胖胖報部落格~陪你學新知

使用ping 發現 168.95.1.1 很慢 而且會斷 ping 192.168.8.254(內網的gateway)速度正常 使用 MooO connection watcher 發現DNS.exe不斷送收封包,占住整個流量 查證後,    一方面可能是 更新到 微軟安全性更新 953230 (MS08-037)，造成DNS Service佔用其他Service使用的port 微軟文獻: https://support.microsoft.com/zh-tw/kb/953230 解決方法:  http://mytoregistry.blogspot.tw/2016/04/dnsudp.html 另一方面   可能是有毒或木馬等程式  附著在 DNS.exe上 所以要 更新系統+掃毒

如果你想監看自己Facebook流量 其實 FB 有提供 後面還可以導入Log Parser Lizrad, 變得更好閱讀 首先申請: 1. 先以瀏覽器(IE或chrome) 登入自己的FB 2. 先連到 Facebook Developers 網站建立一個應用程式 https://developers.facebook.com/apps 3. 申請自己的 Add a New App 產生APP ID 4. 輸入自己的流量網址:  https://developers.facebook.com/apps/APP ID/

win7與win8設定很類似 1.  開啟 命令提示字元~系統管理員 執行: netsh wlan set hostednetwork mode=allow ssid=*****    key=**** ssid 是AP名稱, key 是密碼, 一般會啟WPA2 2. 設定共用>選無線網路2(因為它是第一步驟而產生的virtual WIFI) 3. 執行 netsh wlan start hostednetwork    ,讓無線網路變成online 4. 關閉指令: netsh wlan stop hostednetwork

可以將 本機或遠端電腦主機   log event 取出   並整併, 透過此功能, 結合Log Parser Lizard 讀取 讓管理更方便 例如: ==================================================== PsLogList dumps event logs on a local or remote NT system. Usage: psloglist [\\computer[,computer2[,...] | @file] [-u username [-p password]]] [-s [-t delimiter]] [-m #|-n #|-d #|-h #|-w][-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy] [-f filter] [-i ID,[ID,...]] | -e ID,[ID,...]] [-o event source[,event source[,...]]] [-q event source[,event source[,...]]] [[-g|-l] event log file]      @file     Psloglist will execute the command on each of the computers                listed in the file.     (從寫好檔案依序讀取目標電腦)      -a        Dump records timestamped after specified date.   (指定時間之後~格式: mm/dd/yy)      -b        Dump records timestamped before specified date.   (指定時間之前~格式: mm/dd/yy)   ...

這是一套很古老的工具, 原本是獨立開發,但後來被微軟買下後 變成微軟官方資源工具, 是透過cmd(DOS command模式)  去執行整合性指令 不過新改進 則是使用Powershell取代.... 但對一些駭客或MIS, 拿來 指令操作者或遠端切入 ,   還是有意義的 叁考: 1. 下載點:   https://technet.microsoft.com/en-us/sysinternals

這是一套透過執行時 取自記憶體的 NT/LM hashes 或 Kerberos tickets, 這包括本機或你使用網路連線的過程產生 密碼 hash值 透過找到hash值 , 可以轉到另一台破解的軟體去找出密碼 ＝＝＝＝＝＝＝＝＝＝＝＝＝ WCE v1.42beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by Hernan Ochoa (hernan@ampliasecurity.com) Use -h for help. Options:   -l List logon sessions and NTLM credentials (default). -s Changes NTLM credentials of current logon session. Parameters: : : : . -r Lists logon sessions and NTLM credentials indefinitely. Refreshes every 5 seconds if new sessions are found. Optional: -r . -c Run in a new session with the specified NTLM credentials. Parameters: . -e Lists logon sessions NTLM credentials indefinitely. Refreshes every time a logon event occurs. -o saves all output to a file. Parameters: . -i Specify LUID instead of use current logon session. Parameters: . -d Delete NTLM credentials from logon session. Parameters: . -a Use Addresses. Parameters: -f Force...

其實這套軟體, 我相信 可以很精準從window 各種log的巨量資料中, 轉成排列與圖形化 (畢竟 有SQL 語法) 我算是剛入門, 但我會持續研究 安裝在伺服器本機上, 是比較容易查詢資料, 因為它本身的SQL詢問路徑都是本機為主 但若安裝在某台PC也OK, 但就必須將伺服器的log 檔案 給它能讀取 window系統log位置: 安全日誌文件：c:\windows\system32\config\SecEvent.EVT 系統日誌文件：c:\windows\system32\config\SysEvent.EVT 應用程式日誌文件：c:\windows\system32\config\AppEvent.EVT IIS：   c:\windows\system32\LogFiles\W3SVC1\*.* DNS：   c:\windows\System32\Dns\Dns.log firewall：    c:\windows\System32\logfiles\firewall\Pfirewall.log SQLserver(版本): C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Log 叁考文章: http://blog.miniasp.com/post/2012/03/26/Useful-tool-Log-Parser-Lizard-GUI.aspx 安裝順序:  Net framework> Log Parser> Log Parser Lizard 下載: Log Parser https://www.microsoft.com/en-us/download/details.aspx?id=24659 Log Parser Lizard GUI http://www.lizard-labs.net/PageHtml.aspx?lng=2&PageId=18&PageListItemId=17 .NET Framework 3.5 http://www.microsoft.com/downloads/en/details.aspx?Famil...