win2k运行很慢的问题？？

arza 2003-03-06 10:44:38

进入win2k以后，带开任务管理器，里面有很多svchost.exe的进程，怎么关闭都管不了，为什么？？并且这东西巨占内存！

谢谢

...全文

33 2 打赏收藏转发到动态举报

写回复

2 条回复

切换为时间正序

请发表友善的回复…

发表回复

lesni 2003-03-06

打赏
举报

回复

Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位
在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要
加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，
以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。

WnEunfn 2003-03-06

打赏
举报

回复

先看是否中毒来着，因为有些病毒利用svchost.exe封装。

这是服务来的，你如果不需要，一般可在管理工具->服务中将之逐项停用。

X-scan 安全焦点出品的国内很优秀的扫描工具，采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式。流光国人的骄傲，由高级程序员小榕编写的一款强悍的扫描器。大家都知道。就不介绍了。 X-way 一款优秀功能多线程扫描工具。也都应该用过。不作介绍了。 Nmap 这个就厉害了,安全界人人皆知的非常有名气的一个扫描器!作者Fyodor. Domain 集WHOIS查询、上传页面批量检测、木马上传、数据库浏览及加密解密于一体. SuperScan 强大的TCP端口扫描器、Ping和域名解析器! Hscan 这是款运行在WinNT/2000下的漏洞扫描工具，有GUI以及命令行两种扫描方式! WIN2K自动攻击探测机 WinNT/2000自动攻击探测机。 4899空口令探测能够快速的扫描到被安装了radmin服务端4899端口的空口令IP! SHED 一个用来扫描共享漏洞的机器的工具! Hscan 这是款运行在Win NT/2000下的漏洞扫描工具，有GUI以及命令行两种扫描方式! Blue's port scan 一款绿色的扫描软件，速度很快。 WebDAVScan 针对WEBDAV漏洞的扫描工具! X-scan - X-Scan的使用方法这里使用x-scanner作为介绍对象，原因是x-scanner集成了多种扫描功能于一身，它可以采用多线程方式对指定IP地址段（或独立IP地址）进行安全漏洞扫描，提供了图形界面和命令行两种操作方式，扫描内容包括：标准端口状态及端口banner信息、CGI漏洞、RPC漏洞、SQL-SERVER默认帐户、FTP弱口令，NT主机共享信息、用户信息、组信息、NT主机弱口令用户等。扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。对于一些已知的CGI和RPC漏洞，x-scanner给出了相应的漏洞描述、利用程序及解决方案，节省了查找漏洞介绍的时间。首先x-scanner包括了两个运行程序：xscann.exe和xscan_gui.exe，这两个程序分别是扫描器的控制台版本和窗口版本，作为初学者可能更容易接受窗口版本的扫描软件，因为毕竟初学者使用最多的还是“应用程序”，无论运行那一个版本，他们的功能都是一样的。首先让我们运行窗口版本看看：窗口分为左右两部分，左面是进行扫描的类型，这包括前面提到的漏洞扫描、端口扫描等基本内容；另一部分是有关扫描范围的设定，xscanner可以支持对多个IP地址的扫描，也就是说使用者可以利用xscanner成批扫描多个IP地址，例如在IP地址范围内输入211.100.8.1-211.100.8.255就会扫描整个C类的255台服务器（如果存在的话），这样黑客可以针对某一个漏洞进行搜索，找到大范围内所有存在某个漏洞的服务器。当然如果只输入一个IP地址，扫描程序将针对单独IP进行扫描。剩下的端口设定在前面已经介绍过，一般对于网站服务器，这个端口选取80或者8080，对于某些特殊的服务器也许还有特殊的端口号，那需要通过端口扫描进行寻找。多线程扫描是这个扫描器的一大特色，所谓多线程就是说同时在本地系统开辟多个socket连接，在同一时间内扫描多个服务器，这样做的好处是提高了扫描速度，节省时间，根据系统的资源配置高低，线程数字也可以自行设定（设定太高容易造成系统崩溃）。在图形界面下我们看到了程序连接地址“.\xscan.exe”，这实际上就是xscanner的控制台程序，也就是说图形窗口只是将控制台扫描器的有关参数设置做了“傻瓜化”处理，程序运行真正执行的还是控制台程序。因此学习控制台是黑客所必需的，而且使用控制台模式的程序也是真正黑客喜爱的操作方式。现在我们进行一个简单的cgi漏洞扫描，这次演练是在控制台模式下进行的：xscan 211.100.8.87 -port 这个命令的意思是让xscanner扫描服务器211.100.8.87的开放端口，扫描器不会对65535个端口全部进行扫描（太慢），它只会检测网络上最常用的几百个端口，而且每一个端口对应的网络服务在扫描器中都已经做过定义，从最后返回的结果很容易了解服务器运行了什么网络服务。扫描结果显示如下： Initialize dynamic library succeed. Scanning 211.100.8.87 ...... [211.100.8.87]: Scaning port state ... [211.100.8.87]: Port 21 is listening!!! [211.100.8.87]: Port 25 is listening!!! [211.100.8.87]: Port 53 is listening!!! [211.100.8.87]: Port 79 is listening!!! [211.100.8.87]: Port 80 is listening!!! [211.100.8.87]: Port 110 is listening!!! [211.100.8.87]: Port 3389 is listening!!! [211.100.8.87]: Port scan completed, found 7. [211.100.8.87]: All done. 这个结果还会同时在log目录下生成一个html文档，阅读文档可以了解发放的端口对应的服务项目。从结果中看到，这台服务器公开放了七个端口，主要有21端口用于文件传输、80端口用于网页浏览、还有110端口用于pop3电子邮件，如此一来，我们就可以进行有关服务的漏洞扫描了。(关于端口的详细解释会在后续给出) 然后可以使用浏览看看这个服务器到底是做什么的，通过浏览发现原来这是一家报社的电子版面，这样黑客可以继续对服务器进行漏洞扫描查找服务器上是否存在perl漏洞，之后进行进一步进攻。漏洞扫描的道理和端口扫描基本上类似，例如我们可以通过扫描器查找61.135.50.1到61.135.50.255这255台服务器上所有开放了80端口的服务器上是否存在漏洞，并且找到存在什么漏洞，则可以使用xscan 61.135.50.1-61.135.50.255 -cgi进行扫描，因为结果比较多，通过控制台很难阅读，这个时候xscanner会在log下生成多个html的中文说明，进行阅读这些文档比较方便。二、扫描器使用问题：载使用漏洞扫描器的过程中，学习者可能会经常遇到一些问题，这里给出有关问题产生的原因和解决办法。扫描器的使用并不是真正黑客生涯的开始，但它是学习黑客的基础，所以学习者应该多加练习，熟练掌握手中使用的扫描器，了解扫描器的工作原理和问题的解决办法。 1、为什么我找不到扫描器报告的漏洞？扫描器报告服务器上存在某个存在漏洞的文件，是发送一个GET请求并接收服务器返回值来判断文件是否存在，这个返回值在HTTP的协议中有详细的说明，一般情况下“200”是文件存在，而“404”是没有找到文件，所以造成上面现象的具体原因就暴露出来了。造成这个问题的原因可能有两种：第一种可能性是您的扫描器版本比较低，扫描器本身存在“千年虫”问题，对于返回的信息扫描器在判断的时候，会错误的以为时间信息2000年x月x日中的200是“文件存在”标志，这样就会造成误报；另外一种可能性是服务器本身对“文件不存在”返回的头部信息进行了更改，如果GET申请的文件不存在，服务器会自动指向一个“没有找到页面”的文档，所以无论文件是否存在，都不会将“404”返回，而是仍然返回成功信息，这样做是为了迷惑漏洞扫描器，让攻击者不能真正判断究竟那个漏洞存在于服务器上。这一问题的解决办法也要分情况讨论，一般说来第一种情况比较容易解决，直接升级漏洞扫描器就可以了，对于第二种情况需要使用者对网络比较熟悉，有能力的话可以自己编写一个漏洞扫描器，自己编写的扫描器可以针对返回文件的大小进行判断，这样就可以真正确定文件是否存在，但这种方法对使用者的能力要求较高。 2、我使用的扫描器速度和网络速度有关系嘛？关系不大。扫描器发送和接收的信息都很小，就算是同时发送上百个GET请求一般的电话上网用户也完全可以做得到，影响扫描器速度的主要因素是服务器的应答速度，这取决于被扫描服务器的系统运行速度。如果使用者希望提高自己的扫描速度，可以使用支持多线程的扫描器，但是因为使用者本地电脑档次问题，也不可能将线程设置到上百个，那样的话会造成本地系统瘫痪，一般使用30个线程左右比较合适。另外对于很多网络服务器来说，为了防止黑客的扫描行为，可能会在防火墙上设置同一IP的单位时间GET申请数量，这样做目的就是避免黑客的扫描和攻击，所以在提高本地扫描速度之前，应该先确认服务器没有相应的过滤功能之后再使用。 3、扫描器报告给我的漏洞无法利用是什么原因？确切地说扫描器报告的不是“找到的漏洞”，而是找到了一个可能存在漏洞的文件，各种网络应用程序都可能存在漏洞，但是在更新版本的过程中，老版本的漏洞会被修补上，被扫描器找到的文件应该经过手工操作确认其是否是存在漏洞的版本，这可以通过阅读网络安全网站的“安全公告”获得相应知识。对于已经修补上漏洞的文件来说，也不代表它一定不再存有漏洞，而只能说在一定程度上没有漏洞了，也许在明天，这个新版本的文件中又会被发现还存在其他漏洞，因此这需要网络安全爱好者时刻关注安全公告。当然如果攻击者或者网络管理员对编程比较熟悉，也可以自己阅读程序并力图自己找到可能的安全隐患，很多世界著名的黑客都是不依靠他人，而是自己寻找漏洞进行攻击的。 4、扫描器版本比较新，然而却从来没有找到过漏洞是什么原因？有一些扫描器专门设计了“等待时间”，经过设置可以对等待返回信息的时间进行调整，这就是说在“网络连接超时”的情况下，扫描器不会傻傻的一直等待下去。但如果你的网络速度比较慢，有可能造成扫描器没有来得及接收返回信息就被认为“超时”而越了过去继续下面的扫描，这样当然是什么也找不到啦。如果问题真的如此，可以将等待时间设置的长一些，或者换个ISP拨号连接。 5、扫描器报告服务器没有提供HTTP服务？网络上大多数HTTP服务器和漏洞扫描器的默认端口都是80，而有少量的HTTP服务器并不是使用80端口提供服务的，在确认服务器的确开通了网站服务的情况下，可以用端口扫描器察看一下对方究竟使用什么端口进行的HTTP服务，网络上常见的端口还有8080和81。另外这种情况还有一种可能性，也许是使用者对扫描器的参数设置不正确造成的，很多扫描器的功能不仅仅是漏洞扫描，有可能还提供了rpc扫描、ftp默认口令扫描和NT弱口令扫描等多种功能，因此在使用每一款扫描器之前，都应该自己阅读有关的帮助说明，确保问题不是出在自己身上。 6、扫描器使用过程中突然停止响应是为什么？扫描器停止响应是很正常的，有可能是因为使用者连接的线程过多，本地系统资源不足而造成系统瘫痪、也可能是因为对方服务器的响应比较慢，依次发送出去的请求被同时反送回来而造成信息阻塞、还有可能是服务器安装了比较恶毒的防火墙，一旦察觉有人扫描就发送特殊的数据报回来造成系统瘫痪…… 因此扫描器停止响应不能简单的说是为什么，也没有一个比较全面的解决方案，不过一般情况下遇到这种问题，我建议你可以更换其他扫描器、扫描另外一些服务器试试，如果问题还没有解决，就可能是因为扫描器与你所使用的系统不兼容造成的，大多数基于微软视窗的漏洞扫描器都是运行在Windows9X下的，如果是Win2000或者NT也有可能造成扫描器无法正常工作。 7、下载回来的扫描器里面怎么没有可执行文件？扫描器不一定非要是可执行的exe文件，其他例如perl、CGI脚本语言也可以编写扫描器，因此没有可执行文件的扫描器也许是运行在网络服务器上的，这种扫描器可以被植入到网络上的其它系统中，不需要使用者上网就能够24小时不停的进行大面积地址扫描，并将结果整理、分析，最后通过Email发送到指定的电子信箱中，因此这是一种比较高级的扫描器，初学者不适合使用。另外注意载下在扫描器的时候注意压缩报文件的扩展名，如果是tar为扩展名，那么这个扫描器是运行在Linux系统下的，这种其它操作平台的扫描器无法在视窗平台下应用，文件格式也和FAT32不一样。 8、扫描器只报告漏洞名称，不报告具体文件怎么办？只要漏洞被发现，网络安全组织即会为漏洞命名，因此漏洞名称对应的文件在相当广泛的范围内都是统一的，只要知道了漏洞的名称，黑客就可以通过专门的漏洞搜索引擎进行查找，并且学习到与找到漏洞相关的详细信息。这种“漏洞搜索引擎”在网络上非常多，例如我国“绿盟”提供的全中文漏洞搜索引擎就是比较理想的一个。

一个非常小并且实用的虚拟磁盘/内存盘/光驱绿色工具! 随身携带必备软件之一! 　驱动内核映像只占4K(32位)/8K(64位)内存! 当退出程序,并且没有虚拟设备时,驱动会自动卸载! 　注: 不支持 Vista x64 位系统, 因为驱动需要签名　　解决办法:启动电脑时按F8,选择禁用驱动签名即可!可以参见简介最下面的图片　　强烈建议新建磁盘文件存放在NTFS分区上,因为NTFS支持动态增加文件大小功能! 　　不建议创建很大的内存盘,因为使用过多的物理内存,系统会变慢,合理的使用内存盘,反而可以加快系统速度(如:把IE临时文件夹设置到内存盘中)!不要把重要文件存放在内存盘中,因为重启后,内存盘内容被清除! 升级步骤: 　　1.如果已经将临时文件夹指向内存盘,先将临时夹指向一个非虚拟盘中任何一个位置,重启电脑,如果没有,跳过此步　　2.运行老版本,删除所有虚拟盘,如果没有虚拟盘,跳过此步　　3.退出老版本,删除老版本,如果没有安装,跳过此步　　4.解压新版本,运行　　5.按需要重新设定,安装/升级成功! -------------------------------------------------------------------------------- 2009.08.05 - 0.4 　[ + ] 新增繁体Big5版本 2009.08.03 - 0.4 　[ + ] 支持文件拖放到主窗口　[ + ] 支持自动创建临时目录　[ + ] 正在使用的盘删除时提醒　[ * ] 优化内存盘读写 -------------------------------------------------------------------------------- 2009.07.30 - 0.3 　[ + ] 设置默认卷标　[ + ] 显示物理内存使用地址　[ - ] 修复内部格式化分配单元计算问题 -------------------------------------------------------------------------------- 2009.07.27 - 0.2 　[ + ] 添加虚拟内存盘　[ + ] 支持重启后自动加载　[ + ] 默认格式化成FAT16/12分区,如果新建大磁盘,请重新使用FAT32/NTFS格式化　[ * ] 驱动内核精简优化　[ - ] 修复Win2k驱动加载问题 -------------------------------------------------------------------------------- 2009.07.19 - 0.1 　[ F ] 初始版本

C++面试题 1.是不是一个父类写了一个virtual 函数，如果子类覆盖它的函数不加virtual ,也能实现多态? virtual修饰符会被隐形继承的。 private 也被集成，只事派生类没有访问权限而已 virtual可加可不加子类的空间里有父类的所有变量(static除外) 同一个函数只存在一个实体(inline除外) 子类覆盖它的函数不加virtual ,也能实现多态。在子类的空间里，有父类的私有变量。私有变量不能直接访问。 -------------------------------------------------------------------------- 2.输入一个字符串，将其逆序后输出。（使用C++，不建议用伪码） #include using namespace std; void main() { char a[50];memset(a,0,sizeof(a)); int i=0,j; char t; cin.getline(a,50,'\n'); for(i=0,j=strlen(a)-1;istr; str.replace; cout a = a/9; =>a = 1; -------------------------------------------------------------------------- 5. const 符号常量； (1)const char *p (2)char const *p (3)char * const p 说明上面三

一、启用guest来宾帐户；二、控制面板→管理工具→本地安全策略→本地策略→用户权利指派里，“从网络访问此计算机”中加入guest帐户，而“拒绝从网络访问这台计算机”中删除guest帐户；三、我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享（推荐）”前的勾；四、设置共享文件夹；五、控制面板→管理工具→本地安全策略→本地策略→安全选项里，把“网络访问：本地帐户的共享和安全模式”设为“仅来宾-本地用户以来宾的身份验证”（可选，此项设置可去除访问时要求输入密码的对话框，也可视情况设为“经典-本地用户以自己的身份验证”）；六、右击“我的电脑”→“属性”→“计算机名”，该选项卡中有没有出现你的局域网工作组名称，如“work”等。然后单击“网络 ID”按钮，开始“网络标识向导”：单击“下一步”，选择“本机是商业网络的一部分，用它连接到其他工作着的计算机”；单击“下一步”，选择“公司使用没有域的网络”；单击“下一步”按钮，然后输入你的局域网的工作组名，如“work”，再次单击“下一步”按钮，最后单击“完成”按钮完成设置。访问网上邻居时显示:" windows xp系统访问局域网时显示 "WORKGROUP无法访问．您可能没有权限使用网络资源．请与这台服务器的管理员联系以查明您是否有访问权限．此工作组的服务器的列表当前无法使用." 我用的是xp系统我也遇到过这样的情况，当时也是着急得不轻，后来看到了以下的内容，照着一步步的做了做，真的好了。内容不少，但是仍然希望你能耐住性子，仔细的看看自己属于那种情况，应该会有所收获。局域网互访 - [ 网络 ] 我也是类似问题。以前一个局域网10多台机子互访问。安了蕃茄花园v2.3，感觉主题漂亮，桌面壁纸自动换，很爽。访问局域网计算机没问题。可网内其它机子在工作组内能看到我的机子，但打不开。说什么“没有权限”。所有设置都作了如下改动（网上找的），依然无效，何故？但求高手指点。 “网上邻居”无法互访问题解决方法大全 “网上邻居”无法互访的问题实在是太常见了，无论在学校，网吧还是家里多台电脑联机，都有可能遇到网上邻居无法互访的故展。“网上邻居”无法访问的故障多种多样，总结起来基本上有下面的几个： 1，没有共享资源/共享服务未启用。症状：电脑与电脑间可以Ping通，但无法访问共享资源，在“计算机管理”中查看“本地共享”后会弹出“没有启动服务器服务”的错误对话框。解决：在控制面板－管理工具－服务中启动Server服务。并设置“启动类型”为“自动”。 2，IP设置有误。症状：双机之间无法互Ping，连接用的双绞线经过测试没有问题，没有安装防火墙。解决：检查两台电脑的IP是否处在同一网段，还有子掩码是否相同。 3，WINXP默认设置不正确。症状：从WIN98/2000/2003上无法访问另一台WINXP的机器。解决：在“控制面板”中的“用户帐户”启用Guest帐号。然后在运行中输入secpol.msc启动“本地安全策略”。本地策略 -> 用户权利指派，打开“从网络访问此计算机”，添加Guest帐户本地策略 -> 安全选项，禁止"帐户：使用空白密码的本地帐户只允许进行控制台登陆"。另外有时还会遇到另外一种情况：访问XP的时候，登录对话框中的用户名是灰的,始终是Guest用户，不能输入别的用户帐号。解决：本地策略 -> 安全选项 -> "网络访问：本地帐户的共享和安全模式"，修改为"经典-本地用户以自己的身份验证" 4，系统漏洞修补软件修改了安全策略。症状：在“网上邻居”中可以看到对方的计算机，但是访问共享时却提示“没有权限访问网络” 解决：在开始菜单运行中输入secpol.msc启动“本地安全策略”，本地策略 -> 用户权利分配，打开“拒绝从网络访问这台计算机”，删除guest用户。 5，防火墙规则。症状：安装了防火墙（包括WINXP系统自带的防火墙），出现无法Ping通，或者是访问共享资源的时候提示"XXX无法访问"、"您可能没有权限使用网络资源"、"请与这台服务器的管理员联系以查明您是否有访问权限"、"找不到网络路径"等类似的提示。解决：停止防火墙或者添加局域网的访问规则。 WINXP自带的防火墙：打开控制面板 -> 网络和Internet连接 -> Windows防火墙 -> 例外，勾选“文件和打印机共享”。 6，Win2000/XP与Win98互访症状：Ping命令可以通过，但无法在“网上邻居”中实现互访。解决：在WIN2000/XP系统中：控制面板 -> 管理工具 -> 计算机管理 -> 本地用户和组 -> 用户，在Guest帐户上点击鼠标右键，选择属性，在常规项里取消

特别说明：本软件谢绝任何支持或使用3721（及及该公司其他产品如雅虎助手等）的人士使用。 multiCCL 　　　　　by niu-cow in NE365 开发调试环境及工具 : win2k+sp4 dev-cpp 4.992 Lcc_win32 MASM32 v9.0 Radasm ollydbg 1.10 winHex 12.5 包含文档： 1. multiCCL_f.exe 文件特征码专用版 2. multiCCL_m.exe 内存特征码专用版 3. multiCCL_inj.exe 注入代码块内存定位专用版 4. memtest.exe 　用作内存定位时加载dll或运行exe或向目标进程注入的辅助程序　　　　　　　　　（为了防止主程序被杀毒软件Kill，用了远程线程注入） 5. multiCCL_readme.txt 本说明文档 6. multiCCL原理图示.htm 基本原理图示功能：原来已有的文件特征码定位功能 (对 PE文件和非PE文件)－－此功能已较稳定本版新增功能：内存特征码定位（对PE文件)－－－－－－－－－此功能测试中因为现在杀毒软件针对特征码定位器设置了某些干扰，最终决定把文件定位和　　内存定位做成两个独立的部分。其实代码基本一样的，只为方便日后的维护和升级。 ----------------------------------- ......内存定位.重要提示....... 1.定位期间不要浏览任何放有病毒样本的文件夹以免被杀毒软件的实时监控删掉 2. 现在打开杀毒软件的实时检测（保护级别在自定义中设置得严格些）实时检测的执行动作可设置为： a. 提示用户操作 b. 禁止访问并删除推荐选 a ，千万不要选“仅禁止访问”，“隔离”也不要选 3. 当然也可以按提示手动扫描内存执行动作设为“仅报告”或“提示用户操作” 只要杀毒软件报告检测结果就行了，不需要它删除或禁用什么 4. 防火墙不要监视远程线程因为multiCCL为了避免主程序被杀毒软件kill，用远程线程加载样本　　（另外，正在找有关驱动方面的资料）－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－现在重点测试内存特征码的定位功能。通过后再添加。现在的界面也还有点马虎，用cmd界面也是为测试方便，因为随时都可输出中间信息。（（听 tankaiha 一说还真不想写GUI界面了））需要说明的问题是：　　　　1.　开始定位一个样本时，如果发现样本目录中存在旧的记录文件，　　　　　　　　　　程序会读取并认可旧记录中的特征码。如果想完全重新开始定位，应该先把旧的记录文件删除或改名，之后再打开multiCCL 。 2. 输出目录里不要放置任何您想保留的文件，以免给您带来损失。定位过程中将删除里面的一些文件。另一个简单的做法是：先手动在样本所在目录下建一个名为　　　　　　　　　　　　　output 的子目录，然后在选择目录的对话框点 “取消”，这样输出文件就都放到这个output 目录下了。 3.　设置保护片段时，如果所保护的片段本身是独立的特征码，就会　　　　　　　导致定位失败，因为所生成的文件会全部被杀，而且一直如此。　　　　　　　　所以在设置前，　　　　　　　　　先要确认所保护的片段不是独立的特征码。 v 0.100 beta 之后的版本用的是等分法，限制区域的优化效果，对于文件特征码来说是很不明显的，而对于内存特征码的定位还是比较明显的。 ;　　要注意的是，文件定位每次提醒杀毒时，一定要把识别出的文件全部删除，否则程序会判断错误的。（内存定位就没关系了）记录文件格式：只要注意以下几个字段和键值就可以了： [CharactorCodz] ;特征码总数 CharactorTotal= ;特征码的记录格式是 H_起始偏移_结束偏移_长度_…… ;一般只要注意起始偏移结束偏移就够了。记录的是文件偏移， ;　用十六进制表示 ;特征码1 Codz1= ;特征码2 Codz2= ;…… ;当OK=1时表示定位成功完成，ok=0表示定位没有完成 ok= －－－－－－－－－－－ ;文件定位的记录文件是 multiCCL_f_Log.txt ;内存定位的记录文件是 multiCCL_m_Log.txt ;都放在样本文件所在的目录下。－－－－－－－－－－－ ;看内存定位结果时，还有一个字段需要注意的： [antiLocateCodz] newCodz=1 OK=1 CharactorTotal= Codz1= Codz2= …… ;这是杀毒软件针对内存定位干扰码，（　antiLocateCodz　） ;定位不出内存特征码或修改内存特征码无效时, ;可以考虑修改入口点（修改代码或转移入口点）， ;若以上修改还是无效，则试试修改干扰码。 ;---------------------------- ;另外也请看看更新记录，里面也有部分说明 ; ; 同时也请帮助统计定位一个样本特征码所需的时间，大致记录下就行 ; 结果请反馈到： http://vxer.cn/bbs/read.php?fid=9&tid=112&page=1 ;----------------------------------------------- ;统计内容包括： ;-------- ;基本信息: 哪种杀毒软件的XXX文件定位（病毒库版本XXXX) ;1 样本文件大小: ;2 总共定位出特征码片段的数量: ;3 总共需要杀毒软件扫描几次: ;4 定位总用时： ;5 定位结果评价: 基本可用/有较大偏差/很不可靠 ;---------------------------------------------- ;BTW: 本程序针对的目标是杀毒软件的复合特征码的定位，　　　当然也包括单一特征码了。 ;免责声明：本程序只供学习，不得用于商业。本程序可能存在某些缺陷，　　　　　　及其他可能隐含的问题，　　　　　使用中可能造成的一切后果，均由使用者自行负责。如果您对此很在意则请勿使用。 ;感谢您的测试，使用中请保留软件文档的完整，发现任何问题请到NE365的BBS上反馈。 ;（借用一下NE365的空间　http://vxer.cn/bbs　，一并致谢NE365 ;及各位网友的帮助和测试　，大家多多支持NE365吧） ; ;特别说明：本软件谢绝任何支持或使用 3721 的人士使用。　　　　　　　　　　　　niu-cow 2006-05-22 --------------------------------------------- 大致上找到了特征码没完没了的原因了　　很可能是因为保护区域设置得过大，其中含有相当数量的隐含病毒特征，导致启发式扫描的极高的实现机率。　实际测试中也发现当没有设置保护区域时，定位出的特征码就很有限。　　看来，设置合理的保护区域，对于定位是非常重要的，尤其是针对“启发式扫描”（NOD32称之为“高级智能侦测模式”）的定位。　　尽管以上只是猜测，不过本人认为这下被猜中了。 niu-cow 2006-05-31 20:08 ---------------- 　　在tanknight(myCCL的作者)的BLOG上看到NOD32定位的有关讨论，据说定位精度太高时，对NOD32的定位往往失败。一般控制在8--16字节为宜。　　依照这个原理增加了个控制定位精度的模块，重复的现象有所减少，但问题好象还没有解决。 niu-cow 2006-06-10 17:04 ------------------------------------------------------------------ ------------------------------------------------------------------ 更新历史： v 1.150 （当前版本） 1.解决了memtest.exe被杀时，主程序的SendMessage无法返回的问题 2.为注入型的提升权限（只有当拥有Administrators以上权限时才起作用）这样就可以注入某些系统进程。注：本版的memtest.exe、memtiCCL_m.exe、multiCCL_inj.exe 和之前的版本均无法兼容，不要混用。 2006-11-29 v 1.140 1.修正了第一次生成Except.txt（用于设置保护区域定位精度等）时，未能生成完整的模板，导致很多使用者第一次使用时无所适从， 2.将内存定位的一个容易引起误解的“判断……”改为“将判断……” (以上两处BUG感谢网友woaicomputer等的反馈) 3.增加了定位注入数据块的特征码的功能（主要用于对付flux等）方法是：a 想办法从内存中抓取注入的数据块（这个要自己想办法） b 用multiCCL_inj.exe处理数据块并注入了目标进程，结合杀毒软件扫描内存，进行判断定位注：memtest.exe 再次升级，以适用于multiCCL_inj.exe 2006-11-15 v 1.130 (仅针对内存定位模块） 1.改变EXE的加载方式为创建进程（原来用LoadLibrary） 2.增加对保护区域设置的检测，这样加载失败的机率更少　　　　　（本版的 multiccl_m.exe 和 memtest.exe 与过去的版本不兼容） 2006-11-5 v 1.120 (仅针对内存定位模块) 因为有的杀毒软件监视远程线程，用注入法要先关闭这个监视感觉这样有些麻烦，改用发消息让宿主程序主动加载（此版的 multiccl_m.exe 和 memtest.exe 得配合使用了） 2006-10-23 v 1.110 (仅针对内存定位模块) 有网友(无涯)反馈说内存定位时有问题发现问题的系统是WIN2003 本人在WIN2K+SP4下测试未发现问题从出错截图看，问题很可能在杀进程的函数检查源代码，只发现一个进程句柄没有及时关闭，修正了这个函数，作为试探性修改，看看问题是否解决。 2006-07-14 v 1.100 : 1- 修正了处理干扰码的方式，并在记录中用~~作标记，或许有点用。 (注：干扰码也可能是特征码的一部分) 2- 修正了定位头端时的还原方式。 3- 生成文件时增加一秒停顿。这个版本的两处修正都只是试探性的修改。 2006-07-04 v 1.010 : 仅修正了内存定位的模块，使其生成的文件数更少（定头端时）这样每轮加载次数最多35次，绝大多数时候是28次（尾端20次，头端8次）文件定位仍用v 1.000版 2006-06-20 v 1.000 : 从本版本开始，已经是正式版了~~~~ 1- 记录文件文件名中包含了样本文件名，以有所区别，感谢pipapi的建议。 2- 增加了一个控制定位精度的功能。具体是在Except.txt文件中改变dwX的值当dwX=1 时精度为一字节（最高），如果存在旧的Except.txt 则请自行增加这个字段，如下(前后都不要有空格)： [dwX] dwX=1 降低精度的目的是减少一些干扰（如NOD32的启发式扫描), 经实际测试发现仍然无法完全避免。（一般降为 12-16 字节左右为宜，dwX的值用十进制）保护区域设置的合适一些，不要太大才是最重要的。　　　　　　　　　　　　　　　　　2006-06-09 v 0.120 beta: 1- 实际使用中发现，杀毒软件的“启发式扫描” （NOD32的称“高级智能侦测模式”的扫描速度实在慢，为提高效率，减少每次生成文件的数量，当然多扫一遍了（以 1 MB 计算）。这样一来，对磁盘空间的需求也减少了一半。不过现在的硬盘都很大，不会在乎这点的。此修正针对文件定位（也包括内存定位前的干扰码定位） 2- 提示音作了细小的调整。 2006-05-31 v 0.110 beta: 1- 增加了内存定位功能（二分法），这样每定位一处特征码最多只需加载64次（其中定尾端20次，头端32次） 2- 修正了卸载方式。 3- 彻底屏蔽限制点区能。 4- 文件定位仍使用 v 0.100 beta 版 2006-05-25 v 0.100 beta: 1- 修正了winXP下当软件路径带空格时出错的问题，感谢最近的星球的测试和反馈 2- 改用了等分法（原来用二分法），效率提高明显。　　　　　　　　　测试过程中发现的一个偶然的错误却解决了算法中的一个　细节问题，进一步提高了效率（与理论效率相比）激动ing ,每次最多可能生成64个文件使用新版本时，把旧版本的记录文件重命名或删除吧，以免造成潜在的冲突。 3- 增加了定位限制点的功能，就是说只定位限制点之前的部分且直接从此点开始，　　限制点之后的所有数据都将被随机数据串填充。　　　　　　　　　　　　　　若需要保护某区数据，请与保护区域配合使用。限制点的格式为 8 位的十六进制值，以表示文件偏移。且只当标志设为1时起作用，限制标志为0时不起作用。特别说明：这个功能只是预留，目前测试表明没什么用处。　　目前的版本只有文件定位功能，就不要使用限制点了。 4- 使用新算法的multiCCL版本号从 v 0.100 beta 开始。目前只有文件定位功能。先测试BUG。 2006-05-22 v 0.017 beta-p: 再次作一小的修正，因为发现和卡巴对0.012版类似干扰，这次是别的杀毒软件了，也不清楚原理是什么，干脆连同干扰码一起定位了，这样还省心些。（以后前面冒出的干扰码就不怕了，今后的升级只要应付覆盖区冒出的干扰码就行了）本BUG系astronomer反馈，致谢 2006-05-18 v 0.017 beta : 再次修正随机数据的生成方式，修正的效果有待测试因为定位NOD32对彩虹桥英文1.02版的文件特征码时发现有干扰。（感谢yxrx的测试）　　　　　　　　　　　　　　　　2006-05-18 v 0.016 beta-p: 1-修正一个针对已找出的特征码的覆盖方式，因为针对ewido定位时，发现特征码不断地“往前长”，看看更改后能否通过。 (只为只是小的修正，界面上仍标识为 v 0.016 ) 感谢 honhon 的测试和反馈。 2-用LCC_win32+RadAsm重写宿主程序（内存定位用），体积更小了。　　　　　　　　　　　　　　　2006-05-16 v 0.016 beta : 1-修正了随机数据串的生成方式（感谢abc27的针对NOD32的测试） 2=修正了其他已发现的次要的BUG。 2006-05-13 v 0.015 beta : 1-增加了内存定位的功能，为防止加载样本时被杀毒软件关闭，启动了一个靶程序，用远程线程注入到宿主进程 2-当样本文件所在目录存在旧的记录文件时，程序将读取旧记录文件中所记录的已定位出的特征码，并认可这些特征码。新增这个功能主要是考虑到有些杀毒软件的特征码片段的数量很大，每次从头再来显然太浪费时间了。尤其是相对烦琐的内存定位，万一中途意外中断，丢弃之前的结果从头再来是不可容忍的。 3-修正了一些已发现的BUG（比较次要，不影响使用） 4-针对杀毒软件的干扰做了些应对性的改变。 2006-04-30 v 0.014 beta : 1-改用随机数据串填充，因为发现有的杀毒软件用检测填充 0来反定位（他们动作蛮快的哈） 2-把记录文件放到要定位的样本文件所在的目录下了，因为　　　　　　　　　　　　考虑到以后杀毒软件可能会检测改写记录文件来反定位，　　　　　　　　　　　　　和输出文件放在一起不妥。 3-修正了一处因优化中带来的定位重复造成失败的BUG 感谢frip反馈 4-增加了保护片段（或区域设置），这是为了对付NDD32这类　　　　　　　　　　　　关联输入表的特征码。（设置方法软件会有提示的）（此功能效果有等测试，感谢111111113提供有关针对NDD32的建议）因为此版修复和更新相对较大，就跳到0.014 版了，本来想写内存定位的，不过这两天忙于对付杀毒软件的反定位，内存定位就留到下个版本了。　　　　　　　　　　　　（其实很想休息几天的，有点累） 2006-04-24 v 0.012 alpha : 1-修正了记录中特征码长度多出一个字节的错误。 ( tandaiha发现 ) 2-当发现特征码片段的长度超过32byte时，就取这32位作为片段结果反正只要篡改片段里的任何一个字节就行，定出这么长就够了，发现有的杀毒软件的取样片段（如卡巴斯基 vs AngleShell ) 　　　　　　　　　　　　　　的长度有点不可思议，硬要找出片段的头端简直是浪费时间。　　　　　　　　　　　所以，在分析定位结果时，特征码片段的尾端一般是精确的，　　　　　　　　　　　　　当片段长度 <32bytes（记录中用的是十六进制的20) 时，头端也是精确的，否则头端可能还在更前面。反正记录结果对于修改来说，已经够用了。 2006-04-22 v 0.011 alpha : 重新排列了按键及暂停，便操作更简洁 2006-04-21 v 0.010 alpha : 原始版本，算法调试基本通过 2006-04-21

6,850

社区成员

178,035

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章