一些图片,不用我做解释了。
注:iPod是Apple公司的商标
这是正经的,但下面……
其实也没有觉得特别惋惜或者舍不得,因为相比之下如果能仅仅是认真去读书那才叫真正的娱乐和放松了……这个寒假先是读了GRE,然后是做PRP。同时很高兴看到我的blog、ReformCore在这段日子中有很大改善。基本上gf能天天陪着我,每天都能和身边的好友聊天,我知足了……
新的学期马上要开始了,咬紧牙,做完PRP,好好修养一学期,准备迎接更艰难的挑战……
上海市很少有雪的,这次雪来得实在是意外,而且下的很大。难道是上天在抚慰去年那些死去的亡灵?
出于喜悦,拍了些家周围的雪景
家门前的空地,东边后方
家门前的空地,东边南方
南边邻居家前的空地
家门西边的院子
南边
从窗中望出的通波河
一早在我房间拍的
这本书不知大家都听说过没,英文名为Return form Tomorrow。大体说的是一个美国军人的了肺病后心脏停止,被宣布死亡,但9分钟后他奇迹的复活了,书就是讲述他9分钟的死亡经历。
具体经历了什么我还是不说了,去网上看看他的简介就明白了。
原来还是打算去买来看看的,但想了下如果他没有说谎的话……实在太可怕了
那样的话以往认为的灵魂这种被国人称为“迷信”的东西可能就是确实存在的,当然信不信就看每个人判断了。
不过经历了04年暑假的崩溃期后,我的心理阴影一直没有消去,所以还是不提这些事了……
马上开学了,抓紧作PRP了……
作为对曾经我提过的要写些教程的兑现,这里先把我在交大计算机协会作的讲座《windows亲手灭毒宝典》放上来。当然其中的内容比我实际讲的要多,且要难。
由于第一次写教程,加上自己水平有限,文中出现的问题希望各位及时指正,谢谢!
文章为CSK原创,转载请保留原作者和引用作者的版权信息。
CSK版权所有
---------------------------------------------------------------------------------
第二回的地址:http://www.csksoft.net/blog/post/killvirusDIY2.html
第三回:亲手杀毒的一般步骤
本文不需要你具有诸如程序开发等方面的专业技能,但如果有一定的经验可以帮助你更好的理解
如果你还没有看过前一篇文章,不要紧,但是本文是建立在你已经掌握前篇文章所提及知识的基础之上的,所以遇到不明白的可以参考前一篇
其实事情很简单,自然就是先找出那些病毒文件,然后将他们删除
但是硬盘上保存了那么多程序,哪些才是病毒文件呢?本文将告诉你一个快速确定并找出病毒文件方位的方法
由前文我们了解到,所有在windows环境中运作的病毒,一般都是以具体的文件形式存在的,并且往往是那些可执行文件。但是,单单是这些保存在硬盘上的文件还是不能起什么作用的。一个程序的运行必须是由系统将它们从磁盘的文件中读取出来,然后存放在内存中并加以执行。这个过程常被我们称作:加载。
病毒也是一种程序体,自然的,他也需要有系统事先加载到内存中执行才能做恶。当然这种加载有2种途径:
自然,我们更关心第二种情况,因为你应该知道中毒的机器就算是重新启动,病毒还是照样会驻留在内存中运行(除非那个病毒自身也有缺陷……)这就是通过系统自动加载完成的。
作为病毒自然是希望一直在你机器中生存着,等待它发作的那一天……所以他肯定要告诉系统:每次启动的时候也加载我把~,然后为了让系统去加载他,病毒还会告诉自己文件保存的地点-文件路径
正因为这样,病毒就在我们的系统中留下了它的作案痕迹。我们的杀毒过程也就是从查找这些作案痕迹开始的。
所以,第一步就是:找到病毒在系统中留下的痕迹,从而找出那些可能的病毒
2.1.系统的备忘录-注册表
或许你很早就知道很多程序在系统启动时也会自己启动,比如你在使用的MSN Messenger或者QQ,他们在系统每次启动完毕后都会自己“弹”出来。
图:每次开机后你的QQ程序是不是会自己“弹”出来呢?
其实在这个过程中,那些该死的病毒也偷偷的进入你的内存开始运作了,只不过做贼心虚,不会“弹”出来说“喂,小样,我是病毒,嘿嘿,有种来杀我啊”之类的话
这些程序其实都是由系统自动加载运行的,那么windows就必须要有一张“清单”好使他在启动时仍然记得要去启动这些程序。而这里说的清单其实就是注册表
或许你听过这个名字,而且可能对他有一种神秘的感觉。其实他的作用就上上面所说的那样:只是一个清单。用来记录一些系统需要记住的事,同时很多应用程序也用它来记录一些配置:比如IE会用它记录主页的地址。
不过我们这里只对其中一小部分感兴趣,那就是系统用来记录开机时需要启动哪些程序的地方
windows提供了一个程序来供我们察看和修改注册表,那就是regedit
图:注册表编辑器(regedit.exe)
你可以从[开始]菜单->[运行],输入regedit.exe启动他,如果系统提示找不到该文件,很不幸的,可能病毒已经删除它了:-<,如果这样你就需要从别人那里复制来一份。
regedit和资源管理器很类似,也提供了类似目录和文件方式的界面。其中系统把每一种清单保存在不同的目录下面,而具体清单的信息就是那些“文件”了。
那么系统每次启动时加载的程序清单在哪里呢?其中一个清单你可以根据下面的这个路径找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
你可能会看到这样的画面:
其中最左边一栏是程序的名字,当然他们作用不大,而最右边的就是程序的路径了。系统启动后就会按照这张清单一次加载文件。
不过很不巧的时,其实病毒已经隐藏在了上面这个清单中了。或许你已经有所发现。你也可以看看自己注册表中的那些条目。
就上面这张图中,下面这些路径下的文件都可能是病毒:
首先,这里只能说是可能是病毒,并不能马上确定,但是为什么说这些文件的嫌疑最大呢?下面给出一些规则
所以对于第一次尝试手工杀毒的人来说,如果很难确定哪些是病毒的话不妨删除所有的清单条目(注意,那个叫做“默认”的条目是无法清除的,但你可以把它的内容删除)
那么为什么那些文件可能为病毒呢?首先我们看“AutoUpdate ”这个文件。第一从他的名字上,很多人会以为他是windows的自动更新程序。而且它的途径:windows系统目录下,又叫做winsys.exe(暗示你它是windows system的一部分),似乎他是个正常的程序?如果你这么想就是中了全套。按照上面给出的第2条规则,如果真的是“自动更新程序”,他不太可能出现在这个清单中(真正的自动更新程序是一个系统服务,具体会在今后的文章中论述)。那么这个家伙就非常可疑了
其次是explorer。或许你也会觉得这很正常,造成这种想法的原因可能是他正好是windows资源管理器的名字。而且细心的你可能发现每次系统开机的确会有个叫做explorer.exe的文件在运行(其实它是在其他地方加载的,今后的文章中你会知道,explorer.exe叫做系统外壳:shell,除了资源管理器的功能外,你的桌面也是他“变”成的)。但是真正的资源管理器是位于windows\目录下而非windows\system32\下。并且根据第二条规则,自然也就有很大嫌疑了
那么这个叫做(默认)项目为什么也会是病毒呢?其实注册表的每个目录下都会有一个(默认)的项目。它是注册表自动产生的。而根据规则第四条,这里的“默认”条目一般是留空的,所以马上就能确定c:\commond.com有很大嫌疑了。并且很高笑的是,这个程序的作者似乎想和以前DOS系统的命令行提示程序command.com取同样名字来欺骗我们。但是,他拼错了……
事实上,上面提到的的确就是病毒,不过这里只是我为了演示所以加进去的,但现实中如果你真看到了这样的项目,那么别犹豫,他们99%就是病毒或恶意程序!
接下来要做的就是先找到那些文件的位置,然后将他们清除即可,最后再删除注册表中的那些项目。不过为了预防万一,往往删除前我们还需要一个确认的过程。而且很糟糕的时,windows一项混乱的作风使得启动程序的清单并不是只有这一个,并且还有一类叫做系统服务的程序,他们也会自我启动。所以在下回中,我将告诉你所有的启动清单的地方,同时介绍系统服务的一些事情
不过60%-70%的病毒都是在上述的清单中加入自己的作案痕迹的,所以今后如果怀疑自己系统中毒那么先看看这里吧
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
但怎么来记住这么长的目录呢?下面给一个敲门:
最后附上一些清单中常见程序的说明
Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
3721中文实名hook的主进程,难怪一段时间被诺顿视为病毒
C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
3721上网助手,一个熊样……就是毒!
C:\Program Files\Common Files\Real\Update_OB\realsched.exe -osboot
RealPlayer的广告客户端,可以del掉
C:\WINDOWS\system32\ctfmon.exe
M$别出心裁的为了配合office XP以上版本进行输入法监控(就是微软拼音)和文档检索用的监控进程
好了,这回就到这里,最后祝各位情人节快乐
CSK 2006.2.14
CSK版权所有,演讲ppt在ftp.csksoft.net中下载。
终于20多天的GRE强化班结束了……
回想每天早起坐车的经历还是比较痛苦的,不过已经过去了……明天就是我的寒假第一天,好好规划下……
最近发现自己已经进入疲劳圈了,每天6点惊醒,然后带着无奈和劳累起床,起上10来分钟的车程来到车站,然后座上2小时车来到钦江路上的新东方。
然后……随着老师在台上讲题开始,我就慢慢慢慢睡着了……偶尔听到周围大笑,就抬起头来,然后又摊倒……直到最后:“好,今天的课就到这里”。回家了……
打开电脑,启动Visual Studio,打开已经看了厌倦的*.asp。启动DreamWeaver...不是说我不想做这一切,但似乎我太疲劳了。虽然每到这时都干劲十足,但我觉得自己已经太多时间都在开发网站了。我现在应该继续学习的吧?
所以我一直告诉自己这次prp好了以后学校里就不要再接别的事情了,但愿一切都会过去,毕竟我选择了这条路了。现在想想能像高三那样天天只顾读书,没有任务,能开发自己想开发的东西,多幸福。或许我没有特长那才最好,我也想整天玩游戏,但现在都不可能。
最近拿gf的NC3000文曲星在玩我高三开发的Crazyball。感觉还是蛮有趣的,回想起当年高三,的确没有什么可玩的东西,一次偶尔的机会我看到别人用文曲星上的GVBasic开发了一个弹球游戏,不过因为是basic加上文曲星那种速度,就慢的不得了。当时猛地想到那是刚好有个叫作LAVA的编译环境,可以在电脑上开发编译好程序在文曲星执行,而且速度快上进10倍,于是那次的周末就回家再画板里面画了最初的Crazyball的效果图:
随后就开始写起代码来了,也真佩服当时的能力,我用了一天时间就把主引擎写好了,等到周一的时候带到学校给同学完,不料竟大受欢迎,于是颇受鼓舞,马上把大体的游戏功能都做完了。最后决定发表在当时很红的一个文曲星爱好者论坛上,结果也大受欢迎。
现在还能回想起那是又一次发高烧生病在家偷偷起来到电脑旁边写Crazyball代码的场景。而且我高考也差点因为写Crazyball而耽误了……不过现在想来更多的是对当时的无限怀念。虽然看似单调的生活,但一些小细节令人回味阿。而且很大程度上,正因为Crazyball在网络的大受欢迎,所以才有了今天我的网站。这又让我想起了高手挑战。但今天就不说了。
下学期不能像以前一样了,我需要有安静的环境,也许那样才适合我。
Z-blog有个缺点就是没有可视化html编辑器,所以以前写日志就要自己写html,很不方便
所以我把动网中的编辑器嵌入到Z-blog里面了,这样就舒服多了,呵呵。由于涉及版权问题,所以就不公布了,需要的单独问我要吧。
测试:
格式1
嵌入表格
单元格 |
公式
E=mc2
呵呵,这下方便许多……爽