五彩网络人生,五彩缤纷,网络人生,技术博客,iColorful.Net - 硬件系统

ANI漏洞：艾妮病毒的技术分析

shilinsheng@gmail.com(iColorful) — Wed,04 Apr 2007 13:34:38 +0800

　　近日，一名为ANI漏洞的蠕虫病毒非常活跃（现已被国家计算机病毒应急处理中心统一命名为“艾妮”）。一时间，媒体争先报道，很多用户也纷纷中招，但大家都很困惑，不知道是怎样被感染到这个病毒的，在这里个人粗浅地分析了一下。不知道是否会得到大家同意？

　　病毒名：艾妮（别名，麦英、ANI蠕虫）

　　英文名：MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky

　　技术分析

　　1、释放病毒文件到如下路径：

　　%SYSTEM%\sysload3.exe

　　2、修改注册表，添加如下键值：

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Run
　　"System Boot Check"="C:\ WINDOWS\system32\sysload3.exe"

　　3、起IE进程，注入病毒代码，连接网络下载大量病毒、木马程序，当发现病毒新版本时，会下载更新。

　　4、发送邮件传播自身：

　　主题:你和谁视频的时候被拍下的？给你笑死了！

　　内容：看你那小样！我看你是出名了！

　　你看这个地址！你的脸拍的那么清楚！你变明星了！

　　5、起NOTEPAD进程，便利本地磁盘，网络共享目录，感染大小在10K---10M之间的.exe文件，感染扩展名为.ASP、.JSP、PHP、HTM、ASPX、HTML的脚本文件，使病毒难以被察觉。

　　6、修改host文件，屏蔽访问某些网站

　　7、检测软驱，若存在则复制病毒文件到其中文件名为tool.exe，并生成autorun.inf文件，使病毒可以自动运行，以传播自身。

提示

　　这个应该是病毒编写的BUG，目前软驱已经基本被淘汰了，如果发现以下提示框，您很可能是中了“爱你”病毒。

微软官方发布“ANI鼠标指针漏洞”补丁了

shilinsheng@gmail.com(iColorful) — Wed,04 Apr 2007 01:50:30 +0800

微软官方07年04月03日终于发布了“ANI鼠标指针漏洞”补丁了。

　　安全公告号：MS07-017
　　漏洞名称：ANI鼠标指针漏洞可能允许远程执行代码
　　微软名称：KB925902
　　漏洞的影响：攻击者可能会利用此问题危及 Windows 系统的安全并获取对该系统的控制权，无论用户使用的是IE6、IE7，还是Firefox、Opera等浏览器，无论是Windows 2000、XP、2003，还是最新的Vista操作系统均无法幸免于难。已有大量木马、恶意程序、蠕虫病毒使用该漏洞进行传播绝大多数反病毒软件、防漏洞软件、主动防御软件失效。该漏洞的利用程序通常伪装成一个图片，只要点击了带有恶意代码图片的网站或邮件，就会被感染上恶意程序。
　　最高严重等级：严重
　　建议：强烈建议客户应立即应用此更新
　　漏洞描述：现已确认有一个安全问题，攻击者可能会利用此问题危及 Windows 系统的安全并获取对该系统的控制权。您可通过安装本 Microsoft 更新程序来保护计算机不受侵害。安装本更新程序之后，可能需要重新启动计算机。

下载页面：

Windows 2000 安全更新程序 (KB925902)	点击下载Windows 2000 简体中文版补丁适用于：Windows 2000 Service Pack 4
Windows Server 2003 安全更新程序 (KB925902)	点击下载Windows 2003 简体中文版补丁适用于：Windows Server 2003; Windows Server 2003 Service Pack 1; Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition 安全更新程序 (KB925902)	点击下载Windows 2003 x64 Edition 简体中文版补丁适用于：Windows Server 2003 Service Pack 2 x64 Edition
Windows XP 更新程序 (KB925902)	点击下载Windows XP 简体中文版补丁适用于：Windows XP Service Pack 2
Windows XP x64 Edition 安全更新程序 (KB925902)	点击下载Windows x64 Edition 简体中文版补丁适用于：Windows Server 2003 Service Pack 2 x64 Edition; Windows XP Professional x64 Edition
Windows Vista 安全更新程序 (KB925902)	点击下载Windows Vista 简体中文版补丁适用于：Windows Vista
基于 x64 的 Windows Vista 安全更新程序 (KB925902)	点击下载基于 x64 的Windows Vista 简体中文版补丁适用于：Windows Vista Business 64-bit edition; Windows Vista Enterprise 64-bit edition; Windows Vista Home Basic 64-bit edition; Windows Vista Home Premium 64-bit edition; Windows Vista Ultimate 64-bit edition

发布时间:2007-4-3

不用杀毒软件照样剿杀网络病毒

shilinsheng@gmail.com(iColorful) — Tue,03 Apr 2007 00:30:34 +0800

　　不用杀毒软件，我们是否能够清除网络病毒呢？事实上，Windows 2000或Windows XP工作站系统中自带有一种Ntbackup命令，通过该命令并结合系统内置的“任务计划”功能，我们可以对病毒或木马的藏身之地——系统的system32文件夹，进行全面及时监控，以便准确发现和“剿杀”网络病毒。现在，本文就通过使用Ntbackup命令，来及时备份系统system32文件夹的方法，来手工寻找和“剿杀”隐藏在工作站系统中的网络病毒！

　　巧用备份功能，创建脚本文件

　　为了及时发现系统在开机或关机前后的状态变化，我们必须先用Windows 2000或Windows XP工作站系统中自带的“备份”功能，来创建合适的具有自动备份功能的脚本程序，以便让系统在开机或关机之前自动执行一次备份脚本程序，日后我们只要通过对比前后之间的备份文件，就能轻松找出隐藏在工作站系统中的病毒或木马文件。

　　在创建备份脚本程序之前，我们需要先在工作站系统运行正常的前提下，对系统的状态数据和system32文件夹内容进行一次正常备份操作。在进行这项备份操作时，我们可以按照如下步骤来进行：

　　首先依次单击“开始”/“程序”/“附件”/“系统工具”/“备份”命令，打开系统的备份或还原向导窗口，依次选中其中的“总是以向导模式启动”、“备份文件和设置”、“让我选择要备份的内容”等选项，进入到如图1所示的向导设置界面；

　　在该设置界面左侧显示区域，选中保存系统状态信息的“System State”选项，再单击“下一步”按钮，在其后界面中将备份文件的名称设置为“E:\aaa.bkf”，同时将备份的类型设置为“正常”，最后单击“完成”按钮，这样一来工作站系统就能自动把系统状态信息备份到“E:\aaa.bkf”文件中了。按照相同的操作方法，我们再把system32文件夹中的内容备份到“E:\bbb.bkf”文件中。

　　接着我们需要创建脚本程序，来让系统在每次关系时能够自动对system32文件夹中的内容进行一次每日备份操作和增量备份操作，以便及时记录和捕捉病毒或木马文件是否“溜”到system32文件夹中了。在创建这样的脚本程序时，我们可以先打开系统的记事本编辑程序，并在文件编辑窗口中输入如下代码：

@echo off
@ntbackup.exe backup X:\Windows\System32 /a /rs:no /r:no /v:no /hc:off /l:s /m daily /f "E:\bbb.bkf"

　　其中“X”为Windows系统实际所在的磁盘分区符号，一般为“C”盘分区，在确认上面的代码输入无误后，依次单击文件编辑窗口中的“文件”/“保存”命令，在随后弹出的文件保存对话框中，将上面的代码保存成扩展名为bat的“F:\dailyback.bat”文件，执行该批处理文件时，工作站系统就会在关机的时刻自动对system32文件夹中的内容进行一次每日备份操作，并将备份的结果信息附加到“E:\bbb.bkf”文件中。

图1

　　之后，重新创建一个文本文件，并在文件编辑窗口中输入如下命令代码：

@echo off
@ntbackup.exe backup X:\Windows\System32 /a /rs:no /r:no /v:no /hc:off /l:s /m Incremental /f "E:\bbb.bkf"

　　在确认上面的代码输入无误后，依次单击文件编辑窗口中的“文件”/“保存”命令，在随后弹出的文件保存对话框中，将上面的代码保存成扩展名为bat的“F:\increback.bat”文件，执行该批处理文件时，工作站系统就会在关机的时刻自动对system32文件夹中的内容进行一次增量备份操作，并将备份的结果信息附加到“E:\bbb.bkf”文件中。

　　巧用组策略，自动执行脚本

　　为了让系统每次关机时能够自动执行上面的两个批处理文件，我们可以巧妙地修改系统的关机组策略，让系统在关机的一刹那自动执行文件备份操作。下面就是修改系统关机策略，让系统自动执行脚本程序的具体步骤：

　　首先依次单击“开始”/“运行”命令，从弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开系统的组策略编辑窗口；

　　其次在该组策略编辑窗口的左侧显示区域，依次展开“计算机配置”、“Windows设置”、“脚本（启动/关机）”分支，在对应“脚本（启动/关机）”分支选项的右侧显示区域中，用鼠标双击“关机”项目，打开如图2所示的属性设置窗口；单击该设置窗口中的“添加”按钮，在弹出的文件选择对话框中，将前面创建好的两个批处理文件依次选中并导入进来，最后单击“确定”按钮，那样一来系统每次关机时就能够自动执行上面的两个批处理文件，从而实现对system32文件夹中的内容进行自动备份操作的目的了。

图2

　　当然，需要提醒各位注意的是，一旦起用了系统关机策略后，系统日后在每次关闭系统时都会先进行文件备份操作，很明显这会影响系统的关闭速度；其实，如果我们希望快速关机的话，可以在关闭系统之前先打开系统的任务管理器窗口，然后按下键盘上的Ctrl功能键，同时单击“关机”按钮，那样一来系统在此次关机时会自动跳过脚本程序的运行操作。

　　巧妙还原文件，揪出隐藏病毒

　　倘若发现工作站系统突然运行不正常时，那么我们就能通过对比相应的系统备份文件，来快速准确地揪出隐藏在系统中的网络病毒或木马文件。

　　在还原系统备份文件时，依次单击“开始”/“程序”/“附件”/“系统工具”/“备份”命令，打开系统的备份或还原向导窗口，依次选中其中的“总是以向导模式启动”、“还原文件和设置”选项，在其后弹出的设置界面中（如图3所示），单击“浏览”按钮，并从弹出的文件选择对话框中将“E:\bbb.bkf”文件选中并导入进来；

图3

　　一旦文件还原操作成功后，我们再打开系统的资源管理器窗口，在该窗口中依次展开“X:\Windows\System32”文件夹，我们就能在其中的文件夹窗口中看到system32文件夹中有哪些文件属于新增加的文件了，如果这些新增加的文件名称中包含“system”、“kernel”之类与系统文件名相近的关键字时，我们只要将它们及时从系统中删除掉就能达到“剿杀”网络病毒的目的了。

　　当然，也有一些病毒还会修改系统注册表以及其他设置选项，此时我们可以按照上面的办法对“E:\aaa.bkf”备份文件进行恢复，这样可以及时将系统状态信息恢复到以前的正常状态。

高危险微软ANI鼠标指针漏洞非官方免疫补丁

shilinsheng@gmail.com(iColorful) — Mon,02 Apr 2007 12:41:20 +0800

　　下载地址：http://dl.360safe.com/AniPatch.rar

　　推荐只在360安全卫士论坛或信任的网站下载此补丁包以免感染恶意程序

　　该补丁安装后会自动重新启动系统安装前先保存好您的工作以防重要信息丢失

　　安装后会在开始菜单->程序->启动中加入一个"eEye Windows Animated Cursor Patch Checker.lnk"，并建立AniFix1.dll的App_init项

　　重启后360提示系统将一个名为eEye Windows Animated Cursor Patch Checker.lnk的程序加入了启动项中，以及一个anifix1.dll的app_init项

　　eEye Windows Animated Cursor Patch Checker是检测补丁更新之用的程序，没有危害
你可以选择保留它，也可以删除之

　　anifix1.dll的app_init项则是其工作的关键，请一定允许此动作，否则补丁无法生效

隐藏内容

该内容已经被作者隐藏,只有会员才允许查阅登录 | 注册

该安全漏洞引发的危害

　　目前国内外的很多网站都开始利用该漏洞传播恶意软件及盗号木马、蠕虫病毒

　　该漏洞的利用程序通常伪装成一个图片，只要点击了带有恶意代码图片的网站或邮件，就会被感染上恶意程序，并且无论是IE6或IE7，或者是FireFox\Opera等非IE浏览器。无论是Windows NT\2000\XP\2003\Vista操作系统都有被感染的可能，其他网络应用软件如QQ、MSN、各种邮件软件、RSS软件等也可能受到该漏洞的影响。

　　由于该漏洞的多个版本的利用程序使用了很多技巧，因此会绕过绝大多数杀毒软件、防漏洞软件以及主动防御软件使其失效，这样对用户机器产生极大危害，一旦没有补丁的机器打开了包含恶意代码的网站或邮件，病毒或恶意程序就会立即悄悄在后台运行，在没有任何反应的情况下使用户的机器中上盗号木马、恶意广告软件、蠕虫病毒等等。

受影响系统

　　Microsoft Windows Vista 所有版本
　　Microsoft Windows XP 所有版本
　　Microsoft Windows Server 2003 SP1
　　Microsoft Windows Server 2003
　　Microsoft Windows 2000 所有版本

Microsoft Windows是微软发布的非常流行的操作系统。
Microsoft Windows在处理畸形的动画图标文件（.ani）时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户机器
Microsoft Windows在处理畸形文件（.ani）时没有正确地验证ANI头中所指定的大小，导致栈溢出漏洞如果用户受骗使用IE访问了恶意站点或打开了恶意的邮件消息的话，就会触发这个溢出，导致执行任意代码。
请注意Windows资源管理器也会处理一些文件扩展名的ANI文件，如.ani、.cur、.ico等。
（但此补丁不能在x64位系统上使用）

　　此补丁是非官方组织EEYE开发的针对此漏洞的补丁
　　(作者：Derek Soeder - eEye Digital Security )

　　经测试该补丁可很好的解决该漏洞引发的问题
　　安装此补丁即可杜绝该漏洞导致的问题
　　建议您安装此补丁以防止恶意程序危害您的系统

　　第二版：解决自动安装时参数不正确导致win2000用户无法安装。
----------4月2日12：20
MD5
781d23fba72ff24c5d2463b53f0582e1
AniPatch.rar
284017字节

据测试，360的“IE修复”会使其失效.建议您在确保IE没问题后再安装此补丁。
目前微软官方还没有任何对于此漏洞的修复

微软鼠标指针0-day漏洞现身影响IE6、IE7

shilinsheng@gmail.com(iColorful) — Sun,01 Apr 2007 13:33:53 +0800

　　近两天，一个微软鼠标指针的0-day漏洞现身互联网，同时利用此漏洞的攻击代码已在国内互联网中广泛传播。由于微软目前还没有推出相关的补丁，所以危险程度相当高。当用户访问这些嵌入了恶意代码的网页，恶意程序将被自动下载到用户的IE临时目录并得到执行。

　　Kaspersky将这些恶意.ani格式文件命名为Trojan-Downloader.Win32.Ani.g。微软已经确认此最新漏洞，受影响的系统包含Win2000 SP4，XP SP2，Server 2003和Vista，同时已发布Microsoft Security Advisory (935423)安全建议。

　　同时在今天接到的一些网站被挂马的报告中，我们已经收到了多个这样的特殊.ani文件，伪装成.jpg文件，其实文件格式为.ani，我们有理由相信相关的代码和生成器可能已经被公布在互联网上。

　　根据FrSIRT的漏洞报告, 受影响的系统包括：

　　Microsoft Windows XP Service Pack 2

　　Microsoft Windows Server 2003 Service Pack 1

　　Microsoft Internet Explorer 6 for Windows XP Service Pack 2

　　Microsoft Internet Explorer 6 for Windows Server 2003 SP1

　　Microsoft Windows Internet Explorer 7 for Windows XP SP2

　　Microsoft Windows Internet Explorer 7 for Windows Server 2003 SP1

　　在此提醒广大用户提高警惕！

Win2003最新优化方法大全

shilinsheng@gmail.com(iColorful) — Fri,30 Mar 2007 11:37:34 +0800

　　一、Windows server 2003 3790版本识别

　　RTM=release to manufacture （公开发行批量生产）是给硬件制造商的版本！是送去压盘的,不是拿去卖的。

　　OEM=Original Equipment Manufacturer只能全新安装，和RTM差不多，只是称呼不同而已。

　　RTL=retail（零售）正式零售版,可以升级或者全新安装。

　　VLK=Volume License大量授权版，又称为企业版。无需激活。(网上所谓的简体中文VLK版实际是普通简体中文版加英文VLK版中的8个文件而已)

　　二、Windows Server 2003的不同版本

　　Windows Server 2003 Web版:为快速开发、部署Web服务与应用程序，提供Web托管与服务平台。支持2路SMP(对称多处理)系统、2GB内存。

　　Windows Server 2003标准版:面向中小型企业和部门级应用。支持4路SMP、4GB内存。

　　Windows Server 2003企业版:适合中心与大型组织使用，有32位和64位两个版本。支持8节点集群、NUMA；支持8路SMP，其中32位版支持32GB内存，64位版支持64GB内存。

　　Windows Server 2003数据中心版：面向要求强伸缩性和高可用性的企业，有32位和64位两个版本。32位版支持32路SMP、64GB内存；64位版支持64路SMP、512GB内存；两个版本均支持8节点集群、NUMA。

　　三、windows server 2003 3790版的激活

　　在正式版算号器没有出来之前，现在流行的激活方式有以下几种：

　　（1）Reset5.02，在安全模式下运行即可激活，把时间调整为2008年都没有问题，一切使用正常。可以升级。

　　缺点：激活程序被彻底屏蔽，表现为运行msoobe /a没有任何显示，并且在服务中有一项reset5，开机会自动运行此服务，C:\WINDOWS\system32\srvany.exe，此程序应该是reset5添加入系统的。

　　（2）俄罗斯破解，记得在xp时代，只要把setupreg.hiv在安装前替换，然后电话激活就可以达到完美的激活境界，可在2003下，这样子做之后，当前显示已激活，可如果你调整了时间再开机又会显示要激活，甚至是不能使用。估计次次问题关键还是在那个setupreg.hiv文件。　　

　　（3）在论坛上有人贴出了一个Winxpactivation.exe的文件，号称可以激活，实际上这个还是假激活，暂时屏蔽了激活程序，是不能够修改时间的。　　

　　（4）用替换法做出来的伪VLK，安装使用都没有问题，只是不能升级。VLK是替换英文版的8个文件.但是SN已经被微软封掉了.所以不能升级，但是此法是最稳定的，没有任何问题。

　　结论：推荐大家用8个替换法激活和reset5.02激活！

　　四、win 2003 server的一些优化设置

　　1.禁用配置服务器向导：

　　禁止“配置你的服务器”（Manage Your Server）向导的出现：在控制面板（Control Panel） -> 管理员工具（Administrative Tools ）-> 管理你的服务器（Manage Your Server）运行它，然后在窗口的左下角复选“ 登录时不要显示该页”（Don't display this page at logon）。

　　2.启用硬件和DirectX加速

　　★硬件加速：桌面点击右键－－属性（PropertIEs） -> 设置（Settings ）－－高级（ Advanced ）－－疑难解答（Troubleshoot）。把该页面的硬件加速滚动条拉到“完全”（ Full），最好点击“确定”（OK）保存退出。这期间可能出现一瞬的黑屏是完全正常。

　　★DirectX加速：打开“开始”（Start） -> “运行”（Run），键入“dxdiag”并回车打开“DirectX 诊断工具”（DirectX Tools），在“显示”（Display）页面，点击DirectDraw, Direct3D and AGP Texture 加速三个按钮启用加速。把“声音的硬件加速级别”（Hardware Sound Acceleration Level）滚动条拉到“完全加速”（ Full Acceleration）。

　　3. 启用声卡：

　　系统安装后，声卡是禁止状态，所以要在控制面板 -> 声音 -> 启用，重启之后再设置它在任务栏显示。

　　如果你使用的是Windows server 2003标准版请从第二步xx作，因为标准版已允许声音服务。

　　★打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到“Windows Audio”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动” Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）

　　★打开“开始”（Start） -> “运行”（Run），键入“dxdiag”并回车打开“DirectX 诊断工具”（DirectX Tools），在“Sound”（Display）页面，把“声音的硬件加速级别”（Hardware Sound Acceleration Level）滚动条拉到“完全加速”（ Full Acceleration）。

　　4. 如何启用 ASP 支持：

　　Windows Server 2003 默认安装，是不安装 IIS 6 的，需要另外安装。安装完 IIS 6，还需要单独开启对于 ASP 的支持。方法是：控制面板 -> 管理工具 -> Web服务扩展 -> Active Server Pages -> 允许。

　　5. 如何启用 XP 的桌面主题：

　　★打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，选themes“主题”（默认是禁止的），然后改为“自动”，按“应用”，选“开启”。

　　★接着点“桌面”的属性，在“主题”里选“Windows XP”

　　★我的电脑----属性----高级----性能-----在桌面上为图标标签使用阴影

　　6. 禁止关机时出现的关机理由选择项：

　　关机事件跟踪（Shutdown Event Tracker）也是Windows server 2003区别于其他工作站系统的一个设置，对于服务器来说这是一个必要的选择，但是对于工作站系统却没什么用，我们同样可以禁止它。

　　打开”开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分，选择 ”计算机配置“（Computer Configuration ）-> ”管理模板“（Administrative Templates ） -> ”系统“（System）,在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”（Disabled），点击然后“确定”（OK）保存后退出，这样，你将看到类似于Windows 2000的关机窗口。

　　7. 如何使用USB硬盘、U盘，添加已经有分区的硬盘

　　我的电脑（单击右键）----管理----磁盘管理-----在相应的硬盘上执行导入和分配盘符操作

　　8. 在控制面板里显示全部组件：

　　把 Windowsinf 目录中的 sysoc.inf 文件里的 "hide" 替换掉。

　　9.禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现在IE工具选项中自定义设置IE的安全级别。在”安全“（Security）选项卡上拉动滚动条把Internet区域安全设置为”中“（Medium）或“中低”。自定义设置中将有关的选择“提示”修改为选择“禁止”或“启用”。

　　10. 禁用开机 CTRL ALT DEL和实现自动登陆

　　★方法1：打开注册表(运行->“Regedit”)，再打开：

　　HKEY_LOCAL_MacHIN\SOFTWARE\MicroSoft\Windows NT\CurrentVersion\Winlogon段，在此段中按右键，新建二个字符串段，AutoAdminLogon=“1”，DefaultPassWord=“为超级用户Administrator所设置的Password”。

　　注意，一定要为Administrator设置一个密码，否则不能实现自启动。然后，重新启动Windows即可实现自动登录。

　　★方法2：管理工具 -> Local Security Settings（本地安全策略） -> 本地策略 -> 安全选项 -> interactive logon: Do not require CTRL ALT DEL，启用之。

　　★方法3（自动登陆）：使用Windows XP的Tweak UI来实现Server 2003自动登陆。

　　下载：Tweak UI http://www.ssite.org/uppic/sun_pic/...003/tweakui.exe

　　下载后直接执行tweakui.exe 在左边的面板中选择Logon -> Autologon -> 在右边勾选Log on automatically at system startup输入你的用户名和域名（如果没有就不写），点击下面的Set Password，输入用户名的密码，然后点击OK。

　　11.隐藏文件

　　Windows Server 2003默认情况下是显示所有的文件夹的，如果你不想这样，可以通过一下方法来隐藏：

　　打开任意一个文件夹，选择工具（Tools） -> 文件夹选项（Folder Options） -> 查看（View），调整显示系统文件夹的内容、隐藏受保护的操作系统文件、隐藏文件和文件夹三项

　　12.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务

　　.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务

　　★假如你希望启用Windows内置的IMAPI CD-Burning服务。做如下xx作：

　　打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到 “IMAPI CD-Burning COM Service ”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”（Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”（OK）

　　★假如你有如数码相机和扫描仪之类的影像设备，你应该打开Windows Image Acquisition 服务。

　　打开“开始”（Start） -> “运行”（Run），键入“Services.msc ”，在出现的窗口中找到“Windows Image Acquisition (WIA) ”并双击它，然后在启动模式（startup type ）的下拉菜单选择“自动”（Automatic），并点击“应用”（Apply） ->“开始”（Start） -> “确定”

　　13.高级设置

　　★我们可以修改一些windows server 2003的高级设置以适合工作站的应用环境。

　　右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－性能（Performance）－－设置（Setting）－－高级（Advanced），把“处理器计划”（Processor scheduling ）和内存使用（Memory usage）分配给“程序”（Programs）使用。然后点击“确定”（OK.）

　　★禁用错误报告

　　右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－点击“错误报告”（Error Reporting ）按钮，在出现的窗口中把“禁用错误报告”（Disable Error Reporting）选上并复选“但在发生严重错误时通知我”（But, notify me when critical errors occur.）

　　★调整虚拟内存

　　一些朋友经常会对关机和注销缓慢感到束手无策，解决办法就是禁用虚拟内存，这样你的注销和关机时间可能会加快很多。右键点击“我的电脑”（My Computer）－－属性（Properties）－－高级（Advanced）－－性能（Performance）－－设置（Setting）－－高级（Advanced），点击“虚拟内存”（Virtual memory）部分的“更改”（Change），然后在出现的窗口选择“无分页文件”。重启系统即可。

　　14.加快启动和运行速度

　　★修改注册表，减少预读取，减少进度条等待时间：

　　开始→运行→regedit启动注册表编辑器，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters，
　　有一个键值名为EnablePrefetcher，它的值是3,把它改为“1”或“5”。找到 HKEY_LOCAL_MACHINESystemCurrentControlSetControl，
　　将 WaitToKillServiceTimeout 设为：1000或更小。(原设定值：20000 )
　　找到 HKEY_CURRENT_USERControl PanelDesktop 键，将右边视窗的WaitToKillAppTimeout改为1000，(原设定值：20000 )即关闭程序时仅等待1秒。
　　将 HungAppTimeout 值改为：200( 原设定值：5000 )，表示程序出错时等待0.5秒。

　　★让系统自动关闭停止回应的程式。

　　打开注册表 HKEY_CURRENT_USER\Control\PanelDesktop 键，将 AutoEndTasks 值设为 1。(原设定值：0)

　　★禁用系统服务Qos

　　开始菜单→运行→键入gpedit.msc，出现“组策略”窗口，展开"管理模板”→“网络”，展开“QoS 数据包调度程序”，在右边窗右键单击“限制可保留带宽"，在属性中的“设置”中有“限制可保留带宽”，选择“已禁用”，确定即可。当上述修改完成并应用后，用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"QoS Packet Scheduler（QoS 数据包调度程序）"。说明修改成功，否则说明修改失败。

　　★改变窗口弹出的速度：

　　找到HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics子键分支，在右边的窗口中找到MinAniMate键值，其类型为REG_SZ，默认情况下此健值的值为1，表示打开窗口显示的动画，把它改为0，则禁止动画显示，接下来从开始菜单中选择“注销”命令，激活刚才所作的修改。

　　★禁止Windows XP的压缩功能：

　　点击“开始”下的“运行”，在“运行”输入框中输入“regsvr32/u zipfldr.dll”，然后按回车键即可。

　　★设置个性的启动信息或警告信息：

　　个性化的Windows XP启动：打开注册表编辑器，找到HKEY_LOCAL_MacHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon子键分支，双击LegalNoticeCaption健值，打开“编辑字符串”对话框，在“数值数据”下的文本框中输入自己想要的信息标题，如“哥们儿，你好！”，然后点击“确定”，重新启动。

　　如果想要改变警告信息的话可以双击LegalNoticeText健值名称，在出现的“编辑字符串”窗口中输入想要显示的警告信息，单击“确定”，重新启动。

　　15.安装Java VM

　　Windows server 2003没有集成MS Java VM或Sun Java VM,你可以自行下载并安装它。

　　16.安装DirectX 9a

　　在Windows Server 2003上安装DirectX 9a和在其他版本的Windows上安装DirectX 9a的方法是一样的。安装之前必须先启用DirectX and Graphics Acceleration。

　　17.可用的杀毒软件和防火墙：

　　Symantec Norton Antivirus Corporate 8.01

　　Zone Alarm 3.7.159

　　Norton Personal Firewall 2003

　　五、如何防范ipc$入侵

　　1、禁止空连接进行枚举(此操作并不能阻止空连接的建立)

　　首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ControlLSA]把RestrictAnonymous = DWord的键值改为：00000001。

　　restrictanonymous REG_DWORD
　　0x0 缺省
　　0x1 匿名用户无法列举本机用户列表
　　0x2 匿名用户无法连接本机IPC$共享

　　说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

　　2、禁止默认共享

　　1）察看本地共享资源

　　运行-cmd-输入net share

　　2）删除共享(每次输入一个）

　　net share ipc$ /delete

　　net share admin$ /delete

　　net share c$ /delete

　　net share d$ /delete（如果有e,f,……可以继续删除）

　　3）修改注册表删除共享

　　运行-regedit
　　找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]，把AutoShareServer（DWORD）的键值改为0000000。

　　如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。

　　3、停止server服务

　　1）暂时停止server服务

　　net stop server /y （重新启动后server服务会重新开启）

　　2）永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务

　　控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用

　　4、安装防火墙(选中相关设置)，或者端口过滤(滤掉139,445等)

　　1).解开文件和打印机共享绑定

　　鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性]，去掉“Microsoft网络的文件和打印机共享”前面的勾，解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求，别人也就看不到本机的共享了。

　　2).利用TCP/IP筛选

　　鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性]，打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项]，在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮，选择“只允许”，再单击[添加]按钮(如图2)，填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时，将不会有任何回应。

　　3).使用IPSec安全策略阻止对端口139和445的访问

　　选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略，在本地机器]，在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则，这样别人使用扫描器扫描时，本机的139和445两个端口也不会给予任何回应。

　　4).使用防火墙防范攻击

　　在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中，选择一条空规则，设置数据包方向为“接收”，对方IP地址选“任何地址”，协议设定为“TCP”，本地端口设置为“139到139”，对方端口设置为“0到0”，设置标志位为“SYN”，动作设置为“拦截”，最后单击[确定]按钮，并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了。

　　5、给所有账户设置复杂密码，防止通过ipc$穷举密码。

竟无一丝差别:XP完美模拟Vista全攻略

shilinsheng@gmail.com(iColorful) — Thu,29 Mar 2007 16:22:40 +0800

　　前不久，微软发布了其最新版操作系统Windows Vista。相比以前版本，新系统在很多方面都进行了大幅度改进。但要说最吸引我们眼球的，还是它那绚丽的外观。

　　虽说，新系统在外观上的确漂亮了许多，但相应的资源占用率却也是老版本的几倍，因此，这也就注定了大批低配电脑已经无缘Vista。

　　不过，正所谓有需求才有市场，随着大批低配电脑被Vista宣布了“死刑”，一些专门用于模仿Vista界面的软件却变得异常火爆起来。不过，说句实话，目前网上的这些系统模拟包，最终效果都不是非常理想。

　　不是做完之后稳定性极差，就是模仿的效果不伦不类，没有一点美感。而正是看到这个情况，笔者才有了下面这个想法。那就是挑战美化极限，打造一款完美的“模拟版Vista”。

　　不过，说了这么半天，这个“作品”到底是个什么样子呢？下面，俺就来秀一秀自己的桌面吧，你相信下面的是XP吗？竟然真是XP！如图1所示。

图1-1 开始菜单和侧边栏

图1-2玻璃效果的窗口和任务栏缩略图

图1-3 传说中的Flip-3D

　　第一步. 安装Vista皮肤[b]

　　[b]1. 安装Vista主题包

　　相似度：★★★★
　　实用度：★★★
　　所用软件：WindowBlinds5（点击下载）
　　资源文件：VistaCHS主题包（该文件只允许会员下载! 登录 | 注册）

　　在正式介绍之前，我想还是有必要和大家介绍一下系统美化的基本知识吧。其实，一份完整的XP主题是由好多部分组成的，如皮肤、壁纸、鼠标、声音等。而最简单的系统美化就是更换主题风格。如果说，更换主题风格相当于为系统换上一件新外衣的话，那么变换其他部位，则相当于为这件新外衣添加各种装饰了。

　　那么，我们到底该如何更换系统的主题风格呢？其实，最简单的方法就是使用专业美化软件了。

　　【美化步骤】

　　1. 首先，在桌面空白部位右击鼠标，选择“属性”命令，打开对话框。

　　2. 然后，将系统的“当前主题”更改为“Windows经典”，确定后退出。

　　3. 安装已下载的WindowBlinds5（以下简称WB5）主程序，遵从提示重启计算机。

　　4. 随后，双击并安装VistaCHS主题包，稍等一会，看到主题包已安装完毕的提示之后就可以了。

　　5. 最后，双击进入WB5程序，在主题列表中找到新安装的“VistaCHS”主题，双击以完成替换，如图2所示。

图2

　　【小提示】当我们顺利完成Vista风格包的安装之后，一些细心的朋友肯定会发现，新版开始菜单有些“错位”，如图3所示。其实，这是由于Vista菜单按钮与XP菜单按钮的位置不一致所致。当然，解决的办法也很简单，那就是替换一个修改版的系统外壳。

图3

　　首先下载该文件只允许会员下载! 登录 | 注册文件，在任务栏空白部位右击鼠标，选择“任务管理器”命令。然后，在“进程”标签中找到并结束“explorer.exe”进程。此时，当前屏幕会失去所有图标。随后，点击任务管理器的“文件”菜单→“新建任务”，浏览并打开explorer.exe文件。至此，桌面图标全部还原，而此时的开始菜单也恢复正常了。

　　不过，上面的这个替换方法并不能在每次开机后自动生效，我们还需要将Explorer.exe文件转移到系统目录中。具体方法是：双击“Replacer.exe”程序，用“explorer.exe”替换掉原系统目录中的“explorer.exe”，之后重启计算机即可，如图4所示。

图4

　　2. 安装Vista快捷工具栏

　　相似度：★★★★
　　实用度：★★★★
　　所用软件：Styler 1.4（该文件只允许会员下载! 登录 | 注册）
　　资源文件：VistaCHS TB皮肤（该文件只允许会员下载! 登录 | 注册）

　　虽然，我们刚才已经成功地安装了Vista风格包，而且也已正常打开了玻璃特效。但细心的朋友一定发现，目前的窗口样式仍然还是浓郁的XP风格，而与Vista相比，缺的正是一组快捷工具栏，如图5所示。

图5

　　【美化步骤】

　　1. 首先，将下载到的Vista工具栏皮肤“VistaCHS TB”解压到Styler的“TB\skins\Styler's”文件夹中。

　　2. 然后，双击启动Styler_EN.exe，右击它在系统托盘处的图标，选择“Show”命令打开配置对话框。

　　3. 随后，点击“Toolbar”标签，找到并选择“VistaCHS TB”皮肤，勾选上“Toolbar”标签下的“Hide Menubar(Explorer)和“Info”标签下的“Styler TB”复选框后，退出即可，如图6所示。

图6

　　4. 最后，随便打开一个窗口，右击并打开“Styler Toolbar”工具栏。同时，取消包括“标准按钮”和“地址栏”在内的其他所有工具栏即可，如图7所示。

图7

　　第二步. 修改启动画面

　　1. 修改开机画面

　　相似度：★★★★★
　　实用度：★★
　　所用软件：Replacer.exe（该文件只允许会员下载! 登录 | 注册）
　　资源文件：ntoskrnl.exe（该文件只允许会员下载! 登录 | 注册）

　　搞完了“内部装修”，咱们再来“收拾”一下开机界面。和上例一样，这里也要使用一款系统资源替换工具 —— Replacer。而具体的操作步骤也很简单，只要将被替换的系统文件和资源包中的文件路径填写到Replacer中，然后点击“开始替换”按钮，重新启动计算机。“新版”的开机界面就正式生效了，如图8所示。

图8

　　2. 修改登陆画面

　　相似度：★★★★
　　实用度：★★
　　所用软件：ReplaceUI.exe（该文件只允许会员下载! 登录 | 注册）
　　资源文件：logonui.exe（该文件只允许会员下载! 登录 | 注册）

　　修改完开机画面，我们自然不能忘记它的同胞兄弟 —— 登陆画面。和上例一样，修改登陆画面要使用这款ReplaceUI.exe工具。只不过，和上例有所不同，只需要在软件上点击浏览，选择logonui.exe后点击“应用当前”即可，如图9所示。

图9 新版仿Vista登陆界面

　　第三步. 细节改进

　　经过了上面几步操作，我们手中的这款XP，现在已经大变样了。不过，它要想变身为真正的Vista，还差得很远。下面，咱们就开始进行一些细节方面的改进。

　　1. 更换系统图标

　　相似度：★★★★★
　　实用度：★★
　　所用软件：Iconpackager（该文件只允许会员下载! 登录 | 注册）
　　资源文件：Vista图标IP包（该文件只允许会员下载! 登录 | 注册）

　　和老版XP系统相比，Vista在图标方面变化不小。不仅原有的图标被全部更新，而且还新增了很多全新的样式。但是，望着这成百上千个漂亮的小玩意儿，我们又该如何快速完成图标的替换呢？答案就是IP包。

　　原来，这里所谓的IP包其实就是一个图标安装包，在专用软件的支持下，能够一次性替换掉整台电脑上的所有图标。而具体的操作也很简单，只要我们事先安装好Iconpackager软件，然后再双击一下IP包中的VISTA_RTM.iconpackage文件，即可将新图标导入到软件之中。随后，再次点击一下Iconpackager的“OK”按钮，图标替换即告完成，如图10所示。

图10

　　【小提示】 如果您对默认的图标尺寸32×32不太满意的话，可以直接通过“Setting”标签下的“Icon size”进行修改。

　　2. 更换系统声音

　　相似度：★★★★★
　　实用度：★★
　　所用软件：-
　　资源文件：Vista声音安装包（该文件只允许会员下载! 登录 | 注册）

　　凡是使用过Vista的朋友，一定都会对它那新版的启动声音记忆犹新。其实，除了系统启动声音做了更新之外，Vista实际上已经重新录制了所有系统音乐，使得新版系统音乐听上去更加悦耳。不过，如今作为XP系统，我们也能提前体验到这种“新鲜的感受”了。您只要打开我们提供的“Vista声音安装包”，右击其中的Vista.inf文件，执行“安装”命令。当前系统中所有的XP音乐便被自动替换为“Vista版本”了，如图11所示。

图11

　　3. 更换系统字体

　　相似度：★★★★★
　　实用度：★★★★
　　所用软件：Replacer.exe（该文件只允许会员下载! 登录 | 注册）
　　资源文件：微软雅黑字体包（该文件只允许会员下载! 登录 | 注册）

　　除了图标与声音，Vista和XP在界面上的另一个变化，就是雅黑字体了。和微软沿用了许多年的宋体不同，全新设计的微软雅黑不仅字型更加美观舒展，而且，在很大程度上也解决了小号字体在显示器上无法清晰显示这一弊端。至于替换方法嘛，也是颇为容易的，我们只要利用Replacer软件，将字体包中的三个字体文件，顺序替换到X:\Windows\Fonts目录中，覆盖掉原文件即可，如图12所示。

图12

图13 更改字体后的控制面板

　　4. 更换鼠标主题

　　相似度：★★★★★
　　实用度：★★
　　所用软件：-
　　资源文件：Vista鼠标风格包（该文件只允许会员下载! 登录 | 注册）

　　和其他美化模块一样，鼠标主题也是Vista中非常有特色的一项。而它的替换方法也很简单，只要右击一下风格包中的“install.inf”文件，再选择“安装”命令就可以了，如图14所示。

图14

　　5. 搞定侧边栏

　　相似度：★★★★★
　　实用度：★★★★
　　所用软件：-
　　资源文件：Vista边栏文件压缩包（[http://www.xdowns.com/soft/6/15/2006/Soft_34293.html]点击下载[/mDown]）

　　做了半天，差点把这个侧边栏给忘了，呵呵，表要打我哈。其实，侧边栏也是Vista中有代表性的一个插件。虽说，现在网上可以找到很多类似的XP侧边栏，但它们大多与Vista的“原版侧边栏”相差很远。而我们今天要给大家介绍的，却是一份专门从Vista中提取出来的“原装”侧边栏，如图15所示。

图15

　　第四步. 为“准Vista”安装特效

　　如果您一直在和笔者同步操作，那么到了这一步，相信您手中的XP已经完全变身为一款“准Vista”了。不过，这“准Vista”和“真Vista”之间多少还是有些区别的，而区别就是下面的这些特效了。

　　1. 打造任务栏缩略图

　　相似度：★★★★★
　　实用度：★★★★
　　所用软件：VisualTaskTips（该文件只允许会员下载! 登录 | 注册）
　　资源文件：-

　　凡是使用过Vista的朋友大都知道，当我们将鼠标悬停于任务栏的程序图标之上时，系统会自动弹出一块小巧的界面缩略图，而这个特效便被称之为“任务栏缩略图”。如果我们想在XP系统上也实现这样的特效，就要借助于一款名为VisualTaskTips的小工具了。

　　这款VisualTaskTips的使用极为简单，只要双击一下，便能将它请到我们的系统中来。而此时，当我们再将鼠标悬停到XP任务栏图标上时，一个仿Vista的任务栏缩略图便弹了出来，里面显示的正是实时的程序窗口截图，如图16所示。

图16

　　2. 打造Flip-3D

　　相似度：★★★★★
　　实用度：★★★★
　　所用软件：TopDesk（该文件只允许会员下载! 登录 | 注册）
　　资源文件：-

　　记得在Vista测试版刚刚面世的时候，就有网友将新系统中最为抢眼的一些功能做了番整体展示。而那个被号称为“3D桌面”的Flip-3D自然就成为了焦点中的焦点。而今，我们在XP上也能实现这样的神奇特效了，而完成这一重任的工具软件就是 —— TopDesk。

　　同VisualTaskTips一样，TopDesk的安装也是非常容易的。我们只要双击得到的安装包就能轻松地将其安装到系统中去。而要想体验Flip-3D的模式也很简单，只要使用Alt + Tab组合键，当前所有打开的窗口便都会自动进入Flip-3D模式了，如图17所示。

图17

　　第五步. 别忘了壁纸和屏保

　　相似度：★★★★★
　　实用度：★★
　　所用软件：-
　　资源文件：Vista七彩泡泡屏保（该文件只允许会员下载! 登录 | 注册）、Vista原装壁纸包（该文件只允许会员下载! 登录 | 注册）

　　做完了上面这些步骤，我们手中的XP已经在外观上和Vista相差无几了。不过，要想让咱们的XP再“Vista”一点，还需要壁纸和屏保的相互配合。下面，我们就为大家提供几款Vista版屏保和壁纸的链接，如图18所示。

图18-1 七彩泡泡屏保截图

图18-2 Vista原装壁纸截图

图18-3 Vista原装壁纸截图

图18-4 Vista原装壁纸截图

　　后记

　　至此，咱们的Vista终极模拟大法已经全部完成，而您手中的XP相信也已经成功“唬住”一帮朋友了。虽然，有些朋友在看完此文后会产生一些疑问，为什么我们要选择使用资源占用率偏大的WB5作为系统主体皮肤呢？

　　其实，我们的考虑主要基于两点。首先，目前仅有WB5能够实现真正意义上的模拟玻璃特效，符合本文“完美模拟Vista”的综旨。其次，WB5虽说内存占用有些偏大，但它对系统的CPU占用率却几乎没有影响，而在内存非常便宜的今天，很多朋友的电脑早已安装了1G内存，通过牺牲这一点点内存，实现如此终极的美化效果，我想这笔帐还是谁都能算清的。

如何用系统命令结束顽固病毒进程

shilinsheng@gmail.com(iColorful) — Tue,27 Mar 2007 13:03:13 +0800

　　杀毒的时候我们会遇到这种情况，有些病毒怎么杀也杀不掉。杀毒软件告诉我们重启后才能清除，结果重启后病毒依然如故。那么，怎么对付这种病毒呢？笔者在这里为大家提供两则小技巧，以便帮你强行杀死这种“顽固不化”的病毒进程。

　　根据进程名查杀

　　这种方法是通过WinXP系统下的taskkill命令来实现的，在使用该方法之前，首先需要打开系统的进程列表界面，找到病毒进程所对应的具体进程名。

　　接着依次单击“开始→运行”命令，在弹出的系统运行框中，运行“cmd”命令；再在DOS命令行中输入“taskkill /im aaa”格式的字符串命令，单击回车键后，顽固的病毒进程“aaa”就被强行杀死了。比方说，要强行杀死“conime.exe”病毒进程，只要在命令提示符下执行“taskkill /im conime.exe”命令，要不了多久，系统就会自动返回结果。

　　根据进程号查杀

　　上面的方法，只对部分病毒进程有效，遇到一些更“顽固”的病毒进程，可能就无济于事了。此时你可以通过Win2000以上系统的内置命令——ntsd，来强行杀死一切病毒进程，因为该命令除System进程、SMSS.EXE进程、CSRSS.EXE进程不能“对付”外，基本可以对付其它一切进程。但是在使用该命令杀死病毒进程之前，需要先查找到对应病毒进程的具体进程号。

　　考虑到系统进程列表界面在默认状态下，是不显示具体进程号的，因此你可以首先打开系统任务管理器窗口，再单击“查看”菜单项下面的“选择列”命令，在弹出的设置框中，将“PID（进程标志符）”选项选中，单击“确定”按钮。返回到系统进程列表页面中后，你就能查看到对应病毒进程的具体PID了。

　　接着打开系统运行对话框，在其中运行“cmd”命令，在命令提示符状态下输入“ntsd -c q -p PID”命令，就可以强行将指定PID的病毒进程杀死了。例如，发现某个病毒进程的PID为“444”，那么可以执行“ntsd -c q -p 444”命令，来杀死这个病毒进程。

Windows平台内核级文件访问

shilinsheng@gmail.com(iColorful) — Mon,26 Mar 2007 17:08:59 +0800

　　背景
　
　　在windows平台下，应用程序通常使用API函数来进行文件访问，创建，打开，读写文件。从kernel32的CreateFile/
ReadFile/WriteFile函数，到本地系统服务，再到FileSystem及其FilterDriver，经历了很多层次。在每个层次上，都存在着安全防护软件，病毒或者后门作监视或者过滤的机会。作为安全产品开发者，我们需要比别人走得更远，因此我们需要一个底层的“windows平台内核级文件访问”的方法来确保我们能够看到正确的干净的文件系统。

　　直接访问FSD的内核级别文件访问

　　FSD(FileSystemDriver)层是文件API函数经过本地系统服务层(native API)最后到达的驱动层次。如果我们可以模仿操作系统，在我们自己的驱动程序里直接向FSD发送IRP，就可以绕过那些native API 和win32 API了，也就可以绕过设置在这些层次上面的API钩子等监控措施。

　　文件的Create和Open

　　文件的Create和Open可以通过发送IRP_MJ_Create给FSD，或者调用IoCreateFile函数来完成。Create和Open的区别实际上在于IoCreateFile/IRP_MJ_Create的一个参数Disposition的取值。

　　通过发送IRP_MJ_Create给FSD的方法与此类似，可以参考IFSDDK document的IRP_MJ_Create说明。不同于上面方法的是需要自己创建一个FILE_OBJECT，好于上面方法的是这种方法不需要一个HANDLE，HANDLE是线程依赖的,FileObject则是线程无关。

　　文件的Read和Write

　　我们通过给FSD发送IRP_MJ_READ来读取文件，给FSD发送IRP_MJ_WRITE来改写文件。
　　
　　如果我们是通过一个HANDLE来执行(如使用IoCreateFile打开的文件)，就要先用ObReferenceObjectByHandle函数来获得这个Handle对应的FileObject。我们只能给FileObject发送IRP。

　　之后我们使用IoAllocateIrp分配一个IRP。根据FileObject->DeviceObject->Flags的值，我们判断目标文件系统使用什么样的IO方式。

　　对每种不同的IO方式使用不同的地址传递方式。随后我们填充IRP内的各个参数域，就可以发送IRP了。

　　接着要考虑如果IRP不能及时完成，会异步的返回的情况，我们安装一个CompletionRoutine，在CompletionRoutine里面设置一个事件为已激活，通知我们的主线程读取或者写入操作已经完成。

　　现在可以发送IRP了。如果不采取特殊的措施的话，IRP发送目标是FileObject对应的DeviceObject。发送后，等待IRP的完成并且释放资源，返回。

　　文件的Delete

　　Delete实际上是通过向FSD发送IRP_MJ_SET_INFORMATION的IRP，并把IrpSp->Parameters.SetFile.FileInformationClass设置为FileDispositionInformation，用一个FILE_DISPOSITION_INFORMATION结构填充buffer来执行的。

　　文件的Rename

　　类似于Delete，Rename是向FSD发送IRP_MJ_SET_INFORMATION的IRP，把IrpSp->Parameters.SetFile.FileInformationClass设置为FileRenameInformation，填充buffer为FILE_RENAME_INFORMATION结构。

　　综上，于是我们可以在驱动里面通过发送IRP来直接访问文件系统了，绕过了native API 和win32 API层次。

　　绕过文件系统过滤驱动和钩子

　　有了以上的内容，我们目前可以直接给FSD发送请求操作文件。但是这还不够，因为有很多的杀毒软件或者监视工具使用FSD Filter Driver或者FSD Hook的办法来监控文件操作

　　对付文件系统过滤驱动

　　文件系统过滤驱动Attach在正常的文件系统之上，监视和过滤我们的文件访问。文件系统驱动栈就是由这一连串的Attach起来的过滤驱动组成。我们可以用IoGetRelatedDeviceObject这个函数来获得一个FileObject对应的最底层的那个功能驱动对象(FDO)。但是这样虽然绕过了那些过滤驱动，却同时也绕过了正常的FSD如Ntfs/Fastfat，因为正常的FSD也是作为一个过滤驱动存在的。磁盘文件对象的对应的最底层的FDO是Ftdisk.sys，它已经因为过于底层而不能处理我们投递的IRP请求。
  其实正常的FSD信息存储在一个Vpb结构中，我们可以使用IoGetBaseFileSystemDeviceObject这个未公开的内核函数来得到它。它就是我们发送IRP的目标了。

　　对付替换DispatchRoutine的FSD Hook

　　这是一种常用的FSD Hook方式。我们需要得到原本的DispatchRoutine，向原本的DispatchRoutine发送我们的IRP。这里提供一个思路：我们可以读取原本FSD驱动的.INIT段或者.TEXT段，查找其DriverEntry函数，在它的DriverEntry函数中肯定设置了自己的DriverObject的各个DispatchRoutine。在这个函数中我们就能找到我们想要的DispatchRoutine的地址。只需要使用特征码搜索的方法就可以搜索到这个值。

　　对付Inline Hook DispatchRoutine函数本身的FSD Hook

　　这种Hook方法比较狠毒，但不是非常常见于安全产品中，一般应用在木马和rootkit上，比如我自己写的rootkit。它没有更改DriverObject里面的DispatchRoutine的函数指针，而是向函数开头写入汇编指令的JMP来跳转函数。对付它的基本思路就是读取存在磁盘上的FSD的文件，加载到内存一份干净的备份，察看我们要调用的DispatchRoutine开头的几个字节和这个干净备份是否一致。如果不一致，尤其是存在JMP,RET,INT3一类的汇编指令的时候，很可能就是存在了Inline Hook。（但要充分考虑重定位的情况。）如果存在Inline Hook，我们就把干净的函数开头拷贝过来覆盖掉被感染的函数头。然后在发送IRP，就不会被Inline Hook监视或篡改了。

让XP更安全的几招超级必杀技

shilinsheng@gmail.com(iColorful) — Mon,26 Mar 2007 16:44:11 +0800

　　大家使用Windows XP已经有很长一段时间了，对与Windows XP操作系统已经是非常熟悉了吧！有没有总结出一些的经验来与大家共享呢？下面笔者就把在使用Windows XP操作系统过程中积累的一些经验共享出来，也便能让你在使用Windows XP操作系统的过程中能快速上手。熟练的掌握XP的使用技巧就能更好的享受XP系统带给你的强大功能。

　　1、恢复被破坏的Win XP系统文件

　　如果Windows XP的系统文件被病毒或其它原因破坏了，我们可以从Windows XP的安装盘中恢复那些被破坏的文件。

　　具体方法：在Windows XP的安装盘中搜索被破坏的文件，需要注意的是，文件名的最后一个字符用底线“_”代替，例如：如果要搜索“Notepad.exe”则需要用“Notepad.ex_”来进行搜索。

　　搜索到了之后，打开命令行模式（在“运行”中输入“cmd”），然后输入：“EXPAND 源文件的完整路径目标文件的完整路径”。例如：EXPAND D:SETUPNOTEPAD.EX_ C:WindowsNOTEPAD.EXE。有一点需要注意的是，如果路径中有空格的话，那么需要把路径用双引号（英文引号）包括起来。

　　找到当然是最好的，但有时我们在Windows XP盘中搜索的时候找不到我们需要的文件。产生这种情况的一个原因是要找的文件是在“CAB”文件中。由于Windows XP把“CAB”当作一个文件夹，所以对于Windows XP系统来说，只需要把“CAB”文件右拖然后复制到相应目录即可。

　　如果使用的是其他Windows平台，搜索到包含目标文件名的“CAB”文件。然后打开命令行模式，输入：“EXTRACT /L 目标位置 CAB文件的完整路径”，例如：EXTRACT /L C:Windows D:I386Driver.cab Notepad.exe。同前面一样，如同路径中有空格的话，则需要用双引号把路径包括起来。

　　2、拒绝“分组相似任务栏”

　　虽然Windows XP “分组相似任务栏按钮”设置虽然可以让你的任务栏少开窗口，保持干净，但对于一些需要打开同类多个窗口的工作非常不便,。如你是经常用QQ这样的通讯软件和人在线聊天的话，如果有两个以上的好友同时和你交谈，你马上会感到XP这种默认设置造成的不便 D D每次你想切换交谈对象的时候，要先点击组，然后弹出的菜单里再选要交谈的好友，而且每个好友在组里显示的都是一样的图标，谈话对象多的时候，你可能要一个个的点击来看到底刚才是谁回复了话，在等着你反应，而且选错了一个，又得从组开始选，很麻烦。显然地，这样不如原来的开出几个窗口，在任务栏里的各个小窗口点击一次就可进行开始聊天。更改方法：点击“开始→控制面板→外观和主题→任务栏和‘开始’菜单”，在弹出的窗口内，将“分组相似任务栏按钮”选项前面的钩去掉。

　　3、通过注册表卸载无用的动态链接

　　资源管理器经常在内存中留下无用的动态链接，为了消除这种现象，你可以打开注册表编辑器，设置键值：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
EXPlorer\Always\UnloadDLL=DWORD: 1将其设为0，这一功能就会被关闭。注意：为了让设置生效，需要重新启动计算机。

　　4、清除prefetch文件夹中的预读文件

　　当Win XP使用一段时间后，预读文件夹里的文件会变得很大，里面会有死链文件，这会减慢系统时间。建议：定期删除这些文件。(Windowsprefetch)

　　5、Windows XP减肥法

　　以下方法为本人目前的winXP的减肥法，经过使用，觉得比较安全，效果明显，至少可以减少300m空间。注意：不建议初学者使用。

　　删除驱动备份： WindowsDriver cachei386目录下的Driver.cab文件(73MB) 但是以后我们每次安装新硬件时必须插入Windows的安装光盘。

　　删除系统文件备份(一般不怎么用到的): 运行命令行sfc /purgecache

　　删掉备用的dll文件：只要你拷贝了安装文件或者有安装光盘，可以这样做。Windowssystem32dllcache下文件(减去200——300mb)。

　　6、了解Win XP启动时间

　　尽管Windows XP的启动速度已经能让我们感到满意了，但微软仍然为我们提供了一款用于了解的Windows XP启动时具体所消耗启动时间的小工具，以及查看CPU的使用率、Disk I/O等等，由于该工具用图形的方式显示出来，因此一目了然。工具可到此处下载。

　　7、恢复EXE文件关联

　　EXE文件关联出错非常的麻烦，因为这种情况的出现多是由于病毒引起的，而杀毒软件的主文件都是EXE文件，既然EXE文件关联出错，又怎能运行得了杀毒软件呢？还好XP提供了安全模式下的命令行工具供我们使用，可以利用命令行工具来解决这个问题。

　　在安全模式下输入：assoc<空格 >.exe=exefile<回车>，屏幕上将显示“.exe=exefile”。现在关闭命令提示符窗口，按Ctrl+Alt+Del组合键调出“Windows安全”窗口，按“关机”按钮后选择“重新启动”选项，按正常模式启动Windows后，所有的EXE文件都能正常运行了！

　　8、让Win XP能自动更新

　　当Windows 有了更新时，自动更新系统会提示你进行Windows的升级工作，当然这项功能会在上网之后才会有真正的效果。有一点可以肯定的就是，要想实现自动更新，系统必定会收集用户的电脑信息，然后传送到微软站点，通过反馈信息来决定是否要进行升级工作。这项设置也是在“系统属性”窗口，切换到“自动更新”选项卡可以看到这里有三个选择，选了最后一个“关闭自动更新”，这样系统就不会出现经常提示你进行自动更新了，如果你没用正版的Windows XP操作系统，建议你关闭此功能，因为他可能会让你在不知道的情况就把系统升级至Windows XP SP2版，这样会造成系统的不稳定。

　　9、在Home版中安装IIS

　　大家知道，Windows XP Home版不能安装IIS或者PWS。按照一般的方法，你只能升级到XP Professional或者使用Windows 2000，不过只要略使手段，你就可以在Windows XP Home上安装IIS了。

　　首先在“开始”菜单的“运行”中输入“c:＼Windows＼inf＼sysoc.inf”，系统会自动使用记事本打开sysoc.inf这个文件。在sysoc.inf中找到“[Components]”这一段，并继续找到类似“iis=iis.dll,OcEntry,iis.inf,hide,7”的一行字，把这一行替换为“iis=iis2.dll,OcEntry,iis2.inf,,7”。之后保存并关闭。

　　把Windows 2000 Professional的光盘插入光驱，同时按下Shift键禁止光驱的自动运行。在运行中输入“CMD”然后回车，打开命令行模式，在命令行下输入下列的两条命令，在每一行命令结束后回车(假设光驱是D盘)：

　　EXPand d:\i386\iis.dl_ c:\Windows\system32\setup\iis2.dll

　　EXPand d:\i386\iis.in_ c:\Windows\inf\iis2.inf

　　这时，打开你的控制面板，并点击“添加删除程序”图标，之后点击“添加删除Windows组件”。

　　请仔细看，在“开始”菜单中显示的操作系统是Windows XP Home，但是经过修改，已经有了添加IIS的选项了。

　　然后你可以按照在Windows XP Professional或者Windows 2000中的方法添加IIS，在本例中我们只安装了WWW服务。系统会开始复制文件，这需要一些时间。并且在这起见，请保持Windows 2000 Professional的光盘还在光驱中。

　　在安装结束后，你可以打开“控制面板→性能和选项→管理工具”，“Internet信息服务管理”已经出现在那里。

　　如果你想要验证IIS是否运行正常，而已打开IE，在地址栏中输入“http://localhost”然后回车，如果能看到图三的界面，那么你的IIS就全部正常运行了。

　　最后还有一点注意的：如果你在安装过程中，系统需要你插入Window Whistler CD或者需要你提供exch_adsiisex.dll这个文件，那是因为你按照默认的选项安装了IIS。要解决这个问题，只要在安装IIS的时候先点击“详细信息”，然后取消对SMTP的选择(即不要安装SMTP服务器)，那么复制文件的时候就不会需要那两个文件了。

　　如果在你安装的到图1的位置后发现，已经显示了Internet信息服务(IIS)的安装项目，但是它们根本无法被选中，那很可能因为你使用的iis.dl_和iis.in_是从Windows XP Professional中取出的，只要换成Windows 2000 Professional中的就可以继续正常安装了。

　　经过验证，WWW、FTP等几个服务经过这样的修改都可以在Windows XP Home上正常运行。