2017年12月26日 星期二
windows 7 右下角有顯示小喇叭的圖示,測試亦有聲音輸出,但點選圖示無法調整音量大小
在命令中執行 regedit 開啟登錄編輯程式,點選
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,接著在Run項的右側窗格中,新
建“字符串值”,命名為Systray。然後雙擊打開Systray鍵值,再將其編輯為
c:windowssystem32Systray.exe。退出編輯程式後,再重啟系統。點選右下角音量小圖示,已可正常調整聲 音音量。
遇到比較少見的影片格式,可能無法順利使用一般的影音播放器來播放影片內容K-Lite Codec Pack
K-Lite v13.7.5 影音編/解碼器
K-Lite Codec Pack裡面包含了一些常用的影音解碼器與相關工具程式。
2017年12月3日 星期日
Windows 10中沒有【中華民國曆】
Windows 10中沒有【中華民國曆】
https://social.technet.microsoft.com/Forums/zh-TW/b6b269c5-2624-417c-b143-87caa48f03af/windows-10?forum=win10itprogeneralTW
Solution:
http://ismallchu.blogspot.tw/2015/08/windows-10.html
2017年11月1日 星期三
2017年9月28日 星期四
利用 dir 發現可疑檔案
method 1: (利用 find)
dir /tc malware
2017/01/01 下午 01:32 malware
dir /a /s /tc /od c:\ | find "2017/01/01 下午 01:3" (time range)
dir /a /s /tc /o-d c:\windows\system32 |more
*************************************************
use wce.exe and PwDump7.exe
wce.exe
wce.exe -w
PwDump7.exe
Administrator:500:xxxx
wce.exe -s Administrator:test:xxxx
net use \\test\c$
Windows Credentials Editor (WCE) is a security tool to list logon sessions and add, change, list and delete associated credentials (ex.: LM/NT hashes, plaintext passwords and Kerberos tickets).
We have developed a new password dumper for windows named PWDUMP7. The main difference between pwdump7 and other pwdump tools is that our tool runs by extracting the binary SAM and SYSTEM File from the Filesystem and then the hashes are extracted. For that task Rkdetector NTFS and FAT32 filesystem drivers are used.
Pwdump7 is also able to extract passwords offline by selecting the target files.
*************************************************
cfc.exe is a product CompFileChecker with H.KINOSHITA company,it version is 0.0.2.0,size is 609792. cfc.exe virus or errors should be disabled and removed if it was attacked and brought you windows xp/vista/7/windows 10 errors.
cfc.exe algx.exe c:\windows\winhelp.exe
dir /tc malware
2017/01/01 下午 01:32 malware
dir /a /s /tc /od c:\ | find "2017/01/01 下午 01:3" (time range)
dir /a /s /tc /o-d c:\windows\system32 |more
*************************************************
use wce.exe and PwDump7.exe
wce.exe
wce.exe -w
PwDump7.exe
Administrator:500:xxxx
wce.exe -s Administrator:test:xxxx
net use \\test\c$
Windows Credentials Editor (WCE) is a security tool to list logon sessions and add, change, list and delete associated credentials (ex.: LM/NT hashes, plaintext passwords and Kerberos tickets).
We have developed a new password dumper for windows named PWDUMP7. The main difference between pwdump7 and other pwdump tools is that our tool runs by extracting the binary SAM and SYSTEM File from the Filesystem and then the hashes are extracted. For that task Rkdetector NTFS and FAT32 filesystem drivers are used.
*************************************************
cfc.exe is a product CompFileChecker with H.KINOSHITA company,it version is 0.0.2.0,size is 609792. cfc.exe virus or errors should be disabled and removed if it was attacked and brought you windows xp/vista/7/windows 10 errors.
cfc.exe algx.exe c:\windows\winhelp.exe
2017年9月13日 星期三
greylog splunk search user key word
******************************************************
search mail keyword
search keyword:
"zxcv2020123@outlook.com" AND source:mg
mg postfix/cleanup[5592]: 08BBE132: warning: header Subject:? =?gb2312?B?1sK437LNtPPIq9Cj0KOE1c6vhlSjrNPQ6lDQo4TVlf7XaNDCyM7Qo+lM33g=?=? =?gb2312?B?xWWV/tdo1vfPr7C4?= from mail-db8eur05olkn2075.outbound.protection.outlook.com[40.92.89.75]; from=<zxcv2020123@outlook.com> to=<ej@mail.nkuht.edu.tw> proto=ESMTP helo=<EUR05-DB8-obe.outbound.protection.outlook.com>
mg
2019-12-30T08:50:51.000Z
*************************************************
date=2017-09-14 time=00:27:44 devname=FG1K5D devid=FG1K5D3I15802166 logid=0102043008 type=event subtype=user level=notice vd="root" logdesc="Authentication success" srcip=192.168.202.158 dstip=192.168.250.86 policyid=0 user="A0411018" group="auth_user_group" authproto="HTTP(192.168.202.158)" action=authentication status=success reason="N/A" msg="User A0411018 succeeded in authentication"
search keyword:
192.168.202.158 AND success
192.168.12.150 AND authentication
***************************************************
search keyword: nf_src_address:192.168.30.148
2017年6月1日 星期四
關閉Windows 10的 Windows Defender 即時保護
ref: https://walker-a.com/archives/2979
輸入指令 「gpedit.msc」來開啟「本機群組原則編輯器」視窗。
(注意!Windows 10 Home版本是不支援「本機群組原則」,所以無法利用此技巧)
「電腦設定」→「系統管理範本」→「Windows 元件」→「Windows Defender」→「即時保護」,並在右邊畫面上點選兩下「關閉即時保護」選項
輸入指令 「gpedit.msc」來開啟「本機群組原則編輯器」視窗。
(注意!Windows 10 Home版本是不支援「本機群組原則」,所以無法利用此技巧)
「電腦設定」→「系統管理範本」→「Windows 元件」→「Windows Defender」→「即時保護」,並在右邊畫面上點選兩下「關閉即時保護」選項
地址查詢經緯度 定位地圖
地址查詢經緯度
輸入地址就可以在Google map設定位置, 同時也取得地址的經緯度及其網址,
http://card.url.com.tw/realads/map_latlng.php
ip查詢經緯度
http://dir.twseo.org/ip-check.php
https://www.ez2o.com/App/Net/IP
************************************************************
經緯度定位地圖
ref:http://jamyy.us.to/blog/2010/03/492.html
已知經緯度 E220° 40' 30" N23° 39' 15" 想查看該座標地圖
方法一:
瀏覽器直接輸入網址
http://maps.google.com/?q=23 39 15,120 50 00 (緯度在前面)
十進位格式也可以
http://maps.google.com/?q=23.5,121.000(小數點後六位數)
http://maps.google.com
對話框輸入 23.5,121.000
方法二:
1. 連入 http://sample.diary.tw/18/maps.htm
2. 輸入緯度: 23 39 15 N
3. 輸入經度: 120 50 00 E
4. 點選 ↑ 將資料換算成十進位
5. 點選 show map 查看地
輸入地址就可以在Google map設定位置, 同時也取得地址的經緯度及其網址,
http://card.url.com.tw/realads/map_latlng.php
ip查詢經緯度
http://dir.twseo.org/ip-check.php
https://www.ez2o.com/App/Net/IP
************************************************************
經緯度定位地圖
ref:http://jamyy.us.to/blog/2010/03/492.html
已知經緯度 E220° 40' 30" N23° 39' 15" 想查看該座標地圖
方法一:
瀏覽器直接輸入網址
http://maps.google.com/?q=23 39 15,120 50 00 (緯度在前面)
十進位格式也可以
http://maps.google.com/?q=23.5,121.000(小數點後六位數)
http://maps.google.com
對話框輸入 23.5,121.000
方法二:
1. 連入 http://sample.diary.tw/18/maps.htm
2. 輸入緯度: 23 39 15 N
3. 輸入經度: 120 50 00 E
4. 點選 ↑ 將資料換算成十進位
5. 點選 show map 查看地
2017年5月18日 星期四
攝影機被駭 shodan.io
1.以 net:[單位 IP 範圍] product:"dlink"來搜尋即可取得在範圍內,為 FUJI
for example:
shodan.io
net: xxx.xxx.xxx.xxx/24 product: "dlink"
1.bot live map(殭屍病毒;bot ware)
for example:
shodan.io
net: xxx.xxx.xxx.xxx/24 product: "dlink"
1.bot live map(殭屍病毒;bot ware)
https://www.malwaretech.com
2.攝影機被駭
www.insecam,org
https://www.insecam.org/en/bycountry/TW/
3.search dehault password 預設密碼
shodan.io
2017年5月17日 星期三
HP電腦內藏鍵盤側錄程式
Ref: http://www.ithome.com.tw/news/114136
出問題的驅動程式為1.0.0.31,到了最近的1.0.0.46則將所有按鍵動作都寫入所有人都可存取的C:\Users\Public\MicTray.log中。研究人員指出,雖然該檔案在每次重開機都會被覆寫掉
研究人員並呼籲所有HP電腦用戶都應立即檢查電腦中是否安裝了C:\Windows\System32\MicTray64.exe 或C:\Windows\System32\MicTray.exe,如果有的話應立刻刪除或重新命名,讓它無法再錄下鍵盤動作,但是這麼做也會損壞特定鍵盤動作的音效。如果硬碟中有C:\Users\Public\MicTray.log
安全廠商列出受影響的HP機種,包括HP EliteBook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等等。
筆電再現隱私威脅!安全研究Modzero發現HP電腦的音效卡內藏鍵盤側錄程式,可錄下用戶所有按鍵動作,導致密碼等機密資訊遭竊取。
問題出在HP電腦中由美國IC設計業者科勝訊(Conexant)所生產的音效晶片驅動程式。驅動程式內含的可執行檔MicTray64.exe原本的功能是在用戶執行特定按鍵動作,例如啟動、關閉麥克風及錄音時做出回應。這個程式可能是專為HP電腦特製。出問題的驅動程式為1.0.0.31,到了最近的1.0.0.46則將所有按鍵動作都寫入所有人都可存取的C:\Users\Public\MicTray.log中。研究人員指出,雖然該檔案在每次重開機都會被覆寫掉
研究人員並呼籲所有HP電腦用戶都應立即檢查電腦中是否安裝了C:\Windows\System32\MicTray64.exe 或C:\Windows\System32\MicTray.exe,如果有的話應立刻刪除或重新命名,讓它無法再錄下鍵盤動作,但是這麼做也會損壞特定鍵盤動作的音效。如果硬碟中有C:\Users\Public\MicTray.log
安全廠商列出受影響的HP機種,包括HP EliteBook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等等。
2017年5月10日 星期三
Windows 登入畫面隱藏其他使用者帳號
Windows 7
Ref: https://chenweichi.blogspot.tw/2012/05/windows.html
Ref: http://tony-it59bi.blogspot.tw/2012/09/windows.html
windows 7 10
Ref: https://kknews.cc/zh-tw/tech/2mv9qr.html
************************************************************************************
STEP1:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList】
請在【UserList】上按滑鼠右鍵選【新增】新增【DWORD (32-位元)值】
註:若系統為32位元系統 (X86)時,該值名稱為【DWORD 值】
若系統為64位元系統 (X64)時,該值名稱為【DWORD (32-位元)值】
STEP2:
新增的【DWORD (32-位元)值】,內容名稱請鍵入您要隱藏的帳號名稱,依此類推。
***************************************************************
把系統管理員隱藏了只剩標準使用者安全模式也沒有Admin怎麼辦?
回覆:有開遠端桌面嗎?如果有的話可以利用遠端桌面登入修改
******************************************************************
Ref:
http://www.techbang.com/posts/6131-windows-7-a-ji-account-does-not-stick-it-to-you
就可以讓登入畫面改走復古風格,得手動輸入帳號名稱與密碼才能進行登入,可以降低被偷登入的可能性。
Ref: https://chenweichi.blogspot.tw/2012/05/windows.html
Ref: http://tony-it59bi.blogspot.tw/2012/09/windows.html
windows 7 10
Ref: https://kknews.cc/zh-tw/tech/2mv9qr.html
************************************************************************************
STEP1:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList】
請在【UserList】上按滑鼠右鍵選【新增】新增【DWORD (32-位元)值】
註:若系統為32位元系統 (X86)時,該值名稱為【DWORD 值】
若系統為64位元系統 (X64)時,該值名稱為【DWORD (32-位元)值】
STEP2:
新增的【DWORD (32-位元)值】,內容名稱請鍵入您要隱藏的帳號名稱,依此類推。
***************************************************************
把系統管理員隱藏了只剩標準使用者安全模式也沒有Admin怎麼辦?
回覆:有開遠端桌面嗎?如果有的話可以利用遠端桌面登入修改
******************************************************************
Ref:
http://www.techbang.com/posts/6131-windows-7-a-ji-account-does-not-stick-it-to-you
就可以讓登入畫面改走復古風格,得手動輸入帳號名稱與密碼才能進行登入,可以降低被偷登入的可能性。
從「本機安全性原則」修改
依序進入控制台> 系統管理工具> 本機安全性原則> 本機原則> 安全性選項,找出並點選「互動式登入:不要顯示上次登入的使用者名稱」,將設定值調整為「啟用」即可。
從登錄檔修改
Step 1
滑鼠點選「開始」內的「執行」, 或直接按鍵盤「視窗」加「R」組合按鍵,在執行視窗內的開啟文字框入輸入「regedit」。
Step 2
登錄檔編輯程式開啟後,在左邊目錄內,依序進入到這個位置:HKEY_ LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
Step 3
找出並用滑鼠點選右欄內名稱為「DontDisplayLastName」的項目, 將「數值資料」由「0 」修改為「1」,即大功告成。
2017年5月9日 星期二
【漏洞預警】特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689),允許攻擊者遠端獲取系統的控制權限
http://www8.hp.com/us/en/intelmanageabilityissue.html
(ANA事件單通知:TACERT-ANA-2017050509054848)(【漏洞預警】特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689),允許攻擊者遠端獲取系統的控制權限)
教育機構ANA通報平台
發佈編號
TACERT-ANA-2017050509054848
發佈時間
2017-05-05 09:07:52
事故類型
ANA-漏洞預警
發現時間
2017-05-02 00:00:00
影響等級
中
[主旨說明:]【漏洞預警】特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689),允許攻擊者遠端獲取系統的控制權限
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201705-0006
英特爾(Intel)主動管理技術(Active
Management Technology,AMT)是內嵌於英特爾vPro
架構平台的一項管理功能,獨立於作業系統外運行,即使主機已經關閉,只要主機仍與電源線和網絡相連,遠端管理人員仍可以存取Intel
AMT。而服務管理器(Intel Standard Manageability,ISM)則具有遠端關機、開機、重新開機及監視運行的應用程式等,至於小型企業技術(Small Business Technology,SBT),則具有本機端的軟體監控器、資料備份和復原及省電功能等。
研究人員Maksim Malyutin發現特定Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689),目前已知攻擊者可在未授權的情況下透過AMT管理技術遠端或本地端獲取系統控制權限,像是開機、關機、讀取文件、檢查正執行的程序、追蹤鍵盤/滑鼠及螢幕晝面等。
此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
First-gen Core family: < 6.2.61.3535個系列版本
Second-gen Core family: < 7.1.91.3272個系列版本
Third-gen Core family: < 8.1.71.3608個系列版本
Fourth-gen Core family: < 9.1.41.3024個系列版本
Fourth-gen Core family: < 9.5.61.3012個系列版本
Fifth-gen Core family: < 10.0.55.3000個系列版本
Sixth-gen Core family: < 11.0.25.3001個系列版本
Seventh-gen Core family: < 11.6.27.3264個系列版本
[建議措施:]
1. 目前Intel官方已針對此弱點釋出修復韌體,請參考Intel官方網頁(https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr),或洽詢合作之OEM <https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr),或洽詢合作之OEM> 廠商更新至相對應的韌體版本,詳細修復韌體版本如下:
(1)First-gen Core family: >= 6.2.61.3535的版本
(2)Second-gen Core family: >= 7.1.91.3272的版本
(3)Third-gen Core family: >= 8.1.71.3608的版本
(4)Fourth-gen Core family: >= 9.1.41.3024的版本
(5)Fourth-gen Core family: >= 9.5.61.3012的版本
(6)Fifth-gen Core family: >= 10.0.55.3000的版本
(7)Sixth-gen Core family: >= 11.0.25.3001的版本
(8)Seventh-gen Core family: >= 11.6.27.3264的版本
2. Intel官方網頁(https://downloadmirror.intel.com/26755/eng/INTEL-SA-00075%20Detection%20Guide-Rev%201.0.pdf)釋出之檢測韌體版本方法,詳細檢測步驟如下 <https://downloadmirror.intel.com/26755/eng/INTEL-SA-00075%20Detection%20Guide-Rev%201.0.pdf)釋出之檢測韌體版本方法,詳細檢測步驟如下> :
(1)下載Intel® SCS System
Discovery Utility工具(https://downloadcenter.intel.com/download/26691/Intel-SCS-System-DiscoveryUtility)
(2)以系統管理員啟動cmd視窗
(3)鍵入SCSDiscovery.exe
SystemDiscovery /noregistry產生一份XML檔,並檢視該份文件中的FWVersion值,確認是否為上述受影響之韌體版本
3.Intel官方網頁(https://downloadmirror.intel.com/26754/eng/INTEL-SA-00075%20Mitigation%20Guide-Rev%201.1.pdf)釋出之關閉AMT <https://downloadmirror.intel.com/26754/eng/INTEL-SA-00075%20Mitigation%20Guide-Rev%201.1.pdf)釋出之關閉AMT> 、ISM及SBT方法,詳細關閉步驟如下:
(1)以系統管理員權限啟動cmd視窗
(2)鍵入sc config LMS start=
disabled(注意disabled前有一空格)
[參考資料:]
2017年3月28日 星期二
Apple question mail setup
Apple iphone mail setup
By default, the POP3 protocol works on two ports:
- Port 110 - this is the default POP3 non-encrypted port
- Port 995 - this is the port you need to use if you want to connect using POP3 securel
By default, the IMAP protocol works on two ports:
- Port 143 - this is the default IMAP non-encrypted port
- Port 993 - this is the port you need to use if you want to connect using IMAP securely
By default, the SMTP protocol works on three ports:
- Port 25 - this is the default SMTP non-encrypted port
- Port 2525 - this port is opened on all SiteGround servers in case port 25 is filtered (by your ISP for example) and you want to send non-encrypted emails with SMTP
- Port 465 - this is the port used, if you want to send messages using SMTP securely
2017年2月28日 星期二
big bar 造成 over session 及 認證系統失敗
SeaPort.EXE 是由 Microsoft Corporation 針對 Windows 操作系統開發的與 Microsoft Windows 相關的一種 EXE 檔案
安裝 bing bar 會造成 seaport.exe 不斷傳 session 給 microsoft 網站,造成認證系統量太大,無法處理,導致認證系統無法開啟網頁,認證系統失常或認證失敗。
使用者也會因session 過大而被鎖。
解決方式:
移除 bing bar 程式
安裝 bing bar 會造成 seaport.exe 不斷傳 session 給 microsoft 網站,造成認證系統量太大,無法處理,導致認證系統無法開啟網頁,認證系統失常或認證失敗。
使用者也會因session 過大而被鎖。
解決方式:
移除 bing bar 程式