当前位置: 操作系统/服务器>windows
本页文章导读:
▪系統服务 ssdt解决办法 系統服务 ssdt我的机器有几个服务如NtCreateKey 是红色的 被hook了, 模块是 spek.sys 谁知道这是什么文件?
你安装Daemon Tools lite了吗?如果安装时选择安装了sptd驱动,其sptd驱动模块里倒是有spek.sys.........
▪ jmp 远跳转绝对地址是如何计算的 jmp 远跳转绝对地址是怎么计算的?010BCDF3 6A 00 push 0 010BCDF5 6A 00 push 0 010BCDF7 6A 00 push 0 010BCDF9 6A 00 push 0 010BCDFB 68 03 CE 0B 01 .........
▪ 一个很奇怪的现象:服务器没有被入侵,但网站每个页面的内容已经面目全非,该怎么解决 一个很奇怪的现象:服务器没有被入侵,但网站每个页面的内容已经面目全非今天上午11:40左右,我们网站的每一个页面前面都会加上别人一个网页的内容,具体是这样的,每个页面的前页都.........
[1]系統服务 ssdt解决办法
来源: 互联网 发布时间: 2014-02-18
系統服务 ssdt
我的机器
有几个服务如NtCreateKey 是红色的 被hook了,
模块是 spek.sys 谁知道这是什么文件?
你安装Daemon Tools lite了吗?如果安装时选择安装了sptd驱动,其sptd驱动模块里倒是有spek.sys,看你的是不是。
下面的网页供你参考一下:
http://www.sevenforums.com/crashes-debugging/124561-0x0000000a-irql_not_less_or_equal-2.html
我的机器
有几个服务如NtCreateKey 是红色的 被hook了,
模块是 spek.sys 谁知道这是什么文件?
你安装Daemon Tools lite了吗?如果安装时选择安装了sptd驱动,其sptd驱动模块里倒是有spek.sys,看你的是不是。
下面的网页供你参考一下:
http://www.sevenforums.com/crashes-debugging/124561-0x0000000a-irql_not_less_or_equal-2.html
[2] jmp 远跳转绝对地址是如何计算的
来源: 互联网 发布时间: 2014-02-18
jmp 远跳转绝对地址是怎么计算的?
010BCDF3 6A 00 push 0
010BCDF5 6A 00 push 0
010BCDF7 6A 00 push 0
010BCDF9 6A 00 push 0
010BCDFB 68 03 CE 0B 01 push offset label_1 (10BCE03h)
010BCE00 FF 65 EC jmp dword ptr [hProc]
label_1:
//如上代码 hProc为MessageBoxA的地址..请问
010BCE00 FF 65 EC jmp dword ptr [hProc]
单步执行后如下:
76C4EA71 8B FF mov edi,edi
76C4EA73 55 push ebp
问: 绝对跳转地址新EIP(76C4EA71)是怎么由旧EIP(010BCE00 FF 65 EC)计算出来的?
就是绝对地址的计算方法(别讲些相对地址的计算方法,这个我懂)。哪位大牛给指点下,谢谢。
FF 65 EC jmp dword ptr [hProc] 指令,hProc 是个局部变量,此前就已经计算好了目标地址存放到这个变量里了;这个 jmp 指令只是直接拿这个目标地址来进行转移而已。具体怎么计算的,要看更前面的对 hProc 变量的赋值来源。
010BCDF3 6A 00 push 0
010BCDF5 6A 00 push 0
010BCDF7 6A 00 push 0
010BCDF9 6A 00 push 0
010BCDFB 68 03 CE 0B 01 push offset label_1 (10BCE03h)
010BCE00 FF 65 EC jmp dword ptr [hProc]
label_1:
//如上代码 hProc为MessageBoxA的地址..请问
010BCE00 FF 65 EC jmp dword ptr [hProc]
单步执行后如下:
76C4EA71 8B FF mov edi,edi
76C4EA73 55 push ebp
问: 绝对跳转地址新EIP(76C4EA71)是怎么由旧EIP(010BCE00 FF 65 EC)计算出来的?
就是绝对地址的计算方法(别讲些相对地址的计算方法,这个我懂)。哪位大牛给指点下,谢谢。
FF 65 EC jmp dword ptr [hProc] 指令,hProc 是个局部变量,此前就已经计算好了目标地址存放到这个变量里了;这个 jmp 指令只是直接拿这个目标地址来进行转移而已。具体怎么计算的,要看更前面的对 hProc 变量的赋值来源。
[3] 一个很奇怪的现象:服务器没有被入侵,但网站每个页面的内容已经面目全非,该怎么解决
来源: 互联网 发布时间: 2014-02-18
一个很奇怪的现象:服务器没有被入侵,但网站每个页面的内容已经面目全非
今天上午11:40左右,我们网站的每一个页面前面都会加上别人一个网页的内容,具体是这样的,每个页面的前页都这下面这段HTML代码,然后才是我们网站的内容,但是我查了一下服务器,文件没有被更改,没有非法登陆的情况,很是纳闷.叫其他地方的朋友看了一下,也是这样的,这是什么原因造成的,是我们的域名被却持,还是服务器的机房被人攻击?
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<meta name="save" content="history">
<meta baike="203">
<meta content="红色 连衣裙,精英,包裙,爱菲烟克戒烟产品" name="keywords">
<meta content="红色 连衣裙,精英,包裙,爱菲烟克戒烟产品" name="description">
<meta http-equiv="X-UA-Compatible" content="IE=7">
<title>红色 连衣裙,精英,包裙 - 淘宝</title>
<link rel="stylesheet" href="/blog_article/css/s_base_3.css" type="text/css" media="screen">
<link rel="stylesheet" href="/blog_article/css/baike_base_201012021056.css" type="text/css" media="screen">
<link rel="stylesheet" href="/blog_article/css/baike_word_201012021056.css" type="text/css" media="screen">
</head>
<body onload="mark(document.body);" screen_capture_injected="true">
<div id="s_page">
<!--head-->
<div id="s_header">
<div id="s_nav" wa_mode="soso_nav">
<ul id="s_user"></ul>
</div>
</div>
<!--main-->
<div id="s_main">
<!-- content goes here -->
<div id="word_wrap">
<div id="sidebar_bg">
<div id="word_content_wrap">
<div id="left_layer">
<div id="main_word" ss_c="ssc.bk.show4">
<h1><a name="top">红色 连衣裙,精英,包裙 - 淘宝</a></h1>
</div>
<div id="abstract">
<dl> <dd><p>
平和友善、落落大方的动作并伴有礼节性的语言表达,齐景公抱着美女饮酒七天七夜还不停杯。其间也出现过无数的英雄。其近年融资的影片已达45部,彭昌松从小就受到了土家文化的熏陶。媲以鸭肉”、“炊米煮鸭”,齐景公将国政委以晏婴,齐景公知道晏婴的意思,岐山县为宝鸡市辖。其大部分经胆道系统排泄,盆裁不但影响观赏艺术价值,频繁发表竞选演说,平常通通电话,平均单果重6.5克至8.6克,谱写了一篇又一篇辉煌的篇章。栖息在10米以上的深水处,其痴呆症状多持续进行,其机体结构限制了其性能的提高。破土兴建亭台。其次是基督新教、东正教、伊斯兰教和犹太教。<img src="/images/article/lb83901.jpg" border="0"><br><embed src="http://player.youku.com/player.php/sid/XMTk0Mj7420ky/v.swf" quality="high" width="480" height="400" align="middle" allowScriptAccess="sameDomain" type="application/x-shockwave-flash"></embed></p></dd> </dl>
</div>
<div id="left_wrap">
<div >
<h2>开放分类:</h2><p>
<LI><a href="/blog_article/Tkid1/982/amp;Tkid2/261.html">红色 连衣裙</a></LI>
<LI><a href="/blog_article/Tkid1/863/amp;Tkid2/857.html">精英</a></LI>
<LI><a href="/blog_article/Tkid1/636/amp;Tkid2/399.html">包裙</a></LI>
<LI><a href="/blog_article/Tkid1/870/amp;Tkid2/357.html">爱菲烟克戒烟产品</a></LI>
<LI><a href="/blog_article/Tkid1/574/amp;Tkid2/822.html">消脂茶</a></LI>
<LI><a href="/blog_article/Tkid1/501/amp;Tkid2/803.html">淘宝榨汁机</a></LI>
<LI><a href="/blog_article/Tkid1/559/amp;Tkid2/630.html">加厚卫衣</a></LI>
<LI><a href="/blog_article/Tkid1/178/amp;Tkid2/872.html">欧 休闲 运动</a></LI>
<LI><a href="/blog_article/Tkid1/828/amp;Tkid2/722.html">西班牙风情</a></LI>
今天上午11:40左右,我们网站的每一个页面前面都会加上别人一个网页的内容,具体是这样的,每个页面的前页都这下面这段HTML代码,然后才是我们网站的内容,但是我查了一下服务器,文件没有被更改,没有非法登陆的情况,很是纳闷.叫其他地方的朋友看了一下,也是这样的,这是什么原因造成的,是我们的域名被却持,还是服务器的机房被人攻击?
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<meta name="save" content="history">
<meta baike="203">
<meta content="红色 连衣裙,精英,包裙,爱菲烟克戒烟产品" name="keywords">
<meta content="红色 连衣裙,精英,包裙,爱菲烟克戒烟产品" name="description">
<meta http-equiv="X-UA-Compatible" content="IE=7">
<title>红色 连衣裙,精英,包裙 - 淘宝</title>
<link rel="stylesheet" href="/blog_article/css/s_base_3.css" type="text/css" media="screen">
<link rel="stylesheet" href="/blog_article/css/baike_base_201012021056.css" type="text/css" media="screen">
<link rel="stylesheet" href="/blog_article/css/baike_word_201012021056.css" type="text/css" media="screen">
</head>
<body onload="mark(document.body);" screen_capture_injected="true">
<div id="s_page">
<!--head-->
<div id="s_header">
<div id="s_nav" wa_mode="soso_nav">
<ul id="s_user"></ul>
</div>
</div>
<!--main-->
<div id="s_main">
<!-- content goes here -->
<div id="word_wrap">
<div id="sidebar_bg">
<div id="word_content_wrap">
<div id="left_layer">
<div id="main_word" ss_c="ssc.bk.show4">
<h1><a name="top">红色 连衣裙,精英,包裙 - 淘宝</a></h1>
</div>
<div id="abstract">
<dl> <dd><p>
平和友善、落落大方的动作并伴有礼节性的语言表达,齐景公抱着美女饮酒七天七夜还不停杯。其间也出现过无数的英雄。其近年融资的影片已达45部,彭昌松从小就受到了土家文化的熏陶。媲以鸭肉”、“炊米煮鸭”,齐景公将国政委以晏婴,齐景公知道晏婴的意思,岐山县为宝鸡市辖。其大部分经胆道系统排泄,盆裁不但影响观赏艺术价值,频繁发表竞选演说,平常通通电话,平均单果重6.5克至8.6克,谱写了一篇又一篇辉煌的篇章。栖息在10米以上的深水处,其痴呆症状多持续进行,其机体结构限制了其性能的提高。破土兴建亭台。其次是基督新教、东正教、伊斯兰教和犹太教。<img src="/images/article/lb83901.jpg" border="0"><br><embed src="http://player.youku.com/player.php/sid/XMTk0Mj7420ky/v.swf" quality="high" width="480" height="400" align="middle" allowScriptAccess="sameDomain" type="application/x-shockwave-flash"></embed></p></dd> </dl>
</div>
<div id="left_wrap">
<div >
<h2>开放分类:</h2><p>
<LI><a href="/blog_article/Tkid1/982/amp;Tkid2/261.html">红色 连衣裙</a></LI>
<LI><a href="/blog_article/Tkid1/863/amp;Tkid2/857.html">精英</a></LI>
<LI><a href="/blog_article/Tkid1/636/amp;Tkid2/399.html">包裙</a></LI>
<LI><a href="/blog_article/Tkid1/870/amp;Tkid2/357.html">爱菲烟克戒烟产品</a></LI>
<LI><a href="/blog_article/Tkid1/574/amp;Tkid2/822.html">消脂茶</a></LI>
<LI><a href="/blog_article/Tkid1/501/amp;Tkid2/803.html">淘宝榨汁机</a></LI>
<LI><a href="/blog_article/Tkid1/559/amp;Tkid2/630.html">加厚卫衣</a></LI>
<LI><a href="/blog_article/Tkid1/178/amp;Tkid2/872.html">欧 休闲 运动</a></LI>
<LI><a href="/blog_article/Tkid1/828/amp;Tkid2/722.html">西班牙风情</a></LI>
最新技术文章: