Zemana AntiLogger 反键盘记录软件(HIPS)
包含以下五项保护组件：
反键盘记录器：键盘记录器被间谍软件用来记录您的键击，例如用户名、密码和信用卡号。
反屏幕截取器：屏幕截取器被间谍软件用来定时捕获您进行网上银行交易或使用软键盘时的屏幕截图。
反网络摄像记录器：网络摄像记录器被间谍软件用来从您的网络摄像设备秘密获取记录。
反剪切板记录器：剪切板记录器被间谍软件用来记录您复制到剪切板上的任何内容，
包括用户名、密码、信用卡号以及个人信息。
系统防御：系统防御可以保护您信任的系统组件免受不良访问，
例如 DLL/代码入侵、内核驱动加载、修改物理内存以及其它更多。

毛病：
        windows XP 下曾反复出现内存无限耗尽，CPU占用100%的情况

很久没撰写文章了，今天Genthelvite想带点酷的东西给大家，那就是如何用声音控制Firefox 3的浏览

环境：1个麦克风，
           IBM ViaVoice语音控制系统9.0简体中文版
基本的设置和操作：请参考《解放双手的革命—IBM Viavoice带来不用手的输入法》

我们只谈关于Firefox的控制部分：

1、启动“语音中心”
2、菜单 工具=〉导航宏编辑器
3、启动Firefox
4、鼠标左键单击 “导航宏编辑器”窗口中左侧树目录的根“导航宏“
5、按快捷键Ctrl+P新建应用程序宏进入导航宏向导
6、下一步，输入宏名称和描述为"火狐"
7、下一步，选择应用程序"Mozilla Fifefox*****"
8、下一步，选择 不，我不想选用高级选项
9、下一步，点击 开始记录按钮
10、这时在 屏幕左下角会出现纪录窗口，因为语音系统只能记住快捷键而不记录鼠标操作，所以这时Genthelvite为了测试语音控制新建标签的操作，所以必须先给语音系统一个指令，即按住Ctrl+T后点击记录窗口的停止按钮便完成了指令捕获操作
11、上一步完成后将自动返回到导航宏向导界面
12、指令制定后就需要训练口令了，这时选择“训练宏，然后退出向导“
13、在词训练窗口中检查“选项设置“中的拼音和声调是否正确
14、确认正确后在拼音输入框中按回车将完成此次设置

希望本文能起到抛砖引玉的作用，如果你懂得自定义Fifefox快捷键的话，将能玩出更多花样。

Genthelvite做了七个宏，有兴趣的可以去论坛下载
http://www.firefox.net.cn/forum/viewtopic.php?t=23063

2008-2-20 1.4版为主程序引入了图标,更易于使用
—为主列表及菜单添加了关联文件图标
—强化了系统权限开关，一次切换即可保持权限
—类名可重命名，排序及自定义开闭的图标
—可添加文件夹位置及Web地址
—提供了文件唯一性检查
—增加基本的数据分页功能

下载地址：http://download.csdn.net/source/387993

2008-1-8 程序进一步完善,雏形已成。
—修正了1.2已知bug
—增强排序能力
—添加文件路径有效性验证功能
—为系统托盘添加了动态快捷菜单
—优化数据结构及代码,进一步将数据整合为单一的XML文件

下载地址: http://download.csdn.net/source/335487

• 数据链路层组成：
   介质存取控制(MAC)
   逻辑链路控制(LLC)
  域是在数据链路层定义的。

• 网络层：
   连接、寻址、流量控制、错误检查、IP路由器。

• 传输层：
   端到端间的数据流服务。包括：流控、多点传输、虚电路建立、维护、终止的管理、差错及恢复。

• 会话层：
   建立、管理、终止、表示层与实体之间的通信会话。

• 表示层：
   提供多种功能用于应用层数据编码及转化，以确保应用层间通信可互相识别。表示层的编码与转化包括：公用数据表示格式、性能转化表示格式（ASCII编码）、公用数据压缩模式和公用数据加密模式。

在XP下可以在cmd下输入netstat -nao,然后到任务管理器中看看是哪个进程把指定的端口给打开使用的.
命令中的最后一列是打开端口的PID号,如果任务管理器中看不到PID,则在菜单上的"查看"-"选择列…",在打开的对话框中选中"PID(进程标识符)".

一、U盘病毒简述：

　　U盘(自动运行)类病毒(auto病毒)近来非常常见，并且具有一定程度危害，它的机理是依赖Windows的自动运行功能，使得我们在点击打开磁盘的时候，自动执行相关的文件。目前我们使用U盘都十分频繁，当我们享受U盘所带来的方便时，U盘病毒也在悄悄利用系统的自动运行功能肆意传播，目前流行的 U盘病毒文件大家甚至耳熟能详了，比如经常有网友问的SSS.EXE SXS.EXE如何查杀这类的，下面我们将对U盘病毒极其特性和防范办法进行分析总结。

二、特性分析：

　 　所谓的自动运行功能是指Windows系统一种方便特性，使当光盘、U盘插入到机器自动运行，而这种特性的实现就是通过磁盘跟目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件)，它保存着一些简单的命令，告知系统新插入的光盘或 U盘应该自动启动什么程序等。

　 　常见的Autorun.inf文件格式大致如下：

　　　　[AutoRun]　　　　//表示AutoRun部分开始，必须输入
　　　　 icon=C:\C.ico　　//指定给C盘一个个性化的盘符图标C.ico
　　　　 open=C:\1.exe　　//指定要运行程序的路径和名称，只要在此放入病毒程序就可自动运行；

　 　在Windows系统有允许和阻止自动运行的键值的方法：
     在注册表中找到如下键：
     键路径：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]
     在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:

设备名称 第几位 值 设备用如下数值表示 设备名称含义
DRIVE_UNKNOWN 0 1 01h 不能识别的类型设备
DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器
DRIVE_REMOVABLE 2 1 04h 可移动驱动器
DRIVE_FIXED 3 0 08h 固定的驱动器
DRIVE_REMOTE 4 1 10h 网络驱动器
DRIVE_CDROM 5 0 20h 光驱
DRIVE_RAMDISK 6 0 40h RAM磁盘
其中： 保留 7 1 80h 　未指定的驱动器类型

以上值"0"表示设备运行，"1"表示设备不运行。
从上面可以看出，对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运行的。所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED这些键的值设为1，由于DRIVE_FIXED代表固定的驱动器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“NoDriveTypeAutoRun”的键值改为：BD,00,00,00即可。
　　 U盘病毒就是利用这种系统特性，一般在感染后会修改系统的注册表，将显示所有文件的选项设置为禁止。甚至修改磁盘关联，杀毒软件一般会只把病毒文件清除， 但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净，或者清除后双击无法打开磁盘的原因。
三、解决方案：
　　　 ①根据上面的原理，自己修改注册表禁止磁盘的自动运行特性。
      ②把文件夹选项中隐藏受保护的操作系统文件钩掉，选中显示所有文件和文件夹，点击确定。这样可以在感染病毒的移动存储设备中会看到几个文件(包括autorun.inf和病毒文件)，删除后，病毒就清除了。

第一步，搜索攻击目标打开搜索引擎，搜索“Pragram by Dlog”，可以找到许多博客页面，这些博客都是使用“Dlog破废墟修改版”建立的。我们要找的叶面是存在暴库漏洞的1.2版本。许多用户都忽视了这个版本中内嵌的eWebEditor在线编辑数据库的安全性，致使黑客可以使用默认的路径进行下载。  

第二步，获取管理员密码  

在搜索结果列表中挑一个攻击目标：http://s*.8888.com/blog/，用浏览器打开这个地址，在后面加上eWebEditor/db/e/eWebEditor.mdb并回车，下载数据库。  

打开这个数据库，在数据库的“eWebEditor_system”列中可以看到管理员的用户名和密码。由于密码都是经过MD5加密的，因此找一个MD5 密码暴力破解器计算机分钟或几天，就可得到密码。不过据经验，只要能下载这个数据库，就说明管理员极有可能没有更改默认的登陆密码，如果看到MD5密码为 “7a57a5a743894a0e”，那么密码就是默认的“admin”。现在，我们可以进入eWebEditor后台在线编辑页面了。  

第三步，控制服务器  

在博客的地址后加上“eWebEditor/admin_login.asp”即可打开eWebEditor后台在线编辑页面。输入默认的用户名和密码“admin”即可顺利登陆博客的后台管理页面。  

新添加一个博客样式，返回样式管理页面。在样式列表中找到刚才添加的样式，并点击样式名后的“设置”按钮，就可使用新的博客样式。  

退出管理页面后进行注册并登陆博客，然后发一篇帖子并选择上传文件，此时我们可以上传ASP木马以便控制整个服务器。  

漏洞二：文件上传漏洞  

第一步，搜索存在漏洞的博客  

找到任意一个目标后，首先要测试博客管理员是否将上传网页程序文件删除了，如果用户有一些安全意识，有可能会将默认的上传网页文件删除掉，这时就不行了。  

我们选“http://www.88888.net/workingbird” ,在地址后添加“/upfile.asp”后回车，如果看到的提示信息为“Microsoft VBScript运行时错误 错误‘800a01b6’”之类的信息，表示该博客网站存在着文件上传漏洞。  

第二步，展开攻击  

运行“网站上传利用工具”，在“提交地址”中输入upfile.asp上传文件的所在地址，然后在“上传路径”中指定上传木马文件后的保存路径，我们一般将它保存在网站根目录下。“路径字段”和“文件字段”使用默认的设置就可以了，在“允许类型”中输入博客系统允许上传的图片类型。在“本地文件”后点击 “浏览”选择本地的一个ASP木马，可以选择海洋顶端网木马。  

现在点击“提交”按钮，即可上传木马，如果看到信息“1 file had been uploaded!”，则表示文件上传成功。接下来，我们就可以连接上传后的ASP木马进一步渗透攻击，达到控制整个网站服务器的目的。  

漏洞三：SQL注入漏洞  

第一步，扫描博客中的注入漏洞  

以博客“http://202.112.*.***/dlog/”作为目标。可以使用工具（如NBSI 2 SQL自动注入攻击器）进行SQL注入。运行程序，点击工具栏中的“网站扫描”，在“网站地址”中输入博客网址，勾选“全面扫描”项，点击“扫描”后，就可以对博客网站中存在的所有注入漏洞进行扫描。  

第二步，开始攻击  

在扫描结果列表中任意选一个目标“http://202.112.*.***/dlog/showlog.asp?log_id=402”，然后点击界面下方的“注入分析”进入“注入攻击”页面。点击“检测”按钮，结果显示“赞为监测到注入漏洞”！  

不要紧，我们用1=1检测法。在注入浏览器地址栏中的末尾分别加上“and 1=1”和“and 2=2”，查看两者返回页面的信息中有什么不同。并记下在“and 1=1”页面中出现过，但是在“and 2=2”中未出现过的字符串，并将其输入NBSI 2界面的“特征字符串”。  

现在点击“再检测”，很快就可看到注入检测的结果。由于数据库是Access数据库，所以程序会自动猜解数据库中的表名和列名，点击窗口中的“自动猜解”，即可猜测可能存在的数据库表名，默认的表名为“user_mdb”。再利用自动猜解得到表中的列名等数据信息。然后自动猜解表中的用户数据，从而得到管理员的MD5加秘密码。最后使用MD5密码破解工具暴力破解，登陆后台管理页面，成功入侵。  

漏洞四：cookies欺骗漏洞  

第一步，搜索目标  

搜索关键词“Powered by L-Blog”，选择“http://***.*****.***/blog”作为攻击目标。  

第二步，查询cookies信息  

这里要用到一款可以修改cookies信息的工具。打开程序，输入博客网站的地址并登陆，查看当前的cookies信息，其中包含了我们的登陆用户名和密码等信息。  

第三步，“欺骗”攻击  

现在要对cookies信息进行修改，欺骗博客程序，使它以为登陆用户的身份是管理员。此时可直接对cookies信息进行修改。  

我们只修改“menStatus=SupAdmin”，其它内容保留，然后继续保持工具栏中的“锁”为按下状态。现在，退出当前的用户登陆状态，重新打开该博客首页。此时会显示我们没有登陆，然而我们已经拥有了管理员的权限。