本文目录一览:
急急急!电脑问题!加分!
“帕虫”(瑞星),AV终结者(金山命名)病毒的几种解决方法
最近“帕虫”(瑞星),AV终结者(金山命名)蛮流行的,其实就是7、8位字符病毒。我们民间的菜鸟管它叫“随机字母、数字病毒”。貌似反病毒论坛每天都有人因为这个病毒求助,我也跟该病毒打过几次照面了,觉得没什么特别的,现在将它们病毒的技术做简单介绍,并附上几个破解方法。
Autorun.inf
一个暗藏杀机的文本格式,以至于有些杀软都加入病毒库,传播U盘病毒的罪魁祸首,很多情况下我们把它视为敌人,如果配合系统默认的"自动播放"功能,那激活病毒的机率将会是100%。
关闭自动播放功能:计算机配置—管理模板—系统—停用自动播放—设置为“已启用”—选上所有驱动器—确定,至于Autorun.inf,可以下载U盘免疫工具。
线程插入
全名叫“远程创建线程”。这样的病毒通常是Dll格式的文件,可能依附系统服务\EXE载体\Rundll32.exe\注册表插入进程。那么除非用第三方工具,否则无法发现宿主内的dll病毒,因为进程管理器里毫无异常。这种技术在木马界应用非常广泛,具有一定的隐蔽性。8位字符病毒就是利用这个技术,使得无法在进程里直接发现,给查杀工作带来难度。
我们可以下载第三方工具,可以查看进程模块的,推荐用冰刃。主要检测Explorer进程模块,该进程是木马常聚集的场所,应当特别留意。最好可以配合SREng日志查看,那样会更容易辨认。
另:增强版的冰刃该病毒并无法关闭,同时IFEO劫持亦无效。
IFEO重定向劫持
最近被滥用的技术,在知名的安全工具就Autoruns能追踪到(新版本的SREng同样具有IFEO检测能力),为此我还曾写过一篇防御方法。可惜的是并没有人愿意去看```
IFEO其实是位于注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
下的Image File Execution Options(简写为IFEO)
这个项主要是用来调试程序(防止溢出),一般用户根本用不到。默认是只有管理员和local system能读写修改。假设在这个项新建个“Filename.exe”,键值为Debugger,指向的是另一个程序(virus.exe)路径的话,那么运行A程序的时候,会执行B,这就是重定向劫持。
打开注册表,展开到IFEO,设置权限,只读不允许写入就可以了。(如果程序运行提示找不到的话,不妨改个名字试试)
HOOK
这个是类似于“监听”的技术,翻译意思为“钩子”,我遇到的一个变种使用的是WH_CALLWNDPROC钩子,由常驻进程的8位随机数字.dll释放的钩子,通过拦截一些敏感的信息并在程序调用中做了修改。不过它并不是修改信息,而是直接关闭一些过滤的“关键字”。
直接删掉对应的Dll病毒就可以了,一般用SREng日志可以检测出来。
Rootkit
在我发现的AV变种中,发现一个木马群使用这个(Rootkit)技术,是7位随机病毒带来的,并实现三进程守护!
这个技术在木马界更多的是应用在隐藏上,最典型的应属灰鸽子(也可能是Hook),一个合格的RK可以让属于自己的文件(包括进程)人间蒸发。最常见的是修改枚举进程API,使API返回的数据总是“遗漏”(病毒)自身进程的信息,那么在进程里当然就不能发现了。也有一种类似的技术,通过抹杀“进程信息表”的自身信息进行隐藏。从而也达到隐藏的目的,不过该技术设计上缺陷和平台的通用,貌似相当稀少。(至少我没遇到过)
我们可以通过一些反RK的工具,居于RK的技术,反RK工具不一定能盖过对方,最好的方法只能预防。一些常用的反RK有偌顿的RootkitRevealer,IS、Gmer和AVG的Anti-Rootkit Free。
ARP挂马
这个不是重点,简单说了。是在一个AV变种的木马群发现的,由CMD调用,驻进程,其实是个类似嗅探器的东西,隔秒刷新,监听网络,在经过自身的数据包上挂一段恶意代码(JS),那么这些数据包返回时,收到被修改数据包的用户在浏览每个网页上可能都有病毒。
如果在局域的话,那么可以在任意一台主机上用抓包工具检查数据包的异常并定位。
破防
前几个版本中的8位数字病毒就是使用了这个技术,通过拦截FindWindowExA、mouse_event、SendMessageA等函数,捕捉瑞星注册表监控和卡吧主动防御的监控窗口,发送“允许”、“Yes"命令。(不经过用户操作),后来作者发现,把杀软关闭了,这功能不是多余的么。貌似后面的版本都没有再加入该技术。
这种技术比较卑劣,只能通过预防为上。另:HIPS可以拦住。
自身防护
“随机字符”病毒的自我保护方法是破坏安全模式和“显示隐藏文件”,那么这给查杀工作带来相当大的难度,因为这些病毒属性都是隐藏的。也不能进安全模式杀毒。
修复安全模式和“显示隐藏文件”都可以借助相应的注册表导入修复,另SREng带有修复安全模式的功(SREng—系统修复—高级修复—修复安全模式—确定)
破解方法:
1、忽视联防
首先是针对7位数字的双进程守护,可以通用哦。打开冰刃(增强版),按Ctrl选上两个随机7个字母的进程(通过路径辨别)。同时结束掉,然后再删除对应的文件和启动注册表项就可以了。也可以设置冰刃“禁止线程创建”功能,挨个结束。
2、重命名
把“随机数字.dll”改名为“随机数字lld”那么重启后它还可以插入进程吗?答案是不可以的。
3、扼其要道
一个Dll文件如何实现电脑重启后再次加载呢?(1)通过EXE载体释放。(2)通过系统服务加载。(3)跟随Rundll启动。(4)由注册表隐蔽加载(非常规Run启动项)。这里随机8位数字.dll使用的是第4种方法。附在HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\ShellExecuteHooks下启动。那么好,如果我把这键锁了,你还能启动?这不需要工具。
上次我就是锁住这个键,实现随机病毒全手动删除。(好像40多个病毒这样子)
4、删除工具
这个我就不多说了,等作者开窍,去更新吧,鄙视你。常用的是PowerRMV、KillBox、IS等。只需要删除掉那个随机数字.Dll,那么一切迎刃而解。(其实很有很多工具并没有禁,这里我不说了:D)
5、还施彼身
IFEO?我也会用!这个病毒是依靠插Explorer进程的,如果我们把下面的代码导入注册表并重启,那么等着看随机数字.dll“无家可归”吧
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
"Debugger"="C:\\Windows\\system32\\CMD.exe"
这样启动时候不会显示桌面,当然病毒也无法插入进程了。而是显示DOS命令行哦,我们就可以为所欲为了~~~^_^
小聪明:其中C:\\Windows\\system32\\CMD.exe路径如果改成是冰刃或其他安全工具的启动路径话,效果更佳。
6、断电大法
以前对付一个病毒(ByShell),蛮厉害的,实现三无技术(无文件、无启动项、无进程)。后来就是靠这招险胜的(汗了半个月)。这个方法原理以突发断电法防止病毒从内存回写。我们知道,如果把属于病毒“同党”删除的话,那么驻进程的随机数字.dll会将其再生成。我们可以先使用Autoruns这个工具(记得先改名字哦)删除掉随机数字.dll的注册表项,删除后马上把电源关闭。
如果机子卡或者动作慢的话,这招就不要试拉!
7、借尸还魂
上面提到了,随机数字.dll是依靠宿主Explorer.exe内的,以前是枚举TIMPlatform.exe"(如果有)和"Explorer.exe"后插入进程。后来作者发现,进程里肯定是有Explorer的,在后面的版本中就没有加入枚举TIMPlatform.exe"了。而是直接插入"Explorer.exe"。嘿嘿,思路又来了。如果我们把Explorer.exe进程从任务管理结束掉,那么随机数字.dll不是流露街头?哈哈,看看吧:
这招需要有点DOS知识,配合去病毒的附加属性从而达到目的。你可以直接调用CMD强行删除。这招在前几个版本都有效,后面的我就不知道了。(没有新样本呀,5555~~~~)
8、遗忘的DOS
这里指的是纯DOS啊,不是命令行!找个安装盘并设置CR第一启动项。这样的安装盘一般都有集成DOS的工具,进入之,执行强行删除命令就可以拉,附上命令:
Del 随机数字.dll /f/s/a/q
不过要到它的目录喔,它“老人家”在C:\Program Files\Common Files\Microsoft Shared\MSINFO\
还有个同名的dat病毒。(顺手删了哈)。
9、重返安全模式
AV病毒能破坏安全模式,达到无法进入安全模式清除的效果,其实这是个软肋。只要我们修复安全模式,然后进安全模式把病毒文件删除掉就可以了。
我网盘有专门修复工具(注册表),其中SREng也可以修复,方法在上面。
我的网盘:(如果不能下的话,自己去网上找吧!)
手把手教你如何破解软件注册码
一、算法注册机
1 运行未注册软件,得到软件机器码。
2 运行算法注册机,由注册机算出注册码。(你去找你下载的包里有没类似KEYGEN.EXE这样的程序,运行就可以了)
3 然后在原软件注册处输入即可注册成功。
或者直接由注册机得到NAME和CODE等信息进行注册。
二、内存注册机(内存补丁)
1 前提安装原版软件;下载内存注册机。
2 把内存补丁复制到软件所在(硬盘的)目录内;运行内存补丁,接着输入任意注册码点注册或确定。此时将弹出正确的注册码。
3 把你得到的正确注册码填入原软件需要注册的地方,点击确定或注册即可。
三、破解补丁(情况通常两种)
1 把破解补丁复制到软件所在(硬盘的)目录内,运行破解补丁,此时软件就被成功破解或输入任意注册信息后,点确定/注册即可。
2 运行破解补丁,点“浏览”寻找原程序所在硬盘上的位置,找到并选中原程序后,确定,将会提示修补成功,即为注册成功了。
四、*.REG 注册文件
运行该*.REG,导入注册信息即可注册。
求迅雷破解版文件+教程
迅雷破解版.zip,免费下载
链接:
?pwd=nfki 提取码: nfki
迅雷是迅雷公司开发的一款基于多资源超线程技术的下载软件,作为“宽带时期的下载工具”,迅雷针对宽带用户做了优化,并同时推出了“智能下载”的服务。迅雷利用多资源超线程技术基于网格原理,能将网络上存在的服务器和计算机资源进行整合,构成迅雷网络,通过迅雷网络各种数据文件能够传递。多资源超线程技术还具有互联网下载负载均衡功能,在不降低用户体验的前提下,迅雷网络可以对服务器资源进行均衡。
bitcomet0.63,一开始下文件就停止响应,怎么办啊~
你可以把最大连接数设为10个试一下,如果不行的话,就按以下方法:
为了防范蠕虫病毒的传播和攻击,Windows XP SP2将并发线程最多限制为10个。
SP2利用Messages动态链接库,来实时监控每个进程的并发线程数目,一旦它发现某进程的线程数超过10个,
就会屏蔽掉部分线程。SP2这样做,虽然可以防范震荡波类型的蠕虫病毒,加强系统安全,
但是也带了一些负面影响,例如当你使用BT、P2P或FlashGet软件下载时,部分线程将被屏蔽掉,
因此下载速度会变得很慢为此,你可以采取以下对策来突破TCP并发连接数,从而提高SP2的多线程访问速度。
在Windows XP SP2操作系统下的用户使用Bitcomet下载和上传任务过多时,再加上一些后台的连接程序,
会严重影响eMule找源和下载的速度甚至是网页的浏览。
一、注册表修改法的误区
为了突破SP2对TCP并发连接数的限制,网上曾经流传过一种修改注册表的方法,操作步骤如下:
单击“开始”/运行,输入Regedit打开注册表,定位到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下
,修改的“TcpNumConnections”的键值,将之由10改为150,即设置TCP最大并发
连接数为150。
经过实际测试,我们发现该方法看起来有效,但实质上并不能突破并发连接数限制,
提高SP2的多线程访问速度。因为SP2对线程数目的控制,是通过“Tcpip.sys”这个系统文件来实现的,
并不是通过注册表实现的,因此,该方法不能增加SP2的TCP并发连接数。
二、使用工具来替换Tcpip.sys
为了突破SP2的TCP并发连接数限制,正确地方法是修改Windows XP SP2的系统文件Tcpip.sys。Tcpip.sys
是Windows XP SP2重要的系统文件,位于“C:\Windows\system32\drivers目录下。
该文件由于平时受到系统保护,所以正常情况下你是无法替换它的,必须在安全模式或纯DOS模式下才能替换,
建议你使用以下专门工具、来替换“Tcpip.sys”文件,操作步骤如下:
首先请下载附件!!!!!!!!!!!!!!!!!
用它来修改系统文件Tcpip.sys最大安全并发连接限制;然后备份一下C:\Windows\system32
\drivers\Tcpip.sys文件。
接下来,双击打开下载文件ZIP压缩包,运行其中的替换工EvID4226Patch.exe,
随之将弹出一个命令行提示符窗口,首先显示Windows当前的Tcpip.sys文件版本,
以及并发连接的限制数值(默认为10);接着询问你是否将连接数限制在50,你可以选择“Yes/No/Change”,
如果你输入“Y”,则会将并发连接数改为“50”,如果想改为其他数(例如150),可以在提示符后输入“c”,
然后输入最大的并发连接数(例如150)回车,最后在提示符下输入“Y”并回车,这样就替换了Tcpip.sys文件;Tcpip.sys文件被替换后,随之会弹出系统文件保护对话框,你可以点击“取消”按钮,然后点击“是”按钮,重新启动后,Tcpip.sys文件的替换就大功告成了! 现在你的最大并发连接数已超过10个,达到了150个,因此Windows XP SP2的多线程访问速度得到了提升,当你用FlashGet、BT等多线程下载时,就不会感到网络带宽的限制了。
三、DOS下修改Tcpip.sys文件
以上替换程序EvID4226Patch.exe也可以在DOS下使用,方法是:首先把EvID4226Patch.exe拷贝到C盘根目录下;然后再进入DOS模式,进入C盘根目录,输入命令EvID4226Patch/L=$n$/w=C:\WINDOWS\system32\drivers/L=tcpip.sys
即可修改Tcpip.sys文件。
注意:以上$n$为你要设置的最大安全连接数,假如要把最大并发连接数设置为150个线程,那么输入命令
EvID4226Patch/L=150/w=C:\WINDOWS\system32\drivers/L=tcpip.sys即可。
四、使用比特精灵附带的工具
比特精灵附带的工具“TCP/IP连接数破解补丁”也可以替换Tcpip.sys,突破SP2的TCP并发连接数限制。
下载比特精灵(BitSpirit)简体中文正式版,然后双击下载文件进行安装。你可
以选择安装哪些组件,应该安装“用于Windows XP SP2的TCP/IP连接数破解补丁”,安装结束后,
XP开始菜单中就会有BitSpirit程序组,单击其中的“XP SP2连接数破解补丁”,即可修改Tcpip.sys文件。
单击“XP SP2连接数破解补丁”,弹出该软件的界面,界面中列出了当前Tcpip.sys的版本、
及最大并发连接数,你可以在“TCP/IP Linitation”输入一个数,来设置最大并发连接数,例如输入150,
然后按“Apply”按钮,重启系统后,你的SP2最大并发连接数就改为了150。
以上几种方法虽然提高了Windows XP SP2的多线程访问速度,但却降低了SP2的安全性能,
如果你的电脑感染了病毒和木马,过多地启用新线程,会加速病毒和木马地蔓延,
因此你在追求网络下载速度的同时,也要注意网络安全。建议你及时安装升级杀毒软件和防火墙,
如果是普通用户,可以利用上面的方法,将TCP最大并发连接数设置为30~50,BT用户可以设置为100~256