其实我们想要实现根据ip地址，获取地理位置就是一个数据库搜集的过程，简单来说，只要更多的人去注册或者去查询等等方式，泄露自己的ip地址的真实信息，就会被收录进数据库，这样被查询时就会精准定位到真实地址，还有一些固定ip，如网吧、政府机关单位，也都是比较准，如果我们想要知道具体的地理位置，不妨来尝试下面的这种方式。
操作步骤：
第一步、确认对方QQ并关掉浏览器等会连接网络工具。
第二步、从开始菜单打开运行，输入cmd，打开shell窗口，输入netstat
第三步、查看你当前的网络连接，然后开始跟你要查ip的那个朋友聊天，继续shell窗口中输入一次netstat
第四步、查看一下新增的网络连接，那个ip就是你朋友的ip地址了，在到ip查询网站中去查找。
需要注意：
由于现在很多地方的ip地址都是动态分配的，所以你每次查到的ip地址可能都不一样，但是查到的地理位置应该都是一样的。
以上就是对想要查询对方ip，或者你已知ip的话，直接输入网站查找的方式了，希望可以帮助大家！

问题： 当用source insight 软件编写程序时，忘了我们写的程序保存的位置时该怎么办？
答：在打开的source insight软件窗口中点击菜单栏中的“Project”选项---->Project setting ...------>Project Source Directory下显示的就是项目所在的目录。
source insight 的标题栏上的地址显示的是当前文件所在项目文件夹中的位置。

 

(w)WinMain的hInstanceExe参数实际值是一个内存基地址；系统将可执行文件的映像加载到进程地址空间中的这个位置。例如，系统打开可执行文件，并将它加载到地址0x00400000，则(w)WinMain的hInstanceExe参数值为0x00400000.

 

为了知道一个可执行文件或DLL文件被加载到进程地址空间的什么位置，可以使用GetModuleHandle函数来返回一个句柄/基地址

 

HMODULE GetModuleHandle(PCTSTR pszModule)



调用这个函数是，要传递一个以0为终止字符的字符串，它指定了已在主调进程的地址空间中加载的一个可执行文件或DLL文件的名称。如果系统找到了可执行文件或DLL文件名称，GetModuleHandle就会返回可执行文件/DLL文件映像加载到基地址。如果没有找到文件，系统将返回NULL。

GetModuleHandle的另一个用法是为pszModule参数传入NULL，这样就可以返回主调进程模块的基地址。如果我们的代码在一个DLL中，那么可利用两种方法来了解代码正在什么模块中运行。第一个办法是利用链接器提供的伪变量__ImageBase，它指向当前正在运行的模块的基地址。这是C语言运行库启动代码在调用我们的(w)WinMain函数时所做的事情。

第二种方法是调用GetMoudleHandleEx，将GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS作为它的第一个参数，将当前函数的地址作为第二个参数。最后一个参数是一个指向HMODULE的指针，GetModuleHandleEx会用传入函数（即第二个参数）所在DLL的基地址来填写该指针。以下代码对这几种方法进行演示。

extern "C" const IMAGE_DOS_HEADER __ImageBase;
 
void DumpModule()
{
	HMODULE hMoudle = GetModuleHandle(NULL);
	_tprintf(TEXT("with GetModuleHandle(NULL) = 0x%x\r\n"),hMoudle);
 
	_tprintf(TEXT("with _ImageBase = 0x%x\r\n"),(HINSTANCE)&__ImageBase);
 
	hMoudle = NULL;
	GetModuleHandleEx(
		GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS,
		(PCTSTR)DumpModule,
		&hMoudle);
	_tprintf(TEXT("with GetModuleHandleEx = 0x%x\r\n"),hMoudle);
}
 
int _tmain(int argc, _TCHAR* argv[])
{
	DumpModule();
	return 0;
}



 

前言：
　　由于在局域网中，网关会不断地发送 ARP 数据包询问当前是否有新的客户端上线，如果我们可以欺骗当前局域网网段下的主机，
　　把我们当成网关地址，并且我们把欺骗的流量转发到真正的网关地址，这样我们就可以嗅探到别人的信息
实验环境：
　　1、虚拟机 A(kali)
　　2、实验主机 B(win 10)
　　3、保证虚拟机和主机在同一网段，方法在上一篇有写
实验步骤：
　　1、kali 里使用 netdiscover -i eth0 [-r range...] 来获取目标主机的 IP 地址，这里直接使用主机 B 的 IP 和网关
　　2、kali 终端使用 ettercap -i eth0 -Tq -M arp:remote /// /// 来进行流量欺骗，前一个 /// 为 B 的 IP，后者为网关
注：/// 的完整写法为 MAC/IPs/IPv6/PORTs，默认为全部，MAC 为物理地址，IPs 为 IPv4，PORTs 为端口号
　　若 ettercap 操作失败，需要我们对其进行提权
　　修改 /etc/ettercap/etter.conf 文件，将 ec_uid 和 ec_gid 的值改为 0，可以使用 leafpad、vim 等进行操作
　　3、打开一个新的终端，通过 driftnet -i eth0 -a -d dir 来把 B(目标主机)浏览的图片保存在目录 dir 里，也可以通过 -b 弹窗直接查看浏览的图片
　　4、打开主机 B 的浏览器查看图片(需要 http 的)
　　5、在 kali 里打开相应文件夹，查看里面的内容
扩展： 
1、netdiscover：
　　　　a、基于 ARP 协议
　　　　b、主动或被动地发现WIFI或交换网络的主机
　　　　c、常用参数选项：
-i ：接口。选择你监控的接口，比如eth0
-r ：range 比如192.168.0.0/24(/24 表示网络号为 24 位)
-l ：从文件读取range列表
-p ：被动模式
-t ：每个ARP请求之间等待时长，单位为毫秒。这个可以用来规避检测系统的告警
-c ：对每个IP发多少个探针
-P ：输出形式更适合重定向到一个文件中。
注：具体可以使用 man netdiscover 或 netdiscover -h 来查询详细操作
　　ARP 协议是将 IP 地址转换为 MAC 地址(物理地址)地网络协议
　　局域网中主机的通讯是通过 MAC 地址来实现的，区分 IPv4 里的网络号和主机号
2、ettercap [OPTIONS] [TARGET1] [TARGET2]：
　　　　a、两种运行方式：UNIFIED 方式是以中间人方式嗅探；BRIDGED 方式是在双网卡情况下，嗅探两块网卡之间的数据包
　　　　b、常用参数：
-i ：指定接口
-T ：文本模式，常配合 -q 安静模式使用，-s 表示加载脚本
-M ：指定中间人模式
·ARP 欺骗：arp：remote(双向)、arp：oneway(单向，欺骗目标一到目标二的通讯)
·ICMP 欺骗：icmp：(MAC/IP)
　　　　　　　　·DHCP 欺骗：dhcp：(ip_pool/netmask/dns)
如：-M dhcp：/255.255.255.0/192.168.0.1 不提供 IP 地址，只欺骗目标子网掩码和 DNS 服务器
　　　　c、常见参数组合：
ARP 毒化 eth0 所在的网段，安静模式文本显示：ettercap -Tqi eth0 -M ARP /// ///
　　　　　　对 192.168.1.120 进行 DNS 欺骗，使用默认网卡 eth0,文本模式安静显示：ettercap -Tq -P dns_spoof -M arp:remote /192.168.1.120// ///
3、driftnet [options] [filter code]：
　　　　a、driftnet 是一款使用简单的图片捕获工具，可以很方便的在网络数据包中抓取图片
　　　　b、参数命令：
-b ：捕获到新的图片时发出嘟嘟声
-i ：选择监听接口
-f：读取一个指定 pcap 数据包中的图片
-p ：不让所监听的接口使用混杂模式
-a ：后台模式，将捕获的图片保存到目录中(不会显示在屏幕上)
-m ：指定保存图片数的数目
-d ：指定保存图片的路径(目录)
-x：指定保存图片的前缀名
最后喜欢我文章的朋友请加圈子关注我们，私信关键词：学习。(送免费资料和优惠券)
就会自动分享给你微信号。欢迎大家加入我们的安全大家庭。提高大家的安全意识，提升大家的网络安全技能一直是我们的初衷和愿景，让我们共同成为守护信息世界的"SaFeMAN"。
还有可以关注我们微信公众号，在公众号上输入安界网，就可以关注到我们，领取资料和优惠券！