性关闭的方法。 1查找组策略 找到实时保护关闭的地方 点击启用 结果： 之后每次开机，都不用再去调 2搜索注册表 进入HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender目录 在里面新建一个DWORD的项，命名为DisableAntiSpyware ，双击该项后值设为0为开启，1为关闭。 其他还看到其他两个方法，但我属实没试过，主要我不懂这是什么操作。 　　方法一：Windows Defender 安全杀毒软件 　　方法二：安装使用其它杀毒安全软件

最近开始工作，也遇到了一些技术上的问题，做一些日常记录，以便以后的整理。 解决办法SSH在连接远程服务器时，最开始使用的是本地cmd，并且执行了三次都报错，但换成mobaXterm就没问题，于是我百度搜了一下，大部分的文章说的是：这是一种安全机制，一般第一次会出现The authenticity of host ' ' can't be established. ECDSA key fingerprint is SHA256:. 本地主机key发生变化，所以SSH每次都会出现这个提示，输入yes也可以解决。 如果长久的想解决问题，可以采用以下方法：1、使用ssh连接远程主机时加上“-o StrictHostKeyChecking=no”的选项，去掉对主机的验证检查。 ssh -o StrictHostKeyChecking=no 192.168.xxx.xxx 2、当然你也可以直接改配置文件信息，这样彻底去掉验证。 修改/etc/ssh/ssh_config文件（或$HOME/.ssh/config）中的配置，添加如下两行配置： StrictHostKeyChecking noUser ...

这本书，是之前的一个朋友推荐的，想到她，突然有点遗憾，现在已经不是朋友了。 最开始读这本书的时候，我很自大的觉得，我懂得已经够多了，其实不太需要再去看这本书。但还好我的一丝谦虚还在，所以还是抱着学习的态度读了这本书。 书的视角是家里最小女孩的视角，主要分为两部分。前面一部分呢，是讲她和哥哥十二岁之前的成长事情，主要就是和他们的邻居，日常的一些琐碎，已经小孩子们都很好奇的东西。全书都贯穿着父亲所说的许多话，就是这些话，让我知道我读这本书之前的想法太幼稚了。第二部分是由父亲打的一个官司为开头的，故事的最后，阿迪克斯宁愿让自己的儿子去认罪，也不提阿瑟，警官也是如此。我才读完的时候其实是不理解的，我也知道阿瑟已经幽闭了很久，但是我认为阿瑟不是不可以见人。但后来查了百度，看了大家的看法，才发现我读得还是不够细致。如果让阿瑟站在法庭上，不管官司如何，都是杀死一只知更鸟。我太在意输赢，是个不好的习惯。阿迪克斯和其他人说了太多话，我影响最深的，就是阿迪克斯说，不可以恨任何一个人。我还没有通透的理解这句话，但我知道我会照做。阿迪克斯还说，没有必要暴露自己知道的知识。是的，不管是出于尊重他人，还是让自己有 ...

定义沉没成本（Sunk Cost）指的是因过去的决策已然发生了的，而不能由现在或将来的任何决策改变的成本。简单说来，就是过去已经投入的支出（如时间、金钱、精力等），不管你现在做什么样的选择都已经没有办法收回了。 既然无法收回，从理性角度来说，当下做决策时应忽略它，不应受其影响。 然而在现实生活中，它会极大地干扰人们的决策与行为。 从决策的角度来看，过去发生的费用只是造成当前状态的某个因素，当前决策所要考虑的是未来可能发生的费用以及所带来的的收益，而不考虑以往发生的费用。 如果此时你发现C不是你想要的，那么就不用在乎你付出的AB，直接放弃就可以。 自己的例子之前在一家公司实习的时候，最开始去的时候就不是很舒服，公司氛围、还有自身原因。在思考一晚上后，我还是决定离开回家。但其实去那家公司花费了我大量的时间、并且还租了房，后边没办法要回去的时候，押金就无了。

理论知识常见介质 固态硬盘 机械硬盘 U盘 存储卡 SD TF 常见接口 SATA 机械硬盘 IDE SCSI接口 SAS接口 m.2 PCIE 雷电3 雷电2 USB 2.0 常见硬盘类型 HDD 3.0 3.1 3.2 type-c 主要设备有：苹果电脑、平板、手机、笔记本电脑 一般对应的接口协议是雷电接口、USB3.0、3.1、3.2 type-a 一般对应的接口协议是USB2.0、3.0、3.1 UEFI 一种详细描述全新类型接口的标准 代替BIOS（基本输入/输出系统） 提高软件互操作性和解决BIOS的局限性 特点 - 与传统BIOS的区别 UEFI不需BIOS自检；传统BIOS需要长时间自检 UEFI使用GPT磁盘分区结构；传统BIOS使用MBR磁盘分区结构 UEFI启动读取系统保留分区的文件；传统BIOS启动从硬盘读取启动代码 速度 USB 2.0 40MB/S 20MB~30MB左右 3.0 150MB/S 3.1 250MB/S 雷电3 理论40G ...

案情Hugo是一个职业黑客，他喜欢透过非法入侵其他人的电脑来炫耀自己高超的计算机技术。他也是一个臭名昭著的匪徒，其敛财手段主要有： 1）网络攻击诈骗； 2）编写及分发计算机病毒； 3）网络诈骗。 Hugo最近被逮捕，他的计算机也被没收了并送至法证取证检查处。你是一个计算机取证专家，你负责调查Hugo曾经是否进行过任何的非法活动，并找出其同党的数据。 你会获得一个包含Hugo电脑硬盘的镜像文件，其文件名为“Competition_HD1.E01＂，该文件是由AccessData FTK Imager采集而来的。根据Hugo电脑硬盘的内容，请回答以下问题。 注如题目出現“C:\＂，即Ｃ盘，代表包含操作系统分区 如答案需要表示包含操作系统分区，請Ｃ盘即“C:\ ＂代表 准备将镜像加载入取证大师中 比赛题目 请写下Hugo电脑硬盘的MD5哈希值。 F895FD18E47A5371AEC6DB72D0AEDCA7 你能找到多少个硬盘分区？A) 1B) 2C) 3D) 4E) 5 答案也在上图中，可见三个分区 根据主引導記錄（MBR），以下哪組偏移显示了包含 ...