问题标签 [windows-security]

看了一篇介绍Windows上ROP的文章，发现作者在ROP链中放了一些字面数字。

生成 shellcode 的代码片段：

根据我的理解，ROP链应该由指向gadget的内存地址组成，因此CPU会依次执行相应内存地址的指令。然而，作者将0xffffffff和0x90909090放入了小工具链中。

有人可以解释这些文字数字在 ROP 链中的用法吗？谢谢你。

我在我的系统上安装了一个带有正版 Windows 7 的 Windows XP VM。但是当我启动我的 VM 时，Windows XP 显示一个弹出消息：
“你可能是软件伪造的受害者”
这是一个问题吗？我的意思是，这会给我带来法律问题吗？
我不是在询问删除此消息的黑客行为，而是询问它是否会导致一些法律问题？
我也知道应该只使用微软直接提供的正版Window。我所做的只是为了学习目的。
提前谢谢！！！
对不起，如果在错误的地方/论坛问（困惑在哪里问）！！！

如何定义谁/什么对 Windows 服务属性进行了更改？是否有此类活动的日志文件？

问题的诞生：

• 问题：

服务“Net TCP Listener Adapter”定期（每天）下降，因为依赖服务“Net TCP Port Sharing Service”被禁用。我尝试将启动类型更改为“自动”，一切都很完美 - Net TCP Listener Adapter 成功启动。但这是临时解决方案，第二天将“Net TCP Port Sharing Service”的启动类型设置为禁用。是谁做出了这样的改变？我只有一个可能的原因：可能是 Windows 安全审核对此进行了更改。在事件查看器中，当“Net TCP 侦听器适配器”服务中断时，我注意到审核成功同时执行过滤平台连接。你有什么想法来定义这个问题的原因吗？

我有一个旧版应用程序，我正在对其进行一些维护。它是用 Visual Studio 2008、ASP.NET Web Forms、SQL Server 和 .NET 3.5 构建的。该应用程序使用由ActiveDirectoryMembershipProvider.

这些计算机位于两个域中。

域是：

• 开发 PC：companydomain
• 测试服务器：dev.companydomain
• 开发 SQL Server：公司域

该应用程序在我的开发 PC 上运行良好并连接到 Dev SQL Server。一切都在同一个域中。

部署到测试服务器进行测试时，应用程序连接数据库时抛出异常。浏览器在 Dev PC 上运行。该应用程序使用我的凭据 (companydomain\myusername) 登录。测试服务器还连接到开发 SQL 服务器。

错误是：

我运行了 SQL Server Profiler 跟踪并获得以下信息：

网页配置

IIS 身份验证设置

测试服务器上的设置。

我添加了一些转储当前用户的日志记录代码。Thread.CurrentPrincipal.Identity返回已登录到应用程序的 Windows 用户。WindowsIdentity.GetCurrent()返回NT AUTHORITY\IUSR。

是什么导致异常？为什么身份“匿名登录”通过数据库连接而不是经过身份验证的用户？

我创建了一个代码，将文件夹内容从 PC1（用于用户的 PC）复制到 PC2（用于服务器的 PC）。我使用 Active Directory 创建帐户以访问 PC2 的服务器

我有从 PC1 转移到 PC2 的 ff 代码：

这仅在您传递服务器的登录信息时才有效，该信息似乎仅在我尝试手动输入服务器地址时显示

我找到了两种方法来解决这个问题

第一的

1. 创建登录表单

2. 第二种形式将通过 vb 代码告诉 Windows 安全我的用户名和密码是我在登录表单上输入的

第二

1. 创建一个代码，在运行我的 Visual Basic 程序时自动显示 Windows 安全性

但是我正在努力如何告诉 Windows 安全我的登录信息，同时我不知道如何手动显示 Windows 安全

使用SE_LMSHARE调用 Get/Set[Named]SecurityInfo 时，如何解释 ACE 中特定于类型的访问权限？

我猜我应该使用文件访问权限常量的目录版本，但这是否记录在任何地方？

这个想法很简单，即尽量不遵循标准。例如要向 Firefox 注入一些东西，恶意软件需要知道进程的名称是“firefox.exe”，或者要在 Internet Explorer 中注入一些东西，恶意软件需要知道该进程是“iexplorer.exe”。但如果 Firefox 或 Internet Explorer 不遵循该约定，那就很难了。想法是放一个逻辑来更改进程的名称。为此，真正的“firefox.exe”被我们的“firefox.exe”文件替换。这个重复文件只是一个启动文件，真正的 Firefox 可执行文件被重命名为一些 `random string.exe'。当系统触发“firefox.exe”时，这将打开我们的“firefox.exe”可执行文件。这个可执行文件将反过来打开真正的 Firefox 可执行文件作为“随机字符串.exe” 并使用“SetProcessInformation”API 设置虚拟进程信息。使用“SetProcessInformation”，我们将设置可执行文件的错误位置，因此恶意软件无法根据该位置找到真正的进程。

任何机构都可以建议它有多可行（假设 SetProcessInformation 可以设置错误的进程位置）？

我有一个有趣的问题：

我编写的程序使用 DLL。安装后，程序 exe 和 DLL 都在 c:\Program Files (x86)\MyProduct 下

通常加载的 DLL 是第 3 方驱动程序。出于测试目的，我将其替换为我自己的实现。当我在程序文件夹中用我自己的 DLL 覆盖第 3 方 DLL 时，我的程序 EXE 无法启动 DLL，LoadLibraray 返回 0 并且 GetLastError 返回 -529697949。现在，当我将整个 MyProduct 文件夹复制到 c:\temp 并启动​​程序 EXE 时，可以加载 DLL。

所以我想我的问题与 Windows 安全有关。程序和我的 DLL 版本都是用 C++ 编写的。我的用户帐户具有管理员访问权限，我是否以管理员身份执行程序似乎并不重要。有谁知道是否有可能阻止加载 DLL 的 Windows 保护机制？

谢谢

更新

我认为问题与我的 DLL 尝试写入 DLL init 函数中的执行目录有关。在 Program Files 目录中执行时，windows 不允许这样做。

有很多 Windows 桌面应用程序示例可以说明当前用户是否是管理员。

这里有两个

• http://code.msdn.microsoft.com/windowsdesktop/CSUACSelfElevation-644673d3
• http://msdn.microsoft.com/en-us/library/86wd8zba(v=vs.110).aspx

我的问题是我需要在 Windows 8 商店应用程序中进行检查，并且它们具有主 .NET api 的子集。校长和角色周围的东西不见了。Windows.System.UserProfile.UserInformation 类看起来很有希望，但这是一条死胡同。

可以做到吗？

谢谢

我在 Windows 8 上实现并运行了一个应用程序 log4net。当我以本地管理员身份登录后运行应用程序时，正在创建日志；以下是它的 log4net 调试条目：

但是当应用程序在另一个帐户上运行时，它会停止创建日志；log4net 调试信息如下：

然后我右键单击应用程序的 exe 并从兼容模式中选中以管理员身份运行。仍然没有运气。有人可以确切地建议我需要检查什么以及在哪里检查吗？