1到任务管理器的进程中结束相关进程,然后就可删除
2进入安全模式删除
3用WINRAR软件压缩,同时选中选项"压缩完后删除原文件"
4用软件删除,如“冰刃”(很方便、好用,但存在一定风险,使用前好好学学吧)
2008年10月18日星期六
2008年10月16日星期四
PDF解密软件&&&PDF转word软件,总有一款你会用到!
1、当你面对英文版PDF格式的培训教材时,是否正在为金山词霸取不了词而烦恼呢?
那么请用PDF转word软件吧,在word文档中鼠标取词就能用了
2、如果该PDF为加密文件,请先用PDF解密软件解密
有需要的联系我,发给你!
那么请用PDF转word软件吧,在word文档中鼠标取词就能用了
2、如果该PDF为加密文件,请先用PDF解密软件解密
有需要的联系我,发给你!
三招手动清除机器狗病毒
三招手动清除机器狗病毒
【简 介】
机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。如何手动清除呢?
方案1
解决方案是将system32/drivers目录单独分配给一个用户,而不赋予administror修改的权限。虽然这样能解决,但以后安装驱动就是一件头疼的事了。
彻底清除该病毒,处理后重启一下电脑就可以了,之前要打上补丁!
或者这样:
1 注册表,组策略中禁止运行userinit.exe 进程
2 在启动项目中加入批处理
A : 强制结束userinit.exe进程 Taskkill /f /IM userinit.exe (其中“/IM”参数后面为进程的图像名,这命令只对XP用户有效)
B : 强制删除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe
C : 创建userinit.exe免疫文件到%SystemRoot%system32
命令:md %SystemRoot%system32userinit.exe >nul 2>nul
或者 md %SystemRoot%system32userinit.exe
attrib +s +r +h +a %SystemRoot%system32userinit.exe
D : reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字,多加了一个1,你也可以自己修改,不过要手动修改这4个注册表,并导出,这个批处理才能正常使用。
方案2
1、首先在系统system32下复制个无毒的userinit.exe,文件名为FUCKIGM.exe(文件名可以任意取),这就是下面批处理要指向执行的文件!也就是开机启动userinit.exe的替代品!而原来的userinit.exe保留!其实多复制份的目的只是为了多重保险!可能对防止以后变种起到一定的作用。
2、创建个文件名为userinit.bat的批处理(文件名也可任意取,但要和下面说到的注册表键值保持一致即可),内容如下:
start FUCKIGM.exe (呵呵,够简单吧?)
3、修改注册表键值,将userinit.exe改为userinit.bat。内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:WINDOWSsystem32userinit.bat,"
就这3步,让这条狗再也凶不起来!这是在windows 2003测试的,双击机器狗后,没什么反应,对比批处理也是正常,即这狗根本没改动它!开关机游戏均无异常!但唯一美中不足的是,采用经典模式开机的启动时会出现个一闪而过的黑框!
如果嫌麻烦,也不要紧。上面三条批处理网友已搞好了,直接复制下面的这个存为批处理执行就OK了。三步合二为一
@echo off
:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe
cd /d %SystemRoot%system32
copy /y userinit.exe FUCKIGM.exe >nul
:::创建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::注册表操作
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit / t REG_SZ /d "C:WINDOWSsystem32userinit.bat," /f >nul
:::删掉自身(提倡环保)
del /f /q %0
当然,如果实在不行,下载程序killigm。然后直接解压运行里面的程序:机器狗免疫补丁.bat 执行就可以了.
网上流传的另一种新的变种的防止方法 :
开始菜单运行.输入CMD
cd ……到drivers
md pcihdd.sys
【简 介】
机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。如何手动清除呢?
方案1
解决方案是将system32/drivers目录单独分配给一个用户,而不赋予administror修改的权限。虽然这样能解决,但以后安装驱动就是一件头疼的事了。
彻底清除该病毒,处理后重启一下电脑就可以了,之前要打上补丁!
或者这样:
1 注册表,组策略中禁止运行userinit.exe 进程
2 在启动项目中加入批处理
A : 强制结束userinit.exe进程 Taskkill /f /IM userinit.exe (其中“/IM”参数后面为进程的图像名,这命令只对XP用户有效)
B : 强制删除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe
C : 创建userinit.exe免疫文件到%SystemRoot%system32
命令:md %SystemRoot%system32userinit.exe >nul 2>nul
或者 md %SystemRoot%system32userinit.exe
attrib +s +r +h +a %SystemRoot%system32userinit.exe
D : reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字,多加了一个1,你也可以自己修改,不过要手动修改这4个注册表,并导出,这个批处理才能正常使用。
方案2
1、首先在系统system32下复制个无毒的userinit.exe,文件名为FUCKIGM.exe(文件名可以任意取),这就是下面批处理要指向执行的文件!也就是开机启动userinit.exe的替代品!而原来的userinit.exe保留!其实多复制份的目的只是为了多重保险!可能对防止以后变种起到一定的作用。
2、创建个文件名为userinit.bat的批处理(文件名也可任意取,但要和下面说到的注册表键值保持一致即可),内容如下:
start FUCKIGM.exe (呵呵,够简单吧?)
3、修改注册表键值,将userinit.exe改为userinit.bat。内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:WINDOWSsystem32userinit.bat,"
就这3步,让这条狗再也凶不起来!这是在windows 2003测试的,双击机器狗后,没什么反应,对比批处理也是正常,即这狗根本没改动它!开关机游戏均无异常!但唯一美中不足的是,采用经典模式开机的启动时会出现个一闪而过的黑框!
如果嫌麻烦,也不要紧。上面三条批处理网友已搞好了,直接复制下面的这个存为批处理执行就OK了。三步合二为一
@echo off
:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe
cd /d %SystemRoot%system32
copy /y userinit.exe FUCKIGM.exe >nul
:::创建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::注册表操作
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit / t REG_SZ /d "C:WINDOWSsystem32userinit.bat," /f >nul
:::删掉自身(提倡环保)
del /f /q %0
当然,如果实在不行,下载程序killigm。然后直接解压运行里面的程序:机器狗免疫补丁.bat 执行就可以了.
网上流传的另一种新的变种的防止方法 :
开始菜单运行.输入CMD
cd ……到drivers
md pcihdd.sys
IE浏览器首页不让修改的小技巧
IE浏览器首页不让修改的小技巧
众所周知,修改IE默认主页地址是恶意网页常用的一招。IE被修改后,会自动连接到恶意网页的地址。大家常用的方法是修改注册表,其实,只要简单给IE加个参数,就再也不害怕IE主页地址被修改了。下面是具体的方法和步骤。
首先,打开“我的电脑”,找到IE的安装目录,这里假设你的IE安装在C:Program FilesInternet Explorer下。进入该文件夹,找到Iexplore.exe文件,对着它点击鼠标右键,在弹出的快捷菜单中选择“发送到→桌面快捷方式”,这样就在桌面上建立了一个Iexplore.exe文件的快捷方式。如果你够仔细的话,你会发现你建立的这个快捷方式名字为“Iexplore.exe”,而桌面上原来的IE快捷方式名字为“Internet Explorer”,两者不仅名字不相同,而且“内涵”也不尽相同。
继续我们的工作,用鼠标右键单击该快捷方式,选择“属性”,会弹出“Iexplore.exe 属性”对话框,选择其中的“快捷方式”标签,然后在“目标”框里填入:"C:Program FilesInternet ExplorerIEXPLORE.EXE" -nohome,给Iexplore.exe加上参数“-nohome”,输入时请大家注意在参数“-nohome”前面有一个空格,不要忘了。点击“确定”退出即可。
这样即使主页被修改也没有关系,打开IE就是一片空白,就连about:blank也不显示。而且这样能够加快启动速度,一点IE窗口马上就出蹦来了。
对于IE在安装时自己建立的快捷方式,我们无法为它加上上述参数。如果不信可以试试,用鼠标右键点击桌面上原来IE自建的快捷方式,选“属性”,会发现“目标”栏、“起始位置”栏、“快捷键”栏和“运行方式”栏都是灰色不可选取状态。这就是它们之间最大的不同!也是本文的关键所在。
众所周知,修改IE默认主页地址是恶意网页常用的一招。IE被修改后,会自动连接到恶意网页的地址。大家常用的方法是修改注册表,其实,只要简单给IE加个参数,就再也不害怕IE主页地址被修改了。下面是具体的方法和步骤。
首先,打开“我的电脑”,找到IE的安装目录,这里假设你的IE安装在C:Program FilesInternet Explorer下。进入该文件夹,找到Iexplore.exe文件,对着它点击鼠标右键,在弹出的快捷菜单中选择“发送到→桌面快捷方式”,这样就在桌面上建立了一个Iexplore.exe文件的快捷方式。如果你够仔细的话,你会发现你建立的这个快捷方式名字为“Iexplore.exe”,而桌面上原来的IE快捷方式名字为“Internet Explorer”,两者不仅名字不相同,而且“内涵”也不尽相同。
继续我们的工作,用鼠标右键单击该快捷方式,选择“属性”,会弹出“Iexplore.exe 属性”对话框,选择其中的“快捷方式”标签,然后在“目标”框里填入:"C:Program FilesInternet ExplorerIEXPLORE.EXE" -nohome,给Iexplore.exe加上参数“-nohome”,输入时请大家注意在参数“-nohome”前面有一个空格,不要忘了。点击“确定”退出即可。
这样即使主页被修改也没有关系,打开IE就是一片空白,就连about:blank也不显示。而且这样能够加快启动速度,一点IE窗口马上就出蹦来了。
对于IE在安装时自己建立的快捷方式,我们无法为它加上上述参数。如果不信可以试试,用鼠标右键点击桌面上原来IE自建的快捷方式,选“属性”,会发现“目标”栏、“起始位置”栏、“快捷键”栏和“运行方式”栏都是灰色不可选取状态。这就是它们之间最大的不同!也是本文的关键所在。
Flash曝严重安全漏洞 黑客可强启网民摄像头
Flash曝严重安全漏洞 黑客可强启网民摄像头
中华网科技讯 10月13日消息,360安全中心昨日发出网络安全警报称,一项名为“Clickjacking”的安全问题被曝出,涉及几乎所有的网络应用。其中最严重的就是“Flash强制启动视频”漏洞。利用这一漏洞,黑客可强制启动并完全控制受害网民的摄像头和麦克风,从而对网民个人隐私形成极大的威胁。 据360安全专家介绍,黑客可以利用“Flash强制启动视频”漏洞,设计一个恶意网页。当网民不慎访问该网页时,就会触发这一漏洞。黑客可以在受害者毫不知情的情况下,强制启动并完全控制其摄像头和麦克风,大肆偷窥他人的个人隐私。黑客甚至还可能将通过受害者摄像头和麦克风捕捉到的视、音频资料制作成视频作品在网上进行传播。
据悉,由于Adobe Flash Player软件在互联网上应用极其广泛,而该“Flash强制启动视频”漏洞会影响到Flash软件的绝大多数版本,因而该漏洞已经成为广大网民电脑中非常严重的安全隐患。但截至目前,Adobe官方尚未对此漏洞推出任何安全补丁。
中华网科技讯 10月13日消息,360安全中心昨日发出网络安全警报称,一项名为“Clickjacking”的安全问题被曝出,涉及几乎所有的网络应用。其中最严重的就是“Flash强制启动视频”漏洞。利用这一漏洞,黑客可强制启动并完全控制受害网民的摄像头和麦克风,从而对网民个人隐私形成极大的威胁。 据360安全专家介绍,黑客可以利用“Flash强制启动视频”漏洞,设计一个恶意网页。当网民不慎访问该网页时,就会触发这一漏洞。黑客可以在受害者毫不知情的情况下,强制启动并完全控制其摄像头和麦克风,大肆偷窥他人的个人隐私。黑客甚至还可能将通过受害者摄像头和麦克风捕捉到的视、音频资料制作成视频作品在网上进行传播。
据悉,由于Adobe Flash Player软件在互联网上应用极其广泛,而该“Flash强制启动视频”漏洞会影响到Flash软件的绝大多数版本,因而该漏洞已经成为广大网民电脑中非常严重的安全隐患。但截至目前,Adobe官方尚未对此漏洞推出任何安全补丁。
假冒YouTube网站现身 传播恶意程序
据国外媒体报道,一个网上传播的程序帮助黑客建立假冒网页传播其恶意程序,而且现在已经出现了假冒的YouTube。 如果用户按照电子邮件的指引来到假冒网站,首先会出现一个错误信息,说需要安装软件才能播放视频,错误信息中包含一个指向恶意程序的链接。 更为狡猾的是,一旦计算机被感染,黑客就能悄悄地将用户引导到正确的YouTube页面观看视频,从而隐蔽犯罪过程。趋势科技安全软件研究经理Jamz Yaneza表示:“这非常精确,很少见,如果我喜欢成天去YouTube看视频,很可能会点击这个链接。” 这一花招并不新鲜。罪犯在不断提高假冒网站的可信度,以便让网民上钩,下载恶意软件,但是这一事件表明罪犯不仅建立了更好的网站,而且采用了“社会工程”方法愚弄网民。幸运的是,警惕的网民还是能够发现蛛丝马迹,例如,浏览器网址不是YouTube的真正网址,要去恶意页面就要点击电子邮件中的链接,用户可以判断其真伪。
DNS漏洞 迫使互联网核心协议升级
DNS(Domain Name System,域名解析系统)的一些漏洞细节在Black Hat 2008大会发布之前已经泄露,让本身就不够安全的互联网更增添了恐慌和猜测。
正是基于目前互联网上曝出的DNS漏洞问题,ICANN(国际域名与IP地址管理机构)迫不得已在最近批准了一项符合公众利益的重要决定——.org域名将率先转移为使用DNS安全扩展(DNSSEC)协议的顶级域名。开发周期长达11年的DNSSEC协议,其创建目的就是为了解决原DNS协议中的漏洞问题,使之不再容易遭受攻击。
互联网的核心漏洞
DNS服务在互联网中扮演着极为重要的角色。简单地说,DNS就是互联网的核心,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使用户方便地访问互联网,而不用去记住能被机器直接读取的IP数串。比如,用户只需要在浏览器中输入www.abc.com,而不需要记住长长的IP地址。不只浏览网页需要DNS,E-mail和SSL证书同样需要DNS。
DNS的安全漏洞可能会导致“钓鱼”诈骗攻击。诈骗分子可以把人们引诱到假冒的银行和信用卡公司等商业网页,欺骗用户泄漏自己的账户号码、口令和其他信息。黑客还能利用这个安全漏洞把用户引导到其想让用户访问的网页,无论用户在网络浏览器上输入什么地址。
正因如此,DNS就像一块磁铁,吸引着那些试图对某个网站进行破坏性攻击的黑客。一旦DNS受到威胁,他们就可以随意改变互联网信息的流动方向,可以让一个合法的网站瞬间变成黑客手中的傀儡,对用户进行金融欺诈。
甚至有业内人士担忧地说:“该漏洞的危害性不容忽视,它涉及到整个互联网域名框架如何运行的问题。如果不及时修复这一漏洞,虽然互联网仍将存在,但那已不再是你想要的互联网了——届时,控制权将掌握在黑客手中。”
DNS自身的缺陷最早被发现于1990年,但一直没有相应的解决方法。而最新的“Cache投毒”方法则据称可以有效伪造DNS信息,利用DNS缓存服务器来达到劫持网站的目的。
虽然获取交易ID猜测和转介记录这两种DNS漏洞早已被业界熟知,尽管获取交易ID的可能性在1/65535,但仍然给攻击者很大的几率让攻击成为可能。转介记录的安全问题与DNS服务器的性能也息息相关,比如某个站点的主域不仅仅有abc.com的IP地址,而且还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应。
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护。
Dan Kaminsky,曾在思科工作,现在就职于IOActive网络安全公司。10年来,他9次站在Black Hat大会上发言。现年29岁的Dan Kaminsky自称为DNS Geek(DNS极客),在今年年初时曾发现了DNS系统的一个严重漏洞,为了不让互联网遭受重创,他一直不肯透露漏洞细节。
还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应。
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护。
为DNS打补丁
那么,Dan Kaminsky的新发现何以让安全业内人士恐慌呢?在2008年的Black Hat大会上,资深安全专家Dan Kaminsky向公众展示了DNS更为脆弱的一面。新发现的DNS漏洞引人注意之处就在于,它将交易ID猜测和转介记录以一种新方式进行了结合。当服务器提出DNS请求时,它使用一个独特的交易ID来确定请求。这个特殊的交易ID使服务器可以验证响应,并且确保它们来自正确的搜索请求。
Dan Kaminsky表示:“这基本上就是黑客和合法服务器之间的一场竞赛,攻击者可以发送100个错误的响应,那么,1/65535的机率就可以提高到一个更有利的水平——1/655。”
幸运的是,Dan Kaminsky在过去几个月中,一直孜孜不倦地试图说服DNS服务器运营商,并在运营商的圈子中尽力传播这一消息。Dan Kaminsky说,他向运营商建议随机选择使用DNS源端口,这样可以消除现有DNS源端口的可预见性,并且用随机选择技术替代该性质。现在,攻击者不仅仅需要猜测正确的交易ID,也需要猜测正确的充满答复的UDP端口。这将会带来一个更难于操作的成功率——1/163840000,使该攻击变得无效。
为了测试服务器中的漏洞,Dan Kaminsky还提供了一种简易的DNS检验工具(可以访问http://www.doxpara.com,用户可以检查各自的电脑是否存在该DNS漏洞),发送大量查询到DNS检验服务器,然后对查询进行分析。据统计,世界上80%以上的DNS服务器都已经经过修补了,包括许多主要供应商使用的服务器。
一些大型ISP,诸如澳洲电信、Optus(新加坡电信旗下子公司)、Internode(澳大利亚宽带运营商)和iiNet(澳大利亚的互联网服务提供商)都表示,已经对DNS服务器安装了补丁。不过,还是有消息人士指出,尽管众多安全机构再三叮嘱要及时修复该漏洞,但是还是有不少DNS管理员并没有真正修复这一漏洞。
iiNet网络工程师Mark Newton 说,由于那些小的ISP需要做大量工作来保障DNS服务器的正常运行,因而他们在修补DNS漏洞方面可能会比较滞后。另外,他们为了降低成本,还缺乏独立分隔开的DNS服务器,所有的数据运行都整合在一台服务器当中,更容易遭受巨大风险。
拯救受困的DNS
虽然一些企业已经修补了其DNS服务器,但这并没有结束,仍然有很多工作需要完成。当用户在企业基础结构的使用范围内进行操作时,用户是受到保护的。但是,这并不是用户惟一访问互联网的途径,用户还可能会出现在不同的商业ISP、酒店、咖啡馆、飞机场、火车站等具备Wi-Fi的场所,通过他们提供的DNS服务,访问互联网,同样存在遭受DNS攻击的可能。
Dan Kaminsky建议,目前看上去用户还处于一种不设防的状态,最好的策略是确保员工使用VPN连接返回到企业基础设施,确保这种联网方式不使用分离的信道,同时保证用户通过VPN获得DNS的正确配置,这样可以确保远程用户可以使用他们的企业DNS服务器,而不是依赖访问站点提供的那些服务器。
Dan Kaminsky揭露了DNS新漏洞,DNS服务器的缓存会被随意修改,即便是在防火墙后的主机也不能幸免,因此在更彻底的解决方案出台以前需要一些临时措施来修补由此造成的各类Bug。著名的信息安全博客Chaos提供了一些解决方案:
1.针对终端桌面用户,最好的办法是等待公司或ISP的工作人员修正问题,通过安装适当的补丁,消除DNS的这两种漏洞。
2.对于FreeBSD 用户,减轻这类问题影响的办法是在/etc/rc.conf中加入named_enable="YES",执行/etc/rc.d/named restart并在/etc/resolv.conf中将127.0.0.1配置为域名服务器。这样一来,黑客对缓存服务器的单点攻击,就变成了对所有桌面系统的攻击行为,从而大大提高黑客的攻击成本。但缺点是,这样做意味着无法有效利用上游DNS的缓存。
3.如果是缓存DNS服务器的管理员,那么除了需要打补丁之外(如果你的系统中存在这个漏洞),还需要考虑部署DNSSEC。DNS协议的漏洞通过随机化查询端口和TXID只能部分缓解,而DNSSEC才是解决问题的根本。
4.如果是权威DNS服务器的管理员,那么事实上什么都做不了,因为缓存DNS服务器并不受DNS服务器管理员控制。唯一可以做的事情就只剩下为自己的权威域名配置DNSSEC了。遗憾的是,目前并不是所有的顶级域名以及域名注册服务提供商都支持DNSSEC。
正是基于目前互联网上曝出的DNS漏洞问题,ICANN(国际域名与IP地址管理机构)迫不得已在最近批准了一项符合公众利益的重要决定——.org域名将率先转移为使用DNS安全扩展(DNSSEC)协议的顶级域名。开发周期长达11年的DNSSEC协议,其创建目的就是为了解决原DNS协议中的漏洞问题,使之不再容易遭受攻击。
互联网的核心漏洞
DNS服务在互联网中扮演着极为重要的角色。简单地说,DNS就是互联网的核心,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使用户方便地访问互联网,而不用去记住能被机器直接读取的IP数串。比如,用户只需要在浏览器中输入www.abc.com,而不需要记住长长的IP地址。不只浏览网页需要DNS,E-mail和SSL证书同样需要DNS。
DNS的安全漏洞可能会导致“钓鱼”诈骗攻击。诈骗分子可以把人们引诱到假冒的银行和信用卡公司等商业网页,欺骗用户泄漏自己的账户号码、口令和其他信息。黑客还能利用这个安全漏洞把用户引导到其想让用户访问的网页,无论用户在网络浏览器上输入什么地址。
正因如此,DNS就像一块磁铁,吸引着那些试图对某个网站进行破坏性攻击的黑客。一旦DNS受到威胁,他们就可以随意改变互联网信息的流动方向,可以让一个合法的网站瞬间变成黑客手中的傀儡,对用户进行金融欺诈。
甚至有业内人士担忧地说:“该漏洞的危害性不容忽视,它涉及到整个互联网域名框架如何运行的问题。如果不及时修复这一漏洞,虽然互联网仍将存在,但那已不再是你想要的互联网了——届时,控制权将掌握在黑客手中。”
DNS自身的缺陷最早被发现于1990年,但一直没有相应的解决方法。而最新的“Cache投毒”方法则据称可以有效伪造DNS信息,利用DNS缓存服务器来达到劫持网站的目的。
虽然获取交易ID猜测和转介记录这两种DNS漏洞早已被业界熟知,尽管获取交易ID的可能性在1/65535,但仍然给攻击者很大的几率让攻击成为可能。转介记录的安全问题与DNS服务器的性能也息息相关,比如某个站点的主域不仅仅有abc.com的IP地址,而且还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应。
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护。
Dan Kaminsky,曾在思科工作,现在就职于IOActive网络安全公司。10年来,他9次站在Black Hat大会上发言。现年29岁的Dan Kaminsky自称为DNS Geek(DNS极客),在今年年初时曾发现了DNS系统的一个严重漏洞,为了不让互联网遭受重创,他一直不肯透露漏洞细节。
还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应。
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护。
为DNS打补丁
那么,Dan Kaminsky的新发现何以让安全业内人士恐慌呢?在2008年的Black Hat大会上,资深安全专家Dan Kaminsky向公众展示了DNS更为脆弱的一面。新发现的DNS漏洞引人注意之处就在于,它将交易ID猜测和转介记录以一种新方式进行了结合。当服务器提出DNS请求时,它使用一个独特的交易ID来确定请求。这个特殊的交易ID使服务器可以验证响应,并且确保它们来自正确的搜索请求。
Dan Kaminsky表示:“这基本上就是黑客和合法服务器之间的一场竞赛,攻击者可以发送100个错误的响应,那么,1/65535的机率就可以提高到一个更有利的水平——1/655。”
幸运的是,Dan Kaminsky在过去几个月中,一直孜孜不倦地试图说服DNS服务器运营商,并在运营商的圈子中尽力传播这一消息。Dan Kaminsky说,他向运营商建议随机选择使用DNS源端口,这样可以消除现有DNS源端口的可预见性,并且用随机选择技术替代该性质。现在,攻击者不仅仅需要猜测正确的交易ID,也需要猜测正确的充满答复的UDP端口。这将会带来一个更难于操作的成功率——1/163840000,使该攻击变得无效。
为了测试服务器中的漏洞,Dan Kaminsky还提供了一种简易的DNS检验工具(可以访问http://www.doxpara.com,用户可以检查各自的电脑是否存在该DNS漏洞),发送大量查询到DNS检验服务器,然后对查询进行分析。据统计,世界上80%以上的DNS服务器都已经经过修补了,包括许多主要供应商使用的服务器。
一些大型ISP,诸如澳洲电信、Optus(新加坡电信旗下子公司)、Internode(澳大利亚宽带运营商)和iiNet(澳大利亚的互联网服务提供商)都表示,已经对DNS服务器安装了补丁。不过,还是有消息人士指出,尽管众多安全机构再三叮嘱要及时修复该漏洞,但是还是有不少DNS管理员并没有真正修复这一漏洞。
iiNet网络工程师Mark Newton 说,由于那些小的ISP需要做大量工作来保障DNS服务器的正常运行,因而他们在修补DNS漏洞方面可能会比较滞后。另外,他们为了降低成本,还缺乏独立分隔开的DNS服务器,所有的数据运行都整合在一台服务器当中,更容易遭受巨大风险。
拯救受困的DNS
虽然一些企业已经修补了其DNS服务器,但这并没有结束,仍然有很多工作需要完成。当用户在企业基础结构的使用范围内进行操作时,用户是受到保护的。但是,这并不是用户惟一访问互联网的途径,用户还可能会出现在不同的商业ISP、酒店、咖啡馆、飞机场、火车站等具备Wi-Fi的场所,通过他们提供的DNS服务,访问互联网,同样存在遭受DNS攻击的可能。
Dan Kaminsky建议,目前看上去用户还处于一种不设防的状态,最好的策略是确保员工使用VPN连接返回到企业基础设施,确保这种联网方式不使用分离的信道,同时保证用户通过VPN获得DNS的正确配置,这样可以确保远程用户可以使用他们的企业DNS服务器,而不是依赖访问站点提供的那些服务器。
Dan Kaminsky揭露了DNS新漏洞,DNS服务器的缓存会被随意修改,即便是在防火墙后的主机也不能幸免,因此在更彻底的解决方案出台以前需要一些临时措施来修补由此造成的各类Bug。著名的信息安全博客Chaos提供了一些解决方案:
1.针对终端桌面用户,最好的办法是等待公司或ISP的工作人员修正问题,通过安装适当的补丁,消除DNS的这两种漏洞。
2.对于FreeBSD 用户,减轻这类问题影响的办法是在/etc/rc.conf中加入named_enable="YES",执行/etc/rc.d/named restart并在/etc/resolv.conf中将127.0.0.1配置为域名服务器。这样一来,黑客对缓存服务器的单点攻击,就变成了对所有桌面系统的攻击行为,从而大大提高黑客的攻击成本。但缺点是,这样做意味着无法有效利用上游DNS的缓存。
3.如果是缓存DNS服务器的管理员,那么除了需要打补丁之外(如果你的系统中存在这个漏洞),还需要考虑部署DNSSEC。DNS协议的漏洞通过随机化查询端口和TXID只能部分缓解,而DNSSEC才是解决问题的根本。
4.如果是权威DNS服务器的管理员,那么事实上什么都做不了,因为缓存DNS服务器并不受DNS服务器管理员控制。唯一可以做的事情就只剩下为自己的权威域名配置DNSSEC了。遗憾的是,目前并不是所有的顶级域名以及域名注册服务提供商都支持DNSSEC。
2008年10月15日星期三
One&Co无线蓝牙耳机 为潮人打造的时尚靓机
HeadPlay个人随身影院系统
HeadPlay个人随身影院系统终于来了,距离其发片的时间足有一年多。它将头戴式显示系统所带来的封闭式、大画面视觉感受与现在可随处拈来的多媒体影音资源非常理想地结合起来。其视频输出端的液晶显示屏可以提供等同于52英寸大屏的视觉效果,且120Hz的刷新频率也可充分保护眼睛。而HeadPlay真正吸引人的还是那个作为其大脑的盒子,这个盒子上内置有读卡器,可以直接读取存储卡上的多媒体文件进行回放,其高达7MB/s的读取速度完全可以满足D9质量视频的码率;它还可通过多种内置接口接收其他播放器送出的视频源,在电视、游戏等方面的应用非常可观。
我们用头戴式眼镜玩过《生化危机》,那种感觉真叫刺激。现在HeadPlay的视野更大了,临场感当然也是水涨船高。
我们用头戴式眼镜玩过《生化危机》,那种感觉真叫刺激。现在HeadPlay的视野更大了,临场感当然也是水涨船高。
驱动人生
全方位安装、升级、备份、还原等简易操作一体化全范围检测识别所有计算机硬件全自动匹配最合适官方驱动全面兼容Windows系统平台,完全兼容最新Vista操作系统软件功能:驱动人生是一款免费的驱动管理软件,实现智能检测硬件并自动查找安装驱动,为用户提供最新驱动更新,本机驱动备份、还原和卸载等功能。软件界面清晰,操作简单,设置人性化等优点,大大方便广大机友管理自己的电脑的驱动程序。驱动人生支持所有品牌(如Intel、nVidia/3DFX、AMD/ATI、VIA/S3、Realtek、C-Media、Marvell、ADI、IBM、Creative、Broadcom、Conexant、 SigmaTel、Matrox等)的主板、显卡、声卡、网卡、调制解调器、摄像头、无线、打印机、扫描仪、读卡器、阵列卡、蓝牙、手写板、读写器、USB、1394、Bluetooth、Display、Image、MEDIA、Modem、Net、PCMCIA、SCSIAdapter、 SmartCardReader、System、MODEM、串口、并口等设备的识别与驱动。
会查看进程信息 让病毒木马无处藏身
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。病毒进程隐藏三法当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
1.以假乱真系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
2.偷梁换柱如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是C:WINNTsystem32目录),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
3.借尸还魂除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。系统进程解惑上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。svchost.exe常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。explorer.exe常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:Windows”目录,除此之外则为病毒。iexplore.exe常被病毒冒充的进程名有:IExplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。rundll32.exe常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:Windowssystem32”,在别的目录则可以判定是病毒。spoolsv.exe常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:1.仔细检查进程的文件名;2.检查其路径。通过这两点,一般的病毒进程肯定会露出马脚。
1.以假乱真系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
2.偷梁换柱如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是C:WINNTsystem32目录),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
3.借尸还魂除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。系统进程解惑上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。svchost.exe常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。explorer.exe常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:Windows”目录,除此之外则为病毒。iexplore.exe常被病毒冒充的进程名有:IExplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。rundll32.exe常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:Windowssystem32”,在别的目录则可以判定是病毒。spoolsv.exe常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:1.仔细检查进程的文件名;2.检查其路径。通过这两点,一般的病毒进程肯定会露出马脚。
隐藏私密文件的四个方法
初级方法:
修改文件目录的属性。此法最简单,只要选中欲隐藏的目录,单击鼠标右键,选择“属性”,在“隐藏”属性复选框中打个“√”即可。这样,该目录就具有了隐藏属性。此法虽然最简单,但安全性最差,只要在“资源管理器”中,选择“查看”菜中的“文件夹选项”,再将其“查看”中的“隐藏文件”部分选为“显示所有文件”就可以将隐藏目录显示出来。
中级方法:
通过软件加密隐藏。Windows 下加密隐藏软件不少,如:Magic Folders、Encrypted Magic Folders(简称EMF)等,都可以用来隐藏甚至加密目录。下面就简单简介绍一下 EMF的使用方法。首先安装EMF,在安装过程中生成一张密码盘,操作时插入该盘,EMF检测盘上的密码,并进入相应的账号,然后运行Magic.exe程序会要你输入密码,这个密码就是以后进入EMF的密码。若想再次显示目录也必须输入这个密码。
高级方法:
通过硬盘分区隐藏。将要加密的数据存放在专门分出的一个硬盘分区里,然后利用PQmagic等分区工具将此分区设置为隐藏分区。具体方法是:先以DOS方式启动,然后运行PQmagic,选定欲隐藏的分区,选择Operations菜单中Advanced下的Hidepartition,退出,再重新启动即可。若想再恢复时,再用同样的方法进入 PQmagic,去掉隐藏分区即可。此方法具有很强的隐蔽性,但也有一定的危险,有可能对硬盘造成一定的破坏,故在使用此方法时应慎重。
另类方法:
将要隐藏的文件移动到某一临时文件夹下,再用WinZip或WinRAR带密码将它压缩成一个文件,此时在“资源管理器”中一看就知道是用WinZip或WinRAR压缩的,有些人自然会用相应的解密器去解密。而我们将它的扩展名由 ZIP或RAR改为一个不存在的文件扩展名,如SYJ,以后双击它就不会启动WinZip或WinRAR并打开它了。不过,你可得记好它的真正扩展名哟,要使用时再将扩展名改过来即可。
修改文件目录的属性。此法最简单,只要选中欲隐藏的目录,单击鼠标右键,选择“属性”,在“隐藏”属性复选框中打个“√”即可。这样,该目录就具有了隐藏属性。此法虽然最简单,但安全性最差,只要在“资源管理器”中,选择“查看”菜中的“文件夹选项”,再将其“查看”中的“隐藏文件”部分选为“显示所有文件”就可以将隐藏目录显示出来。
中级方法:
通过软件加密隐藏。Windows 下加密隐藏软件不少,如:Magic Folders、Encrypted Magic Folders(简称EMF)等,都可以用来隐藏甚至加密目录。下面就简单简介绍一下 EMF的使用方法。首先安装EMF,在安装过程中生成一张密码盘,操作时插入该盘,EMF检测盘上的密码,并进入相应的账号,然后运行Magic.exe程序会要你输入密码,这个密码就是以后进入EMF的密码。若想再次显示目录也必须输入这个密码。
高级方法:
通过硬盘分区隐藏。将要加密的数据存放在专门分出的一个硬盘分区里,然后利用PQmagic等分区工具将此分区设置为隐藏分区。具体方法是:先以DOS方式启动,然后运行PQmagic,选定欲隐藏的分区,选择Operations菜单中Advanced下的Hidepartition,退出,再重新启动即可。若想再恢复时,再用同样的方法进入 PQmagic,去掉隐藏分区即可。此方法具有很强的隐蔽性,但也有一定的危险,有可能对硬盘造成一定的破坏,故在使用此方法时应慎重。
另类方法:
将要隐藏的文件移动到某一临时文件夹下,再用WinZip或WinRAR带密码将它压缩成一个文件,此时在“资源管理器”中一看就知道是用WinZip或WinRAR压缩的,有些人自然会用相应的解密器去解密。而我们将它的扩展名由 ZIP或RAR改为一个不存在的文件扩展名,如SYJ,以后双击它就不会启动WinZip或WinRAR并打开它了。不过,你可得记好它的真正扩展名哟,要使用时再将扩展名改过来即可。
如何拒绝木马病毒读取你的硬盘
很多时候当一台计算机中毒以后,我们的远控软件就会查看到你硬盘的重要数据,从而将之盗取。我们怎么防止这种情况出现呢?其实您可以把硬盘加密码。但是如果入侵者用远控软件访问就不需要输入密码,直接就能访问到你的硬盘。今天为大家讲解如何将自己的硬盘隐藏起来,让别人不能访问你的硬盘。我们以一个Windows XP用户为例进行说明,假如我的重要文件在E盘。
方法一:进入HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Policies\Explorer分支中。在右窗口中新建一个二进值的键值名为“NoDrives”,磁盘驱动器所一一对应的键值如下:A驱为“01000000”;B驱为“02000000”;C驱为“04000000”;D驱为“08000000”;E驱为“10000000”;F驱为“20000000”。依此类推!
方法二:开始→“运行”里输 gpedit.msc 并点确定→用户配置→管理摸板→Windows组件→WINDOWS资源管理器→阻止打开硬盘。
方法三:我的电脑-管理-磁盘管理-更改驱动器路径-删除-确定。前边两者可以防止别人在电脑控制台上看到你硬盘里的文件,后者呢可以防止远控软件的盗窃。
个人推荐使用第三者,这样释放驱动器和隐藏驱动器的时候也很方便。
方法一:进入HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Policies\Explorer分支中。在右窗口中新建一个二进值的键值名为“NoDrives”,磁盘驱动器所一一对应的键值如下:A驱为“01000000”;B驱为“02000000”;C驱为“04000000”;D驱为“08000000”;E驱为“10000000”;F驱为“20000000”。依此类推!
方法二:开始→“运行”里输 gpedit.msc 并点确定→用户配置→管理摸板→Windows组件→WINDOWS资源管理器→阻止打开硬盘。
方法三:我的电脑-管理-磁盘管理-更改驱动器路径-删除-确定。前边两者可以防止别人在电脑控制台上看到你硬盘里的文件,后者呢可以防止远控软件的盗窃。
个人推荐使用第三者,这样释放驱动器和隐藏驱动器的时候也很方便。
2008年9月29日星期一
解读“鼠标乱动是否中毒”问题
鼠标有时胡乱动,不听指挥,怀疑是有病毒或木马之类;用金山毒霸、iparmor 5.33、the cleaner查杀过,均未发现过问题。但在“系统信息→正在运行的任务”下发现几个没有路径、版本和任何信息的任务。
这是一种NIMDA病毒。解决方案如下:
(1)检查临时文件夹是否存在MEPXXXX. tmp 和MEPXXXX.tmp.exe文件,XXXX是由字幕和数字随机组成的字符串。
(2)检查C:\,D:\,E:\是否存在httpodbc.dll文件。
(3)是否带宽被严重占用。
(4)在Windows 9x/ME系统中,\Windows\ system目录下是否存在LOAD.exe文件。
(5)在Windows NT/2K系统中,\Windows\ System目录下是否存在CSRSS.exe隐藏文件。
查杀步骤:
(1)在http://support.marsec.net/focus/nimda_e/FxNimdaE.com下载FxNimdaE.com,存放在系统里。
(2)停掉系统所有正在运行的程序。如果你的系统是Windows Me,你必须停掉Windows Me的系统恢复功能,因为病毒有可能被自动保存在备份目录里。双击运行FxNimdaE. com,运行此程序需要你以系统管理员账号登录,在操作前停掉IIS服务或者拔离网线,以免在清除过程中再次感染。然后点击Start键运行程序直到报告说系统已经清除掉病毒。
这是一种NIMDA病毒。解决方案如下:
(1)检查临时文件夹是否存在MEPXXXX. tmp 和MEPXXXX.tmp.exe文件,XXXX是由字幕和数字随机组成的字符串。
(2)检查C:\,D:\,E:\是否存在httpodbc.dll文件。
(3)是否带宽被严重占用。
(4)在Windows 9x/ME系统中,\Windows\ system目录下是否存在LOAD.exe文件。
(5)在Windows NT/2K系统中,\Windows\ System目录下是否存在CSRSS.exe隐藏文件。
查杀步骤:
(1)在http://support.marsec.net/focus/nimda_e/FxNimdaE.com下载FxNimdaE.com,存放在系统里。
(2)停掉系统所有正在运行的程序。如果你的系统是Windows Me,你必须停掉Windows Me的系统恢复功能,因为病毒有可能被自动保存在备份目录里。双击运行FxNimdaE. com,运行此程序需要你以系统管理员账号登录,在操作前停掉IIS服务或者拔离网线,以免在清除过程中再次感染。然后点击Start键运行程序直到报告说系统已经清除掉病毒。
杀毒实用招数:阻止病毒文件杀完后再生
在病毒越来越厉害的今天,中毒后只借助于一些杀毒软件来查杀有时候经常是杀不干净,这就需要来手工杀毒,手工杀毒的方法和技巧千变万化,病毒文件往往会不断启动来消耗完你的资源,使得杀毒软件也无法正常启动,在这里只针对阻止病毒文件再生来说说。
很多人会用冰刃等工具来剿灭病毒文件,但有时候效果却并不理想;也有人会在删了病毒文件后生成一个同病毒文件名的文本文件,将其字节数调成和病毒文件一样大小,并将其设置为只读属性,步骤如下:
1、点开始--运行,输入"CMD",最好是带NTFS格式支持的。
2、转到病毒文件所在的分区,并用CD命令进入病毒文件所在的目录,如:
c: 回车进入C盘
cd windows\system32 回车进入system32文件夹
3、去除病毒文件的隐藏和只读属性(如果没有可略去)
如病毒文件名为bfdarx.exe,则:
attrib -s -h bfdarx.exe
4、删除病毒文件:
del bfdarx.exe
5、建立同名的文件夹,防止病毒文件再生:
md bfdarx.exe
ps:注意要把后缀也带上
再ps:有的目录在DOS中是禁止进行写操作的
如windows\system32\drivers
如果已将大部分病毒文件进行以上处理后剩余的已可以到windows中进行操作了。
6、给同名文件夹加锁,避免病毒覆盖
attrib +s +h bfdarx.exe
不过用CACLS命令更好,可以直接拒绝任何人修改该文件夹!
7、完成后重启进入windows安全模式中全面查杀病毒
杀毒完成后就可以把那些个自己建立的垃圾文件夹删掉。
很多人会用冰刃等工具来剿灭病毒文件,但有时候效果却并不理想;也有人会在删了病毒文件后生成一个同病毒文件名的文本文件,将其字节数调成和病毒文件一样大小,并将其设置为只读属性,步骤如下:
1、点开始--运行,输入"CMD",最好是带NTFS格式支持的。
2、转到病毒文件所在的分区,并用CD命令进入病毒文件所在的目录,如:
c: 回车进入C盘
cd windows\system32 回车进入system32文件夹
3、去除病毒文件的隐藏和只读属性(如果没有可略去)
如病毒文件名为bfdarx.exe,则:
attrib -s -h bfdarx.exe
4、删除病毒文件:
del bfdarx.exe
5、建立同名的文件夹,防止病毒文件再生:
md bfdarx.exe
ps:注意要把后缀也带上
再ps:有的目录在DOS中是禁止进行写操作的
如windows\system32\drivers
如果已将大部分病毒文件进行以上处理后剩余的已可以到windows中进行操作了。
6、给同名文件夹加锁,避免病毒覆盖
attrib +s +h bfdarx.exe
不过用CACLS命令更好,可以直接拒绝任何人修改该文件夹!
7、完成后重启进入windows安全模式中全面查杀病毒
杀毒完成后就可以把那些个自己建立的垃圾文件夹删掉。
什么是代理服务器
常常会听到别人说,你的浏览器要设代理服务器(Proxy Server),这样你上网的速度会比较快。到底什么是代理服务器,它在Internet里扮演什么样的角色?
当使用者要向服务器要求资料时,假设使用者输入www.yahoo.com向Yahoo索取资料时,在正常的网路流程中,当使用者的浏览器看到www.yahoo.com这个域名(Domain Name)时,会向域名解析服务器(DNS)寻找www.yahoo.com所对应的IP地址,当DNS传回对应的IP地址后,浏览器会再对这个Yahoo服务器索取资料,这看起来是没有问题的,但如果网络阻塞、网站的机器配备不好、网站的专线不够快等不良的因素通通加在一起后,你要连接的网站就会变的很慢,所以这个时候有一个叫代理服务器的东西,会把大家常常看的网页资料暂存在一个位置,这个位置的机器设备通常会很好,线路带宽会很大,所以用户读取的速度就会很快。
当用户设了代理服务器时,浏览器在读取资料时,资料应该是如何传递的呢?相同的,浏览器会先向DNS查询IP地址,然后找到IP地址后,会先向代理服务器查询是否有这个网站的资料,如果有的话,代理服务器就直接把内容传给了用户,如果代理服务器没有资料的话,才会直接向网站要资料。
代理服务器的主要功能有:
(1)设置用户验证和记帐功能,可按用户进行记帐,没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。
(2)对用户进行分级管理,设置不同用户的访问权限,对外界或内部的Internet地址进行过滤,设置不同的访问权限。
(3)增加缓冲器(Cache),提高访问速度,对经常访问的地址创建缓冲区,大大提高热门站点的访问效率。通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。
(4)连接Internet与Internet,充当防火墙(Firewall):因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,限制内部网对外部的访问权限。
(5)节省IP开销:代理服务器允许使用大量的伪IP地址,节约网上资源,即用代理服务器可以减少对IP地址的需求,对于使用局域网方式接入Internet ,如果为局域网(LAN)内的每一个用户都申请一个IP地址,其费用可想而知。但使用代理服务器后,只需代理服务器上有一个合法的IP地址,LAN内其他用户可以使用10.*.*.*这样的私有IP地址,这样可以节约大量的IP,降低网络的维护成本。
当使用者要向服务器要求资料时,假设使用者输入www.yahoo.com向Yahoo索取资料时,在正常的网路流程中,当使用者的浏览器看到www.yahoo.com这个域名(Domain Name)时,会向域名解析服务器(DNS)寻找www.yahoo.com所对应的IP地址,当DNS传回对应的IP地址后,浏览器会再对这个Yahoo服务器索取资料,这看起来是没有问题的,但如果网络阻塞、网站的机器配备不好、网站的专线不够快等不良的因素通通加在一起后,你要连接的网站就会变的很慢,所以这个时候有一个叫代理服务器的东西,会把大家常常看的网页资料暂存在一个位置,这个位置的机器设备通常会很好,线路带宽会很大,所以用户读取的速度就会很快。
当用户设了代理服务器时,浏览器在读取资料时,资料应该是如何传递的呢?相同的,浏览器会先向DNS查询IP地址,然后找到IP地址后,会先向代理服务器查询是否有这个网站的资料,如果有的话,代理服务器就直接把内容传给了用户,如果代理服务器没有资料的话,才会直接向网站要资料。
代理服务器的主要功能有:
(1)设置用户验证和记帐功能,可按用户进行记帐,没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。
(2)对用户进行分级管理,设置不同用户的访问权限,对外界或内部的Internet地址进行过滤,设置不同的访问权限。
(3)增加缓冲器(Cache),提高访问速度,对经常访问的地址创建缓冲区,大大提高热门站点的访问效率。通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。
(4)连接Internet与Internet,充当防火墙(Firewall):因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,限制内部网对外部的访问权限。
(5)节省IP开销:代理服务器允许使用大量的伪IP地址,节约网上资源,即用代理服务器可以减少对IP地址的需求,对于使用局域网方式接入Internet ,如果为局域网(LAN)内的每一个用户都申请一个IP地址,其费用可想而知。但使用代理服务器后,只需代理服务器上有一个合法的IP地址,LAN内其他用户可以使用10.*.*.*这样的私有IP地址,这样可以节约大量的IP,降低网络的维护成本。
对症下药 教你清除电脑中的木马
特洛伊木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在不知情的的状态下控制或者监视用户的电脑。下面就讲讲木马经常藏身的地方和清除方法。 首先查看自己的电脑中是否有木马 1、集成到程序中 其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。 2、隐藏在配置文件中 木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。 3、潜伏在Win.ini中 木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了,这个file.exe很可能是木马哦。 4、伪装在普通文件中 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于默认设置是不显示已知的文件后缀名,文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了。 5、内置到注册表中 上面的方法让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
如何给光盘加密
LG公司和Ahead Nero共同在LG GSA-H55系列添加了SecurDisc功能,可以通过密码保护或经数字签名加密数据光盘,那其他刻录机用户有没有办法保护刻录光盘上的隐私呢?答案是肯定的。 小贴士: 光盘加密主要分为两种:1 正版游戏和软件厂商为了防止非法用户拷贝光盘使用的加密技术,如Starforce、Securom等,这种加密并不阻止用户查看光盘内容。2 为了防止未授权用户查看光盘内容而进行的加密,即打开光盘时需要输入一定的密码或者添加数字证书,否则光盘信息无法显示。本文特指对家庭和商务人士比较有意义的第二种加密。 Roxio Media Creator 是市场占有率仅次于大名鼎鼎的Ahead Nero的全能光盘制作软件套件,在此笔者仅对它特有的CD/DVD加密功能予以介绍,免费的家庭版下载地址:http://www.cpcw.com/bzsoft 步骤1:启动Roxio组件Roxio Creator Classic,可以通过界面中间“Select Source”浏览“我的电脑”内容,点击刻录文件所在文件夹,通过界面右侧的“Add”按钮添加所需文件至界面下方的刻录文件预览窗口,并通过界面最下方“Disc Size”选择使用的光盘类型。 步骤2:选择完成后点击界面中间的图标“Set encryption settings for your project”,在弹出的对话框中选择“Enable file encryption”,即可输入所需的光盘密码。 步骤3:然后点击“Burn”在弹出的对话框中选择自己的刻录设备并在“Burn option”中选择合适的写入速度。 步骤4:光盘刻录时会集成“Roxio Retrieve”软件,即便在没有安装Roxio光盘套件的计算机上,一样可以通过弹出的密码对话框输入密码后使用加密文件。如果不输入密码直接浏览光盘,可见文件类型已经改变,无法直接读取、使用。 虽然第三方软件还不能像SecurBurn技术那样生成数字证书来保护光盘内容,但已经可以为普通用户提供不错的隐私保护功能。使用CD光盘刻录的用户还可以尝试CD-Protect、Crypt-CD、SecureBurn等“老”软件加密,而国产的《光盘加密大师》需要用户先将刻录内容制作成ISO文件再加密刻录,耗时较长,有兴趣的读者也可以试试如何给光盘加密了。
若格式化都无效 如何清除”不可杀“病毒?
有时当杀毒软件处理完病毒程序后,会造成双击硬盘盘符打不开、右击出现等AUTO字样等,殊不知此类情况的发生跟系统主录下的配置文件autorun.inf有关。
解读autorun.inf
由于计算机在系统运行时会自动搜索盘符目录下的Autorun.inf配置文件,并根据其内的文件自动运行加载其内设置好的命令。其实Autorun.inf就是一个文本形式的系统配置文件,用户可以用文本编辑软件进行编辑(注:该文件只能位于驱动器的根目录下时,才能实现启动加载),该文件包含了需要自动运行的命令,如需要运行的程序文件、改变的驱动器图标、可选快捷菜单内容等等。
病情描述
当用户在选择:工具-文件夹选项-查看-显示所有文件和文件夹时,计算机无法显视出autorun.inf文件,任意点击C、D、E盘符时会另外打开窗口,而U盘、MP3等第三方存储盘更是如此,插入计算机后,画面文件一闪即过,想查看主目录下的autorun.inf文件,却发现文件以悄然不知所踪。当用用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件,盘符右击,目录中出现AUTO或两个打开字样(粗字体,细字体)信息等情况,利用命令msconfig查看开机启动项中发现有莫明其妙的SocksA.exe。种种这一切给用户带来了很大程度上的困绕。
解决方法
面对以上的情况,有些用户只能重新GHOST计算机了。但根据笔者的亲身经历方法还是有很多,这里提供一种方法让用户尝试。
一、让文件不再隐藏
打开运行项在其内输入regedit调出注册表界面依次展开键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL删除CheckedValue键值,单击右键 新建—Dword值—;命名为CheckedValue,然后修改它的键值为1,此时即可查看并删除盘符下的autorun.inf隐藏文件了。或者打开开始菜单在运行项中输入CMD调出窗体,在盘符下输入命令attrib,此时便可查看是否有一个名为SH autorun.inf的文件,完成后即可接着输入命令attrib空格-s空格-h空格autorun.inf即可更改其属性为非隐藏,用户只要打开相应的盘符即可看到此文件,将其删除即可。(小提示:attrib 命令是用来设置文件属性 ,attrib +s或-s [文件名] 设置文件属性是否为系统文件,attrib +h或-h [文件名] 设置文件属性是否隐藏 )。
二、删除病毒
在分区盘上单击鼠标右键;打开,看到每个盘跟目录下有autorun.inf和tel.xls.exe 两个文件,将其删除,U盘同样。并在依次打开开始菜单中的:运行-mscionfig-启动-删除类似sacksa.exe、SocksA.exe之类启动项目,或者运行regedit调出注册表,在其内找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run删除类似C:\WINDOWS\system32\SVOHOST.exe 键值项即可。
三、清除病毒遗留
打开我的电脑C盘,在WINDOWS\与WINDOWS\System32\目录下删除SVOHOST.exe、session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件。(小提示:每个文件夹都有两个,因为病毒原因导致系统产生两个一样的文件,其中有一个类似文件,用户在删除时一定要注意不要误删除),重新启动电脑后系统将一切正常。
后记:隐藏病毒文件并不可怕,可怕是不知其原理而盲目下手,困此而导致系统文件损坏,系统崩溃无法启动,当用户重新对C盘格式化,利用ghost软件恢复系统后,如果其他盘符不进行格式化,那么病毒与隐藏文件将依然存在。用户只有在明白了病毒原理的情况下,才能彻底解决所带来的困惑!
解读autorun.inf
由于计算机在系统运行时会自动搜索盘符目录下的Autorun.inf配置文件,并根据其内的文件自动运行加载其内设置好的命令。其实Autorun.inf就是一个文本形式的系统配置文件,用户可以用文本编辑软件进行编辑(注:该文件只能位于驱动器的根目录下时,才能实现启动加载),该文件包含了需要自动运行的命令,如需要运行的程序文件、改变的驱动器图标、可选快捷菜单内容等等。
病情描述
当用户在选择:工具-文件夹选项-查看-显示所有文件和文件夹时,计算机无法显视出autorun.inf文件,任意点击C、D、E盘符时会另外打开窗口,而U盘、MP3等第三方存储盘更是如此,插入计算机后,画面文件一闪即过,想查看主目录下的autorun.inf文件,却发现文件以悄然不知所踪。当用用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件,盘符右击,目录中出现AUTO或两个打开字样(粗字体,细字体)信息等情况,利用命令msconfig查看开机启动项中发现有莫明其妙的SocksA.exe。种种这一切给用户带来了很大程度上的困绕。
解决方法
面对以上的情况,有些用户只能重新GHOST计算机了。但根据笔者的亲身经历方法还是有很多,这里提供一种方法让用户尝试。
一、让文件不再隐藏
打开运行项在其内输入regedit调出注册表界面依次展开键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL删除CheckedValue键值,单击右键 新建—Dword值—;命名为CheckedValue,然后修改它的键值为1,此时即可查看并删除盘符下的autorun.inf隐藏文件了。或者打开开始菜单在运行项中输入CMD调出窗体,在盘符下输入命令attrib,此时便可查看是否有一个名为SH autorun.inf的文件,完成后即可接着输入命令attrib空格-s空格-h空格autorun.inf即可更改其属性为非隐藏,用户只要打开相应的盘符即可看到此文件,将其删除即可。(小提示:attrib 命令是用来设置文件属性 ,attrib +s或-s [文件名] 设置文件属性是否为系统文件,attrib +h或-h [文件名] 设置文件属性是否隐藏 )。
二、删除病毒
在分区盘上单击鼠标右键;打开,看到每个盘跟目录下有autorun.inf和tel.xls.exe 两个文件,将其删除,U盘同样。并在依次打开开始菜单中的:运行-mscionfig-启动-删除类似sacksa.exe、SocksA.exe之类启动项目,或者运行regedit调出注册表,在其内找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run删除类似C:\WINDOWS\system32\SVOHOST.exe 键值项即可。
三、清除病毒遗留
打开我的电脑C盘,在WINDOWS\与WINDOWS\System32\目录下删除SVOHOST.exe、session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件。(小提示:每个文件夹都有两个,因为病毒原因导致系统产生两个一样的文件,其中有一个类似文件,用户在删除时一定要注意不要误删除),重新启动电脑后系统将一切正常。
后记:隐藏病毒文件并不可怕,可怕是不知其原理而盲目下手,困此而导致系统文件损坏,系统崩溃无法启动,当用户重新对C盘格式化,利用ghost软件恢复系统后,如果其他盘符不进行格式化,那么病毒与隐藏文件将依然存在。用户只有在明白了病毒原理的情况下,才能彻底解决所带来的困惑!
Windows系统崩溃6招修复
1.最后一次正确的配置
很多系统故障与硬件的驱动程序有关,有时一个新版本的驱动看似能够提高性能,但实际安装到你的系统中时反而有可能造成系统兼容性问题,更新驱动之后系统无法正常进入Windows的情况很常见。“最后一次正确的配置” 就是专为这种情况设计的,当你因新装驱动或系统配置造成系统无法正常启动时,重新启动并在此过程中按住F8,在“高级启动选项”菜单中选择“最后一次正确的配置”,系统就会用在正常状态下备份的注册表数据恢复系统,一般就能进入系统了。
2.修复系统文件
恢复配置只能修复注册表中的数据,如果是系统文件本身损坏,那就需要使用其他方法了。系统文件损坏会造成系统不稳定,严重的甚至会造成无法正常启动,正确的方法是使用系统命令SFC对系统文件进行扫描,如果发现有文件被破坏,就会要求插入安装光盘并恢复原始文件。点击“开始→运行”,在运行框中键入“sfc /scannow”回车后就能开始检查了,完成后重启。如果安装光盘中的系统比较老,那么建议使用打过补丁的光盘进行修复,以免文件被恢复成老版本的。
3.更换用户
系统中的注册表主要包括系统分支和用户分支两部分,有些用户对自己使用的系统环境进行了配置,造成登录后出现各种奇怪的故障。别急着重装系统,这种情况完全可以换件“马甲”继续登场。换用管理员账户登录系统,然后在“控制面板→用户账户”中建立一个新的管理员账户,然后用此账户登录即可。需要注意的是,原来用户的“我的文档”及其他一些私人数据都在原来账户的目录里,可以事先备份或者用新账户登录后打开“C:WindowsDocuments and Settings[Username]”。
4.恢复DLL注册状态
系统中有很多DLL文件,它们其实分为两大类,无需注册的标准DLL文件和需要注册的ActiveX DLL文件,后者在注册表中留下一些相关数据,一旦这些数据被破坏或根本不存在,那么调用这些DLL时就会发生错误。有很多此类需要注册的DLL文件与系统功能息息相关,当某个系统功能出问题时,你怎么能准确找出造成麻烦的DLL并重新注册它呢?比较好的方法是全部重新注册……打开“记事本”输入以下代码并保存为regdll.bat,完成后执行它并重新启动。
@echo off
for %1 in do regsvr32.exe /s %1
5.完全恢复初始注册表
系统初始化,并不只有重装系统这一条路。在系统目录下,有一个子目录专门用于存放注册表数据库文件,而令人高兴的是,还有一个子目录专门用于存放新装完系统时的注册表数据库文件备份,在系统出现故障无法恢复时,将备份恢复到当前的注册表数据库中,可以将系统“初始化”,回到刚装完系统时的样子。由于注册表数据库文件在启动后就始终是被系统锁定的状态,因此需要在DOS下操作,如果是双系统则可以直接到另一个系统中操作,NTFS分区的用户可以使用“故障恢复控制台”。在命令行提示下,用CD命令将当前目录切换至“%windir%Repair”子目录下,依次执行以下命令:
copy sam %windir%system32config
copy system %windir%system32config
copy software %windir%system32config
copy default %windir%system32config
copy security %windir%system32config
6.系统还原
Windows XP的系统还原功能可不像Windows Me那样“鸡肋”,出现故障后用此功能可以将系统完美地恢复到出现问题前的状态。如果还能进入系统,依次点击“开始→程序→附件→系统工具→系统还原”,在弹出的系统还原设置向导中,选择“恢复我的计算机到一个较早的时间”,点击“下一步”按钮。在弹出的系统还原点列表窗口中可以选择要恢复的还原点,一般如果问题刚出现则选择一个离当前日期较近的还原点。如果你连“安全模式”都无法启动时,可以开机按F8选择进入“带命令行提示的安全模式”,然后在命令行提示中键入“C:windowssystem32estorestrui.exe”运行系统还原。
有了这6种方法在心,下次遇到系统罢工的时候就可以好好修理下了。
PS:要学会用GHOST经常备份系统,进行注册表等修改的时候最好事先备份下,以防万一!
很多系统故障与硬件的驱动程序有关,有时一个新版本的驱动看似能够提高性能,但实际安装到你的系统中时反而有可能造成系统兼容性问题,更新驱动之后系统无法正常进入Windows的情况很常见。“最后一次正确的配置” 就是专为这种情况设计的,当你因新装驱动或系统配置造成系统无法正常启动时,重新启动并在此过程中按住F8,在“高级启动选项”菜单中选择“最后一次正确的配置”,系统就会用在正常状态下备份的注册表数据恢复系统,一般就能进入系统了。
2.修复系统文件
恢复配置只能修复注册表中的数据,如果是系统文件本身损坏,那就需要使用其他方法了。系统文件损坏会造成系统不稳定,严重的甚至会造成无法正常启动,正确的方法是使用系统命令SFC对系统文件进行扫描,如果发现有文件被破坏,就会要求插入安装光盘并恢复原始文件。点击“开始→运行”,在运行框中键入“sfc /scannow”回车后就能开始检查了,完成后重启。如果安装光盘中的系统比较老,那么建议使用打过补丁的光盘进行修复,以免文件被恢复成老版本的。
3.更换用户
系统中的注册表主要包括系统分支和用户分支两部分,有些用户对自己使用的系统环境进行了配置,造成登录后出现各种奇怪的故障。别急着重装系统,这种情况完全可以换件“马甲”继续登场。换用管理员账户登录系统,然后在“控制面板→用户账户”中建立一个新的管理员账户,然后用此账户登录即可。需要注意的是,原来用户的“我的文档”及其他一些私人数据都在原来账户的目录里,可以事先备份或者用新账户登录后打开“C:WindowsDocuments and Settings[Username]”。
4.恢复DLL注册状态
系统中有很多DLL文件,它们其实分为两大类,无需注册的标准DLL文件和需要注册的ActiveX DLL文件,后者在注册表中留下一些相关数据,一旦这些数据被破坏或根本不存在,那么调用这些DLL时就会发生错误。有很多此类需要注册的DLL文件与系统功能息息相关,当某个系统功能出问题时,你怎么能准确找出造成麻烦的DLL并重新注册它呢?比较好的方法是全部重新注册……打开“记事本”输入以下代码并保存为regdll.bat,完成后执行它并重新启动。
@echo off
for %1 in do regsvr32.exe /s %1
5.完全恢复初始注册表
系统初始化,并不只有重装系统这一条路。在系统目录下,有一个子目录专门用于存放注册表数据库文件,而令人高兴的是,还有一个子目录专门用于存放新装完系统时的注册表数据库文件备份,在系统出现故障无法恢复时,将备份恢复到当前的注册表数据库中,可以将系统“初始化”,回到刚装完系统时的样子。由于注册表数据库文件在启动后就始终是被系统锁定的状态,因此需要在DOS下操作,如果是双系统则可以直接到另一个系统中操作,NTFS分区的用户可以使用“故障恢复控制台”。在命令行提示下,用CD命令将当前目录切换至“%windir%Repair”子目录下,依次执行以下命令:
copy sam %windir%system32config
copy system %windir%system32config
copy software %windir%system32config
copy default %windir%system32config
copy security %windir%system32config
6.系统还原
Windows XP的系统还原功能可不像Windows Me那样“鸡肋”,出现故障后用此功能可以将系统完美地恢复到出现问题前的状态。如果还能进入系统,依次点击“开始→程序→附件→系统工具→系统还原”,在弹出的系统还原设置向导中,选择“恢复我的计算机到一个较早的时间”,点击“下一步”按钮。在弹出的系统还原点列表窗口中可以选择要恢复的还原点,一般如果问题刚出现则选择一个离当前日期较近的还原点。如果你连“安全模式”都无法启动时,可以开机按F8选择进入“带命令行提示的安全模式”,然后在命令行提示中键入“C:windowssystem32estorestrui.exe”运行系统还原。
有了这6种方法在心,下次遇到系统罢工的时候就可以好好修理下了。
PS:要学会用GHOST经常备份系统,进行注册表等修改的时候最好事先备份下,以防万一!
关闭XP十大隐患 提高系统的安全性
提高系统安全性涉及到许多方面,其中重要的一步是关闭不必要的服务。虽然微软的Windows XP不是网络操作系统,但默认情况下它拥有的不少服务是打开的。对于一位清醒的微软用户而言,关闭一些不需要的服务是一个保障安全性的重要方面。
当然,每一个Windows版本都提供了不同的服务,因此,为安全目的而在一种系统中禁用的服务可能仅适用于一个特定版本。因此本文所讨论的服务列表可能仅适用于XP的特定版本。不过,本文所讨论的内容却可以为用户检查其它系统上的服务提供指南。
1.IIS:微软的互联网信息服务(IIS)提供了将用户的计算机变成一个Web服务器的能力。这项服务可以通过以下方法关闭之:打开“控制面板”,找到“添加或删除程序”,单击“添加/删除Windows组件”,取消选择“Internet信息服务(IIS)”即可。
2.NetMeeting 远程桌面共享:网络会议主要是一个Windows平台的VoIP和视频会议客户端,不过这种服务仅对远程桌面访问需要。
3.远程桌面帮助会话管理器(Remote Desktop Help Session Manager):这种服务可以允许其它人远程访问你的系统,帮助你解决问题。
4.远程注册表:这种能力从安全的观点来看是相当可怕的。因为它允许远程用户能够编辑Windows的注册表。
5.路由器和远程访问服务:这种服务包含了多种能力,这些能力正是多数系统管理员可能会需要单独提供的。这些服务中的任何一个对于一个典型的桌面系统,如对XP来说都是必要的,然而,作为一项单独的服务它们又需要关闭。路由选择和远程访问提供了一种将系统用作路由器和NAT设备的能力,或者作为一个拨号访问网关,或者作为一个VPN服务器。如果你不想让设备发挥这种功能,完全可以禁用之。
6.简单文件共享(Simple File Sharing):如果一台计算机并不是微软Windows域的一部分,默认情况下所有的文件共享是可以从任何地方访问的。然而,在现实世界中,我们只想将共享提供给特定的、授权的用户。同样地,简单文件共享只是无一例外地允共享提供给所有用户,这并不是共享文件系统的初衷。
默认情况下,在Windows XP的专业版和家用版中,这种功能是活动的。不过,它无法在家用版中禁用。在专业版中,可通过这种方法关闭之:打开“我的电脑”/“工具”菜单/“文件夹选项”/“查看”选项卡,取消选择“高级设置”下的“使用简单文件共享(推荐)”。
7.SSDP发现服务:也称为简单服务发现服务,这种服务用于发现网络上的UPnP设备,“通用即插即用设备主机Universal Plug and Play Device Host”需要这项服务。
8.Telnet(远程登录):远程登录服务是一项很老的机制,可以提供对一台计算机的远程访问。现在,很少使用telnet远程管理一个系统,取而代之的是一种加密协议即SSH。因此完全可以禁用远程登录。
9.Universal Plug and Play Device Host:即前面所说的“通用即插即用设备主机”服务,虽然许多用户在系统中安装了这项服务,其实并不太实用。
10.Windows Messenger Service:这项服务即messenger,它提供了“网络发送”和“警报器”的功能。它与即时通信客户端无关,因此可禁用之。
在你的系统上,这些服务可能并没有全部打开或安装。一个特定的服务是否安装或运行依赖于安装系统时的选择,不管你是在运行XP家用版或专业版。
除了上述的简单文件共享,其它所有的服务都可以采用相同的方式禁用。最简单的方法即:依次打开“控制面板”-“管理工具”-“服务”,要想禁用列表中的某项服务,可以在其上双击,在弹出的窗口中选择“启动类型”单击“停止”即可完全关闭某种服务。
一般说来,用户为了安全的需要应将某服务设为“禁用”的状态。方法是:在某服务上右击选择属性,在弹出的窗口中选择“启动类型”后下拉列表中的“已禁用”,然后单击“确定”即可。如果用户对某项服务是否为其它服务提供服务心存疑惑,单击窗口中的“依存关系”选项卡,即可查看。
很明显,这个列表并不是用户在其计算机上需要禁用服务的完整列表。这里列示的仅仅是用户最可能不需要的服务,或者说这些服务如果运行的话会对系统造成一些安全漏洞。当然还有其它的一些服务禁用之后也不会产生不良后果,不过你在禁用某项服务之前,最好先对它进行研究,需要清除其功能、依存关系、停止后的后果,确信你真得不需要这项服务。谨记:一些重要的服务对系统的正常运行是很重要的,如远程过程调用(Remote Procedure Call (RPC))服务。
我们可以这样说,每一项正在运行但却未用的服务就是计算机上的一个安全漏洞。如果某项服务对授权用户和基本的系统功能来说并不重要,您就需要关闭它。
当然,每一个Windows版本都提供了不同的服务,因此,为安全目的而在一种系统中禁用的服务可能仅适用于一个特定版本。因此本文所讨论的服务列表可能仅适用于XP的特定版本。不过,本文所讨论的内容却可以为用户检查其它系统上的服务提供指南。
1.IIS:微软的互联网信息服务(IIS)提供了将用户的计算机变成一个Web服务器的能力。这项服务可以通过以下方法关闭之:打开“控制面板”,找到“添加或删除程序”,单击“添加/删除Windows组件”,取消选择“Internet信息服务(IIS)”即可。
2.NetMeeting 远程桌面共享:网络会议主要是一个Windows平台的VoIP和视频会议客户端,不过这种服务仅对远程桌面访问需要。
3.远程桌面帮助会话管理器(Remote Desktop Help Session Manager):这种服务可以允许其它人远程访问你的系统,帮助你解决问题。
4.远程注册表:这种能力从安全的观点来看是相当可怕的。因为它允许远程用户能够编辑Windows的注册表。
5.路由器和远程访问服务:这种服务包含了多种能力,这些能力正是多数系统管理员可能会需要单独提供的。这些服务中的任何一个对于一个典型的桌面系统,如对XP来说都是必要的,然而,作为一项单独的服务它们又需要关闭。路由选择和远程访问提供了一种将系统用作路由器和NAT设备的能力,或者作为一个拨号访问网关,或者作为一个VPN服务器。如果你不想让设备发挥这种功能,完全可以禁用之。
6.简单文件共享(Simple File Sharing):如果一台计算机并不是微软Windows域的一部分,默认情况下所有的文件共享是可以从任何地方访问的。然而,在现实世界中,我们只想将共享提供给特定的、授权的用户。同样地,简单文件共享只是无一例外地允共享提供给所有用户,这并不是共享文件系统的初衷。
默认情况下,在Windows XP的专业版和家用版中,这种功能是活动的。不过,它无法在家用版中禁用。在专业版中,可通过这种方法关闭之:打开“我的电脑”/“工具”菜单/“文件夹选项”/“查看”选项卡,取消选择“高级设置”下的“使用简单文件共享(推荐)”。
7.SSDP发现服务:也称为简单服务发现服务,这种服务用于发现网络上的UPnP设备,“通用即插即用设备主机Universal Plug and Play Device Host”需要这项服务。
8.Telnet(远程登录):远程登录服务是一项很老的机制,可以提供对一台计算机的远程访问。现在,很少使用telnet远程管理一个系统,取而代之的是一种加密协议即SSH。因此完全可以禁用远程登录。
9.Universal Plug and Play Device Host:即前面所说的“通用即插即用设备主机”服务,虽然许多用户在系统中安装了这项服务,其实并不太实用。
10.Windows Messenger Service:这项服务即messenger,它提供了“网络发送”和“警报器”的功能。它与即时通信客户端无关,因此可禁用之。
在你的系统上,这些服务可能并没有全部打开或安装。一个特定的服务是否安装或运行依赖于安装系统时的选择,不管你是在运行XP家用版或专业版。
除了上述的简单文件共享,其它所有的服务都可以采用相同的方式禁用。最简单的方法即:依次打开“控制面板”-“管理工具”-“服务”,要想禁用列表中的某项服务,可以在其上双击,在弹出的窗口中选择“启动类型”单击“停止”即可完全关闭某种服务。
一般说来,用户为了安全的需要应将某服务设为“禁用”的状态。方法是:在某服务上右击选择属性,在弹出的窗口中选择“启动类型”后下拉列表中的“已禁用”,然后单击“确定”即可。如果用户对某项服务是否为其它服务提供服务心存疑惑,单击窗口中的“依存关系”选项卡,即可查看。
很明显,这个列表并不是用户在其计算机上需要禁用服务的完整列表。这里列示的仅仅是用户最可能不需要的服务,或者说这些服务如果运行的话会对系统造成一些安全漏洞。当然还有其它的一些服务禁用之后也不会产生不良后果,不过你在禁用某项服务之前,最好先对它进行研究,需要清除其功能、依存关系、停止后的后果,确信你真得不需要这项服务。谨记:一些重要的服务对系统的正常运行是很重要的,如远程过程调用(Remote Procedure Call (RPC))服务。
我们可以这样说,每一项正在运行但却未用的服务就是计算机上的一个安全漏洞。如果某项服务对授权用户和基本的系统功能来说并不重要,您就需要关闭它。
Win XP SP2 配置及故障解决技巧
1.找回丢失的IE图片验证码
安装SP2后,大多数用户发现在访问某些需要填写验证码的地方,都无法显示验证码图片(显示为一个红色小叉),这是一个非常严重的BUG。解决办法为:运行“Regedit”命令打开注册表编辑器,依次定位到“[HKEY_LOCAL_MACHINESOFTWARE
MicrosoftInternet Explorer
Security]”,在窗口右边新建一个名为“BlockXBM”的REG_DWORD值,将其值设置为“0”(十六进值)。
2.解决BT下载速度慢的问题
很多朋友在安装SP2后发现:如果打开BT下载文件,要么BT明显变慢,要么再打开网页时速度异常缓慢,甚至出现“无法打开网页”的问题。这是由于SP2默认设置中将TCP同时连接请求的数量限制在10个以内造成的,目前我们可以用两种方法来解决这个问题 :
方法一:关闭杀毒软件。关闭杀毒软件可以在一定程度上缓解这一问题,不过为了系统安全性,笔者不推荐这一方法。
方法二:修改tcpip.sys文件。我们使用Winhex(其下载地址为:http://js-http.skycn.net:8180/down/HA_WHex11_2SR1_ZQ.rar)来完成修改工作,具体方法如下:首先将C:WINDOWSSYSTEM32DRIVERS目录下的tcpip.sys文件拷贝到其它目录,用Winhex打开备份的这个文件,在offset栏分别定位到 “00000130”和“4F322”行,将其原始值“6E 12 06 00”、“0A 00 00 00”分别修改为“62 13 06 00”、“FE FF FF 00”。保存后在安全模式下将文件分别拷贝覆盖C:WINDOWSSYSTEM32DRIVERS、C:WINDOWSSERVICEPACKFILESI386、C:WINDOWSSYSTEM32DLLCACHE文件夹下的同名文件 即可。值得注意的是,上面介绍的是SP2 2180版的修改数据,对于其它版本的修改数据值有所不同,大家可以参考http://www.lvllord.de/4226fix/4226fix-en-manual.htm中表格里提供的数据。
提示:大家也可以直接使用国外某高手制作的补丁(适用于多数目前流行的SP2版本),首先将tcpip.sys文件拷贝到某个目录,下载补丁(下载地址为:http://www.lvllord.de/4226fix/EvID4226Patch20c.exe)后将其放到tcpip.sys所在目录后运行,完毕后重启计算机,最后同样将tcpip.sys文件分别拷贝覆盖到上述三个文件夹中。
3.让Style XP起死回生
很多朋友都在使用Style XP来美化系统,不过安装SP2后Style XP就无法使用了。解决的办法有两种,我们既可以下载最新版本的Style XP,下载地址:http://www.tgtsoft.com/download.php,也可以使用修改uxtheme.dll的方法:将%systemroot%system32下的uxtheme.dll拷贝一份副本,用UltraEdit打开该副本,将Offset栏“0001BB8C”行的数值由原来的“ 81 EC 88 00 00 00 A1 18“修改为“33 F6 8B C6 C9 C2 08 00”即可。
4.修改IE默认的安全级别
很多朋友发现在安装SP2后,我们在修改IE的安全设置低于其默认设置时,系统会提示“无法修改……”的错误,这是由于SP2对用户设置较低的安全级别有所限制。不过这样可能会让我们在访问某些站点的时候失败,我们可以用如下方法修改其默认安全级别:运行 “Regedit”命令打开注册表编辑器,依次定位到“[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settingsones3]”,在窗口右边将“MinLevel”修改为“10000”(十六进制),这样大家就可以设置更低的安全级别了。
5.让Maxthon使用SP2的弹出窗口控制功能
升级SP2后,IE增加了弹出窗口拦截功能,它可以让我们非常方便的拦截多数弹出式广告,其功能强劲甚至连Maxthon有些不能过滤的窗口都能屏蔽掉。但这一功能仅仅能在IE中实现,如果你想在Maxthon、GreenBrower等其他IE核心的多 页面浏览器中调用这一功能,那么只需将Maxthon安装目录下的Maxthon.exe的文件名改为iexplore.exe 即可。需要注意的是,在改名后我们需要再次设置Maxthon为默认浏览器。
6.让系统托盘不显示“Windows安全警报”
Windows安全警报默认会在你关闭Windows防火墙、未安装防火墙软件、未启用自动更新等情况下弹出提示气泡窗口,我们可以在控制面板中打开安全中心组件,单击窗口右边的“更改‘安全中心’通知我的方式”,取消勾选“防火墙”、“自动更新”、“病 毒保护”即可。
7.两种方法卸载SP2
卸载SP2有两种方法:1.在控制面板的添加删除程序组件里面卸载;2.运行“CMD”命令进入命令提示符窗口,输入以下命令: cd %Windir%$NtServicePackUninstall$Spuninstspuninst.exe根据提示操作即可。
安装SP2后,大多数用户发现在访问某些需要填写验证码的地方,都无法显示验证码图片(显示为一个红色小叉),这是一个非常严重的BUG。解决办法为:运行“Regedit”命令打开注册表编辑器,依次定位到“[HKEY_LOCAL_MACHINESOFTWARE
MicrosoftInternet Explorer
Security]”,在窗口右边新建一个名为“BlockXBM”的REG_DWORD值,将其值设置为“0”(十六进值)。
2.解决BT下载速度慢的问题
很多朋友在安装SP2后发现:如果打开BT下载文件,要么BT明显变慢,要么再打开网页时速度异常缓慢,甚至出现“无法打开网页”的问题。这是由于SP2默认设置中将TCP同时连接请求的数量限制在10个以内造成的,目前我们可以用两种方法来解决这个问题 :
方法一:关闭杀毒软件。关闭杀毒软件可以在一定程度上缓解这一问题,不过为了系统安全性,笔者不推荐这一方法。
方法二:修改tcpip.sys文件。我们使用Winhex(其下载地址为:http://js-http.skycn.net:8180/down/HA_WHex11_2SR1_ZQ.rar)来完成修改工作,具体方法如下:首先将C:WINDOWSSYSTEM32DRIVERS目录下的tcpip.sys文件拷贝到其它目录,用Winhex打开备份的这个文件,在offset栏分别定位到 “00000130”和“4F322”行,将其原始值“6E 12 06 00”、“0A 00 00 00”分别修改为“62 13 06 00”、“FE FF FF 00”。保存后在安全模式下将文件分别拷贝覆盖C:WINDOWSSYSTEM32DRIVERS、C:WINDOWSSERVICEPACKFILESI386、C:WINDOWSSYSTEM32DLLCACHE文件夹下的同名文件 即可。值得注意的是,上面介绍的是SP2 2180版的修改数据,对于其它版本的修改数据值有所不同,大家可以参考http://www.lvllord.de/4226fix/4226fix-en-manual.htm中表格里提供的数据。
提示:大家也可以直接使用国外某高手制作的补丁(适用于多数目前流行的SP2版本),首先将tcpip.sys文件拷贝到某个目录,下载补丁(下载地址为:http://www.lvllord.de/4226fix/EvID4226Patch20c.exe)后将其放到tcpip.sys所在目录后运行,完毕后重启计算机,最后同样将tcpip.sys文件分别拷贝覆盖到上述三个文件夹中。
3.让Style XP起死回生
很多朋友都在使用Style XP来美化系统,不过安装SP2后Style XP就无法使用了。解决的办法有两种,我们既可以下载最新版本的Style XP,下载地址:http://www.tgtsoft.com/download.php,也可以使用修改uxtheme.dll的方法:将%systemroot%system32下的uxtheme.dll拷贝一份副本,用UltraEdit打开该副本,将Offset栏“0001BB8C”行的数值由原来的“ 81 EC 88 00 00 00 A1 18“修改为“33 F6 8B C6 C9 C2 08 00”即可。
4.修改IE默认的安全级别
很多朋友发现在安装SP2后,我们在修改IE的安全设置低于其默认设置时,系统会提示“无法修改……”的错误,这是由于SP2对用户设置较低的安全级别有所限制。不过这样可能会让我们在访问某些站点的时候失败,我们可以用如下方法修改其默认安全级别:运行 “Regedit”命令打开注册表编辑器,依次定位到“[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settingsones3]”,在窗口右边将“MinLevel”修改为“10000”(十六进制),这样大家就可以设置更低的安全级别了。
5.让Maxthon使用SP2的弹出窗口控制功能
升级SP2后,IE增加了弹出窗口拦截功能,它可以让我们非常方便的拦截多数弹出式广告,其功能强劲甚至连Maxthon有些不能过滤的窗口都能屏蔽掉。但这一功能仅仅能在IE中实现,如果你想在Maxthon、GreenBrower等其他IE核心的多 页面浏览器中调用这一功能,那么只需将Maxthon安装目录下的Maxthon.exe的文件名改为iexplore.exe 即可。需要注意的是,在改名后我们需要再次设置Maxthon为默认浏览器。
6.让系统托盘不显示“Windows安全警报”
Windows安全警报默认会在你关闭Windows防火墙、未安装防火墙软件、未启用自动更新等情况下弹出提示气泡窗口,我们可以在控制面板中打开安全中心组件,单击窗口右边的“更改‘安全中心’通知我的方式”,取消勾选“防火墙”、“自动更新”、“病 毒保护”即可。
7.两种方法卸载SP2
卸载SP2有两种方法:1.在控制面板的添加删除程序组件里面卸载;2.运行“CMD”命令进入命令提示符窗口,输入以下命令: cd %Windir%$NtServicePackUninstall$Spuninstspuninst.exe根据提示操作即可。
IE浏览器首页不让修改的小技巧
众所周知,修改IE默认主页地址是恶意网页常用的一招。IE被修改后,会自动连接到恶意网页的地址。大家常用的方法是修改注册表,其实,只要简单给IE加个参数,就再也不害怕IE主页地址被修改了。下面是具体的方法和步骤。
首先,打开“我的电脑”,找到IE的安装目录,这里假设你的IE安装在C:Program FilesInternet Explorer下。进入该文件夹,找到Iexplore.exe文件,对着它点击鼠标右键,在弹出的快捷菜单中选择“发送到→桌面快捷方式”,这样就在桌面上建立了一个Iexplore.exe文件的快捷方式。如果你够仔细的话,你会发现你建立的这个快捷方式名字为“Iexplore.exe”,而桌面上原来的IE快捷方式名字为“Internet Explorer”,两者不仅名字不相同,而且“内涵”也不尽相同。
继续我们的工作,用鼠标右键单击该快捷方式,选择“属性”,会弹出“Iexplore.exe 属性”对话框,选择其中的“快捷方式”标签,然后在“目标”框里填入:"C:Program FilesInternet ExplorerIEXPLORE.EXE" -nohome,给Iexplore.exe加上参数“-nohome”,输入时请大家注意在参数“-nohome”前面有一个空格,不要忘了。点击“确定”退出即可。
这样即使主页被修改也没有关系,打开IE就是一片空白,就连about:blank也不显示。而且这样能够加快启动速度,一点IE窗口马上就出蹦来了。
对于IE在安装时自己建立的快捷方式,我们无法为它加上上述参数。如果不信可以试试,用鼠标右键点击桌面上原来IE自建的快捷方式,选“属性”,会发现“目标”栏、“起始位置”栏、“快捷键”栏和“运行方式”栏都是灰色不可选取状态。这就是它们之间最大的不同!也是本文的关键所在。
首先,打开“我的电脑”,找到IE的安装目录,这里假设你的IE安装在C:Program FilesInternet Explorer下。进入该文件夹,找到Iexplore.exe文件,对着它点击鼠标右键,在弹出的快捷菜单中选择“发送到→桌面快捷方式”,这样就在桌面上建立了一个Iexplore.exe文件的快捷方式。如果你够仔细的话,你会发现你建立的这个快捷方式名字为“Iexplore.exe”,而桌面上原来的IE快捷方式名字为“Internet Explorer”,两者不仅名字不相同,而且“内涵”也不尽相同。
继续我们的工作,用鼠标右键单击该快捷方式,选择“属性”,会弹出“Iexplore.exe 属性”对话框,选择其中的“快捷方式”标签,然后在“目标”框里填入:"C:Program FilesInternet ExplorerIEXPLORE.EXE" -nohome,给Iexplore.exe加上参数“-nohome”,输入时请大家注意在参数“-nohome”前面有一个空格,不要忘了。点击“确定”退出即可。
这样即使主页被修改也没有关系,打开IE就是一片空白,就连about:blank也不显示。而且这样能够加快启动速度,一点IE窗口马上就出蹦来了。
对于IE在安装时自己建立的快捷方式,我们无法为它加上上述参数。如果不信可以试试,用鼠标右键点击桌面上原来IE自建的快捷方式,选“属性”,会发现“目标”栏、“起始位置”栏、“快捷键”栏和“运行方式”栏都是灰色不可选取状态。这就是它们之间最大的不同!也是本文的关键所在。
八类方法巧妙排除网络连接故障
搭建一个网络是相对比较轻松的事情,但是要想管理好网络却是一件比较繁琐的工作。且不说用户给你提出的各种要求会让你忙个不停,单单网络不通这一故障解决起来就够麻烦的,因为导致网络不通的原因实在太多。但是作为网络管理者也不必为此而失去解决问题的勇气,只要我们将故障现象进行规类,还是有规律可循的。
一、连接指示灯不亮
观察网卡后侧RJ45一边有两个指示灯。它们分别为连接状态指示灯和信号传输指示灯,其中正常状态下连接状态指示灯呈绿色并且长亮,信号指示灯呈红色,正常应该不停的闪烁。如果我们发现连接指示灯,也就是绿灯不亮,那么表示网卡连接到HUB或交换机之间的连接有故障。对此可以使用测试仪进行分段排除,如果从交换机到网卡之间是通过多个模块互连的,那么可以使用二分法进行快速定位。而一般情况下这种故障发生多半是网线没有接牢、使用了劣质水晶头等原因。而且故障点大多是连接的两端有问题,例如交换机的端口处和连接计算机的网卡处的接头,借助测试仪可以很轻松的就以找出故障进行解决。
二、信号指示灯不亮
如果信号指示灯不亮,那么则说明没有信号进行传输,但可以肯定的是线路之间是正常的。那么不防使用替换法将连接计算机的网线换到另外一台计算机上试试,或者使用测试仪检查是否有信号传送,如果有信号传送那么则是本地网卡的问题。在实际的工作经验证明网卡导致没有信息传送是比较普遍的故障。对此可以首先检查一下网卡安装是否正常、IP设置是否错误,可以尝试Ping一下本机的IP地址,如果能够Ping通则说明网卡没有太大问题。如果不通,则可以尝试重新安装网卡驱动来解决,另外对于一些使用了集成网卡或质量不高的网卡,容易出现不稳定的现象,即所有设置都正确,但网络却不通。对此可以将网卡禁用,然后再重新启用的方法,也会起到意想不到的效果。
三、降速使用
很多网卡都是使用10M/100M自适应网卡,虽然网卡的默认设置是“自适应”,但是受交换机速度或网线的制作方法影响,可能出现一些不匹配的情况。这个时候不防试试把网卡速度直接设为10M。其方法是右击“本地连接”打开其属性窗口,在“常规”选项卡中单击“配置”按钮,将打开的网卡属性窗口切换到“高级”选项卡,在“属性”列表中选中“Link Speed/Duplex Mode”,在右侧的“值”下拉菜单中选择“10 FullMode”,依次单击“确定”按钮保存设置。
四、防火墙导致网络不通
在局域网中为了保障安全,很多朋友都安装了一些防火墙。这样很容易造成一些“假”故障,例如Ping不通但是却可以访问对方的计算机,不能够上网却可以使用QQ等。判断是否是防火墙导致的故障很简单,你只需要将防火墙暂时关闭,然后再检查故障是否存在。而出现这种故障的原因也很简单,例如用户初次使用IE访问某个网站时,防火墙会询问是否允许该程序访问网络,一些用户因为不小心点了不允许这样以后都会延用这样的设置,自然导致网络不通了。比较彻底的解决办法是在防火墙中去除这个限制。例如笔者使用的是金山网镖,那么则可以打开其窗口,切换到“应用规则”标签,然后在其中找到关于Internet Explorer项,单击“允许”即可。
五、整个网络奇怪的不通
在实际的故障解决过程中,对于一些较大型的网络还容易出现整个网络不通的奇怪故障。说它奇怪,是因为所有的现象看起来都正常,指示灯、配置都经过检查了,任何问题都没有,但网络就是不通;而且更另人叫绝的是在不通的过程中偶尔还能有一两台计算机能够间隙性的访问。其实这就是典型的网络风暴现象,多发生在一些大中型网络中。既网络中存在着很多病毒,然后彼此之间进行流窜相互感染,由于网络中的计算机比较多,这样数据的传输量很大,直接就占领了端口,使正常的数据也无法传输。对于这种由病毒引发的网络风暴解决的最直接的办法就是找出风暴的源头,这时只需要在网络中的一台计算机上安装一个防火墙,例如金山网镖,启用防火墙后你就会发现防火墙不停的报警,打开后可以在“安全状态”标签的安全日志中看到防火墙拦截来自同一个IP地址的病毒攻击,这时你只要根据IP地址找出是哪一台计算机,将其与网络断开进行病毒查杀,一般即可解决问题。
小提示:作为网络管理员,即使在正常情况下也有必要安装金山网镖这样的防火墙,找出网络中流串的病毒源头,作出预防,避免危害进一步的扩大。但是要避免网络风暴最佳的办法还是划分子网和安装网络版杀毒软件。划分子网,这样每个子网内的计算机比较少,这样病毒即使相互传播,产生的数据量也不大,不会危及整个网络,而安装网络版杀毒软件则可以保持整个网络高速畅通的运转。
六、配置错误导致网络不通
这种故障的外部表现多是网络指示灯正常,也能够Ping通,有时可以访问内网资源,但无法访问外网资源,有时还会表现出访问网站时只能通过IP地址,而不能通过域名访问。这就是典型的网络配置不当所产生的,即没有设置正确的网卡和DNS。如果网关设置错误,那么该台计算机只能在局域网内部访问,如果DNS设置错误,那么访问外部网站时不能进行解析。对此我们只需要打开本地连接的属性窗口,打开“Internet协议(TCP/IP)”属性窗口,然后设置正确的默认网关和DNS服务器地址即可。
七、网上邻居无法访问
网络是畅通的,与Interne或局域网内部的连接全部正常,但是通过网上邻居访问局域网其它计算机时却无法访问的症状。造成这种故障的原因比较多,笔者在这里可以给大家提供一个简单的解决办法。即直接在“运行”窗口中按照“计算机名(IP地址)共享名”的格式来访问网内其它计算机上的共享文件夹,这样不仅可以绕开这个故障,而且也比通过网上邻居访问要更加快捷。
八、组策略导致网络不通
这种故障主要存在于Windows 2000/XP/2003系统之间,是因为组策略设置了禁止从网络访问。因此我们可以在“运行”窗口中输入“Gpedit.msc”并回车,在打开的组策略窗口中依次选择“本地计算机策略—计算机配置—Windows设置—安全设置—本地策略—用户权利指派”,然后双击右侧的“拒绝从网络访问这台计算机”,在打开的窗口中将里面的帐户列表选中并删除即可。 ‑
网络不通是一个复杂多变的故障,但只要我们掌握其本质,了解网络构建的步骤,熟悉故障的易发点,这样就可以做到以不变应万变,轻松解决网络不通的问题。
一、连接指示灯不亮
观察网卡后侧RJ45一边有两个指示灯。它们分别为连接状态指示灯和信号传输指示灯,其中正常状态下连接状态指示灯呈绿色并且长亮,信号指示灯呈红色,正常应该不停的闪烁。如果我们发现连接指示灯,也就是绿灯不亮,那么表示网卡连接到HUB或交换机之间的连接有故障。对此可以使用测试仪进行分段排除,如果从交换机到网卡之间是通过多个模块互连的,那么可以使用二分法进行快速定位。而一般情况下这种故障发生多半是网线没有接牢、使用了劣质水晶头等原因。而且故障点大多是连接的两端有问题,例如交换机的端口处和连接计算机的网卡处的接头,借助测试仪可以很轻松的就以找出故障进行解决。
二、信号指示灯不亮
如果信号指示灯不亮,那么则说明没有信号进行传输,但可以肯定的是线路之间是正常的。那么不防使用替换法将连接计算机的网线换到另外一台计算机上试试,或者使用测试仪检查是否有信号传送,如果有信号传送那么则是本地网卡的问题。在实际的工作经验证明网卡导致没有信息传送是比较普遍的故障。对此可以首先检查一下网卡安装是否正常、IP设置是否错误,可以尝试Ping一下本机的IP地址,如果能够Ping通则说明网卡没有太大问题。如果不通,则可以尝试重新安装网卡驱动来解决,另外对于一些使用了集成网卡或质量不高的网卡,容易出现不稳定的现象,即所有设置都正确,但网络却不通。对此可以将网卡禁用,然后再重新启用的方法,也会起到意想不到的效果。
三、降速使用
很多网卡都是使用10M/100M自适应网卡,虽然网卡的默认设置是“自适应”,但是受交换机速度或网线的制作方法影响,可能出现一些不匹配的情况。这个时候不防试试把网卡速度直接设为10M。其方法是右击“本地连接”打开其属性窗口,在“常规”选项卡中单击“配置”按钮,将打开的网卡属性窗口切换到“高级”选项卡,在“属性”列表中选中“Link Speed/Duplex Mode”,在右侧的“值”下拉菜单中选择“10 FullMode”,依次单击“确定”按钮保存设置。
四、防火墙导致网络不通
在局域网中为了保障安全,很多朋友都安装了一些防火墙。这样很容易造成一些“假”故障,例如Ping不通但是却可以访问对方的计算机,不能够上网却可以使用QQ等。判断是否是防火墙导致的故障很简单,你只需要将防火墙暂时关闭,然后再检查故障是否存在。而出现这种故障的原因也很简单,例如用户初次使用IE访问某个网站时,防火墙会询问是否允许该程序访问网络,一些用户因为不小心点了不允许这样以后都会延用这样的设置,自然导致网络不通了。比较彻底的解决办法是在防火墙中去除这个限制。例如笔者使用的是金山网镖,那么则可以打开其窗口,切换到“应用规则”标签,然后在其中找到关于Internet Explorer项,单击“允许”即可。
五、整个网络奇怪的不通
在实际的故障解决过程中,对于一些较大型的网络还容易出现整个网络不通的奇怪故障。说它奇怪,是因为所有的现象看起来都正常,指示灯、配置都经过检查了,任何问题都没有,但网络就是不通;而且更另人叫绝的是在不通的过程中偶尔还能有一两台计算机能够间隙性的访问。其实这就是典型的网络风暴现象,多发生在一些大中型网络中。既网络中存在着很多病毒,然后彼此之间进行流窜相互感染,由于网络中的计算机比较多,这样数据的传输量很大,直接就占领了端口,使正常的数据也无法传输。对于这种由病毒引发的网络风暴解决的最直接的办法就是找出风暴的源头,这时只需要在网络中的一台计算机上安装一个防火墙,例如金山网镖,启用防火墙后你就会发现防火墙不停的报警,打开后可以在“安全状态”标签的安全日志中看到防火墙拦截来自同一个IP地址的病毒攻击,这时你只要根据IP地址找出是哪一台计算机,将其与网络断开进行病毒查杀,一般即可解决问题。
小提示:作为网络管理员,即使在正常情况下也有必要安装金山网镖这样的防火墙,找出网络中流串的病毒源头,作出预防,避免危害进一步的扩大。但是要避免网络风暴最佳的办法还是划分子网和安装网络版杀毒软件。划分子网,这样每个子网内的计算机比较少,这样病毒即使相互传播,产生的数据量也不大,不会危及整个网络,而安装网络版杀毒软件则可以保持整个网络高速畅通的运转。
六、配置错误导致网络不通
这种故障的外部表现多是网络指示灯正常,也能够Ping通,有时可以访问内网资源,但无法访问外网资源,有时还会表现出访问网站时只能通过IP地址,而不能通过域名访问。这就是典型的网络配置不当所产生的,即没有设置正确的网卡和DNS。如果网关设置错误,那么该台计算机只能在局域网内部访问,如果DNS设置错误,那么访问外部网站时不能进行解析。对此我们只需要打开本地连接的属性窗口,打开“Internet协议(TCP/IP)”属性窗口,然后设置正确的默认网关和DNS服务器地址即可。
七、网上邻居无法访问
网络是畅通的,与Interne或局域网内部的连接全部正常,但是通过网上邻居访问局域网其它计算机时却无法访问的症状。造成这种故障的原因比较多,笔者在这里可以给大家提供一个简单的解决办法。即直接在“运行”窗口中按照“计算机名(IP地址)共享名”的格式来访问网内其它计算机上的共享文件夹,这样不仅可以绕开这个故障,而且也比通过网上邻居访问要更加快捷。
八、组策略导致网络不通
这种故障主要存在于Windows 2000/XP/2003系统之间,是因为组策略设置了禁止从网络访问。因此我们可以在“运行”窗口中输入“Gpedit.msc”并回车,在打开的组策略窗口中依次选择“本地计算机策略—计算机配置—Windows设置—安全设置—本地策略—用户权利指派”,然后双击右侧的“拒绝从网络访问这台计算机”,在打开的窗口中将里面的帐户列表选中并删除即可。 ‑
网络不通是一个复杂多变的故障,但只要我们掌握其本质,了解网络构建的步骤,熟悉故障的易发点,这样就可以做到以不变应万变,轻松解决网络不通的问题。
2008年9月25日星期四
解决关闭系统里待机是灰色问题
启用休眠功能:打开“控制面板”→“电源选项”,在“休眠”标签中,在“启用休眠”项打勾即可启用休眠功能。如果此项不可用,则说明你的电源不支持休眠功能。或如果你安装了还原精灵等一些保护软件,也无法启用休眠功能。
显卡驱动有问题:重新安装显驱。
显卡驱动有问题:重新安装显驱。
2008年9月24日星期三
如何找回误删除的数据
用数据恢复软件。如果没有写东西,恢复的几率会大一些。不过不能保证百分百恢复。要是希望恢复几率高就找专门的数据恢复公司。自己恢复下载一些软件就行。网上可以找到,有很多比如:
EasyRecovery(可用行100%) EasyRecovery Pro v6.04 汉化版 地址:(里面有汉化补丁) http://www.crsky.com/soft/899.html 一款威力非常强大的硬盘数据恢复工具。能够帮你恢复丢失的数据以及重建文件系统。EasyRecovery 不会向你的原始驱动器写入任何东东,它主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。你可以从被病毒破坏或是已经格式化的硬盘中恢复数据。该软件可以恢复大于 8.4GB 的硬盘。支持长文件名。 被破坏的硬盘中像丢失的引导记录、BIOS 参数数据块;分区表;FAT 表;引导区都可以由它来进行恢复。 FINALDATA FinalData v2.01.1028 企业版 http://www.crsky.com/soft/963.html 在Windows环境下删除一个文件,只有目录信息从FAT或者MFT(NTFS)删除。这意味着文件数据仍然留在你的磁盘上。所以,从技术角度来讲,这个文件是可以恢复的。FinalData就是通过这个机制来恢复丢失的数据的,在清空回收站以后也不例外。另外,FinalData可以很容易地从格式化后的文件和被病毒破坏的文件恢复。甚至在极端的情况下,如果目录结构被部分破坏也可以恢复,只要数据仍然保存在硬盘上。 EasyRecovery是一个威力非常强大的硬盘数据恢复工具,能够帮你恢复丢失的数据以及重建文件系统。
EasyRecovery(可用行100%) EasyRecovery Pro v6.04 汉化版 地址:(里面有汉化补丁) http://www.crsky.com/soft/899.html 一款威力非常强大的硬盘数据恢复工具。能够帮你恢复丢失的数据以及重建文件系统。EasyRecovery 不会向你的原始驱动器写入任何东东,它主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。你可以从被病毒破坏或是已经格式化的硬盘中恢复数据。该软件可以恢复大于 8.4GB 的硬盘。支持长文件名。 被破坏的硬盘中像丢失的引导记录、BIOS 参数数据块;分区表;FAT 表;引导区都可以由它来进行恢复。 FINALDATA FinalData v2.01.1028 企业版 http://www.crsky.com/soft/963.html 在Windows环境下删除一个文件,只有目录信息从FAT或者MFT(NTFS)删除。这意味着文件数据仍然留在你的磁盘上。所以,从技术角度来讲,这个文件是可以恢复的。FinalData就是通过这个机制来恢复丢失的数据的,在清空回收站以后也不例外。另外,FinalData可以很容易地从格式化后的文件和被病毒破坏的文件恢复。甚至在极端的情况下,如果目录结构被部分破坏也可以恢复,只要数据仍然保存在硬盘上。 EasyRecovery是一个威力非常强大的硬盘数据恢复工具,能够帮你恢复丢失的数据以及重建文件系统。
2008年9月17日星期三
知名黑客称60秒即可攻破iPhone安全防线
9月15日消息,数据法律专家、iphone黑客乔纳森-扎德尔斯基(Jonathan Zdziarski)日前一边演示一边称,iPhone可方便地将周围的一切拍进镜头,但这很可能将来给你带来麻烦,甚至很严重的麻烦。
据国外媒体报道,扎德尔斯基演示了执法人员如何通过创建普通固件捆绑件,绕过用户设置的iPhone 3G密码锁来浏览用户隐私图片的过程。
扎德尔斯基在手机安全领域拥有很高声誉,被称为全职的研究型科学家,长期以来都扮演手机黑客的角色,他在iPhone开发环境向第三方开放的过程中发挥过重要作用,并且曾因突破iPhone的安全防护,以及为iPhone编写第一个开源应用程序在多个极客网站收到热捧。
据国外媒体报道,扎德尔斯基演示了执法人员如何通过创建普通固件捆绑件,绕过用户设置的iPhone 3G密码锁来浏览用户隐私图片的过程。
扎德尔斯基在手机安全领域拥有很高声誉,被称为全职的研究型科学家,长期以来都扮演手机黑客的角色,他在iPhone开发环境向第三方开放的过程中发挥过重要作用,并且曾因突破iPhone的安全防护,以及为iPhone编写第一个开源应用程序在多个极客网站收到热捧。
《连线》日前的一篇报道介绍了iPhone如何留下你最近一次行动的照片,而在你返回主菜单的时间,照片已被泄漏的过程。按扎德尔斯基的话说,黑客只需60秒钟就能够突破iPhone的安全防护。
该文指出,“上述只是司法专家收集证据的一种办法,其他的办法还包括恢复iPhone键盘缓冲、Safari浏览器缓冲、谷歌地图缓冲内容等。专家和黑客甚至还能够恢复一月前删除的照片。”
在这个世界,隐私已逐渐远离我们而去。
该文指出,“上述只是司法专家收集证据的一种办法,其他的办法还包括恢复iPhone键盘缓冲、Safari浏览器缓冲、谷歌地图缓冲内容等。专家和黑客甚至还能够恢复一月前删除的照片。”
在这个世界,隐私已逐渐远离我们而去。
订阅:
博文 (Atom)