手工病毒分析

病毒与反病毒,这学期的一个专业选修课。留个作业,自己弄个病毒分析一下再手动查杀,写个分析报告。同学在学校机房抓了个简单的auto病毒,试试玩玩。

—————-其实啥也不会————–

病毒样本:学校机房的简单Auto.exe病毒,样本包括 auto.vbs, Auto.exe, autorun.inf三个文件。

系统环境环境配置:

  • Sun VirtualBox虚拟机+WinXP Sp3精简版;
  • System Safety Monitor(SSM)HIPS主动防御软件,用于监视病毒激发的动作;
  • Autoruns查看系统启动项软件;
  • IceSwordcn冰刃,查看隐藏目录。

病毒激发中毒后症状:

  1. 在各个盘下面生成auto.exe和autorun.inf文件,属性隐藏。
  2. 释放病毒文件到C:\WINDOWS\system32\C8A2BB40.EXE,属性隐藏,同时生成一个假的病毒文件n1215014078k.exe(名字应该是随机生成),这个可以轻易删掉,迷惑用户。
  3. 在系统服务里加载HKLM\SYSTEM\CurrentControlSet\Services\1E87CA0服务,服务项名称为1E87CA0,指向病毒文件C:\WINDOWS\system32\C8A2BB40.EXE,并设置为自启动。
  4. 启动项没有添加,因为病毒自启动文件加载在系统服务里,更有隐蔽性。
  5. 修改文件夹选项里隐藏文件设置,显示隐藏文件不可用,即时选中显示隐藏文件也会被病毒自动改为不可见,不能看见隐藏文件,隐藏病毒体。

由上面病毒激发的动作可以看出,这只是一个很简单的autotun病毒,并没有大的症状,因而查杀时候也很简单。过程:

  1. CMD下面删除C:\WINDOWS\system32\C8A2BB40.EXE文件 del /f /a C8A2BB40.EXE,同样方式删除C:\WINDOWS\system32\47CAE1E0.DLL文件
  2. CMD删除各个盘目录下面auto.exe和autorun.inf文件
  3. 注册表删除相关项HKLM\SYSTEM\CurrentControlSet\Services\1E87CA0, 重启即可。

总结:从病毒激发过程和查杀过程可以看出这是一个很简单的autorun病毒,而且没有病毒自身保护,所以查杀时候直接删掉病毒体C8A2BB40.EXE即可,并不会自我保护重新生成病毒,估计是学生自己学习编写的一个简单样本,也没有什么实际的破坏作用。通过手动查杀过程,学习了手动杀毒的流程,收获了一些病毒查杀经验。

——————–忽悠结束—————–

很没有步骤也没有条理的分析,跟网上高手的分析差距十万八千里的十万八千里,平时中个U盘病毒其实也会试着去收拾一下,慢慢的就有了点经验,用电脑还是一个习惯问题,好习惯加上一点小技术,It`s Ok!

看电影:《七天》

《七天》,韩国电影,Seven Days,该怎么分类呢,悬疑片加犯罪片。嗯,剧情非常紧张,情节非常的紧,两个多小时看完后我的第一感觉居然是好累啊这个电影看得我。。。

当母爱碰上高智商犯罪,看完之后我在豆瓣上给电影写的一句话。应该说母爱是电影里最让人心碎的感情了,女律师的小孩被绑票,受人要挟时候表现出来的冷静,坚强,应该是坚韧,是对母爱力量最好的诠释。

电影里还有一份母爱,似乎是变了味道的母爱。失去爱女的韩夫人,当她知道自己女儿滥交、吸毒的时候,说:这无所谓。她有所谓的是女儿已经不再人世了。失去女儿的痛苦,让这个母亲开始了她的高智商犯罪,可能是我的迟钝吧,一直到最后最后结局时候才明白,她要亲手杀了杀害女儿的凶手,所以,费劲心机的把凶手从监狱弄出来,再亲手杀了他。这也是母爱,虽然让人心痛的母爱犯罪。

女人是水。但一旦遇到困难,女人就是结了冰的水。

给心放假

现在时刻:北京时间2008年6月29日晚上20:20,嗯,距离上一次写东西有一个星期了。

上周结束最后一门专业考试,这个星期算是彻底的放松了下来,也就不想上来写啥东西。当然中间把操作系统的课程设计给结束了,前后也就弄了两天加一个晚上,过了就中,不想弄。老是累,心累,也不知道是因为啥累,就像刚才,7点的时候,跟丫头说困了,趴一下,结果一下子睡到8点才醒过来。醒了的时候好轻松,莫名的舒服,嗯,好久没有这么舒服的睡觉了。

6月底,毕业的时候,这几天老是看见大四的离开,不免有点伤感。明年的这个时候,我们会怎么样的心情离开?希望是醉酒之后,因为可以麻木,没有感觉的看着一起四年的人各奔东西,到时候我要喝倒他们几个!可是谁把我灌倒,可以没有意识的不去回忆。。。

不写了,贴图一张,很适合这一段的心情。

找个角落 闭上眼睛 世界就是你的…

Game Over,大学

准确说应该是理论上大学的课程结束了。

上午结束了操作系统,最后一门专业考试,下个学期,大四必修貌似只有一门现代企业管理一门高级课程了,对了,还有四个课程设计呢。这样算下来剩下一年时间必修的就是四个课程设计,这学期要结束掉两个,软件工程跟操作系统,下个学期开学时候两个,网络跟数据库,外带最后时候一个毕业设计,game over!

算算真的要结束了,大四也就是找工作,考研,然后荒废时间,使劲的堕落。其实现在都挺堕落的,堕落到你都不知道啥叫堕落了。

PS:昨天下午再次耍耍六级,我的个英语啊。

扯淡:Firefox 3,NBA

  1. firefox 3终于来了!一个重大改进的版本,一个让人惊喜的版本,噢耶!其实从fx3 beta3的时候就开始用了,那时候最大的问题就是插件扩展的不兼容性,也学习着改版本强制兼容,慢慢的beta 4,beta 5,到RC 1,RC 2,再到正式版,FX 3的改进确实非常明显,速度相当棒,内存泄漏问题也差不多解决掉,嗯,我喜欢!
  2. NBA结束了,凯尔特人的冠军。KG终于圆梦,现在联盟里面冠军心最强的人,AI好像也认命了。。。还有阿伦,联盟里面感觉是跟钢琴家希尔一样帅的绅士,很是欣赏啊,congratulation!
  3. 开始定火车票了,嗯,快回家啦,哈哈,哦,得先考试完再说。
  4. 最近生物钟完全错乱,晚上两点多钟楞是睡不着,哎,熬夜的后果啊。

开始Vista

由于XP系统崩溃,装了vista,打算转向vista。

其实老早时候就试过vista,那时候还是RTM版的,当时在同学的电脑上玩了半天,体会不算太大,就感觉界面好漂亮,当然是拿高配置砸出来的。当时最喜欢的就是vista资源管理器的地址栏设计,相当喜欢。vista细节上的设计确实有很大进步,一个小小的例子,文件重命名的时候不会选取后缀名,很小的细节上的改进,人性化了好多。不过刚开始的时候vista的兼容性是一个非常大的问题,让人很是恼火,再加上自己电脑的配置不是怎么高,就算了,一直坚守在xp阵营,一直到现在。

打定决心转vista,其实我也不怎么想。但是早晚都是个趋势,微软已经说了,Windows 7不会有新内核,是vista和serve 2008的基础上出来的Windows 7。就算是为了Windows 7现在也应该适应一下vista,比如系统进程上的改进。vista把服务项都并到进程里面,一开任务管理器40-50个进程,同学的更是达到60+,一看一堆莫名其妙的进程项,突然怀疑自己的电脑智商了。。。熟悉一下vista的系统应用同样很重要,虽然xp熟悉的话上手很容易,但是差别还是有的,要学习的东西还是很多。

不管什么原因吧,开始转向vista,还好电脑还是比较争气的,系统最低打分是显卡的3.2,其他项都是4.3+,不错不错!~

盘今到盘古:我又回来了

不管盘古还是盘今,其实都是一家的。关键是,我又回来了!

5月29号发现服务器宕掉的。刚才是还以为也是一般的服务器宕机,没有特别留意。晚些时候再上的时候发现提示404,我的个乖啊,404是啥概念?网页不存在,就是说服务器没有宕掉,但是你的数据没有,访问不到。天啊,不会把我的帐号删掉了吧?!赶紧找客服确认,结果很显然,我的帐号被删了。。。不过是“被黑”了:

您所在的盘今网络虚拟主机服务器221.5.252.241,今天(2008年5月29日)下午13点20分左右。 被一名以admin身份登陆DirectAdmin面板的人删除了全部用户数据。

得,等着吧,这回估计难弄了。 不过盘古(今)的效率还是很高的,晚上时候就给了一个临时解决办法,提供了盘古的临时合租服务器使用。等于是服务器搬家,所以恢复起来还是挺方便的。最近的全站备份是5月26号的,感谢wp-db-backup插件,博客数据库是每天自动备份到邮箱,有了数据库就好办了,盘今到盘古,wordpress搬家开始:

  1. 在新空间,也就是盘古的临时合租服务器上建个数据库,然后import导入备份的数据库,over。
  2. 把原来文件数据上传新服务器空间。终于体验了一下Cpanel面板的强大,仅仅在线解压一个小小的功能就让我兴奋了半天,学校网络太差了,一个一个连接上传老是失败。
  3. 检查!主要是wordpress下面wp-config.php中间数据库配置跟新空间数据库是否吻合,这个是最重要的,不然还是不能使用。
  4. 修改域名指向新空间,over。

Update:今天下午三点吧,盘今给出来解决方案:

  1. 数据我们按照6月3日预计的方案来尽可能的恢复,然后交给大家认领.
  2. 盘今网络最迟在明天恢复运营,开始重建客户订单和空间帐户。盘今网络主机已经做了更多的安全防护和设置。
  3. 我们为每位客户的盘今网络帐户提供50元的预付款补偿,可以用于购买和续费空间,不能提现或者购买域名。
  4. 每位客户的空间订单到期时间统一延长到2010年4月10日。
后面两条让我热血沸腾啊,-_-     ,不过不明白第一条的是啥意思呢?怎么认领?再回去?从盘古到盘今。。。囧,再说吧,回去就回去,反正有搬家经验了,有数据库就够了,惦着数据库满世界的乱跑,噢耶!

Mysql 5.0降级导入Mysql 4.0

直接导入数据库时出现错误:#1064 - You have an error in your SQL syntax. 语法错误,那就是说数据库文件没有错误,但sql语法上有问题,可惜sql学的不怎么样,看了半天也没有看出来哪里出错了,Google告诉我好像是Mysql版本兼容问题。赶紧看了一下空间的Mysql版本,盘今的是5.0几的,盘古提供的临时合租服务器的Mysql是4.0.27的,嗯,应该就是这个原因了,想办法解决之。

在本地的xampp环境mysql版本是5.0.51,phpmyadmin新建一个数据库,然后将备份的数据库文件导入成功,然后再导出:选中要导出的数据库,在”Options”组合框的”SQL compatibility mode”选中”MYSQL40”,在”Structure”组合框中选中”Add IF NOT EXISTS”,”Add AUTO_INCREMENT value”,”Enclose table and field names with backquotes”,在下面的”Export type”中选择”REPLACE”,选中”Save as file”,”zipped”和”gzipped”压缩看数据库大小选择,然后”Go”把生成的SQL文件保存到磁盘,导出结束。

导入到空间数据库中,这一步很简单了,一步成功:Import has been successfully finished.

“等”吧

今天火炬在离俺们说远不远,说近不近的新区那边传递,俺被人代表着加油去了,安安心心上课吧。

中午吃饭时候正好赶上5套《体坛快讯》,到不了现场还不能看看电视啊。官方的就不说了,传递的很好。后面有一个关于合肥的短片,有这么一段:

合肥也是有名的全国教育…(有几个字没听见,估计是教育重点什么的),包括中国科学技术大学一批有名的大学…

我们就是那个字里面的,因为你是等字辈的,所以你不能去现场看火炬,只能等着让别人代表你去看,等着看看电视新闻画面就行了…

代表性的圣火传递

  1. 合肥火炬传递起跑仪式定于5月28日上午8时举行,地点是在合肥经济技术开发区的安徽国际会展中心西门前广场。在起跑仪式前,将集体默哀一分钟,表示对四川地震遇难同胞的哀悼。
  2. 圣火火种回收仪式定于11:02举行,地点合肥体育中心体育场内。之后,北京奥组委圣火护卫人员将圣火从圣火台引回火种灯,熄灭圣火台,活动结束。
  3. 最新 的传递路线如下:安徽国际会展中心 > 繁华大道 > 翡翠路 > 政务广场 > 潜山路 > 习友路 > 合肥体育中心体育场,途径徽园、大学城、政务大楼、天鹅湖、体育中心等美丽景点和城市标志性建筑
  4. 目前,合肥市已组织了7.1万人到现场观看火炬传递,包括庐阳区、包河区、蜀山区、瑶海区、经济技术开发区、合肥市总工会、教育厅、驻肥130多个单位等,涵盖了合肥市的各个阶层。届时,他们将代表合肥市民文明有序地喜迎圣火。圣火回收仪式核心区的观众,也有 很强的代表性,有工人、农民、大学生等,他们分别身穿蓝、黄、黑、绿、红五种颜色,与奥运五环相对应。

以上来源于新华网,整理得之:

明天被有一个能亲临现场的大学生兄弟姐妹,代表我观看圣火,为圣火呐喊加油,为奥运加油!

我想爱你,你却把自己封装起来,设置属性为private,通过一个很有代表性的接口,跟我说:你一定要爱我,哪怕是通过它!