1.windows7 的版本 rc与rtm各代表什么意思?
2.历史计算机
3.光盘放入电脑没有反应(为什么光盘放进电脑没反应)
4.windows7旗舰版ID中有OEM,显示已激活,用everest软件检测显示操作系统版本是Win7 RTM,这是什么意思啊?
5.会对电脑产生不可修复的损伤吗?
6.en_windows_7_ultimate_n_x86_dvd_x16-13640,其中ultimate后面的字母n代表什么意思?
Alpha版:内部测试版,一般不向外部发布,会有很多Bug。一般只有测试人员使用。
Beta版:也是测试版,这个阶段的版本会一直加入新的功能。在Alpha版之后推出。
RC版:(ReleaseCandidate)候选版本。系统平台上就是发行候选版本。RC版不会再加入新功能,主要着重于除错。
RTM版:(Release to Manufacture)给工厂大量压片的版本,内容跟正式版是一样的,不过RTM版也有出限制、评估版的。但是和正式版本的主要程序代码都是一样的。
OEM版:是给计算机厂商随着计算机贩卖的,也就是随机版。只能随机器出货,不能零售。只能全新安装,不能从旧有操作系统升级。包装不像零售版精美,通常只有一面CD和说明书(授权书)。
RVL版:其实RVL根本不是版本的名称。它是中文版/英文版文档破解出来的。
EVAL版:流通在网络上的EVAL版,与“评估版”类似,功能上和零售版没有区别。
RTL版:Retail(零售版),是真正的正式版,正式上架零售版。在安装盘的i386文件夹里有一个eula.txt,最后有一行EULAID,就是你的版本。比如简体中文正式版是EULAID:WX.4_PRO_RTL_CN,繁体中文正式版是WX.4_PRO_RTL_TW。其中:如果是WX.开头是正式版,WB.开头是测试版。_PRE,代表家庭版;_PRO,代表专业版。
windows7 的版本 rc与rtm各代表什么意思?
灰鸽子英文名为win32.hack.huigezi,这个木马黑客工具大致于2001年出现在互联网,当时被判定为高危木马,经过作者的不懈努力,该从2004年起连续三年荣登国内10大排行榜,至今已经衍生出超过6万个变种。
认识灰鸽子:
几乎所有人都知道熊猫烧香,就是因为这个有个明显的图标。而灰鸽子木马入侵系统后,只有非常有经验的电脑用户才可能发现异常,普通用户根本毫不知情,就好比有个会术的贼在你家中长驻。
灰鸽子的文件名由攻击者任意定制,还可以注入正常程序的进程隐藏自己, Windows的任务管理器看不到存在,需要借助第三方工具软件查看。
中灰鸽子后的电脑会被远程攻击者完全控制,具备和你一样的管理权限,远程黑客可以轻易的复制、删除、上传、下载保存在你电脑上的文件,机密文件在你毫不知情的情况下被窃取。还可以记录每一个点击键盘的操作,你的QQ号、网络游戏帐号、网上银行帐号,可以被远程攻击者轻松获得。更变态的是,远程攻击者可以直接控制你的摄像头,把你家里拍个遍。并且,远程攻击者在窃取资料后,还可以远程将卸载,达到销毁证据的目的。这好比的贼在你家拿走东西,大大方方的从的门走出去,而你却根本不知道自己丢了东西。
灰鸽子如何传播?
灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播。灰鸽子传播的四大途径:网页传播、邮件传播、IM聊天工具传播、非法软件传播。
网页传播:制作者将灰鸽子植入网页中,用户浏览即感染;
邮件传播:灰鸽子被捆绑在邮件附件中进行传播;
IM聊天工具传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件。
非法软件传播:制作者将灰鸽子捆绑进各种非法软件,用户下载解压安装即感染。
灰鸽子七宗罪
1. 盗号
灰鸽子入侵用户电脑后,可通过键盘记录器等手段记录用户的键盘输入信息,无论是QQ、网络游戏、网上银行的账号密码都难逃被盗厄运。热门网络游戏魔兽争霸曾发生一个区服大量账号短时间内被盗,引起数千玩家集中投诉;此外,2006年10月,BTV7《生活面对面》节目报道网银账户内1万余元被分15次盗走,警方在事主的电脑查获灰鸽子。
2. 隐私
灰鸽子可通过远程控制用户电脑上的摄像头用户隐私。只要用户的机器处于开机状态,远程操控者就可以自动开启用户的摄像头,窥探用户隐私。知道自己家里隐藏了一只远在千里之外的眼睛,肯定会令你毛骨悚然。
3. 敲诈
黑客利用灰鸽子完全控制被感染者电脑,电脑中的任何文件都可以任意处置,黑客一旦发现对用户比较隐私或机密的东西,立刻将其转移到其他地方,然后对用户进行勒索,与现实生活中的敲诈一样,利用网络进行偷窃、敲诈的行为同样是违法行为。3月7日,BTV1《法制进行时》曾报道江西瑞金一男子使用木马程序盗走受害人,并向事主索要14万元人民币,最后这名男子以敲诈勒索罪被判有期徒刑6年。
4. 发展“肉鸡”
电脑被人植入木马,这台主机,就被称为"肉鸡",远程攻击者可以对这台"肉鸡"电脑为所欲为。攻击者可控制大量"肉鸡",进行非法获利,比如在"肉鸡"上植入点击广告的软件;利用肉鸡配置代理服务器,以此做为跳板对其它电脑发起入侵。一旦最终受害者追查时,肉鸡电脑将会成为替罪羊;此外,还可以用大量肉鸡组建僵尸网络,随时可以被用于一些特殊目的,比如发起DDoS攻击等。可以想象,如果大量肉鸡被敌对势力控制,将会对我国的网络安全造成什么样的后果。
5. **商业机密
通过一些非法途径让那些存放商业机密的电脑感染到灰鸽子,接下来,攻击者窃取有价值的商业文件、机密文件、个人隐私数据等等。攻击者可以偷偷将商业文件进行贩卖,充当商业间谍。如果是国家机密因此受损,后果将不堪设想。
6. 间断
感染灰鸽子后,远程攻击者任意玩弄你的电脑,比如任意打开和关闭文档,远程重启电脑,使您无法完成正常任务。
7. 恶搞性破坏
看谁不顺眼,就可以肆意搞破坏,攻击者可利用灰鸽子对被感染的用户电脑为所欲为,修改注册表、删除重要文件、修改共享、开启代理服务器、下载等等,试想如果你电脑的注册表被恶意篡改、系统文件被删除,而且电脑中还被放了大量,你的电脑将如何?
预防:
灰鸽子泛滥已经数年,变种数万,因为具备很好的特性,让人觉得防不胜防。建议网友注意以下几点:
1. 金山毒霸的用户建议使用漏洞扫描修复功能安装系统补丁,在毒霸弹出提醒安装补丁的对话框时,一定要点安装。不是毒霸的用户可以使用Windows Update进行修补。特别注意安装IE浏览器的补丁程序,很多灰鸽子是攻击者故意把放在带漏洞攻击程序的网站上,有漏洞的机器访问这些网站就会中毒。
2. 及时升级杀毒软件,注意检查你使用的杀毒软件是否过期,使用盗版杀毒软件(或者一个正版ID用在多台计算机上),是不能正常升级的,特别需要检查。
3. 对朋友或陌生人发送来的可疑程序不要运行,别被对方的谎言蒙骗。
4. 关闭所有磁盘的自动播放功能,避免插入带毒U盘,移动硬盘,数码存储卡中毒。
完全解决方案:
由于灰鸽子本身的隐蔽性很强,用Windows系统自带的工具,很难发现灰鸽子入侵。那我们如何去发现电脑中已经被植入的灰鸽子呢?
1. 金山毒霸数据流杀毒方案
毒霸2007查杀灰鸽子的操作方法
第一步:升级金山毒霸到最新版本。
第二步:执行全盘查杀,查杀灰鸽子及全部变种。
第三步:确保毒霸实时监控在运行状态,一旦灰鸽子入侵,金山毒霸会及时拦截。
2. 灰鸽子专杀工具
金山毒霸提供了免费的"灰鸽子"专杀工具,将数据流查杀技术集成到这个专杀工具中,可完全清除各种经过特殊变形处理的灰鸽子。
3. 手工杀毒
需要借助工具软件:冰刃。一般用户无法根据进程列表看出哪个是,你可以启动冰刃的同时,打开任务管理器,比较一下,看冰刃里多出的一个进程,可能就是灰鸽子。进程名如果是冒word、记事本的图标,需要重点关注。
选中上图G_server2007进程,单击右键,结束进程。结束进程后,我们直接根据上图冰刃的提示,点冰刃左边的文件,浏览到上图程序名称提示的文件夹,找到g_server2007.exe和g_server2007.DLL(灰鸽子中毒后的文件名各不相同,是由攻击者定制的,应尽可能根据冰刃提示的路径去查找。有的版本带有_hook.dll,可以查看下文件日期,应该是同时生成的。)点击右键,彻底删除掉
最近灰鸽子比熊猫还要猖獗,大家注意保护好自己的爱机
QUOTE:
网上有很多关于灰鸽子的查杀方法,大家可以自己借鉴下。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键,在出现的启动选项菜单中,选择“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“*_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\\windows,2k/NT为C:\\Winnt)。
3、经过搜索,在Windows目录(不包含子目录)下发现了一个名为G_Server_Hook.dll的文件。
4、G_Server_Hook.dll是灰鸽子的文件,则在操作系统安装目录下还会有G_Server.exe和G_Server.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的G_ServerKey.dll文件。
经过这几步操作基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:此操作需在安全模式下进行,为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“G_server.exe”,点击确定,我们就可以找到灰鸽子的服务项.
3、删除整个G_server.exe键值所在的服务项。
[呢个都系,可能真系我不识操作,所以根本就都揾不到,于是我用?桓龅B?椒,就系照住清道夫搜出黎?募?床檎,竟然俾我揾到.呵呵~~`揾不到果D即系无注册项,所以直接入去文件删除就得了]
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run项,立即可以看到名为G_server.exe的一项,将G_server.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的G_server.exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
附:
其实现在大部分的杀毒软件还是可以帮助查杀灰鸽子的,本人使用的是瑞星杀毒软件并已经更新至最新版本,在正常模式下,瑞星查杀了除G_server.exe文件外的所有文件,其实本人并没有指望瑞星能够全部查杀,但瑞星实际上给我帮了一个大忙,就是帮我确定了所中灰鸽子的类型,我在使用瑞星查杀时查杀了G_server.dll、G_server_Hook.dll和G_serverkey.dll这三个文件以及由前两个文件释放的附在其他进程下的文件,这就让我确定了剩下的那个文件必然是G_server.exe,于是重新启动计算机进入安全模式,首先要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。然后打开Windows的“搜索文件”,因为确定文件为G_server.exe,但同时出于保险起见,在搜索中输入G_server*.*进行搜索,并选择所有分区,在C:\\windows目录下发现了G_server.exe,但令我惊讶的是竟然在D盘发现了这个文件的副本,其属性同样的隐藏的,所以建议大家在搜索时搜索所有分区,然后删除即可!
QUOTE:
灰鸽子变种较多,建议还是用工具清理、或重装机器为妙。
如果手动清理注册表,打开注册表编辑器,查找以下的目标:“game.exe”、“Game_Server”、““G_Server”等。
如果还不放心,担心有其他的变种,就在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”之下逐个检查疑似的服务。
找到后全部删除。
一个建议:不要担心会删及无辜破坏系统,删除完毕后如果发现系统有什么不正常,“升级”的方式重装就可恢复系统原有的服务。
论坛事务,请PM我,或QQ:610688889,联系我!
大苹果
管理员
UID 2
精华 0
积分 607
帖子 157
金钱 157
阅读权限 200
注册 2007-3-4
来自 苹果树下
状态 离线 #2发表于 2007-3-16 21:36 资料 文集 短消息
实例剖析灰鸽子
灰鸽子,一个自诞生以来,就被各杀毒厂商一致喊打的木马程序,尽管其作者在软件许可中辩称自己是远程管理软件。
“三尺长的大砍刀,刃上带锯齿,边上有血槽,刀柄里藏着几十发暴雨梨花针,还随刀附送淬毒所需全部材料和设备,现在贴个标拿出来卖,说自己是菜刀,你还真有才~~~~”这是网友对灰鸽子2007的评价
2007年2月21日,灰鸽子2007beta2版本发布。该版本可以对远程计算机进行如下操作:编辑注册表;上传下载文件;查看系统信息、进程、服务;查看操作窗口、记录键盘、修改共享、开启代理服务器、命令行操作、监视远程屏幕、操控远程语音设备、关闭、重启机器等。
从功能上看,该软件的确满足了远程管理的需求。问题是,作为网管,你会用它来做远程管理软件吗?笔者电话访问了10个网管朋友,其中5个在用pcanywhere,3个用远程桌面,2个用radmin。再问你会不会使用灰鸽子做远程管理时,全部都说“不”,其中一个朋友还说,网管用灰鸽子管服务器,那就是脑袋进水。
本文简单列举一下灰鸽子客户端和服务端的功能,和真正的网管软件做个比较,试图给读者揭露灰鸽子软件的真实意图,看这个软件是否真如其作者所辩称的那样,仅是一款远程管理软件。
远程管理软件一般有服务端(被控端)和客户端(控制端)两部分组成。管理员先在需要管理的服务器上安装启用服务端程序,服务端就开启相应网络端口,等待接受客户端的指令,客户端连接服务端指定端口后即可完成远程管理任务。所有管理员都知道远程管理的风险,只有具备远程管理权限的客户端才能正常建立连接。并且,所有的管理操作,在服务端,都会提供连接日志,以便管理员进行管理维护。有兴趣的朋友尽可以拿windows远程桌面和PcAnyWhere来试验。
而灰鸽子服务端,不是等待客户端连接,而是系统一启动,服务端就会去自动上线连接控制端,控制端的操作人员随时可以完成他想要的操作,而这一切,服务端的管理员可能毫不知情。
配置服务端自动上线
历史计算机
呵呵,不光是RC和RTM,还有其他的一些版本,全给你列一下(拷贝的)
Alpha版:内部测试版,一般不向外部发布,会有很多Bug。一般只有测试人员使用。
Beta版:也是测试版,这个阶段的版本会一直加入新的功能。在Alpha版之后推出。
RC版:(ReleaseCandidate)候选版本。系统平台上就是发行候选版本。RC版不会再加入新功能,主要着重于除错。
RTM版:(Release to Manufacture)给工厂大量压片的版本,内容跟正式版是一样的,不过RTM版也有出限制、评估版的。但是和正式版本的主要程序代码都是一样的。
OEM版:是给计算机厂商随着计算机贩卖的,也就是随机版。只能随机器出货,不能零售。只能全新安装,不能从旧有操作系统升级。包装不像零售版精美,通常只有一面CD和说明书(授权书)。
RVL版:其实RVL根本不是版本的名称。它是中文版/英文版文档破解出来的。
EVAL版:流通在网络上的EVAL版,与“评估版”类似,功能上和零售版没有区别。
RTL版:Retail(零售版),是真正的正式版,正式上架零售版。在安装盘的i386文件夹里有一个eula.txt,最后有一行EULAID,就是你的版本。比如简体中文正式版是EULAID:WX.4_PRO_RTL_CN,繁体中文正式版是WX.4_PRO_RTL_TW。其中:如果是WX.开头是正式版,WB.开头是测试版。_PRE,代表家庭版;_PRO,代表专业版。
光盘放入电脑没有反应(为什么光盘放进电脑没反应)
1、最初"计算机"这一概念的提出可追溯到七十年代美国作家雷恩出版的《P1的青春》一书,书中构思了一种能够自我复制,利用通信进行传播的计算机程序,并称之为计算机。
2、贝尔实验室的三位年轻程序员也受到冯?诺依曼理论的启发,发明了"磁芯大战"游戏。
3、1983 年 11月,在一次国际计算机安全学术会议上,美国学者科恩第一次明确提出计算机的概念,并进行了演示。
4、世界上公认的第一个在个人电脑上广泛流行的是1986年初诞生的大脑(C-Brain),编写该的是一对巴基斯坦兄弟,两兄弟经营着一家电脑公司,以出售自己编制的电脑软件为生。当时,由于当地盗版软件猖獗,为了防止软件被任意非法拷贝,也为了追踪到底有多少人在非法使用他们的软件,于是在1986年年初,他们编写了"大脑(Brain)",又被称为"巴基斯坦"。该运行在DOS操作系统下,通过软盘传播,只在盗拷软件时才发作,发作时将盗拷者的硬盘剩余空间吃掉。
5、1988年11月美国国防部的军用计算机网络遭受莫里斯袭击,致使美国Internet网络上6000多计算机感染,直接经济损失9600万美元。莫里斯是由康乃尔大学23岁的罗特?莫里斯制作。后来出现的各类蠕虫,都是仿造了莫里斯蠕虫,以至于人们将该的编制者莫里斯称为"蠕虫之父"。
6、1999年 Hy99、美丽杀手(Melissa)等完全通过Internet传播的的出现标志着Internet将成为新的增长点。其特点就是利用Internet的优势,快速进行大规模的传播,从而使在极短的时间内遍布全球。
7、CIH是继DOS的第四类新型,CIH这三个字母曾经代表着灾难。1998年8月从台湾传入大陆,共有三个主要版本:1.2版/1.3版/1.4版,发作时间分别是4月26日、6月26日、每月26日。该是第一个直接攻击、破坏硬件的计算机,是迄今为止破坏最为严重的。
CIH制造者 陈盈豪 曾有两次精神科门诊记录,被人们认为是"电脑鬼才"。
8、2000年的5月,通过电子邮件传播的"爱虫"迅速在世界各地蔓延,更大规模的发作,造成全世界空前的计算机系统破坏。 I LOVE YOU爱虫是使用VB Script程序语言编写的,它主要是通过一封信件标题为"I LOVE YOU"的电子邮件传播的。一旦执行附加文件,会获取Outlook通讯录的名单,并自动发出"I LOVE YOU"电子邮件,从而导致网络阻塞。破坏性:爱虫的传播会导致网络瘫痪,发作时,还会把*.mp3、*.jpg等10种文件改为*.vbs,并传染覆盖这些文件。
与爱虫相似的网络还有Melissa(美丽杀手)等。
9、着名的"黑色星期五"在逢13号的星期五发作。
10、2001年9月18日出现的Nimda则是演变过程中的另一个里程碑,它首次利用了系统中的漏洞对互联网发起攻击,具备了典型的黑客特征。它的出现意味着,混合着多种黑客手段的从此诞生。
尼姆达是一种新型的、复杂的、发送大量邮件的蠕虫,它通过网络进行传播。尼姆达总是伪装成一封主题行空缺的电子邮件展开对计算机的侵袭。打开这封"来历不明"的电子邮件,就会发现随信有一个名为readme.exe(即可执行自述文件)的附件,如果该附件被打开,尼姆达就顺利地完成了侵袭电脑的第一步。接下来,该不断搜索局域网内共享的网络,将文件复制到用户计算机中,并随机选择各种文件作为附件,再按照用户储存在计算机里的邮件地址发送,以此完成传播的一个循环过程。
11、2002年,求职信Klez,邮件,主要影响微软的Outlook Express用户。
12、"附件在哪啊?你找到我吗?放心打开来,这是一个重要文件,可以查杀QQ的专杀工具请查收附件。"如果你收到一封这样的电子邮件,千万不要打开,这是国内第一例中文混合型,会导致电脑里的各种密码,包括操作系统、网络游戏、电子邮件的各种密码被窃取。
13、冲击波,2003年8月11日,冲击波席卷全球,利用微软网络接口RPC漏洞进行传播,造成众多电脑中毒,机器不稳定,重启,死机,部分网络瘫痪,没打过补丁的WINDOWS操作系统很难逃出它的魔爪。
14、震荡波:具有类似冲击波的表现形式,感染的系统重新启动计算机,原因是给蠕虫导致系统文件lsess.Exe的崩溃。
15、小球,作为Dos时代的老牌,它也是国内流行起来的第一例电脑。小球可以险恶地控制电脑,使程序运行缓慢甚至无法运行。
特洛伊木马,一经潜入,后患无穷
据说在海湾战争中,美国防部一秘密机构曾对伊拉克的通讯系统进行了有的攻击,一度使伊拉克的国防通讯陷于瘫痪。
1、MSN小丑(MsnFunny),自动向用户的msn发送消息和
2、Word文档杀手:破坏文档数据,记录管理员密码。
3、雏鹰(BBeagle):木马程序,电子邮件传播,监测系统时间,2004年2月25日则自动退出。
4、好大(Sobig):1分钟300封邮件
5、红色代码(I-Worm Redcode):感染对象,服务器,修改服务器网站网页
6、蓝色代码(Bluecode):启动多个进程,系统运行速度非常慢,cpu占用率急速上升,甚至瘫痪
7、密码杀手2004:通过键盘记录技术截取几乎所有登录窗口的输入信息,通过电子邮件发送给作者。
8、挪威客(Mydoom.e):疯狂发送带毒邮件,随机删除计算机数据。
9、网络天空(Netsky):带毒邮件大量传播,消耗网络,影响企业的邮件服务器
10、武汉男生:qq发送诱惑信息,**密码以邮件形式发给盗密码者,并结束多种反软件。
11、证券大盗(PSW.Soufan):特洛伊木马,**多家证券交易系统的交易账户和密码。记录键盘信息的同时通过屏幕快照将用户资料已形式发送。
2008年度十大/木马
根据危害程度、感染率以及用户的关注度,计算出综合指数,最终得出以下十大/木马为2008年最具影响的十大/木马。
1、 机器狗系列
关键词:底层穿磁盘 感染系统文件
机器狗因最初的版本用电子狗的照片做图标而被网民命名为"机器狗",该变种繁多,多表现为杀毒软件无法正常运行。该的主要危害是充当木马下载器,通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给广大网民的网络虚拟财产造成巨大威胁。
机器狗直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorer.exe,userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点、影子等还原系统软件导致大量网吧用户感染,无法通过还原来保证系统的安全;通过修复SSDT、映像挟持、进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马。部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP欺骗影响网络安全。
2、AV终结者系列
关键词:杀毒软件无法打开 反复感染
AV终结者最大特点是禁用所有杀毒软件以及大量的安全工具,让用户电脑失去安全保障;破坏安全模式,致使用户根本无法进入安全模式清除;强行关闭带有字样的网页,只要在网页中输入""相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法;在磁盘根目录下释放autorun.Inf,利用系统自播放功能,如果不加以清理,重装系统以后也可能反复感染。
2008年年末出现的"超级AV终结者"结合了AV终结者、机器狗、扫荡波、autorun的特点,是金山毒霸"云安全"中心捕获的新型计算机。它对用户具有非常大的威胁。它通过微软特大漏洞MS08067在局域网传播,并带有机器狗的穿还原功能,下载大量的木马,对网吧和局域网用户影响极大。
3、onlinegames系列
关键词:网游 盗号
这是一类盗号木马系列的统称,这类木马最大的特点就是通过ShellExecuteHooks启动,**流行的各大网络游戏(魔兽,梦幻西游等)的帐号从而通过买卖装备获得利益。这类本身一般不会对抗杀毒软件,但经常伴随着超级Av终结者、机器狗等出现。
4 、HB蝗虫系列木马
关键词:网游盗号
HB蝗虫新型变种是金山毒霸"云安全"中心截获的年末最"牛"的盗号木马。该系列盗号木马技术成熟,传播途径广泛,目标游戏非常的多(存在专门的生成器),基本囊括了市面上大多数的游戏,例如魔兽世界、大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等等。
该类木马主要通过网页挂马、流行下载器传播。而传播此盗号木马的的下载器一般会对抗杀毒软件,造成杀毒软件不能打开、电脑反映速度变慢。
5 、扫荡波
关键词:新型蠕虫 漏洞
这是一个新型蠕虫。是微软"黑屏"后,出现的最具攻击性的之一。"扫荡波"运行后遍历局域网的计算机并发起攻击,攻击成功后,被攻击的计算机会下载并执行一个下载者,而下载者还会下载"扫荡波",同时再下载一批游戏盗号木马。被攻击的计算机中"扫荡波"而后再向其他计算机发起攻击,如此向互联网中蔓延开来。据了解,之前发现的蠕虫一般通过自身传播,而扫荡波则通过下载器进行下载传播,由于其已经具备了自传播特性,因此,被金山毒霸反工程师确认为新型蠕虫。
微软宣布"黑屏"后的第3天,紧急发布了MS08-067安全公告,提示用户注意一个非常危险的漏洞,而后利用该漏洞发动攻击的恶意程序不断涌现;10月24日晚,金山发布红色安全预警,通过对微软MS08-067漏洞进行详细的攻击原型模拟演示,证实了黑客完全有机会利用微软MS08-067漏洞发起远程攻击,微软操作系统面临大面积崩溃威胁;11月7日,金山再次发布预警,"扫荡波"正在利用该漏洞进行大面积攻击;11月7日晚,金山已证实"扫荡波"实为一个新型蠕虫,并发布周末红色预警。
6、QQ盗圣
关键词:QQ盗号
这是QQ盗号木马系列,通常释放体(类似于UnixsMe.Jmp,Sys6NtMe.Zys,)到IE安装目录(C:Program FilesInternet Explore),通过注册表Browser Helper Objects实现开机自启动。当它成功运行后,就把之前生成的文件注入进程,查找QQ登陆窗口,监视用户输入**的帐号和密码,并发送到木马种植者指定的网址。
7、RPC盗号者
关键词:不能复制粘贴
该系列木马用替换系统文件,达到开机启动的目的,由于替换的是RPC服务文件rpcss.dll ,修复不当,会影响系统的剪切板、上网等功能。部分版本加入了反调试功能,导致开机的时候系统加载缓慢。
8、伪QQ系统消息
关键词:QQ系统消息,杀毒软件不能使用
经金山毒霸"云安全"检测为钓鱼程序,最大的特点是伪装QQ系统消息,用户一旦点击,钱财及电脑安全将面临巨大威胁。
该的综合破坏能力比较强,它利用AUTO技术自动传播,当进入电脑后就运行自带的对抗模块,尝试映像劫持或直接关闭用户系统中的安全软件。还带有下载器的功能,可下载其它木马到电脑中运行。
9、QQ幽灵
关键词:QQ 木马下载器
此查找QQ安装目录,并在其目录释放一个精心修改psapi.dll,当QQ启动的时候将会将这个dll文件加载(程序加载dll文件的顺序1:应用程序的安装目录2:当前的工作目录3:系统目录4:路径变量),从而执行恶意代码下载大量到用户电脑。
10、磁碟机
关键词:无法彻底清除 隐蔽
磁碟机与AV终结者、机器狗极为相似。最大特点是导致大量用户杀毒软件和安全工具无法运行,进入安全模式后出现蓝屏现象;而且更为严重的是,由于Exe文件被感染,重装系统仍无法彻底清除。
磁碟机主要通过网站挂马、U盘、局域网内的ARP传播等方式进行传播,而且非常隐蔽,在传播过程中,所利用的技术手段都是用户甚至杀毒软件无法截获的。一旦在用户电脑内成功运行后,会自动下载自己的最新版本以及大量的其他一些木马到本地运行,**用户虚拟资产和其他机密信息;同时该会感染用户机器上的exe文件,包括压缩包内的exe文件,并会通过UPX加壳,导致用户很难彻底清除。
二、2008年计算机、木马的特点分析
2008年是、木马异常活跃的一年。从传播的角度看2008年大量的通过网页挂马方式进行传播,主要利用的是realplay,adobe flash和IE漏洞进行传播。从的运作模式看2008年大量用的方式是下载器对抗安全软件,关闭安全软件然后下载大量盗号木马到用户电脑--**用户网游的账号发送到黑客的数据库。从的危害来看2008年绝大多数流行的都为网游盗号类木马,其次是远程控制类木马。
1、制造进入"机械化"时代
由于各种制作工具的泛滥和制作的分工更加明细和程式化,作者开始按照既定的制作流程制作。制造进入了"机械化"时代。
这种"机械化"很大程度上得益于制作门槛的降低和各种制作工具的流行。"制造机"是网上流行的一种制造的工具,作者不需要任何专业技术就可以手工制造生成。金山毒霸全球反监测中心通过监测发现网络上有诸多此类广告,作者可根据自己对的需求,在相应的制作工具中定制和勾选功能。傻瓜式制作导致进入"机械化"时代。
的机械化生产导致数量的爆炸式增长。反厂商传统的人工收集以及鉴定方法已经无法应对迅猛增长的。金山毒霸2009依托于"云安全"技术,一举实现了库样本数量增加5倍、日最大处理能力提高100倍 、紧急响应时间缩短到1小时以内,给用户带来了更好的安全体验。
2、制造的模块化、专业化特征明显
团伙按功能模块发外包生产或购技术先进的功能模块,使得的各方面功能都越来越"专业",技术得以持续提高和发展,对网民的危害越来越大,而解决问题也越来越难。例如年底出现的"超级AV终结者"集技术之大成,是模块化生产的典型代表。
在专业化方面,制造业被自然的分割成以下几个环节:制作者、批发商、传播者、"箱子"批发商、"信封"批发商、"信封"零售终端。作者包括有"资深程序员",甚至可能有逆向工程师。批发商购买源码,并进行销售和生成木马。传播者负责将通过各种渠道传播出去,以**有价值的QQ号码、游戏帐号、装备等。"箱子"批发商通过出租或者销售"箱子"(即可以**虚拟资产的木马,可以将**的号码收集起来)牟利,他们往往拥有自己的木马或者木马生成器。"信封"批发商通过购买或者租用"箱子",通过出售收获的信封牟利。"信封"零售终端负责过滤"信封"中收集到的有价值的虚拟资产并进行销售。每个环节各司其职,专业化趋势明显。
3、"运营"模式互联网化
团伙经过2008一年的运营已经完全转向互联网,攻击的方式一般为:通过网站入侵->写入恶意攻击代码->利用成为新型网络传播的主要方式,网民访问带有挂马代码的‘正常网站'时,会受到漏洞攻击而‘不知不觉'中毒。这种传播方式的特点是快速、隐敝性强、适合商业化运营(可像互联网厂商一样精确统计收益,进行销售分成)。
例如 "机器狗","商人"购买之后,就可以通过"机器狗"招商。因为机器狗本身并不具备"偷"东西的功能,只是可以通过对抗安全软件保护,因此"机器狗"就变成了的渠道商,木马及其他都纷纷加入"机器狗"的下载名单。要想加入这些渠道商的名单中,必须缴纳大概3000块钱左右的"入门费"。而"机器狗"也与其他类似的"下载器"之间互相推送,就像正常的商业行为中的互换。这样,加入了渠道名单的就可以通过更多的渠道进入用户的电脑。通过哪个渠道进入的,就向哪个渠道缴费。
此外,的推广和销售都已经完全互联网化。推广的手法包括通过一些技术论坛进行推广,黑客网站也是推广的重要渠道,此外还包括百度贴吧、QQ群等渠道进行推广。其销售渠道也完全互联网化,销售的典型渠道包括:公开拍卖网站,比如淘宝、易趣等。还有通过QQ直销,或者通过专门网站进行销售。
4、团伙对于"新"漏洞的利用更加迅速
IE 0day漏洞被利用成2008年最大安全。当ms08-67漏洞被爆光后部分流行木马下载器就将此漏洞的攻击代码集成到内部实现更广泛的传播。而年底出现的IE0day漏洞,挂马集团从更新挂马连接添加IE 0day漏洞攻击代码到微软更新补丁已经过了近10天。期间有上千万网民访问过含有此漏洞攻击代码的网页。
此外,2008年Flash player漏洞也给诸多网民造成了损失。由于软件在自身设计、更新、升级等方面的原因,存在一些漏洞,而这些漏洞会被黑客以及恶意网站利用。在用户浏览网页的过程中,通过漏洞下载木马入侵用户系统,进行远程控制、盗窃用户帐号和密码等,从而使用户遭受损失。
金山毒霸团队密切关注windows系统软件漏洞和第三方应用软件漏洞信息,及时更新漏洞库信息,同时金山清理专家用P2SP技术,大大提高了补丁下载的速度,减少了用户电脑的风险暴露时间。
5、 与安全软件的对抗日益激烈
在产业链分工中,下载器扮演了‘'的角色,它结束并破坏杀毒软件,穿透还原软件,‘保护'盗号木马顺利下载到用户机器上,通过‘保护费'和下载量分脏。下载者在2008年充当了急先锋,始终跑在对抗杀毒软件的第一线,出尽风头且获得丰厚回报。
从‘AV终结者'的广泛流行就不难看出,对抗杀毒软件已经成为下载者的‘必备技能'。
纵观08年的一些流行,如机器狗、磁碟机、AV终结者等等,无一例外均为对抗型。而且一些制作者也曾扬言"饿死杀毒软件"。对抗杀毒软件和破坏系统安全设置的以前也有,但08年表现得尤为突出。主要是由于大部分杀毒软件加大了查杀的力度,使得为了生存而必须对抗杀毒软件。这些使用的方法也多种多样,如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。
与杀毒软件对抗特征主要表现为对抗频率变快,周期变短,各个的新版本更新非常快,一两天甚至几个小时更新一次来对抗杀毒软件。
金山毒霸通过强化自保护功能,提高攻击的技术门槛。目前,金山毒霸云安全体系可以做到样本的收集、库更新测试和升级发布全无人值守,自动化的解决方案以应对传播制作者不断花样翻新的挑战。
三、2009年计算机、木马发展趋势预测
1、0Day漏洞将与日俱增
2008年安全界关注的最多的不是Windows系统漏洞,而是每在微软发布补丁随后几天之后,黑客们放出来的0Day 漏洞,这些漏洞由于处在系统更新的空白期,使得所有的电脑都处于无补丁的可补的危险状态。
黑客在尝到0day漏洞攻击带来的巨大感染量和暴利以后会更加关注于0day漏洞的挖掘,2009年可能会出现大量新的0day漏洞(含系统漏洞及流行互联网软件的漏洞),团伙利用0day漏洞的发现到厂商发布补丁这一时间差发动漏洞攻击以赚取高额利润。
2、网页挂马现象日益严峻
网页挂马已经成为木马、传播的主要途径之一。入侵网站,篡改网页内容,植入各种木马,用户只要浏览被植入木马的网站,即有可能遭遇木马入侵,甚至遭遇更猛烈的攻击,造成网络财产的损失。
2008年,网站被挂马现象屡见不鲜,大到一些门户网站,小到某地方电视台的网站,都曾遭遇挂马问题。伴随着互联网的日益普及,网页挂马已经成为木马、传播的主要途径之一的今天,金山毒霸反工程师预测2009年网络挂马问题将更加严峻,更多的网站将遭遇木马攻击。
3、与反厂商对抗将加剧
随着反厂商对于安全软件自保护能力的提升,的对抗会越发的激烈。不再会局限于结束和破坏杀毒软件,隐藏和局部‘寄生'系统文件的弱对抗毒将会大量增加。
4、新平台上的尝试
、木马进入新经济时代后,肯定是无孔不入;网络的提速让更加的泛滥。因此在2009年,我们可以预估vista系统,windows 7系统的将可能成为作者的新宠;当我们的智能手机进入3G时代后,手机平台的/木马活动会上升。软件漏洞的无法避免,在新平台上的漏洞也会成为/木马最主要的传播手段。
四、2009年反技术发展趋势
在制作门槛的逐步降低,、木马数量的迅猛增长,反厂商与之间的对抗日益激烈的大环境下,传统"获取样本->特征码分析->更新部署"的杀毒软件运营模式,已无法满足日益变化及增长的安全威胁。在海量、木马充斥互联网,制作者技术不断更新的大环境下,反厂商必须要有更有效的方法来弥补传统反方式的不足,"云安全"应运而生。
金山毒霸"云安全"是为了解决木马商业化的互联网安全形势应运而生的一种安全体系结构。它包括智能化客户端、集群式服务端和开放的平台三个层次。"云安全"是现有反技术基础上的强化与补充,最终目的是为了让互联网时代的用户都能得到更快、更全面的安全保护。
首先稳定高效的智能客户端,它可以是独立的安全产品,也可以作为与其他产品集成的安全组件,比如金山毒霸 2009和百度安全中心等,它为整个云安全体系提供了样本收集与威胁处理的基础功能;
其次服务端的支持,它是包括分布式的海量数据存储中心、专业的安全分析服务以及安全趋势的智能分析挖掘技术,同时它和客户端协作,为用户提供云安全服务;
最后,云安全需要一个开放性的安全服务平台作为基础,它为第三方安全合作伙伴提供了与对抗的平台支持,使得缺乏技术储备与设备支持的第三方合作伙伴,也可以参与到反的阵线中来,为反产业的下游合作伙伴提供商业上的激励,摆脱目前反厂商孤军奋战的局面。
windows7旗舰版ID中有OEM,显示已激活,用everest软件检测显示操作系统版本是Win7 RTM,这是什么意思啊?
您好,我就为大家解答关于光盘放入电脑没有反应,为什么光盘放进电脑没反应相信很多小伙伴还不知道,现在让我们一起来看看吧!1、一,光头...
您好,我就为大家解答关于光盘放入电脑没有反应,为什么光盘放进电脑没反应相信很多小伙伴还不知道,现在让我们一起来看看吧!
1、一,光头积尘,使读碟能力变差了。
2、如果你会如下操作,卸下光驱,打开它,用药棉球蘸无水酒精或蒸馏水擦拭几下激光头(平行擦拭,不要转圈擦。
3、不要用清洁剂——它会形成一层膜),干燥二十分钟,再装好。
4、可以使光驱再为你工作一段时间。
5、普通用户没有动手能力,拆开清理可能会难以复原,建议买一个清扫光头的光盘来用,一般卖碟的地方都有的买的。
6、二,长期不用,光驱的传动机构,运动构件缺少润滑,使转速变低或根本转不动的情况。
7、可能是激光座滑动轴没油或被卡住了。
8、清洁金属轴再加点油。
9、你放进碟片后,注意听是否有转动的声音,或是有其它异常的声音,就可以判断了。
10、三,.激光头老化了。
11、你可以调高激光头的输出功率,在激光头卡座后面有一调节螺丝,慢慢的旋转大概15度就可以了,不行的话再转15度,反复试直到可以读片。
12、四,作怪。
13、光驱在注册表里被恶意屏蔽掉了在“我的电HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVrsion/Polices/xplorer中的“NoDrivers“的二进制值是否是光驱的值。
14、正常情况下没有该项,也可将该项值改为“00?00?00?00“(01?00?00?00为A,04?00?00?00为C,FF?FF?FF?FF为隐藏所有驱动器)。
15、注意;现在有的专门更改注册表,使光驱盘符丢失,。
16、有的不会使光驱盘符丢失,但是会禁止光驱读盘,什么样的光盘也不能读,但却能够用光盘启动。
17、五、光驱的驱动是否安装正确。
18、或者它的驱动程序损坏了。
19、通常在WINDOWS中都自带了光驱的驱动,不需要另外添加。
20、如果光驱的驱动程序安装的不是它自己的驱动程序,也会出现光驱丢失的情况。
21、这种情况的出现一般是添加了所谓的“优化”、“加速程序”或者其他程序。
22、这时可进入安全模式将“设备管理器“中的“CDROM“选项删除,然后重新启动计算机,让系统自己发现新硬件重新安装光驱的驱动即可。
23、六,光驱现在不值钱了,而且很少用到。
24、因为一般的软件都可以从网上下载的。
25、所以,修理费用高的话,就没有修理的价值了。
26、自己动手搞吧,死马儿让你医活了,那是非常振奋人心的事哦。
27、七,很多盗版的DVD碟片,用电脑的DVD光驱的确读不出来,盘片质量太差吧。
28、我新买的品牌电脑也是这样的。
29、这不属于光驱质量问题。
30、DVD机是针对DVD音影碟设计的,对于差一点的DVD盘有很好的纠错和兼容能力;光驱以读取光盘数据为主,对于影碟的读取能力当然没DVD机强啊八,光驱读盘性能不好这种情况一般发生在新购买的组装计算机或新买的光驱上,读盘时拌有巨大的“嗡嗡”声,排除光驱的故障之后,很可能是电源有问题。
31、有必要拆开检查一下。
32、按照你的描述应该是光盘问题:光盘是否变形、光盘读面的划痕、预读区损伤都会造成光盘无反映。
33、尤其是新光盘,在出场到贩卖过程中很可能因为保存的问题,比如运输途中过热导致变形。
34、笔记本对光盘平衡要求相对高一些。
35、确保光盘、光驱都没有问题。
36、那一定是光驱认盘子,换其他牌子光盘或者换光驱。
37、或许是光驱坏了下个驱动,试试,或者重新装系统光盘坏了,去找专业人士修光驱是否坏啦。
会对电脑产生不可修复的损伤吗?
RTM的含义是 Release to manufacturer (发行到生产厂家),意思是已经将版本放给光盘生产商,进行批量生产发行了。也就是正常的贩卖版本了,你可以理解就是正式版了。其实你更应该看版本号,默认win 7版本号7600,如果加载了SP1补丁包的话版本号就是7601,低于7600的版本可定不是正式版,应该是RC(release Candidate)或者Beta(测试)版本。
旗舰版中的ID是OEM,说实话,99%的可能性你是用的盗版软激活的,因为还没有厂家会默认带Ultimate版本的win 7,除非你的计算机在2万元以上,也就是并非真正意义上的正版。当然,软激活也可以正常使用的,包括你说的打开windows update进行自动更新都是没有问题的,不会被封的。
en_windows_7_ultimate_n_x86_dvd_x16-13640,其中ultimate后面的字母n代表什么意思?
CIH简介
CIH查杀:目前市面上大部分杀软如金山毒霸,江民杀毒软件等都能有效查杀此,而且目前市面上绝大多数电脑都已使用win XP系统,此对NT以上系统(win NT,2000,XP,2003,VISTA,window 7等)已无危害
CIH是一种能够破坏计算机“系统硬件”的恶毒。据目前掌握的材料来看,这个产自台湾,最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。
CIH传播的主要途径是Internet和电子邮件,当然随着时间的推移,它也会通过软盘或光盘的交流传播。据悉,权威搜集网目前报道的CIH, “原体”加“变种”一共有五种之多,相互之间主要区别在于“原体”会使受感染文件增长,但不具破坏力;而“变种”不但使受感染的文件增长,同时还有很强的破坏性,特别是有一种“变种”,每月26日都会发作。
CIH只感染Windows 95/98操作系统,从目前分析来看,它对DOS操作系统似乎还没有什么影响,所以,对于仅使用DOS的用户来说,这种似乎并没有什么影响,但如果是Windows 95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术,使得这种在Windows环境下传播的实时性和隐蔽性都特别强,使用一般反软件很难发现这种在系统中的传播。
CIH“变种”在每年4月26日(有一种变种是每月26日)都会发作。发作时硬盘一直转个不停,所有数据都被破坏,硬盘分区信息也将丢失。CIH发作后,就只有对硬盘进行重新分区了。再有就是CIH发作时也可能会破坏某些类型主板的电压,改写只读存储器的BIOS,被破坏的主板只能送回原厂修理,重新烧入BIOS。
[编辑本段]CIH破坏哪一类BIOS
当然,CIH对BIOS的破坏,也并非想像中的那么可怕。 现在PC机基本上使用两种只读存储器存放BIOS数据,一种是使用传统的ROM或EPROM,另一种就是E2PROM。厂家事先将BIOS以特殊手段“烧”入(又称“固化”)到这些存储器中,然后将它们安装在PC机里。当我们打开计算机电源时,BIOS中程序和数据首先被执行、加载,使得我们的系统能够正确识别机器里安装的各种硬件并调用相应的驱动程序,然后硬盘再开始引导操作系统。 固化在ROM或EPROM中的数据,只有施加以特殊的电压或使用紫外线才有可能被清除,这就是为什么我们打开有些计算机机箱时,可能会看到有块芯片上贴着一小块银色或黑色纸块的原因——防止紫外线清除BIOS数据。要清除存储在这类只读存储器中的数据,仅靠计算系统内部的电压是不够的。所以,仅使用这种只读存储器存储BIOS数据的用户,就没有必要担心CIH会破坏BIOS。 但最新出产的计算机,特别是Pentium以上的计算机基本上都使用了E2PROM存储部分BIOS。E2PROM又名“电可改写只读存储器”。一般情况下,这种存储器中的数据并不会被用户轻易改写,但只要施加特殊的逻辑和电压,就有可能将E2PROM中的数据改写掉。使用PC机的CPU逻辑和计算机内部电压就可轻易实现对E2PROM的改写,这正是我们通过软件升级BIOS的原理,也是CIH破坏BIOS的基本方法。 改写E2PROM内的数据需要一定的逻辑条件,不同PC机系统对这种条件的要求可能并不相同,所以CIH并不会破坏所有使用E2PROM存储BIOS的主板,目前报道的只有技嘉和微星等几种5V主板,这并不是说这些主板的质量不好,只不过其E2PROM逻辑正好与CIH吻合,或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。 所以,要判断CIH对您的主板究竟有没有危害,首先应该判别您的BIOS是仅仅烧在ROM/EPROM之中,还是有一部分使用了E2PROM。 需要注意的是,虽然CIH并不会破坏所有BIOS,但CIH在“黑色”的26日摧毁硬盘上所有数据远比破坏BIOS要严重得多——这是每个感染CIH的用户不可避免的。
[编辑本段]CIH的版本
CIH属文件型,杀伤力极强,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,目前最流行的是v1.2版本,在此期间,据某些报导,同时产生了不下十个的变种,不过好像没有流行起来的迹象,本人并未实际接触到这些所谓的CIH变种。
CIH的各种不同版本的随时间的发展不断完善,其基本发展历程为:
1.0:最初的 V1.0版本仅仅只有 656字节,其雏形显得比较简单,与普通类型的在结构上并无多大的改善,其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的之一,被其感染的程序文件长度增加,此版本的CIH不具有破坏性。
1.1:当其发展到v1.1版本时,长度为796字节,此版本的CIH具有可判断Win NT软件的功能,一旦判断用户运行的是Win NT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”,将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,不会导致文件长度增加。
1.2:当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机BIOS程序的代码,这一改进,使其步入恶毒的行列,此版本的CIH体长度为1003字节。
1.3:原先v1.2版本的CIH最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时,将导致此ZIP压缩包在自解压时出现如下的错误警告信息: WinZip Self-Extractor header corrupt. Possible cause: disk or file transfer error. v1.3版本的CIH显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是:一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH修改了发作时间。v1.3版本的CIH长度为1010字节。
1.4:此版本的CIH改进上上几个版本中的缺陷,不感染ZIP自解压包文件,同时修改了发作日期及中的版权信息(版本信息被更改为:“CIH v1.4 TATUNG”,在以前版本中的相关信息为“CIH v1.x TTIT”),此版本的长度为1019字节。
从上面的说明中,我们可以看出,实际上,在CIH的相关版本中,只有v1.2、v1.3、v1.4这3个版本的具有实际的破坏性,其中v1.2版本的CIH发作日期为每年的4月26日,这也就是当前最流行的版本,v1.3版本的发作日期为每年的6月26日,而CIH v1.4版本的发作日期则被修改为每月的26日,这一改变大大缩短了发作期限,增加了其的破坏性。
[编辑本段]CIH发作特征
CIH属恶毒,当其发作条件成熟时,其将破坏硬盘数据,同时有可能破坏BIOS程序,其发作特征是:
1、以2048个扇区为单位,从硬盘主引导区开始依次往硬盘中写入垃圾数据,直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏,如果重要信息没有备份,那就只有哭了!
2、某些主板上的Flash Rom中的BIOS信息将被清除。
[编辑本段]感染CIH的特征
由于流行的CIH版本中,其标识版本号的信息使用的是明文,所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH,搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”,不要直接搜索“CIH”特征串, 因为此特征串在很多的正常程序中也存在,例如程序中存在如下代码行: inc bx dec cx dec ax 则它们的特征码正好是“CIH(0x43;0x49;0x48)”,容易产生误判。
具体的搜索方法为:首先开启“管理器”,选择其中的菜单功能“工具>查找>文件或文件夹”,在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如:*.EXE),然后在“高级>包含文字”栏中输入要查找的特征字符串--“CIH v”,最后点劝查找键”即可开始查找工作。如果在查找过程中, 显示出一大堆符合查找特征的可执行文件,则表明您老的计算机上已经感染了CIH。
实际上,在以上的方法中存在着一个致命的缺点,那就是:如果用户刚刚感染CIH,那么这样一个大面积的搜索过程实际上也是在扩大的感染面。
一般情况下,推荐的方法是先运行一下“写字板”软件,然后使用上面的方法在“写字板”软件的可执行程序Notepad.exe中搜索特征串,以判断是否感染了CIH。 另外一个判断方法是在Windows PE文件中搜索IME_NT_SIGNATURE字段,也就是0x00004550,其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未受感染,如果为其他数值,则表示很可能已经感染了CIH。
最后一个判断方法是先搜索IME_NT_SIGNATURE字段--“PE00”,接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64,如果是,则表示此程序已被感染。
还听说凡是感染了CIH的机器,如果玩NEED FOR SPEED II(极品飞车2)游戏时,会在读取游戏光盘时出现死机现象, 本人没有尝试过,不知道实际上是不是有这一情况存在。
适合高级用户使用的一个方法是直接搜索特征代码,并将其修改掉,方法是:先处理掉两个转跳点,即搜索:5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串,将这两个特征串中的CC改90(nop),接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40 00特征字串,将其全部修改为90,即可(以上数值全部为16进制)。
另外一种方法是将原先的PE程序的正确入口点找回来,填入当前入口点即可(此处以一个被感染的CALC.EXE程序为例),具体方法为:先搜IME_NT_SIGNATURE字段--“PE00”,接着将距此点偏移0x28处的4个字节值,例如“A0 02 00 00”(0x000002A0),再由此偏移所指的位置(即0x02A0)找到数据“55 8D 44 24 F8 33 DB 64”, 并由0X02A0加上0X005E得到0x02FE偏移,此偏移处的数据例如为“CB 21 40 00”(OXOO4021CB),将此值减去OX40000,将得数--“CB 21 00 00”(OXOO0021CB)值放回到距“PE00”点偏移0x28的位置即可(此处为Windows PE格式程序的入口点,术语称为Program Entry Point)。最后将“55 8D 44 24 F8 33 DB 64”全部填成“00”,使得我们容易判断是否已经被杀除过。 按照上面手工杀毒的方法一般适合于某些单独的软件(例如某些软件包含在软盘中,却被感染了CIH不读,可现在就要用,呵呵!)。使用上述方法的缺点在于体还将保留在可执行文件中,虽然不会起作用, 但是想起来可能会有点不舒服(记得“WPS2000测试版残留CIH尸体”的么?)。所以,想彻底杀灭,推荐使用某些反软件进行或是CIH专用杀毒工具(以上操作以及使用反软件进行杀毒,必须使用干净的系统盘启动计算机)。
[编辑本段]来源
CIH是一位名叫陈盈豪的台湾大学生所编写的,从台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Chat模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。目前传播的主要途径主要通过Internet和电子邮件,当然随着时间的推移,其传播主要仍将通过软盘或光盘途径。
[编辑本段]小结
CIH是一种能够破坏计算机系统硬件的恶毒。据目前掌握的材料来看,这个产自台湾,最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。 目前传播的途径主要通过Internet和电子邮件。计算机的传播已摆脱了传统存储介质的束缚,Internet和光盘现已成为加速计算机传播最有效的催化剂。CIH只感染Windows95/98操作系统,从目前分析来看它对DOS操作系统似乎还没有什么影响,这可能是因为它使用了Windows下的VxD(虚拟设备驱动程序)技术造成的。所以,对于仅使用DOS的用户来说,这种似乎并没有什么影响,但如果是Windows95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术,使得这种在Windows环境下传播,其实时性和隐蔽性都特别强,使用一般反软件很难发现这种在系统中的传播。 CIH每月26日都会爆发(有一种版本是每年4月26日爆发)。CIH发作时,一方面全面破坏计算机系统硬盘上的数据,另一方面对某些计算机主板的BIOS进行改写。BIOS被改写后,系统无法启动,只有将计算机送回厂家修理,更换BIOS芯片。由于CIH对数据和硬件的破坏作用都是不可逆的,所以一旦CIH爆发,用户只能眼睁睁地看着价值万元的计算机和积累多年的重要数据毁于一旦。CIH现已被认定是首例能够破坏计算机系统硬件的,同时也是最具杀伤力的恶毒。 从技术角度来看,CIH实现了与操作系统的完美结合。该使用了Windows95/98最核心的VxD技术编制,被认为是牢固地连接到了操作系统底层,所以CIH既不会向DOS操作系统传播,也不会向WindowsNT操作系统扩散。CIH的这一技术特点给我们使用传统反技术防治计算机提出了巨大的挑战,这是因为我们所使用的传统反工具基本上都是纯DOS或工作在Windows95之下的仿真DOS应用程序,它们无法深入到Windows95/98操作系统的底层去彻底清除CIH;另一方面,由于能够与操作系统底层紧密结合,CIH的传播就更为迅速、隐蔽。防治类似CIH这种能够与操作系统紧密结合的最好的方法是使用本身能够与各种操作系统紧密结合的反软件。 CIH 是一种运用最新技术,会 Format 硬碟的最新,通常都利用网路族上网时,进行传播感染 。目前最新的变种为CIH 会在每月 26 日发病,并会展现最强大的破坏力-Format 硬碟. CIH平常并没有作什么破坏性的动作,也没有显示任何画面,只是占用部份记忆体而已。但是有些 32-bit的程式被感染之后,运作会不正常,甚至会造成当机。但是,CIH长驻在主记忆体之后,每次 执行时,会检查电的日期是否为[4月26日],如果是,它会透果你的电脑I/O部:CF8,CFD,CFE修改你 的电脑的某些设定,并且把你电脑所有硬盘的资料都毁了,甚至连硬盘数据区及引导区的资料都不在了 ,并且让电脑当机。当你重新开机,屏幕会出现"DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"(硬盘引导失败,请插入系统盘后敲击回车)。若是用软盘引导开机再执行C:指令,则出现"Invalid drive specification"(不可用的驱动器编号)。即使曾经有备份引导区资料,但是你磁盘中的资料已全毁,可不可以开机已经没有意义了
注意:CIH是迄今为止唯一能破坏计算机硬件的。
[编辑本段]新CIH
与传统的CIH不同,新CIH(WIN32.Yami)可以在Windows 2000/XP下运行,因此新CIH的破坏范围比传统CIH大得多。2003年5月17日,瑞星全球反监测网络率先截获该恶毒,由于该的破坏能力与当年臭名昭著的CIH几乎完全一样,因此瑞星将该命名为新CIH。
新CIH会驻留在系统内核,它首先判断打开的文件是否为Windows 可执行文件(PE文件),如果不是则不进行感染操作,如果是则将插入到PE文件各节的空隙中(与传统的CIH一样),因此感染后文件的长度不会增加。由于自身的原因,感染时有些文件会被破坏,导致不能正常运行。新CIH发作时企图用“YM Kill You”字符串信息覆盖系统硬盘,这样会导致数据恢复相当困难。它同时通过向主板BIOS中写入垃圾数据来对硬件系统进行永久性破坏。
新CIH行为分析:
1、搜索kernel32的起始偏移地址
2、取得所用的API地址
3、进入Ring0
4、通过直接IO的方式写BIOS和硬盘
值得庆幸的是,这个新CIH发作条件较为特殊,不会定期发作,而且只会通过感染文件来传播,因此不太可能在短期内造成巨大的破坏。各反软件公司以最快的速度研发出查杀此的专杀工具,因此该的大面积破坏在很大程度上被控制住了。
英文版win7旗舰版,n就是其中一种版本型号
具体请参考,
时间已经进入windows7时代,可很多关于windows7的东西,却越来越让人陌生
本人通过网络搜索后,特把windows7各个版本的含义说明如下:
Beta:
很容易理解就是测试版,这个阶段的版本会一直加入新的功能。
RC:(Release?CandiLXe)
Release CandiLXe就是发行候选版本。和Beta版最大的差别在于Beta阶段会一直加入新的功能,但是到了RC版本,几乎就不会加入新的功能了,而主要着重于除错!
?
RTM:(Release?to?Manufacture)
?是给工厂大量压片的版本,内容跟正式版是一样的,不过RTM.也有出120天评估版。但是说RTM.是测试版是错的。正式在零售商店上架前,是不是需要一段时间来压片,包装、配销呢?所以程序代码必须在正式发行前一段时间就要完成,这个完成的程序代码叫做Final.Code,程序代码开发完成之后,要将母片送到工厂大量压片,这个版本就叫做RTM版。所以说,RTM版的程序码一定和正式版一样。但是和正式版也有不一样的地方:例如正式版中的OEM不能升级安装,升级版要全新安装的话会检查旧版操作系统光盘等,这些就是RTM和正式版不同的地方,但是它们的主要程序代码都是一样的。
Retail[full packaged product (fpp)]:零售版
就是在各大软件店看到有漂亮包装的那种。可以升级安装,也可以全新安装。但是需要激活,机器配置更换了还要通知微软,是比较痛苦的东西。
OEM:(Oringinal?Equipment?Manufacturer)
?是给计算机厂商随着计算机贩卖的,也就是随机版。只能随机器出货,不能零售。只能全新安装,不能从旧有操作系统升级。如果买笔记本型计算机或品牌计算机就会有随机版软件。包装不像零售版精美,通常只有一面CD和说明书(授权书)。
upgrade:升级版
包装和零售版一样,不过价格却便宜很多。只能升级安装,要全新安装的话,安装程序会检查旧有的操作系统光盘,检查过后就可以装了。大家估计是不会需要这种版本的。VOL版(volume licensing for organizations):
团体批量许可证(大量购授权合约)。可能有人会认为这个不是vlo么?其实vol是取了volume的前3个字母而已,不是3个词的字母缩写。比如英文wxp pro的vol版本的光盘卷标就是wxpvol_en,其中wx表示是windows xp,p是professional(vol没有home版本),vol表明是团体批量许可证版本,en是表明是英语。获得途径主要是集团购买,某些msdn用户也可以得到。这种版本根据购买数量等又细分为“开放式许可证”、“选择式许可证”、“企业协议”、“学术教育许可证”等以下5种版本: 系统爱好者俱乐部 ;open license;enterprise agreement ;enterprise subion agreement;?academic volume licensing 。volume licensing (product) keys,即vlk,它所指的只是一个key(密匙),仅仅是一个为证明产品合法化、以及安装所使用的key,因为根据vol规定,vol产品是不需要激活的!或者说,vlk不是指一种版本,而是指这种版本在部署(deploy)过程中所需要的key,而需要vlk这种key的版本应该叫做vol!只不过在实际中,没有必要强调这种叫法、称呼的准确性,加之很多人的vol版本光盘是通过企业的选择式许可证、企业协议等方式得到的等等原因,所以才会有很多人叫他为“选择版”等等。
以下内容为转载
α版
此版本表示该软件仅仅是一个初步完成品,通常只在软件开发者内部交流,也有很少一部分发布给专业测试人员。一般而言,该版本软件的bug较多,普通用户最好不要安装。β(beta)版
该版本相对于α版已有了很大的改进,消除了严重的错误,但还是存在着一些缺陷,需要经过大规模的发布测试来进一步消除。这一版本通常由软件公司免费发布,用户可从相关的站点下载。通过一些专业爱好者的测试,将结果反馈给开发者,开发者们再进行有针对性的修改。该版本也不适合一般用户安装。γ版
该版本已经相当成熟了,与即将发行的正式版相差无几,如果用户实在等不及了,尽可以装上一试。trial(试用版)
试用版软件在最近的几年里颇为流行,主要是得益于互联网的迅速发展。该版本软件通常都有时间限制,过期之后用户如果希望继续使用,一般得交纳一定的费用进行注册或购买。有些试用版软件还在功能上做了一定的限制。
unregistered(未注册版)
未注册版与试用版极其类似,只是未注册版通常没有时间限制,在功能上相对于正式版做了一定的限制,例如绝大多数网络电话软件的注册版和未注册版,两者之间在通话质量上有很大差距。还有些虽然在使用上与正式版毫无二致,但是动不动就会弹出一个恼人的消息框来提醒你注册,如看图软件acdsee、智能陈桥汉字输入软件等。
demo版
也称为演示版,在非正式版软件中,该版本的知名度最大。demo版仅仅集成了正式版中的几个功能,颇有点像unregistered。不同的是,demo版一般不能通过升级或注册的方法变为正式版。以上是软件正式版本推出之前的几个版本,α、β、γ可以称为测试版,大凡成熟软件总会有多个测试版,如windows 98的β版,前前后后将近有10个。这么多的测试版一方面为了最终产品尽可能地满足用户的需要,另一方面也尽量减少了软件中的bug。而trial、unregistered、demo有时统称为演示版,这一类版本的广告色彩较浓,颇有点先尝后买的味道,对于普通用户而言自然是可以免费尝鲜了。
·正式版 (不同类型的软件的正式版本通常也有区别)
release
该版本意味“最终释放版”,在出了一系列的测试版之后,终归会有一个正式版本,对于用户而言,购买该版本的软件绝对不会错。该版本有时也称为标准版。一般情况下,release不会以单词形式出现在软件封面上,取而代之的是符号(r),如windows nt(r) 4.0、ms-dos(r) 6.22等。
registered
很显然,该版本是与unregistered相对的注册版。注册版、release和下面所讲的standard版一样,都是软件的正式版本,只是注册版软件的前身有很大一部分是从网上下载的。
standard
这是最常见的标准版,不论是什么软件,标准版一定存在。标准版中包含了该软件的基本组件及一些常用功能,可以满足一般用户的需求。其价格相对高一级版本而言还是“平易近人”的。
deluxe
顾名思义即为“豪华版”。豪华版通常是相对于标准版而言的,主要区别是多了几项功能,价格当然会高出一大块,不推荐一般用户购买。此版本通常是为那些追求“完美”的专业用户所准备的。
reference
该版本型号常见于百科全书中,比较有名的是微软的encarta系列。reference是最高级别,其包含的主题、图像、影片剪辑等相对于standard和deluxe版均有大幅增加,容量由一张光盘猛增至三张光盘,并且加入了很强的交互功能,当然价格也不菲。可以这么说,这一版本的百科全书才能算是真正的百科全书,也是发烧友们收藏的首选。
professional(专业版)
专业版是针对某些特定的开发工具软件而言的。专业版中有许多内容是标准版中所没有的,这些内容对于一个专业的软件开发人员来说是极为重要的。如微软的visual foxpro标准版并不具备编译成可执行文件的功能,这对于一个完整的开发项目而言显然是无法忍受的,若客户机上没有foxpro将不能使用。如果用专业版就没有这个问题了。
enterprise(企业版)
企业版是开发类软件中的极品(相当于百科全书中的reference版)。拥有一套这种版本的软件可以毫无障碍地开发任何级别的应用软件。如著名的visual c++的企业版相对于专业版来说增加了几个附加的特性,如sql调试、扩展的存储过程向导、支持as/400对ole db的访问等。而这一版本的价格也是普通用户无法接受的。如微软的visual studios 6.0 enterprise中文版的价格为23000元。 ·其他版本 (除了以上介绍的一些版本外,还有一些专有版本名称)upLXe(升级版)
升级版的软件是不能独立使用的,该版本的软件在安装过程中会搜索原有的正式版,如果不存在,则拒绝执行下一步。如microsoft office 2000升级版、windows 9x升级版等等。oem版
oem版通常是捆绑在硬件中而不单独销售的版本。将自己的产品交给别的公司去卖,保留自己的著作权,双方互惠互利,一举两得。单机(网络)版
网络版在功能、结构上远比单机版复杂,如果留心一下软件的报价,你就会发现某些软件单机版和网络版的价格相差非常大,有些网络版甚至多一个客户端口就要加不少钱。普及版
该版本有时也会被称为共享版,其特点是价格便宜(有些甚至完全免费)、功能单一、针对性强(当然也有占领市场、打击盗版等因素)。与试用版不同的是,该版本的软件一般不会有时间上的限制。当然,如果用户想升级,最好还是去购买正式版。
