| DDuP's profile淡水小筑BlogLists |  Tools  Help |
|
|
September 01 McAfee8.5i.Patch1.vHF348674+5200engine+Spyware8.5+Dat5105+HIPS6.01全集成版 此mcafee8.5I全集成版.安装包共59.5MB,总共安装完毕不过2分钟多.无须断线安装. 集成如下(五个组件) 杀软 McAfee.VirusScan.Enterprise.v8.5.0i.Patch1.Incl.Hotfix.vHF348674 反间谍 ASEM850LALL(Antispware) 防火墙 MDF850_RTW_LTW(Firewa8.5)----还可选择HIP601LCT 最新引擎5200eng 最新病毒库 5105 (DAT2007年8月24日) 程序只有一个,只须一路点击选择就OK. 1.点击安装包里的setupvse.exe.如图一,以下所有均在其内安装了.  2.提示先安装”杀软 McAfee.VirusScan.Enterprise.v8.5.0i.Patch1.Incl.Hotfix.vHF348674” ,一路安装下来,过程如图二.  三.  四.  五.  六.  七  .八.  3.提示再到安装”最新引擎5200eng”,过程如图九.  十.  4.提示再到安装” 最新病毒库 5105 (DAT2007年8月24日)”,过程如图十一.  十二.  5.提示再到安装” ASEM850LALL(Antispware)”,过程如图十三.  十四.  十五.  先不要”立即更新”和”运行按需扫描”,直接完成.如图十六.  6.此时安装成功”杀软 McAfee.VirusScan.Enterprise.v8.5.0i.Patch1.Incl.Hotfix.vHF348674”,点击右下角的8.5I图标,可以查看到:引擎是5200:2160(最新的).而且也已打上补丁了,如图:十七.  现在在选择”立即更新”一分钟不到就升级完成.(因为已是2007年8月24日的病毒库5105)相比网上的其它集成版.此处升级至少要十几分钟才成功. 7.不要马上重启,等一会,程序会再自动提示安装” 防火墙 MDF850_RTW_LTW”,这里比较快,无须点击”下一步”就搞定.最后可以看到桌面右下角,同时显现8.5I杀软和防火墙的图标. 如图十八  .右键防火墙图标可以看到版本是591:101,如图十九.  Mcafee已停止升级防火墙,所以建立日期都是2006年7月20日.不过防火墙我觉得挺厉害的,特别是对入侵信息的.可以查到IP地址及人名,和电话,及所在地.不过不知道是不是真实的.所以我觉得挺有必要的,可是经常查看谁来入侵. 另外还可以在8.5I防火墙基础上,在安装包里找到”HIP601LCT”,打开点击”MCAFEEHIP”. 如图二十  可安装HIPS6.01.成功后桌面右下角防火墙图标会改成有两面旗的. 如图:二十一  .(我自己还装有小红伞,切图一下切过来了.)这个HIPS6.01自带防火墙的.版本是116:525, 如图二十二  . HIPS6.01功能强大. 如图:二十三  .二十四  .二十五  .还有个问题.要解锁密码 如图二十六  .,只须在系统管理员密码处打勾,如图二十七  .确定就即可解锁. (还有HIPS6.1版本的,但解锁密码不好找.没有集成,网友们另行安装.) 8.大功告成吧!!还有一点小细节要提醒下:杀软8.5I安装成功后右键桌面右下角图标:如图二十八  .那”禁用按访问扫描”是不可使用的??? 如图二十九  .在那个”禁止mcafee服务被停止”打勾”应用确定.再看如 图三十  , 那”禁用按访问扫描”不是就可以使用了!!! 这mcafee8.5I全集成版,只占内存40MB不到.如 图三十一  .怕麻烦的人,可以试试这个全集成版,一次搞定五个组件.而且永久免费.不必一个个找来再一个个安装. 下载地址:http://www.live-share.com/files/259940/mcafee8.5I____.rar.html August 13 在线自动生成图片,印章,Logo等粉丝身份证:http://id.igogo8.com/ 制作印章:http://www.makepic.com/print.php 邮址图片生成:http://www.makepic.com/email.php 条形码生成:http://www.makepic.com/barcode.php Kiss学堂 颁发结业证:http://www.makepic.com/kiss/cert.php 生成头像:http://www.eoool.com/ImageDIY/DIYChooseImg.aspx?ImgSize=96x96x1 邮件:http://www.eoool.com/Sevice.aspx?TypeID=1 聊天图标:http://www.eoool.com/Sevice.aspx?TypeID=2 博客图标:http://www.eoool.com/Sevice.aspx?TypeID=3 网络书签:http://www.eoool.com/Sevice.aspx?TypeID=5 朋友圈:http://www.eoool.com/Sevice.aspx?TypeID=4 按扭:http://www.eoool.com/Sevice.aspx?TypeID=11 生成拼凑图:http://blog.outer-court.com/letters/ 一个日本武士刀劈出你需要的字: http://tools.fodey.com/generators/animated/ninjatext.asp 生成几种卡通人物对话动态图片: http://tools.fodey.com/generators/animated/talking_squirrel.asp 香烟盒生成,可以做警告图片:http://tools.fodey.com/generators/cigarette_packet/generator.cig 支持多种域名的Email图标的生成: http://www.nhacks.com/email/ 两个地址支持两种风格任意文本的Email图标的生成: http://sagittarius.dip.jp/~toshi ... ail/designmail.html http://sagittarius.dip.jp/~toshi/cgi-bin/catmark/catmark.html 在线favicon生成器: http://www.html-kit.com/e/favicon.cgi 支持各种类型图片的生成,可以选择设置的条件非常灵活: http://www.abi-station.com/tchinese/ 支持大量中文字体签名图标生成: http://www.youmade.com/font/ Flickr杂志封面生成器: http://flagrantdisregard.com/flickr/magazine.php 动态生成有趣图片: 爱因斯坦 http://www.hetemeel.com/einsteinform.php 山姆大叔 http://www.hetemeel.com/unclesamform.php 辞典 http://www.hetemeel.com/dictionaryform.php 魔法师 http://www.imagegenerator.net/create/dumbledore/ Flickr Logo风格图片生成器: http://flickr.nosv.org/ 按钮生成网站: http://kalsey.com/tools/buttonmaker/ http://www.lucazappa.com/brilliantMaker/buttonImage.php http://www.feedforall.com/public/rss-graphic-tool.htm http://www.kalsey.com/tools/buttonmaker/ http://www.yugatech.com/make.php http://www.hkwebs.net/catalog/tools/buttonmaker/index.php Email图标生成网站: http://email.playtime.uni.cc/ http://services.nexodyne.com/email/ http://gizmo967.mgs3.org/Gmail/ http://www.hkwebs.net/catalog/tools/gmail/ http://sagittarius.dip.jp/~toshi ... ail/designmail.html http://www.eoool.com/ Logo生成网站: http://phorum.com.tw/Generator.aspx http://www.logoyes.com/lc_leftframe.htm http://cooltext.com/Default.aspx Banner图片制作网站: http://www.bannerbreak.com/index.php 在线图片生成网站: http://www.streetsigngenerator.com/ http://www.letterjames.de/ 图片分割器: http://www.html-kit.com/e/is.cgi 立体图片生成器: http://www.chami.com/html-kit/services/imge/ 图片生成邮票: http://photo.stamps.com/PhotoStamps/?source=si00001331 个性拼图: http://www.jigcool.com/jigonline/jigonline1_sc.php 印章制作: http://caishu.unihan.com.cn/MSNWebKZ.aspx?MenuID=0101 http://www.makepic.com/print.php 韩国身份证的生成以及验证: http://www.udeng.com/images/hanguo.htm GIF图片的文字LOGO在线生成: http://www.3dtextmaker.com/cgi-bin/3dtext.pl 在线制作logo,bannar的网站: http://www.crazystudy.com SAINT.Assess the Security of Computer Networks http://www.saintcorporation.com/saint/ Abacus.Intrusion Prevention System http://www.psionic.com/abacus/ Firewall Generator(在线生成简单的防火墙脚本) http://www.citadec.com/FirewallGenerator.html 身份证号码在线生成器 http://i972.net/~gen/ 在线字体图片生成 http://www.youmade.com/font/ 中外破解补丁和注册机在线求救 qq.topzj.com/" target="_blank">http://hmay.qq.topzj.com/ 在线生成条码打印 http://www.027hc.com/y1.asp http://www.nlscan.com/soucecentre/demo.asp http://www.gzbonny.com/asp/barcode.asp 在线图形特效生成 http://www.chami.com/ 聊天工具在线状态生成器 http://www.onlinestatus.org/forum/usage.php August 01 下载老旧操作系统/软件的好地方 abandoned你是不是一个软件收集爱好者?你是不是想为你的老机寻找配套的软件而苦于找不到当年的安装碟? 那么你一定要去看看Abandoned——这个专收录老旧软件的收集站提供大量的经典系统,软件和游戏.用你的电子邮箱注册一个账户即可,无论是MS-DOS,Mac OS,Windows NT Workgroup,Windows 98 Plus!,只要你想,都可以找到.下载速度非常棒! 从该站目前提供的老旧Windows版本就可以看出这个站点的实力: June 26 手动清除AV终结者最近AV终结者病毒很流行,许多人都中了,杀毒软件打不开,只格C盘重装也会马上又中毒.因为AV终结者也在不断的更新,所以杀毒软件和专杀总是落后一步,不能查杀.事实上AV终结者并不是指某一个特定的病毒,其本身也没有远程控制和盗号的功能.AV终结者的作用就是下载一个或几个指定网址的木马,但AV终结者给自已 设定许多保护措施,它会关闭大多数杀毒软件和杀毒辅助软件,并且在各个分区生成autorun.inf以及写入注册表,生成映像劫持等等."永久下载者"就是AV终结者中比较典型的一种,上面提过AV终结者并不是指某一特定的病毒,所以这里只能提供手动杀毒思路,完全按照我的杀毒步骤并不一 定就能完全清除.所以这个教程适合对电脑比较了解的人.在文章最后我也会给出比较适合初学者的只格C盘重装系统不会马上再中毒的方法.
好,下面开始动手. 工欲善其事,必先利其器.所以,先准备一下会用到的三个杀毒辅助软件 1.Icesword II 1.20(冰刃) 下载地址:http://www.crsky.com/soft/6947.html 2.Autoruns 下载地址:http://www.crsky.com/soft/5285.html 3.SREng 下载地址:http://www.kztechs.com/sreng/download.html 对于这个病毒,Icesword和Autoruns是主力,原因在后面会提到. 如果在中毒期间曾使用过闪盘移动硬盘之类的,最好接上一起杀,免得刚杀完一插闪盘又中毒. 一 先把这三个软件改名,名字改为无规则的就行了.比如我这里,Icesword改为ii.exe,Autoruns改名为aa.exe,SREng改名为ss.exe 如图1. 图1  很多人都说中了这个病毒上面的三个软件都打不开,原因是病毒对常用杀毒软件和杀毒辅助软件进行了映像劫持,运行这些软件不改名的话,就等于执行了病毒文件.我们可以先运行Autoruns(已经改名为aa.exe了,下面我只提软件名字,不再提示是改名前的名字了). 如图2. 图2  发现了什么?呵呵,常见杀毒软件和辅助软件的名字基本都在这儿了.只要你运行和这个列表里名字相同的软件,就会自动转向运行病毒文件. 二 运行Icesword,寻找病毒进程,永久下载者有两个进程,互相保护,使用Windows的任务管理器是关不掉它的进程的.所以这里要求是对电脑较了解的人,要不然不知道病毒进程是哪些.因为AV终结者有很多类型,所以需要自已判断哪些是病毒进程. 如图3, 图3  找到病毒进程,首先记下后面病毒的路径.按住Ctrl把两个进程都选上,点右键结束进程,因为两个进程同时关闭,所以病毒的进程保护就不起作用了.刷新几次,看看有没有新的病毒进程,如果没有,就可以进行下一步了. 三 点Icesword左侧的"文件",找到上面记下的路径里的两件文件,删除.然后找到C:D:E:等各个分区根目录下的autorun.inf和*****.exe,*****.exe就是autorun.inf里面写着的程序名,我这里是epijcxh.exe. 如图4. 图4  现在AV终结者病毒对Autorun.inf文件进行了改进,右键不会出现Auto的字样,双击也可以进入分区,但不管右键点打开进入还是双击进入,都会运行病毒文件,这就是许多人只格C盘重装后马上又中毒的原因.要删除这几个文件必须要用第三方的软件,比如Winrar,Icesword,Totalcmd等资源管理器软件,或者Windows的cmd命令行,否则进入分区后就运行了病毒程序,前面的所做的一切都要重新来一遍. 注意:删除了Autorun.inf和*****.exe之后,不管右键还是双击都进不去这个分区了,如果想找到某个文件或运行某个程序,可以直接在地址栏中输入 c: 或 d: 等等然后回车来进入这个分区 四 现在轮到Autoruns出场了,运行Autoruns,点"用户登录",找到病毒写入注册表的启动命令.点右键删除这两个.后面显示的是"未找到文件",因为我们刚才在Icesword里面已经把这两件文件删除了. 如图5. 图5  然后再点映像劫持,把除了最后的Your Image File Name Here without a path c:windowssystem32ntsd.exe之外的全都删除,累啊,这么多....删完后应该是这样的,如图6. 图6  到此,AV终结者病毒基本已经清除了.但是....呵呵,一听到但是,就知道还没完.因为我们仅仅清除了AV终结者,AV终结者所下载下来的木马我们还没有杀.大家都注意到了图3中红色的iexplorer进程了吧,这就是AV终结者下载下来的灰鸽子木马进程.Icesword可以发现隐藏进程并用红色表示,在Windows任务管理器下是看不到这个进程的.一般情况下这种红色进程都不是什么好鸟~ 文章开始已经说了AV终结者有很多类型,并不是每一种都像"永久下载者"这样只写入注册表启动项.所以SREng这时候就派上用场了,使用SREng扫描,把注册表启动项,服务,驱动这些都检测一遍,结合Icesword可以一起把木马也清除掉.因为SREng的使用需要对电脑的服务项和驱动项都比较了解,电脑初学者可以使用SREng的智能扫描扫一个报告发到一些大论坛上请高手指导你哪些要删.这里我就不详细演示怎么手动杀掉灰鸽子了,使用SREng和Icesword很容易就可以清除掉. March 27 Windows Server 2003 Service Pack 2(32-bit x86)中文版发布2007.03.26,正在发布Windows Server 2003 Service Pack 2 (32-bit x86)中文版,中文2003系统管理员们跟上! 概述Microsoft Windows Server 2003 Service Pack 2 (SP2) is a cumulative service pack that includes the latest updates and provides enhancements to security and stability. In addition, it adds new features and updates to existing Windows Server 2003 features and utilities. SP2 can be installed directly on the following operating systems:
Before installing this service pack please read the Windows Server 2003 Service Pack 2 Release Notes 直接下载地址: http://download.microsoft.com/download/5/9/7/5976b101-a6bd-41c8-b39f-bb8e39ff1444/WindowsServer2003-KB914961-SP2-x86-CHS.exe March 25 世界顶级防火墙LooknStop的配置详解一. 难以驯服的烈马:LooknStop
网络防火墙的选择一直是众多用户最头痛的问题,放眼看看现在的防火墙市场,大有群雄逐鹿之势,但是用户并不会因为防火墙产品越来越多而感到欢欣,相反,越来越多人逐渐发现自己已经步入了一个选择的难题:哪一款防火墙产品才是最安全牢固的? 尽管防火墙产品众多,可是用户只希望能迅速找到一款适合自己的产品,于是许多权威测试机构诞生了,如Firewall Leak Tester等,这些测试机构通过各种模拟和真实环境严格测试防火墙产品的各项安全系数,最终统计出一款产品的总体分数。因此,我们才得以迅速根据测评结果选择一款能令人安心的产品。
它就是LooknStop,长期位居FLT测评第一名的产品,而且,它还是瑞士银行用以维护自家安全的防火墙系统,其安全性能可见一斑。
但是,这款强大的产品却极少被发现安装于普通用户的机器上,为什么呢? 某公司职员小李偶然发现了这款产品的介绍,抱着试一试的心态,他给自己的机器安装了一份程序,可是他却没能享受这款顶级防火墙给他带来的安全保护,反而,它给他带来了许多噩梦:BitComet不能用了、浩方上不去了、迅雷和FlashGet成了残疾、魔兽争霸成了死机的代名词……这到底是护人还是赶人?小李看了一些资料,发现这款产品需要设置,于是,他打开了设置界面……然而,在一堆专业术语面前,小李彻底崩溃了。
最终,小李决定放弃LooknStop,改用国产防火墙了。 无可否认,LooknStop是一款优秀产品,它提供了强大而全面的网络保护功能、具备灵活的自定义入侵检测规则、系统资源和文件资源占用都很小,甚至,通过设置规则,LooknStop还可以代替一部分Sniffer功能实现网络数据包监控…… 但是LooknStop让用户又痛又爱:要使用它,就必须通过最难的一关:防火墙规则设置。这款强大的产品带来了业界公认最麻烦的规则设置,让许多用户面对它的时候,犹如面对着一匹难以驯服的烈马。 难道LooknStop对一般用户来说,就是那么的可望而不可及吗? 二. 原理篇:规则与通信 以前我们介绍过防火墙的原理,在里面,我提到了“防火墙规则”(Firewall Rules),规则是防火墙的思维,它们其实是一条条描述语句,用于设置防火墙行为等,每一条规则都对应了一种特定的行为判断,防火墙根据规则的内容对符合条件(端口、协议类型、甚至包数据)的数据包给予拦截或通行,当然也可以记录数据。众多的规则结合,防火墙工具才得以给我们带来一个牢固而灵活的安全保护体系。 配置防火墙规则往往是网络管理员最头痛的事情,一个防火墙的工作效率、拦截放行、总体安全系数除了要求防火墙的引擎功能强大以外,就全看规则的设置了,如果防火墙引擎不能识别复杂的数据包结构,那么一些描述复杂的规则就不能正常工作,但是一个防火墙越强大,其相应的规则设置也就更复杂,对这种防火墙而言,一条好的规则就比什么都重要了。 规则并不是随便设置的,它围绕着一定的“安全策略”实施,许多防火墙产品在市场上出售时,就已经有了默认规则,而这些规则就是厂商的“安全策略”的实体对象,许多用户安装或购买一个防火墙产品后,就一直没对这些规则做过修改,或者不知道防火墙规则的存在,但是他们依然能得到防火墙的保护,就是因为厂商已经为广大群体套用了“兼容的”规则集合,换句话说,就是用户在接受一款防火墙产品的时候,就已经得到了厂商为大家定制的“安全策略”。但是这种面对大众的策略并不一定适合每一个人,有时候,一些用户会觉得默认规则不太适合自己的实际环境,他们便会根据自己的要求,修改增加这个规则集合,例如一台网站服务器,使用的防火墙默认规则里限制了外部对1024以下低端口号的访问,这显然就和做网站需要开放80端口的要求冲突了,所以网络管理员会修改防火墙规则,去掉这条限制规则或者从规则里除掉80端口的条件。许多用户并不知道,他们删改或增加规则的行为,其实就是自身“安全策略”的实施过程。 但是在把安全策略转化为规则实体之前,我们还必须慎密的思考一件事情,那就是“安全体系结构”。 所谓“安全体系结构”,就是整个防火墙最终为用户带来的安全效果,安全策略可以是片面的,管理员在思考策略的时候不一定要考虑到整体效果,但是当一条条安全策略作为规则集合出现之前,它就必须先转化为面向整体的“安全体系结构”,这是一种考虑全局的策略集,还是上面的网站服务器例子,管理员需要开放基本的80端口,如果有FTP,还要开放21端口,甚至SSL端口443,这个环境的安全策略则可以描述为以下列表:
1. 开放80端口 2. 开放443端口
3. 开放21端口 但是光有这些还不够,管理员必须保证它与已有的规则集合不会发生冲突以及实际环境中的应用效率,例如,实际生活中,防火墙在开放端口的同时还要对数据进行监控,以防止SYN洪水等,另外还要检查防火墙默认规则集合里有没有与之冲突的描述,如果你增加了一条“开放80端口”的规则,但是规则集合里却存在着“限制所有端口连接”的规则,那么其中一条规则就会失效,管理员的预期设想也就得不到正确实施了。 所以管理员在做好自己的安全策略后,还要检查已有的规则集,删除会导致策略冲突的规则,并可能根据实际应用环境做出策略调整,最后得出最终的安全策略列表,这一步就叫做“安全体系结构”: 1. 开放21、80、443端口 2. 在80端口上设置SYN计数防止DoS攻击 3. 继续阻止其他端口访问,如135、139等 4. 允许ICMP回显 5. 允许管理员能从内部网络远程登录配置服务器 6. 更多规则设置列表…… 这些策略列表的集合描述,就是“安全体系结构”的具体形态。
管理员决定了整体的安全体系结构后,就要开始着手实施防火墙规则的修改了,但是在“动”规则之前,还有最后一个注意事项——“规则次序”。 “规则次序”是一个不可忽略的配置部分,因为大部分防火墙产品是顺序读取规则设置的,如果发现了一条匹配的规则,那么下面的其他规则描述则被忽略掉,所以规则的排列次序决定着防火墙的运作情况,管理员在配置规则时必须把属于特殊性质而又不容易与其他现存规则发生冲突的规则放到最前面,最大限度防止防火墙在找到一个特殊规则之前与普通规则相匹配,导致管理员精心设置的安全规则失效。 当所有准备工作就绪后,我们就要开始把方案转化为实体了,这就是防火墙规则设定。 前面说过了,防火墙规则就是一条条用于描述防火墙在遇到什么类型的数据包的时候应该怎么做的命令语句,根据防火墙核心能识别的深度差异,不同防火墙的规则定义也不尽相同,但是基本上都离不开这几个基本参数:数据包方向、数据包地址、范围、协议类型、端口号、标志位(TCP)、包类型和代码(ICMP)、以及满足条件时的防火墙动作(通行、拦截、忽略、记录)等,正是这些参数的各种搭配构筑了最终得以保护用户免遭网络攻击的一条条规则,成为用户的安全体系结构,一款防火墙产品核心能识别的数据类型越多,相对应的规则设定就越复杂,这是一种鱼和熊掌不可兼得的事情,因此,学习防火墙规则设置是每个管理员或专业用户都必要的。 防火墙的性能取决于最终的规则设定,稍有疏错,再强大的核心也只能发挥入门级的防御了。 例如,一个用户在设置防火墙规则时取消了低端口访问限制,却遗忘了139端口可能带来的危害,不久后,该用户机器被入侵者成功连接并种植了后门。、 这种情况下,我们该责怪防火墙,还是责怪用户规则设置得不严密呢? 这是个问题。 同样,LooknStop在为用户带来强大防御功能的同时也带来了规则复杂难以设置的代价,许多用户第一次打开它的规则设定界面时,傻了——包括我在内。 正因为这样,许多用户选择了退而求其次的道路,改用了其他防火墙产品。难道LooknStop就真的那么难以驯服吗? 今天,就让我们一起来驯服这匹上好的烈马。 三. 实战:LooknStop防火墙的规则设置 1.概述 LooknStop 作为一款强大的防火墙,其采用的原型是非常严格的,首先,LooknStop先禁止所有本地和远程的网络访问操作,然后才逐项允许,在初始时不信任任何程序和网络操作,正是因为这过于严厉的策略原型,LooknStop才能成为一堵树立在系统和网络之间的“墙”,而也正是因为这样的模型, LooknStop也造成了一部分用户安装完毕后无法连接网络的问题——它把所有数据包都拦截了。所以我们首先要解决的就是大部分用户面对 LooknStop时吃的第一个下马威:无法连接网络。
LooknStop的主界面并不难理解,从左到右分别为“欢迎”、“应用程序过滤”、“互联网过滤”、“日志”、“选项”和“注册”,欢迎界面主要用于显示一些概要信息如连接状态、IP地址、数据包情况等。 我们先解决第一个燃眉之急:如果你不幸成为安装LooknStop后无法成功进行ADSL拨号的用户,请先进入“互联网过滤”界面,然后双击最后一条规则“All other packets”,它就是罪魁祸首,选择“以太网类型”为IP,保存应用即可。 这一故障是LooknStop默认的严格规则造成的,它把所有未在规则里定义的数据包都过滤了,于是计算机向远程MODEM设备发送的PPPoE协议包全部被扼杀在了系统的门口里……由此可见,与某些防火墙比起来,LooknStop是多么的严格! 解决这个问题后,我们回到正题。 2.基于界面的设置 既然LooknStop的规则如此严格,我们也遵循它的规则,严格依照从左到右的顺序讲解吧:P(老勇不许扔鸡蛋!) 首先是“欢迎”界面,这里是作为快捷数据统计而设的,用户可以在这个界面看到基本的数据流量情况以及网络信息,如果网络已经连通,LooknStop会报告你的计算机IP地址,如果这里为0.0.0.0,则说明没有连接网络或者LooknStop没能检测出活动的连接,用户必须自己到“选项”的“网络接口” 里手工选择一个作为LooknStop的监控对象。 其次,是众多软件防火墙都会提供的“应用程序过滤”功能, LooknStop“不信任任何人”的思想在这里又一次得到了发挥,每个程序第一次启动的时候都会被拦截询问,用户允许通过的程序都在里面列举出来,并且在左边出现一个活动列表,可是即使这样,LooknStop仍然为每个程序列表设置了四个不同性质的可以随时中断该程序访问的按钮,分别为“过滤激活”、 “过滤类型”、“进程调用”、“连接记录”。 在“过滤激活”里可以选择两种状态,分别为“启用”和“禁止”,用于告诉防火墙是否允许该应用程序按照后面的规则运行,如果状态为“禁止”,则后面设置的独立应用程序规则不起作用,但是这并不意味着程序能摆脱防火墙的限制——每次这个程序访问网络的时候,防火墙都会再次询问你是否允许这个程序访问网络。 “过滤类型”里提供了3种类型选择,分别为“允许”、“自定义”和“禁止”,如果用户没有为这个程序设置特殊规则,则只会在“允许”和“禁止”两种类型之间选择,否则为三种。直接双击程序名字就可以设置“过滤类型”,里面分别提供了TCP和UDP协议的端口和IP设置,LooknStop强大的灵活设置性能再次体现了出来:单独输入IP或端口,则规定这个程序只能访问用户指定的IP或端口,多个端口之间用分号“;”分隔,IP同上。 看到这里,一些用户可能会想,是不是只能设置允许访问的地址呀?其实不然,LooknStop的强大之处正是在于它能通过尽量少的对话框完成尽量多的操作——要设置程序禁止访问的IP,只需要在同样的设置对话框里设定IP或端口时在前面加一个感叹号“!”即可,可以说,LooknStop把“简洁就是美”的信奉发挥到了极致! 现在让我们来看看“进程调用”,首先我要简单介绍一下“进程调用”的概念,有时候,一个程序要访问网络并不是通过它自身实现的,而是调用了外置的DLL函数,这样的话,最终访问网络的程序就是那个DLL文件而不是程序本身,许多防火墙都认为,通过程序宿主进程启动进而访问网络的模块也是符合条件的,因此不会做任何阻拦,但是LooknStop仍然不信任任何模块,它会忠实的报告并控制每个子进程DLL的网络连接并提示用户,在如今这个“代码插上翅膀”(线程注射)越来越猖獗的年代里,这样的限制是十分有必要的,很多防火墙正因为过于信任程序调用的进程模块,导致一些DLL类型的木马得以搭载顺风车,给用户的系统安全带来威胁。针对这种情况,LooknStop提供了“进程调用”的控制功能,分别为“允许”(双箭头标志)和“禁止”(红色停止标志),一旦某个程序的“进程调用”被设置为禁止,该程序就只能通过自身访问网络了,所有通过它调用的模块都无法突破限制,这个设置对一些经常被后门搭顺风车的系统程序是很有用的,设置禁止后,我们就不用再怕灰鸽子之流通过IEXPLORE.EXE、Svchost.exe等程序突破传统意义的防火墙连接了。 最后,是一个标示为感叹号的设置项,它代表“连接记录”:灰色的点表示不记录,两个感叹号表示记录该程序的所有连接,而单独一个感叹号则是与“过滤激活”配合使用的,如果你把一个程序的“过滤激活”设置为“禁止”,以后这个程序再次请求访问网络的时候就会被LooknStop记录下来,如果一个奇怪的程序频频要求连接网络,那么它是木马的可能性将会很大! 从“应用程序过滤”这一部分就可以看出,LooknStop对程序的控制非常灵活和精巧,仅使用一个界面和一个对话框就能完成对4种程序控制方式,包括多达10个属性36种不同组合的控制能力,其对程序的控制能力可见一斑。 那么,LooknStop对网络协议的控制功能又如何呢?让我们进入“互联网过滤”,这里正是用户噩梦开始的地方。 这里同样是简洁而复杂的界面,简洁在于按钮的稀少,复杂在于太多列表控制的项目,一眼看去,几乎能让人摸不到头脑,但是这里正是所有防火墙思维的起点:防火墙规则集合。 从左到右依次为“启用规则”、“规则模式”、“匹配时记录”、“匹配规则后是否执行后续规则”、“匹配规则时声音或警报提示”。 “启用规则”里提供了3种类型选择,分别为“默认方式启用规则”、“自定义方式启用规则”和“不启用规则”,如果用户没有设置自定义规则,则只能在“默认方式启用规则”和“不启用规则”之间切换。 “自定义方式启用规则”取决于规则里定义的“应用程序”项目,表示该规则只对特定的应用程序起作用,当符合条件的程序启动后,这个暗红色带绿勾标志变为绿色带红勾标志,代表程序已经启动并处于防火墙规则控制之下。 “规则模式”允许两种选择:“拦截”和“允许”,LooknStop通过这里的标识决定符合该规则的程序是该允许访问网络还是被阻止访问网络,与其它防火墙产品对比,这样的设置方法是非常方便的,用户不需要重新进入规则设置便能直接修改规则行为。 “匹配时记录”提供了两个选项,“记录”和“不记录”,顾名思义,当一个满足规则设定的操作发生时,防火墙会根据这里的设置决定是否在日志里记录下这次操作信息。 “匹配规则后是否执行后续规则”是一个非常重要的规则行为标志,它提供两种选择,分别为“不匹配下一规则”和“匹配下一规则”,前面说过LooknStop的思想是阻止所有连接,而这里的规则设定就是其思想的具体实施方案,为了让程序能正常连接网络,同时也为了提高自身的执行效率,LooknStop提出了这个选项,它决定当一个符合防火墙设定的规则被执行后,是否要继续匹配下一条相同性质的规则,在这里我们可以方便的设置一些复杂的规则,例如我们需要增加一条允许本机打开80端口的规则,但是又不想为此开放所有低端口连接,那么就可以添加一条允许80端口的规则,并设置其“后续规则”为“不匹配”,那么就可以在保留原规则不变的同时增加本机开放80端口的功能了。 “匹配规则时声音或警报提示”有3种类型选择,分别为“声音报警”、“可视报警”和“不报警”,这个选项要与选项里的“声音”和“消息框”配合使用,第一种表示规则匹配时发出声音报警,第二种表示规则匹配时弹出消息框并同时发出声音报警,如果你觉得噪音扰民,可以设置为最后一种,还你一个安静的环境。 3.防火墙的灵魂——规则设置 任何防火墙都在各种规则的引导下运行,LooknStop也不会例外,而其恰恰正是因为规则难以配置而“闻名”的,要真正驯服这个强悍的小家伙,就必须理解并解决规则设置,在“互联网过滤”界面里点击“添加”,会弹出一个略显复杂的对话框出来。相对于大部分国内防火墙产品而言,LooknStop提供的可供设置的数据类型和模式多了不少,如果用户对各种协议的概念不是很了解,在面对这部分的时候就会很头痛了,LooknStop在这个设置对话框里提供了8大类设置,分别为“规则名称”、“方向”、“规则说明”、“以太网”、“IP”、“TCP标识”、“来源”和“目标”。 “规则名称”很容易理解,用户就是在这里设置特定规则名称的,“规则说明”则是为了描述这条规则的功能和用途,除了这两个选项不需要特别讲解以外,其他部分请仔细听好! 在开始动手之前,必须先了解一件LooknStop特有的事情,这款防火墙在编辑规则时是中性的,我们不能从这个界面里设置某条规则是给予通行还是拦截,一旦你保存这条规则,LooknStop则默认了此规则是“允许通行”的,要设置为“拦截”的话必须在保存后自行到主界面上相应的“规则模式”里设置为“拦截”。 其次,LooknStop的信任关系是基于IP地址和MAC地址双重检测的,这是一种理想的信任关系模式,IP地址和MAC地址分别都是可以欺骗的,但是如果IP和MAC结合起来,就很难实施欺骗了,而且也正是这种信任模式,它的规则设置才容易让人迷惑,其实只要理解了其思想,对这款防火墙的规则设置就不复杂了。 明白这两个基本概念后,我们正式开始吧。 首先是“以太网:类型”区,这部分到底表达了什么,笔者最初也是头痛了很久,经过多次试验后终于发现,这里其实是让防火墙知道你的机器环境是在局域网内还是互联网中的独立机器,或者说,控制某条规则是适合在局域网中使用还是在单机环境中使用。 这个区域里提供了4种选择,分别是“全部”、“IP”、“ARP”和“其它”,“全部”表示包含后面三种类型的协议,一般很少用到,除非你的机器所处的网络环境非常复杂,有多种系统一起运作,否则只需要选择“IP”类型即可,这是一种最兼容最常用的类型。 “ARP”类型只能在局域网内使用,也就是专为局域网环境设定的,由于它涉及MAC地址,故脱离了局域网环境就无效了,除非你是在局域网内使用机器,否则不要选择这个类型。 其次是“IP”区,这里又分为3个小区,最左边的“协议”用于为当前规则指定协议,LooknStop提供了9种选择,除了“全部”以外,几乎包含了各种常见协议类型,一般只需要设置TCP、UDP或ICMP其中之一即可,虽然曾经有过IGMP Nuke,可是现在也基本上没有人用Windows 98作为工作环境了吧,所以连IGMP防御都可以免了…… 右侧的“碎片偏移”和“碎片标志”分别用于更详细的检测过滤IP头部的偏移位和标志位,可以用于防止特定标志位的碎片数据报攻击,不过对于普通用户来说,我们并不需要特别指定这里的内容,一般选择“全部”即可。 然后到“TCP标识”区,这里其实不是只有一个功能设定的,它还可以变为“ICMP”区或“IGMP”区,视前一个“IP”区的协议类型而定,用户只有选择了TCP协议以后才能进入TCP标识里设置要具体控制的TCP标志位,里面一共有URG、ACK、PSH、RST、SYN和FIN这6种标志位供用户选择,主要针对一些有特殊TCP要求的用户,例如某台机器被用作Internet网关时,如果想阻止局域网内的某台机器通过TCP协议连接某个外部端口,则可把TCP标志位设置为ACK,阻止远程连接传回的应答请求,该连接自然就无法成功建立,最终达到拦截的目的。 现在到“来源”区,许多人觉得LooknStop难以配置,除了“以太网类型”难以理解以外,最容易混淆的就是“来源”区和旁边的“目标”区,要成功配置 LooknStop,首先要弄清楚一件事情:在LooknStop的规则设置里,“来源”完全表示本地,“目标”则表示远程,而不管实际的连接请求或者数据包方向是从哪里发出的。所有与本机网络有关的设置如开放本地某个端口、允许或阻止本地网络的某个IP,都是在“来源”里设置的,这里通常是和“目标”区搭配使用的,例如配置开放本机的80端口,那么就不应该去管“目标”区的任何设置,除非你要限制对方IP范围或端口范围那就另当别论。要开放本机80端口,首先应该在“来源”区的“IP:地址”里选择“等于本机在”,“TCP/UDP:端口”里选择“等于”,下面的第一个选项里输入端口80,第二个选项置空即可。如果要开放一段连续的端口,则在第二个选项里填入另一个数字,然后把“全部”改为“在A:B范围内”即可,需要提醒一点,普通的开放本机端口操作在“目标”区里不用填写任何东西!其他更多的选项可以根据这个举一反三。 最后是“目标”区,这里和“来源”区相反,它表示远程主机连接的参数,无论你在“方向”里选了什么,这个地方出现的都必须是远程机器的数据,永远不要出现你的本地数据! “目标”区主要是作为限制本机对远程访问数据而设置的,例如阻止本机程序访问任何外部地址的8000端口,则在“目标”区里设置“IP:地址”为“全部”,“TCP/UDP:端口”为“8000”即可,而“来源”区里完全不用设置任何东西。 在上面几个大区之外,还有个名为“应用程序”的按钮,这里用于设置特定的程序规则,其中可供选择的程序在右边列出的已经被记录访问过网络的程序列表中选择添加,以后此条规则就专门针对这个列表里的程序使用了,LooknStop这种思想大大增加了应用程序访问规则的灵活性 4. 监视的窗口——防火墙日志 这里是LooknStop的数据显示窗口,如果你在规则里设置了日志记录,这里就会报告出来,显示当前阻止和允许的连接数量和内容,还可以直接双击列表直接查看详细的数据类型,甚至完整的数据内容,在这一点上,LooknStop甚至可以替代Sniffer成为网络抓包工具! March 15 主流杀毒软件Vista兼容性横评(来自It168的重量级报道)随着使用Vista系统的用户越来越多,各个厂商逐一发布了针对Vista系统的软件新版本.在日常应用中,安全防护软件一般都是用户的必选项目,这次我们给大家带来8款常用安全防护产品测试,看看在Vista系统下软件有怎样的表现.
软件版本挑选
首选各软件针对vista的单独版本,再选现有版本升级。其中金山毒霸是通过软件升级支持Vista;瑞星杀毒和驱逐舰没有明显的标识是否已经支持Vista;江民杀毒、PC-Cillin、诺顿网络安全特警2007、nod32、卡巴斯基都有针对vista的新版本。
如何测试
使用同一平台,全新安装操作系统,制作Ghost镜像。更换测试软件前,恢复镜像,尽可能的保证测试环境的统一,预防上一测试软件可能会造成的影响。
本次测试主要针对4个方面来进行:操作界面,功能使用,扫描速度和资源占用。
1. 操作界面
测试软件界面是否直观,操作是否简洁。其实在以前单品测试中,我们都已经对界面进行了详细的测试,本次测试主要是测试软件在VISTA系统下是否会出现显示问题以及是否有新的界面出现。
2. 功能使用
测试软件的各项功能在Vista系统下,是否都能正常工作及是否有针对Vista的单独功能。
3. 扫描速度
扫描速度是安全软件的一个重要指标,我们准备了一个文件夹,容量大小为3.14GB,共有3121个文件,包含EXE,dll,msi,cab,zip,rar,avi,rmvb,jpg,bmp,png,mp3,pdf,iso等各种常见的文件格式。测试前,重起机器,执行软件的扫描文件夹功能。因为测试文件夹中有不少大容量的cab、msi等打包文件,所以软件的扫描文件数量也一定程度上说明软件的扫描效果。
软件一般都会提供两种模式:快速和完整。快速模式下只会对重要文件进行扫描,但对压缩文件之类的不会扫描。所以扫描模式选择完整扫描。没有模式选择的软件,尽量修改配置使之与其他软件扫描效果相同。
4. 资源占用
资源占用是软件测试的一个常规项目,是判断软件是否优秀的标准之一。Vista的任务管理器更改了显示名称,不再分内存和虚拟内存,所以本次测试的资源占用监控内存-专用工作集、内存-工作集和内存-提交的占用情况。另外,安全软件因为要监控系统,所以不会只有一个进程在运行,所以我们把软件的所有进程的资源都累加起来算,不单算扫描进程所使用的资源。我们使用软件安装完成后的默认功能来进行测试,不过功能越多的软件,所占用的资源会多一些。
瑞星官方没有明确的表明是否支持Vista系统,所以我们选择安装软件后,使用升级功能升级到最新的版本再进行测试。在这次测试中,瑞星是出现兼容问题最多的,管理中心界面会被Vista系统加上一个边框,但选择经典界面再切换回来就没有问题了,不影响功能使用,可以忽略。
在软件附带的功能中,系统漏洞扫描无法使用,提示需要管理员权限,而我们确信我们使用的帐号具有管理员权限。瑞星卡卡可以正常安装,但其中IE防漏墙功能却不能启动。
软件的资源占用方面,在空闲时,资源占用较少,但是在查杀时资源占用飞涨,这可能是因为瑞星所使用的虚拟机脱壳引擎缘故。
江民杀毒软件2007单独发布了支持Vista的新版本,软件杀毒部分在测试过程中一切正常,但是防火墙功能出现了些问题。
运行防火墙,发现监控不到系统网络流量,从系统安全中心查看,发现江民防火墙与Windows防火墙同时存在,没有完全接管Windows防火墙,导致出现状况时,屏幕上会弹出不同的提示框。
软件的查杀引擎对打包文件支持的不错,所能扫描的部分在所有软件中排第二位,但是扫描时间是最长的。同瑞星一样,在空闲时对资源的占用不高,查杀时也会变的很高。
趋势也是单独发布了新版本for Vista,软件在使用过程中一切正常,windows自带的安全功能全部接管。由于测试环境是单机的,没有对PC-Cillin独有的网络管理功能进行测试,不得不说有点遗憾。
PC-Cillin在扫描数量上完全和我们在系统中查看到的数量一致,但是从设置中可以看到软件也会对打包文件进行解包扫描,只是没有在界面上体现,所以我们无法得知准确的扫描数量。扫描速度属于中流水平,软件对资源比较少,空闲期和查杀期之间的差距不大。
软件在扫描速度测试中是速度最快的;但是,撇开PC-Cillin,诺顿的扫描数量是最少的。据诺顿官方说,网络安全特警2007针对用户的意见,大幅度修改代码以减少对系统资源的占用。测试中,软件在空闲期占用资源在96MB左右,查杀期占用资源在139MB左右,在所有软件中属于中流。
针对Vista的NOD32目前还没有简体中文版本,我们测试使用的是最新的英文2.7版,软件安装、操作界面、功能启用上没有任何问题。
NOD32一直以占用资源小、扫描速度快著称,软件在速度测试中仅落后诺顿不到1秒的时间,而扫描数量却要比诺顿多不少。在资源占用方面,NOD32以最少的占用资源排在第一位,充分说明NOD32是一款优秀的杀毒软件。
同NOD32一样,我们有找到简体中文版本,所以测试用的是最新英文版本。操作界面上没有什么改变,功能使用上完全正常。 软件的扫描数量和扫描速度测试中,均排在第五位。在这不多不提一下卡巴斯基的查杀效果,测试文件夹中有几个捆绑广告程序的文件,全部被揪了出来,所有软件中只有卡巴斯基和驱逐舰查到了。
卡巴斯基的资源占用情况有了很大的改善,占用较少资源仅次于NOD32。
驱逐舰是一个来自韩国的产品,他们使用的引擎也是很有特色。我们没有在官方找到关于Vista的信息,于是选择最新的版本来进行测试。 软件在Vista中显示完全正常,但在启用邮件监控时出现点问题,第一次测试时启用邮件监控一切正常,当重启后系统提示运行错误,关闭了邮件监控功能,再开监控重启又恢复了正常。
软件在扫描数量中排第一,和卡巴斯基一样,把测试文件夹中捆绑广告的文件查了出来,但扫描速度就差了点,排在了倒数第二位。系统资源占用稍多,属于中下水平。
各个软件都不完美,综合来说,NOD32 antivirus占用资源最少、扫描速度也快,只可惜只有杀毒功能;其次是诺顿网络安全特警2007和卡巴斯基,一个扫描速度快、功能丰富,一个占用资源少、查毒犀利;PC-cillin表现的中规中矩;瑞星在扫描测试中表现不错,但是功能上稍有些问题,希望新版本尽快发布;金山毒霸资源占有稍有过多;江民杀毒查杀时占用资源多,扫描速度差一些;驱逐舰虽然扫描数量最多,但是建立在比较长的时间上面,且只有杀毒功能,期待以后会有更好的表现。
所有软件中,表现最好的当属NOD32,推荐用户使用。喜欢丰富设定的用户推荐卡巴斯基;想省事装完不管的用户,推荐选用诺顿网络安全特警。 March 13 HiJackThis v2.0绿色汉化版HijackThis日志详解
日志项纵览 R0,R1,R2,R3 Internet Explorer(IE)的默认起始主页和默认搜索页的改变 F0,F1,F2,F3 ini文件中的自动加载程序 N1,N2,N3,N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变 O1 Hosts文件重定向 O2 Browser Helper Objects(BHO,浏览器辅助模块) O3 IE浏览器的工具条 O4 自启动项 O5 控制面板中被屏蔽的IE选项 O6 IE选项被管理员禁用 O7 注册表编辑器(regedit)被管理员禁用 O8 IE的右键菜单中的新增项目 O9 额外的IE“工具”菜单项目及工具栏按钮 O10 Winsock LSP“浏览器绑架” O11 IE的高级选项中的新项目 O12 IE插件 O13 对IE默认的URL前缀的修改 O14 对“重置WEB设置”的修改 O15 “受信任的站点”中的不速之客 O16 Downloaded Program Files目录下的那些ActiveX对象 O17 域“劫持” O18 额外的协议和协议“劫持” O19 用户样式表(stylesheet)“劫持” O20 注册表键值AppInit_DLLs处的自启动项 O21 注册表键ShellServiceObjectDelayLoad处的自启动项 O22 注册表键SharedTaskScheduler处的自启动项 O23 加载的系统服务组别——R 1. 项目说明 R –注册表中Internet Explorer(IE)的默认起始主页和默认搜索页的改变 R0 - 注册表中IE主页/搜索页默认键值的改变 R1 - 新建的注册表值(V),或称为键值,可能导致IE主页/搜索页的改变 R2 - 新建的注册表项(K),或称为键,可能导致IE主页/搜索页的改变 R3 - 在本来应该只有一个键值的地方新建的额外键值,可能导致IE搜索页的改变 R3主要出现在URLSearchHooks这一项目上,当我们在IE中输入错误的网址后,浏览器会试图在注册表中这一项列出的位置找到进一步查询的线索。正常情况下,当我们在IE中输入错误的网址后,浏览器会使用默认的搜索引擎(如http://search.msn.com/、网络实名等)来查找匹配项目。如果HijackThis报告R3项,相关的“浏览器绑架”现象可能是:当在IE中输入错误的网址后,被带到某个莫名其妙的搜索网站甚至其它网页。 2. 举例 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/ (HKCU就是HKEY_CURRENT_USER,HKLM就是HKEY_LOCAL_MACHINE,下同)上面的例子中,默认主页被改变,指向了新的地址http://www.google.com/。 R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL 这是百度搜索 R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL 这是3721网络实名 R3 - Default URLSearchHook is missing 这是报告发现一个错误(默认的URLSearchHook丢失)。此错误可以用HijackThis修复。 3. 一般建议对于R0、R1,如果您认得后面的网址,知道它是安全的,甚至那就是您自己这样设置的,当然不用去修复。否则的话,在那一行前面打勾,然后按“Fix checked”,让HijackThis修复它。对于R2项,据HijackThis的作者说,实际上现在还没有用到。对于R3,一般总是要选修复,除非它指向一个您认识的程序(比如百度搜索和3721网络实名)。 4. 疑难解析 (1) 偶尔,在这一组的某些项目后面会出现一个特殊的词——(obfuscated),例如下面几个 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com\0@www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com\0@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com\0@www.e-finder.cc/search/ (obfuscated) obfuscated,中文大意为“使混乱,使糊涂迷惑,使过于混乱或模糊,使得难于感觉或理解”。这里主要是最后一个意义。这些被HijackThis标为obfuscated的项目在对IE主页/搜索页进行修改的同时,还利用各种方法把自己变得不易理解,以躲避人们对注册表内容的查找辨识(比如直接在注册表特定位置添加十六进制字符键值,电脑认得它,一般人可就不认得了)。 (2) 有些R3项目{ }号后面,会跟上一个下划线( _ ),比如下面几个: R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file) R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file) R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file) 这些{ }后面多一个下划线的R3项目,实际上无法使用HijackThis修复(这是HijackThis本身的一个bug)。如果要修复这样的项目,需要打开注册表编辑器(开始——运行——输入 regedit——按“确定”),找到下面的键 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks 对比HijackThis的扫描日志中那些R3项的CLSID——就是{ }号中的数字——删除想要删除的项目,但要注意不要误删以下一项 CFBFAE00-17A6-11D0-99CB-00C04FD64497 这一项是默认的。请注意,如果是在{ }号前面有一个下划线,这些项目HijackThis可以正常清除。比如下面的: R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file) R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file) R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file) R3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file) (3)最近见到不少后面没有内容的R3项。比如 R3 - URLSearchHook: 怀疑这是3721的项目,如果您安装了3721,则会出现这样一个R3项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。 ** 特别提醒:如果您在HijackThis的扫描日志中发现了F2项并进行了修复,一旦因为某些原因想要反悔,请“不要”使用HijackThis的恢复功能来取消对F2项目的修改(我指的是config菜单——Backups菜单——Restore功能),因为据报告HijackThis在恢复对F2项的修改时,可能会错误地修改注册表中另一个键值。此bug已被反映给HijackThis的作者。此bug涉及的注册表键值是 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit 一旦对上面键值相关的F2项使用HijackThis修复后再使用HijackThis的恢复功能恢复对这一项的修改,可能会错误修改另一个键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:Shell 所以,如果您在HijackThis的扫描日志中发现了类似下面的F2项并进行了修复,一旦因为某些原因想要反悔,请手动修改上面提到的UserInit键值(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit) F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe, 不过,说实话,在我的记忆中我从没有处理过含有F2项的HijackThis扫描日志。组别——F 1. 项目说明 F - ini文件中的自动运行程序或者注册表中的等价项目 F0 - ini文件中改变的值,system.ini中启动的自动运行程序 F1 - ini文件中新建的值,win.ini中启动的自动运行程序 F2 - 注册表中system.ini文件映射区中启动的自动运行程序或注册表中UserInit项后面启动的其它程序 F3 - 注册表中win.ini文件映射区中启动的自动运行程序 F0和F1分别对应system.ini和win.ini文件中启动的自动运行程序。 F0对应在System.ini文件中“Shell=”这一项(没有引号)后面启动的额外程序。在Windows 9X中,System.ini里面这一项应该是 Shell=explorer.exe 这一项指明使用explorer.exe作为整个操作系统的“壳”,来处理用户的操作。这是默认的。如果在explorer.exe后面加上其它程序名,该程序在启动Windows时也会被执行,这是木马启动的方式之一(比较传统的启动方式之一)。比如 Shell=explorer.exe trojan.exe 这样就可以使得trojan.exe在启动Windows时也被自动执行。 F1对应在win.ini文件中“Run=”或“Load=”项(均没有引号)后面启动的程序。这些程序也会在启动Windows时自动执行。通常,“Run=”用来启动一些老的程序以保持兼容性,而“Load=”用来加载某些硬件驱动。 F2和F3项分别对应F0和F1项在注册表中的“映像”。在Windows NT、2000、XP中,通常不使用上面提到的system.ini和win.ini文件,它们使用一种称作IniFileMapping(ini文件映射)的方式,把这些ini文件的内容完全放在注册表里。程序要求这些ini文件中的相关信息时,Windows会先到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping这里查找需要的内容,而不是去找那些ini文件。F2/F3其实和F0/F1相类似,只不过它们指向注册表里的ini映像。另外有一点不同的是,F2项中还报告下面键值处额外启动的程序 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 此处默认的键值是(注意后面有个逗号) C:\WINDOWS\system32\userinit.exe, (根据您的Windows版本和安装目录的不同,路径里的“C”和“windows”可能不尽相同,总之这里默认指向%System%\userinit.exe %System%指的是系统文件目录对于NT、2000,该键值默认为X:\WINNT\system32\userinit.exe 对于XP,该键值默认为X:\WINDOWS\system32\userinit.exe 这里的X指的是Windows安装到的盘的盘符。此问题后面不再重复解释了。)这个键值是Windows NT、2000、XP等用来在用户登录后加载该用户相关信息的。如果在这里添加其它程序(在该键值中userinit.exe后的逗号后面可以添加其它程序),这些程序在用户登录后也会被执行。比如将其键值改为 C:\windows\system32\userinit.exe,c:\windows\trojan.exe 则c:\windows\trojan.exe这个程序也会在用户登录后自动执行。这也是木马等启动的方式之一。总之,F项相关的文件包括 c:\windows\system.ini c:\windows\win.ini (根据您的Windows版本和安装目录的不同,路径里的“C”和“windows”可能不尽相同,总之这里指的是%windows%目录下的这两个ini文件 %Windows%目录指的是Windows安装目录对于NT、2000,Windows安装目录为X:\WINNT\ 对于XP,Windows安装目录为X:\WINDOWS\ 这里的X指的是Windows安装到的盘的盘符。此问题后面不再重复解释了。) F项相关的注册表项目包括 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping 2. 举例 F0 - system.ini: Shell=Explorer.exe trojan.exe 上面的例子中,在system.ini文件中,默认的Shell=Explorer.exe后面又启动了一个trojan.exe,这个trojan.exe十分可疑。 F1 - win.ini: run=hpfsched 上面的例子中,在win.ini文件中,启动了hpfsched这个程序,需要分析。 F2 - REG:-System.ini: UserInit=userinit,trojan.exe 上面的例子中,UserInit项(说明见上)中额外启动了trojan.exe F2 - REG:-System.ini: Shell=explorer.exe trojan.exe 上面的例子其实相当于第一个例子F0 - system.ini: Shell=Explorer.exe trojan.exe,在注册表中的system.ini文件“映像”中,额外启动了trojan.exe。 3. 一般建议基本上,F0提示的Explorer.exe后面的程序总是有问题的,一般应该修复。 F1后面的需要慎重对待,一些老的程序的确要在这里加载。所以应该仔细看看加载的程序的名字,在电脑上查一下,网上搜一搜,具体问题具体分析。对于F2项,如果是关于“Shell=”的,相当于F0的情况,一般应该修复。如果是关于“UserInit=”的,除了下面的“疑难解析”中提到的几种情况另作分析外,一般也建议修复。但要注意,一旦修复了关于“UserInit=”的F2项,请不要使用HijackThis的恢复功能恢复对这一项的修改,这一点上面着重提到了。当然,您也可以利用“UserInit=”自己设置一些软件开机自启动,这是题外话了,相信如果是您自己设置的,您一定不会误删的。 4. 疑难解析 (1) F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe 注意到这一项与默认情况的区别了吗?其实,这一项之所以被HijackThis报告出来,是因为丢失了键值最后的一个逗号。但这并不是真正的问题,可以不予理会。 (2) F2 - REG:-System.ini: UserInit=userinit,nddeagnt.exe nddeagnt.exe是Network Dynamic Data Exchange Agent,这一项出现在userinit后面也是正常的。 (3) F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe, 这一个比较特别,这是广告程序BlazeFind干的好事,这个广告程序修改注册表时不是把自己的wsaupdater.exe放在userinit的后面,而是直接用wsaupdater.exe替换了userinit.exe,使得注册表这一项 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 的键值从默认的 C:\WINDOWS\system32\userinit.exe, 变为 C:\Windows\System32\wsaupdater.exe, 如果您使用Ad-aware 6 Build 181清除该广告程序,重启动后可能会造成用户无法登录系统。这时需要使用光盘或者软盘启动,将userinit.exe复制一份,命名为wsaupdater.exe放在同一目录下,以使得系统能够正常登录,然后将上面所述的注册表中被广告程序修改的键值恢复默认值,再删除wsaupdater.exe文件。该问题存在于Ad-aware 6 Build 181,据我所知,HijackThis可以正常修复这一项。具体信息清参考 http://www.lavahelp.com/articles/v6/04/06/0901.html 组别——N 1. 项目说明 N - Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变 N1 - Netscape 4.x中,浏览器的默认起始主页和默认搜索页的改变 N2 - Netscape 6中,浏览器的默认起始主页和默认搜索页的改变 N3 - Netscape 7中,浏览器的默认起始主页和默认搜索页的改变 N4 - Mozilla中,浏览器的默认起始主页和默认搜索页的改变与这些改变相关的文件为prefs.js。 2. 举例 N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js) N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C:\Program Files\Netscape 6\searchplugins\SBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) 3. 一般建议一般来说,Netscape和Mozilla的默认起始主页和默认搜索页是比较安全的,很少被修改。如果你在默认起始主页或默认搜索页看到了一个陌生的地址,可以修复它。已知,Lop.com(Live Online Portal)这个网站会修改上述N类项。有兴趣者请参考此链接提供的详细信息 http://www.doxdesk.com/parasite/lop.html 组别——O (字母O,代表Other即“其它”类,以下各组同属O类) 1. 项目说明 O1代表在hosts文件中对某个网址与IP地址的映射。在浏览器中输入网址时,浏览器会先检查hosts文件中是否存在该网址的映射,如果有,则直接连接到相应IP地址,不再请求DNS域名解析。这个方法可以用来加快浏览速度,也可能被木马等恶意程序用来打开某些网址、屏蔽某些网址。这个hosts文件在系统中的通常位置为 C:\WINDOWS\HOSTS (Windows 3.1、95、98、Me)或 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS (Windows NT、2000)或 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS (XP、2003)注意,没有扩展名。该文件的一般格式类似 219.238.233.202 www.rising.com.cn 注意,IP地址在前,空格后为网址,下一个映射另起一行。(若有#,则#后的部分作为注释,不起作用。)上面的例子中,瑞星的主页www.rising.com.cn和IP地址219.238.233.202在hosts文件中互相关联起来,一旦用户要访问www.rising.com.cn,浏览器根据hosts文件中的内容,会直接连接219.238.233.202。在这个例子中,这个219.238.233.202实际上正是瑞星主页的IP地址,所以这样做加快了访问速度(省掉了DNS域名解析这一步),在好几年前,这是一个比较常用的加快浏览的方法(那时上网费用高、小猫跑得又慢),现在这个方法用得少了。而且,这个方法有个缺陷,那就是,一旦想要浏览的网站的IP地址变动了,就不能正常浏览该网站了,必须再次改动hosts文件。这个hosts文件也可以被木马、恶意网站等利用,它们修改hosts文件,建立一些错误的映射。比如把著名的反病毒软件的网站定向到无关网站、恶意网站或干脆定向到127.0.0.1(127.0.0.1就是指您自己的电脑),那么您就打不开那些反病毒软件的网站,清除木马等恶意程序就更加困难,甚至连杀毒软件都不能正常升级。它们还可以把一些常被访问的网站(比如google等)指向其它一些网站的IP地址,增加后者的访问量。当然,也可以直接用此方法重定向浏览器的搜索页。 2. 举例 O1 - Hosts: 216.177.73.139 auto.search.msn.com O1 - Hosts: 216.177.73.139 search.netscape.com O1 - Hosts: 216.177.73.139 ieautosearch 在上面的例子中,默认搜索页(auto.search.msn.com、search.netscape.com、ieautosearch是不同情况下的默认搜索页)被指向了216.177.73.139这个IP地址。造成每次使用浏览器的搜索功能,都被带到216.177.73.139这个地方。下面是XP的原始Hosts文件的内容 # Copyright (C) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a `#` symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost 所有以#开始的行都是注释内容,不起作用。最后一行指明本地主机(localhost)的IP地址为127.0.0.1(这是默认的)。 3. 一般建议 HijackThis报告O1项时,一般建议修复它,除非是您自己在Hosts文件中如此设置的。 4. 疑难解析 O1 - Hosts file is located at C:\Windows\Help\hosts 如果发现hosts文件出现在C:\Windows\Help\这样的文件夹中,那么很可能感染了CoolWebSearch(跟上面提到的Lop.com一样著名的恶意网站家族),应该使用HijackThis修复相关项。当然,别忘了还有CoolWebSearch的专杀——CoolWebSearch Shredder (CWShredder.exe)。组别——O2 1. 项目说明 O2项列举现有的IE浏览器的BHO模块。BHO,即Browser Helper Objects,指的是浏览器的辅助模块(或称辅助对象),这是一些扩充浏览器功能的小插件。这里面鱼龙混杂,诺顿杀毒、goolge等都可能出现在这里,而这里也是一些间谍软件常出没的地方。 2. 举例: O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll 这是影音传送带(Net Transport)的模块。 O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL 这是网际快车(FlashGet)的模块。 O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL 这是百度搜索的模块。 O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL 这是3721上网助手的模块。 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx 这是Adobe Acrobat Reader(用来处理PDF文件)的模块。 O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll 这是Google工具条的模块。 3. 一般建议可能的O2项实在太多了,此处无法一一列举。网上有一些很好的BHO列表,大家可以在里面查询相关的项目信息。相关资料查询地址举例: http://www.sysinfo.org/bholist.php http://www.spywareinfo.com/bhos/ http://computercops.biz/CLSID.html 建议使用CLSID(就是“{ }”之间的数字)来查找相关项。通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。修复前请仔细分析,看看是否认得这个东西的名字,看看它所在的路径,不能一概而论。最好进一步查询相关资料,千万不要随意修复。对于标记为X的恶意模块,一般建议修复。 4. 疑难解析 HijackThis修复O2项时,会删除相关文件。但对于某些O2项,虽然选择了让HijackThis修复,下次扫描时却还在。出现此情况时,请先确保使用HijackThis修复时已经关闭了所有浏览器窗口和文件夹窗口。如果还不行,建议重新启动到安全模式直接删除该文件。有时,会遇到一个如下的项目(后面没内容) O2 - BHO: 总是删不掉,怀疑这是3721的项目,如果您安装了3721,则会出现这样一个O2项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。组别——O3 1. 项目说明 O3项列举现有的IE浏览器的工具条(ToolBar,简写为TB)。注意,这里列出的是工具条,一般是包含多个项目的那种。除了IE自带的一些工具条外,其它软件也会安装一些工具条,这些工具条通常出现在IE自己的工具条和地址栏的下面。HijackThis在O3项中把它们列出来。其相关注册表项目为 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar 2. 举例 O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX 这是Windows Media Player 2 ActiveX Control,媒体播放器的ActiveX控制项。 O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL 这是网际快车(FlashGet)的IE工具条。 O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL.DLL 上面三个是金山毒霸的IE工具条。 O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL 这个是金山快译的IE工具条。 O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL 3721上网助手的IE工具条。 O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll 这个是google的IE工具条。 O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll 这个是诺顿杀毒软件的工具条。 3. 一般建议同O2,这个也必须仔细分析,看看是否认得这个东西的名字,看看它在IE的工具栏是什么(有一些可能安装了但没有显示,在IE的工具栏点右键可以看到一些),看看它所在的路径,不能一概而论。可以进一步查询相关资料,千万不要随意修复。这里推荐一些好的查询地址 http://www.sysinfo.org/bholist.php http://www.spywareinfo.com/toolbars/ http://computercops.biz/CLSID.html 建议使用CLSID(就是“{ }”之间的数字)来查找相关项。通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。对于标记为X的,一般建议修复。 4. 疑难解析如果在资料查询列表中找不到,其名称又似乎是随机的,而路径则在“Application Data”下,一般是感染了著名的Lop.com,建议修复。如 O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL 关于Lop.com的详细信息及手工修复方法,请参阅 http://www.doxdesk.com/parasite/lop.html 组别——O4 1. 项目说明这里列出的就是平常大家提到的一般意义上的自启动程序。确切地说,这里列出的是注册表下面诸键启动的程序。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 注意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit这一项虽然也可以启动程序,但已经在F2项报告过了。另外,O4项还报告两种情况,即“Startup:”和“Global Startup:”,在我的印象里 Startup: 相当于文件夹c:\documents and settings\USERNAME\ 下的内容(USERNAME指您的用户名) Global Startup: 相当于文件夹c:\documents and settings\All Users\ 下的内容注意,其它存放在这两个文件夹的文件也会被报告。我觉得,其实,“启动”文件夹应该被报告,就是 Startup: 报告c:\documents and settings\USERNAME\start menu\programs\startup 下的内容 Global Startup: 报告c:\documents and settings\All Users\start menu\programs\startup 下的内容但这两项在中文版分别为 Startup: C:\Documents and Settings\USERNAME\「开始」菜单\程序\启动 Global Startup: C:\Documents and Settings\All Users\「开始」菜单\程序\启动恐怕HijackThis不能识别中文版的这两个目录,以至不报告其内容。不是是否如此?望达人告知。 2. 举例注:中括号前面是注册表主键位置中括号中是键值中括号后是数据 O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun 注册表自检 O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe windows任务优化器(Windows Task Optimizer) O4 - HKLM\..\Run: [SystemTray] SysTray.Exe Windows电源管理程序 O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer.exe O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe O4 - HKLM\..\Run: [ccenter] C:\Program Files\rising\Rav\CCenter.exe 上面三个均是瑞星的自启动程序。 O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32 O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32 上面两个是3721和百度的自启动程序。(不是经常有朋友问进程里的Rundll32.exe是怎么来的吗?) O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe Windows计划任务 O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe 上面两个也是瑞星的自启动程序。 O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE 这是微软Office在“开始——程序——启动”中的启动项。 3. 一般建议查表吧!可能的项目太多了,请进一步查询相关资料,千万不要随意修复。推荐一些好的查询地址 http://www.oixiaomi.net/systemprocess.html 这是中文的,一些常见的项目均可查到。 http://www.sysinfo.org/startuplist.php http://www.windowsstartup.com/wso/browse.php http://www.windowsstartup.com/wso/search.php http://www.answersthatwork.com/Tasklist_pages/tasklist.htm http://www.liutilities.com/products/wintaskspro/......processlibrary/ 英文的,很全面。其中一些标记的含义—— Y - 一般应该允许运行。 N - 非必须程序,可以留待需要时手动启动。 U - 由用户根据具体情况决定是否需要。 X - 明确不需要的,一般是病毒、间谍软件、广告等。 ? - 暂时未知还有,有时候直接使用进程的名字在www.google.com上查找,会有意想不到的收获(特别对于新出现的病毒、木马等)。 4. 疑难解析请注意,有些病毒、木马会使用近似于系统进程、正常应用程序(甚至杀毒软件)的名字,或者干脆直接使用那些进程的名字,所以一定要注意仔细分辨。O4项中启动的程序可能在您试图使用HijackThis对它进行修复时仍然运行着,这就需要先终止相关进程然后再使用HijackThis对它的启动项进行修复。(终止进程的一般方法:关闭所有窗口,同时按下CTRL+ALT+DELETE,在打开的窗口中选中要终止的进程,然后按下“结束任务”或者“结束进程”,最后关闭该窗口。)组别——O5 1. 项目说明 O5项与控制面板中被屏蔽的一些IE选项相关,一些恶意程序会隐藏控制面板中关于IE的一些选项,这可以通过在control.ini文件中添加相关命令实现。 2. 举例 O5 - control.ini: inetcpl.cpl=no 这里隐藏了控制面板中的internet选项 3. 一般建议除非您知道隐藏了某些选项(比如公司网管特意设置的),或者是您自己如此设置的,否则应该用HijackThis修复。组别——O6 1. 项目说明 O6提示Internet选项(打开IE——工具——Internet选项)被禁用。管理员可以对Internet选项的使用进行限制,一些恶意程序也会这样阻挠修复。这里用到的注册表项目是 HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions 2. 举例 O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present 这里禁用了internet选项 3. 一般建议除非您知道禁用了internet选项(比如网吧使用了一些管理软件),或者是您自己有意设置的(通过改注册表或者使用一些安全软件),否则应该用HijackThis修复。组别——O7 1. 项目说明 O7提示注册表编辑器(regedit)被禁用。管理员可以对注册表编辑器的使用进行限制,一些恶意程序也会这样阻挠修复。这可以通过对注册表如下键的默认值的修改实现 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System 2. 举例 O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 这里禁用了注册表编辑器。 3. 一般建议除非您知道禁用了注册表编辑器(比如公司使用了一些管理软件),或者是您自己有意设置的(通过改注册表或者使用一些安全软件),否则应该用HijackThis修复。组别——O8 1. 项目说明 O8项指IE的右键菜单中的新增项目。除了IE本身的右键菜单之外,一些程序也能向其中添加项目。相关注册表项目为 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt 2. 举例 O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRAM FILES\FLASHGET\jc_link.htm O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRAM FILES\FLASHGET\jc_all.htm 这是网际快车(FlashGet)添加的。 O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm 这是网络蚂蚁(NetAnts)添加的。 O8 - Extra context menu item: 使用影音传送带下载 - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html 这是影音传送带(Net Transport)添加的。 O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 这是Office添加的。 3. 一般建议如果不认得新添加的项目,其所在路径也可疑,可以用HijackThis修复。建议最好先在www.google.com上查一下。暂时未在网上找到O8项的列表。组别——O9 1. 项目说明 O9提示额外的IE“工具”菜单项目及工具栏按钮。前面O3是指工具条,这里是新增的单个工具栏按钮和IE“工具”菜单项目。相关注册表项目为 HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key 2. 举例 O9 - Extra button: QQ (HKLM) 就是IE工具栏上的QQ按钮。 O9 - Extra button: UC (HKLM) IE工具栏上的UC按钮。 O9 - Extra button: FlashGet (HKLM) IE工具栏上的网际快车(FlashGet)按钮。 O9 - Extra `Tools` menuitem: &FlashGet (HKLM) IE“工具”菜单中的网际快车(FlashGet)项。 O9 - Extra button: NetAnts (HKLM) IE工具栏上的网络蚂蚁(NetAnts)按钮。 O9 - Extra `Tools` menuitem: &NetAnts (HKLM) IE“工具”菜单中的网络蚂蚁(NetAnts)项。 O9 - Extra button: Related (HKLM) IE工具栏上的“显示相关站点”按钮。 O9 - Extra `Tools` menuitem: Show &Related Links (HKLM) IE“工具”菜单中的“显示相关站点”项。 O9 - Extra button: Messenger (HKLM) IE工具栏上的Messenger按钮。 O9 - Extra `Tools` menuitem: Windows Messenger (HKLM) IE“工具”菜单中的“Windows Messenger”项。 3. 一般建议 如果不认得新添加的项目或按钮,可以用HijackThis修复。组别——O9 1. 项目说明 O9提示额外的IE“工具”菜单项目及工具栏按钮。前面O3是指工具条,这里是新增的单个工具栏按钮和IE“工具”菜单项目。相关注册表项目为 HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key 2. 举例 O9 - Extra button: QQ (HKLM) 就是IE工具栏上的QQ按钮。 O9 - Extra button: UC (HKLM) IE工具栏上的UC按钮。 O9 - Extra button: FlashGet (HKLM) IE工具栏上的网际快车(FlashGet)按钮。 O9 - Extra `Tools` menuitem: &FlashGet (HKLM) IE“工具”菜单中的网际快车(FlashGet)项。 O9 - Extra button: NetAnts (HKLM) IE工具栏上的网络蚂蚁(NetAnts)按钮。 O9 - Extra `Tools` menuitem: &NetAnts (HKLM) IE“工具”菜单中的网络蚂蚁(NetAnts)项。 O9 - Extra button: Related (HKLM) IE工具栏上的“显示相关站点”按钮。 O9 - Extra `Tools` menuitem: Show &Related Links (HKLM) IE“工具”菜单中的“显示相关站点”项。 O9 - Extra button: Messenger (HKLM) IE工具栏上的Messenger按钮。 O9 - Extra `Tools` menuitem: Windows Messenger (HKLM) IE“工具”菜单中的“Windows Messenger”项。 3. 一般建议 如果不认得新添加的项目或按钮,可以用HijackThis修复。组别——O10 1. 项目说明 O10项提示Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置,进行LSP“浏览器劫持”,所有与网络交换的信息都要通过这些间谍软件,从而使得它们可以监控使用者的信息。著名的如New.Net插件或WebHancer组件,它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考—— http://tech.sina.com.cn/c/2001-11-19/7274.html 2. 举例 O10 - Hijacked Internet access by New.Net 这是被广告程序New.Net劫持的症状(可以通过“控制面板——添加删除”来卸载)。 O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing 这一般出现在已清除间谍软件但没有恢复LSP正常状态的情况下。此时,网络连接可能丢失。 O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll 这是被广告程序newtonknows劫持的症状,相关信息可参考http://www.pestpatrol.com/PestInfo/n/newtonknows.asp 3. 一般建议 一定要注意,由于LSP的特殊性,单单清除间谍软件而不恢复LSP的正常状态很可能会导致无法连通网络!如果您使用杀毒软件清除间谍程序,可能遇到如上面第二个例子的情况,此时可能无法上网。有时HijackThis在O10项报告网络连接破坏,但其实仍旧可以连通,不过无论如何,修复O10项时一定要小心。 遇到O10项需要修复时,建议使用专门工具修复。(1)LSPFix http://www.cexx.org/lspfix.htm (2)Spybot-Search&Destroy(上面提到过,但一定要使用最新版) 这两个工具都可以修复此问题,请进一步参考相关教程。 4. 疑难解析 某些正常合法程序(特别是一些杀毒软件)也会在Winsock水平工作。比如 O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll 这一项就属于国产杀毒软件KV。所以,在O10项遇到“Unknown file in Winsock LSP”一定要先查询一下,不要一概修复。组别——O11 1. 项目说明 O11项提示在IE的高级选项中出现了新项目。相关注册表项目可能是 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions 2. 举例 O11 - Options group: [CommonName] CommonName 这个是已知需要修复的一项。 O11 - Options group: [!CNS] O11 - Options group: [!IESearch] !IESearch 这2个是国内论坛上的HijackThis扫描日志里最常见的O11项,分属3721和百度,去留您自己决定。如果想清除,请先尝试使用“控制面板——添加删除”来卸载相关程序。 3. 一般建议 遇到CommonName应该清除,遇到其它项目请先在网上查询一下。组别——O12 1. 项目说明 O12列举IE插件(就是那些用来扩展IE功能、让它支持更多扩展名类型文件的插件)。相关注册表项目是HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins 2. 举例 O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll 这两个都属于Acrobat软件。 3. 一般建议 绝大部分这类插件是安全的。已知仅有一个插件(OnFlow,用以支持文件类型.ofb)是恶意的,需要修复。遇到不认得的项目,建议先在网上查询一下。组别——O13 1. 项目说明 O13提示对浏览器默认的URL前缀的修改。当在浏览器的地址栏输入一个网址而没有输入其前缀(比如http://或ftp://)时,浏览器会试图使用默认的前缀(默认为http://)。相关注册表项目包括HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\ 当此项被修改,比如改为http://www.AA.BB/?那么当输入一个网址如www.rising.com.cn时,实际打开的网址变成了——[url=http://www.aa.bb/?[url]www.rising.com.cn[/url]]http://www.AA.BB/?www.rising.com.cn[/url] 2. 举例 O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url= O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? O13 - WWW. Prefix: http://ehttp.cc/? O13 - DefaultPrefix: http://nkvd.us/ (翻译过来就是http://nkvd.us/) O13 - WWW Prefix: http://nkvd.us/ (翻译过来就是http://nkvd.us/)) O13 - DefaultPrefix: c:\searchpage.html?page= O13 - WWW Prefix: c:\searchpage.html?page= O13 - Home Prefix: c:\searchpage.html?page= O13 - Mosaic Prefix: c:\searchpage.html?page= 3. 一般建议 著名恶意网站家族CoolWebSearch可能造成此现象。建议使用CoolWebSearch的专杀——CoolWebSearch Shredder (CWShredder.exe)来修复,本帖前部已提到过此软件,并给出了相关小教程的链接。 如果使用CWShredder.exe发现了问题但却无法修复(Fix),请在安全模式使用CWShredder.exe再次修复(Fix)。 如果使用CWShredder.exe后仍然无法修复或者根本未发现异常,再使用HijackThis来扫描修复。 4. 疑难解析 简单说,就是——“对于searchpage.html这个问题,上面提到的CWShredder.exe可以修复(Fix),普通模式不能修复的话,请在安全模式使用CWShredder.exe修复(Fix),修复后清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件,可以把“删除所有脱机内容”选上),重新启动。”组别——O14 1. 项目说明 O14提示IERESET.INF文件中的改变,也就是对internet选项中“程序”选项卡内的“重置WEB设置”的修改。该IERESET.INF文件保存着IE的默认设置信息,如果其内容被恶意程序改变,那么一旦您使用“重置WEB设置”功能,就会再次激活那些恶意修改。 2. 举例 O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com 3. 一般建议 如果这里列出的URL不是指向你的电脑提供者或Internet服务提供者(ISP),可以使用HijackThis修复。 4. 疑难解析组别——O15 1. 项目说明 O15项目提示“受信任的站点”中的不速之客,也就是那些未经您同意自动添加到“受信任的站点”中的网址。“受信任的站点”中的网址享有最低的安全限制,可以使得该网址上的恶意脚本、小程序等更容易躲过用户自动执行。相关注册表项目 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains 2. 举例 O15 - Trusted Zone: http://free.aol.com 3. 一般建议 如果不认得该网站,建议使用HijackThis来修复。组别——O16 1. 项目说明 O16 - 下载的程序文件,就是Downloaded Program Files目录下的那些ActiveX对象。这些ActiveX对象来自网络,存放在Downloaded Program Files目录下,其CLSID记录在注册表中。 2. 举例 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/p ... s/flash/swflash.cab 用来看flash的东东,相信很多朋友都安装了。 O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab 瑞星在线查毒。 3. 一般建议如果不认得这些ActiveX对象的名字,或者不知道其相关的下载URL,建议使用搜索引擎查询一下,然后决定是否使用HijackThis来修复该项。如果名字或者下载URL中带有“sex”、“adult”、“dialer”、“casino”、“free_plugin”字样,一般应该修复。HijackThis修复O16项时,会删除相关文件。但对于某些O16项,虽然选择了让HijackThis修复,却没能够删除相关文件。若遇到此情况,建议启动到安全模式来修复、删除该文件。组别——O17 1. 项目说明 O17提示“域劫持”,这是一些与DNS解析相关的改变。已知会造成此现象的恶意网站为Lop.com。上面在解释O1项时提到过,当在浏览器中输入网址时,如果hosts文件中没有相关的网址映射,将请求DNS域名解析以把网址转换为IP地址。如果恶意网站改变了您的DNS设置,把其指向恶意网站,那么当然是它们指哪儿您去哪儿啦! 2. 举例 O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com 017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175 3. 一般建议如果这个DNS服务器不是您的ISP或您所在的局域网提供的,请查询一下以决定是否使用HijackThis来修复。已知Lop.com应该修复,似乎已知的需要修复的O17项也就此一个。组别——O18 1. 项目说明 O18项列举现有的协议(protocols)用以发现额外的协议和协议“劫持”。相关注册表项目包括 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID等等。通过将您的电脑的默认协议替换为自己的协议,恶意网站可以通过多种方式控制您的电脑、监控您的信息。 HijackThis会列举出默认协议以外的额外添加的协议,并列出其在电脑上的保存位置。 2. 举例 O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} 3. 一般建议已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修复的。其它情况复杂,可能(只是可能)有一些间谍软件存在,需要进一步查询资料、综合分析。组别——O19 1. 项目说明 O19提示用户样式表(stylesheet)“劫持”,样式表是一个扩展名为.CSS的文件,它是关于网页格式、颜色、字体、外观等的一个模板。相关注册表项目 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets 此外,此项中也可能出现.ini、.bmp文件等。 2. 举例 O19 - User stylesheet: c:\WINDOWS\Java\my.css O19 - User stylesheet: C:\WINDOWS\Web\tips.ini O19 - User stylesheet: C:\WINDOWS\win32.bmp 3. 一般建议已知,datanotary.com会修改样式表。该样式表名为my.css或者system.css,具体信息可参考 http://www.pestpatrol.com/pestinfo/d/datanotary.asp http://www.spywareinfo.com/articles/datanotary/ 该“浏览器劫持”也属于CoolWebSearch家族,别忘了上面多次提到的专杀。当浏览器浏览速度变慢、经常出现来历不明的弹出窗口,而HijackThis又报告此项时,建议使用HijackThis修复。如果您根本没使用过样式表而HijackThis又报告此项,建议使用HijackThis修复。组别——O20 1. 项目说明 O20项提示注册表键值AppInit_DLLs处的自启动项(前一阵子闹得挺厉害的“about:blank”劫持就是利用这一项)。相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows 键值为AppInit_DLLs 此处用来在用户登录时加载.dll文件。用户注销时,这个.dll也被注销。 2. 举例 O20 - AppInit_DLLs: msconfd.dll 3. 一般建议仅有极少的合法软件使用此项,已知诺顿的CleanSweep用到这一项,它的相关文件为APITRAP.DLL。其它大多数时候,当HijackThis报告此项时,您就需要提防木马或者其它恶意程序。 4. 疑难解析有时,HijackThis不报告这一项,但如果您在注册表编辑器中使用“修改二进位数据”功能,则可能看到该“隐形”dll文件。这是因为该“隐形”dll文件在文件名的开头添加了一个`|`来使自己难被发觉。组别——O21 1. 项目说明 O21项提示注册表键ShellServiceObjectDelayLoad处的自启动项。这是一个未正式公布的自启动方式,通常只有少数Windows系统组件用到它。Windows启动时,该处注册的组件会由Explorer加载。相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 2. 举例 O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll 3. 一般建议 HijackThis会自动识别在该处启动的常见Windows系统组件,不会报告它们。所以如果HijackThis报告这一项,则有可能存在恶意程序,需要仔细分析。 4. 疑难解析(暂无)组别——O22 1. 项目说明 O22项提示注册表键SharedTaskScheduler处的自启动项。这是WindowsNT/2000/XP中一个未正式公布的自启动方式,极少用到。 2. 举例 O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll 3. 一般建议已知,CoolWebSearch变种Smartfinder用到这一项,请小心处理。建议使用CoolWebSearch专杀——CoolWeb Shredder(CoolWeb粉碎机),简介见http://community.rising.com.cn/F ... =3926810&page=1 4. 疑难解析(暂无)组别——O23 1. 项目说明 O23项提示注册为系统服务的程序(可以通过运行->Services.msc,察看所有的系统服务) 2. 举例 O23 - Service: AhnLab Task Scheduler - AhnLab, Inc. - C:\Program Files\AhnLab\Smart Update Utility\Ahnsdsv.exe O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe 3. 一般建议很多正常软件都会注册到系统服务,常见的比如各种杀毒软件和防火墙的服务以及Apache,MySQL等软件,一般来说这些正常的服务的描述都很容易识别他们的身份(如"NOD32 Kernel Service"很明显是NOD32的服务),如果出现了名称和系统服务很像的服务,但是面说后面的厂商却不是MS的项目就很可能是病毒了. 4. 疑难解析只有1.99以上版本的Hijackthis才有O23,以前的版本不具备这一功能.Hijack并不列出所有的系统服务,系统默认的服务已经被Hijackthis忽略. 下载(51files): http://www.51files.com/?KJEPJ7MY1LI0LI6SEUOM 下载(龙阿空间站-N多客专区): http://long-a.ys168.com/ 下载(G宝盘): http://long-a.gbaopan.com/files/ ... a3e9528e4bb95ae.gbp March 05 Vista破解方法深度总结(目前共7种方法)下面列出各种破解vista的方法,按出现的时间顺序排列 1.替换法 原理:用替换vista的一些许可文件的办法来用测试版序列号激活vista,是最早出现的办法 缺点:许可变为测试版,有时间限制 2.kms私服激活法 原理:不是去微软的官方服务器激活,而是去私人架设的服务器激活,也可以用vmware虚拟机自己架设激活服务器或在局域网中其它机器架设激活服务器来进行激活。 优点:激活后跟正版软件并无区别,此法微软较难封杀。 缺点:只适用于b版(商业版)和e版(企业版),并且隔6个月就要重新激活一次。而且私服存在不稳定性,说不定哪天就关了,而自己架设的话比较复杂。 使用方法:http://www.vistafans.com/thread-89814-1-1.html 3.timestop(时间停止)法 原理:vista在激活之前有30天的试用期,此法加载一个驱动(timerstop.sys),使倒计时停止在30天,从而使你避免激活,无限试用。 优点:操作简便,可以用于u版(旗舰版),无功能限制(自动更新,梦幻桌面等都可使用) 缺点:vista处于未激活状态,虽然没有功能上的限制,但是对于追求完美的人来说,会感到影响美观。并且可以预见的是,微软一定会在未来的某次升级(如sp1)之后封杀此方法。 使用方法:推荐步骤是安装vista时不输序列号,并且不勾选"联机时自动激活Windows"。装好vista后不进行任何更新,在TimeStop.exe上点右键以管理员的身份运行TimeStop.exe,然后电脑会自动重启,完成破解。之后可以运行“slmgr.vbs -dlv”验证倒计时是否停止在30天。 点击下载timestop-v2 卸载方法:删除windowssystem32 imerstop.sys 4.刷bios法 原理:此法是将品牌机oem信息刷入你机器bios,然后可以使用oem版的vista. 优点:跟真正的oem正版没有区别 缺点:由于需要改bios、刷bios,对新手来说有难度,而且有一定危险性,并且每台机器不同,并不一定都能刷成功。 使用方法:不同主板有不同方法,具体请参考http://www.vistafans.com/thread-105205-1-2.html这帖以及其他的帖子, 卸载方法:再把bios刷回去 5.softmod(免刷BIOS或动态BIOS)法 原理:在启动vista之前,先往bios里添加slic的OEM验证数据,从而使vista认为你的机器为OEM的品牌机型。 优点:可以达到刷bios法的效果,而又没有刷bios的危险,操作简单。激活之后跟正版的oem vista没有区别。 缺点:每次启动时会闪过一堆字符,影响美观,也减慢启动速度(虽然只是减慢了一点点)。而且由于此法需要修改MBR来达到效果,如果你以前修改过MBR,例如品牌机或笔记本的隐藏分区还原功能,又例如Acronis True Image的F11功能,会产生冲突导致无法启动。 使用方法:(2选1) 1.使用网友做的全自动傻瓜包。http://mirror.gochina.cn/liuhang/SoftMod.exe 2.不想用全自动的话,手动进行也并不麻烦,建议有一定电脑基础的朋友手动修改,毕竟自己动手心里比较明白。具体方法请参考http://www.vistafans.com/thread-110365-1-2.html 卸载方法:以管理员方式运行uninstall.cmd,但是这样重启之后可能会导致vista被识别成盗版。 6.暴力算号法(强烈不推荐) 原理:随机生成序列号进行验证,直到验证成功。 优点:可能会算出真正的正版序列号。 缺点:目前的这个算法就是纯随机,效率太低,跟本没有实用性,能算出号的概率基本为0。 使用方法: 一.备份C:/windows/system32/slmgr.vbs,(如果算号成功,再替换回来); 二.用slmgr.vbs替换掉C:/windows/system32中的同名文件;(此步较复杂,下面单独说明) 三.记录下你的产品密钥,可以用Windows XP产品密钥查看器(压缩包中附带的keyfinder.exe)来验证; 四.开始-运行,输入slmgr.vbs -ipk generate,一个叫做 "wscript.exe"的进程将启动并可能占用大量CPU资源,它大约每30分钟核对10000个密钥; 五.现在开始等待,在得到结果之前,你可能要等待很长一段时间。慢慢等吧。过一段时间(几小时或几天),用keyfinder.exe检查你的密钥,看它是否已经改变; 六.如果已经改变,说明脚本已经找到有效的密钥。通过开始-运行来激活Vista,输入命令slmgr.vbs -ato 算号器下载:http://www.cnbeta.com/xiaolu/Vista_Brute_Force_Keygen.rar 7.OEM BIOS Emulation Toolkit 原理:通过设备驱动程序ROYAL.SYS 模拟OEM BIOS ,提供ACPI_SLIC信息。 优点:操作并不太复杂(我估计几天后一定会出现全自动傻瓜包),激活之后跟正版的oem vista没有区别。 缺点:在windows下安装驱动,有可能导致系统稳定性降低,而且目前此法不支持64位vista。由于跟timestop一样也是加载驱动,很可能微软在未来的某次更新之后封杀此法。 使用方法:参见http://www.cnbeta.com/modules.php?name=News&file=article&sid=23285 WindowBlinds 5 (5.1 build 81x86)完善绿色版更新: ◇无论WB身在何地、只需轻轻一键、完成安装 ◇默认使用中文界面,VistaCHS主题,英文菜鸟与Vista粉丝的福音 ◇安装的时候可以使用中文路径,避免大头虾在中文路径无法正常安装使用 ◇优化了安装与卸载脚本,正常安装与卸载 ◇在桌面--属性--外观 可以直接选WB主题 ◆如果安装在中文路径的话,那么无法使用中文界面 【关于本人】: Nickname: 有点笨小林 QQ: 14763367 Website: http://my.opera.com/chilam Email: gzdx0615@163.com 写给WB的新手们:安装好WB后,请在WB软件界面点一下“重新构建列表”吧,不准老说里面主题用了一片黑,呵 安装说明:直接解压windowblinds至任意路径[中、英文皆可]后运行“安装.cmd”,完成安装后重新启动系统即可。 我的旧版本:http://my.opera.com/chilam/blog/windowblinds-5-5-1build-81x86 下载:windowblinds 5 ((5.1 build 81x86))完善绿色版 -≮07年02月25日≯ February 23 卡巴绿杀6 -U盘版杀毒软件 (Moshow魔手)Kaspersky Anti-Virus Move-edition 6 (-_-b汗Move Edition...) 【这是卡巴斯基绿色移动版本·推荐用于u盘】 By Moshow魔手 Http://Hi.baidu.com/MoshowGame 祝o(∩_∩)o...天下无毒 ·)拥有全球最全的病毒库 ·)拥有最快的全球剿毒反应速度 ·) 基于稳定的卡巴斯基AVP6官方简体中文版制作 ·) 绿色版本只保留了查杀和更新模块 ·) 容易上手操作 ·) 方便移动 ·) 可以在线更新病毒库 ·) 集成可用到2010-02-18的AVP系列的KEY 请运行目录下的"控制中心"开始简便向导 使用前请确保硬盘上无其他(完整的+有用的)卡巴斯基系列产品 如果用户无法进行AVP更新,请向装有卡巴斯基6的用户复制Bases和Data两个目录覆盖 文件在Documents and SettingsAll UsersApplication DataKaspersky LabAVP6里 Beta Ⅰ 更新: 1.病毒库更新到20070220 2.修正目录错位问题 3.修正文件错误问题 4.加入"控制中心"方便大家控制使用 5.成功将病毒库文件移植到AVP目录下 下载:卡巴绿杀6 By Moshow魔手 Kaspersky Anti-Virus Move-edition 6 February 21 Vista完美风格包 V6.0 正式版  ★完美集成Vista风格,精挑细选Vista资源,更新XP系统资源达80多处,绝非其它美化包可比。 ★增强了windows时钟和盘符风格,农历、天气和硬盘使用情况一目了然。 ★无需其它软件支撑,不另外占用系统资源。 ★包含二款VISTA精美完整主题(含伪透明主题),完美适用雅黑版和原版。 ★三种VISTA特效(含透明特效),Vista带状态条的硬盘风格,并可自由方便设置是否启用。 ★四款精选登录界面,并可自由设置启用。 ★最新雅黑字体补丁,超酷体验,可还原原系统字体。 ★可选组件安装模式,灵活适用,适应不同需要。 注意:只支持windows XP sp2 请使用迅雷下载!!! 最新6.0版 下载地址 |
|
|
