我的 Windows 10 + 黑蘋果雙系統最近在 Windows 自動更新後 Clover 就從 UEFI 開機選單消失了
因為我的 Windows BCD 和 Clover 放在同一個分區
又 Windows 10 這次更新復原了 bootmgfw.efi 導致業障了 Clover 的引導
因此只要將引導分區內 \efi\Microsoft\boot\bootmgfw.efi 刪除或更名即可

已知可造成楓之谷私服斷線之弱點。
研究人員已發現大規模攻擊行為，造成不少私服出現斷線情形。

已知受影響版本

• 113

處理狀態

未公開
Last Update : 2017/05/30

• 新提交
• 已審核

首先先至官網 https://dev.mysql.com/downloads/mysql/ 下載 MySQL Community Server 安裝檔 mysql-5.7.18-macos10.12-x86_64.dmg，點兩下開啟，再點兩下 mysql-5.7.18-macos10.12-x86_64.pkg 安裝。

安裝完畢後會跳出一個訊息，告訴你 root 的密碼，請務必將它記下來，後續操作會用到，否則就要再重設一次了。

現在可以到 System Preferences 啟動 MySQL Server。

如果現在馬上就用這組帳號連線，會出現這樣的錯誤訊息：

Your password has expired. To log in you must change it using a client that supports expired passwords.

代表著我們還需要設定新的密碼給 root。在那之前，先開啟 Terminal，建立 alias：

alias mysql=/usr/local/mysql/bin/mysql
alias mysqladmin=/usr/local/mysql/bin/mysqladmin

接著輸入：

mysqladmin -u root password -p

此時會出現Enter password:請你輸入 root 的密碼，請輸入安裝程式幫我們設定的密碼，輸入時不會顯示在畫面上。
接著出現New password再輸入新的密碼，Confirm new password:亦同。

到這邊算是完成了，你可以設定 PATH 或是將 alias 加到~/.zshrc方便之後使用。

最近 Eyny 論壇爆發勒索軟體中毒潮，官方稱系統遭到攻擊置入惡意代碼，我也拿到了傳說中的 Flash Player 安裝程式，於是來一探究竟。

先講結論，這次真的不是你更不更新系統就不會中毒，要更新的可能是你的腦袋。

這次感染勒索軟體的途徑不是神奇的開了網頁就中毒，而是百分之百使用者自己下載自己安裝的。因為黑客在論壇植入了假的 Flash Player 更新通知，利用大家對 Flash Player 更新的信任，於是自己把惡意程式帶回家中，還讓他在家裡跑。加上整個安裝程序根本就是原版的，只是被重新包裝塞入惡意代碼，所以根本不知道自己已經中標。

在執行這個安裝程式後，會自動建立一個排程，並且於每次登入時執行。

另外也會新增一個登錄值，是一個 base64 編碼的字串，前後填充空白以讓編輯器顯示空白。

很快的就能發現他利用 PowerShell 來執 payload，有一大串 base64 編碼的參數被傳給 PowerShell。經過解碼與重新命名，可以發現 ThunderCrypt 的代碼都是在記憶體中執行的，整個過程除了 PowerShell 外，不會另外產生 ThunderCrypt 的檔案。登錄檔中的資料是編碼過的 payload，內含 32 位元以及 64 位元的 native payload，經由 PowerShell 代碼解碼後寫入記憶體中執行。

下圖顯示判別位元數並解碼對應的 payload，其中 $MyRegPath = "HKLM:\Software\Microsoft\Windows\CurrentVersion\Shell"; $MyUUID = "{A48209E7-FBD5-56B9-B26561F44C9DF968}";：

其他的 PowerShell 代碼在做的就是將 payload 寫入記憶體、建立一個 Delegate 以執行非託管代碼，並執行它。把 payload dump 下來後就能再繼續做靜態分析，我想後續還是交給專業的安全人員來做就好了。

啊我的分析只到這邊，加上平常我也沒在關注病毒，只是剛好從朋友那拿到傳說中的安裝程式而已，所以本文並不是一個完整正確的分析，歡迎各路大神入鞭！

以下白話文

如何預防？

1. 檢查有效的數位簽章。在下載任何程式後，如果你要安裝的東西是大廠發佈的，那請務必檢查是否有有效的簽章，這次的 Flash Player 就沒有 Adobe 的簽章，顯然是被動過手腳。而平時下載的小程式，很可能作者跟我一樣窮，沒買簽章，這時候就只能靠你自己判別了。
2. 防毒軟體不是萬能。這次的中毒途徑就很難被防毒軟體偵測，你可能會需要具有啟發式偵測能力的安全軟體，但是安全跟便利是無法兼備的，你勢必會需要做許多的允許、封鎖程式行為的操作。
3. 要有危機意識。當你知道你已經禁用了 Flash Player，這時候網頁又叫你更新，就是一件很可疑的事情。危機意識是靠平時的培養，可以多多爬文看各路大神的建議。

室友的朋友上星期中了ThunderCrypt勒索軟體，開導他重灌後在選擇安裝磁碟區遇到這個問題「Windows 無法安裝至此磁碟。選取的磁碟不屬於 GPT 磁碟分割樣式」，這時就要重新格式化硬碟到 GPT 樣式，以使用 UEFI 模式開機。

按下Shift+F10開啟 CMD，進入DiskPart工具：

diskpart

列出所有磁碟：

list disk

選擇磁碟：

select disk <disk number>

清除所有資料：

clean

轉換到 GPT 分割樣式：

convert gpt

離開：

exit

到這邊就能關掉 CMD，重新整理後繼續安裝Windows。

在安裝完多重系統後，往往會遇到 Windows 本身的啟動程式被覆蓋導致無法開機。

The Boot Configuration Data file is missing some required information
File: \BCD
Error code: 0xc0000034.

這時候就需要重建 BCD (開機設定資料檔案)。
請進入 Windows USB 修復碟，或進 Windows 安裝碟，Shift-F10，開啟CMD。
進入 DiskPart 工具：

diskpart

列出所有磁碟：

list disk

選擇磁碟：

select disk 0

列出所有磁碟區：

list volume

選擇開機磁碟區，通常為 FAT 格式：

select volume 0

指派一個磁碟機代號並離開：

assign letter a
exit

切換目錄到開機程式目錄，若沒有請MKDIR a:\EFI\Microsoft\Boot建立一個：

cd /d a:\EFI\Microsoft\Boot

設定開機紀錄：

bootrec /FixBoot

修復開機程式，c為 Windows 所在磁碟區，有可能與之前不同，因此務必先DIR C:確認：

bcdboot c:\Windows /s a: /f ALL

重開機即可。

今天這個問題是在安裝 Parallels Tools 時遇到的，但是安裝程式並沒有給太多資訊，只顯示「更新 Parallels 工具時遇到問題」，後來檢查了 log，發現錯誤是由parallels-tools-i386.msi回傳的。手動安裝後就出現「無法存取 Windows Installer 服務」這個問題。

微軟官方的解決方案在此：
https://support.microsoft.com/zh-tw/help/324516/-the-windows-installer-service-could-not-be-accessed-error-message-when-you-try-to-install-office

檢查後發現是沒有 Windows Installer 這個服務，所以我只要執行msiexec /regserver即可。

Start Command Prompt with Admin
Change directory to Watch_Dogs2\bin
e.g. CD "C:\Program Files (x86)\Steam\steamapps\common\Watch_Dogs2\bin"
Enter WatchDogs2.exe -eac_launcher
Go to Steam if you purchase on Steam, and allow the parameter.
Have fun without EasyAntiCheat's annoying process blacklist.
p.s. You might need to login to Uplay first.

https://www.momoshop.com.tw/
請輸入6-15位英數字混合密碼，英文需區分大小寫，請勿使用特殊符號

密码是flag{Y0u_c4n_und3rst4nd_bin4ry!}

利用IDA PRO分析後發現，輸入的密碼有32個bytes，每個byte分別與key中的每個byte做XOR運算再XOR 1後與result對應的byte比較，可知只要反向將result中的每個byte先XOR 1再XOR key中對應的每個byte就是正確密碼。

我用我熟悉的工具Cheat Enging以匯編寫下了script做解碼，並利用64位特性來簡化動作，最後結果存在result

GlobalAlloc(Main, 10240)
Label(key)
Label(result)
Label(Begin)
Label(End)
registersymbol(result)
CreateThread(Main)

Main:
mov rax, key
mov rbx, result
mov r8, 0101010101010101
xor rdi, rdi
Begin:
cmp rdi, 20
je End
mov rcx, [rbx+rdi] // [result + offset]
xor rcx, r8
xor rcx, [rax+rdi]
mov [rbx+rdi], rcx
add rdi, 08
jmp Begin

End:
ret 08

key:
DB 43 64 38 56 77 30 48 34 48 79 4B 31 6C 31 4F 4F
DB 54 41 71 32 6A 6F 4B 49 77 71 4C 61 6B 4D 6B 61

result:
DB 24 09 58 30 0D 68 79 40 16 1B 7E 5E 32 45 20 2A
DB 66 32 03 47 5F 00 2E 17 14 19 23 54 18 35 4B 1D