DiskInternals ZIP Repair 毀損壓縮檔修復工具

ZIP Repair Features

When instead of ZIP archive contents you see a message "Cannot open file: it does not appear to be a valid archive", it means that the archive is damaged and needs fixing. In such a case use DiskInternals ZIP Repair to scan the file and extract its content to a new archive. The freeware engine restores the integrity of your archive and moves its contents to a new one. Its wizard-like interface makes ZIP recovery no more than a snap!

DiskInternals ZIP Repair:

Easy Recovery Wizard.
Works under Microsoft® Windows® 95, 98, ME, NT, 2000, XP, 2003 Server, Vista.
Supported files of any size.
Recovered files can be saved on any (including network) disks visible to the host operating system.

 

軟體小檔案:

• 軟體名稱：DiskInternals ZIP Repair
• 軟體版本：1.1
• 軟體語言：英文
• 軟體性質：免費軟體
• 檔案大小：520KB
• 系統支援：Windows 2000/XP/2003/Vista/Win7
• 官方網站：http://www.diskinternals.com/zip-repair/
• 軟體下載：按這裡

手工計算還原RAID

本篇文章翻自R-TT
http://www.r-tt.com/Articles/Finding...rs/index.shtml
譯者:OSSLab thx and aweij

1. 3 顆硬碟 不知順序
2. File System: NTFS (created by Windows XP/2003 跟 Master Boot Record (MBR start block)
3. Type: Basic volume

恢復 Raid 所需參數
1. 磁碟順序
2. 條帶(Strip  size ) 大小
3. 條帶順序
4. 磁碟偏移(Offset)

以下是以R Studio 專用磁碟映像格式:
Disk1.arc
Disk2.arc
Disk3.arc


"請留意這邊程式中的表示方式,就算R-Studio在Disk2.arc中找到Disk1 object,那並不一定是在Raid中的第一顆磁碟"

Finding Master Boot Record
  尋找 MBR  決定  RAID 偏移
1. 打開所有文件  進入 Text/hexadecimal edi
2. 不要打開寫入,預防寫入資料
3. Write down the Windows disk signature for each object to recognize later which Editor's window belongs to which object.

"註記 磁碟簽名  disk signature 在每一個object中, 讓之後的編輯可以被辨識是在每一個object中"

4.  搜索mbr 33 C0 8E D0 BC (this is a standard MBR start block, but in some cases it may be different) into the HEX field; then select From start position and enter 0 in Search at offset.

" 利用搜尋HEX碼的功能去找出我們要的 mbr 33 C0 8E D0 BC (這串HEX碼就是MBR的起始BLOCK, 每個CASE中的CODE不一定相同) ; 記得在下面的搜尋條件中選取"From start position" 以及 填入"0" 在" Search at offset(hex) "

5. Click OK to start searching.

Data in Search dialog box to begin search for the Master Boot Record (MBR)

Search results:

完全沒找到
Disk1.arc opened in the Text/hexadecimal editor



Click image to enlarge
Disk2.arc opened in the Text/hexadecimal editor. MBR pattern found.


Click image to enlarge
Disk3.arc opened in the Text/hexadecimal editor. MBR pattern found.

The result is that the Text/hexadecimal editor finds this pattern at address 00 on Disk2.arc and Disk3.arc; Disk1.arc shows only zeros. That means that the offset is 0, and Disk1.arc cannot be the first disk in the RAID.
(這句我覺得有問題)
" 我們在Hexview 編輯器利用搜尋於Disk 2 以及Disk 3找到的MBR Patterns , 在Disk1的相同位置是顯示0 ,那應該是表示偏移量為 0 , 且Disk 1 可以做為 Raid 中的 第一顆磁碟 " 

(我也覺得有問題 by Wei)

 同各位置 Disk2 and Disk3 as master bootstrap loader code. In our case, two disks have the same MBR data on the same place.
"同各位置 Disk2 及 Disk3 有 master bootstrap loader code. 在這個例子裡 , 兩個DISK有相同的MBR data 在同一個地方 "

Now, as a second step, we need to find the NTFS boot sector.

"第二步 , 我們需要找到NTFS boot sector "

Take a look on the Sectors preceding partition field on the Template pane

" 打開Template pane 找到Sectors preceding partition 以及 Windows disk signature "

Template pane for Disk2 and Disk3

For our case, the sector preceding the partition is 16,065.
" 在這個例子裏面, Sectors preceding partition為 16,065 "

If this value is larger than 63, we should divide it by N -1, where N is the number of disks (in our case, N = 3), which gives us 8,032. This is an approximate position to start searching for the NTFS boot sector. We will start the search from this position to avoid finding false NTFS boot sectors that may remain from previous NTFS partitions.

" 如果這個數值超過63 , 我們應該把它分割為 N - 1 , (N 就是此RAID 的 DISK數量 在這個CASE裡面是3個) , 為了避免找到之前NTFS partitions中錯誤的NTFS boot sectors,所以我們指定一個大概是在開始搜尋NTFS boot sector的位置,大概在 8,032 處. "

Jump to that sector in the Editor and then search for the NTFS boot sector pattern.

" 利用HexView 在NTFS boot sector pattern中移動位置到我們要的sector "

The Sectors search field in the Text/hexadecimal editor

On the Search dialog box, enter EB 52 90 4E 54 46 53 20 20 20 20 (the NTFS boot sector always starts from these bytes) into the HEX field, select From current position and enter 0 in Search at offset.

" 在搜尋的作業視窗中, 選項選擇 "From current position"以及在" Search at offset(hex)" 中填入 0 ,後 搜尋 EB 52 90 4E 54 46 53 20 20 20 20 (因為NTFS  boot sector 都是這些bytes開始)   "

Data in Search dialog box to start search for NTFS boot sector

The Editor finds this pattern at sector 8064 on Disk2 and Disk3.

" 用這個編輯器在DISK 2 跟DISK 3 中找sector 8064 "

Now select the Boot sector NTFS pattern on the Template pane.

Click image to enlarge
Disk2.arc opened in the Text/hexadecimal editor. NTFS boot sector pattern found. The same pattern is found on Disk3.arc.

" 在DISK 2 中找到跟Disk 3 相同的 NTFS boot sector pattern "

"參照找到NTFS boot sector pattern 時得到的Bios parameters Block資料我們找到我們需要的資訊"

Required parameters that we have found
Bytes per sector: 512
Sectors per cluster: 8
Logical Cluster Number for the file $MFT: 786432

Previously found parameters:
RAID offset: 0

Next we need to find the MFT (master file table) on the disk:
" 接著需要在DISK上尋找MFT "

1. We will try to find an approximate MFT offset from the RAID start:

" 1. 接著開始試著由RAID 開始處找尋 接近的MFT 偏移量"

MFT offset from the partition start in sectors = Logical Cluster Number for the file $MFT * Sectors per cluster+RAID offset = 786,432*8+0 = 6,291,456 sector

" 分割區由起始sectors開始計算的MFT 偏移量 = Logical Cluster Number for the file $MFT * 每個叢集扇區+RAID 偏移量=786,432*8+0 = 6,291,456 sector "

If the RAID offset is not 0, we need to add the offset to the result of the equation above.
MFT start on the first disk = MFT offset from the partition start in sectors/(N-1) = 6,291,456/2 = 3,145,728

2. We will begin to search for the exact MFT start at a position a couple thousand sectors less than this value. Say, sector 3,140,000.
On the Search dialog box, enter "FILE" into the ANSI field, then select From current position and enter 0 in Search at offset.

This pattern is found at sector 10,241,463 on Disk2 and at sector 3,153,792 on Disk3.


First file record sector in Disk3. Start of a data block.

What is important: The signature FILE ends with 0, which means that the file record number is not overwritten with a fixup. If it had ended with * (FILE*), we would not have been able to proceed further in our search and would have needed to use another technique.

The pattern $.M.F.T. (HEX 24 00 4D 00 46 00 54) shows that this is a correct MFT beginning.
Because sector 3,153,792 is closer to our expected value of sector 3,145,728 than to sector 10,241,463, we may assume that Disk3 is the first disk in the RAID.

To proceed further, we need to keep in mind that a file record in MFT occupies two sectors, and that data is written to a RAID 5 successively, one data block to one disk, then the next data block to the next disk, and a parity block to the third disk. We can represent an example of such a scheme in the following table ...

RAID DISK 1	Second RAID disk	Third RAID disk
PD	1	2
3	PD	4
5	6	PD

... where the numbers represent the order in which the data blocks are written to their respective disks, and PD stands for the "parity of data" block.
(This table represents only an example, and the block order may be arbitrary in a general case.)

Here that means that the file record numbers in MFT will increase by one within one data block. Then the MFT will continue on another disk, where file record numbers will increase by one within its respective data block, the third disk containing the parity block. And so on.

So, to find the block size, we will look at the file record numbers on this disk to discover the place where they no longer increase by one. This place would mean the end of that data block. Then we will look at other disks to find the disk and the place on it where file record numbers in the MFT resume increasing by one. Then we will look at another disk to find where the MFT continues, and so on.

Such a search can be done by scrolling down the text in the Editor by two sectors.

On Disk 3 the data block ends in sector 3,153,919 with file record number 3F 00.


Last file record in Disk3. End of a data block is on the next sector (3,153,919).

Looking at other disks, we find that this MFT continues on Disk 1 in sector 3,153,792 with file record number 40 00 and ends in Sec: 3,153,919 with file record number 7F 00. And so on.


File record continues in Disk1. Start of a data block.


Last file record in Disk1. End of the data block is on the next sector (3,153,919)

The final results are represented in the Table below:

Disk1	Disk2	Disk3
Sec: 3,153,792 Rec: 40 00 Sec: 3,153,918 Rec: 7F 00 Sec: 3,153,919 End of stripe	Sec: 3,153,792 No records Sec: 3,153,918 No records Sec: 3,153,919: End of stripe	Sec: 3,153,792 Rec: 00 00 Sec: 3,153,918 Rec: 3F 00 Sec: 3,153,919 End of stripe
Sec: 3,153,920 Rec: No records Sec: 3,154,046 Rec: No records Sec: 3,154,047 End of stripe	Sec: 3,153,920 Rec: C0 00 Sec: Sec: 3,154,046 Rec: FF 00 Sec: 3,154,047 End of stripe	Sec: 3,153,920 Rec: 80 00 Sec: 3,154,046 Rec: BF 00 Sec: 3,154,047 End of stripe
Sec: 3,154,048 Rec: 00 01 Sec: 3,154,174 Rec: 3F 01 Sec: 3,154,175 End of stripe	Sec: 3,154,048 Rec: 40 01 Sec: Sec: 3,154,174 Rec: 7F 01 Sec: 3,154,175 End of stripe	Sec: 3,154,048 Rec: No records Sec: 3,154,174 Rec: No records Sec: 3,154,175 End of stripe

No records mean this is a parity block.


Example of a parity sector

Looking at the table above, we can find the following parameters:

Disk order:
First RAID disk Disk3.arc
Second RAID disk Disk1.arc
Third RAID disk Disk2.arc

Offset: 0
Stripe size: 128 sectors, or 65,536KB (64KB)
Stripe order: (PD stands for Parity of Data)

First RAID disk	Second RAID disk	Third RAID disk
1	2	PD
3	PD	4
PD	5	6

Now we can create such a RAID in R-Studio:

Click image to enlarge
RAID 5 object created in R-Studio

R-Studio finds a valid file system on the RAID (Partition 1)

Double-click Partition 1 to enumerate its files:

Click image to enlarge
Folder/File structure found by R-Studio

R-Studio shows a valid folder/file structure, which is a good symptom. To finally verify that we created the RAID with the correct parameters, you can preview a file. A file for the preview should be larger than the block size * (Number of disks -1). 128KB for our case.

Preview of file Picture 236.jpg

The file is previewed successfully. We have created a RAID with correct parameters.

轉自 http://www.osslab.org.tw/Storage/Data_Recovery/Theory/Raid_Recovery/Example

iolo Search & Recover 5 資料救援軟體，免費六個月序號

不小心刪除了電腦裡重要的文件、音樂、相片、電子郵件嗎？趕緊使用檔案救援軟體將這些檔案回復吧！錯誤的資料恢復軟體可能會損壞磁區內殘餘的資料，以致於降低救援的成功率，但使用 Search & Recover 將能有效救回誤刪的檔案，而且它支援所有設備，包括數位相機、音樂播放器、CD、DVD、記憶卡或 USB 隨身碟等等。

iolo Search & Recover 不是免費軟體，而且售價是以使用期間計算，每年的定價為 $39.95 美金，不是很便宜的價格，卻能夠在必要時發揮其功能，讓你救回可能花數倍價格也買不回來的資料。配合軟體廠商提供的優惠活動，使用者可以免費獲取 6 個月的正式版序號。

軟體特色

• 將資料還原至 CD 或 DVD，建立安全的磁碟以備份你的重要資料
• 讓資料更安全，輕鬆復原刪除的資料、建立鏡像備份避免資料再次遺失
• 永久安全刪除檔案，避免其它人使用相關軟體來復原敏感的資料數據。

獲取免費六個月序號

進入優惠活動網頁（http://go2.tw/9ukJEu），點擊 Continue 進入下一步，可以看到購物車裡有一項 Search and Recover – 6 Months Service 產品，價格是 $0 元 ，確認無誤後點擊 Secure Checkout 進行結帳。

然後輸入你的個人資料，包括姓名、地址、國家、郵遞區號、電話號碼、Email 地址，每個星號標示的欄位都必須填寫，最重要的 Email 不要填錯了以免收不到軟體序號。

再次確認訂單無誤，iolo 不會要求使用者輸入信用卡資訊、或是付款，直接點擊 Submit Order 送出訂單，大約五至十分鐘左右就能在信箱收到確認郵件。

當 收到一封標題為「iolo Software Licensing and Order Receipt」的郵件後，裡頭就會有軟體的啟用序號以及產品下載鏈結。點擊 Download Product 將 iolo Search & Recover 下載到電腦裡然後安裝。

安裝時會有一個選擇安裝模式的提示，請記得點擊最下方的「I own Search and Recover and can enter my serial number later（我擁有此軟體且可以輸入序號）」。

然後將你收到的序號複製貼上。

安裝後重新啟動電腦，你就可以免費使用 iolo Search and Recover 六個月。其實這套軟體的操作方式相當簡單，都是一步一步的說明進行，不會太難懂。主畫面有一些快速救援檔案的選項，包括救回誤刪的相片、影片、音樂、 Emails 或是可以救援某個資料夾內檔案的 TotalRecovery 功能。

此外，在右側有一個「File Terminator」檔案永久刪除功能，只要啟用後，滑鼠右鍵就會多一個 Ternimate 選項，當以此方式刪除檔案時將沒有辦法透過復原軟體將檔案還原！

轉自 http://www.freegroup.org/2010/11/iolo-search-and-recover-5-giveaway/

手持式裝置與手機取證與資料恢復工作原理

前言

--------------------------------------------------------------------------------

同於數位取證 (Digital  Forensics)，手機取證是按照符合法律規範的方式對手機進行證據獲取、儲存、分析還原出手機內被上鎖、隱閉、刪除的通話記錄、簡訊、通訊錄、電子郵件、照片、 聲音檔等。用來做法律上證明或反駁的證據。

工作原理

--------------------------------------------------------------------------------

做手機取證前，先要瞭解手機儲存處.

外部記憶卡
都是FAT,FAT32格式,直接獨取,被刪除分區或是刪除檔案.用簡單分區表還原就可
Sim Card 可以讀取通訊錄跟SMS 另外已刪除SMS可以還原

手機本身內部:

手機本身就是嵌入式系,根據其文件系統做還原
Smart phone 底層會採用相通文件系統，對於其分區表判斷很容易，像用Windows mobile OS的"手機,GPS "採用FAT 分區使用Imagetool可以很輕易Dump所有Image後,再做FAT分析.Iphone 則是從備份檔可以還原出被刪除簡訊.
MCU手機沒有通用文件系統與工具 並且文件系統也沒公開
比較可行方式是用其I/O做 Digital  Forensic

這邊以Nokia為例,Nokia手機部份分為DCT3,DCT4,BB5 Soultion

手機I/O: F-BUS ,M-BUS,內定腳位. IRDA ,Bluetooth.

F-BUS:112000 bps 部份機種 

官方傳輸線  DKU-5 是F-BUS腳位+AT76C711AVR 單晶片機
才可以下AT Command

M-BUS:9600 bps

IRDA:OBDX

Bluetooth:OBDX

AT command
Protocol:

  F-BUS
  OBDX

Dump 整隻手機 flash memory :
需要專用工具 連接  M-BUS I/O,F-BUS ,BSI  (測量電源) ,VBAT (電源),GND(負極)

獲得整個手機 flash memory  file

以Flash  memory 分析再進行 Unicode編碼轉換格式
手機取證流程跟軟體

--------------------------------------------------------------------------------

一.解鎖手機Pin Code,話機鎖,USER鎖 破解備份檔加密
     當手機被上鎖,以 SE Tools 等手機維修硬件

二.讀取手機明文未刪除資訊

 

相關工具
Celldek 行動劫取台
http://www.logicubeforensics.com/pro...on/celldek.asp
價格約NT 30萬
CelleBrite UFED System 行動劫取台 
http://www.cellebrite.com/UFED-Stand...FUIwpAod1BY_Eg
價格約NT 20萬 以上
Oxygen forensic 2010 適用於大量品牌手機
http://www.oxygen-forensic.com/cn/
nt 4-5萬
Protocol:ETSI and Nokia AT Command ,ODBX
Bitpom 免費開源  只適用高通ＣＤＭＡ Soultion
http://www.bitpim.org/
Protocol:ETSI and 高通 AT Command
Tulp2g 免費開源
http://tulp2g.sourceforge.net/
Protocol:ETSI and Siemens AT Command ,ODBX
FMA  免費開源 適用Nokia
http://fma.sourceforge.net/index2.htm
Protocol:ETSI and Nokia AT Command ,ODBX
Manifest explorer  適用 Android
https://www.isecpartners.com/manifest_explorer.html
MIAT 適用 Symbain ,Windows Mobile
http://miatforensics.org/index.php?o...d=70&Itemid=53
針對黑莓,iphone 備份格式破解
http://www.elcomsoft.com/eppb.html
三.還原被刪除資料
還原Sim Card被刪除簡訊
Undeletesms 免費軟體
http://vidstrom.net/stools/undeletesms/
USIM Detective .有全功能30天試用版.
http://quantaq.opiah.com/usim_detect...mdetective.php

這方面軟體就以商業化為主
EnCase Neutrino

http://www.guidancesoftware.com/mobi...e-neutrino.htm
價格約NT 80萬吧 也許更高

Flash dump原理
.XRY
http://www.msab.com/en/mobile-forensic-products/
價格約40萬 以上
FINALDATA  Mobile Forensic
Finaldata 公司作品，在2.1x版時不支持Unicode.支持Phone以高通為主.

價格不詳 聽說在us 3000以上

http://www.ojp.usdoj.gov/nij/pubs-sum/228227.htm
應該是AT command
Iphone data recovery
http://www.iphonedatarecovery.org/

但MCU 手機
以Sony ericsson為例 GlobalDateFileSystem  JTAG Dump Rom 法.

四.手機已損毀
           還原閃存NAND FLASH .

--------------------------------------------------------------------------------

參考資料

Mobile Device Forensics Blog
http://mobileforensics.wordpress.com/
Nokia F-BUS Protocol
http://www.embedtronics.com/nokia/fbus.html
AT Commands For CDMA Wireless Modems Reference Guide
http://igor.chudov.com/manuals/AT_Co...lcomm_U300.pdf
Nokia AT Command
http://nds1.nokia.com/phones/files/g...kia_AThelp.pdf
論文 Forensic Analysis of Mobile Phones 
http://www.8051projects.net/e107_fil...ile_phones.pdf
Siemens AT command
http://alumni.ipt.pt/~pmad/s35i_c35i...andset_v01.pdf
帥猴手機維修論壇 (目前只接受付費會員) 
http://bbs.shgzs.com/

帥虎手機維修論壇
http://www.sjwxzy.com/index.php

（編案:不知道為何取這樣好笑的名字 不過這二個論壇對於編寫手機文件有很完整資料)

 

原創OSSLab thx

注意: 無故以不正方法侵犯他人隱私知悉之他人秘密，即為妨害秘密罪
若要做手機取證,建議申請通訊監察書(通訊保護法)

 

 

轉自 http://www.osslab.org.tw/Storage/Data_Recovery/software2/mobile

O&O SafeErase 4 個人文件碎紙機，清除檔案不留痕跡

當你刪除、銷毀電腦裡的檔案時，你知道它沒有辦法完全從電腦裡被清除嗎？尤其當你必須將使用過的電腦退回或是賣給其它人，即便是格式化磁碟，任何人都可能透過檔案回復軟體來取得你所刪除的重要資料，包括私密的檔案或是密碼。那要怎麼避免這種問題發生呢？

很簡單，你可以透過一些軟體來給予幫助。

例如 O&O SafeErase 就是一套用來完整清除某些敏感文件或資料的軟體，它所使用的技術是國際認可且推薦的方式，某些技術也被美國國防部及德國訊息技術安全部門所採用。雖然 O&O SafeErase 不是免費軟體，但在近期的優惠活動可以免費獲得價值 $29.95 USD 的軟體序號。

軟體資訊

• 軟體名稱：O&O SafeErase
• 軟體語系：英文、德文、法文
• 軟體大小：28.7 MB
• 作業系統：Windows XP / 2000 / 2003 / 2008 / Vista / 7（32位元、64位元）
• 官方網站：http://www.oo-software.com/
• 軟體下載：32-bit | 64-bit （英文版）

備註：如下載 E-mail 內的 O&O SafeErase 4 則軟體本身為德文版，請直接下載本文章上方提供的軟體下載鏈結即可使用英文版。

優惠活動說明

進入 O&O SafeErase 4 的優惠活動網頁，在最下方填入你的 E-mail 信箱，然後按下「Kostenlose Lizenz anfordern」，幾分鐘後就可以在信箱收到軟體序號。

接著以一般程序安裝 O&O SafeErase 4.1，啟動後會出現註冊精靈，如果沒註冊會有30天的使用時間限制。選擇「Enter your registration code」接著按下一步。

接著把你收到的姓名、公司和序號（Serial）輸入註冊表單，在這次優惠活動裡，Name 及 Company 都是你所填寫的 E-mail 地址，請務必兩個欄位都要填寫。

本優惠活動所贈送的序號是 O&O SafeErase 4.1 的 NFR-License 序號（不得轉售的序號）。

接著會要求使用者填入 E-mail 來訂閱最新消息，忽略這個步驟直接按 Next 跳過即可。如果出現提示視窗，請按下 Yes 就能夠跳過登錄 E-mail 的程序。

開始使用囉，O&O SafeErase 提供以下這些功能：

• Delete files and folders: 刪除電腦內的檔案、資料夾
• Delete temporary Windows files: 清除 Windows 暫存檔
• Delete temporary Internet files: 清除網路暫存檔
• Delete free disk space: 刪除可用磁碟空間

另外兩個功能比較進階，包括刪除硬碟及磁區，使用上需要更為謹慎以免發生問題。

以其中一項功能 Delete files and folders 來說，若要永久刪除電腦內某些重要的檔案、資料夾，只需要將這些檔案加入清單，然後點擊 Run now，它們就會被完整移除，且無法以復原軟體將檔案還原。

轉自 http://www.freegroup.org/2010/10/o-and-o-safeerase-4-giveaway/

BIOS Password Backdoors in Laptops

When a laptop is locked with password, a checksum of that password is stored to a sector of the FlashROM - this is a chip on the mainboard of the device which also contains the BIOS and other settings, e.g. memory timings. For most brands, this checksum is displayed after entering an invalid password for the third time:

The dramatic 'System Disabled' message is just scare tactics: when you remove all power from the laptop and reboot it, there are not new penalties such as additional passwords, locks and so on. From such a checksum (also called "hash"), valid passwords can be found by means of brute-forcing. Another method commonly used is that instead of a checksum, a number is displayed from which a randomly generated password can be calculated. Quite often, vendors also resort to storing the password in plain text, and instead of printing out just a checksum, an encrypted version of the password is shown. Either way, my scripts can be used to derive valid passwords with the hash.


Some vendors have implemented obfuscation measures to hide the hash from the end user - for instance, some FSI laptops require you to enter three special passwords for the hash to show up (see other post). HP/Compaq laptops only show the hash if the F2 or F12 key has been pressed prior to entering an invalid password for the last time.

Depending on the "format" of the number code/hash (e.g. whether only numbers or both numbers and letters are used, whether it contains dashes, etc.), you need to choose the right script - it is mostly just a matter of trying all of them and finding the one that matches your laptop. It does not matter on what machine the script are executed, i.e. there is no reason to run them on the locked laptop.
This is an overview of the algorithms that I took a look at so far:

Vendor	Hash Encoding	Example of Hash Code/Serial	Scripts
Compaq	5 decimal digits	12345	pwgen-5dec.py
Dell	serial number	1234567-595B 1234567-D35B 1234567-2A7B	Windows binary&source
Fujitsu-Siemens	5 decimal digits	12345	pwgen-5dec.py Windows binary
Fujitsu-Siemens	8 hexadecimal digits	DEADBEEF	pwgen-fsi-hex.py Windows binary
Fujitsu-Siemens	5x4 hexadecimal digits	AAAA-BBBB-CCCC-DEAD-BEEF	pwgen-fsi-hex.py Windows binary
Fujitsu-Siemens	5x4 decimal digits	1234-4321-1234-4321-1234	pwgen-fsi-5x4dec.py Windows binary
Hewlett-Packard	5 decimal digits	12345	pwgen-5dec.py Windows binary
Hewlett-Packard/Compaq Netbooks	10 characters	CNU1234ABC	pwgen-hpmini.py Windows binary
Phoenix (generic)	5 decimal digits	12345	pwgen-5dec.py Windows binary
Samsung	12 hexadecimal digits	07088120410C0000	pwgen-samsung.py Windows binary

The .NET runtime libraries are required for running the Windows binary files (extension .exe). If the binary files (.exe) don't work out for you, install Python 2.6 (not 3.0!) and run the .py script directly by double-clicking them.

Please comment on what make/model the scripts work and on what they don't. Also, be aware that some vendors use other schemes to handle the passwords - among them are e.g. IBM/Lenovo. You are then at the mercy of their service.

轉自 http://dogber1.blogspot.com/2009/05/table-of-reverse-engineered-bios.html

「萬馬奔騰、裝模作樣 (Trojan: Trusted Insider)」

萬馬奔騰、裝模作樣 (Trojan: Trusted Insider)」 by 阿碼科技 Dr. Benson Wu


引言與大綱
大 家好！我是吳明蔚，今天很高興能夠來到北京參加OWASP會議。今天的主題是跟木馬有關，駭客最喜歡的就是木馬，木馬這個故事大家都知道，它是一個看起來 不怎麼樣的東西，你以為它是禮物，把它默默的推到城裡面，後來它作怪。其實不像我們現在的木馬，現在的木馬是張牙舞爪，行為是很明顯的，防毒軟體一看到它 就會發現它是病毒。

我介紹一下我自己，我在臺灣出生，在菲律賓長大，我老婆是長沙人，我自己認為我們現在這個時代非常幸福，因為以前沒有 網際網路的時候自己頂多能夠幫助一個人，學醫再怎麼樣厲害頂多一次救一個人，但是網際網路可以幫助很多人。所以我很喜歡李開復和大家分享的一句話，就是 「做最好的自己」。你可以學很多觀念，但是你自己要有你自己的價值觀，做最好的自己。

引用一下美國SANS的CEO的一句話，「走這行， 快學中文」，外國人開始知道在中文的世界有很多資訊安全寶藏可以學習，我們的技術文章不僅先進，也有很多人樂於分享視頻教學，節省其他人學習的時間。相對 的，做為中國人，那應該學什麼？我覺得應該學俄文，在俄文世界裡有很多無論是攻擊的武器還是各類地下經濟都可以做很多切磋。以下是今天的演講的大綱：首先 從一些案例來分享什麼是木馬？木馬為何要裝模作樣？再談一談掛馬的一種常見方式: SOL盲注入。最後是歸納木馬產業鏈的樣態，也就是對地下經濟而言: 管他什麼馬，賺大錢最重要。

什麼是木馬？
它 是一種惡意軟體，在資訊網路大量出沒。木馬可以做什麼呢？它可以做一些遠端的控制，像是有的人在單戀，拿木馬用在不當用途做強制視頻。它可以充當跳板，譬 如發現一個網站有漏洞，但是我想打它的話會被他看到我的IP，所以我就要找一個受害者當跳板。或者是說我要寄大量的垃圾郵件，我就拿別人的郵件伺服器去 搞，讓他背黑鍋。其實我覺得安全有趣的地方是在於 它是在玩弄「數位落差」和「資安意識的落差」。因為在實體安全上我們知道怎麼樣小心強盜，怎麼樣小心小偷，我們知道怎麼樣避免，看起來鬼鬼祟祟的就會去小 心。但是在網路上很多人不知道要如何去小心木馬，因為網路上面有很多電腦的知識是大家無法理解的。也許我們理解了，但是爸爸媽媽們不理解，爺爺奶奶們更不 理解，所以上面有很多安全的東西很有趣。

我這邊舉個很有趣的例子，講一下假的防毒軟體，防毒軟體是一個很大的產業，非常賺錢。但誰會想到 賣假的防毒軟件竟然也是一個很賺錢的生意。假的防毒軟件之所以能夠成功，就是玩弄敵我雙方的「資安意識與知識」。再來我們看，有時候你會收到很多郵件跟你 講學校的郵件伺服器壞掉了，需要維護，要讓你填下你的資訊來確認，有的人一眼就看出是騙人的玩意，但也許它發1萬封，最終有幾個人上當了，它就是抓這類的 機率。再來我們看最近流行的Unicode混淆副檔名的社交工程手法。這類東西是Windows本身就有的功能， 它讓使用者能指定顯示文字的方式可以從右到左或從左到右，它顯示的方向不一樣。這樣的東西是五年前就有，但最近拿來用還是非常有效，又是一個挑戰你的「資 安意識與知識」的例子。正牌的防毒軟體大概有好幾十種，像是VirusTotal上面有整合的大概四十來種，但假的防毒軟體居然有超過250種品牌! 假的防毒軟體還有網上客服系統呢! 你買了這個假的防毒軟體還可以跟它的客服互動。其實平常在網路上逛大家都有機會遇到木馬，古人說人善被人欺，現在是人善被馬騎!

U+202E Unicode攻擊手法


掛馬技巧:盲注入為例
分 享一下怎麼樣做盲注入，這是網路上的一些入侵畫面，拿出一些國產很厲害的工具直接可以打到後面的資料庫。下一步是把馬放上去，解碼之後的注入碼是像這樣子 的，基本上它只要一行注入碼，就可將所有資料庫欄位塞滿他注入的木馬連結，所以不是一個網站只有塞一隻馬，是每一個頁面每一個欄位都塞，讓你清的時候清到 瘋掉。我們看這個受害案例，這邊有被塞一匹馬，那裡也有一匹木馬，它真的是一個頁面重複出現好多次相同的木馬。最有趣的地方是旁邊也有一個，但是不一樣的 一匹木馬，所以是前赴後繼，各路好手都來塞各種木馬，只要漏洞沒被修補，就不會只是一次傷害、二度傷害，而是每個攻擊方經過都會持續加害。

木馬從張牙舞爪到裝模作樣
木 馬長什麼樣我們可以看一下幾個實務案例，目前這個產業流行的木馬基本上都非常的隱蔽，有的是你明明知道這個是木馬，但是就是砍不下去，包括它DLL或 Code注入至重要系統程序裡面，或以系統服務或驅動程式之姿出現。剛剛我們看到的這些都是木馬目前的現狀，目前的現狀是亂槍打鳥(或亂槍打肉雞)，抓到 的量就夠它這個產業。但一旦後來發現這樣已經不能活了，譬如它每次只要一出現，防毒軟體的阻擋率是百分之百，那麼它一定要開始走裝模做樣的路線，這就是未 來大家更需要擔心的。因為最危險的就是披著羊皮的木馬，滿口任意道德的木馬，它們說自己是免費軟體，他們不隱藏程序，他們不利用零時差漏洞，但偷偷摸摸作 怪，讓你毫不知情。這可以延伸到很多地方，其實你會擔心的東西不會只有網路，我更擔心的是延伸至各種關鍵基礎建設的系統，譬如醫療這類的東西，如果你看病 的時候醫生開了藥給你，但是醫生開的藥跟你最後拿到的藥不一樣，這不是很好笑，是很可怕，最後都可能死掉。

膽戰心驚的諜報情節，木馬又何嘗不可如此揣摩?


木馬創造的地下經濟
為 什麼駭客會把時間花在刀口上？因為它可以賺大錢，以前大家都知道的80/20原則，現在更有90/10的賺錢之道，就是10%的人掌握大部分的財富。其實 木馬可以用在洗錢，可以用在製造偽卡，可以產生物美價廉的虛擬商品市場大餅。洗錢會不會被抓，當然會，我們看這邊的交易紀錄，還是查得出來是匯到誰的人頭 戶頭。但為什麼這樣的罪犯在集團中稱為是Mule(螺子)？因為他們是最下階層的，螺子是馬和驢子的下一代，沒有翻身和繁殖下一代的機會，所以FBI抓到 的是洗錢集團中最沒有價值的一群罪犯。真的要抓的話應該抓上面大的，中國固然處處是黃金，但我們看到很多重大犯罪案件，那些作惡多端、無惡不作的都沒能包 得住火，躲不掉國家的嚴峻制裁。偽卡這個畫面大家看一下，就是它讓購買信用卡變得像買一般民生用品一樣簡單，這些都是它們偷來的假的信用卡，但我們可以看 到都是基於真實的信用卡的數據。也有很多假的虛擬商品，也就是贓貨，明明一個商品的價格要100塊，但是它只賣你10塊，而且它是有效的。也可以買 DDoS阻斷式攻擊服務，也就是說我自己沒有機器我就去買一個DDoS的服務打人家。現在不僅防守方可以有資安的SaaS防禦服務，攻擊方也可以拿殭屍網 路做SaaS攻擊服務!

搞木馬不是為了好玩，黑客是為了賺大錢


網路購物的品項包括信用卡...


我 們以 TDS (流量分散系統)來說明各方在這樣產業所扮演的角色。譬如說S先生今天很會掛馬，可以一下子掛一萬多網站，這個JS可以把所有看到這個網站的人都通通指向 一個網站，瞬間創造1萬個人到那個網站，所以S先生就是流量產生者，S先生會賣流量，所以掛馬的人可以賣流量，它是賣家(Seller)。那誰會是買家 (Buyer)呢？買家就是需要人家變成僵屍網路一員的人，比如B先生希望人家中他的木馬，“你能不能夠幫我創造每小時100個人來瀏覽我的網站？”這樣 每小時就會出現有100個僵屍。我們再回顧一下剛剛那個防毒軟體，各位看一下它的銷售體制，這邊是激勵制度。這個圖是有多少個人看到這個頁面 (Unique visitors)，有多少個人安裝(installed)，有多少人買(sold)。各位看一下他的收入多少，他一個人一個禮拜賺2 萬多塊美金! 以這個集團為例，目前有約500名銷售代表，而在這個激勵制度刺激下，我們看到第一名的銷售人員可達月收入332,000美金，還有車子等大獎等著大家去 衝假的防毒軟體的業績!

總結: 當木馬真的成為木馬
最 後我總結一下木馬的明天，隨著各種作業系統、應用軟體的加固與安全設計，譬如更穩定的IE8/9瀏覽器，Windows 7中更良好安全架構的DEP + ASLR + SEHOP + Low Integrity等等，這些對於防範張牙舞爪的木馬都會很有效果，可是零時差漏洞這種東西是可遇不可求的，有時候是要花幾萬塊錢，甚至十幾萬上百萬人民 幣來買，可是有那個必要嗎？再良好的安全設計都無法阻止你點兩下把一個不可信的軟體安裝起來。不過現在木馬的猖獗已經讓全民心驚膽跳，如果你要不認識的人 去看你的空間，他們可能都不敢去你的空間，因為怕你的空間有木馬。其實真正的木馬是它在你身邊你都不知道，這才是真正的木馬，而不是像現在這樣木馬是很明 顯的，謝謝大家！

木馬的明天...無可限量


轉自 http://armorize-cht.blogspot.com/2010/10/owasp-2010.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+blogspot%2Farmorize_cht+%28%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F+Blog%29

閒聊個資法與數位證據

轉自 http://tw.myblog.yahoo.com/roamer-tw/article?mid=7193

自從新版個資法通過後，就一直被前公司老闆問到企業導入電腦鑑識工具的可行性，當時評估後是覺得沒有太大的必要性，最近陸陸續續又被一些朋友問到類似問題，乾脆就在這邊整理一下個人的一些想法吧。

首先是舉證責任的定義，相對於刑法的無罪推定原則， 新版個資法採用的是非無罪推定，不是由受害者舉證受害事實，而是要求企業需舉證自己已經採行適當安全措施防止個人資料被竊取、竄改、毀損、滅失或洩漏。這 樣會將整個舉證的範圍拉得太大，所有可能被要求舉證的點，都得要準備好，否則只要一個關鍵點無法提出反證，都可能對企業造成嚴重影響，甚至是受到處分。我 猜大概也是因為需要提出反證的範圍太過廣泛，才會間接導致這幾年一堆產品都可以扯上個資法跟資安議題，然後大推特推的一個重要原因吧！

再 回過頭來看數位證據部分，根據維基百科的定義，電腦鑑識的概念源自電腦 / 網絡保安與及刑事偵查，主要是用作調查電腦犯罪時，尋找相關證據或是用來證明損害的證據。過去我們在做數位證據蒐證的時候，多是以蒐集與保存完整電腦犯罪 相關的實體或邏輯證據為主，但現行個資法卻變成了必須提出反證來證明企業已經盡了妥善保管的責任。而市面上的數位鑑識工具，目前還是用來證明我出事了，並 據以提供攻擊者的攻擊軌跡與證據，對企業而言這簡直是買很貴的石頭來砸自己的腳，即便透過電腦鑑識找不到被攻擊的證據，也很難藉此證明本身已經確實採行適 當安全措施。

由於在新版個資法中，企業的工作重點將放在提供證明自己清白的反證，而非過去我們所認知的數位證據，這也讓我們過去學習的電腦鑑識流程陷於無用武之地(當然在電腦犯罪偵查上還是有很大用處的)，同時也造成許多新的問題：

1.    反證的定義：要證明企業有被入侵或有資料外洩可能還容易些，但要證明企業是否沒有被入侵就困難多了。個資法規定「需採行適當安全措施防止個人資料被竊 取、竄改、毀損、滅失或洩漏」實在是太攏統了，何謂適當的安全措施？是否有可以量化的標準？是否有一致的參考基準？通過ISO27001驗證算不算是已採 行採行適當安全措施？通過個人資料保護管理制度驗證算不算已盡妥善保管責任？這些都是值得思考的問題。

未來若無法訂出一套可遵循的標準，恐怕又會一樣淪於自由心證，即使制定出來一套可遵循的標準，是否能跟上網路安全的發展趨勢則又是另一回事了，至於是否會演變成為認證而認證的狀況，我想這點就毋須懷疑了(轉頭看看ISO27001)，我想肯定是會的。

2.    反證的盲點：常碰資安設備的人應該都很清楚，要驗證False Positive(誤判)並不困難， 難的是如何找出False Negative(漏判)。今天假設駭客成功bypass了我的資安設備入侵得逞，那這樣的False Negative在資安設備的log上會顯示被攻擊得逞嗎？還是會顯示已偵測到攻擊行為？答案可能都是否定的，這樣會讓資安設備交付出去的記錄看起來很乾 淨，誤認為該擋的攻擊都被成功阻擋掉了，但實際情形呢？

3.    球員兼裁判：將舉證的責任丟給被告這檔事，難免也會有點球員兼裁判的嫌疑，被告企業若有本身確有疏失時，是否可能刻意略過對自己不利的證據，僅提供讓自己看起來清清白白的佐證？

4.    殃及無辜：還有一種情形，假設今天遭受攻擊的標的其實並非企業呢？以近幾年常看到的網路釣魚，如果攻擊者刻意打造一個偽造成某個網站的phishing site而釣到大量的該網站用戶，在這整個攻擊的流程中，可能都與受影響網站無關，但站在受害者角度，可能只會看到大量該網站的用戶被盜帳號而提起訴訟， 在這種情況下，企業要對一種不曾發生在自己身上的攻擊提出反證，也是一件十分弔詭的事；運氣差一點，還可能僅因為無法提供適當的反證資訊而受到懲罰，這顯 然與法律強調的「勿枉勿縱」精神大相逕庭。

新版個資法前半段對於個人資料的定義與保護部分，應該是比較沒有爭議的地方，但在舉證責任的部份則顯得滯礙難行，讓人感到茫然，我想這大概也是施行細則遲遲無法順利擬定的一個重要原因吧！(茶～)

十年沈淀,十年礪劍!《看雪學院十週年紀念版》發布！

關於看雪網站

看雪安全網站（www.pediy.com）創建於2000年1月，網站歷經10年多的發展，脫穎而出，憑藉自身實力，已經成為中國軟件安全領域 公認的最權威的技術站點，影響深遠。多年來，看雪軟件安全網站一直遵循純技術的發展策略，不但在行業中樹立了令人尊敬的專業形象，更使一大批專業人士和專 家聚集在這裡，形成了一個技術交流的網上家園，帶動了大批對軟件安全感興趣的網友加入進來，構建起了一個圍繞軟件安全主題的活躍的大社區，歷久彌新。正是 看到這種技術氣氛，不少知名的公司都很關注論壇技術人才。

本著知識共享，一切免費的建站宗旨，看雪軟件安全網站匯聚了大量高水平的技術文章，至今為止原創了上萬篇精華文章，極大地推動了國內軟件安全技術的發展。2007年論壇改名為看雪軟件安全論壇，論壇在保持已有的軟件加密與解密研究方面外，在漏洞分析、系統底層、病毒分析、Rootkit等技術領域進行 全面擴展，逐步發展為信息安全方面的綜合服務網站。  

《看雪論壇精華10》選錄了看雪軟件安全論壇 2008.1.1 - 2009.12.31 期間的精華內容，共1700餘篇文章。作為站長，我 由衷地感謝論壇全體會員的無私奉獻，正是你們的熱情和不懈的努力，使得論壇能夠有今天的成就，成為國內安全技術領域的一支中堅力量。

為了推進軟件安全技術為社會和企業服務的理念，我們正在努力提升網站的服務能力，為關注信息安全的大眾，提供更多的內容、更好的服務和技術產品。如果您有任何好的想法和建議，歡迎隨時在本站發帖，討論，讓我們共同努力，創造一個更加美好和安全的網絡環境。

論壇下載 http://bbs.pediy.com/showthread.php?t=120908
web版 http://bbs.pediy.com/goodpost/web10/pediy2010.html

找出是誰抄襲我的圖片作品！

今天看到一則新聞，由政府主辦的「著作權海報設計比賽」，校園組首獎竟然是抄襲國外藝術家的作品！這倒是提醒大家注意著作權的重要性了（完全凸顯比賽主題），也許這就是參賽者的本意？？好啦，這不是今天講古的重點，這件事引發凱撒之鷹另一個想法－－要如何在網路上找到別人抄襲你的圖片作品呢？

注意喔，這裡所指的「抄襲」並不是純粹盜圖，而是你的創作圖片被拿去修改後，變成另一張雷同度極高的圖片，如果沒有人跟你說，自己要怎麼發現有這件事呢？

先跳開話題一下，如果是想知道文章有沒有被抄襲，那用Google比對文字是還蠻簡單的，只要拿文章中的某一串句子去做搜尋（最好前後加上 "  " 引號夾註起來），就能很快找出相同或類似的句子。但是Google只能用關鍵字去搜尋圖片，雖然文字搜尋方面很強，卻無法直接「以圖找圖」，所以Google大神這時候就派不上用場了。

這裡介紹一個專門「搜尋相似圖片」的搜尋引擎 TinEye，它的專長就是以圖找圖：你先上傳一張圖片（或圖片網址）給它，TinEye 就會幫你比對網路上幾十億張圖片，然後挑出類似的圖片給你看，這樣就很容易知道有沒有被抄襲修改了。

TinEye網站　http://www.tineye.com 

實作示範

以前面那則抄襲國外作品的新聞為例，如果在沒有人發現的情況下，要怎麼用 TinEye 找出它可能有抄襲某張圖片呢？方法很簡單：

1. 我是在聯合新聞網上面看到這則新聞，裡面有疑似抄襲作品的圖片，那我只要先把圖片的網址複製起來。當然如果一開始並沒有新聞報導，那你在現場把照片拍起來存進硬碟裡也行。

2. 接著到 TinEye 網站，把要比對的圖片網址貼上去，再按下［Search］鈕進行比對。如果是自己硬碟裡的圖片，就用左邊的［選擇檔案］鈕來上傳。

3. 比對結果馬上就出來了，果然網路上有一張圖片非常相似，可能就是當初「參考」的原圖。

4. 點擊圖片下方的「Compare」連結，還能讓兩張圖片更進一步比對。它會把圖片重疊放在一樣的位置，你按［Switch］鈕反覆切換來切換去，就能更清楚看出哪裡被修改過了。

5. 只有找到一張類似圖片，也許能證明來源圖片有抄襲，但原圖的創作者是誰呢？雖然所找到的圖片會有附上網址，不過以此例而言，它是被收錄在某個圖庫網站中的 一張圖片，並不是原作者本身的網站。沒關係，我們用同樣方式繼續找下去，把找到圖片的連結網址再copy起來，重新用TinEye進行搜尋看看。

6. 這下找到更多一樣的圖片了，接下來就要考驗耐心，一個個點進去看看，也許就能找到原作者的網站囉！這種偵探式的搜索就留給有緣人去做吧 =_=

轉自 http://pcuser.pixnet.net/blog/post/27229135