TECHDAYUZHIZAO: September 2006

Picasa与Blog

Google的看图软件Picasa也可以和Blogger整合在一起方便的在Blog中加入图片，感觉很不错。同时也在想现在的微软在做什么？

What Vista really means ?

vista, originally uploaded by OndraSoukup.

最近一个多星期以来，自己家里的机器饱受木马和流氓软件的折磨
对于一个把PC作为饭碗的人来讲真是一件莫大的痛苦

到现在为止还有许多未知的隐患隐藏在我的机器
一个著名的反木马和流氓软件的工具叫做hijackthis，我现在的感觉真像自己被“绑架”
是到了和hijacker战斗的时候了
FIGHT~~

又折腾了几天，干掉了不少令人心烦的“坏分子”，不知道还有多少隐藏在幕后
总结一下，

ExeRoute，据说叫“落雪”，会改变可执行文件打开的方式，运行任何程序都会启动这个病毒，然后改注册表，在系统中乱放东西
Logo1_.exe，会把自己附加在许多可执行文件上，当那个程序运行的时候会把这个家伙释放出来，生成Logo1_.exe，图标和被感染的程序一摸一样，还会产生Dll.dll，然后把这个文件绑定到explorer上。奇怪的是每次那个被感染的文件释放Logo1_.exe之后，再次运行的话就不会产生Logo1_.exe了，也许道理和我想得不一样，也许还有新的危机
IEXPLORE.sys，会被自动加载到每一个程序中，然后不定期的自动启动一个IEXPLORE.exe，接下来就会莫名奇妙的出现1.exe，sy.exe，g0ld.com等等坏东西。这个东西看起来比较底层，而且删除后，第一次重启兰屏
system.sys，和IEXPLORE.sys很像，启动时会被加载到每一个进程
Rvadm.exe，好像是一个盗QQ号码的东西，捎带把QQ很多文件都给改了，而且修改了一些怪异的系统配置，把它删除后，很多时候开机都会出错，有时候甚至兰屏

对于这些怪东西，首先做的一件事情可能就是删除罪魁祸首，但是很多时候删除不掉，特别是对于那些被附加在其他程序上的坏蛋，如IEXPLORE.sys和Dll.dll。微软的一个同学给我出了一个主意，虽然这些文件不能马上删除，但是可以改名，然后下一次启动的时候因为改了名，坏家伙肯定起不来了，然后就可以删除了

有效的工具是必不可少的，process explorer查看奇怪的进程，hijackthis找到IE那些肮脏角落里面的坏蛋，超级兔子查看和修改启动项不错
autoruns可以把更详细的开机时自动运行和加载的模块列出来，供我们分析
终截者，国产的防护软件，自动探测可能产生异常行为的程序，感觉不错，好像当时天网可以防护网络一样。终截者功能更完善，还可以保护对注册表的访问，还可以对程序进行加密（比如QQ）。至少目前看起来，如果不许要他们的技术支持的话，就是免费的

也许还有很多奇怪的东西隐藏在更加隐蔽的角落，这场战斗还远远没有结束