临川十中 胡长生 1、 Network Address Translation (NAT)
Network Address Translation (NAT) is the simplest way of accessing an external network from a virtual machine. Usually, it does not require any configuration on the host network and guest system. For this reason, it is the default networking mode in VirtualBox.
网络地址转换( NAT )是最简单的方法从一个虚拟机访问外部网。通常,它并不要求在主机网络和客户机上做任何配置。基于这个原因,它是默认的网络模式 。
A virtual machine with NAT enabled acts much like a real computer that connects to the Internet through a router. The “router”, in this case, is the VirtualBox networking engine, which maps traffic from and to the virtual machine transparently. The disadvantage of NAT mode is that, much like a private network behind a router, the virtual machine is invisible and unreachable from the outside internet; you cannot run a server this way unless you set up port forwarding (described below).
设置为通过 NAT 方式连接的一台虚拟机能像一台真正的计算机一样访问互联网,主机就是一只路由器。 在这种方式下,通过 VirtualBox 网络引擎,虚拟机透明地映射到外部网络。 NAT 方式不方便是,很像是在路由器之后的一个专用网络,从外部互联网看来,虚拟机是无形和不能到达的; 您不可能在虚拟机上运行一个服务器,因为外部网络无法访问通过 NAT 方式连接的内部机,除非您设定了端口转发(下述)。
The virtual machine receives its network address and configuration on the private network from a DHCP server that is integrated into VirtualBox. The address which the virtual machine receives is usually on a completely different network to the host.As more than one card of a virtual machine can be set up to use NAT, the first card is connected to the private network 10.0.2.0, the second card to the network 10.0.3.0 and so on.
虚拟机从一个 VirtualBox 整合的 DHCP 服务器得到私有的网址。这个网址对主机来说是一个完全不同的网络。一台虚拟机的多个网卡可以被设定使用 NAT, 第一个网卡连接了到专用网 10.0.2.0,第二个网卡连接到专用网络 10.0.3.0,等等。默认得到的客户端ip(IP Address)是10.0.2.15,网关(Gateway)是10.0.2.2,域名服务器(DNS)是10.0.2.3,可以手动参考这个进行修改。
The network frames sent out by the guest operating system are received by VirtualBox’s NAT engine, which extracts the TCP/IP data, and resends it using the host operating system. To an application on the host, or to another computer on the same network as the host, it looks like the data was sent by the VirtualBox application on the host, using an IP address belonging to the host. VirtualBox listens for replies to the packages sent, and repacks and resends them to the guest machine on its private network.
客户机(即虚拟机)送出的网络帧被 VirtualBox 的 NAT 引擎收到,抽取 TCP/IP 数据,再通过主机的操作系统(即安装 VirtualBox 的操作系统)重新发送出去。送到在主机上的一个应用程序,或者到位于主机同一网络的另一台计算机上,它看起来好象是安装在主机上的程序 VirtualBox,通过一个属于主机的 IP 地址,把数据发送出去。VirtualBox 倾听到数据包裹的回复,通过客户机的私人网络重新包装和发送往客户机上。
You can set up a guest service which you wish to proxy using the command line tool VBoxManage. You will need to know which ports on the guest the service uses and to decide which ports to use on the host (often but not always you will want to se the same ports on the guest and on the host). You can use any ports on the host which are not already in use by a service. An example of how to set up incoming NAT connections to a ssh server on the guest requires the following three commands:
你可以设置一个虚拟机的服务(比如 WEB 服务),通过使用命令行工具 VboxManage 代理。你需要知道虚拟机的服务使用哪个端口,然后决定在主机上使用哪个端口(通常但不总是想要使虚拟机和主机使用同一个端口)。在主机上提供一个服务需要使用一个端口,你能使用在主机上没有准备用来提供服务的任何端口。一个怎样设置新的 NAT 例子,在虚拟机上连接到一个 ssh 服务器,需要下面的三个命令:
VBoxManage setextradata “Linux Guest” “VBoxInternal/Devices/pcnet/0/LUN#0/Config/guestssh/Protocol” TCP
VBoxManage setextradata “Linux Guest” “VBoxInternal/Devices/pcnet/0/LUN#0/Config/guestssh/GuestPort” 22
VBoxManage setextradata “Linux Guest” “VBoxInternal/Devices/pcnet/0/LUN#0/Config/guestssh/HostPort” 2222
说明:VboxManage 是一个命令行程序,请查询你的 VirtualBox 安装目录,”Linux Guest” 是虚拟主机名。guestssh 是一个自定义的名称,你可以任意设置,通过上面的三个命令,把虚拟机的 22 端口 转发到主机的 2222 端口。
又比如,我在虚拟机 debian 上安装了 apache2 服务器,使用 80 端口,映射到主机的 80 端口。使用下面的命令。
“C:\Program Files\innotek VirtualBox\VBoxManage.exe” setextradata “debian” “VBoxInternal/Devices/pcnet/0/LUN#0/Config/huzhangsheng/Protocol” TCP
“C:\Program Files\innotek VirtualBox\VBoxManage.exe” setextradata “debian” “VBoxInternal/Devices/pcnet/0/LUN#0/Config/huzhangsheng/GuestPort” 80
“C:\Program Files\innotek VirtualBox\VBoxManage.exe” setextradata “debian” “VBoxInternal/Devices/pcnet/0/LUN#0/Config/huzhangsheng/HostPort” 80
注意:要使设置生效,请关掉 VirtualBox 再运行虚拟机,我把 VirtualBox 安装在 winxp 上,在虚拟机中安装 debian 4.02r ,虚拟机名是 debian ,并安装了 apache2 php5 mysql-server ,在主机上用IE浏览 http://localhost,成功转发到虚拟机 debian 的 apache2 web 服务器上,通过这点我发现:可能 VirtualBox 的设置比 vmware 更灵活,更强大。
VirtualBox是通过NAT(Network Address Translation 网络地址转换)来实现虚拟机对外部网络的访问,设置为通过 NAT 方式连接的一台虚拟机能像一台真正的计算机一样访问互联网,主机就是一只路由器。在这种方式下,通过 VirtualBox 网络引擎,虚拟机透明地映射到外部网络。 但是NAT 方式不方便的是,很像是在路由器之后的一个专用网络,从外部互联网看来,虚拟机是无形和不能到达的;一般情况下是不可能在虚拟机上运行一个服务器,因为外部网络无法访问通过 NAT 方式连接的内部机。
虚拟机从一个 VirtualBox 整合的 DHCP 服务器得到私有的网址。这个网址对主机来说是一个完全不同的网络。一台虚拟机的多个网卡可以被设定使用 NAT, 第一个网卡连接了到专用网 10.0.2.0,第二个网卡连接到专用网络 10.0.3.0,等等。默认得到的客户端ip(IP Address)是10.0.2.15,网关(Gateway)是10.0.2.2,域名服务器(DNS)是10.0.2.3,可以手动参考这个进行修改。
客户机(即虚拟机)送出的网络帧被 VirtualBox 的NAT 引擎收到,抽取 TCP/IP 数据,再通过主机的操作系统(即安装 VirtualBox 的操作系统)重新发送出去。送到在主机上的一个应用程序,或者到位于主机同一网络的另一台计算机上,它看起来好象是安装在主机上的程序 VirtualBox,通过一个属于主机的 IP 地址,把数据发送出去。VirtualBox 倾听到数据包裹的回复,通过客户机的私人网络重新包装和发送往客户机上。
为了让外部网络访问虚拟服务器,只有设定端口映射(转发)。在设置一个虚拟机的服务(比如SSH服务)后,通过使用命令行工具 VboxManage 代理。假如需要在虚拟机的服务端口是22,然后决定在主机上确定一个端口2222(通常但不总是想要使虚拟机和主机使用同一个端口,但必须保证能使用在主机上并且没有准备用来提供其他服务的端口)。接下来使用VBoxMangage执行端口映射的命令:
VBoxManage setextradata “Debian” “VBoxInternal/Devices/pcnet/0/LUN#0/Config/guestssh/Protocol” TCP
VBoxManage setextradata “Debian” “VBoxInternal/Devices/pcnet/0/LUN#0/Config/guestssh/GuestPort” 22
VBoxManage setextradata “Debian” “VBoxInternal/Devices/pcnet/0/LUN#0/Config/guestssh/HostPort” 2222
说明:VboxManage 是一个命令行程序,请查询你的 VirtualBox 安装目录,”Debian” 是虚拟主机名。guestssh 是一个自定义、任意设置的名称,pcnet是虚拟机的网络连接接口,在虚拟机配置中,可以看到!通过上面的三个命令,把虚拟机的 22 端口转发到主机的 2222 端口。
Mandriva下配置VirtualBox的bridge上网方式 这种方式的优点是:外部主机可以直接访问virtualbox系统
步骤如下: (以下命令均用root用户执行)
1. 安装uml-utilities和bridge-utils和,这两个工具分别含有tunctl和brctl命令
urpmi uml-utilities
urpmi bridge-utils
2. 生成一个新的TAP接口
tunctl -t tap1 -u <username>
这里<username>是你想用bridge联网方式启动VirtualBox的那个用户的用户名
比如我的是: tunctl -t tap1 -u wan
3. 生成一个叫做br0的bridge
brctl addbr br0
4. 把你的真实网卡设成promiscuous模式,使得它能够接收发送到别的MAC地址的帧
ifconfig eth0 0.0.0.0 promisc
5. 把你的真实网卡加到bridge br0的一端
brctl addif br0 eth0
6. 为你的br0配置一个真实的IP地址,注意与你的真实网卡在一个网段
ifconfig br0 192.168.1.60
不建议使用DHCP
7. 把上面生成的TAP接口加到 bridge br0的另一端
brctl addif br0 tap1
8. 激活TAP
ifconfig tap1 up
9. 设置/dev/net/tun的读写权限
chmod 0666 /dev/net/tun
经过以上几步之后,在你的virtualbox系统启动之前,将它的Network的Adapter0设成
HostInterface,然后Interface Name那一栏天上tap1
启动virtualbox系统,在该系统中,将你的ip地址设成跟Host系统的eth0在一个局域网就可以了
W32.Virut.CF
一直用FirstObject XML Editor 是一个颇具特色的 XML 编辑器。该编辑器对中文的支持良好,可以极快的速度加载 XML 文档,并生成可自定义的树视图以显示 XML 文档的数据结构(非常有特色,为其他 XML 编辑器所无),可以调用 MSXML 分析引擎验证 XML 文档的正确性和有效性
今天看到更新,结果下载下来后运行后,发现有人说有病毒
上传看了看
扫描结果 : 42%的杀软(16/38)报告发现病毒
时间 : 2009/05/15 09:41:07 (CST)
赛门铁克 1.3.0.24 20090514.002 2009-05-14 W32.Virut.CF
卡巴斯基 5.5.10 2009.05.14 2009-05-14 Virus.Win32.Virut.ce
搜索下看看
~~~~~~~~~
Virus.Win32.Virut.ce,一个名为Virut的复杂多态性病毒的新变种。与其它恶意程序不同的是,这类变种在感染用户计算机中的HTML文件时,会通过一种恶意的IFRAME模块来进行
W32.Virut.CF变种采用了双层加密技术,将自己的内容“包装”得十分隐蔽;同时,病毒还会以不同的形态去感染文件,企图以此躲过防病毒软件的检测和移除。
W32.Virut.CF病毒会入侵计算机系统的多个进程,关闭Windows文件保护功能,并监控是否有任何进程打开新文件,以对其进行感染。常见的被感染的文件格式包括.exe可执行程序和.scr屏幕保护程序。同时,.htm .html .php .asp等网络常用文件也是病毒感染对象。在感染这类网络常用文件时,W32.Virut.CF会试图在文件中加入iframe,通过iframe中的命令将浏览器重新定向到恶意网站。同时,病毒会在受感染计算机中安装后门,并下载恶意代码。另外,W32.Virut.CF病毒可能会感染其他病毒文件;在这种情况下,多个病毒文件的叠加使其内容变得更复杂,传播途径更多样,这在很大程度上增加了防病毒软件检测和清除的难度,并扩大了W32.Virut.CF病毒的传播性。
Virus.Win32.Virut.ce
来自ITwiki,开放的信息技术大百科
Jump to: navigation, <jumptoSearch>
病毒类型: 病毒类
文件 MD5: 34D360D7A178F8D9CF9E2A8D6A93B536
公开范围: 完全公开
危害等级: 5
文件长度: 40,221 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 – 7.0
加壳类型: 伪装为Borland Delphi v3.0的FSG 2.0变形壳
病毒描述: 病毒运行后,复制自身到各驱动器根目录下(除系统盘根目录)并衍生配置文件,实现双击盘幅运行病毒。在%ProgramFiles%目录和部分附属目录下复制自身并衍生病毒文件;修改注册表,添加启动项,对大量反病毒工具和软件映像劫持,锁定对隐藏文件的显示,使用户无法通过文件夹选项显示隐藏文件;禁用系统防火墙服务、自动更新服务、入侵保护服务、帮助服务;删除注册表中安全模式启动需要加载的驱动文件,使用户无法进入安全模式;开启自动播放功能,感染连接到中毒机器的移动磁盘;该病毒会自动关闭标题栏中含有指定字符的窗口或文件;该病毒主要通过移动磁盘进行传播。
Win32.Virut.GEN病毒,少有的技术型病毒。virut是加密变形病毒,这个病毒每感染一个文件,病毒特征就会变一次,杀毒引擎想通过特征码查杀来修复被感染的文件,相当困难。
故障现象:机器运行缓慢,杀毒困难,部分应用程序无法使用。
到目前为止,还没有发现哪个杀毒软件能够修复被virut感染的EXE,只能选择隔离。系统感染病毒后,只要你访问EXE文件,它就会去感染,然后感染得各个分区都是,普通网友仅仅是格下系统盘,其他分区上的不管,那么很可能会死灰复燃。
感染型病毒,它是将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。
~~~~~~~~~~~~~
描述得倒是很严重得样子,但是看不到有什么衍生物。放在沙盒里面也是 也没看到启动项,对应得特征都没有
Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.05.14 -
AhnLab-V3 5.0.0.2 2009.05.14 -
AntiVir 7.9.0.166 2009.05.14 W32/Virut.Gen
Antiy-AVL 2.0.3.1 2009.05.14 -
Authentium 5.1.2.4 2009.05.14 W32/Virut.AI!Generic
Avast 4.8.1335.0 2009.05.13 -
AVG 8.5.0.327 2009.05.14 -
BitDefender 7.2 2009.05.14 Win32.Virtob.Gen.12
CAT-QuickHeal 10.00 2009.05.14 -
ClamAV 0.94.1 2009.05.14 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.14 -
eSafe 7.0.17.0 2009.05.14 -
eTrust-Vet 31.6.6505 2009.05.14 -
F-Prot 4.4.4.56 2009.05.14 W32/Virut.AI!Generic
F-Secure 8.0.14470.0 2009.05.14 -
Fortinet 3.117.0.0 2009.05.14 -
GData 19 2009.05.14 Win32.Virtob.Gen.12
Ikarus T3.1.1.49.0 2009.05.14 -
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.14 Virus.Win32.Virut.ce
McAfee 5615 2009.05.14 W32/Virut.n.gen
McAfee+Artemis 5615 2009.05.14 W32/Virut.n.gen
McAfee-GW-Edition 6.7.6 2009.05.14 Win32.Virut.Gen
Microsoft 1.4602 2009.05.14 Virus:Win32/Virut.gen!O
NOD32 4076 2009.05.14 Win32/Virut.NBP
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.14 -
Panda 10.0.0.14 2009.05.14 Suspicious file
PCTools 4.4.2.0 2009.05.13 -
Prevx 3.0 2009.05.15 -
Rising 21.29.34.00 2009.05.14 Unknown Virus [Suspicious]
Sophos 4.41.0 2009.05.14 W32/Scribble-B
Sunbelt 3.2.1858.2 2009.05.14 -
Symantec 1.4.4.12 2009.05.14 W32.Virut.CF
TheHacker 6.3.4.1.326 2009.05.14 -
TrendMicro 8.950.0.1092 2009.05.14 -
VBA32 3.12.10.5 2009.05.14 -
ViRobot 2009.5.14.1735 2009.05.14 Win32.Virut.AL
VirusBuster 4.6.5.0 2009.05.14 Win32.Virut.Y.Gen
shengfang.org 的当前列表状态如何?
此网站已列为可疑网站 – 访问此网站可能会损害您的计算机。
在过去 90 天内,此网站的部分内容因包含可疑活动而被列出了 1 次。
Google 访问此网站时出现了什么情况?
我们过去 90 天内对此网站上的 3 张网页进行了测试,发现有 1 张网页在未经用户同意的情况下就会将恶意软件下载并安装到用户的机器中。Google 上次访问此网站的日期是 2008-10-25,上次在此网站中发现可疑内容的日期是 2008-10-25。
恶意软件包含 2 worm(s)。目标机器感染恶意软件后,平均会增加 7 个新进程。
恶意软件托管在 4 个域上,其中包括 fql10.cn, sgl10.cn, fql11.cn。
1 个域以传播媒介的身份向此网站的访问者散发了恶意软件,其中包括 itsun.com。
此网站是否以传播媒介的身份散发了更多恶意软件?
在过去 90 天里,shengfang.org 并未以传播媒介的身份感染任何网站。
此网站是否托管了恶意软件?
没有,此网站在过去 90 天内未托管恶意软件。
这是如何发生的?
在某些情况下,第三方可以向合法网站添加恶意代码,我们会针对这种情况发出警告消息。
ico Comodo Firewall Pro 3.0.22.349FREE 95% / 73 10+ Excellent
ico Comodo Firewall Pro 2.4.18.184FREE 55% / 73 7 Poor Not recommended pdf
ico PC Tools Firewall Plus 4.0.0.45FREE 85% / 73 10+ Very good GET IT NOW! pdf
以Windows Server 2008为例,这个方法针对那些在注册表中搜寻键值以判断操作系统版本的软件比较有效,方法如下:
一,打开注册表编辑器(Start –> Run –> Regedit)
二,找到HKEY_LOCAL_MACHINE –> SYSTEM –> CurrentControlset –> Control
三,改变"ProductOptions" 的权限:右键点击"ProductOptions",选"permission",添加你的用户名(例如Computername\\Username),并取消你自己读取"ProductOptions"的权限!这里一定要小心,千万不要取消管理员用户组里面所有用户查看此键的权限,否则很可能出现一些麻烦!尤其是当你以系统内建的“Administrator”登录的时候!!!强烈建议以非“Administrator”的管理员身份登录进行操作。
四,改完了,好了,想怎么装怎么装吧,装完以后,记得登录其他管理员用户将第三步中的注册表操作撤销,以免出现不必要的麻烦。
【软件简介:】
PC Tools FireWall Plus 是一款个人用户使用的软件防火墙。
该防火墙使用简便、系统资源占用小、功能实用。
【相关知识:】
什么是防火墙?—- 在计算机领域内,防火墙是指用于过滤网络信息数据、阻挡未经授权的网络访问、保护计算机网络安全的专用软件或硬件。拥有网络访问能力的计算机一般都应该安装防火墙以保护信息安全。
ThreatFire 主要是一个传统安全软体的辅助工具,可以弥补许多传统安全软体防护不足的地方,依照ThreatFire自己的说法,它可以与原本的反病毒、反间谍、防火墙等软体共容.
ThreatFire 3.0 的免费版中,除了可以利用专利的行为监控技术来阻止恶意的病毒、蠕虫、木马、间谍等程序入侵 ,而且还把原本Cyberhawk Pro才提供的Rootkits侦测、自定义规则等功能也都纳入免费版中提供,当然还加上了一些新的特色.
AntiVir Personal Edition 中文名叫“小红伞”,是一款相当优秀的免费杀毒软件,主要特色是系统资源占用很少,内存占用很低,杀毒能力不一般。
NOD内存占用越来越大;红伞免费,THREATFIRE类似微点,免费,COMODO 2.4过时了,3.0 WIN2003不能安装,改用PCTOOLS
标签:fire, tools, vir20080703 win2003 AntiVir
http://www.yippeesoft.com
你要是找密钥倒是有几个:
DBXYD-TF477-46YM4-W74MH-6YDQ8
V9MTG-3GX8P-D3Y4R-68BQ8-4Q8VD
J67F8-BB7GM-8VPH2-8YMXP-K49QQ
PGHBF-6K7PC-J9989-BGGJD-TKT3Q
免激活的方法,找的,不知道是否管用你试试吧。我也不用这么高级的文档编辑器的,2003是我最好的选择哟。。。。呵呵
1.安装 Office 2007 Ultimate 时勿输入序列号;
2.安装完成,不要运行 Word、Excell 等任何 Office 程序组件;
3.进入目录:C:\\Program Files\\Common Files\\Microsoft Shared\\Office 12\\Office Setup Controller\\Proof.en;找到此 xml 文件,用记事本打开编辑:
将语句 中的 AlwaysInstalled 替换为 neverinstalled,保存文件后退出。
4.充分享受 Office 2007 Ultimate 吧,没有激活次数的限制了
AntiVir Personal Edition 中文名叫“小红伞”,是一款相当优秀的免费杀毒软件,主要特色是系统资源占用很少,内存占用很低,杀毒能力不一般。在系统资源占用上只有NOD32能与其匹敌,但NOD32在木马查杀方面却很弱。我在使用了Avira+LNS(一款防火墙)后电脑几乎没有中过毒。主要缺点是有时会有误杀现象,不过,现在这种现象越来越少。07年4月份,小红伞升级版本,不支持windows 2003 操作系统,但通过以下设置我们发现可以实现完美安装。
第一种方法:下载 AntiVir Personal Edition 老版-07年以前的版本,安装后,下载 AntiVir Personal Edition 最新版本(Avira AntiVir PersonalEdition Classic Windows 2000 / XP / Vista 32 Bit and 64 Bit),覆盖安装即可。
第二种方法:下载AntiVir Personal Edition 老版,安装后到这里下载License file(授权文件)——这是小红伞的官方网站。下载后可将该文件直接放到Avira Antivir 的安装目录下。重新启动,升级病毒库后,你就会发现你的小红伞已经更新到最新版了。
下面的图片是我的windows 2003中Avira Antivir 所占的内存,你看是不是很省内存?
当然,你一切安装完毕后,需要对它进行一下设置。下载这个德国小红伞设置图,参照设置一下就可以了。
1.先下载S版旧版并安装好http://zhoujianjun.w1.kingtoo.net/antivir_sswin7u.exe。
P版旧版的http://www.ikzhe.com/soft/901.html
2.下载S版目前最新版http://dl1.antivir-pe.de/down/windows/prem_sec_winnt_en_hp.exe
或者来这边下载全版本:http://www.avira.com/en/downloads/download_personaledition_premium.html
3.来这边申请三个月的Key:https://license.avira.com/en/promotion-cj0ptfb6eh8cmw6a101r
或是这边申请P版6个月的Key:https://license.avira.com/en/promotion-t0q1aatr05zwftftgnqr
4.安装新版,并选择重新安装,导入Key之后重新开机即可享用。
附上小红伞个版本之间的差别
http://www.free-av.com/en/download/2/avira_antivir_premium.html
在WIN2003使用AntiVir Personal Edition2008年1月6日 23:31:20 发布:admin 认识红雨伞后彻底喜欢上了他,今天重装系统后发现不能在WIN03上安装,网上查了下原来是07年4月更新后的版本不可以在WIN03上使用。还好我有旧版本。
接着发现不能更新,网络上有个人修改版,但既然现在网络太可怕,所以不敢随便使用人家修改的东西。
其实官网下载个新的授权文件就可以了。
http://www.antivir-pe.com/freet/index.php?id=28&domain=free-av.com
20070822 TSC arp
http://www.yippeesoft.com
搞了个
1、用TSC查杀到POSSIBLE_ARP,但是无法杀去,难道我的服务器是否也中了arp病毒?
[code]POSSIBLE_ARP[virus found]
Complete time : 星期五 六月 15 2007 11:24:25
Execute pattern count(2932), Virus found count(1), Virus clean count(1), Clean failed count(0)[/code]
结果每次运行都报告一次有病毒,KAO~
ARP病毒解决办法
ARP病毒病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为网关服务器的地址,那么对整个网络均会造成影响,用户表现为上网经常瞬断。局域网内有电脑使用ARP欺骗程序(比如:传奇、QQ盗号的软件等)发送ARP数据包,致使被攻击的电脑不能上网。
当局域网内某台电脑A向电脑B发送ARP欺骗数据包时,会欺骗电脑B将其通信的数据发向电脑A,电脑A通过对截获的数据进行分析,达到窃取数据(如用户账号)的目的。被ARP欺骗的电脑会出现突然不能上网,过一段时间又能上网,反复掉线的现象。
一、在任意客户机上进入命令提示符(或MS-DOS方式),用arp –a命令查看:
C:WINNTsystem32>arp -a
Interface: 192.168.0.193 on Interface 0×1000003
Internet Address Physical Address Type
192.168.0.1 00-50-da-8a-62-2c dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
可以看到有两个机器的MAC地址相同,那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址,192.168.0.1的实际MAC地址为00-02-ba-0b-04-32,我们可以判定192.168.0.24实际上为有病毒的机器,它伪造了192.168.0.1的MAC地址。
二、在192.168.0.24上进入命令提示符(或MS-DOS方式),用arp –a命令查看:
C:WINNTsystem32>arp -a
Interface: 192.168.0.24 on Interface 0×1000003
Internet Address Physical Address Type
192.168.0.1 00-02-ba-0b-04-32 dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
可以看到带病毒的机器上显示的MAC地址是正确的,而且该机运行速度缓慢,应该为所有流量在二层通过该机进行转发而导致,该机重启后所有电脑都不能上网,只有等arp刷新MAC地址后才正常,一般在2、3分钟左右。
三、如果主机可以进入dos窗口,用arp –a命令可以看到类似下面的现象:
C:WINNTsystem32>arp -a
Interface: 192.168.0.1 on Interface 0×1000004
Internet Address Physical Address Type
192.168.0.23 00-50-da-8a-62-2c dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-50-da-8a-62-2c dynamic
192.168.0.193 00-50-da-8a-62-2c dynamic
192.168.0.200 00-50-da-8a-62-2c dynamic
该病毒不发作的时候,在代理服务器上看到的地址情况如下:
C:WINNTsystem32>arp -a
Interface: 192.168.0.1 on Interface 0×1000004
Internet Address Physical Address Type
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
病毒发作的时候,可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c,正常的时候可以看到MAC地址均不会相同。
故障诊断:
如果用户发现突然不能上网,可以通过如下操作进行诊断:点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。arp -d”命令能清除本机的arp表,arp表被清除后接着系统会自动重建新的arp表,“arp -d”命令并不能抵御ARP欺骗,执行“arp -d”命令后仍有可能再次遭受ARP攻击。
解决办法:
一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。
1. 1.在所有的客户端机器上做网关服务器的ARP静态绑定。
首先在网关服务器(代理主机)的电脑上查看本机MAC地址
C:WINNTsystem32>ipconfig /all
Ethernet adapter 本地连接 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100B PCI Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
然后在客户机器的DOS命令下做ARP的静态绑定
C:WINNTsystem32>arp –s 192.168.0.1 00-02-ba-0b-04-32
注:如有条件,建议在客户机上做所有其他客户机的IP和MAC地址绑定。
2. 在网关服务器(代理主机)的电脑上做客户机器的ARP静态绑定
首先在所有的客户端机器上查看IP和MAC地址,命令如上。
然后在代理主机上做所有客户端服务器的ARP静态绑定。如:
C:winntsystem32> arp –s 192.168.0.23 00-11-2f-43-81-8b
C:winntsystem32> arp –s 192.168.0.24 00-50-da-8a-62-2c
C:winntsystem32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
……
3. 以上ARP的静态绑定最后做成一个windows自启动文件,让电脑一启动就执行以上操作,保证配置不丢失。
使用二、AntiArp软件抵御ARP攻击。运行antiArp,点击“获取网关MAC地址”后,检查网关IP地址和MAC地址无误后,点击“自动保护”或“开始监控”。若不能获取网关IP地址,可通过以下操作获取:点击“开始”按钮->选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车, “Default Gateway”后的IP地址就是网关地址。使用AntiArp软件需要每次系统启动后运行该软件。可以建立AntiArp的快捷方式并把它放到程序的启动项里边。
AntiArp软件很容易在网上搜索到。我装上AntiArp软件后捕捉并清除多次ARP病毒对我的电脑的攻击,掉线也少了。
三、有条件的网吧可以在交换机内进行IP地址与MAC地址绑定
四、IP和MAC进行绑定后,更换网卡需要重新绑定,因此建议在客户机安装杀毒软件来解决此类问题:发现的病毒是变速齿轮2.04B中带的,病毒程序在 http://www.wgwang.com/list/3007.html 可下载到:
1、 KAV(卡巴斯基),可杀除该病毒,病毒命名为:TrojanDropper.Win32.Juntador.c杀毒信息:07.02.2005 10:48:00 C:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5B005Z0K9Gear_Setup[1].exe infected TrojanDropper.Win32.Juntador.c
?/P>
2、 瑞星可杀除该病毒,病毒命名为:TrojanDropper.Win32.Juntador.f
?/P>
3、 另:别的地市报金山毒霸和瑞星命名:“密码助手”木马病毒(Win32.Troj.Mir2)或Win32.Troj.Zypsw.33952的病毒也有类似情况。
【解决思路】:
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC–>IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这
台ARP服务器不被黑。
5、使用""proxy""代理IP的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
【HiPER用户的解决方案】
建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址:
1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>)。
2)编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows–开始–程序–启动”中。
ARP病毒专杀工具
ARP病毒专杀工具:http://bbs.gdei.edu.cn/attachment/Mon_0609/TSC.rar
1、趋势科技ARP病毒专杀工具,不管是否有中毒,请务必下载下来杀一杀。
下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。
2、Arp病毒专杀防御工具Antiarp
下载地址:http://www.xdowns.com/soft/1/78/2006/Soft_32177.html
∷软件简介∷ 防护arp攻击软件最终版-Antiarp安全软件
使用方法:
1、填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现这种欺骗提示,这说明攻击者发送了对于此种欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址.
2、IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
3、您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:
右击[我的电脑]–[管理]–点击[事件查看器]–点击[系统]–查看来源为[TcpIP]—双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使M地址生效请禁用本地网卡然后再启用网卡,在 CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使地址生效请禁用本地网卡然后再启用网卡。
标签:arp, vir 20070428 avg anti vir
http://www.yippeesoft.com
Operating Systems: Developed for Windows 2000 and XP (32-Bit)
Filesize: 6.17 MB
Version: 7.5.0.50
Available in: English, German, Czech, French, Italian, Spanish, Slovak, Portuguese (other languages will be available soon)
MD5-Checksum: ffd698118b8a9b27cc563f12654e22c5
This setup contains the free as well as the paid version of AVG Anti-Spyware. After the installation, a free 30-day trial version containing all the extensions of the full version will be activated. At the end of the trial, these extensions will be deactivated and the program will turn into a feature-limited freeware version. The purchased license code can be entered at any time.
If you are still using version 3.5, click here to receive your new license code
Manual download of signature database
The non-formation of the software license agreement transmitted with the software is a dissolving condition of any legal business transacted with Grisoft regarding this software.
ewido anti-spyware 4.0 will now continue under the new product name AVG Anti-Spyware 7.5. AVG Anti-Spyware 7.5 contains the same ewido technology, but with some further enhanced features:
Highly improved cleaning
Lower resource usage
Additional languages supported
All current licenses for ewido anti-spyware 4.0 will continue to be valid, and users can change over to the new AVG Anti-Spyware 7.5
在病毒横行的今天,一款非盗版的杀毒软件是必不可少的,因为只有这样才能及时查杀网上最新的病毒和木马、黑客程序。但是国外的杀毒软件价格不婓,国产软件的效果又令人担忧。以技术著称于世的德国杀毒软件AntiVir是个很不错的选择,其免费的个人版为个人电脑和工作站免受到电脑病毒的侵害提供全方位防护,支持检测、杀除超过70,000种流行病毒、宏病毒、引导区病毒等等,其可靠性经过多次对比试验和独立的商业纪录证明。
注意!!!
AntiVir PersonalEdition Classic 僅供私人使用情況下才可免費合法使用,而且不可使用於商業用途。
Note!!!
AntiVir PersonalEdition Classis is free of charge only for the private use and not for the commersial use.
TRW2000作者刘涛涛的新作品WinMount – 可以导入大量格式的虚拟光驱即将推出
cnBeta 精品软件新闻主题7日,作者在自己的blog里留言:
我的新软件 WinMount 马上推出,敬请期待!主页是http://www.winmount.com
除了TR,TRW2000,我还做过不少小软件.但都羞于向人提起.这次这个软件可不一样.
我要大声地说,WinMount 就是我做的!我要向我所有的朋友推荐它!
内含测试版和作者自述文档,这款软件要是真如他所说那么强大,相当有前景.
暂时,你可以从这里下载到一个全功能的没有限制的 Beta 版:
http://www.winmount.com/WinMount_Beta.zip
软件目标:你的电脑中安装有 WinRar 或 WinZip 吗?你安装有 Daemon Tools 或者任何
虚拟光驱软件吗?肯定有。现在,有了 WinMount ,你不再需要这些软件了,它们的功能
我全有了,而且更强!WinMount 要成为所有电脑的必装软件!
如果你有一个800MB大的ZIP文件,其中包含一个非常酷的"HOT.avi"文件,你要 watch 它,
怎么办?当然,你要把它展开,这通常很耗时间。你还需要 800MB 或更多的磁盘空间来存
放这个AVI文件。看完了,你还要把这个AVI文件删掉,多麻烦!现在有了 WinMount 这一
切就简单了,一键把它 mount 为一个新盘符,比如 T:,现在你可以直接播放 T:HOT.avi,
多方便!WinMount 会在后台动态解压ZIP文件,不产生临时文件,不占用磁盘空间。
再设想一种应用。我们程序员都知道,装编译环境是一件很浪费时间的事。一台刚装完系统
的新电脑,交给一个程序员,他要先装 VC6,再装 VC6SP5,再装 PlatformSDK,再装 MSDN,
说不定还要装 DDK。太麻烦了。现在有了 WinMount ,或许我们可以换一种方式了。我们可
以在一台电脑上把这些东西都装好,比如装在 R: 盘。然后把所有 R: 盘上的东西打个ZIP
或 RAR 压缩包。这个压缩包可能会 1GB 甚至 2GB,Who Care。我们把这个压缩包放到U盘
或者网上邻居某台电脑中共享。现在给我一台刚装了操作系统的新电脑,我用半分钟安装
WinMount,然后一点 Mount ,马上多出一个 R: 盘,上面所有的东西都在,且可以直接使
用,太棒了!是不是很诱人?当然,实际使用的时候,可能你还要 copy 一些文件到系统目
录下,且设置一些注册表项,这些都简单的。
它是由来自德国著名的安全软件公司H+BEDV开发的,是其病毒防护软件AntiVir的个人免费版本。H+BEDV是一个十分老牌的公司,它的安全产品领域覆盖了工作站,服务器,邮件站等各种网络大型终端。
这款免费的AntiVir专为个人用户提供,可使你免受到电脑病毒的侵害。它可以检测并清除超过80,000种病毒,支持在线更新。这里为大家介绍的是其免费家用版,如果你想使用它,你必须具备两个基本的条件:个人家庭用户与非盈利性质。
Free virus protection for your home PC:
Avira AntiVir PersonalEdition Classic
AntiVir 7 Classic
Avira AntiVir PersonalEdition Classic reliably protects your private computer against dangerous viruses, worms, Trojans and costly dialers.
More than 15 million users worldwide trust in the reliable protection of Avira AntiVir. And this is no coincidence at all: Avira has gained several awards. The product combines first-class detection rates and ease of use with a top performance that protects your computer safely and hardly burdens older PCs.
Grisoft公司出品的AVG Antivirus 7.1免费版。
背景资料:该公司 (Grisoft)来自捷克,自1992年成立以来,已有着十几年杀毒软件开发的经验,它的安全产品广泛地被欧美以及大洋洲地区使用。它得到了ICA实验室认证并已获2005年Virus bulletin的VB100%奖(即百分百查杀Virus bulletin公布的病毒库,国际上只有少数几家反病毒厂商获此殊荣)。
它的产品不仅有专业版,也有为想“FREE”的个人用户提供的免费版。如果你想使用它的免费版本,你必须具备两个基本的条件:个人家庭用户与非盈利性质。
功能一览:免费版在功能上,比收费版少了一些不太重要的功能和24小时技术支持,其它功能都完全开放,包括作为杀毒软件的“本职工作”的:病毒监控、病毒查杀、病毒隔离、邮件监控、工作日志与计划任务、定期更新。如此诱人的全面防护功能,将免费带到你的电脑,是否已令你兴奋不已,那么就让我们看一下更详细的介绍吧:
Avast!免费版具有安全而全面的实时监控、高效的查杀病毒功能,还定时更新,另外,它还具有炫丽可更换的皮肤界面与病毒语音提示,独创的文件修复功能可以让被病毒损坏的文件及时得到修复,让系统万无一失
国际权威的病毒测评机构:来自奥地利的AV-Comparative(http://www.av-comparatives.org)将在6月底公布一次针对非主流(对国外而言)杀软的测评,这次测评属于On-demand测试,不考虑杀软的启发式扫描能力
20070414 dlmon4.dll syswav.sys virustotal rootkit
http://www.yippeesoft.com
AntiVir 7.3.0.32 01.27.2007 no virus found
Authentium 4.93.8 01.26.2007 no virus found
Avast 4.7.936.0 01.27.2007 no virus found
AVG 386 01.26.2007 no virus found
BitDefender 7.2 01.27.2007 no virus found
CAT-QuickHeal 9.00 01.26.2007 no virus found
ClamAV devel-20060426 01.26.2007 no virus found
DrWeb 4.33 01.26.2007 no virus found
eSafe 7.0.14.0 01.26.2007 no virus found
eTrust-InoculateIT 23.73.126 01.27.2007 no virus found
eTrust-Vet 30.3.3353 01.27.2007 no virus found
Ewido 4.0 01.26.2007 no virus found
Fortinet 2.85.0.0 01.27.2007 no virus found
F-Prot 4.2.1.29 01.26.2007 no virus found
Ikarus T3.1.0.27 01.26.2007 no virus found
Kaspersky 4.0.2.24 01.27.2007 no virus found
McAfee 4950 01.26.2007 no virus found
Microsoft 1.2101 01.27.2007 TrojanDropper:Win32/Small.BLE
NOD32v2 2010 01.26.2007 no virus found
Norman 5.80.02 01.26.2007 no virus found
Panda 9.0.0.4 01.26.2007 Suspicious file
Prevx1 V2 01.27.2007 no virus found
Sophos 4.13.0 01.24.2007 no virus found
Sunbelt 2.2.907.0 01.26.2007 no virus found
TheHacker 6.0.3.158 01.26.2007 no virus found
UNA 1.83 01.26.2007 no virus found
VBA32 3.11.2 01.27.2007 no virus found
VirusBuster 4.3.19:9 01.26.2007 no virus found
Antivirus Version Update Result
AntiVir 7.3.0.32 01.27.2007 no virus found
Authentium 4.93.8 01.26.2007 no virus found
Avast 4.7.936.0 01.27.2007 no virus found
AVG 386 01.26.2007 no virus found
BitDefender 7.2 01.27.2007 no virus found
CAT-QuickHeal 9.00 01.26.2007 no virus found
ClamAV devel-20060426 01.26.2007 no virus found
DrWeb 4.33 01.26.2007 no virus found
eSafe 7.0.14.0 01.26.2007 no virus found
eTrust-InoculateIT 23.73.126 01.27.2007 no virus found
eTrust-Vet 30.3.3353 01.27.2007 no virus found
Ewido 4.0 01.26.2007 no virus found
Fortinet 2.85.0.0 01.27.2007 no virus found
F-Prot 4.2.1.29 01.26.2007 no virus found
Ikarus T3.1.0.27 01.26.2007 no virus found
Kaspersky 4.0.2.24 01.27.2007 no virus found
McAfee 4950 01.26.2007 no virus found
Microsoft 1.2101 01.27.2007 Trojan:Win32/Killav.ET
NOD32v2 2010 01.26.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 01.26.2007 no virus found
Panda 9.0.0.4 01.26.2007 no virus found
Prevx1 V2 01.27.2007 no virus found
Sophos 4.13.0 01.24.2007 no virus found
Sunbelt 2.2.907.0 01.26.2007 no virus found
TheHacker 6.0.3.158 01.26.2007 no virus found
UNA 1.83 01.26.2007 no virus found
VBA32 3.11.2 01.27.2007 no virus found
VirusBuster 4.3.19:9 01.26.2007 no virus found
自卫能力:第一步
首先阻止rootkit从这些地方加载:
禁止访问\\Device\\PhysicalMemory
禁止驱动加载系统调用
局限:
攻击者可以通过新的核心权限泄露漏洞绕过
用某种机敏的方式通过符号连接(symbolic
link)访问\\Device\\PhysicalMemory
38
自卫能力:第二步
防止rootkit固定
禁止任何试图创建
HKLM\\SYSTEM\\CurrentControlSet\\*\\Type
为类型0或者类型1(改变为4为禁止)
禁止任何试图修改存在的
HKLM\\SYSTEM\\CurrentControlSet\\*\\Type
局限:
Rootkit可能直接patch hal.dll,ntoskrnl.exe
等
通过符号连接用某种机敏的办法访问注册表
39
自卫能力:第三步
确信没有其他的驱动在之前加载,除了
FAT/NTFS
在"Boot Bus Extender"最开始安装我们自己
阻止任何改变
HKLM\\SYTSEM\\CurrentControlSet\\Group
OrderList
40
自卫能力:第四步
确信没有人能改变对象类型callback
让一个无限循环线程比如类似每100毫秒就检查
被hook的callback
恢复callback如果在被改变的时候并且报告一个
攻击
找出callback指向哪里(让我们知道谁做的)
如果它不是一个已知的系统驱动,就卸载它
41
总结
以上描述的是一种观察系统行为的方法
用户模式和核心态
这种方法可以阻截某些行为
特征语言可以用来检测已知的rootkits
应该具备自保护能力
对于还没有验证的新rootkits是必须的
最后,这只是猫和老鼠游戏的一步而已
1220 jotti VirusTotal 在线杀毒
Jotti采用的扫毒引擎是Linux版的,这就是为何和Win32版的单机版扫描结果不相符的原因
This service is by no means 100% safe. If this scanner says \’OK\’, it does not necessarily mean the file is clean. There could be a whole new virus on the loose. NEVER EVER rely on one single product only, not even this service, even though it utilizes several products. Therefore, We cannot and will not be held responsible for any damage caused by results presented by this non-profit online service.
Also, we are aware of the implications of a setup like this. We are sure this whole thing is by no means scientifically correct, since this is a fully automated service (although manual correction is possible). We are aware, in spite of efforts to proactively counter these, false positives might occur, for example. We do not consider this a very big issue, so please do not e-mail us about it. This is a simple online scan service, not the university of Wichita.
Scanning can take a while, since several scanners are being used, plus the fact some scanners use very high levels of (time consuming) heuristics. Scanners used are Linux versions, differences with Windows scanners may or may not occur. Another note: some scanners will only report one virus when scanning archives with multiple pieces of malware.
Virus definitions are updated every hour. There is a 15Mb limit per file. Please refrain from uploading tons of hex-edited or repacked variants of the same sample.
Please do not ask for viruses uploaded here, unless you work for an anti-virus vendor. They are not for trade. This is a legitimate service, not a VX site. Viruses uploaded here will be distributed to antivirus vendors without exception. Read more about this in our privacy policy. If you do not want your files to be distributed, please do not send them at all.
Sponsored by donations (in random order) from: Stormbyte Technologies LLC, The ClamAV project, Steve S., Eric Johansen, Eric Schechter, Paul Bokel, Wilders Security, Wilfried Lilie, Prevx, SonicWALL, Lance Mueller, Ewido networks, HotelScraper.com, people who donated in the past, and some people who prefer to remain anonymous… many thanks to all!
Service load: 0% 100%
File: liulang.exe
Status: INFECTED/MALWARE
MD5 5583558b651160a2b9b0f4552195d9fb
Packers detected: NSPACK
Scanner results
AntiVir Found Backdoor-Server/Hupigon.Gen backdoor
ArcaVir Found nothing
Avast Found Win32:Delf-APJ
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found BackDoor.Pigeon.83
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Trojan-PSW.Win32.Agent.iu
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-PSW.Win32.Agent.iu
NOD32 Found a variant of Win32/Hupigon
Norman Virus Control Found nothing
VirusBuster Found nothing
VBA32 Found Backdoor.Delf.196 (paranoid heuristics) (probable variant)
STATUS: FINISHEDComplete scanning result of "__26700", received in VirusTotal at 11.29.2006, 15:20:05 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.46 11.29.2006 BDS/Hupigon.Gen
Authentium 4.93.8 11.29.2006 no virus found
Avast 4.7.892.0 11.28.2006 Win32:Delf-APJ
AVG 386 11.28.2006 no virus found
BitDefender 7.2 11.29.2006 no virus found
CAT-QuickHeal 8.00 11.28.2006 (Suspicious) – DNAScan
ClamAV devel-20060426 11.29.2006 no virus found
DrWeb 4.33 11.29.2006 BackDoor.Pigeon.83
eSafe 7.0.14.0 11.28.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.71 11.29.2006 no virus found
eTrust-Vet 30.3.3221 11.29.2006 no virus found
Ewido 4.0 11.29.2006 no virus found
Fortinet 2.82.0.0 11.29.2006 suspicious
F-Prot 3.16f 11.28.2006 no virus found
F-Prot4 4.2.1.29 11.28.2006 no virus found
Ikarus 0.2.65.0 11.29.2006 Backdoor.Win32.PcClient.GV
Kaspersky 4.0.2.24 11.29.2006 Trojan-PSW.Win32.Agent.iu
McAfee 4906 11.28.2006 New Malware.u
Microsoft 1.1804 11.28.2006 no virus found
NOD32v2 1888 11.28.2006 a variant of Win32/Hupigon
Norman 5.80.02 11.29.2006 no virus found
Panda 9.0.0.4 11.28.2006 Suspicious file
Prevx1 V2 11.29.2006 no virus found
Sophos 4.11.0 11.16.2006 Mal/Packer
TheHacker 6.0.3.126 11.29.2006 no virus found
UNA 1.83 11.28.2006 no virus found
VBA32 3.11.1 11.28.2006 suspected of Backdoor.Delf.196 (paranoid heuristics)
VirusBuster 4.3.15:9 11.28.2006 no virus found
Aditional Information
File size: 243205 bytes
MD5: 5583558b651160a2b9b0f4552195d9fb
SHA1: c20a532cfee7527dd051512c02f71574f6fc9320
packers: NsPack
packers: NSPack, PE_Patch
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
Virustotal offers a free service for scanning suspicious files using several antivirus engines.
Use the upper textbox to select and send any suspicious file to Virustotal for a scan. If you wish, you can also send files using your email client. In that case, please follow these steps:
Create a new message with scan@virustotal.com as destination address of your email.
Write SCAN in the Subject field (write SCAN- if you do not want to distribute your sample to any AV company).
Attach the file to be scanned. Such file must not exceed 10 MB in size. If the attached file is larger, the system will reject it automatically.
You will receive an email with a report of the file analysis. Response time will vary depending on the load of the system at the time of placing your request.
0522 日本移动终端上网 BitDefender GDataAntiVirenKit
变态家族看到的:
看到了来自总务省的调查,说是用移动终端比如手机, PHS, PDA上网的人已经超过了在家用电脑接入的人。
我的感觉是因为大家通勤的道路都很漫长, 每天花在电车上班下班的时间太多, 听说一两个小时都是很平常的, 无法打发, 只好求助于手机上网了。 我就从来不用手机上网, 因为从我寝室骑单车到研究室就五分钟…… 真好, 可以省不少钱。
可是我觉得在中国有两个因素制约
没有拥挤的象我们这样,否则你拼命吊在杆上,到那里掏手机上网
地铁方便,不然你叫他坐坐中国公交,叫他看手机屏幕上网,眼睛都会直了
我每天大约半个小时或者45分钟左右上班,如果坐公交车,大约花5分钟走到车站,10分钟等车,然后公交车~25分钟以上到公司
如果坐厂车,我需要25分钟左右到上车地点,然后15分钟左右到公司
我用MPX220,如果坐公交车,根本没有办法坐,如果坐厂车,倒是有座位,那个摇晃,我眼睛都成斗鸡眼了
世代別ではデジタルディバイドが顕著
過去1年間にインターネットを利用したことのある人は推計8,529万人に達し、前年末から581万人増(7.3%増)と、引き続き増加。これに伴い、人口普及率も、前回から4.5ポイント増の推計66.8%に上った。
個人のインターネット利用端末については、携帯電話などの移動端末利用者が、前年末から1,098万人増加(18.8%増)して推計6,923万人に達し、PC利用者の推定6,601万人を初めて上回るなど、モバイル化の進展が見られた。インターネット利用者(推定8,529万人)の過半数にあたる推定4,862万人は、PCと移動端末を併用する一方、PCのみの利用者は1,585万人で、前回から521万人減少した。
世代別のインターネット利用率では、60歳以上の世代と他の世代の利用率の差が目立つ。特に50代(約70%)と60代前半(約52%)では、20ポイント近い差があるなど 、世代間のデジタルディバイドが顕著に見られた。
Rank Antivirus software Comments Benny\’s PowerKnock Just Want More PCWorld 评出的2006年最值得购买的(启发式)杀毒软件
1 Best Buy BitDefender 9 Standard • Performance: Superior • Ease of Use: Very Good • Features: Very Good • Price when ranked: $30• Vendor\’s Website PCW Rating: 92 Superior Inexpensive product received excellent scores in our performance tests, although its scan speed was sluggish.
2 McAfee VirusScan 2006 • Performance: Superior• Ease of Use: Very Good• Features: Very Good• Price when ranked: $40• Full Specs• Check latest prices PCW Rating: 87 Very GoodRelatively good heuristics help VirusScan provide solid protection. Phone support costs $3 per minute.
3Kaspersky Lab Kaspersky Anti-Virus Personal 5.0 • Performance: Superior• Ease of Use: Good• Features: Good• Price when ranked: $40• Full Specs
• Check latest prices PCW Rating: 85 Very GoodProgram had the fastest response to new malware outbreaks. Interface is clean but not exceptional.
4F-Secure Anti-Virus 2006 • Performance: Superior• Ease of Use: Good• Features: Good• Price when ranked: $40• Full Specs• Check latest prices PCW Rating: 83 Very GoodSolid performer responded quickly in tests and provides best breaking news on malware outbreaks.
5Symantec Norton AntiVirus 2006 • Performance: Good• Ease of Use: Very Good• Features: Very Good• Price when ranked: $40• Full Specs• Check latest prices PCW Rating: 80 Very GoodVeteren utility offers solid threat detection and a nice interface. Phone support costs $30 per incident.
6Panda Software Panda Titanium 2006 Antivirus + Antispyware • Performance: Very Good• Ease of Use: Good• Features: Very Good
• Price when ranked: $50• Check latest prices PCW Rating: 79 GoodThis former Best Buy performed well, but not exceptionally, in our newest nonspyware tests.
7AntiVir Personal Edition Classic 6.32 • Performance: Good• Ease of Use: Good• Features: Fair• Price when ranked: Free• Vendor\’s Website PCW Rating: 78 GoodAntiVir performed the best of the free programs, although it failed to clean several old macro viruses.
8Alwil Software Avast Home Edition 4.6 • Performance: Fair• Ease of Use: Very Good• Features: Good• Price when ranked: Free
• Vendor\’s Website PCW Rating: 77 GoodFree product has a slick media-player-style interface that hides some features. Scan speed was slow in tests.
9Trend Micro PC-cillin Internet Security Security 2006 • Performance: Fair• Ease of Use: Superior• Features: Good• Price when ranked: $50• Full Specs• Check latest prices PCW Rating: 77 GoodFormer Best Buy performed poorly in heuristics and zoo tests but has the best interface of the bunch.
10 Grisoft AVG Free Edition 7.1 • Performance: Fair• Ease of Use: Fair• Features: Fair• Price when ranked: Free• Vendor\’s Website PCW Rating: 73 GoodFree program has subpar heuristics and one of the clunkier interfaces among the products we tested.
BitDefender 9 Standard Superior price, performance, and design earn this software our Best Buy distinction. PCW Rating: 92 Superior
Test Report Street price when ranked Average: $30 (12/12/05) Performance Performance: Superior WildList viruses 100% AV-Test zoo threats 95% Heuristic detection with one-month-old signatures 56% Heuristic detection with two-month-old signatures 38% Scan speed (in seconds) 556 Outbreak response time 2 to 4 hours Support and reliability Telephone support Yes Toll-free support No Cost of phone support None Weekday support hours 9 Saturday support hours 0 E-mail or Web support Yes
McAfee VirusScan 2006This solid product has a friendly interface but expensive phone support. PCW Rating: 87 Very Good
Street price when ranked Very Expensive: $40 (12/12/05) Performance Performance: Superior WildList viruses 100% AV-Test zoo threats 89% Heuristic detection with one-month-old signatures 53% Heuristic detection with two-month-old signatures 34% Scan speed (in seconds) 242 Outbreak response time 8 to 10 hours Support and reliability Telephone support Yes Toll-free support Yes Cost of phone support $3 per minute Weekday support hours 18 Saturday support hours 18 E-mail or Web support Yes
BitDefender(tm) 提供安全解决方法满足今天计算的环境的保护需求, 提供有效威胁管理为四千一百万个家庭和公司用户在超过100 国家(地区). BitDefender(tm) 由所有主要独立审核人- ICSA 实验室确认, 复选标记和病毒公报, 并且是作为唯一的安全产品接受了IST大奖。
BitDefender 9 Professional Plus v9.0是来自罗马尼亚的老牌杀毒软件,二十四万超大病毒库 它将为你的计算机提供最大的保护,具有功能强大的反病毒引擎以及互联网过滤技术,为你提供即时信息保护功能,通过回答几个简单的问题,你就可以方便的进行安装,并且支持在线升级。它包括 1:永久的防病毒保护;2:后台扫描与网络防火墙;3:保密控制;4:自动快速升级模块;5:创建计划任务;6:病毒隔离区。
我一直都是用MCAFEE,有机会倒是可以试一试这个~~~~
不过好像还有有个 双引擎杀毒软件GDataAntiVirenKit 2006德文正式完全汉化版
AVK介绍:德国G-Data公司产品,英文全名(GData AntiVirusKit)其OEM给其它厂商,然后在前面冠上各自的厂商名。AVK AntiVirusKit 2004 ,AVK AntiVirusKit 2005和AntiVirusKit2006(杀毒引擎AVP+BD)也是双引擎,最新版本.可以同时开启进行监控,即使使用单引擎监控在扫描计算机的时候也是双引擎扫描.而F-secure6.0的版本AVK具有超强的杀毒能力,运行速度比卡巴稳定.不会卡机.超过了卡巴Ksapersky个人版及eScan,McAfee 和Norton F-Secure 。AVK的毒库同时集成KAV(也就是卡巴)和RAV的引擎,可以查到卡巴查不到的病毒和木马,可以把KAV和RAV两种杀毒软件的运行库和病毒库自由替换到AVK中,重要是占用资源很少。可以打造个人自由版的杀毒软件,真是其乐无穷。AVK为双引擎4400,高级启发模式,可以同时开启进行监控,单引擎监控在扫描计算机的时候也是双引擎扫描.AVK最大优点是,在病毒运行前阻止,只要病毒或木马录入病毒库,不会出现中毒后再杀毒的情况。
AVK缺点仍跟防火墙ZoneAlarm有冲突,同时安装会蓝屏。也就是只要卡巴兼容的和它都不会有冲突.KEY比较难找!
0513 winxp sp2 dep pae Virtual pc 3
Windows XP 和 Windows Server 2003 的 Boot.ini 文件的可用开关选项 http://www.arm8.com/cv/3/4/192.html
How to determine that hardware DEP is available and configured on your computer
INTRODUCTION
Data Execution Prevention (DEP) is a set of hardware and software technologies that perform additional checks on memory to help protect against malicious code exploits.
Hardware-enforced DEP marks all memory locations in a process as non-executable unless the location explicitly contains executable code. One kind of malicious code attacks tries to insert and run code from non-executable memory locations. DEP helps prevent these attacks by intercepting them and raising an exception.
This article describes the requirements for using hardware-enforced DEP. This article also describes how to confirm that hardware DEP is working in Windows.
How to confirm that hardware DEP is working in Windows 如何确认硬件支持
To confirm that hardware DEP is working in Windows, use one of the following methods.
Method 1: Use the Wmic command-line tool 使用命令行工具
You can use the Wmic command-line tool to examine the DEP settings. To determine whether hardware-enforced DEP is available, follow these steps:1. Click Start, click Run, type cmd in the Open box, and then click OK. 进入命令行
2. At the command prompt, type the following command, and then press ENTER:
wmic OS Get DataExecutionPrevention_Available 运行这个命令,等待返回值
If the output is "TRUE," hardware-enforced DEP is available.
如果是TRUE
To determine the current DEP support policy, follow these steps.1. Click Start, click Run, type cmd in the Open box, and then click OK.
检测当前DEP支持
2. At the command prompt, type the following command, and then press ENTER:
wmic OS Get DataExecutionPrevention_SupportPolicy
The value returned will be 0, 1, 2 or 3. This value corresponds to one of the DEP support policies that are described in the following table.
DataExecutionPrevention_SupportPolicy property value Policy Level Description 运行这个命令
2 OptIn (default configuration) Only Windows system components and services have DEP applied
3 OptOut DEP is enabled for all processes. Administrators can manually create a list of specific applications which do not have DEP applied
1 AlwaysOn DEP is enabled for all processes
0 AlwaysOff DEP is not enabled for any processes
选择启用 此设置为默认配置。如果系统中具有能够实现硬件实施 DEP 功能的处理器,则默认情况下将对限定的系统二进制文件和“选择启用”程序启用 DEP。使用此选项时,默认情况下,DEP 仅覆盖 Windows 系统二进制文件。
选择禁用 默认情况下,对所有进程启用 DEP。可以使用“控制面板”中的“系统”对话框手动创建未应用 DEP 的特定程序的列表。信息技术 (IT) 专业人员可以使用应用程序兼容性工具包“选择禁用”DEP 保护的一个或多个程序。用于 DEP 的系统兼容性修复程序和填充程序确实可以发挥作用。
总是启用 此设置将整个系统置于 DEP 保护范围内。所有进程始终在应用 DEP 的情况下运行。使特定程序不受 DEP 保护的例外列表不可用。用于 DEP 的系统兼容性修复程序不起作用。使用应用程序兼容性工具包选择禁用的程序将在应用 DEP 的情况下运行。
总是禁用 无论硬件 DEP 是否支持,此设置都不会为系统的任何部分提供 DEP 保护。除非在 Boot.ini 文件中包括“/PAE”选项,否则处理器不会在 PAE 模式下运行。
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
c:\\>wmic OS Get DataExecutionPrevention_Available
DataExecutionPrevention_Available
TRUE
c:\\>
c:\\>wmic OS Get DataExecutionPrevention_SupportPolicy
DataExecutionPrevention_SupportPolicy
0
c:\\>wmic OS Get DataExecutionPrevention_Drivers
DataExecutionPrevention_Drivers
FALSE
Note To verify that Windows is running with hardware DEP enabled, examine the DataExecutionPrevention_Drivers property of the Win32_OperatingSystem class. In some system configurations, hardware DEP may be disabled by using the /nopae or /execute switches in the Boot.ini file. To examine this property, type the following command at a command prompt:
wmic OS Get DataExecutionPrevention_Drivers
Method 2: Use the graphical user interface 图形方式
To use the graphical user interface to determine whether DEP is available, follow these steps:1. Click Start, click Run, type wbemtest in the Open box, and then click OK. Windows Management Instrumentation 测试器 (WBEMTest)Windows Management Instrumentation 测试器(也称为 WBEMTest)是在开发 Windows Management Instrumentation (WMI) 提供程序和 WMI 应用程序期间用于查看或修改普通信息模型 (CIM) 类别、实例或方法的多种用途的工具。WBEMTest 还可以用于对 WMI 或者依赖于 WMI 的程序进行疑难解答。
2. In the Windows Management Instrumentation Tester dialog box, click Connect.
3. In the box at the top of the Connect dialog box, type root\\cimv2, and then click Connect.
4. Click Enum Instances.
5. In the Class Info dialog box, type Win32_OperatingSystem in the Enter superclass name box, and then click OK.
6. In the Query Result dialog box, double-click the top item.
Note This item starts with "Win32_OperatingSystem.Name=Microsoft…"
7. In the Object editor dialog box, locate the DataExecutionPrevention_Available property in the Properties area.
8. Double-click DataExecutionPrevention_Available.
9. In the Property Editor dialog box, note the value in the Value box.
If the value is TRUE, hardware DEP is available.
0513 winxp sp2 dep pae Virtual pc 2
Microsoft Windows XP Service Pack 2 中的功能变更
第 3 部分:内存保护技术
数据执行保护
数据执行保护的作用是什么?
数据执行保护 (DEP) 是一组硬件和软件技术,用来对内存执行附加检查以帮助防止恶意代码的入侵。在 Windows XP SP2 中,由硬件和软件强制执行 DEP。
硬件强制的 DEP
硬件强制的 DEP 将一个进程中所有内存位置均标记为非可执行,除非该位置明确包含可执行代码。有一类攻击程序企图在非可执行的内存位置中插入代码并执行代码。通过截取这些代码并产生一个异常,数据执行保护有助于防范这些攻击。
软件强制的 DEP
Windows XP SP2 中已经添加了另一组数据执行保护的安全检查。这些检查功能也称为软件强制的 DEP,旨在降低 Windows 异常处理机制的使用。软件强制的 DEP 能够在可运行 Windows XP SP2 的任何处理器上运行。默认情况下,软件强制的 DEP 仅保护有限的系统二进制文件,而不管处理器的硬件强制 DEP 功能如何。
软件强制的 DEP
软件强制的 DEP 对 Windows 中的异常处理机制执行额外的检查。如果程序的图像文件是使用安全结构异常处理 (SafeSEH) 功能建立的,则软件强制的 DEP 将确保在调度异常之前,在图像文件中的函数表中注册了异常处理程序。
如果程序的图像文件不是使用 SafeSEH 建立的,则软件强制的 DEP 将确保在调度异常之前,位于内存区域中的异常处理程序已经标记为可执行。
五、系统级保护:
基于Windows NT的操作系统的最大问题是它们易受缓冲区溢出漏洞的攻击。现在,SP2中的RPC机制已被彻底修改了一番。它不再拥有完全的权限,在缺省防火墙行为下,RPC不再是一个主要的目标。在“冲击波”带来的混乱之后,这对微软来说是一个不错的改变。微软的编译程序得到了增强,如此一来,大量操作系统的核心组件将得到重新编译,以防止缓冲区溢出。
在内核中主要的改变之一是对硬件强制不执行的附加支持。支持该特性的CPU可以保护程序代码,帮助防止内存袭击型的病毒攻击。
从WindowsXPServicePack2开始,32位版本的Windows开始使用由AMD定义的非执行页面保护(NX)处理器功能或由Intel定义的执行禁用位(ExecuteDisablebit)功能。要使用这些处理器功能,处理器必须以“物理地址扩展”(PAE)模式运行。64位版本的WindowsXP使用64位扩展上的NX处理器功能,以及IPF处理器上访问权限页表项(PTE)字段中的某些值。
数据执行保护 (DEP) 是一套软硬件技术,能够在内存上执行额外检查以帮助防止在系统上运行恶意代码。在 Microsoft Windows XP Service Pack 2 (SP2) 和 Microsoft Windows XP Tablet PC Edition 2005 中,由硬件和软件一起强制实施 DEP。
DEP 的主要优点是可以帮助防止数据页执行代码。通常情况下,不从默认堆和堆栈执行代码。硬件实施 DEP 检测从这些位置运行的代码,并在发现执行情况时引发异常。软件实施 DEP 可帮助阻止恶意代码利用 Windows 中的异常处理机制进行破坏。
硬件实施 DEP
除了显式包含可执行代码的内存位置外,硬件实施 DEP 将进程中的所有内存位置均标记为不可执行。有一类攻击是尝试在不可执行的内存位置插入代码并运行它。DEP 可通过截获这些攻击并引发一个异常来帮助阻止这些攻击。
硬件实施 DEP 依靠处理器硬件来使用属性标记内存,此属性指明不能从该内存执行代码。DEP 以虚拟内存页面为单位运行,通常情况下更改 Page Table Entry (PTE) 中的位来标记内存页面。
处理器体系结构确定 DEP 在硬件中的实现方式以及 DEP 标记虚拟内存页面的方式。但是,在从使用合适属性集标记的页面执行代码时,支持硬件实施 DEP 的处理器可能引发异常。
Advanced Micro Devices (AMD) 和 Intel 已经定义并发布了与 Windows 兼容的体系结构,该体系结构与 DEP 兼容。
从 Windows XP SP2 开始,Windows 的 32 位版本使用下列功能之一: • 由 AMD 定义的 No-Execute Page-Protection (NX) 处理器功能。
• 由 Intel 定义的 Execute Disable Bit (XD) 功能。
要使用这些处理器功能,处理器必须以物理地址扩展 (PAE) 模式运行。但是,Windows 将自动启用 PAE 模式来支持 DEP。用户不必使用 /PAE 启动开关来单独启用 PAE。
注意:由于 64 位内核识别地址窗口化扩展插件 (AWE),因此在 Windows 的 64 位版本中没有单独的 PAE 内核。
软件实施 DEP
Windows XP SP2 中已添加另一套数据执行保护安全检查。这些称为软件实施 DEP 的检查旨在阻止利用 Windows 中异常处理机制的恶意代码。软件实施 DEP 运行在可以运行 Windows XP SP2 的任意处理器上。默认情况下,不管处理器的硬件实施 DEP 功能如何,软件实施 DEP 都是只帮助保护受限的系统二进制文件。
DEP 的主要优点是帮助阻止数据页(如默认的堆页、各种堆栈页以及内存池页)执行代码。通常情况下,不从默认堆和堆栈执行代码。硬件实施 DEP 检测从这些位置运行的代码,并在发现执行情况时引发异常。如果异常未得到处理,进程将停止。在内核模式下从受保护的内存执行代码会导致“停止”错误。
DEP 可帮助阻止某类安全入侵。具体而言就是,DEP 可帮助阻止某种恶意程序,在这种恶意程序中,病毒或其他类型的攻击会在进程中插入一段附加代码,并试图运行此插入代码。在带有 DEP 的系统上,执行插入代码会导致发生异常。软件实施 DEP 可帮助阻止利用 Windows 中异常处理机制的程序。
标签:dep, pae, sp2, vir, virtual, win, winxp0513 winxp sp2 dep pae Virtual pc
在XP下装好Virtual pc 5.2汉化版后,点击运行。出现以下提示:
此版本的Virtual pc无法在PAE(物理地址扩展)模式下运行,
请恢复到正常状态下来运行Virtual pc 。
Microsoft Windows XP Service Pack 2 使用一项新的数据执行保护 (DEP) 功能,可禁止执行数据页中的代码。当尝试运行标记的数据页中的代码时,就会立即发生异常并禁止执行代码。这可以防止攻击者使用代码致使数据缓冲区溢出,然后执行该代码。
应用程序和驱动程序都可能会发生 DEP 兼容性问题。
修改 BOOT.INI
[operating systems]
multi(0)disk(0)rdisk(0)partition(2)\\WINDOWS="Microsoft Windows XP Professional" /execute /fastdetect
可以了,就是机器非常慢了
不知道为什么,可能因为我直接安装的WINXP+SP2安装包,而原来安装WINXP,后面安装SP2的机器正常
[operating systems]
multi(0)disk(0)rdisk(0)partition(3)\\WINXP="Microsoft Windows XP Professional" /fastdetect /noguiboot
已知会导致 Windows XP Service Pack 2 不稳定的设备驱动程序
Microsoft Windows XP Professional Service Pack 2 和 Microsoft Windows XP Home Edition Service Pack 2 (SP2) 包括驱动程序保护功能。此功能通过阻止操作系统加载已知会引起稳定性问题的驱动程序来帮助保护操作系统的稳定。驱动程序保护是基于 Windows XP 中提供的应用程序兼容技术而构建的。驱动程序保护始终处于活动状态。在操作系统从早期 Windows 版本升级的过程中以及操作系统在安装后运行的过程中,该功能都是有效的。最终用户不能禁用驱动程序保护。
Windows XP 附带的“驱动程序保护列表”数据库中列出了已知会引起稳定性问题的驱动程序。驱动程序保护会检查该数据库以决定是否将某个驱动程序加载到 Windows XP 中。
已知以下设备驱动程序会导致 Windows XP SP2 不稳定,并且已被添加到 Windows XP 驱动程序保护列表中:
应用程序/驱动程序 供应商 驱动程序二进制文件 匹配条件
安全服务和 AV 驱动程序 Command Software CSS-DVP.SYS 产品版本:4.90.4.40123 和
链接日期:01/23/2004 16:08:00
SMSC LPC Memory Stick Host Controller Sony Smscms.sys 链接日期:09/02/2003 19:07:48
Windows CE Emulator Microsoft VPCAppSv.sys 产品版本:6.13.10.2149 和以 PAE 或 NX 模式运行的系统
虚拟 PC Connectix VPCAppSv.sys 产品版本:4.x 和以 PAE 或 NX 模式运行的系统
这里的版本明显不对
Table 5. Driver Protection List for Windows XP Service Pack 2 (SP2)
Application/Driver Vendor Driver Binary Match Criteria
Security Services & AV Driver
Command Software
CSS-DVP.SYS
Product Version <= 4.90.4.40123 AND Link Date <= 01/23/2004 16:08:00
SMSC LPC Memory Stick Host Controller
Sony
smscms.sys
Link Date <= 09/02/2003 19:07:48
Virtual PC/Windows CE Emulator
Microsoft
VPCAppSv.sys
Product Version <= 6.13.10.2149 AND system is running in PAE or NX mode
这个就差不多
Driver Fundamentals > Security and Reliability Strategies
Driver Protection List for Windows XP and Windows Server 2003
Introduction
The Driver Protection feature in the Windows XP Professional and Windows XP Home Edition operating systems protects operating system stability by preventing the operating system from loading drivers that are known to cause stability problems. Driver Protection is built upon application compatibility technology present in Windows XP. Driver Protection is active at all times—during operating system upgrades from prior versions of Windows and at runtime after the operating system is installed. Driver Protection is not intended to be disabled by end users.
Drivers known to cause stability problems are listed in a database included with Windows XP. Driver Protection checks this database, the Driver Protection List, to determine whether to load a driver under Windows XP.
标签:dep, pae, sp2, vir, virtual, win, winxp0104 wince .net VirtualCopy LPCWSTR
不过很奇怪的是 VirtualCopy 函数
编译的时候报告:
.\\vcspDlg.cpp(103) : error C3861: \’VirtualCopy\’: identifier not found
根据MSDN:
Requirements
OS Versions: Windows CE 2.10 and later.
Header: Pkfuncs.h.
Link Library: Coredll.lib.
.\\vcspDlg.cpp(8) : fatal error C1083: Cannot open include file: \’ Pkfuncs.h\’: No such file or directory
This function ensures that the operating system maps a statically mapped virtual address to the specific physical address of the registers or frame buffer it needs to read or write. Before the thread calls VirtualCopy, it must first obtain a virtual address by calling VirtualAlloc. VirtualAlloc and VirtualCopy must be called at the beginning of every device driver thread or application that must access peripheral registers. This sequence of function calls is available in the MmMapIoSpace function.
The following code example shows a user-mode driver thread. For more examples, see the sample device driver code provided with Platform Builder, located in the directory %_WINCEROOT%\\Platform\\%BSP%\\Drivers.
不知道为什么声明一个 extern "C" BOOL VirtualCopy( 就可以了
char *转换为LPCWSTR
如果你定义了_UNICODE,那简单了
char aaa[] = "aaa";
CString str = aaa;
LPCWSTR ppp = (LPCWSTR)str;
否则:
用MultiByteToWideChar
char a[] = "aaa";
WCHAR wsz[64];
swprintf(wsz, L"%S", a);
LPCWSTR p = wsz;
你可以使用Microsoft在ATL里面提供的宏来进行转换
#include <atlbase.h>
USES_CONVERSION;
LPCWSTR pw = T2W("Hello,world!"); // tchar -> wchar
LPCTSTR pt = W2T(L"Hello,world!"); // wchar -> tchar
CString与LPCWSTR的转化
LPCWSTR 初始化如下:
LPCWSTR Name=L"TestlpCwstr";
//方法一
CString str=_T("TestStr");
USES_CONVERSION;
LPWSTR pwStr=new wchar_t[str.GetLength()+1];
wcscpy(pwStr,T2W((LPCTSTR)str));
// 方法二
CString str=_T("TestStr");
USES_CONVERSION;
LPWCSTR pwcStr = A2CW((LPCSTR)str);
LPCWSTR pcwStr = L"TestpwcStr";
CString str(pcwStr);
在头文件<atlconv.h>中定义了ATL提供的所有转换宏,如:
A2CW (LPCSTR) -> (LPCWSTR)
A2W (LPCSTR) -> (LPWSTR)
W2CA (LPCWSTR) -> (LPCSTR)
W2A (LPCWSTR) -> (LPSTR)