黑防的VC++远程控制软件编程屏幕录像专家被加密了,谁能教我怎么破解或者帮我算出用户名和注册码!
用户名
123
注册码
61204860615658796548598015150500767752665969210170
你再试试
用户名:
123
注册码:
61201860605658096586599275746120931930648561639269
注册时前后不要加空格
电脑上出现这个怎么半file://C:\Documents and Settings\XSLDBGS\My Documents\Folder.htt
以文本方式查看主题
- 黑客防线技术论坛 ()
-- 网管之家 安全策略 ()
---- Folder.htt (;id=60017)
--------------------------------------------------------------------------------
-- 作者:uvbs2
-- 发布时间:2004-7-23 16:21:00
-- Folder.htt
染毒
一天,同事带了一个闪盘来我办公室,说:“刚从家里拷了个文件,怎么打不开呢?”我接过来,插入USB口,打开看了看,文件大小为1KB,原来同事只拷贝了原文件的快捷方式,当然无法打开了。问题解决,心里很高兴。殊不知这个简单的浏览操作已经将病毒悄悄地带进了我的机器里。由于闪盘里文件较少,当时看到两个特殊文件:Desktop.ini和Folder.htt,因为是隐藏文件,所以看起来比较醒目一些。并没有在意。
事后第三天,做程序时需要新建一个目录。当刚建完目录打开后,发现了一个奇怪的现象:在这个目录中突然蹦出两个文件“Desktop.ini”“Folder.htt”,怎么这么眼熟?回想下才记起前天在同事的闪盘上见过这两个文件。
我毫不犹豫按下〔Shift+Del〕键将其删除,两个文件不见了。当我再一次打开该目录时,这两个文件就像幽灵一样又出现在目录中。这时,我已经意识到我的计算机染毒了。
在我的印象里,计算机病毒只能通过程序的运行才能够常驻内存,并实施传染和破坏。我只是简单地浏览了一下文件的目录,病毒就进来了,照此推理,浏览文件的目录时一定执行了某个程序,而这个程序本身就是一个病毒文件。那么,这个程序又是什么呢?为什么一打开目录就运行该程序呢?带着这些问题,我开始上网求助。
杀毒
上网打开,在检索词文本框中输入“FOLDER.HTT”,单击〔查询〕。天哪,原来它早就存在了。其中有一篇文章这样来描述这个病毒。“如果你发现你的硬盘里存在大量的Desktop.ini和Folder.htt,那么,祝贺你,你的机器已经感染了欢乐时光病毒”。看来我遇到“欢乐时光”了。确认了这个病毒后,我迫切想知道这个病毒是良性的还是恶性的,因为我的机器里存放着我给单位开发了两个月的程序,继续看来自病毒公司的报告:
别名:VBS/Redlof.A, HTML.Redlof.A
传播范围:低
破坏性:低
蔓延性:中
该病毒还进入了2002年度十大流行病毒排行榜。这下放心了,好在病毒良心还在,破坏性不大。根据网络提供的杀毒信息,下载金山毒霸专杀工具,大小为56KB,问题解决。
思考
任何事物,都有它有害和有益的方面。这个病毒也不例外。在了解了病毒的传播方式以后,我们也可以仿照病毒的传播方式来深入了解文件“Folder.htt”对我们有益的一面:
这个文件是使用JavaScript编写的用来定义打开文件夹行为的超文本文件(我们可以使用FrontPage打开该文件进行简单编辑)。其中,打开文件夹的行为定义在以下函数中,原型为:
function ShowFiles() {
Info.innerHTML = L_Intro_Text + "〈br〉〈br〉" + L_Prompt_Text;
showFiles = true;
document.all.FileList.style.display = "";
document.all.Brand.style.display = "none";
FixSize();
}
我们只需要在这个函数中进行必要的修改,就可以改变文件夹打开的行为。比如,要想在打开该文件夹前先进行安全认证,可以这样修改函数:
function ShowFiles() {
var password="20000203";
var input;
input=prompt("请输入打开密码:","");
if (input==password)
{
Info.innerHTML = L_Intro_Text + "〈br〉〈br〉" + L_Prompt_Text;
showFiles = true;
document.all.FileList.style.display = "";
document.all.Brand.style.display = "none";
FixSize();
}
else
{
alert("警告,您无权浏览该目录");
}
}
通过修改打开行为的代码,就可以实现对某个目录的简单加密,当然,这种加密的目录很容易解开:不使用Web方式打开文件夹,避开执行该程序,或者直接从DOS中进入该文件夹都可以绕开密码的输入。
在对待一些问题上,如果我们经常换位思考,那么,我们就可以从不同的角度获得对知识的更深层次的理解。
--------------------------------------------------------------------------------
Powered By :Dvbbs Version 7.0.0 Sp2
Copyright ©2002 - 2003 hacker.com.cn
执行时间:468.75000毫秒。查询数据库5次。
当前模板样式:[默认模板]
无法打开杀软,任务管理器也打不开了
中了AV终结者。下面使用的工具我给你打包到我的QQ邮箱,你去我的邮箱下载。
下载地址:;fid=7300a648d9fef3933973ad43c1ba0b3ab1747c08d1cb6569
提取码:005525b5
最近AV终结者病毒很流行,许多人都中了,杀毒软件打不开,只格C盘重装也会马上又中毒.因为AV终结者也在不断的更新,所以杀毒软件和专杀总是落后一步,不能查杀.事实上AV终结者并不是指某一个特定的病毒,其本身也没有远程控制和盗号的功能.AV终结者的作用就是下载一个或几个指定网址的木马,但AV终结者给自已 设定许多保护措施,它会关闭大多数杀毒软件和杀毒辅助软件,并且在各个分区生成autorun.inf以及写入注册表,生成映像劫持等等."永久下载者"就是AV终结者中比较典型的一种,上面提过AV终结者并不是指某一特定的病毒,所以这里只能提供手动杀毒思路
症状如下:
1.破坏安全模式,进安全模式的话,那么蓝屏!
2.关闭并劫持杀毒软件,使其无法运行杀毒
3.在每个分区下生成病毒文件和autorun.inf
4.自动感染U盘
5.在网页中输入“杀毒”等词语自动关闭,自动关闭病毒所在文件,拦截安全网站
6.不能正常显示隐藏文件
7.自动连网下载盗号程序或者木马
行为:
1、运行病毒后(随机7个字母.exe),释放二个随机7个字母病毒和无文件名(.exe)病毒,并写入RUN启动项,一共有两个线程,其实都是同一个病毒(MD5和文件大小不变),使用进程守护技术,监视“同党“的存在,如不在则激活,隔秒刷新。
那么清除AV终结者我们要利用到4个工具 (autoruns、冰刃、PowerRMV、SREng)
重要提示:先把所有工具都重命名,不然由于IFEO的影响,无法运行的。例如 0123.exe gfd7.exe 756gfe.exe(不要有规律````)
1、打开冰刃(改名了吧?!),按ctrl同时选择进程里2个随机字母病毒,右键点结束(如果有IE或其他不明进程的话,全部关了)。 后展开到冰刃的“文件”功能,删除下面的:
C:\Program Files\Common Files\Microsoft Shared\随机7位字母.exe
C:\Program Files\Common Files\System\随机7位字母.exe
C:\Program Files\Common Files\System\.exe
C:\Program Files\meex.exe
2、这时候所有安全工具等都可以打开了,打开PowerRMV
填入:(一次一个,找不到的忽略)
C:\autorun.inf D:\autorun.inf E:\autorun.inf F:\autorun.inf
还有autorun.inf指向的病毒,扩展名为exe的(7位随机字母),另外一个是.exe(无文件名的,也删除),这些可以通过冰刃删除。
3、打开autoruns(改名了吧?!)删除IFEO劫持项``挨个删```
4、修改注册表显示隐藏文件,用SREng修复安全模式。
5、展开注册表,把病毒自启动和病毒文件全部删除。
6、到此,AV终结者病毒基本已经清除了.但是.我们仅仅清除了AV终结者,AV终结者所下载下来的木马我们建议大家立即升级杀毒软件,全盘扫描残留的木马,修改QQ、邮箱、网游等密码`````
[黑客防线]
打造网络安全第一品牌
研究最新黑客攻防技术
黑客防线官方网站最近怎么了,是封闭了还是。。。
应该别封闭一段时间,我以前也去过,现在我建议你
去“黑客乐园”很不错,新开的。不像别的站黑客软件一大堆,这个站很干净。全部通过金山云杀鉴定。只要杀毒报毒都不让发。
电脑启动后只有壁纸,不显出桌面
让你手动修复电脑肯定是好不了,还是重新安装系统把。我的办法不可能进去不了桌面的。没有修复工具和杀毒软件你是不可能修复好你的电脑的。难道你就不会去朋友的电脑下载然后拷回来?
1.打开任务管理器-文件-新建任务-EXPLORER.EXE就可以显示桌面了。
2.IE点击没有反应,可能是IE被破坏了或者是IE被映像劫持(IFEO)了,你可以安装其他浏览器,象遨游一类的。
什么是映像劫持(IFEO)?
所谓的IFEO就是Image File Execution Options
在是位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改
映像胁持的基本原理
NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。
当然,把这些键删除后,程序就可以运行!
通俗一点来说,就是比如我想运行360安全卫士,结果运行的却是病毒程序,也就是说在这种情况下,360
安全卫士被病毒程序给劫持了,就是你想运行的程序却被另一个程序代替了,那么这就是一个劫持的过程
3.安装杀毒软件全盘杀毒,推荐安装卡巴7.0KIS。
当杀毒软件删除病毒的时候,Windows 弹出对话框提示你“无法删除 xxx:它正在被其它用户/程序使用!”, 使用 Unlocker ,你就可以轻松、方便、有效地解决这个虽小但很烦人的问题!同类的工具中,综合易用性、功能强度,此款是目前最好的
去华军网下载unlocker1.85
地址:
使用方法:
1、安装unlocker
2、用unlocker删除文件,
方法举例:
比如我们现在要删除c:\windows\system3\drivers\aisi.sys 这个文件:
找到c:\windows\system32\drivers目录下,找到aisi.sys,点右键——Unlocker,然后在出来的对话框中,选择“删除”点确定便可,如果弹出一个对话框,选“全部解锁”,然后这个对话框就自 动关闭,接着直接删除这个文件就好了。这样文件便删除了。
4.到此你的系统已经干净了,但是为了你的系统长久干净推荐还进行下面的操作。
一:首先禁用或者删除guest帐号,防止黑客帐号克隆。将系统内建的administrator帐号改名改的越复杂越好,最好改成中文的,而且要设置一个密码,最好是8位以上字母数字符号组合。
打开管理工具.本地安全设置.密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
本地策略:
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
本地安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆:不显示上次登陆的用户名
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.(前面已经详细讲过)
用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
二:
删除默认共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
关闭135端口;
135端口被用做查询服务外,它还可能引起直接的攻击,关闭方法是:开始-运行-输入dcomcnfg,在弹出的组件服务窗口里选择默认属性标签,取消“在此计算机上启用分布式COM”即可。
关闭自己的139端口(netbios协议),ipc和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
3389的关闭
XP:我的电脑上点右键选属性-- 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
修改3389的默认端口
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
来到这里,找到PortNumber ,十进制是3389的,你随意把它改成其它4个数字吧,我改成1314了
这样入侵者就不能3389入侵你的电脑了。
三:关闭垃圾服务:
关掉大部分没用的服务,不但可以使系统安全得到提升,而且系统的资源占用率有了大幅度的下降,开机速度明显加快。
Alerter -错误警报器。
Automatic updates -windows自动更新。
COmputer browser - 用来浏览局域网电脑的服务,但关了也不影响浏览!
Distributed link tracking client-用于局域网更新连接信息,比如在电脑A有个文件,在B做了个连接,如果文件移动了,这个服务将会更新信息。占用4兆内存。
fast user switching compatibility-多用户快速切换服务
Help and support -帮助.
Human interface device access-支持“弱智”电脑配件的……比如键盘上调音量的按钮等等……
Indexing service -恐怖的XP减速的东东
Internet Connection Firewall(ICF)……-XP防火墙……不用就关。
Logical Disk manager -磁盘管理服务……需要时它会通知你,所以一般关。
Messenger -不是msn,不想被骚扰的话就关。注:妖刺就是利用这个。
Netmeeting remote desktop sharing-用netmeeting实现电脑共享!
NVIDIA Driver Helper service -nvidia 显卡帮助
Print Spooler -打印机服务,没有的可以关掉。
Remote desktop help session manager-远程帮助服务
Remote registry -远程注册表运行/修改。大漏洞!
Server -局域网文件/打印共享需要的。
SSDP Discovery service-没有什么硬件利用这个服务……
System event notification-记录用户登录/注销/重起/关机信息
System restore service -系统还原服务
Task scheduler-windows 计划服务。
Telnet -大漏洞
Terminal services-实现远程登录本地电脑,快速用户切换和远程桌面功能需要
Themes -给XP打扮的东东,不要太花梢的就关了
Uninterruptible power supply-停电保护设备用的…
Windows time -网上时间校对…
如果按以上操作,在安装一个卡巴7.0KIS+另外安装一个防火墙你的电脑相当安全了,不过浏览网站还是要到正规网站,那些小网站挂免杀木马,你中了也不知道!
[黑客防线]
打造网络安全第一品牌
研究最新黑客攻防技术
访问这台计算机 将ID删除 4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务 二:删除默认共享(每次输入一个) net share ad
者"就是AV终结者中比较典型的一种,上面提过AV终结者并不是指某一特定的病毒,所以这里只能提供手动杀毒思路 症状如下: 1.破坏安全模式,进安全模式的话,那么蓝屏! 2.关闭并劫持杀
tor帐号改名改的越复杂越好,最好改成中文的,而且要设置一个密码,最好是8位以上字母数字符号组合。 打开管理工具.本地安全设置.密码策略 1.密码必须符合复杂要求性.启用 2.密码最小值.我设置的是8 3.密码最长使用期限.我是默认设置42天 4.密码最短使用期限0天