近视界的奇迹 11堂课教你摘掉眼镜 - 剑客网

2018年5月3日 3条评论

近视界的奇迹 11堂课教你摘掉眼镜

下载地址：

近视界的奇迹 11堂课教你摘掉眼镜百度下载 – 1G+

作者信息

江湖剑客 3578篇文章 730条评论 TA主页联系Ta

描述: 一起用互联网帮助更多人

本文标签：

本文链接：近视界的奇迹 11堂课教你摘掉眼镜 - http://www.go176.net/post-4105.html

相关文章

前言很多小伙伴溯源一般只追查到whois信息，但个人认为该信息未必是真实有效的，挖掘背后的信息才是正章。起因今天在朋友圈，看到朋友发了一条信息，说收到带病毒短信。分析直接通过上述地址下载该安卓木马。通过APK逆向分析工具分析后得知，该木马基本已经将能获取的权限都申请一遍了。如下图，开机启动，发送短信，删除短信，获取联系人，允许接收WAP信息并删除，唤醒手机，检查网络状态，甚至连振动器的权限都申请了。看一下具体的行为： 1、激活设备管理器操作。 2、无意间还翻到这个。呵呵呵呵！ 3、通过手机接收受害者相关信息。 4、通过邮箱接收受害者相关信息。发送邮箱用户名：发送邮箱密码： 5、获取手机号码，并对应判断拦截这些手机的短信内容。 6、发送恶意短信“我给你录了段小视频你看看 ryxxxx.xxx/MUStx”来进行传播。 7、监听短信发件箱及收件箱。通过上述代码不难看出，该木马的主要功能为获取手机内的短信，获取手机内的联系人并发送至指定邮箱，同时将木马下载地址通过短信的方式传播给手机里所有的联系人。大同小异的木马。下面是重点了，我们的溯源之路。溯源一、初步探测 1、通过邮箱注册的号码来看，应该是字母+手机号，通过一些手段，我们查找到，该手机号码，归属地为辽宁朝阳，实名认证姓名是于国玲，开卡时间为2014年9月22日，套餐为神州行家园卡欢乐套餐。但无法确认该手机号的实名认证信息一定是放马人的。 2、通过木马里收信电话中的查询，发现该电话为某商户外卖电话，如果这个电话确实是放马人的，每天的短信量将难以估计，放在手机上估计此手机也干不了别的了。由于外卖电话不太可能置于电脑进行接信，所以此手机号可能性不大。 3、当我登陆放马人的邮箱时，发现密码错误。通过找回密码，发现提示该邮箱并未注册。利用木马中的信息，注册该邮箱后，发现有大量短信及通讯录发送到此邮箱。但第二天时，该邮箱已被注销。看来这个邮箱是在用，但是被网易发现该邮箱行为并注销掉（也说明了网易会未经用户允许检查用户邮件内容）。 4、通过木马下载地址进行whois反查后发现，注册此域名的邮箱同时注册大量域名，同时这些域名大部分均挂载恶意木马或其他非法网站。打开若干网站，下载了多个木马样本，代码有些许差别，但功能大都一致，发送短信及通讯录到指定邮箱，同时向通讯录里面的人扩撒该木马。通过检查这些域名下载来的木马中的邮箱我们发现，这些木马收信时间有1月份开始的，有2月份开始的，绑定的电话号码也都不一样，归属地也都不一样。一个放马者是否有必要这么去做？我个人认为可能性不大。由此我们猜测，这个“马玉海”会不会是木马制作者，根据客户需求来制作木马，而放马者有很多呢？所以找到这个所谓的“马玉海”显得极为重要。 5、再次经过一系列的排查，发现这些域名注册时登记的电话，最初为青海市某人力资源联系方式，最新的记录为西宁市某餐馆电话。目前我们得知如下内容：（1）放马人姓名：于国玲（可能性：70%）马玉海（可能性：20%）（2）放马人电话：182********（可能性：70%） 159********（可能性：10%）（3）做马人姓名：马玉海（可能性：90%，真实性：30%）（4）做马人电话：145********（可能性：80%，真实性：40%） 152********（可能性：60%，真实性：20%）（5）做马人邮箱：ba**********ng@163.com（可能性：90%，真实性：100%）通过对这个邮箱进行查询，发现，除了在几个域名商那里注册过，其他毫无痕迹，看来也是怕被社。至此，所有信息均无法作为决定性的证据。溯源之路貌似毫无头绪，上了个厕所，抽了支烟，重新整理了一下，继续挖掘。二、再次出击通过不懈的努力，通过Whois反查找到了其注册的又一域名sha***.cn，看到底部留有QQ。百度此QQ，发现两个信息： 1、域名der***.com 2、某举报信息通过访问举报的网站，发现页面风格与该放马人名下菠菜网站一模一样，并且两个域名whois信息中注册邮箱同样是该做马人的邮箱。由此我们可以推断，此人即使不是放马人也与此人有关。三、初见眉目举报信息中的支付宝的实名认证为*佳永，账号名石佳永，再通过群关系查询，此人确实是叫石佳永，但目前证据无法直接说明这个石佳永一定是做马人，有可能只是个代理。四、万用的搜索引擎通过谷歌搜索bai****@163.com邮箱，发现一个手机号码，该邮箱名下域名中存在一个手机号码。通过搜索该手机发现一个QQ。再次使用群关系。五、基本确认这里发现了一个问题，两个QQ号有一个共同的群。通过域名注册信息及两人间的关系我们推测推测609******这个QQ极有可能就是做马者。另，经查两个人都姓石，又是来自同一个村，有没有可能是个团伙呢？六、转移目标既然推测QQ609******为做马者，我们重点的溯源对象改为该QQ。通过社工库对此QQ的查询，发现其中一个密码的MD5。碰撞出来为scx*****。将bai******@163.com的邮箱作为账号加上QQ609******查询到的密码。终于，我们成功登陆了该邮箱所注册的几个域名空间商。由此可断定，QQ609******的拥有者即为做马者。七、深入挖掘从做马者的小心程度来看，马玉海估计不可能是其真实姓名，我们继续对此进行深入的挖掘。在易名网，利用账号为QQ69*******的QQ邮箱和社工出来的密码，成功登陆了该邮箱所注册的易名网。通过对实名的认证，此人名石昌雄，91年出生，身份证归属地广西桂林。再结合该QQ邮箱下的whois信息name为：shichangxiong，OK，这就全都对上了。通过对之前两个手机号码的查询，两个号码均为广东佛山，又通过爱名网的登陆记录发现，常用IP为广东中山。所以基本可以认定，此人身在广东。再次搜索134的手机号码发现，此人10年时在广东佛山卖米粉。八、深入的深入再次搜索QQ信息，发现一个182的手机号码。归属地为广西桂林。爱名网的找回密码校验信息，同时显示一个182号码注册的。查询支付宝实名认证。微信搜索该号码。由此可断定，该号码为放马人石昌雄的电话。百度此182手机号，发现此信息：通过之前社工的密码scx********登陆该邮箱。再次百度182的手机。通过以上信息，重新整理做马人信息： 1、放马人姓名：石昌雄 2、放马人电话：1342561****，1820773**** 3、放马人身份证：45032219910110**** 4、身在广东佛山的广西人。 5、QQ：609****** 6、职业：卖米粉，卖热水器，卖竹鼠，SEO优化，卖木马。 OK，所有信息追查完毕，虽然是个曲折的溯源过程，不过还是找到了源头。由此感叹，靠社工果然是无敌的。挖掘背后的信息这个做马者的信息在网上实在是过于少，那么他是通过什么来进行营利的呢？我们通过之前社工到的那个群，对里面的群成员进行查询，发现其中一位群员的QQ的信息中包含m131********@163.com，这与之前木马中的邮箱格式十分相似。再通过上面留下的微博信息，我们再次查询到：还有一个人的介绍。再结合此群的信息和之前的石佳永，有没有可能这个群里面大部分人都是干黑产的呢？并且是一个村子一起干电信诈骗的？通过游客模式进入该群。下载了数十个木马样本，每个群成员的信息进行一一比对，终于，终于，终于找到了这个。登陆该邮箱。确定此为黑产团伙的原因有四： 1、群主及其中一位管理在做黑产。 2、一位成员的QQ资料中的邮箱与木马的收信邮箱吻合。 3、群内部分成员QQ资料里有很多类似菠菜、钓鱼等网站。 4、群内多半的成员中，QQ资料里面都留有自己手机，不过都是被腾讯默认打码的。手机号默认是不对外公开的，自己为什么要放在QQ资料上，这里我们只能推测是收信的邮箱地址，但自己不常用记不住，所以写在QQ资料上。至此，所有溯源到此结束，再往下的我们也无能为力了。写在最后说实话，此次溯源能挖到这么个团伙也属于意外收获。也给各位小伙伴提供个溯源思路吧，大胆猜想，细心检索，不怕麻烦，屡清线索。感谢所有可以阅读到此的朋友们。最后的最后附上思路及逻辑图。
域名背后的真相，一个黑产团伙的沦陷
- 江湖剑客
- 2017-3-1
当从NOTE5跳到NOTE7这个系列背负着三星很高的期望，而NOTE7距离完美旗舰仅差一个完美的电路，在Boom7事件过后，有资深人士建议三星放弃NOTE系列，虽然在今天看来，一支手写笔可有可无，但对于三星来说，当真如此，但Nte8存在性仍然怎样形容NOTE7那支S-PEN呢？可能用专业画板去形容就可以了，参数不说，S-PEN的存在拓大了在系统操作上的精准度，而且在写字/绘画的感觉与绘图板已经相差无几，这其中完全源自于三星对于一家绘图板企业的入股，也正如此拥有S-PEN的Note大尺寸手机不同，也拉开了Note系列与S系列大本质上的不同，前者定位类似于能移动的记事本，核心全在一支笔上，而后者才更像是一台电话。其实S系列与Note系列的位置关系已经非常尴尬，上一年的S6 edge+直接尺寸上踩到Note5的界，而今年的S7 edge也升级到5.5英寸，以往NOTE系列超巨大屏幕，对于使用不友好的现象早已消失，差异而难寻。而且硬件成熟的今天也是NOTE系列尴尬原因之一，一年之中的两台旗舰在硬件上差距已经很小。往往消费者会选择更便宜的产品，但三星如果厚度花更多心思去增大NOTE产品的亮点，在大屏优势不在的今天，亮点加上一支并非可有可无的S –Pen，NOTE系列才有可能继续生存。而拉开差异之后，才有可能在S8之后继续推出Note8。
一包辣条打个赌，三星明年还会有Note8
- 江湖剑客
- 2016-11-5
相比较Windows 7操作系统的远程桌面，Windows XP就显得“山寨”许多，比如Windows 7远程桌面采用更安全的登录方式NLA（仅允许运行使用网络级别身份验证的远程桌面的计算机连接），可以自行调整合适的分辨率，这些特点Windows XP系统自带的远程桌面都不具有。不过，Windows XP用户大可不必为此抱憾，因为通过一些修改或设置，Windows XP远程桌面同样可以做到“与时俱进”，让人眼前一亮。接下来危险漫步就带各位去实际操作一下吧。一，“隐身模式”登录Windows XP远程桌面通过远程桌面登录服务器的时候，会把发起连接的计算机名、IP地址发送到远程桌面主机，即使是通过代理连接也不例外，这样在远程桌面的“任务管理器”的“用户”标签页就能看到本地主机的计算机名，而且在系统日志中也有记录，有无办法可以让本地主机像QQ隐身登录模式那样“隐身模式”登录远程桌面呢？答案是肯定的。微软已经给出了解决这个问题的办法，在本地主机上下载插件TSAddin_xhlp，解压后将TSAddin_xhlp.dll交件复制到系统分区的MNDOWS\system32目录中，然后使用regsvr32命令来注册该dll文件，具体命令如下：Regsvr32 TSAddin_xhlp.dU。安装后登录远程桌面的操作方法与安装前并无二致，但本地主机就不会再将主机的一些重要隐私信息，比如ii-~HL名称、网卡MAC地址发送给远程桌面服务端，如此就能实现“隐身模式”地登录了。二，rlXP SP3远程桌面支持“网络缓期身份验证” 网络级别身份验证(NLA)是Windows Vista/7系统中采用的一种全新的远程登录身份验证方法，即在建立完整的远程桌面连接前就完成了用户身份验证。而在对用户进行身份验证之时，远程计算机只使用尽量有限的资源，而不是像Windows XP系统启动整个远程桌面进行连接。它是一种更加安全的身份验证方法，可以防止远程计算机受到拒绝服务等方式的黑客或恶意软件的攻击，为远程计算机提供了更高的安全保障。默认情况下，Windows XP SP3系统的远程桌面并不支持网络级别身份验证。不过，按照以下步骤操作，我们同样可以让WindowsⅪ’SP3的远程桌面支持“网络级别身份验证”。首先在远裎桌面客户端上打开注册表编辑器定位至：HKEY_LOCAL_MACHINEYSYSTEM\CurrentControlSet\Control\Lsa\security packages添加tspkg。然后定位到：HKEY_LOCAL_MACHINE\S YS TEM\CurrentControlSet\Control\S ecurityProriders\下找到securityproviders编辑字符串添加数值：credssp．dll（逗号后有个英文状态下的空格符号，操作系统自带此文件），然后确定关闭。重启系统后生效，然后再运行mstsc，可以看到Windows XP远程桌面已经显示为支持网络级别身份验证了。
WINDOWS XP 远程桌面也要与时俱进
- 江湖剑客
- 2017-5-3

去顶部