2005年11月25日

BT下载:http://bt.92wy.com/torrents/2005-11-24/50d802443753552ff65121150d273bb0f3aed032_1132795179.torrent

艺人名称:谢霆锋
专辑名称:释放
发行公司:英皇娱乐集团
发行时间:20051123
演唱语种:国语专辑1CD

睽违国语歌坛已久的谢霆锋,于11月25日推出个人全新专辑《释放》!谢霆锋非常地重视,不仅参与专辑的筹备与收歌,还请来许多亚洲知名的创作人像是F.I.R.阿沁、五月天、蔡健雅、游鸿明、陈伟、林暐哲、黄义达、徐若瑄、姚谦、伍佰、邰正宵、周耀辉、深南大道等,惺惺相惜,为他跨刀12首歌。
霆锋表示,新专辑以关怀社会为主题,每首歌都充满温暖的感觉,而为了给歌迷全新、不同以往的谢霆锋。首波主打歌是F.I.R 阿沁为谢霆锋量身打造描述永不放弃梦想的“勇者之歌”,霆锋更特地抽空来台拍摄快歌“勇者之歌”MV,在高速公路上又唱又跳,再次燃起他对音乐的热爱。

碟内还有五月天阿信呈现社会边缘的年轻人彷徨迷惑的“寂寞堂口”,以及伍佰狂放内敛的拿手情歌“拒绝孤独”、游鸿明谱曲、姚谦填词,深刻体会人生美好的“你微笑时好美”等。

01. 勇者之歌
02. 爱回来
03. 你微笑时好美
04. 河水倒流
06. 寂寞堂口
05. 拒绝孤独
07. 上一次下一次
08. 别怕
09. 烛光
10. 给天使看的戏

Bonus Track
11. 爱(国语独唱版) (电影情癫大圣主题曲)
12. 爱(国语合唱版 – 阿Sa 蔡卓妍) (电影情癫大圣主题曲)

BT下载:http://bt.92wy.com/torrents/2005-11-24/e72350cca8bf9039218494abd5962dfc53ecbc96_1132795118.torrent

速度很快地!

专辑名称:怎么 样
演唱歌手:陈奕迅
唱片公司:正东唱片
发行时间:2005年11月23日
专辑语种:国/粤语专辑1CD

  陈奕迅自2002年一张国语大碟《Special Thanks To…》在台湾金曲奖上勇夺“最佳男演唱人”和“最佳演唱专辑”两项大奖,近年来少有国语作品。继2005年大卖的广东碟《U 87》,Eason 在年底推出国语碟《怎么样》,内有两首粤语及八首国语歌,首选国语推介歌之作包括∶“不然你要我怎么样”、“不睡”、“对不起 谢谢”。

  碟内两首粤语新作,第一主打歌则是 Eason 再度与快餐连锁店合作,为新一个阶段的“音乐国度”推广活动拍摄电视广告与唱主题曲“听听”。Eason 的活跃、好动及敢于创新的性格,在新曲中的哼唱部分尽情展现出来。Eason 称,这首歌是以巴西风情味带出很开心的感觉,歌词也很简单,就是年轻人以音乐展现自己的生活态度。另外,特别推荐早前 Eason 特别为音乐剧炮制的主题曲“人神斗”。


01 不能再等待
02 对不起 谢谢
03 Hippie
04 不然你要我怎么样
05 不睡
06 一夜销魂
07 浮城
08 早开的长途班
09 听听 (粤)
10 人神斗 (粤)

录象地址:http://aday.3800cc.com/0511/051123jy.rar

已经被毁了的游戏!

许多狂热如我一样的GOOGLE FANS抛弃原来的邮箱改用GMAIL时,是否也怀念过以前用的邮箱呢?是否又要用电子邮件逐个通知一下邮件地址簿中的好友你已经换了邮箱呢?是否担心自己忘了收取原来的邮箱的邮件呢?好了,我现在教你一招,让你不再有以上的担心,你也不必老是掂记着要去两个邮箱查看邮件,同时,只要你愿意,你可以拥有超过4GB甚至200G的超大的EMAIL使用空间。
  来吧,跟我做吧。
  第一步:确保你的Gmail的界面是英文的,中文的Gmail界面中没有这个功能;
  第二步:进入 Settings 中的Accounts,然后选Add another email address,添加另一个邮箱地址;
  第三步:输入你另一个邮箱的名字Enter information for another email address;
  第四步:当你用另一个邮箱的名义发邮件时,GMAIL邮件系统会验证这个邮件地址是你的,GMAIL邮件系统会在下一步发送邮件验证码,你可以去那个邮箱中找到验证码,或在另一个邮件确认函中点击那个验证链接,就这样,你就能够在GMAIL的漂亮AJAX界面中以另一个邮箱的名义发送邮件了;
  第五步:只是在Gmail的平台上发邮箱是不够的,我们还可以在Gmail上收取其它邮箱的邮件,Gmail邮件系统并不支持POP方式代收邮件,你得在你原来的邮件系统中设置为全部转发到Gmail邮箱中来,如果你以前的邮件系统中提供过滤规则,你不妨把所有的邮件过滤并转发到Gmail邮箱中来。GMAIL是支持转发的,在settings里有Forwarding and POP,你自己根据自己的需要来转发吧。
  好了,有2G多的GMAIL邮箱,什么垃圾邮件都不怕了,Gmail会自动帮你拦住一些可疑邮件到SPAM邮件夹,也许是Gmail邮件系统在你以前点击“Report SPAM”按钮时记住了垃圾邮件的特征,你可以放心的是,你不会收到内容相同的垃圾邮件,当你第一次“Report SPAM”后,第二封垃圾就自动归类到“SPAM”了,很方便吧?我就从来不忌惮在网络上留下我的Email地址,也不必在留下Email地址时加上一句“请把at换为@”,你也可以随意地留下你的邮件地址啦! 其实,如果你有足够多的邀请权限注册多个Gmail邮箱,你就可以有4G、8G、16G、200G的邮箱空间了,这是变态玩法,我其实也不知道Google的

Gmail系统最多允许增加多少个Email地址,谁变态谁去测试一下.

如何自定义外发邮件的"发件人"地址?
http://mail.google.com/support/bin/answer.py?ctx=%67mail&hl=cn&answer=20616
撰写邮件时如何更改我的"发件人"地址?
http://mail.google.com/support/bin/answer.py?answer=22376

有些时候你是不是有些烦还原精灵,刚对系统进行的配置,重启后又恢复原貌了,本文就给大家讲了还原精灵的七大破解方法……

  方法一:临时解决办法

  如果在忘记还原精灵密码后,你安装了一个新程序,该软件提示要求重启计算机,此时不要点击“确定”按钮,选择“以后重启”。然后在“开始→关闭系统”中选择“重新启动计算机”,注意此时一定要按住Shift按键不放,这样计算机将直接重新加载系统程序,从而绕过还原精灵的保护。

  方法二:长期解决办法

  如果想长期保存自己的文件,就必须卸掉还原精灵或者取得还原精灵的管理员密码,要卸掉还原精灵其实不难,网上有专门清除还原精灵的程序“还原精灵清除器”,运行以后直接清除还原精灵的密码。不过需要注意,由于还原精灵是在硬盘最重要的主引导记录MBR里面做的文章,所以使用这个还原精灵清除器有一定的危险。

方法三:利用初始密码

  还原卡都有默认的初始化密码,如果你压根儿就没有修改过它的默认密码的话,就简单多了,因为还原精灵的默认密码是12345678!

  方法四:写信索取密码

  在安装还原精灵时会带有一个还原精灵辅助工具,即厂商提供的密码读取工具readpwd.exe,运行它也可以得到还原精灵的加密密码,格式类似这样:[DB][B8][5E][79][3E][3B][5E][C5][BD][B2],把该加密密码发送到这个信箱:info@yuanzhi.com.cn,只需一两天就可以得到软件开发商发来的密码。

  这样,无需任何软件,简单的几下就可以得到还原精灵的密码!反过来讲任何人用这个方法都可以得到还原精灵的密码,包括受限制的用户!所以大家要保存好密码读取工具readpwd.exe,将它改名隐藏或干脆删除。

  方法五:重写主引导扇区

  还原精灵会截取系统的底层功能调用,在硬盘的主引导区留下自己的痕迹。硬盘的主引导区存放的是系统的主引导信息、分区信息,一般说来病毒对它非常感兴趣。如果我们能先于还原精灵占有硬盘的主引导扇区(MBR),那么我们就可以对硬盘拥有最大的管理权限,换句话说,还原精灵已经被我们“干掉”了。

  依据上面如上原理,用fidisk/mbr命令重写主引导扇区,然后重新启动计算机,这样还原精灵就没有了。

  方法六:利用16进制文件编辑器

  WinHex的内存搜索编辑功能可以帮我们找回丢失的还原精灵密码。具体方法是:右击任务栏右下角的还原精灵图标,在弹出菜单中选择“参数设置→更改密码”,在对话框中输入旧密码,胡乱填写几个数字如123456;在新密码框中输入新密码,这里也胡乱填了个371042,最后点“确定”按钮。
由于我们是胡乱输入的密码,所以旧密码是不会正确的,此时会弹出对话框,提示密码不正确,注意千万不要点击“确定”按钮,赶紧运行16进制文件编辑器WinHex,点“工具”菜单中的“RAM编辑器”,在打开的窗口中找到Hddgmon下的“主要内存”,这里的Hddgmon是还原精灵的进程。

  最后,在WinHex中点击“搜寻→寻找文字”菜单选项,在打开的窗口中添入你随便填入的假密码371042。点“确定”之后,真正的密码就会出现在我们面前了!

  原理:输入密码后,该软件会用其内部事先定义好的方法来计算真正的密码,与输入的密码进行比较,这个比较的过程是在内存中进行的。由于WinHex具有优秀的内存编辑功能,因此通过在内存中搜索输入的字符串,来找到它们。而一般情况下,真假密码的比较离得会很近,这样我们就可以轻松发现它们。

  方法七:利用还原精灵密码读取软件

  通过方法六我们不难得出结论:还原精灵存在内存中存放明文密码的漏洞,还原精灵密码读取软件,使用该软件可以轻松地得到还原精灵的密码。该软件使用方法很简单,只要打开还原精灵的“更改密码”的窗口或“检查管理员密码”的窗口,然后无需输入任何密码,只要点击该软件的“读取”按钮,就会自动从还原精灵的内存中读取密码。

 

2005年11月23日


2005年11月21日

介绍注册表的文章和书籍实在数不胜数,但无非是罗列一些经验和技巧,在这诸多雷同乃至千篇一律的修改技巧面前,我们的读者多少显得有些盲目甚至已经麻木了,直到笔者最近无意之中发现有的IT专业媒体居然也闹出了不应有的笑话(如下文的几个例子,为了给他们留点面子故隐去了出处),才感到问题的严重性(已经泛滥成灾),本文旨在提醒和指引读者朋友们走出注册表修改的误区,还我们一片纯净的天空!

  走出注册表修改的三大误区

  误区一:认为很危险而不敢修改

  有些朋友把注册表视为“禁区”,轻易不敢进行修改,万不得已需要动手的时候也是胆战心惊、如履薄冰,生怕一旦修改不当系统就会马上崩溃;其实注册表并没有我们想象得那么脆弱,只是出于稳定性和兼容性的考虑,其中的一部分设置比较保守,这就给我们提供了对注册表进行修改和优化的前提条件,所以说,适当修改注册表非但不会导致系统瘫痪,而且还可以带来系统性能的有效提升和系统安全的有力加强,甚至还会解决一些意象不到的问题,当然前提是要对注册表了如指掌。其实对于初学者来说,就算你对注册表不是很熟悉,也不用缩手缩脚的,只要你在修改前注意备份注册表,就可以放心大胆地对注册表“开刀”了。万一出了问题,你只需利用已经备份的注册表文件恢复回来即可(前提是还可以进入系统)。

  小提示:

  如果万一修改注册表出了大问题,也就是说连系统都进入不了(不过这种情况极少发生,只有1的概率,除非是不小心删除了某个根键),可以采取以下措施:

  1.对于Windows 98,可以在启动时按“F8”选择进入DOS实模式,在命令行下键入“scanreg /restore”命令进行恢复(也可以进入安全模式恢复注册表)。

  2.对Windows XP来说,只能选择进入安全模式恢复注册表,当然也可以利用系统还原将系统还原到某个设置好的还原点。

  误区二:舍近求远直接修改

  前面说的是一个极端,即有的人不敢修改注册表,可现在有些人又走向了另一个极端–他们学会修改注册表以后,可能是因为尝到了甜头,事无巨细都喜欢拿注册表“开刷”,不管是系统出了什么毛病还是要设置什么功能,都要找到注册表的头上,好象怎么看都不顺眼,非要给人家“动动手术”不可;又或者是想在“菜鸟”面前炫耀自己的“老鸟”本色,不过他们这种舍近求远、取繁弃简的做法最终只能贻笑大方罢了。事实胜于雄辩,下面我们来看几个例子:

  1.禁止WinXP文件夹自动展开

  “文件夹自动展开”(学名叫“简单文件夹查看”)是WinXP中新增加的一项比较人性化的功能,就是当点击资源管理器左侧的文件夹列表时,会自动展开此文件夹(如果有子文件夹的话)。如果不喜欢的话可以禁用它,可有的人非要通过修改注册表来达到目的,也就是将注册表的“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”子键下的DWORD值“FriendlyTree”由1改为0 来禁止此项功能,其实完全没有这个必要,因为在资源管理器的“文件夹选项”里已经有此设置,具体方法是打开“文件夹选项”对话框,切换到“查看”页,在“高级选项”中找到“在资源管理器文件夹列表中显示简单文件夹查看”一项,取消它前面的对勾即可。

  2.让新安装的程序更易找

  这也是WinXP中新增加的一项功能,学名叫“突出显示新安装的程序”。可有些人同样通过在注册表的“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”子键下新建DWORD值“Start_NotifyNewApps”,并将其值设为1来启用这项功能。其实像这样修改注册表不但要记住一大串E文(稍微搞错一点都不行),而且还要冒一定的风险实在不划算。实际上在开始菜单的属性设置中就可以完成,具体方法是在空白任务栏上单击鼠标右键,选择“属性”命令,打开“任务栏和开始菜单属性”对话框,依次点击“[开始]菜单-自定义-高级”,然后选中“突出显示新安装的程序”确定即可。
3.让VB运行前自动存盘

  在这个例子中也是通过修改注册表即将分支“HKEY_CURRENT_USERSoftwareMicrosoftVisual Basic.0”下的字符串值“SaveBeforeRun”改为1来达到目的,但实际上当该字符串值为1时仅仅是提示保存改变,而不会自动存盘(应该改为2才对)。其实VB6本身已经提供了这个功能,具体设置方法是运行VB6,点击“工具/选项”菜单,在弹出的“选项”对话框中点击“环境”标签,然后选中“启动程序时保存改变”即可。

  4.分组相似任务栏按钮

  这也是Windows XP的一项新功能,它通过层叠相似的任务栏按钮来管理众多的任务。当你打开的窗口很多时,就可以利用它来更好地管理任务栏。可有的人并不喜欢它,因为每切换一个任务要点两次太麻烦,于是就从注册表下手,将注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced项下的DWORD值“TaskbarGlomming”设为1来达到目的。其实系统本身已经提供了相应的设置方法,用不着劳驾注册表出马。具体方法是右键单击任务栏空白处,在弹出的菜单中选择“属性”,然后在“任务栏属性”窗口中选中“分组相似任务栏按钮”复选框即可。

  通过以上几个例子笔者只是想说明,并不是不能修改注册表,而是有很多设置操作系统或应用软件本身就已经提供,这时就没有必要舍近求远去找注册表“折腾”,总之一个原则就是先试试其他简单、安全的方法,实在不行再求助于注册表,毕竟直接修改注册表是有一定危险的。比如“超级兔子魔法设置”、“Windows 优化大师”等软件就是通过修改注册表来达到优化的目的,通过它们来间接修改注册表要简单安全得多,同时成功率也高很多,强烈推荐!

  误区三:可极大提升系统性能!

  虽然我们前面说过,适当修改注册表可以提升系统性能和提高系统安全,但是这种提升是以硬件为基础的,只有当操作系统本身的设置相对硬件系统来说比较保守时,我们才可以通过修改注册表来使系统性能得到一定的提升,从而更好地发掘硬件的潜能,使整个系统达到最优化。但如果你的硬件本身就不怎么样,你是不能奢望通过修改注册表来升级的,否则我们大家都不用掏钱来升级爱机了,只要改改注册表就OK了^-^

  比如你有一颗奔Ⅱ的芯,虽然也可以通过修改注册表让它变成奔Ⅲ甚至奔Ⅳ,但那只是表面上的显示不同而已,实际还是一个东东,一点也没有变!这么做也许只是心理上得到了满足,感觉良好罢了。

  写在最后

  注册表可以说是Windows操作系统的灵魂和核心,适当地修改和优化注册表确实能提升系统性能和运行效率(这也就是为什么“超级兔子”和“优化大师”等软件那么吃香的原因),但我们也不要过于迷信这种“软升级”,如果没有相应的硬件平台做基础,不管你再怎么优化也不可能有质的飞跃。总之一句话,既要大胆修改注册表,又不要过分依赖注册表。

IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。

  在对软件做讲解之前,首先说明第一注意事项:此程序运行时不可激活内核调试器(如softice),否则系统即刻崩溃。另外使用前请保存好您的数据,以防万一未知的Bug带来损失。

  IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSwo rd使用大量新颖的内核技术,使得这些后门躲无所躲。

IceSword FAQ 进程、端口、服务篇

问:现在进程端口工具很多,什么要使用IceSword?
答:1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用(前二者最终也用到此调用)编写,随便一个ApiHook就可轻轻松松干掉它们,更不用说一些内核级 后门了;极少数工具利用内核线程调度结构来查询进程,这种方案需要硬编码,不仅不同版本系统不同,打个补丁也可能需要升级程序,并且现在有人也提出过防止此种查找的方法。而IceSword的进程查找核心态方案是目前独一无二,并且充分考虑内核后门可能的隐藏手段,目前可以查出所有隐藏进程。

2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi,前者会调用RtlDebug***函数向目标注入远线程,后者会用调试api读取目标进程内,本质上都是对PEB的枚举,前面我的blog提到过轻易修改PEB就让这些工具找不到 北了。而IceSword的核心态方案原原本本地将全路径展示,就算运行时剪切到其他路径也会随之显示。

3、进程dll模块与2的情况也是一样,利用PEB的其他工具会被轻易欺骗,而IceSword不会弄错。

4、IceSword的进程杀除强大且方便(当然也会有危险)。可轻易将选中的多个任意进程一并杀除。当然,说任意不确切,除去三个:idle进程、System进程、csrss进程,原因就不详述了。其余进程可轻易杀死,当然有些进程(如winlogon)杀掉后系统就崩溃了。

5、对于端口工具,网上的确有很多,不过网上隐藏端口的方法也很多,那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找,不过不想弄得太臃肿。

问:windows自带的服务工具强大且方便,IceSowrd有什么更好的特点呢?
答:因为比较懒,界面使用上的确没它来的好,不过IceSword的服务功能主要是查看木马服务的,使用还是很方便的。举个例子,顺便谈一类木马的查找:有一种利用svchost的木马,怎么利用的呢?svchost是一些共享进程服务的宿主,有些木马就以dll存在,依*svchost运作,如何找出它们呢?首先看进程一栏,发现svchost过多,特别注意一下pid较大的,记住它们的pid,到服务一栏,就可找到pid对应的服务项,配合注册表查看它的dll文件路径(由服务项的第一栏所列名称到注册表的services子键下找对应名称的子键),根据它是不是惯常的服务项,很容易发现异常。剩下的工作就是停止任务或结束进程、删除文件、恢复注册表 之类的了,当然过程中需要你对服务有一般的知识。

问:那么什么样的木马后门才会隐藏进程注册表文件的?用IceSword又如何查找呢?
答:比如近来很流行且开源(容易出变种)的hxdef就是这么一个后门。虽然它带有一个驱动,不过还只能算一个系统级后门,还称不上内核级。不过就这样的一个后门,你用一些工具,***专家、***大师、***克星看看,能不能看到它的进程、注册项、服务 以及目录文件,呵呵。用IceSword就很方便了,你直接就可在进程栏看到红色显示的hxdef100进程,同时也可以在服务栏中看到红色显示的服务项,顺便一说,在注册表和文件栏里你都可发现它们,若木马正在反向连接,你在端口栏也可看到,另外,内核 模块中也可以看到它的驱动。杀除它么,首先由进程栏得后门程序全路径,结束进程,将后门目录删除,删除注册表中的服务对应项…这里只是选一个简单例子,请你自行学习如何有效利用IceSword吧。

问:“内核模块”是什么?
答:加载到系统内和空间的PE模块,主要是驱动程序*.sys,一般核心态后们作为核心驱动存在,比如说某种rootkit加载_root_.sys,前面提到的hxdef也加载了hxdefdrv.sys,你可以在此栏中看到。


问:“SPI”与“BHO”又是什么?
答:SPI栏列举出系统中的网络服务提供者,因为它有可能被用来做无进程木马,注意“DLL路径”,正常系统只有两个不同DLL(当然协议比较多)。BHO是IE的插件,全名Browser Help Objects,木马以这种形式存在的话,用户打开网页即会激活木马。


问:“SSDT”有何用?
答:内核级后门有可能修改这个服务表,以截获你系统的服务函数调用,特别是一些老的rootkit,像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示,当然有些安全程序也会修改,比如regmon,所以不要见 到红色就慌张。


问:“消息钩子”与木马有什么关系?
答:若在dll中使用SetWindowsHookEx设置一全局钩子,系统会将其加载入使用user32的进程中,因而它也可被利用为无进程木马的进程注入手段。


问:最后两个监视项有什么用处?
答:“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里,“监视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用:一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程,有则杀之,若 IceSword正在运行,这个操作就被记录下来,你可以查到是哪个进程做的事,因而可以发现木马或病毒进程并结束之。再如:一个木马或病毒采用多线程保护技术,你发现一个异常进程后结束了,一会儿它又起来了,你可用IceSword发现是什么线程又创建 了这个进程,把它们一并杀除。中途可能会用到“设置”菜单项:在设置对话框中选中“禁止进线程创建”,此时系统不能创建进程或者线程,你安稳的杀除可疑进线程后,再取消禁止就可以了。
 

问:IceSword的注册表项有什么特点?相对来说,RegEdit有什么不足吗?
答:说起Regedit的不足就太多了,比如它的名称长度限制,建一个名长300字节的子项看看(编程或用其他工具,比如regedt32),此项和位于它后面的子键在regedit中显示不出来;再如有意用程序建立的有特殊字符的子键regedit根本 打不开。当然IceSword中添加注册表编辑并不是为了解决上面的问题,因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的,它不受目前任何注册表隐藏手法的蒙蔽,真正可*的让你看到注 册表实际内容。


问:那么文件项又有什么特点呢?
答:同样,具备反隐藏、反保护的功能。当然就有一些副作用,文件保护工具(移走文件和文件加密类除外)在它面前就无效,如果你的机器与人共用,那么不希望别人看到的文件就采用加密处理吧,以前的文件保护(防读或隐藏)是没有用的。还有对安全的副作用是本来 system32\config\SAM等文件是不能拷贝也不能打开的,但IceSword是可以直接拷贝的。不过只有管理员能运行IceSword。最后说一个小技巧:用复制来改写文件。对一个被非共享打开的文件、或一个正运行的程序文件(比如木马), 你想改掉它的内容(比如想向木马程序文件写入垃圾数据使它重启后无法运行),那么请选中一个文件(内含你想修改的内容),选“复制”菜单,将目标文件栏中添上你欲修改掉的文件(木马)路径名,确定后前者的内容就写入后者(木马)从头开始的位置。最后提醒一句:每次开机IceSword只第一次运行确认管理员权限,所以管理员运行程序后,如果要交付机器给低权限用户使用,应该先重启机器,否则可能为低权限用户利用。
 

问:GDT/IDT的转储文件里有什么内容?
答:GDT.log内保存有系统全局描述符表的内容,IDT.log则包含中断描述符表的内容。如果有后门程序修改它,建立了调用门或中断门,很容易被发现。
 

问:转储列表是什么意思?
答:即将显示在当前列表视中的部分内容存入指定文件,比如转储系统内所有进程,放入网上请人帮忙诊断。不过意义不大,IceSword编写前已假定使用者有一定安全知识,可能不需要这类功能。

介绍注册表的文章和书籍实在数不胜数,但无非是罗列一些经验和技巧,在这诸多雷同乃至千篇一律的修改技巧面前,我们的读者多少显得有些盲目甚至已经麻木了,直到笔者最近无意之中发现有的IT专业媒体居然也闹出了不应有的笑话(如下文的几个例子,为了给他们留点面子故隐去了出处),才感到问题的严重性(已经泛滥成灾),本文旨在提醒和指引读者朋友们走出注册表修改的误区,还我们一片纯净的天空!

  走出注册表修改的三大误区

  误区一:认为很危险而不敢修改

  有些朋友把注册表视为“禁区”,轻易不敢进行修改,万不得已需要动手的时候也是胆战心惊、如履薄冰,生怕一旦修改不当系统就会马上崩溃;其实注册表并没有我们想象得那么脆弱,只是出于稳定性和兼容性的考虑,其中的一部分设置比较保守,这就给我们提供了对注册表进行修改和优化的前提条件,所以说,适当修改注册表非但不会导致系统瘫痪,而且还可以带来系统性能的有效提升和系统安全的有力加强,甚至还会解决一些意象不到的问题,当然前提是要对注册表了如指掌。其实对于初学者来说,就算你对注册表不是很熟悉,也不用缩手缩脚的,只要你在修改前注意备份注册表,就可以放心大胆地对注册表“开刀”了。万一出了问题,你只需利用已经备份的注册表文件恢复回来即可(前提是还可以进入系统)。

  小提示:

  如果万一修改注册表出了大问题,也就是说连系统都进入不了(不过这种情况极少发生,只有1的概率,除非是不小心删除了某个根键),可以采取以下措施:

  1.对于Windows 98,可以在启动时按“F8”选择进入DOS实模式,在命令行下键入“scanreg /restore”命令进行恢复(也可以进入安全模式恢复注册表)。

  2.对Windows XP来说,只能选择进入安全模式恢复注册表,当然也可以利用系统还原将系统还原到某个设置好的还原点。

  误区二:舍近求远直接修改

  前面说的是一个极端,即有的人不敢修改注册表,可现在有些人又走向了另一个极端–他们学会修改注册表以后,可能是因为尝到了甜头,事无巨细都喜欢拿注册表“开刷”,不管是系统出了什么毛病还是要设置什么功能,都要找到注册表的头上,好象怎么看都不顺眼,非要给人家“动动手术”不可;又或者是想在“菜鸟”面前炫耀自己的“老鸟”本色,不过他们这种舍近求远、取繁弃简的做法最终只能贻笑大方罢了。事实胜于雄辩,下面我们来看几个例子:

  1.禁止WinXP文件夹自动展开

  “文件夹自动展开”(学名叫“简单文件夹查看”)是WinXP中新增加的一项比较人性化的功能,就是当点击资源管理器左侧的文件夹列表时,会自动展开此文件夹(如果有子文件夹的话)。如果不喜欢的话可以禁用它,可有的人非要通过修改注册表来达到目的,也就是将注册表的“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”子键下的DWORD值“FriendlyTree”由1改为0 来禁止此项功能,其实完全没有这个必要,因为在资源管理器的“文件夹选项”里已经有此设置,具体方法是打开“文件夹选项”对话框,切换到“查看”页,在“高级选项”中找到“在资源管理器文件夹列表中显示简单文件夹查看”一项,取消它前面的对勾即可。

  2.让新安装的程序更易找

  这也是WinXP中新增加的一项功能,学名叫“突出显示新安装的程序”。可有些人同样通过在注册表的“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced”子键下新建DWORD值“Start_NotifyNewApps”,并将其值设为1来启用这项功能。其实像这样修改注册表不但要记住一大串E文(稍微搞错一点都不行),而且还要冒一定的风险实在不划算。实际上在开始菜单的属性设置中就可以完成,具体方法是在空白任务栏上单击鼠标右键,选择“属性”命令,打开“任务栏和开始菜单属性”对话框,依次点击“[开始]菜单-自定义-高级”,然后选中“突出显示新安装的程序”确定即可。
3.让VB运行前自动存盘

  在这个例子中也是通过修改注册表即将分支“HKEY_CURRENT_USERSoftwareMicrosoftVisual Basic.0”下的字符串值“SaveBeforeRun”改为1来达到目的,但实际上当该字符串值为1时仅仅是提示保存改变,而不会自动存盘(应该改为2才对)。其实VB6本身已经提供了这个功能,具体设置方法是运行VB6,点击“工具/选项”菜单,在弹出的“选项”对话框中点击“环境”标签,然后选中“启动程序时保存改变”即可。

  4.分组相似任务栏按钮

  这也是Windows XP的一项新功能,它通过层叠相似的任务栏按钮来管理众多的任务。当你打开的窗口很多时,就可以利用它来更好地管理任务栏。可有的人并不喜欢它,因为每切换一个任务要点两次太麻烦,于是就从注册表下手,将注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced项下的DWORD值“TaskbarGlomming”设为1来达到目的。其实系统本身已经提供了相应的设置方法,用不着劳驾注册表出马。具体方法是右键单击任务栏空白处,在弹出的菜单中选择“属性”,然后在“任务栏属性”窗口中选中“分组相似任务栏按钮”复选框即可。

  通过以上几个例子笔者只是想说明,并不是不能修改注册表,而是有很多设置操作系统或应用软件本身就已经提供,这时就没有必要舍近求远去找注册表“折腾”,总之一个原则就是先试试其他简单、安全的方法,实在不行再求助于注册表,毕竟直接修改注册表是有一定危险的。比如“超级兔子魔法设置”、“Windows 优化大师”等软件就是通过修改注册表来达到优化的目的,通过它们来间接修改注册表要简单安全得多,同时成功率也高很多,强烈推荐!

  误区三:可极大提升系统性能!

  虽然我们前面说过,适当修改注册表可以提升系统性能和提高系统安全,但是这种提升是以硬件为基础的,只有当操作系统本身的设置相对硬件系统来说比较保守时,我们才可以通过修改注册表来使系统性能得到一定的提升,从而更好地发掘硬件的潜能,使整个系统达到最优化。但如果你的硬件本身就不怎么样,你是不能奢望通过修改注册表来升级的,否则我们大家都不用掏钱来升级爱机了,只要改改注册表就OK了^-^

  比如你有一颗奔Ⅱ的芯,虽然也可以通过修改注册表让它变成奔Ⅲ甚至奔Ⅳ,但那只是表面上的显示不同而已,实际还是一个东东,一点也没有变!这么做也许只是心理上得到了满足,感觉良好罢了。

  写在最后

  注册表可以说是Windows操作系统的灵魂和核心,适当地修改和优化注册表确实能提升系统性能和运行效率(这也就是为什么“超级兔子”和“优化大师”等软件那么吃香的原因),但我们也不要过于迷信这种“软升级”,如果没有相应的硬件平台做基础,不管你再怎么优化也不可能有质的飞跃。总之一句话,既要大胆修改注册表,又不要过分依赖注册表。

2005年11月20日

下载地址:http://download.rising.com.cn/zsgj/ravgpk.exe

我下载下来用了,由于我没中灰鸽子  所以不知道效果怎么样。

和其他病毒木马一样,我同样也担心这个专杀的效果如何,再加上每天都在更新的病毒、变种,瑞星能笑多久?其实我觉得这些杀毒方法都是次要的,关键在于你自己,提高警惕,注意防范,别乱下BT里.exe的文件,不轻易上不名网站等等,这些都是最简单而有效的手段!