~~~我喜欢,迎着风走的感觉~~~已习惯,孤单的像寂寞的小孩~~~





本教程能实现以下功能:
1、封锁兼容BT官方协议的客户端对基于TCP的tracker的连接。
2、封锁兼容BT官方协议的客户端向远程peer连接(封锁远程peer对本地的连接,通过NAT的阻隔实现)。

本实例限制:
1、出于性能上的考虑,本教程没有对HTTP代理进行封闭,但由于功能实现第2点存在,就算通过代理获得peer list,也无法直接连接peer。
2、出于性能上的考虑,本教程没有对sock代理进行封锁。
3、如内部网络有人使用BC、BS等并发连接比较多的客户端,猫的负担会比较重。
4、BT客户端多如繁星,可能有部分不能过滤(那样的话就要抓包具体分析了)。

-----------下边开始是教程实例---------------------*
[第一部分]
1、当然要登录到modem的管理界面了

2、打开Services的Bridge Filter页]

3、在最下方点Add添加规则
Rule ID:100 (这个只设定为100以后)
Interface:Private
Direction:Incoming
Action:Deny
Log Option:Disable
然后Submit提交

4、在刚添加的规则那一行会有一个Add Subrule的钮,点添加子规则
表格顶上要打开enable
Subrule ID:1
Offset:14
Offset From:TCP Data
Mask:FFFFFFFFFFFFFFFFFF (18个F)
Cmp.Type:eq
Lower value:696E666F5F68617368
然后Submit提交

5、点刚添加的规则(100那个)那一行的笔型图标,打开modify窗口,把Status置为Enable,submit提交

[第二部分]
6、在最下方点Add再添加规则
Rule ID:101 (这个只设定为100以后)
Interface:Private
Direction:Incoming
Action:Deny
Log Option:Disable
然后Submit提交

7、在刚添加的规则那一行会有一个Add Subrule的钮,点添加子规则
表格顶上要打开enable
Subrule ID:1
Offset:0
Offset From:TCP Data
Mask:FFFFFFFFFFFFFFFFFFFFFF (22个F)
Cmp.Type:eq
Lower value:13426974546F7272656E74
然后Submit提交

8、点刚添加的规则(101那个)那一行的笔型图标,打开modify窗口,把Status置为Enable,submit提交

[最后]
9、回到Bridge Filter的主页面,在最上边,把Default Action设置为Accept,设置Enable,然后在页面最下方点Submit

规则已经生效了,最后别忘了保存。
------结束-------

------命令行方式---------
create pfraw rule entry ruleid 100 ifname eth-0 dir in enable log disable act deny
create pfraw subrule entry ruleid 100 subruleid 1 start tcpd offset 14 mask 0xFFFFFFFFFFFFFFFFFF cmpt eq 0x696E666F5F68617368 enable
create pfraw rule entry ruleid 101 ifname eth-0 dir in enable log disable act deny
create pfraw subrule entry ruleid 101 subruleid 1 start tcpd offset 0 mask 0xFFFFFFFFFFFFFFFFFFFFFF cmpt eq 0x13426974546F7272656E74 enable
modify pfraw global enable accept
commit

viking系列的vik-2.1版本FW推出已经有一段时间了,相信很多朋友已经在用了。2.1版的一项重要更新是在WEB管理界面上开放了Bridge Filter(桥接过滤)。记得在后期的vik-1.38版的CLI里就已经有Bridge Filter的相关命令的了(刚核实了一下,原来1.37也有的),只是用命令行设置的话,命令太长,查看和管理十分不便。现在在WEB管理上开放了Bridge Filter、vik-2.1也普及了(其实还要我有空才行嘛),所以我就决出写出这个教程了。

由于Bridge Filter涉及到帧格式、封包等相当多基础概念,要把相关概念一一阐述清楚恐怕要发好几十帖,也不乎合大多数朋友的需求,所以我决定写这个较常用到的实例。

下边就开始应用Bridge Filter限制MAC的教程(本教程以vik-2.1.040311c为例):

假设要禁止MAC地址为 00:AA:AA:AA:AA:AA的用户访问

1、当然要登录到modem的管理界面了

2、打开Services的Bridge Filter页:

3、在最下方点Add添加规则
Rule ID:100 (这个只设定为100以后)
Interface:Private
Direction:Incoming
Action:Deny
Log Option:Disable
然后Submit提交

4、在刚添加的规则那一行会有一个Add Subrule的钮,点添加子规则

Subrule ID:1
Offset:6
Offset From:Link Header
Mask:FFFFFFFFFFFF (12个F)
Cmp.Type:eq
Lower value:00AAAAAAAAAA (就是你要禁止的那个MAC去了“:”)
然后Submit提交

5、点刚添加的规则(100那个)那一行的笔型图标,打开modify窗口,把Status置为Enable,submit提交

6、回到Bridge Filter的主页面,在最上边,把Default Action设置为Accept,设置Enable,然后在页面最下方点Submit

规则已经生效了,最后别忘了保存。

Bridge Filter其实不只是用来限制MAC的,熟悉帧格式和封包格式的话,还能对其它链路层以上的协议作限制,Bridge Filter的其它应用,以后有机会再讨论吧。。。

下边是在命令行方式下实现上边例子的命令

create pfraw rule entry ruleid 100 ifname eth-0 dir in enable log disable act deny
create pfraw subrule entry ruleid 100 subruleid 1 start linkh offset 6 mask 0xffffffffffff cmpt eq 0x00AAAAAAAAAA enable
modify pfraw global enable accept
commit

默认配置中,IP session 设定在192 条,即最大允许有192个IP session, 而且这个 IPsession 应该是包含所有的 session,如NAT的session 和主机到ADSL猫之间的 session。当挂上BT时,断流出现的几率就开始增大了,BT的一个特点就是同时建立大量的连接,而这个,是IP session 达到限额的一个重要因素。桥接模式下,一般只有1台PC连接,一台PC的连接,很少达到192。 而如果开了路由,有多台电脑连接,连接的数额就成倍翻翻,如果再开了BT,如果要还有木马、病毒、蠕虫,他们也会建立一堆的 连接。 很容易就使 ADSL猫的 IP session 达到最大值。

经过验证,发现修改ip session最大值为320是解决各种有可能的断流情况及有效提升下载速度的最佳方案。

长话短说来点实际的,呵呵。
1、用telnet登陆ADSL:
在运行命令里面输入:telnet 192.168.1.1
192.168.1.1是ADSL的ip地址,如果你没改就是这个了。
2、输入用户、密码登陆。
3、键入如下命令:
(a) modify nbsize maxipsess 320

(b) commit

(c) reboot

执行完abc三个步骤等ADSL重启完成以后修改即告完工,祝您冲浪愉快。

附:
NAT的session 可以通过下面这个命令看到:
get nat status
或者这个:
get nat rule status (端口映射下的session连接量)

PicaLoader 是网络抓图的好帮手,全自动化、支持多线程、连结追踪、自动取回图片,并且内建缩图检视浏览器,具有以下特色:多线程下载支持最大可达50线程;支持中断的连结续传下载;支持 HTTP、NTLM 代理服务器;Advanced HTML Analyst Engine可以追踪 Javascrīpt、VBscrīpt、Jscrīpt..等 scrīpts;Advanced Picture Filters Engine包含几种图片的过滤方式,例如:高画质图片、Gif 动画、800X600 桌面、 1024X768 桌面等

主页: http://www.picaloader.com/

官方下载:

http://www.vowsoft.com/pl_setup.exe


注册信息:

* Personal license * 764FEF60-8BB4E6AC-044C7969-5CFD88B4
* 10 Users license * A0DDE9E2-63263101-89485E90-24CAB40B
* Site license * 0A0EE46F-77C406BD-912DCA10-487F402D
* Site+ license * F20C4EC9-B83053AB-A2ED1C8F-11BF4D9B

KAV 6.0 KEY获取器

经常为KAV6.0的KEY过期及KEY上了黑名单苦恼,最近在网络上瞎逛时找到了一个可以获取KAV6.0 KEY的好东东,拿过来给大家分享一下.

本软件生成Key文件时所用到的激活码是即时从Qihoo的网络服务器上获取,属于卡巴斯基特别提供给Qihoo的,大概属于OEM版之类的吧。只要奇虎的服务器不关闭,本软件就能终身免费获得Key文件。

请在需要激活卡巴时才使用本软件,不要把大量获取的key发布到网上,否则可能导致Qihoo停止服务,这样大家都不能用这个软件了,只要遵循上述原则,你获取的key是肯定不会被加入黑名单的。

获取的key只可用于KAV 6.0,使用期半年,半年后可以再获取新的,或者凭获取的Key到www.kaba365.com购买25/年的激活码。

使用方法:
1.运行KpGetKey.exe后点击"获取激活码"可以获取半年期的KAV6.0激活码
2.运行KpGetKey.exe后点击"获取key文件"可以获取半年期的KAV6.0激活码和Key文件
3.运行KpGetKey.exe后在文本框中输入您的Kaspersky激活码,可以获得激活码相应的Key文件

注意事项:
1.本软件必须联网使用,如无法获取激活码请重新拨号或用其他方法更换你的公网IP地址
2.使用用方法3获取Key文件时,必须输入正确的激活码,只要激活码匹配,获取的Key文件就能用于Kaspersky的任何版本

下载地址:KpGetKey.exe

win2003终端服务授权

去微软注册 https://activate.microsoft.com/
购买方式选择:Select or Enterprise Agreement
得到7组数字字母的服务器ID>服务器上选择选择电话注册>然后获取客户机许可证
数量随便填,注册号码可用:4954438 (这儿是关键)
已成功处理您的客户端许可证令牌请求。您应该立即打印这个页面
您需要在“终端服务器 CAL 安装向导”中输入的许可证密钥包 ID 是:
YVVXH - XYCVP - 8YPFH - RHG9B - TCJJV - 8D6TG - H34JD
许可证服务器 ID 如下的许可证服务器: VM8BR-WGJD8-RJ6KK-MRCCC-6B97Y-TV2PH-JFM87
谢谢您激活终端服务许可证!
69813-640-3867693-45693
OK,ID拿到了,再也没有什么90天的限制。

注意:您必须先激活许可证服务器,然后它才能向“终端服务”客户端颁发许可证。当激活 许可证服务器时,Microsoft 会为此服务器提供一个验证服务器所有权和身份的数字证书。通过使用此证书,许可证服务器可以与 Microsoft 开展业务并为您的终端服务器接收客户端许可证。当“终端服务”客户端第一次尝试登录终端服务器时,终端服务器会与许可证服务器联系并为该客户端请求许可证。

许可证服务器被激活后,就会变成“终端服务”客户端许可证的注册器。在等待完成激务”服务器,期限最长为 120 天。

您可以更改“授权向导”属性,例如,在激活过程中使用“终端服务器授权”设置的连接方法和公司信息。要实现这一点,请按照下列步骤xx作:

单击开始,指向管理工具,然后单击终端服务器授权。
在控制台树中,展开“所有服务器”。
右键单击要修改的许可证服务器,然后单击属性。“终端服务器许可证服务器激活向导”就会启动。
在安装方法、所需信息,以及可选信息 选项卡中指定所需的信息和设置,然后单击确定。
关闭终端服务器授权 窗口.

1,什么是远程桌面?
远程桌面是基于终端服务技术。使用远程桌面可以从运行 Windows 操作系统的任何客户机来运行远程 Windows XP Professional or Windows Server 2003 计算机上的应用程序。

2,如何启动一台计算机的远程桌面连接?
(1)控制面板--系统属性--远程,在这里选中在这台计算机中启动远程桌面的复选框。
(注意:只有在该页面下面选择远程用户中设定的用户才能使用远程桌面)
(2)启动允许远程桌面的防火墙设置,由于Windows XP SP2 和 Windows Server 2003
SP1内置的网络防火墙是呼叫防火墙,所以默认启动情况下外部连接不能连接远程桌面;需要手工设置允许使用远程桌面。

3,如何去连接已经设置远程连接的计算机?
对于Windows XP和Windows Server 2003用户连接端,只需要启动附件中的网络工具远程桌面连接就可以去连接被连接端。
注意:对于其他版本Windows需要安装远程连接程序,可以通过Windows XP安装光盘获得。

4,远程桌面使用什么的协议?
远程桌面使用远程桌面协议 (RDP)实现的。RDP 是一个表示层协议,允许基于
Windows 的终端 (WBT) 或其他基于 Windows 的客户端与基于 Windows 的终端服务器进行通讯。RDP 设计旨在为运行于 Windows XP Professional or Windows Server 2003 桌面
上基于 Windows 的应用程序通过网络连接提供远程显示和输入功能。RDP 可通过任意
TCP/IP 连接工作,包括拨号连接、LAN、WAN、ISDN、DSL 或 VPN等。

5, Windows XP Professional远程桌面可以连接多少用户
注意,远程桌面和终端服务本质上区别是,远程桌面目的是管理远程计算机。所以在Windows
XP Professional中只允许一个用户同时远程连接使用该计算机。

中小企业版序列号:
24服务器 16736客户端 2RE9VM-WUC1QA-51MA0T-DR9108 (其实就是这个序列号珍贵啊!)

软件网络版 官方下载:
http://download.rising.com.cn/for_down/netver/setup_me.exe

无限升级包 官方下载:
意思就是只要官方有升级包放出,同志们再点击下面这个地址,就可以下载到最新的升级包,地址不变.
http://download.rising.com.cn/register/netver/ver2006t/update.exe

几个序列号
20服务器 60客户端 3PVQNT-5JP184-9R8IJB-1F9108
10服务器 14338客户端 WS1H3W-WUWUU9-JL1D3Q-SF9108
10服务器 100客户端 86CEWS-WR44SP-6DGDR4-DAF008
10服务器 50客户端 WS1H3W-PLWUU9-JL1D3Q-SF9108
10服务器 14338客户端 WS1H3W-wuWUU9-JL1D3Q-SF9108
24服务器 16736客户端 2RE9VM-WUC1QA-51MA0T-DR9108
115服务器 106客户端 P28FLA-L0VCQL-BB8NM7-HJA108

各种复印机的维修调整进入方式1(模拟):
(1)美达、震旦复印机 1087-1087-
(2)美能达复印机 1050、1080 停止-0-停止-1进入自检功能,再按1+X(X= 3,5,7,8)进入实验功能;
顺序按停止-0-停止-1-停止-复印键-4(11或12)-复印键进入调整功能
1054 、1085 计数键-停止-0-0-停止-0-1 (同上)
(3)夏普复印机 C--插入--0--插入
(4)理光复印机 4000系列等 打开面板左盖下SW1-8,输入代码,按#键
4418 打开主板上的SW4
4422 、4015、4615、5632 面板还原键(右上角黄色)-1、0、7-C键3秒以上
(5)东芝复印机 按0+5开机
(6)施乐复印机 按0开机
(7)佳能复印机 1215、2020、3020等按主板上的微动开关(机器左下角)进入, 再按分页键执行
6030、4050等按前盖内的微动开关,按*、3、*进入调整功能;
*4*进入自检功能
7163、7214等按*-2、8(0.3秒以上)-*进入
(8)松下复印机 1780、2680等同时按下纸盒/规格、3、清除/停止键
7713、7715 等 同时按下纸盒/规格、倍率下键、清除/停止键

各种复印机的维修调整进入方式2(数码):
(1)美达、震旦复印机 1087-1087-
(2)美能达复印机 152、183 计数键-停止-0-0-停止-0-1
(3)夏普复印机 AR161、163、1240、200 C--插入--0--插入
AR158 C--曝光键--C--曝光键
ARM160 #--插入--0--插入
(4)理光复印机 方法1 方式清除=》1=》0=》7=》清除/停止 注:按住“清除/停止”键超 过3秒钟
方法2 方式清除=》清除/停止=》省墨=》输入(#) 注:在销中国的机型上,用“并合两份原稿”键替代“省墨”键
方法3 将启动,“清除/停止”和“输入(#)键”一起按下的,打开总开关。 注:方法3是与其它两种方法不同的一种进入SP方式的特殊方式。比如,若电源一通,就显示一只故障代码(E-XX),在这样的场合
,就只能用方法3进入SP方式。
(5)东芝复印机 按0+5开机
(6)施乐复印机 按0开机
(7)佳能复印机 1600 #+ID键
(8)松下复印机 1.进入维修模式,当按顺序按下'功能'+'原稿尺寸'+'3'这几个键时 维修模式被选中,然后F1将出现在显示器上.2.当同时按下'功能'和'清除键'时,将退出维修模式

维修程序方式:
1.进入维修程序方式:依次按下以下各键。
总清/节能--1--0--7-清零/停止(按住3秒以上)
2.进入后复印计数器内“1”开始闪动,并且左上角出现一个点,同时自动图像浓度指示开始闪动,复印倍率显示熄灭。
3.设置后用“自动图像浓度键”确认,关机退出。

SP方式号      功  能
  4     强制启动(空运转)
  5     曝光灯熄灭的空运转
  6     卡纸检测关闭
  7     空运转
8     输入检查

部件编号     传感器/开关/信号
1       对位传感器
2       出纸传感器
3       手送纸无纸传感器
4       纸盘无纸传感器
8       高压漏电信号
9       电源板信号
10      右竖直导板信号
12      扫描架原位传感器
13      第四第五反光镜原位传感器
14      镜头原位传感器
16      分页器纸传感器
17      分页器轮开关
18      分页器斗原位开关
19      分页器开关
20      ADF安装
21       ADF翻起开关
22       钥匙计数器插入信号
9       输出检查

部件编号     电 气 部 件
1      主电机+消电灯+排风扇(高速)
2      充电电极
3      转印电极
4      放电板
5      显影偏压
6      删边灯
7      机器切断(总开关继电器切断)
8      排风扇电机(高速)
9      光学部冷却风扇
10      曝光灯+光学部冷却风扇
11      补粉电机
12      补粉电机(反转)
17      对位离合器
18      手送纸送纸离合器
19      纸盘送纸离合器
21      中继轮离合器
23      总数计数器
10      扫描架空运转
11      全部指示灯点亮
14      自动节能时间设定
15      自动复位时间设定
16      递增递减计数选择
17      窄纸选择方式
19      ADS优先(自动浓度优先)
29      定影温度控制选择
30      补粉方式选择
      SP设置   补粉系统
       0    使用TD传感器初期设定的检测补粉方式
       1    使用由SP53设定的TD传感器目标电压的
            检测补粉方式
       2    使用TD传感器初期设定的检测补粉方式(定量)
       4    定量补粉方式
31      补粉量(TD传感器方式)
32      补粉量(定量补粉方式)
33      图像偏压调整(手动ID方式)
       SP设置  设置   显影偏压
         0   通常    0
         1   最深    +40V
         2   较深    +20V
         3   较浅    -20V
         4   最浅    -40V
34      图像浓度调整(ADS方式)
       SP设置  设置   显影偏压
         0   通常    0
         1   较浅    -20V
         2   较深    +20V
         3   最浅    -40V
         4   最深    +40V
35      色粉接近用完状态中总补粉时间
36      TD传感器灵敏度调整
38      色粉浓度调整
41      先端删边调整
42      对位调整
43      垂直倍率调整
44      水平倍率调整
45      对位拱起量调整
46      对位拱起量调整--A5纸
47      焦点调整
48      光强调整(曝光灯电压)
49      定影温度调整
51      曝光灯电压显示
52      定影温度显示
53      TD传感器目标控制电压调整
54      TD传感器增益调整
55      TD传感器输出数据显示
56      ADS参考电压调整
57      ADS输出电压显示
59      光学部温度显示
60      鼓电位测量(有纸)
61      鼓电位测量(无纸)
62      VL校正间隔
63      强制补粉
64      VR校正值
66      TD传感器初期设定(只有更换载体时必须执行)
67      TD传感器初期设定显示
69      成像装置计数器显示
74      特殊纸尺寸设置(在*号位置的纸尺寸)1:A3
       2:*(通用) 3:B4 4:A4 5:A4R 6:B5 7: B5R 8:A5 9:B6 27:8K 28:16K(横送)  29:16K(直送)
77      自动切断(能源之星开/关)
78      自动节能方式开/关
88      复印总数显示
93      VR校正的复位
96      色粉用完强制解除
97      维修呼叫(E5)解除(复位)
98      总数计数器复位
99      清除全部内存(必须按住“.”和“自动浓度”)(执行此方式必须将鼓和载体同时更换)

winXP安全设置

Windows XP以其稳定性、强大的个人和网络功能为大家所推崇,而它的“NT内核”,让我们不得不加强安全防护。

1、常规的安全防护
所谓“常规的安全防护”即施行同Windows 98一样的安装防病毒软件、升级系统、禁止Ping三种安全方式。要强调的是Windows XP和它的前辈Windows 2000一样,漏洞层出不穷,对于系统的升级不能像对Windows 98般马虎,除了要安装Microsoft针对“冲击波”的漏洞补丁外,建议将Windows XP升级为最新的Service Pack 1(升级后会提高资源占有,不过安全性、稳定性有所提高)。

2、禁止远程协助,屏蔽闲置的端口
在Windows XP上有一项名为“远程协助”的功能,它允许用户在使用计算机发生困难时,向MSN上的好友发出远程协助邀请,来帮助自己解决问题。

而这个“远程协助”功能正是“冲击波”病毒所要攻击的RPC(Remote Procedure Call)服务在Windows XP上的表现形式。建议用户不要使用该功能,使用前也应该安装Microsoft提供的RPC漏洞工具和“冲击波”免疫程序。禁止“远程协助”的方法是:打开系统属性对话框(右键“我的电脑”、“属性”),在“远程”项里去掉“允许从这台计算机发送远程协助邀请”前面的“√”。

使用系统自带的“TCP/IP筛选服务”就能够限制端口。方法如下:在“网络连接”上单击右键,选择“属性”,打开“网络连接属性”对话框,在“常规”项里选中里面的“Internet协议(TCP/IP)”然后单击下面的[属性]按钮,在“Internet协议(TCP/IP)属性”窗口里,单击下面的[高级]按钮,在弹出的“高级TCP/IP设置”窗口里选择“选项”项,再单击下面的[属性]按钮,最后弹出“TCP/IP筛选”窗口,通过窗口里的“只允许”单选框,分别添加“TCP”、“UDP”、“IP”等网络协议允许的端口,未提供各种服务的情况,可以屏蔽掉所有的端口。这是最佳的安全防范形式。

3、禁止终端服务远程控制
“终端服务”是Windows XP在Windows 2000系统(Windows 2000利用此服务实现远程的服务器托管)上遗留下来的一种服务形式。用户利用终端可以实现远程控制。“终端服务”和“远程协助”是有一定区别的,虽然都实现的是远程控制,终端服务更注重用户的登录管理权限,它的每次连接都需要当前系统的一个具体登录ID,且相互隔离,“终端服务”独立于当前计算机用户的邀请,可以独立、自由登录远程计算机。

在Windows XP系统下,“终端服务”是被默认打开的,(Windows 2000系统需要安装相应的组件,才可以开启和使用终端服务)也就是说,如果有人知道你计算机上的一个用户登录ID,并且知道计算机的IP,它就可以完全控制你的计算机。

在Windows XP系统里关闭“终端服务”的方法如下:右键选择“我的电脑”、“属性”,选择“远程”项,去掉“允许用户远程连接到这台计算机”前面的“√”即可。

4、关闭Messenger服务
Messenger服务是Microsoft集成在Windows XP系统里的一个通讯组件,它默认情况下也是被打开的。利用它发送信息时,只要知道对方的IP,然后输入文字,对方的桌面上就会弹出相应的文字信息窗口,且在未关闭掉Messenger服务的情况下强行接受。

很多用户不知道怎么关闭它,而饱受信息的骚扰。其实方法很简单,进入“控制面板”,选择“管理工具”,启动里面的“服务”项,然后在Messenger项上单击右键,选择“停止”即可。

5、防范IPC默认共享
Windows XP在默认安装后允许任何用户通过空用户连接(IPC$)得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是任何一个远程用户都可以利用这个空的连接得到你的用户列表。黑客就利用这项功能,查找系统的用户列表,并使用一些字典工具,对系统进行攻击。这就是网上较流行的IPC攻击。

要防范IPC攻击就应该从系统的默认配置下手,可以通过修改注册表弥补漏洞:
第一步:将HKEY_LOCAL _MACHINE\SYSTEM\CurrentControlSet\Control\
LSA的RestrictAnonymous 项设置为“1”,就能禁止空用户连接。
第二步:打开注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ LanmanServer\Parameters 项。
对于服务器,添加键值“AutoShareServer”,类型为“REG_DWORD”,值为“0”。
对于客户机,添加键值“AutoShareWks”,类型为“REG_DWORD”,值为“0”。

6、合理管理Administrator
Windows 2000/XP系统,系统安装后都会默认创建一个Administrator用户,它拥有计算机的最高管理权限。而有的用户在安装时,根本没有给Administrator用户设置密码。黑客就利用这一点,使用高级用户登录对方计算机。因此,个人用户应该妥善保管“Administrator”用户信息,Windows 2000登录时,要求输入Administrator用户的登录密码,而Windows XP在正常启动后,是看不到Administrator用户的,建议使用Windows XP的用户进入安全模式,再在“控制面板”的“用户账户”项里为Administrator用户添加密码,或者将其删除掉,以免留下隐患。

江滩放风筝活动

江滩活动
美女sey发起的江滩风筝大会,浪漫启航了!!!沐浴着春天的第一缕阳光,一起出来放放风.一起奏响欢乐的音符,寻找美丽的心情~~

3月11号上午9:30,汉口江滩(三洋路站)大门口楼梯集合.
然后再进去选址进行准备工作---自我介绍、个人简单才艺表演、游戏等热身,组织大家认识了解新朋友、增强社交能力、拓宽交友渠道,展示个人魅力,寻找合适伙伴(两人一组,最好男女搭配)完成放风筝活动。~

费用:无(风筝(可两人共用一个)、羽毛球拍(球)、相机、饮料、零食自备)
活动主题:健康娱乐,真情邂逅
内容丰富,轻松搞笑,从紧张的工作中解放出来度过一个愉快的周未,结识新的朋友/
联系人:刘秀丽 / SEV:13986148589
备注:(中午午餐自备干粮)

活动结束感情好的可以一起吃个饭,然后晚上KTV或是酒吧再一起加深感情! (费用 男:女 /按 6:4 分配)
联系方式: 群号/7839123 QQ/249061798 电话/13986148589 刘秀丽 63505215沧海

据国外信息安全权威专业机构调查统计,泄密的主要途径主要有三种:mail泄密、移动存储泄密、打印泄密。其中发生概率较多的是mail泄密和移动存储泄密,一般通过这两种途径泄密的95%以上都是一些相对保密等级不高的普通商业信息,泄密者一般都是以企业的执行层员工,杀伤力不大,损失金额一般在5万美元以下,破案率较高;而发生次数相对较少的是打印泄密,出乎人们意料之外的是,这种些秘密途径虽然发生次数较少,但是通过这种方式泄密的80%以上的泄密事件几乎都涉及到了企业的较高等级甚至是核心级的商业信息,通过这种方式进行泄密的基本上都是企业的规划层甚至是决策层,每次泄密损失金额至少都在50万美元以上,破案率很低,破坏力非常巨大,几乎关乎着企业的生存和发展!这种泄密方式最严重的主要集中发生在大中型企业以及国际跨国大公司。

相关机构联合警方通过对大量已经案发的泄密事件和当事人进行讯问了解到:通过mail等网上通讯工具和移动存储工具进行泄密的人,一般受职位和知识经验的影响,他们接触和掌握的企业信息等级几乎都不高,泄密野心也不大,思维比较简单化,通常会草率地采用最流行便捷的方式进行泄密;而通过打印泄密的人,一般在企业都具有相当高的权限和权利,知识经验阅历都非常丰富,泄密野心非常大,他们对于泄密方式非常谨慎小心,他们更看好传统泄密方式,他们深知越现代的泄密方式,越容易被监察到,反之打印泄密这样的传统方式却是被企业管理忽略的途径,不容易留下任何蛛丝马迹,将资料打印带出公司,离开公司的时候保安通常只会检查员工是否将公司的产品、零部件等重要物件带出公司,而对于文件资料者通常不重视,而且保安也不会也不敢也不能区分企业高阶主管公文包内的文件资料是否被列为禁止带出的资料,所以他们坚信越传统越安全,他们有着超级阴谋家所共有的逆反心理和缜密思维!

在80年末期纺织业曾经发生了一件极其轰动的打印泄密事件,美国一家享誉全球的纺织企业(以下简称A公司),花了10多年时间潜心研发出的一款新的纤维合成技术被最大的竞争对手(某日本公司,以下简称B公司)抢先向全世界发布了这项新技术。为什么呢?警方经过长达两年多的调查发现,原来B公司也在这项生产技术研发上面投入了很多年的时间和人力,但是在研发中碰到了很多技术瓶颈始终无法突破,他们深知A公司有这样的实力,于是他们决定在A公司布置间谍,而A公司董事长的女秘书因为消费观念很前卫,虚荣心非常强、生活长期入不敷出,思维缜密、职位高等特点让B公司觉得她是最合适的间谍人选。于是重金收买了她,在A公司布置了这样一个超级密探,时时掌握和传递A公司的重要信息,尤其是对于那项新技术的研发进展。因为这次窃密事件非常重大,所以这位女秘书非常慎重,反复权衡泄密方式后,她运用她老公提供的密码破解技术破解了董事长的电脑密码,将新技术的核心研发资料打印出来,通过快递邮寄的方式完成了这次重大泄密事件!这次泄密事件给A公司造成了难以估量的经济损失!

至此,我们可以看出打印泄密虽然很传统,看起来好像有些笨拙,但恰恰是这种传统笨拙的泄密方式最受高级商业间谍的信任和亲睐!同时也向我们警示,在伴随打印硬件业务的快速发展和成熟的今天,我们必须要重视打印信息安全,努力寻求并为自身企业内建置一整套全方位的打印信息安全的解决方案,否则早晚会为“被自己遗忘的角落”付出非常惨重的代价!

解决方案:

那么我们应该如何来管理企业内的打印作业呢?或许每个企业都做过一些尝试,笔者在前不久通过百度搜索“打印监控”发现一款非常不错的打印监控软件—Printusage网络打印监控系统,在此分享给在企事业单位从事信息管理的朋友们,希望能对大家的工作有所帮助! Printusage是一种Web方式的打印监控软件,每个员工所发送的每一条打印任务都将被它真实详细地记录下来了,此外,它还支持打印内容监控、页眉打印功能和人工打印审核功能,可以在事中发现并杜绝打印泄密事件的发生,也可以事后追查追究打印泄密者的身份和责任,提供全方位的打印监控和打印管理功能!写到这儿,我想大家应该已经很明白如何运用这款软件去保障企业打印信息安全了吧!很多朋友和我一样也有过这样的担心,企业高层(例如老板等)或者财务部有很多资料因为深层次的原因不希望被其他人员监控,针对这种情况可不可以在软件里保留一定的自主弹性,只记录基本的信息,不记录内容。其实这种担心是多余的,Printusage在软件里保留了很多人性化的弹性设置功能,企业可以根据自己的监控需求定义。例如可以设定某些部门或人员只统计打印数量而不需要监控内容,或者只进行监视而不进行控制等等!更详细的介绍不再多说,有兴趣的朋友可以自己去网上搜来用用。

结束语:
“既然你知道灾难早晚要发生,为什么不提前做好准备,而心存侥幸?”美国凤凰科技亚太区副总裁及总经理杨钦铭对于美国最近的飓风灾害深有感触。大家都知道预防是最好的,但就如同知道抽烟会得癌症,但还要抽,因为总觉得这种事情不会发生在我身上。笔者在此想奉劝那些对打印信息安全总抱着侥幸心理的朋友:心存侥幸等于增加灾难和不幸光顾自身的机会,也许不是今天就是明天,当打印信息泄密事件真正光顾你的时候,亡羊补牢,为时晚矣!

原文地址:http://www.hacker.cn/Get/aqxw/073911080023582.shtml

近年来,企业对于安全的认知程度已经发生了巨大的变化,据中国电子信息产业发展研究院预测,中国目前有1400万家中小企业,有信息安全需求的占到40%~50%。同时IDC的调查也显示出,43%的中小企业担心信息安全问题,名列它们最关心的网络问题第一位。同期中国国家信息安全测评认证中心的调查结果:只有20.3%的人认为自身企业从未发生泄密事件。而这一部企业中,可能曾经发生过信息泄密事件,只是被蒙在鼓里的人,或许也还有之,但是只有五分之一的企业没有信息泄密的事实,却也足以让人心惊胆战。

信息时代,企业的正常运作离不开信息资源的支持,这包括企业的经营计划、知识产权、生产工艺、流程配方、方案图纸、客户资源以及各种重要数据等,这些都是企业全体员工努力拼搏、刻苦钻研、殚精竭虑、长期积累下来的智慧结晶,是企业发展的方向和动力,关乎着企业的生存与发展,企业的重要信息一旦被泄露会使企业顿失市场竞争优势,甚至会遭受灭顶之灾。因此,企业要保持健康可持续性发展,信息安全是基本的保证之一。

在媒体的宣传下,病毒、黑客已经成为危害信息安全的罪魁祸首。但是据信息专家论证,对计算机系统造成重大破坏的往往不是病毒、黑客,而是组织内部人员有意或无意对信息的窥探或窃取。美国CSI/FBI在1999至2003连续五年的《计算机犯罪与安全调查报告》中指出,有超过85%的安全威胁来自组织内部,在各种信息安全威胁所造成的损失中,企业和政府机构因重要信息被窃所造成的损失排在第一位,超过病毒感染和黑客攻击所造成的损失,最主要的信息安全事件为内部人员和内外勾结所为。综上所述,未来安全问题不再是过去简简单单的一个病毒或者一个黑客,它将朝着更多元化的方向发展,对于企业而言,无论是数据失窃、邮件泄密、打印泄密、还是网络瘫痪,也许都将是一次彻底的毁灭。

网管与MIS人员是最容易被无辜地当作了真实泄密者的“替罪羊”,然而遍查国内外案例, IT犯案者寥寥无几,反而是组织内部经常接触机密信息的中高层管理者占了绝大多数,由此看来,电脑网络技术人员并非泄密的高发人群!在此我们积极呼吁网管与MIS人员从保护企业和自身利益的角度出发,应当积极努力为所在企业建立科学有效的信息安全监控体系,切实看管好企业的敏感信息,一旦发生意外泄密,至少可以通过窃密证据作为呈堂证供帮助企业挽救损失和为自己证明清白!

很多企业妄图通过与员工签订一些保密协议来保证企业内部的员工不会窃取内部信息,事实证明这种单一的信息安全保障手段效果是非常有限的,毕竟这样的保密协议与诚信条约一样,都是以诚信为前提,恰恰泄密员工本身动机就是不具备诚信的职业道德标准。

越来越多的企业已经走出重管理轻安全的“盲区”,从“被动式接受”转变为“主动防范”。这种变化包含两层意思:一方面是意识的转变,从最早的轻视信息安全,认为安全是额外的投入,不能带来任何收益,是IT建设的附属品,到之后的开始接触信息安全理念、产品以及技术,被动接受安全体系的建设,再到今天企业非常清醒的看待信息安全问题,认识到信息安全作为企业生存与发展的重要支撑,变被动为主动,将其提升到与信息化建设同等重要的高度;另一方面是需求的变化,信息安全不再只是大型企业的专利。在以前,企业管理者们往往认为安全建设是大企业才需要做的事情,安全问题得不到重视,俗话说,好钢用在刀刃上,既然安全没有重要到“刀刃”的地步,企业自然不愿意把钱花在这个上面,所以,在早期安全投资只有一些大型企业才会实施,而小企业由于资金有限,更愿意把钱花在他们认为重要的项目上,信息安全自然救被忽视了。可是随着网络环境的日益恶化以及企业自身的发展伴随着越来越多的商业泄密事件的发生,信息安全问题逐渐被提上议事日程,企业管理者也逐渐走出以往的误区,信息安全建设成了企业首要任务,一些中小企业也纷纷加入到这个日益庞大的队伍中来。可以预见的是,信息安全将会被越来越多的企业所重视,成为企业生存与发展的必修课之一。

原文地址:http://www.hacker.cn/Get/aqxw/073911080023582.shtml

5.接下来的操作按自己的环境进行配置

最后安装遥控管理客户端raconsnten.exe

配置如下:
1.选择安装模式“Expert”即专家模式
2.选择安装目录

3.Connection下的Server填写遥控管理服务端的IP地址,端口Port按照遥控管理服务端的定义设置,一般都默认安装这些步骤吧。


整个安装过程就算完成了。接下来进行配置客户端和对客户端进行群集管理。
在这些完成后我们需要重启计算机重新进入桌面,完成至关重要的第二个操作,配置安装包和群集管理所有客户端。

首先升级NOD32病毒定义数据库并作镜像

1.重启计算机后打开NOD32 2.5的控制中心,首先作病毒定义数据库的更新,可以手动导入本地下载的病毒定义包导入更新。




2.打开“镜像”的“设定”。钩上“建立更新镜像”,选择你当前环境中需要的版本并设定一个输出路径。




3.“NOD32系统设定”点击“设定”,选择遥控管理,钩上连接到遥控管理服务器,输入服务器地址和端口,并设定好连接间隔时间为1分钟。


其次配置NOD32客户端标准配置:

打开NOD32管理员远程管理工具(即遥控管理客户端),输入登陆密码(如果你设置了密码的话)即可进行操作管理。


在这里我们可以看到刚才设置的连接远程控制管理好的本地机器在客户端列表中。


1.选择“工具”菜单下的“NOD32配置编辑器”来配置NOD32客户端通用配置为生成安装客户端作准备


2.在常规选项“General”进行基本的设置

如果需要锁定客户机的NOD32控制台需要在“General”里的设置密码等操作。这里对此不多作说明。

选择“Remote Administration”选项,输入远程管理连接服务器地址和端口,设置时间最好为1分钟


双击“License Keys”下的"License Keys",点击右侧的编辑,添加我们的Key文件“nod32.lic”


3.在升级选项“Update”下的"Settings"对服务器升级地址作配置。默认升级端口为8081。


4.设置完成后关闭编辑器,对话框会提示是否保存配置文件,我们将配置文件保存起来,我们在生成安装包的时候将使用他。


最后我们开始生成客户端安装文件

点击下面的"Remote Install"远程安装,选择“Packages…”生成安装包…


点击“Create…”创建一个NOD32的安装文件,我们这里选择2000\xp\2003通用的ndntcsst.exe


“Save to”另存为到“Flie”文件,选择生成目录及设置生成文件名。


创建后返回安装包编辑平台,“Select”刚才我们配置好的xml文件,关闭平台为保存到服务器设置一个文件名。


关闭NOD32安装包编辑器,会提示我们是否将信息保存到服务器上,我们为其取一个名字,用作远程分发等使用。



可以通过分发等方法在客户机安装客户端,安装后客户端会自动连接远程控制服务器以及升级服务器自动升级最新的病毒定义数据库。

通过控制台我们还可以对所有客户端的设置进行操作,不过这个你需要向NOD32购买点数了。

配置完毕后我们可以看到我们生成的客户端,可以通过网络传递或者U盘等途径分发到客户机上安装。


原文出自mcafeefans中文资讯,原文地址http://mcafeefans.com/article.asp?id=243

NOd32的功能和特性简介

超前的即时侦测
NOD32 采用的启发式 (Heuristics) 辨认病毒引擎 ThreatSense 能 在发现新威胁前就已经对所有恶意的攻击进行了防护。
ESET 的 ThreatSense.Net 线上警报系统联系,让 NOD32 用户可以不记名地自动将威胁通知 ESET 的研究员,以最短的时间提供最好的解决方案。

综合性的防护
ESET 公司的 NOD32 从内核的设计就拥有设计优良,高度集成的单一扫描引擎,能一次侦测出病毒丶蠕虫丶广告软体丶间谍软体丶 rootkits 和其他各种恶意攻击,更能以快捷丶先进和即时的测毒功能对付各种间谍软件各网路钓鱼式 (Phishing) 攻击。

每小时自动更新
NOD32 每小时会自动於 互联网取得病毒定义及程式的更新,将 NOD32 内的 (Kernel , AMON, DMON, EMON, IMON, XMON) 不断升级为最新版本。

占用极少资源
NOD32 取得高性能的同时保持了最小的资源占用率, NOD32 於安装後只占容量约 30M B ,因此安装 NOD32 後绝不拖慢电脑的运作。

侦测速度惊人
NOD32 的大部分代码都是用组合语言编写,执行效率很高。

管理方便
NOD32 的程式元件和病毒库的升级都会在幕後进行,若 NOD32 安装於个人电脑上,用户可以完全不需要理会病毒的升级程式;若 NOD32 安装在商业和组织的大规模网路环境下,用户可以利用强大的遥控管理控制中心进行配置丶安装丶监控及统一管理上千台 NOD32 工作站和伺服器。

NOD32 模件
常驻存取监视器 (AMON) ,网络监视器 (IMON) 丶电子邮件扫描器模件 (EMON) 及微软办公室文件常驻防毒保护 (DMON) 灵活的工作排程及计划模件

NOD32企业版的安装和部署

NOD32 企业版非2.5和2.7的单机版,大部分网友可以作为了解,因为通常这些你们在自己的机器上不需要遥控管理的服务端。对于企业中的网络管理员我想这个教程是非常有用的了。针对我们自己公司的大部分客户在测试中遇到不少安装中的麻烦,这里在我理解的基础和经验上给大家作这个教程。

安装和部署NOD32企业版2.5我们需要准备下面这些必须和非必须的文件,入图:


这个是NOD32安装光盘中大部分可以看到的文件夹,console文件夹中是NOD32内部使用的一个中文的远程控制台。这个是官网不提供下载的一个遥控管理的客户端的中文包,通常只是渠道和各个代理间的工程师内部使用,这里有需要的可以在文章后自行选择下载。

首先安装升级服务器ndntcsad.exe


配置如下:

1.选择安装模式“专家”进行配置


2.选择安装目录

3.选择升级服务器(升级服务器的列表会虽病毒库升级而增加新的线路),填写试用或购买的用户名和密码。


4.接下来的操作按自己的环境进行配置

5.配置完成后提示是否重新启动计算机,这里我们先不选择重启计算机,继续部署后面的内容。


接着安装遥控管理服务端rasrvnten.exe


配置如下:

1.选择安装模式“Expert”即专家模式

2.选择安装目录

3.导入Key文件nod32.lic,只有通过导入License才可以进行网络群集管理,给操作带来很多方便

4.Server name 输入当前你安装所在的主机的固定IP地址,我们可以从多种途径获取当前主机的固定IP地址。也可以通过ipconfig在cmd下获取IP地址.


输入我们已经获知的遥控管理服务端的IP地址


原文出自mcafeefans中文资讯,原文地址http://mcafeefans.com/article.asp?id=243

体验NOD32反隐形技术

凭借小巧的资源占用、启发式查毒等多种优势,NOD32在国内的名气已经越来越大,显露出后来居上之势,前不久又发布了最新的2.7版。这次升级到底有何改动、是否值得升级?成了NOD32的用户最关心的问题。在与NOD32国内总代理深圳二版科技相关负责人联系之后,我们得到了一份列表,其中对 2.7版的升级进行了简明的描述

1、全面兼容Windows Vista
微软最新一代操作系统Windows Vista将于2007年1月30日全面发布,作为微软长期的伙伴,Eset在其发布之前就对NOD32进行了升级,使之完全兼容Vista系统,使 NOD32用户可以平滑地迁移到Vista平台上。尤其值得一提的是,整个升级过程只用了一周时间,也是Eset研发团队技术能力的体现。

2、增强的Anti-stealth(反隐形)技术
之前Eset曾经表示,会从基础上增强NOD32防御rootkit(用来隐藏自己踪迹的软件)能力,而现在,NOD32所采用的Anti- Stealth技术则可以像X光一样直接检测到它们!这项技术可以在系统启动或有必要时进行扫描,寻找出那么隐藏在背后的程序,然后通过数字签名及启发式检测来清除这些病毒,这个过程对于用户来讲是非常方便而且透明的,他们不需要进行特别的干预(比如使用一张干净的启动盘启动电脑之类)就可以清除电脑中的病毒。

3、扩展了恶意软件的分类
随着网络环境的日渐复杂,人们所需要面对的不仅仅是病毒、木马、蠕虫,还有广告、恶意插件等“不受欢迎的软件”。尽管从法律角度来讲它们并不能被称为病毒软件,但是用户的确不希望它们出现在自己的电脑中,升级后的NOD32可以帮助用户在安装软件时及时地判断出是否包括这些内容。同时,NOD32在2.7版中还将“潜在的危险软件”重命名为“潜在的不安全软件”,包括比如键盘记录软件、远程控制软件等在内的一些商业软件也都在此列,它们经常会被一些黑客及病毒作者利用。当然,用户也可以自定义是否检测此类软件(默认设置为否)。

4、bug修复及其它改进
改进病毒清除过程;
在“深度分析”的默认定义文件中关闭了“潜在的不安全软件”检测;
修复了将可清除的文件进行隔离时可能出现的问题。

从这些文字本身可能看不出什么问题,还是我们来进行一些实际测试,来发现这些改进的实际意义,支持Vista的改进我们就不再具体测了,因为这是所有软件都将陆续将具备的功能,还是让我们具体看一下实际的功能改进。

在Nod32 2.7版中,增加了增强的Anti-stealth(反隐形)技术,会增强对rootkit的防护能力,即可以隐藏自己的踪迹以躲避杀软防护的功能。为了测试其实际效果,笔者选用了当前应用比较广泛的Hacer Defender(hxdef)作为测试对象,它可以在所有运行中的进程中重写分割内存,重写一些基本的模块改变进程的状态。程序能够完全隐藏,现在能够做的有隐藏文件、进程、系统服务、系统驱动、注册表的键值和键、开放端口以及虚构可用磁盘空间。程序同时也在内存中伪装它所做的改动,并且隐蔽地控制被隐藏进程。程序安装后能构造后门、注册表、系统服务,构造系统驱动。其本身的后门技术允许其植入redirector。

在正常启用着Nod32访问保护功能的时候,当我们下载该Rootkits的时候,Nod32就会告警,为了顺利完成测试工作,我们把访问保护先停用,然后把该Rootkit安下载到该机器上,并在相应目录下放上几个木马文件和有用的合法文件。

然后创建一个配置文件来让该Rootkit隐藏以“hxdef”打头的文件或文件夹,自然也隐藏了其下的木马文件。然后我们运行Nod32的手动扫描功能,我们先在不启用“反隐形技术”的设定下扫描,发现不能发现任何病毒或木马。

然后,我们启用新增的反隐形技术,再次扫描相应文件夹,现在我们发现Nod32已经可以检测到被隐藏了的所有东西,并且可以查杀其下的木马文件和该Rootkit本身,并且被隐藏的东西被恢复正常显示。

人生十大定律

快乐定律:遇到事情要往好处想,如不慎掉过了河里,就可以想想,也许正好有一条鱼游进你的口袋。
幸福定律:如果不再总是想着自己的幸福时,你就获得幸福。
错误定律:人人都有过失,但是,只有重复这些过失时,你才犯了错误。
价值定律:当你一旦拥有了某种事物,你会发现这种事物并不像你想象的那么有价值。
化妆定律:在装饰打扮上花费的时间有多少,你需要掩饰的缺点就有多少。
承诺定律:承诺未必能够保证成功,但没有承诺,也就没有成功。
地位定律:有人站在山顶,有人站在山脚下,虽然位置不同,但两者眼中所看到的对方,却是同样的大小。
失败定律:失败并不意味着浪费生命与时间,却往往意味着你又有理由拥有新的时间和生命。
谈话定律:最使人厌烦的谈话有两种,从来不停下来想想和从来也不想停下来。
误解定律:有一个可怕的结局,比没有任何结局更可怕。

木马简介

暂无相关资料。

清除方法

1、经测试在windows下及安全模式下均无法删除文件该文件。因此我们使用启动盘进入DOS。使用cd命令分别进入c:\windows\system32\及c:\windows\system32\drivers目录下,用del命令删除ctanqa22.dll文件。
c:
cd windows\system32
del ctanqa22.dll
cd drivers
del ctanqa22.dll

2、重启计算机。进入系统,系统弹出无法建立KB27861012.log文件的对话框。

3、在运行中输入regedit进入注册表,查找KB27861012.log,删除所有与KB27861012.log相关的键值。
找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ctanqa和
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ctanqa,分别将ctanqa及下面的键值删除。

4、重启计算机。OK

病毒简介:

W32病毒:W32.Eboscro,危害级别:★★★★☆

根据光华反病毒研究中心专家介绍,这是一个W32病毒,长度 485,888 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,它复制自身到移动盘上,打开后门,降低安全设置。当收到、打开此病毒时,有以下现象:

A 在系统目录下创建文件 hdcu.exe iexplore.exe 和 aKiller.dll
B 增加键值 "ShellEffect" = "%System%\iexplore.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run使得病毒开机后自动执行
C 创建键值
HKEY_CLASSES_ROOT\aKiller.TAdKillerBHO
HKEY_CLASSES_ROOT\CLSID\{A692062A-11A1-461B-BE98-B987F01F96FC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{A692062A-11A1-461B-BE98-B987F01F96FC}
D 复制自身到移动盘上 escro.exe 和 autorun.inf
使得病毒在移动设备接入计算机时可能被执行
E 降低安全设置
F 结束以下进程
sc.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe

G 打开后门,等待执行黑客以下指令
下载执行文件
截屏发送给黑客
收集系统信息
捕获输入信息
监视IE浏览内容

手动删除方法

1、先在任务管理器里结束escro.exe、hdcu.exe和iexplore.exe进程。
2、在文件夹选项中取消隐藏受保护的操作系统文件及显示所有的文件及文件夹。
3、用右键分别打开我的电脑和每个本地磁盘,删除每个磁盘下的autorun.inf文件和escro.exe文件。进入"%System%\system32目录,删除iexplore.exe文件"
4、在运行中输入regedit进入注册表,分别查找escro.exe、escro和windows\system32\iexplore.exe,将找到的键值删除。
5、重启电脑。

故障描述

能进入网易通行证,但点击免费邮箱后,IE窗口中显示空白,什么东西都没有。

解决方法

在运行里输入regsvr32 jscript.dll 确定。再次输入:regsvr32 vbscript.dll 确定。

原文出自赛迪网安全社区

俄罗斯的卡巴斯基是全球最著名最强大的反病毒软件之一,但是其资源占用方面一直为人所诟病。其实卡巴斯基经过合理的设置之后,并不比其他杀毒软件占用系统资源多。下面我就说说卡巴斯基的设置问题。

我的电脑配置是256M DDR的内存、AMD2800+处理器,显卡七彩虹MX550,这个配置不高不低,还算马虎。如果用卡巴斯基默认的设置,开机前一分钟和杀毒进行到最后时刻,机器反应严重迟钝,我根据自己的实际情况设置了一下,机器运行顺畅许多。相信按照我的建议设置之后,那些配置比较低的朋友也可以正常使用卡巴斯基了。

第一步:设置--设置实时监控--将保护级别设置为高速;

第二步:如果你不使用微软的邮箱,请选择“禁用邮件实时监控”;

第三步:勾选“禁用脚本的实时监控”;

第四步:文件保护--勾选“不扫描磁盘引导扇区”,扫描超时500秒则停止;

第五步:网络攻击防御--勾选“使用隐藏模式”;

第六步:不进行计划扫描;

第七步:其他设置--不要选择“记录所有的信息”,其余的酌情自便;

全部优化设置完毕。

UPDATA 20070501
现在提供一个优化后的配置文件下载.是根据网上的优化方案来做的.直接导入即可.导入方法如下:
点设置.在保护里面.有个 设置管理程序 点读取就行了.

下载地址:avpsetup.zip

UPDATA 20070520
卡巴斯基中国公司新增3台双线升级服务器!三台服务器均为 电信/网通 的双线服务器速度相当快!

http://dnl-cn1.kaspersky-labs.com
http://dnl-cn2.kaspersky-labs.com
http://dnl-cn3.kaspersky-labs.com

近日,卡巴斯基开始大举封杀超授权使用许可key,卡巴斯基官方网站的访问量及在各大站点的下载量急剧飙升,卡巴斯基官方推介五种方式获取正版卡巴斯基反病毒软件,含二种免费获取方式.

卡巴斯基官方网站的访问量及在各大站点的下载量急剧飙升,而捆绑了半年免费卡巴斯基反病毒软件6.0个人版的360安全卫士的下载量也爆增了近一倍。造成此现象的原因是卡巴斯基部分授权许可被大量超授权使用,自动列入黑名单,导致部分非法用户纷纷通过各种渠道寻求继续使用卡巴斯基反病毒软件的方法。

卡巴斯基自进入中国以来,一直为保护中国用户的信息资产安全不懈努力。从最初的“转正大行动”到与奇虎360安全卫士合作,捆绑半年免费的正版反病毒软件,都是希望能为广大网友创造更为洁净的网络环境。为了满足更广泛用户的需求,卡巴斯基近期启动了“关注教育,普及正版”活动,中国大陆境内的所有学校均可申请免费半年使用卡巴斯基反病毒软件网络版及个人版。

除了通过各种活动获取半年免费卡巴斯基反病毒软件,目前卡巴斯基还提供各地免费送货和线上购买等多种购买渠道,让用户能最便捷地购买到卡巴斯基反病毒软件。

感谢广大用户使用正版软件,继续支持卡巴斯基!

五种方式获取正版卡巴斯基反病毒软件:

一、下载360安全卫士,半年免费使用卡巴斯基反病毒软件6.0个人版:

奇虎网站下载:http://www.qihoo.com

360安全卫士网站下载:http://www.360safe.com

二、学校及学生用户可通过“关注教育,普及正版”活动,由学校统一申请半年免费使用卡巴斯基反病毒软件网络版及个人版:

http://www.kaspersky.com.cn/xuanchuan/xuanchuan.htm

三、多种支付方式在线购买,卡巴斯基反病毒软件6.0个人版和卡巴斯基互联网安全套装6.0个人版:

http://www.kaba365.com

四、网易通行证用户在线购买卡巴斯基互联网安全套装6.0个人版:

http://smsmail.163.com/avp-store-new

五、 就近购买卡巴斯基反病毒软件6.0个人版和卡巴斯基互联网安全套装6.0个人版盒装产品,各地经销商及免费送货联系方式:

http://www.kaba365.com/?fsid=9