http://www.kernelsword.com/ PJBlog3 2010-09-01T23:07:13+08:00 KernelSword http://www.kernelsword.com/ jwxmail@126.com 2010-09-01T23:07:13+08:00 2010-09-01T23:07:13+08:00

1、在装有360电脑上，拿有autorun病毒的U盘插上，360报警，并提示杀毒，点杀素，360提示杀完了，此时我手动在U盘里建立一个文件夹，名为autorun.inf，提示文件已存在，无法创建，这显示autorun病毒并没有杀掉。再次插上U盘的时候，360又报了。这说明360根本就没有杀掉autorun病毒。

2、在装有诺顿的电脑上，拿有autorun病毒的U盘插上，同样诺顿报有病毒并提示杀毒杀完后，同样手动在U盘根目录下建立一个autorun.inf文件夹，创建成功，这说明autorun确实被杀掉了。拔下U盘再次插上，也没有再提示有病毒，同样把U盘插在360电脑上也没有报，这说明诺顿确实杀了病毒了。

由上面一个简单的对比可以得出一个结论：360的山寨军确实没有诺顿的正规军强悍，山寨就是山寨。还经常乱报，报得越多感觉好象功能越强大越安全，其实非也！
]]>

http://www.kernelsword.com/default.asp?id=118 KernelSword http://www.kernelsword.com/ jwxmail@126.com 2010-08-15T23:26:58+08:00 2010-08-15T23:26:58+08:00

多特下载 华军下载 非凡下载

更新说明：
2.4.1.34
    正式发布。
2.4.2.35
    解决白名单操作时引起的蓝屏。


移动存储介质以其存储量大、使用灵活、携带方便等优点而广泛应用。使用方便的同时也带来管理的问题，移动存储介质的使用带来很大的信息安全隐患，如何管理移动存储介质是目前很多企、事业单位共同关心的问题。
为了解决移动存储介质的管理问题，KernelSword开发这一产品，用于管理和规范移动存储介质的使用。





]]>

http://www.kernelsword.com/default.asp?id=117 KernelSword http://www.kernelsword.com/ jwxmail@126.com 2010-08-01T12:26:27+08:00 2010-08-01T12:26:27+08:00

华军下载 非凡下载 多特下载

更新说明：
USBVIEWER3.3在之前版本基础上增加了清除系统残留文件。
另外在Vista和Win7下运行时，在图标上点右键以管理员权限运行！
清除完成的时候重启下电脑，这样会更干净。

USB Viewer的用途：
如果您用过UsbLog.exe，那么你肯定对本软件不陌生！我们的USB Viewer可以看做是UsbLog.exe的增强版。
USB Viewer（USB移动存储设备使用记录查看器）可用于查看本机的USB移动存储设备使用记录。可查看的设备有：U盘、移动硬盘、MP3、SD卡……等。
可用于兵器、航空、航天、政府、军队等对保密要求较高的单位，可在计算机保密检查抽检的时候使用，也可以当作内部信息安全风险评估的自我评估工具使用。
可提取的信息：

No.    英文    中文      
1.        FriendlyName    友好名称      
2.        Class    类      
3.        ClassGUID    类的全局唯一标识符      
4.        Driver    驱动      
5.        ClassDescription    类描述      
6.        EnumeratorName    枚举名      
7.        DeviceDesc          
8.        HardwareID    硬件ID      
9.        DeviceInstanceId    设备实例ID      
10.        PhysicalDeviceObjectName    物理设备对象名      
11.        Service    服务      
12.        Mfg          
13.        FirstWriteTime    首次写时间      
14.        LastWriteTime    最后写时间    
使用方法：
Ø    “查看痕迹”可显示本机使用过的U盘、移动硬盘等的使用痕迹
Ø    “生成报告”可以将本机的U盘使用记录导出……另存为“UsbViewer-日期+时间.txt”
Ø    “关于”可看到开发商，也就是我们 J 的相关信息



]]>

http://www.kernelsword.com/default.asp?id=116 KernelSword http://www.kernelsword.com/ jwxmail@126.com 2010-07-27T23:19:42+08:00 2010-07-27T23:19:42+08:00

华军下载 非凡下载 多特下载

“文件防篡改与应用防护系统”是面向WEB服务器管理员开发的一款网站安全防护软件。
　　文件防篡改与应用防护系统广泛适用于：个人站长、企业、政府等拥有独立WEB服务器的领域，可以有效的帮您阻断黑客攻击，保护您的WEB资产不受侵害。

　　截止到 2010年07月25日 ，它包含两个大模块：
　　·文件防篡改模块
　　　　→ 文件规则：制定网站文件防护策略，一般设置为WEB目录
　　　　→ 文件日志：搜索文件访问日志，可以记录谁、什么时候、访问了那个页面
　　　　→ 实时信息：网站防篡改的实时信息
　　　　→ 排除规则：设置不保护的目录，一般是上传目录，如Upload、UpImages等目录
　　　　→ 可信进程：站长要远程FTP传文件怎么办？把Serv-U等进程在这里添加就OK了！
　　　　→ 排除进程：彻底不可信的进程，如记事本或浏览器……

　　·应用防护模块
　　　　→ 本模块正在紧张制作中，如果不出意外的话，会先发布SQL注入和跨站攻击防护模块 :)








]]>

http://www.kernelsword.com/default.asp?id=115 KernelSword http://www.kernelsword.com/ jwxmail@126.com 2010-07-25T09:28:01+08:00 2010-07-25T09:28:01+08:00

最普遍的保护法是新建一个文件夹或文件，并将之重新命名为AUTORUN.INF。这个方法会让恶意软件在使用者未执行动作的状况下能自动执行系统。如果在感染前就已先制作这样的一个档案，原则上会让破坏程序无法以此方式自动执行。

不过这个方法并不完善，破坏程序会侦测并删除现存的AUTORUN.INF，并以恶意版本的文件取代，这就让使用者自己进行的防护失去效益。但是如果使用文件权限方式来限制变动，那么就可以更加有效地保护AUTORUN.INF文件。

注意：务必确认你的外接硬盘为NTFS格式化，因为这个程序使用的是特殊的NTFS功能。如果你的移动硬盘是以FAT或FAT32来格式化的，就需要先将硬盘上所有的数据先行备份，再重新以NTFS来格式化。这些操作将需要配合Windows Vista或Windows 7。

在移动硬盘的根目录上新建一个文件夹，把它命名为“AUTORUN.INF”。在同一个位置上新建另外四个文件夹，分别命名为“recycle”、“recycler”、“recycled”和“setup”。

注意：recycle、recycler、recycled和setup这四个文件夹的新建并非必要，但建议使用者建立，因为这些文件也经常被恶意软件所使用。

开启一个命令执行字符(command prompt，cmd.exe)，进入移动硬盘的根目录中。使用以下的DOS指令将文件夹归类：
attrib autorun.inf /s /d –a +s +r
使用以下的DOS指令来设定文件夹的特权等级(privilege leve)：
cacls autorun.inf /c /d administrators
在出现“Are you sure(Y/N)”(确定，是/否)时，选择‘Y’然后点击Enter键。
要测试时，可以尝试删除、修改、重新命名、复制或开启文件夹。如果无法执行以上任何一种功能，就表示此程序成功了。
除了上述的程序外，使用者也可选择使用硬件的防护方式。某些移动硬盘配备有外部开关，可预防装置被覆写。这可防止恶意软件对硬盘进行任何设定的修改，包括AUTORUN.INF文件。不过因为这类的开关会造成不便，使用上述的程序仍是比较好的选择。
只要保护好你的移动硬盘，就可以避免让各类威胁继续繁衍。]]>

http://www.kernelsword.com/default.asp?id=114 KernelSword http://www.kernelsword.com/ jwxmail@126.com 2010-07-25T09:24:16+08:00 2010-07-25T09:24:16+08:00

其实我们可以不使用如此暴力的手段，只要在计算机上修改注册表，就可以让U盘变成一个只读设备，也就是说U盘的数据只能读，但不能写！这样不但可以避免U盘导致的数据泄露，也可以使U盘免遭病毒袭击。

我们在一台XP SP2的计算机上来为大家演示如何实现只读U盘的制作，在计算机上运行Regedit，如下图所示，我们在HKEY_LOCAL_MACHINE\SYSTEM\Current\ControlSet\Control下选择新建一项，项的名称为StorageDevicePolicies。



如下图所示，在新建的StorageDevicePolicies下选择新建一个DWORD值，DWORD值的名称为WriteProtect。



如下图所示，我们将WriteProtect的值设置为1，这样就可以让U盘只能进行读操作；如果将WriteProtect的值设置为0，U盘就可以进行正常的读写操作了。



设置完注册表后，我们来试验一下，如下图所示，我们准备把一个文件夹发送到U盘上，试试看效果如何。



如下图所示，U盘显示被写保护，只读U盘设置成功了！其实如果操作系统是Vista或Win2008，我们也可以考虑通过组策略禁用USB存储设备，那样的话控制起来会更加的方便。


]]>

http://www.kernelsword.com/default.asp?id=113 KernelSword http://www.kernelsword.com/ jwxmail@126.com 2010-07-25T09:17:41+08:00 2010-07-25T09:17:41+08:00

1、退出U盘时候非正常退出，直接拔U盘。
2、U盘中毒，如灰鸽子，auto病毒等，查杀病毒不彻底或病毒将U盘系统文件破坏。
3、U盘接口处的焊点与U盘内部线路板松脱（此硬件问题不在本文解决之内）。

解决过程：
1、插U盘前，按死shift键，打开我的电脑，不要再双击，直接以fat格式格U盘，没有效果，失败。
2、在DOS下输入下列命令 format x: fs/fat32，没有效果，失败。
3、在安全模式下格式化，磁盘管理下格式化，没有效果，失败。
4、试过网上下载的优盘修复程序，像MFORMAT、UMSD，结果没有效果，失败。
5、所有办法都试过就差拆开U盘了。想既然能认得盘符，提示格式化，应该不是硬件出了问题。最后只有使出绝招，将U盘量产刷新，成功。]]>

http://www.kernelsword.com/default.asp?id=112 Billy http://www.kernelsword.com/ jwxmail@126.com 2010-07-12T10:13:56+08:00 2010-07-12T10:13:56+08:00

看它的报警提示：“此程序会在开机时自动运行”，这是费话，有那个硬件驱动不是这样启动的。
没事别老是跳出来吓人，搞得客户投诉我们。

]]>

http://www.kernelsword.com/default.asp?id=111 KernelSword http://www.kernelsword.com/ jwxmail@126.com 2010-07-07T20:04:01+08:00 2010-07-07T20:04:01+08:00

提起木马，大家一定会想起古希腊古老的故事，古希腊人用自己的智慧，把士兵藏在木马内进入敌方城市从而占领敌方城市的故事。虽然有点老套，但是，木马依然离不开这个故事的背景。木马的全称是“特洛伊木马(Trojan Horse)”，也和病毒一样，是一段程序，用来破坏或者干扰用户正常使用电脑。

首先我们要大概理解一下木马类型。

(1) 破坏型
这种木马是很令人讨厌的，这个病毒可以自动的删除电脑上的重要文件，例如dLL、INI、EXE文件。

(2) 密码发送型
主要是用来盗窃用户隐私信息的，他可以把隐藏的密码找出来发送到指定的信箱。也可以用来盗窃用户的敏感口令等。同时，此类病毒最重要的是会记录操作者的键盘，找到相关的有用的信息。

(3) 远程访问型
使用最多既木马。入侵者运行了客户端，使用木马者就可以通过远程连接到对方电脑，访问对方电脑资源。

(4) 键盘记录木马
这种键盘木马一般都制作的很短小精悍，主要用来记录中木马者的键盘敲击记录，并且根据网络访问情况，给木马使用者发送到指定的信箱等。

(5) DOS攻击型
DOS的全称是洪水式服务攻击。是用来请求服务器请求，让服务器忙与处理应答，而占用了大量的资源，最后服务器资源耗尽而死机。使用多台电脑DOS攻击取得的效果更好，可以用他来慢慢攻击更多的电脑。

(6) 代理木马
可以把自己的电脑从其他地方代理，然后重新访问网络服务器，起一个中转的作用。

(7) FTP木马
FTP木马容量也很小，一般情况下是用来打开21端口来等待用户连接。

(8) 程序杀手木马
主要是用来关闭一些监控软件等，这样就可以让木马更安全的保留在系统中，防止被监控软件发现，从而对用户造成数据丢失，敏感信息泄露等故障。

(9) 反弹端口型木马
反弹端口是为了躲避防火墙的过滤而制作的。因为防火墙会对连入的链接做一个很严格的过滤，对于连出的链接可能就不是那么严格了，所以利用这一点，把端口反弹，就可以更安全的使用了。

以上为木马的基本类型，对木马进行了一些分类，以便用户分类查询。

木马除此之外，还有很多特征。和病毒特征一样，了解这些木马的特征后，就可以更方便的判断木马和找出对策来清除密码了。

(1)木马具有很好的隐蔽性，能够在用户使用电脑的情况下，不知不觉的在电脑后台运行。因为木马怕被发觉，所以需要尽力隐藏，从开始植入目标电脑开始，就始终不会显示，使用各种手段隐藏自己。而木马的制作者已经注意到这个问题，把它们隐藏了起来，使用捆绑软件或者修改注册表文件等达到目的，不会在桌面或者系统内醒目的地方产生图标，尽力隐藏在深层目录或者系统文件夹下。同时，在进程中也隐藏了自己，把自身定义为系统进程，不让用户发觉。

(2)木马具有自动运行的特性。因为木马是放到对方电脑上的，木马必须自动进行连接，并且自动修改目标电脑的设置，比如注册表、启动文件等。

(3)木马感染后并不公开，并且不知道其危害程度，这就减少了对木马的了解，同时对木马造成的危害没有一个标准的评价。

(4)木马有自动恢复自身程序的功能。木马可以自动运行，同样可以具有自动修复自身程序的功能。自动运行的时候，可能还在某些地方多拷贝一些病毒文件，以防被杀毒软件查杀或者程序损坏。

(5)木马可以自动打开端口。木马算是一个智能的软件，除了以上自动运行自动修复以外，还可以自动打开特定的连接端口，让入侵者可以连接到受害者的电脑。

(6)木马的功能特殊。因为木马是隐藏执行的，不希望让用户发觉，那么需要特别针对某些功能的特征下，尽量做的容量小一点。同时，木马的特殊点还在意，它可以自动搜集一些受害者电脑内的信息。

木马的自动启动和隐藏功能是很重要的，这样可以使木马更长时间的潜伏在电脑内。同样和软件自动启动一样，可以加载或者修改到很多设置里。

(1)在Win.ini中启动，在Win.ini的[Windows]字段中有启动命令“load=”和“run=”，这两个是系统在启动的时候加载和运行的程序。.INI文件是应用程序的启动配置文件，利用文件可以启动程序的特点。

(2)在System.ini中启动，System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是系统的引导文件位置，从这里也可以自动启动。

(3)在注册表中启动，注册表中有一个启动键值，里面有一些启动时候需要加载的程序，同理，也可以在系统的启动组文件里启动。

(4)在批处理文件中使用，批处理文件可以自动执行处理中设置的命令，也同样可以启动木马。

(5)系统配置文件Config.sys中启动，Config.sys文件里可以设置系统加载的外壳、程序等。

(6)修改文件关联，把相关文件的关联修改为木马程序的关联。

(7)捆绑文件，利用捆绑软件的工具，可以很方便的把正常的软件程序和木马捆绑在一起，运行程序的时候会一起运行。

木马的隐藏，可以让用户以及杀毒软件很难找到木马，保护自身程序的安全。一般隐藏的话，可以在任务栏和任务管理器中隐藏，因为一般情况下，系统都会把大部分软件和进程放到任务栏和任务管理器中。另外，木马的连接是依靠端口来连接的，所以木马的端口号是很大的，因为用户无法全部检查那么多端口。

但是木马再怎么制作的好，也同样有缺点，完全可以被杀毒软件以及木马专杀工具检查出来。在对付特洛伊木马程序方面，可以采用以下的方法。

1、建议使用杀毒软件检查，并且把杀毒软件病毒库及时更新。因为如果杀毒软件没有检查出的话，可能是您的病毒库版本比较低，需要升级。

2、检查内存里是否有占用资源很多的非系统或者软件进程，如果有的话，请先关闭以后再杀毒。

3、检查注册表，注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice，这两个里面是Windows的启动运行目录，可以查找一下是否有奇异的程序出现。

4、检查系统配置文件，系统配置文件包括了win.ini文件、system.ini文件以及config.sys文件，这三个文件里都记录了操作系统启动的时候需要启动和加载的程序，而且可以查看文件路径是否为正常程序。

实际上清除木马手段还有很多，相信大家通过以上内容的学习，能够创造出比笔者更好的清除方法，这里只介绍几种常规的清除方法以便大家参考。另外，我们在使用电脑的时候，也应该注意对木马的防范。

对于陌生人的电子邮件，需要检查源地址，然后再去看信件里有什么内容。如果有附件的话，也有要小心查看，因为附件里可能隐藏了可执行文件的后缀。尽量打开病毒监控制，保持病毒库的更新，同时建议使用木马克星不定期检查是否有木马存在。当发现电脑的网络状态不正常的时候，需要马上断开网络，然后检查原因，看是否为木马导致的。同时 ，在平时的使用过程中还需要注意c：\、c：\Windows、c：\Windows\system这三个目录下的文件，因为这三个目录是木马最习惯隐藏的地方。

木马并不是简单的病毒而已，它可能会造成很多预想不到的破坏，而且可能使您的重要文件丢失等。不过，只要我们在平时的使用过程中，多加注意防护，就基本上可以放心使用电脑了。
]]>

http://www.kernelsword.com/default.asp?id=110 KernelSword http://www.kernelsword.com/ jwxmail@126.com 2010-07-07T19:56:30+08:00 2010-07-07T19:56:30+08:00

电脑网络的快捷、方便已经被人们广泛认同。但是电脑病毒却是防不胜防，怎样既方便又简单的检查电脑是否中毒就显得非常重要。一些基本的命令往往可以在保护网络安全上起到很大的作用，下面几条命令的作用就非常突出。

一、检测网络连接

如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。

具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。

二、禁用不明服务

很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过 “net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。

方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。

三、轻松检查账户

很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。

为了避免这种情况，可以用很简单的方法对账户进行检测。

首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧!中国黑客网www.cnhacker.org

联网状态下的客户端。对于没有联网的客户端，当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程，也使用户的计算机时刻处于最佳的保护环境之下。
]]>

http://www.kernelsword.com/default.asp?id=109