xkill [原创] Author: R&S E-mail: yrwithsh@vip.sina.com HomePage: fz5fz.yeah.net Date: 10/04/2003 using System; using System.Management; using System.Threading; class xkill { public static void usage() { Console.WriteLine(); Console.WriteLine("xkill…

最近因为工作需要,研究了一下桌面应用程序.在winform.WPF.Electron等几种技术里,最终选择了WPF作为最后的选型.WPF最吸引我的地方,就是MVVM模式了.MVVM模式完全把界面和业务剥离开来,页面所有操作都通过数据来驱动.更替页面不用修改业务代码逻辑. 以一个查杀进程的小工具来作为初次学习的成果总结.日常开发Java Web程序的时候,进程遇到端口占用问题,通过命令查找端口.查找进程.杀死进程,这一套命令敲下来过于麻烦.于是就写了这么一个小Demo,即作为学习使用,也为以后工作…

使用说明: 1.查杀指定路径:python webshell.py 路径 2.按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″ # -*- coding: utf-8 -*- import osimport sysimport reimport time rulelist = [ '(\$_(GET|POST|REQUEST)\[.{0,15}\]\s{0,10}\(\s{0,10}\$_(GET|POST|REQUEST)\[.{0,15}…

前言 经过前几次的讨论,我们对于这次的U盘病毒已经有了一定的了解,那么这次我们就依据病毒的行为特征,来编写针对于这次U盘病毒的专杀工具. 专杀工具功能说明 因为这次是一个U盘病毒,所以我打算把这次的专杀工具换一种形式实现.不再像前几次那样需要被动运行,而是当我们的专杀工具执行后,一旦有U盘插入,就能主动检测U盘内容,如果发现病毒,就将其删除掉,之后检查系统中是否也存在病毒,如果有,也一并清理干净.我们这次的专杀工具需要实现以下几个功能:        1.专杀工具开启后,需要时刻监测是否有U盘插…

前言 由于我已经在<病毒木马查杀第004篇:熊猫烧香之专杀工具的编写>中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那些重叠的知识,只针对这个病毒特有的方面来讨论专杀工具的编写,然后将其进行组合,就是完整的针对于本病毒的专杀工具了. 原理讨论 对于本病毒而言,其最大的特色就在于使用了进程守护技术.病毒运行后,同时有三个病毒进程存在,关闭其中的任何一个,由于还有两个病毒进程的存在,那么被关闭的又会被重新开启.要解决这个问题,不能靠&q…

僵尸进程概念 僵尸进程(Zombie process)通俗来说指那些虽然已经终止的进程,但仍然保留一些信息,等待其父进程为其收尸. 书面形式一点:一个进程结束了,但是他的父进程没有等待(调用wait / waitpid)他,那么他将变成一个僵尸进程.通过ps命令查看其带有defunct的标志.僵尸进程是一个早已死亡的进程,但在进程表(processs table)中仍占了一个位置(slot). 但是如果该进程的父进程已经先结束了,那么该进程就不会变成僵尸进程.因为每个进程结束的时候,系统都会扫描…

shell 执行查找进程,然后查杀进程脚本如下: ps -ef | grep 'IOE' |grep -v 'grep'| awk '{print \$2}' |while read pid; do kill -9 \$pid; done 相关命令详解: ps命令讲解:http://www.cnblogs.com/wangcp-2014/p/5146315.html grep命令讲解:http://www.cnblogs.com/wangcp-2014/p/5146335.html awk命令讲…

我们平时在做web开发运行web服务器或运行某个应用时会报错,提示该应用的端口号已被占用,我们可以用以下的方法解决. 解决方法一:重新为应用配置端口. 解决方法二:找到占用端口的应用并关闭该应用释放占用的端口: 1.win+r运行cmd或在开菜单的运行中运行 2.运行命令 netstat -aon|findstr "8888" netstat -ano 查看所有已占用的端口     findstr "要查看的端口" 查找指端口的占用情况 可以看到我要查找的"…

一.筛选 ps -A -o stat,ppid,pid,cmd | grep -e '^[Zz]' 二.查杀 ps -A -o stat,ppid,pid,cmd | grep -e '^[Zz]' | awk '{print $2}' | xargs kill -9…

db2 查杀死锁进命令 db2 get snapshot for locks on (需要snapshot的访问权限) db2 list applications db2 "force application(8)" 在snapshot的第四段显示应用程序句柄为8的应用有锁存在,在其相应的锁定列表中显示锁定的表是US_CATALOG. 如果您确定是US_CATALOG表上发生了死锁,可以通过命令db2 "force application(8)"来杀掉该应用在数据库…

一.逐条--锁表 (1)查表名 和 sessionidselect b.owner,b.object_name,a.session_id,a.locked_mode from v$locked_object a,dba_objects b where b.object_id = a.object_id; (2)sessionid(sid) .serial# select b.username,b.sid,b.serial#,logon_time from v$locked_object a,v$…

前言 假设说我们的计算机中安装有杀毒软件,那么当我们有意或无意地下载了一个恶意程序后.杀软一般都会弹出一个对话框提示我们,下载的程序非常可能是恶意程序,建议删除之类的.或者杀软就不提示.直接删除了:或者当我们运行了某一个程序,包括有可疑操作,比方创建开机启动项,那么杀软一般也会对此进行提醒:或者当我们在计算机中插入U盘.杀软往往也会第一时间对U盘进行扫描,确认没有问题后,再打开U盘--上述这些,事实上都属于杀软的"主动防御"功能. "主动防御"简单介绍 杀毒软件通常…

概要: 一.症状及表现 二.查杀方法 三.病毒分析 四.安全防护 五.参考文章 一.症状及表现 1.CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发现CPU被大量占用: *注:ls top ps等命令已经被病毒的动态链接库劫持,无法正常使用,大家需要下载busybox,具体的安装和下载步骤参见参考文章(https://blog.csdn.net/u010457406/article/details/89328869). 2.crontab 定时…

Ramnit是一种蠕虫病毒.拥有多种传播方式,不仅可以通过网页进行传播,还可以通过感染计算机内可执行文件进行传播.该病毒在2010年第一次被安全研究者发现,从网络威胁监控中可以看出目前仍然有大量的主机感染该病毒,所以Ramnit依然是网络空间世界的重大威胁之一. Ramnit病毒可以监控网络访问活动等,可能导致网上银行交易等信息的泄露或盗取: 该病毒还可以扫描和浏览服务器中的文件系统,获取敏感的文件信息: 此外该病毒通过控制某台计算机可以作为攻击者的跳板对整个内部网络造成危害. 病毒样本分析 微…

前言 在本系列的文章中,对每一个病毒分析的最后一个部分,若无特殊情况,我都会采用逆向分析的手段来为读者彻底剖析目标病毒.但是之前的"熊猫烧香"病毒,我用了三篇文章的篇幅(每篇2500字左右)也仅仅分析了病毒的三分之一,而且还没分析到病毒的核心部分.主要也是因为那是我这个系列为大家分析的第一个病毒,为了将一些原理性的东西说清楚,所以文章略显冗长,也主要是照顾一下初学的朋友,摒弃那些高大上的东西,将我的实际分析过程完整地呈现出来.相信大家在认真阅读完那三篇文章后,都能够掌握基本的分析方法,…

前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见<病毒木马查杀第008篇:熊猫烧香之病毒查杀总结>)来对病毒的行为产生一定的认识,这样在之后的逆向分析中,我就能够产生"先入为主"的心态,在分析反汇编代码的时候就能够比较顺利.本文论述的是通过静态分析方法来理解我们的目标病毒,看看仅仅通过观察其十六进制代码,我们能够获取到什么信息,这也算是从另外一个角度来处理病毒文件. 查看附加数…

一直没有对这个命令太有深入的理解 简介 rsync 即 remote sync,一个远程与本地文件同步工具.rsync 使用的算法能够最小化所需复制的数据,因为它只移动那些修改了的文件. rsync 是一个非常灵活的同步工具,它也是一种使用该工具的网络协议名称.本文中所说的 rsync 都是指同步工具,而非网络协议.由于它在类 Unix 系统中广为流行,它也是大多数 Linux 发行版的默认自带工具. 基本语法 rsync 的基本语法非常简单,类似于 ssh, scp 和 cp 命令的语法. 例…

当我们在使用ftp,或者xshell等远程登录工具的时候,连接的密码是用星号*处理的,无法查看到,该如何查看到原始的密码呢? 推荐一款星号密码查看器,可以查看一些软件的带星号的密码,非常好用. 下载地址: 链接:https://pan.baidu.com/s/14s1Aveh9n3QEqXjwdTMAqw 密码:tpqk 使用方法: 1. 下载解压到本地 2. 双击软件图标,把预先勾选的选项去掉勾,点击确定. 3. 会看到接下来的界面中有一个放大镜的图标,如下图: 4. 打开你需要查看密码的软件…

以前研究过负载均衡,最近正在项目上实施(从来没做过小项目以上级别的东西,哈).然后遇到了多个一模一样但是同时运行的服务.不同服务但依赖同相同的配置数据(前端网页服务:Nginx+IIS+nodejs.后端接口:Ngnix+IIS.WebSocke:Service服务),这种算是分布式的配置同步.服务发现.定时任务.缓存数据一致性问题,用Zookeeper来解决挺好,不过Windows上使用有点为难,每次都要手动打开,而且打开都有一个黑不溜秋的控制台,重点是还不能关(虽然可以自己把call调用改成…

简介 rsync 即 remote sync,一个远程与本地文件同步工具.rsync 使用的算法能够最小化所需复制的数据,因为它只移动那些修改了的文件. rsync 是一个非常灵活的同步工具,它也是一种使用该工具的网络协议名称.本文中所说的 rsync 都是指同步工具,而非网络协议.由于它在类 Unix 系统中广为流行,它也是大多数 Linux 发行版的默认自带工具. 基本语法 rsync 的基本语法非常简单,类似于 ssh, scp 和 cp 命令的语法. 例如我们创建两个目录和一些文件: c…

目录 目录 1 1. 前言 1 2. 批量执行命令工具:mooon_ssh 2 3. 批量上传文件工具:mooon_upload 2 4. 使用示例 3 4.1. 使用示例1:上传/etc/hosts 3 4.2. 使用示例2:检查/etc/profile文件是否一致 3 4.3. 使用示例3:批量查看crontab 3 4.4. 使用示例4:批量清空crontab 3 4.5. 使用示例5:批量更新crontab 3 4.6. 使用示例6:取远端机器IP 3 4.7. 使用示例7:批量查看ka…

 目 录: 一.问题现象: 二.问题排查: 1.netstat 排查: 2.top查看: 3.lsof -c 命令排查: 4.确定中木马了. 三.木马查杀: 木马1,清除: 木马2,清除: 四.后续处理: 1.iptables检查 2.cron检查 3.chkconfig检查 4.木马删除,持续观察确认 五.入侵原因及后续避免措施: 1.入侵原因: 2.后续避免措施:(监控为主) 一.问题现象: 服务器登录缓慢,远程连接老是卡顿. 二.问题排查: 1.netstat 排查: 如图:58.218.…

前言 因为我们的终于目标是编写出针对于这次的U盘病毒的专杀工具.而通过上次的分析我们知道,病毒有可能在不同的计算机中会以不同的名称进行显示.假设真是如此,那么就有必要在此分析出病毒的命名规律等特征,然后再进行查杀. 对病毒样本进行脱壳 依照常规.首先是对病毒进行查壳的工作,这里我所使用的是"小生我怕怕"版的PEiD,之所以用这个版本号,是因为经过我的实际測试.常规的PEiD或者说其他的查壳工具都难以非常好地对这次的程序所加的壳进行识别: 图1 使用PEiD进行查壳 这里请大家注意的是.…

rsync远程同步工具使用 Rsync(remote synchronize) 是一个远程数据同步工具,可以使用"Rsync算法"同步本地和远程主机之间的文件.Rsync的好处是只同步两个文件不同的部分,相同的部分不在传递.类似于增量备份,这使的在服务器传递备份文件或者同步文件,比起scp工具要省好多时间. Server 首先下载rscync,安装的方法有很种,以Ubuntu为例 sudo apt-get install rsync xinetd 启动打开rsync服务,修改如下的文件…

病毒现象 服务器出现卡顿.CPU飙升 以下为WatchDogs的判断方式及其命令:存在恶意进程watchdogs: ps -ef | grep watchdogs存在恶意进程ksoftirqds: ps -ef | grep ksoftirqds存在恶意启动项watchdogs: chkconfig | grep watchdogsps.rm等命令被so劫持: ldd which ps | grep libioset.so恶意的蠕虫下载计划任务: crontab -l | grep pasteb…

开源网站云查杀方案,搭建自己的云杀毒 搭建ClamAV服务器 1        前言: 在上一篇我们已经演示了整个方案,传送门<开源网站云查杀方案,搭建自己的云杀毒>:https://www.cnblogs.com/dengjiahai/p/12437360.html#4514940.接着我就写一个文章来演示如何搭建ClamAV服务器,开始之前,我先说说关于陆陆续续收到一些同行的交流对话和疑问的这个问题,发表一些我个人的见解和看法: 在服务器安装杀软它不香嘛?为甚搞那么复杂? 答:的确,在服务…

                                                          pssh远程套件工具 案例5:pssh远程套件工具 5.1问题 本案例要求使用pssh套件工具并发远程其他主机,具体要求如下: 使用密码批量.多并发远程其他主机 使用密钥批量.多并发远程其他主机 批量.多并发拷贝数据到其他主机 批量.多并发从其他主机下载数据到本机 批量.多并发杀死其他主机的进程 5.2方案 准备实验所需的虚拟机环境,实验环境所需要的主机及对应的IP设置列表如表-5…

前言 之前在<病毒木马查杀第002篇:熊猫烧香之手动查杀>中,我在不借助任何工具的情况下,基本实现了对于"熊猫烧香"病毒的查杀.但是毕竟"熊猫烧香"是一款比较简单的病毒,它并没有采取一些特别强的自我保护技术,所以我们完全可以"徒手"解决.但是这次研究的恶意程序就没那么简单,它采取了进程保护的技术,使得我们不能够使用常规手法对其实现查杀.所以这次我引入了两个工具--icesword与autoruns,以达到查杀的目的. 病毒的基本信息…

  工作中重启环境时常常出现内存溢出等等问题,往往需要查杀进程来帮助重启成功,下面就查杀线程的详细指令做下总结:   1.查找需要kill掉的线程: ps -elf|grep [线程关键信息] 比如:ps -elf|grep java 这样找到所有JAVA 线程 比如要删除tomcat线程,可以执行:ps -elf|grep tomcat 这样就可以找到跟tomcat相关的所有线程,从中找到你需要kill掉的线程ID   2. 强制终止线程: kill -9 [线程ID]   比如你的线程ID是…

今天朋友说他一台要准备上线的生产服务器被挂马,特征ps命令找不到进程,top能看到负载最高的一个程序是一个随机的10位字母的东西,kill掉之后自动再次出现一个随机10位字母的进程. 我让他关闭这个机器的外网,内网放开,在局域网中给我一个跳板.等我拿到权限之后进入机器,先按照朋友说的验证了一遍,果然是那样,木马有自我保护自我恢复. 这时候我想到一个问题居然是能自我开机启动,要么/etc/rc.d/{init.d,rc{1,2,3,4,5}.d}/下有启动脚本,要么有cron计划任务. 于是我发现…