• Windows 更新後無法進入 Clover 選單

    我的 Windows 10 + 黑蘋果雙系統最近在 Windows 自動更新後 Clover 就從 UEFI 開機選單消失了
    因為我的 Windows BCD 和 Clover 放在同一個分區
    又 Windows 10 這次更新復原了 bootmgfw.efi 導致業障了 Clover 的引導
    因此只要將引導分區內 \efi\Microsoft\boot\bootmgfw.efi 刪除或更名即可

  • MS-2017-0530

    已知可造成楓之谷私服斷線之弱點。
    研究人員已發現大規模攻擊行為,造成不少私服出現斷線情形。

    已知受影響版本

    • 113

    處理狀態

    未公開
    Last Update : 2017/05/30

    • 新提交
    • 已審核
  • 在 macOS 上安裝 MySQL 5.7

    首先先至官網 https://dev.mysql.com/downloads/mysql/ 下載 MySQL Community Server 安裝檔 mysql-5.7.18-macos10.12-x86_64.dmg,點兩下開啟,再點兩下 mysql-5.7.18-macos10.12-x86_64.pkg 安裝。

    安裝完畢後會跳出一個訊息,告訴你 root 的密碼,請務必將它記下來,後續操作會用到,否則就要再重設一次了。

    現在可以到 System Preferences 啟動 MySQL Server。

    如果現在馬上就用這組帳號連線,會出現這樣的錯誤訊息:

    Your password has expired. To log in you must change it using a client that supports expired passwords.

    代表著我們還需要設定新的密碼給 root。在那之前,先開啟 Terminal,建立 alias:

    alias mysql=/usr/local/mysql/bin/mysql
    alias mysqladmin=/usr/local/mysql/bin/mysqladmin

    接著輸入:

    mysqladmin -u root password -p

    此時會出現Enter password:請你輸入 root 的密碼,請輸入安裝程式幫我們設定的密碼,輸入時不會顯示在畫面上。
    接著出現New password再輸入新的密碼,Confirm new password:亦同。

    到這邊算是完成了,你可以設定 PATH 或是將 alias 加到~/.zshrc方便之後使用。

  • ThunderCrypt 弱分析 伊莉特仕版

    最近 Eyny 論壇爆發勒索軟體中毒潮,官方稱系統遭到攻擊置入惡意代碼,我也拿到了傳說中的 Flash Player 安裝程式,於是來一探究竟。

    先講結論,這次真的不是你更不更新系統就不會中毒,要更新的可能是你的腦袋。

    這次感染勒索軟體的途徑不是神奇的開了網頁就中毒,而是百分之百使用者自己下載自己安裝的。因為黑客在論壇植入了假的 Flash Player 更新通知,利用大家對 Flash Player 更新的信任,於是自己把惡意程式帶回家中,還讓他在家裡跑。加上整個安裝程序根本就是原版的,只是被重新包裝塞入惡意代碼,所以根本不知道自己已經中標。

    在執行這個安裝程式後,會自動建立一個排程,並且於每次登入時執行。

    另外也會新增一個登錄值,是一個 base64 編碼的字串,前後填充空白以讓編輯器顯示空白。

    很快的就能發現他利用 PowerShell 來執 payload,有一大串 base64 編碼的參數被傳給 PowerShell。經過解碼與重新命名,可以發現 ThunderCrypt 的代碼都是在記憶體中執行的,整個過程除了 PowerShell 外,不會另外產生 ThunderCrypt 的檔案。登錄檔中的資料是編碼過的 payload,內含 32 位元以及 64 位元的 native payload,經由 PowerShell 代碼解碼後寫入記憶體中執行。

    下圖顯示判別位元數並解碼對應的 payload,其中 $MyRegPath = "HKLM:\Software\Microsoft\Windows\CurrentVersion\Shell"; $MyUUID = "{A48209E7-FBD5-56B9-B26561F44C9DF968}";

    其他的 PowerShell 代碼在做的就是將 payload 寫入記憶體、建立一個 Delegate 以執行非託管代碼,並執行它。把 payload dump 下來後就能再繼續做靜態分析,我想後續還是交給專業的安全人員來做就好了。

    啊我的分析只到這邊,加上平常我也沒在關注病毒,只是剛好從朋友那拿到傳說中的安裝程式而已,所以本文並不是一個完整正確的分析,歡迎各路大神入鞭!

    以下白話文

    如何預防?

    1. 檢查有效的數位簽章。在下載任何程式後,如果你要安裝的東西是大廠發佈的,那請務必檢查是否有有效的簽章,這次的 Flash Player 就沒有 Adobe 的簽章,顯然是被動過手腳。而平時下載的小程式,很可能作者跟我一樣窮,沒買簽章,這時候就只能靠你自己判別了。
    2. 防毒軟體不是萬能。這次的中毒途徑就很難被防毒軟體偵測,你可能會需要具有啟發式偵測能力的安全軟體,但是安全跟便利是無法兼備的,你勢必會需要做許多的允許、封鎖程式行為的操作。
    3. 要有危機意識。當你知道你已經禁用了 Flash Player,這時候網頁又叫你更新,就是一件很可疑的事情。危機意識是靠平時的培養,可以多多爬文看各路大神的建議。
  • Windows 無法安裝至此磁碟

    室友的朋友上星期中了ThunderCrypt勒索軟體,開導他重灌後在選擇安裝磁碟區遇到這個問題「Windows 無法安裝至此磁碟。選取的磁碟不屬於 GPT 磁碟分割樣式」,這時就要重新格式化硬碟到 GPT 樣式,以使用 UEFI 模式開機。

    按下Shift+F10開啟 CMD,進入DiskPart工具:

    diskpart

    列出所有磁碟:

    list disk

    選擇磁碟:

    select disk <disk number>

    清除所有資料:

    clean

    轉換到 GPT 分割樣式:

    convert gpt

    離開:

    exit

    到這邊就能關掉 CMD,重新整理後繼續安裝Windows。

  • 修復 Windows UEFI 開機磁區

    在安裝完多重系統後,往往會遇到 Windows 本身的啟動程式被覆蓋導致無法開機。

    The Boot Configuration Data file is missing some required information
    File: \BCD
    Error code: 0xc0000034.

    這時候就需要重建 BCD (開機設定資料檔案)。
    請進入 Windows USB 修復碟,或進 Windows 安裝碟,Shift-F10,開啟CMD。
    進入 DiskPart 工具:

    diskpart

    列出所有磁碟:

    list disk

    選擇磁碟:

    select disk 0

    列出所有磁碟區:

    list volume

    選擇開機磁碟區,通常為 FAT 格式:

    select volume 0

    指派一個磁碟機代號並離開:

    assign letter a
    exit

    切換目錄到開機程式目錄,若沒有請MKDIR a:\EFI\Microsoft\Boot建立一個:

    cd /d a:\EFI\Microsoft\Boot

    設定開機紀錄:

    bootrec /FixBoot

    修復開機程式,c為 Windows 所在磁碟區,有可能與之前不同,因此務必先DIR C:確認:

    bcdboot c:\Windows /s a: /f ALL

    重開機即可。

  • Windows XP 無法存取 Windows Installer 服務

    今天這個問題是在安裝 Parallels Tools 時遇到的,但是安裝程式並沒有給太多資訊,只顯示「更新 Parallels 工具時遇到問題」,後來檢查了 log,發現錯誤是由parallels-tools-i386.msi回傳的。手動安裝後就出現「無法存取 Windows Installer 服務」這個問題。

    微軟官方的解決方案在此:
    https://support.microsoft.com/zh-tw/help/324516/-the-windows-installer-service-could-not-be-accessed-error-message-when-you-try-to-install-office

    檢查後發現是沒有 Windows Installer 這個服務,所以我只要執行msiexec /regserver即可。

  • How to run Watch_Dogs 2 without EasyAntiCheat

    Start Command Prompt with Admin
    Change directory to Watch_Dogs2\bin
    e.g. CD "C:\Program Files (x86)\Steam\steamapps\common\Watch_Dogs2\bin"
    Enter WatchDogs2.exe -eac_launcher
    Go to Steam if you purchase on Steam, and allow the parameter.
    Have fun without EasyAntiCheat's annoying process blacklist.
    p.s. You might need to login to Uplay first.

  • crackme

    密码是flag{Y0u_c4n_und3rst4nd_bin4ry!}

    利用IDA PRO分析後發現,輸入的密碼有32個bytes,每個byte分別與key中的每個byte做XOR運算再XOR 1後與result對應的byte比較,可知只要反向將result中的每個byte先XOR 1再XOR key中對應的每個byte就是正確密碼。

    我用我熟悉的工具Cheat Enging以匯編寫下了script做解碼,並利用64位特性來簡化動作,最後結果存在result

    GlobalAlloc(Main, 10240)
    Label(key)
    Label(result)
    Label(Begin)
    Label(End)
    registersymbol(result)
    CreateThread(Main)

    Main:
    mov rax, key
    mov rbx, result
    mov r8, 0101010101010101
    xor rdi, rdi
    Begin:
    cmp rdi, 20
    je End
    mov rcx, [rbx+rdi] // [result + offset]
    xor rcx, r8
    xor rcx, [rax+rdi]
    mov [rbx+rdi], rcx
    add rdi, 08
    jmp Begin

    End:
    ret 08

    key:
    DB 43 64 38 56 77 30 48 34 48 79 4B 31 6C 31 4F 4F
    DB 54 41 71 32 6A 6F 4B 49 77 71 4C 61 6B 4D 6B 61

    result:
    DB 24 09 58 30 0D 68 79 40 16 1B 7E 5E 32 45 20 2A
    DB 66 32 03 47 5F 00 2E 17 14 19 23 54 18 35 4B 1D