WELCOME:
姓名:吉文祥
职业:资深软件工程师、系统架构师
邮箱:jwxmail@126.com
QQ:606140
电话:13918911251
承接:信息安全软件开发、安全审计软件开发、过滤驱动开发、USB驱动开发、NDIS驱动开发、TD-SCDMA MBD、WHQL代理。
让USB移动硬盘百毒不侵
作者:KernelSword 日期:2010-07-25
移动硬盘是现今恶意软件最普遍的传染带原途径,破坏程序经由这些带原媒介孳生扩散至载具上,感染更多的使用者。使用者需要实行反制动作来保护系统,其中一种方法,就是保护移动硬盘免受破坏程序使用Autorun自动运行功能。
最普遍的保护法是新建一个文件夹或文件,并将之重新命名为AUTORUN.INF。这个方法会让恶意软件在使用者未执行动作的状况下能自动执行系统。如果在感染前就已先制作这样的一个档案,原则上会让破坏程序无法以此方式自动执行。
不过这个方法并不完善,破坏程序会侦测并删除现存的AUTORUN.INF,并以恶意版本的文件取代,这就让使用者自己进行的防护失去效益。但是如果使用文件权限方式来限制变动,那么就可以更加有效地保护AUTORUN.INF文件。
注意:务必确认你的外接硬盘为NTFS格式化,因为这个程序使用的是特殊的NTFS功能。如果你的移动硬盘是以FAT或FAT32来格式化的,就需要先将硬盘上所有的数据先行备份,再重新以NTFS来格式化。这些操作将需要配合Windows Vista或Windows 7。
在移动硬盘的根目录上新建一个文件夹,把它命名为“AUTORUN.INF”。在同一个位置上新建另外四个文件夹,分别命名为“recycle”、“recycler”、“recycled”和“setup”。
注意:recycle、recycler、recycled和setup这四个文件夹的新建并非必要,但建议使用者建立,因为这些文件也经常被恶意软件所使用。
最普遍的保护法是新建一个文件夹或文件,并将之重新命名为AUTORUN.INF。这个方法会让恶意软件在使用者未执行动作的状况下能自动执行系统。如果在感染前就已先制作这样的一个档案,原则上会让破坏程序无法以此方式自动执行。
不过这个方法并不完善,破坏程序会侦测并删除现存的AUTORUN.INF,并以恶意版本的文件取代,这就让使用者自己进行的防护失去效益。但是如果使用文件权限方式来限制变动,那么就可以更加有效地保护AUTORUN.INF文件。
注意:务必确认你的外接硬盘为NTFS格式化,因为这个程序使用的是特殊的NTFS功能。如果你的移动硬盘是以FAT或FAT32来格式化的,就需要先将硬盘上所有的数据先行备份,再重新以NTFS来格式化。这些操作将需要配合Windows Vista或Windows 7。
在移动硬盘的根目录上新建一个文件夹,把它命名为“AUTORUN.INF”。在同一个位置上新建另外四个文件夹,分别命名为“recycle”、“recycler”、“recycled”和“setup”。
注意:recycle、recycler、recycled和setup这四个文件夹的新建并非必要,但建议使用者建立,因为这些文件也经常被恶意软件所使用。
安全知识:避免U盘资料丢失 U盘只读方式设置方法
作者:KernelSword 日期:2010-07-25
U盘是大家非常熟悉的存储设备,U盘具有抗震性,访问速度快,数据存储安全等特点,在日常应用中使用率非常高。但对某些重视信息安全的公司来说,U盘导致数据泄密的威胁很大。由于U盘的介质非常灵活,可以做成手表等非常规形状。还可以通过数码相机,MP3等数码产品来实现,因此使用U盘可以非常方便地把一些重要数据复制出来。
其实我们可以不使用如此暴力的手段,只要在计算机上修改注册表,就可以让U盘变成一个只读设备,也就是说U盘的数据只能读,但不能写!这样不但可以避免U盘导致的数据泄露,也可以使U盘免遭病毒袭击。
我们在一台XP SP2的计算机上来为大家演示如何实现只读U盘的制作,在计算机上运行Regedit,如下图所示,我们在HKEY_LOCAL_MACHINE\SYSTEM\Current\ControlSet\Control下选择新建一项,项的名称为StorageDevicePolicies。
如下图所示,在新建的StorageDevicePolicies下选择新建一个DWORD值,DWORD值的名称为WriteProtect。
其实我们可以不使用如此暴力的手段,只要在计算机上修改注册表,就可以让U盘变成一个只读设备,也就是说U盘的数据只能读,但不能写!这样不但可以避免U盘导致的数据泄露,也可以使U盘免遭病毒袭击。
我们在一台XP SP2的计算机上来为大家演示如何实现只读U盘的制作,在计算机上运行Regedit,如下图所示,我们在HKEY_LOCAL_MACHINE\SYSTEM\Current\ControlSet\Control下选择新建一项,项的名称为StorageDevicePolicies。
如下图所示,在新建的StorageDevicePolicies下选择新建一个DWORD值,DWORD值的名称为WriteProtect。
Tags: U盘
几个小方法 解决U盘中毒无法格式化的问题
作者:KernelSword 日期:2010-07-25
如果在使用U盘时出现以下问题时:
1、退出U盘时候非正常退出,直接拔U盘。
2、U盘中毒,如灰鸽子,auto病毒等,查杀病毒不彻底或病毒将U盘系统文件破坏。
3、U盘接口处的焊点与U盘内部线路板松脱(此硬件问题不在本文解决之内)。
解决过程:
1、插U盘前,按死shift键,打开我的电脑,不要再双击,直接以fat格式格U盘,没有效果,失败。
2、在DOS下输入下列命令 format x: fs/fat32,没有效果,失败。
3、在安全模式下格式化,磁盘管理下格式化,没有效果,失败。
4、试过网上下载的优盘修复程序,像MFORMAT、UMSD,结果没有效果,失败。
5、所有办法都试过就差拆开U盘了。想既然能认得盘符,提示格式化,应该不是硬件出了问题。最后只有使出绝招,将U盘量产刷新,成功。
1、退出U盘时候非正常退出,直接拔U盘。
2、U盘中毒,如灰鸽子,auto病毒等,查杀病毒不彻底或病毒将U盘系统文件破坏。
3、U盘接口处的焊点与U盘内部线路板松脱(此硬件问题不在本文解决之内)。
解决过程:
1、插U盘前,按死shift键,打开我的电脑,不要再双击,直接以fat格式格U盘,没有效果,失败。
2、在DOS下输入下列命令 format x: fs/fat32,没有效果,失败。
3、在安全模式下格式化,磁盘管理下格式化,没有效果,失败。
4、试过网上下载的优盘修复程序,像MFORMAT、UMSD,结果没有效果,失败。
5、所有办法都试过就差拆开U盘了。想既然能认得盘符,提示格式化,应该不是硬件出了问题。最后只有使出绝招,将U盘量产刷新,成功。
Tags: U盘
认识木马相关基础知识及如何进行木马防范
作者:KernelSword 日期:2010-07-07
摘要:木马并不是简单的病毒而已,它可能会造成很多预想不到的破坏,而且可能使您的重要文件丢失等。不过,只要我们在平时的使用过程中,多加注意防护,就基本上可以放心使用电脑了。
提起木马,大家一定会想起古希腊古老的故事,古希腊人用自己的智慧,把士兵藏在木马内进入敌方城市从而占领敌方城市的故事。虽然有点老套,但是,木马依然离不开这个故事的背景。木马的全称是“特洛伊木马(Trojan Horse)”,也和病毒一样,是一段程序,用来破坏或者干扰用户正常使用电脑。
首先我们要大概理解一下木马类型。
(1) 破坏型
这种木马是很令人讨厌的,这个病毒可以自动的删除电脑上的重要文件,例如dLL、INI、EXE文件。
(2) 密码发送型
主要是用来盗窃用户隐私信息的,他可以把隐藏的密码找出来发送到指定的信箱。也可以用来盗窃用户的敏感口令等。同时,此类病毒最重要的是会记录操作者的键盘,找到相关的有用的信息。
提起木马,大家一定会想起古希腊古老的故事,古希腊人用自己的智慧,把士兵藏在木马内进入敌方城市从而占领敌方城市的故事。虽然有点老套,但是,木马依然离不开这个故事的背景。木马的全称是“特洛伊木马(Trojan Horse)”,也和病毒一样,是一段程序,用来破坏或者干扰用户正常使用电脑。
首先我们要大概理解一下木马类型。
(1) 破坏型
这种木马是很令人讨厌的,这个病毒可以自动的删除电脑上的重要文件,例如dLL、INI、EXE文件。
(2) 密码发送型
主要是用来盗窃用户隐私信息的,他可以把隐藏的密码找出来发送到指定的信箱。也可以用来盗窃用户的敏感口令等。同时,此类病毒最重要的是会记录操作者的键盘,找到相关的有用的信息。
Tags: 木马
用几种最简单的方法检查电脑是否中毒
作者:KernelSword 日期:2010-07-07
摘要:电脑网络的快捷、方便已经被人们广泛认同。但是电脑病毒却是防不胜防,怎样既方便又简单的检查电脑是否中毒就显得非常重要。一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
电脑网络的快捷、方便已经被人们广泛认同。但是电脑病毒却是防不胜防,怎样既方便又简单的检查电脑是否中毒就显得非常重要。一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
一、检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
二、禁用不明服务
电脑网络的快捷、方便已经被人们广泛认同。但是电脑病毒却是防不胜防,怎样既方便又简单的检查电脑是否中毒就显得非常重要。一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
一、检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
二、禁用不明服务
Tags: 病毒
UPX 0.89.6脱壳
作者:KernelSword 日期:2010-04-11
某安全软件
此软件是用Delphi 7写的一个系统。
用PEiD查得壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
本文目的只是研究学习,并无其它恶意想法。
用OD载入,此时会停在此处,看到这个相信大家都知道了,直接用ESP定律
006EAAA0 > $ 60 pushad
006EAAA1 . BE 00B06500 mov esi, 0065B000
006EAAA6 . 8DBE 0060DAFF lea edi, dword ptr [esi+FFDA6000]
此软件是用Delphi 7写的一个系统。
用PEiD查得壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
本文目的只是研究学习,并无其它恶意想法。
用OD载入,此时会停在此处,看到这个相信大家都知道了,直接用ESP定律
006EAAA0 > $ 60 pushad
006EAAA1 . BE 00B06500 mov esi, 0065B000
006EAAA6 . 8DBE 0060DAFF lea edi, dword ptr [esi+FFDA6000]
Tags: UPX
防止ADSL被入侵的一些技巧
作者:Billy 日期:2010-03-16
随着各地ADSL网络的蓬勃发展,实现永久连接、随时在线已不再是遥远的梦,但是,我们必须明白,永久连入Internet同样也意味着遭受入侵的可能性大大增加。知己知彼,方能百战不殆,让我们了解一下黑客入侵ADSL用户的方法和防范手段吧。
黑客入侵ADSL用户的方法
在很多地方都是包月制的,这样的话,黑客就可以用更长的时间进行端口以及漏洞的扫描,甚至采用在线暴力破解的方法盗取密码,或者使用嗅探工具守株待兔般等待对方自动把用户名和密码送上门。
要完成一次成功的网络攻击,一般有以下几步。第一步就是要收集目标的各种信息,为了对目标进行彻底分析,必须尽可能收集攻击目标的大量有效信息,以便最后分析得到目标的漏洞列表。分析结果包括:操作系统类型,操作系统的版本,打开的服务,打开服务的版本,网络拓扑结构,网络设备,防火墙。
黑客扫描使用的主要是TCP/IP堆栈指纹的方法。实现的手段主要是三种:
黑客入侵ADSL用户的方法
在很多地方都是包月制的,这样的话,黑客就可以用更长的时间进行端口以及漏洞的扫描,甚至采用在线暴力破解的方法盗取密码,或者使用嗅探工具守株待兔般等待对方自动把用户名和密码送上门。
要完成一次成功的网络攻击,一般有以下几步。第一步就是要收集目标的各种信息,为了对目标进行彻底分析,必须尽可能收集攻击目标的大量有效信息,以便最后分析得到目标的漏洞列表。分析结果包括:操作系统类型,操作系统的版本,打开的服务,打开服务的版本,网络拓扑结构,网络设备,防火墙。
黑客扫描使用的主要是TCP/IP堆栈指纹的方法。实现的手段主要是三种:
防止木马进入系统进程的小技巧
作者:KernelSword 日期:2010-03-10
【简 介】
我们知道,有些木马是通过修改exe的文件关联来实现随EXE程序启动的。今天我在网上看到有另外一个显为人知的方法,就是通过下面的注册表选项。
我们知道,有些木马是通过修改exe的文件关联来实现随EXE程序启动的。今天我在网上看到有另外一个显为人知的方法,就是通过下面的注册表选项。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
在上面的注册表选项中新建一个注册表项,项名为A.exe,然后在下面新建一个字符串,字符串名为Debugger,字符串值就是程序B.exe的全路径。
我们知道,有些木马是通过修改exe的文件关联来实现随EXE程序启动的。今天我在网上看到有另外一个显为人知的方法,就是通过下面的注册表选项。
我们知道,有些木马是通过修改exe的文件关联来实现随EXE程序启动的。今天我在网上看到有另外一个显为人知的方法,就是通过下面的注册表选项。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
在上面的注册表选项中新建一个注册表项,项名为A.exe,然后在下面新建一个字符串,字符串名为Debugger,字符串值就是程序B.exe的全路径。
诺基亚E71欧版与港版有哪些区别
作者:KernelSword 日期:2009-04-11
真正得港行比较少 如果没熟人建议买亚太 下面这个验机步骤 希望对你有帮助 E71验机步骤 安装电池前: 1.真机盒子上右下角写明三个月免费导航软件地图; 2.手机前后屏保帖都全新,没有任何指纹; 3.2G卡正面是诺基亚,反面的字不一样,真卡字体非常清晰;卡内带有原装软件,如传说中的扫面软件尽管试用后觉得识别能力差了点;Js要帮忙装证书,搞好导航软件,在室外十秒可以搜索到星。 4.皮套:质感很好,黑皮配红绒内衬。皮制手机绳:黑皮配红。 5.电池真伪判断: a)正面的3.7V中的“.”,方的是假货,圆的为正品。 b)最左上方的圆圈内的+号比较小,正品中较大,几乎撑满整个圆圈。 c)镭射标签看不出真假。 d)假电池的触电一般都比较松,结构简单。 e)e71用的是BP-4L的电池。 6.取下电池,看机身的贴 a)大*陆行货,机身贴的是简体中文,产地是中国,现在一般是北京,天津。 b)香港行货,机身的贴几乎都是MADE BY NOKIA,但有这个贴的不一定属于港行。 c)欧美版,机身的贴几乎都是MADE IN FINLAND d)北美版,机身贴的都是英文,但产地是MADE IN CHINA 7.注意看键盘右下角的#键和数字“5” a)中文笔画键盘在那里有一个“中”字,亚太的中字左边或者在中间靠下(这个是和#字比较)是亚太版本,键盘为透明光雕。 b)欧版的,要么没有中,要么在中间靠上(比#靠上),用手感觉一下中字是否粗糙,如果在最左边而且粗糙必定有问题是欧版,且不是透明的。 c)有的欧版直接就是一个白板,这种算是原汁原味的。行货机器自带笔划是刻在数字 5 的左边,而欧版后刻上去因为空间不足,只能刻在数字 5 的上方。 8.亚太版包括新加坡版,马来西亚版,都有简体中文支持。 9.拆下电池,看机身后面的CODE码,CODE码的作用分为两部分,一是识别销售地区,二是代表机器外壳颜色,如下: 0566235 :印度 灰色钢 0566234 :印度 白钢 0561931 :?? 白钢 0561930 :新西兰 白钢 0561932 :泰国 白钢 0567047 :老挝 灰色钢 0560660 :泰国 灰色钢 0560659 : ?? 灰色钢 0560637 :南亚 灰色钢 0560657 :澳大利亚 灰色钢 0561923 :台 湾 白钢 0560655 :越南 灰色钢 0560654 :新加坡 灰色钢 0560653 :香港 灰色钢 0561927 :南亚 白钢 0561924 :香港 白钢 0561925 :新加坡 白钢 0561928 :印尼 白钢 0561929 :澳大利亚 白钢 0567052 :老挝 白钢 0560658 :新西兰 灰色钢 0560656 :印尼 灰色钢 0563937 :孟加拉国 灰色钢 0561926 :越南 白钢 0563938 :孟加拉国 白钢 0560652 :台*湾 灰色钢 开始安装上电池。 10.长按“#” a)如果切换到静音模式,则是亚太版。 b)无反应是欧版。 c)切换第二条线路则是港版。 11.按*#92702689#出现的总计时器 这是只要通话了就会有显示时间。 12.按*#0000# 出现的一组数据为机器的 软件版本号,这个无所谓,可以通过刷机改变! 13.*#06#显示IMEI号,10为芬兰;20为德国;30为韩国;08为中国。 14.要注意的问题 a)键盘与屏镜面之间的缝隙大。日光下看不出来,晚上非常明显。所有的机,基本都有小缝隙,这个个整个键盘的周边一圈的缝隙是相匹配的。但是如果过大,会让你感觉非常不爽。在买机的时候,请仔细比对,把手遮在听筒左边,按键,让键盘背光出来,可以比较清楚地看到。 b)键盘中部浮动。键盘与机座结合很紧密,把机侧身查看,用手轻敲键盘中部或是五向键向下部分,整块键盘应该不会松动。但是有问题那部,它会整块浮动。明显的感觉就与机座的固定没做好。在正常使用的时候,好的机,按键没有过多的虚位,按键反馈清晰有力,而键盘浮动的机,按击时,感觉虚位过多过软,感觉不结实。 c)不锈钢的边框与主体框架侧面缝隙不均(不是正面,正面不会有问题)。其中有一部,左边红外的明显大于右边。用手用力按压会下沉。但是由于E71的设计出色,不会发出声音。这也是不容易注意到的地方。
