文章作者：xyzreg
作者网站：http://www.xyzreg.net
信息来源：邪恶八进制信息安全团队（forum.eviloctal.com）

这是今年我在XCON2007（安全焦点信息安全技术峰会）所演讲的议题，现在提供ppt资料下载
议题介绍:

主动防御技术已被杀毒软件、软件防火墙、HIPS等安全软件广泛采用，现有的后门木马、Rootkit等恶意软件面临严峻考验。无论传统的恶意软件功能有多强大隐蔽性有多高，初次安装以及工作时都会被主动防御功能拦截并提示用户，使其无法正常安装和工作。本议题阐述了主动防御技术的应用现状和原理，并深入 Windows系统内核详细讲解突破主动防御的各种方法和思路。

下载地址： xcon2007_xyzreg.rar

        今天为了更好的学习《精通脚本黑客》和测试体验即将到来的z-blog1.8，在本地机装了IIS5.1，但是问题不断，在此总结下，为以后会碰到同样问题的朋友写写经验（怎么这话听着这么别扭，貌似我多高手是的，其实俺是菜鸟，汗一个先~）。

        我这台机器上装的是专业版的XP，IIS信息服务没有隐藏，免去了恢复显示的麻烦，勾选，安装，都比较顺利。可是安装完成后却访问不了http://localhost，在管理中看了下，默认站点没有启动，手动启动，提示错误：

IIS 无法启动 发生意外错误 8ffe2740

用baidu搜了下相关的内容，很多人说是80端口被占用了，有好几个人是被web迅雷给占了，但是我从来都不用web迅雷的，那玩意是适合普通用户的“低级”产品，我当然要用“专业级”的去广告的迅雷了，难不成这个也占用80端口？

在职业欠钱&zj1244那看到的，转来做收藏之用，以后碰到了难缠的病毒木马等可以查查看~

一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
路径:C:Documents and SettingsOwner「开始」菜单程序启动

二. 第二自启动项目:

        夜火：经过前2天的熊猫变种worm.nimaya.al事件后，就一直想写个判断病毒类型名称什么的文章，给那个中毒的朋友看看，让中毒的那个朋友学学这方面的知识，好自己亲手解决以后碰到的病毒。今天在中关村在线看到了相关的这篇文章，写的比我想的要全面多了，就转过来了，给那个中毒的朋友，和其他需要的朋友学习学习。

        很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？

　　其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

　　世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> 。

作者：赵彦   转自：chinaunix信息安全版本文仅代表个人观点，并且笔者已经离开这个行业，所以文中观点难免出现不客观之处。此外，对于行业之内的从业，可以参考我写的《信息安全从业参考》 http://bbs.chinaunix.net/viewthread.php?tid=711737&extra=page%3D1 假设你是一个刚毕业的学生，无非有两种方式，top-down和down-top的方式，但无论如何，此时你都不可能站在一个很高的视角上，因为你缺乏知识和经验。 down-top从安全公司做技术开始，由网络安全逐渐向信息安全过渡，top-down从四大或咨询公司开始，一开始就走咨询的模式。但我想大多数都是从做技术开始的。

　　对于我们经常使用的windows 2000/xp这里边有许多服务，那么这些服务都是干什么的呢？我们需要哪些？不需要哪些？在此我向大家做一个介绍……      Win32服务程序由3部分组成：服务应用程序，服务控制程序和服务控制管理器。其中服务控制管理器维护着注册表中的服务数据，服务控制程序则是控制服务应用程序的模块，是控制服务应用程序同服务管理器之间的桥梁。服务应用程序是服务程序的主体程序，他是一个或者多个服务的可执行代码。我们可以在控制面板--管理工具--服务中找到。可以修改他们的当前状态和启动方式，它的启动方式有三种："自动"是之当计算机启动或者需要的时候就开启。"手动"是可以在命令提示符中通过"net start"命令打开和"net stop"命令关闭的，"已禁止"是指在改变启动方式前，不在启动。　　在众多服务程序中他们很多是互相依存的，所以我们不能随便的便停止某项服务，否则很可能造成系统的非正常情况出现，但是有的服务对我们来说的确没有什么作用，而且还占据着我们宝贵的系统资源，其实有很多程序是我们用不到的，可以关闭，从而达到节省资源的目的。

　　很多情况下好多朋友都被恶意代码烦透了吧,我在各个安全网站到处漫游,看能不能帮大家一把，终于让我找到了这个好文章，大家可以参详一下。不过我开拓进取在这里提醒一下大家,在修改注册表之前一定要备份喔~并且要看准键咯~~`删错了可就…… 　　一、 修改注册表： 　　我想大部份网友都有过被恶意代码修改过注册表的经历吧，有一招简单的方法是可以永远免疫的， 就是在注册表中删除恶意代码会用到的一个id就可以了， 那就是F935DC22-1CF0-11D0-ADB9-00C04FD58A0B，只要把它删了，那你以后碰到恶意代码，就再也不用担心注册表会再被修改了，它在注册表里面的路径是HKEY_CLASSES_ROOTCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B} 找到后把整个项删掉就可以了，这个项删掉不会对系统有任何影响,请放心删除。(请注意不要删错了哦)