[原创->软件->聊天类->QQ->探索]发现一个绕过QQ页面屏蔽的办法,百度空间被屏蔽的们或许

麻烦的qq貌似现在又开始打造和谐环境了,对于百度的地址,在qq群里发布会被屏蔽(有些的不会。),然后过一段时间又可以发送了,摸不着头脑。

实验了一下,qq拦截功能需要通过http:// 或ftp:// 这些字符串来激活。
那么,不出现不就可以了么?

比如我发我的空间:http://hi.baidu.com/alexblair/

写成hi.baidu.com/alexblair就可以发送了,同样的,复制到浏览器上opera/FF/IE都可以自动添加前面缺少的http:// 这个东西

虽然需要复制到浏览器上打开,但是总算是比较方便的方法了

最后,BS一下马花藤,呵呵。。。。。。

Related posts

[原创->软件->杀毒软件->KAV->探索]技巧:如何单独导出卡巴斯基主动防御规则之RD规则

此方法适合于kis/kav 7

由于HIPS的借鉴和研究,卡巴斯基的默认和自定义的RD规则该如何单独导出呢?
其实方法很简单,
开始–>运行–>REGEDIT.EXE–>找到
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP7\profiles\Behavior_Blocking\profiles\pdm\settings

直接导出之下的

RegGroup_List_vcontent

的值就是卡巴斯基的RD规则,其中包括了所有的注册表防御规则.

那么如何查阅呢?
这些数值其实是一个二进制的值,通过进制转换就可以得到.

是不是很麻烦呢?
其实用REGEDIT就可以做到.直接双击那个值,是否在字符区域出现了你的规则了呢?

当你需要单独制作RD规则包分享的时候,这个方法是很容易也是很安全的

Related posts

[原创->软件->HIPS->S3->BUG信息] s3的自我保护有问题。(rd问题)[目前已经解决]

添加如下规则,

registry: deny HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NCDSSvc

但是regedit还是可以任意修改这个下面的start值,并且没有任何提示。
使用sc这个命令也可以修改相关的服务选项,甚至删除s3服务。
另外,net stop也不受限制,
或者通过services.msc /s和msconfig都可以在s3的保护下轻松更改服务选项或服务启动方式。不得不令人郁闷。

为了说明注册表监控的确有漏洞
我制作了一个测试文件

http://bbs.kafan.cn/attachment.php?aid=127183

md5:87775cdc6ba1d4ff640f6ce4c1e3f385

下载后,有3个文件,都是reg的
测试前,请先制作以下规则
registry: deny HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\123456789
registry: deny HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\123456789\*

完成后,开始测试
直接双击任何一个reg就可以测试,介绍一下每个文件的用处。

建立测试.reg

这个文件将在您的注册表中建立

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\123456789]


删除测试.reg

将删除

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\123456789]

修改测试.reg将修改

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\123456789]
“新值 #1″=””

“新值 #1″=”12457891545646”

不论是否打开

Related posts

[原创->软件->HIPS->S3->BUG信息] 关于s3注册表监控不足的临时补救办法

昨天测试s3 2008时,发现一个小小的毛病,可能导致居心不良的人通过bat来拆除本地s3或其他软件的驱动或服务。
今天在虚拟机里测试了一段时间,发现还是有方法临时补救的。
好了,废话不多说,开始把。

===================================
第一种方法:

(对于s3驱动和保护完整的用户[没有被拆的用户])

打开,s3,切换到
应用程序规则—>程序控制规则
新建立 regedit**的一个规则
然后设置其子规则如下。
[c:\windows\regedit**]
process: allow nolog
registry: allow HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed nolog
registry: allow HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\LastKey nolog
registry: allow HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\FindFlags nolog
registry: allow HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\View nolog
registry: ask *
这样设置后,任何的导入注册表文件的动作都会被询问,虽然这个方法比较一刀切,但是对于未知的攻击还是有效的。
当然,你可以倒过来设置,把你认为危险的项目单独列出来,设置为阻止。我的方法不过是个思路而已,不需要照搬照抄。

==============================
第二种方法

如果你怀疑你的s3的驱动已经出现了问题,例如不定期出现规则和实际不符等)

既然s3已经出问题了,那么就只好请windows出场了。
下面的内容要涉及到windows的权限和ntfs的权限问题,建议有一定基础的用户使用,
抄袭一下微软的警告:^_^
修改注册表是一件危险的工作,任何的疏忽都有可能出现不可预料的后果,请谨慎。

首先打开regedit**
然后找到s3的驱动位置,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NCDSSvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ncfilemon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NCIPFLT

主要的就这4个。
然后,设置开始他们的权限,
点击相关键值,然后右击,在跳出的菜单中选择 权限。
这时候,点击 删除 按钮,删除所有用户
大致的顺序图

然后
添加everyone用户,设置如下

那4个键都这样设置。
这样,基本就没有大的问题了。
这个方法也适用于保护其他的驱动
不过,有一点要注意
在卸载s3前,请把刚才修改的everyone中的钩子都改为允许。
================================
加强型方法,建立在以上任意两种方法时候之后(绝对冷血的方法。)[需要ntfs分区为前提]
第一步,找到s3的安装目录。
第二步先找到以下文件
安装目录\NCDSGUI**
安装目录\ncappctl.dll
安装目录\NCDSSvc**
%windir%\System32\drivers\ncfilemon.sys(这个文件不一定存在。)
%windir%\system32\DRIVERS\ncipflt.SYS
设置他们的权限,和第二种方法的设置差不多,不重复了。
具体设置如下:
新增一个everyone帐户
设置 拒绝 删除
还有把所有的和写入有关的都设置为 拒绝。
这样就相当于fd的保护了,当然还有更为详细的设置,如果你了解的他们的含义的话可以设置出更为有效的防御。
同样的,这个方法也适用于任何文件的保护。

Related posts

[原创->软件->防火墙->ZA->探索] 卡巴与zass的一些细节内容

是谁在执行监控?====================================================================
我们采用比较法来解释看看zass的hook结构。
先看看我以前截取的卡巴6kis的hook节点,

然后看看zass的hook
====================================================================
可以看出,基本卡巴的监控都被za抢去了饭碗,所以,病毒监控的工作就算是有,也是za自己完成的,并非卡巴的监控引擎。
==================================================
可否用直接卡巴的病毒库文件升级?
==================================================

其实我一开始升级的时候,面对龟速的升级条,恨不得直接拿卡巴的离线包来升级。可惜结果不容乐观。
卡巴的默认病毒库放在c:\Documents and Settings\All Users\Application Data\的卡巴目录下面
可是现在却没有。
那么卡巴的文件在哪里呢?
安装的时候发现很多文件都安装在c:\WINDOWS\system32\ZoneLabs这个下面
卡巴的文件都在c:\WINDOWS\system32\ZoneLabs\avsys下面
病毒就在:c:\WINDOWS\system32\ZoneLabs\avsys\bases里面,

以后备份的时候,直接备份这个目录就不用再次下载卡巴的毒库了。
内容和卡巴kis6的一样,甚至还保留了fwpresets.ini这个kis防火墙的预置规则,嘿嘿,看来za并没有仔细研究卡巴的病毒库文件结构!
====================================================
卡巴的原版驱动是否在底层工作?
====================================================

c:\WINDOWS\system32\ZoneLabs\avsys\instdrivers\w2kxp32
打开这个目录,问题就解决了,kis的原始驱动就在哪里,还包含inf安装文件,
而且很正大光明的出现在内存列表里。
===================================================
说这些为了说明什么?
==================================================

监控是za,驱动是卡巴的,病毒库是卡巴的,调用的模块签名确是za的。
看来,za重新写了监控模块,那么,基本上两家公司的合作看来是源代码的交流,单靠外部api接口交互没有这么好的稳定性。
所以,对于杀毒能力,结论就出来了。
杀毒能力=卡巴6
监控能力不等于卡巴6
具体是强还是弱,这个要靠大家的感觉了,反正测试完后,我就没开那个模块(太卡)。
==================================================
关于卡巴的key
==================================================
卡巴的key依然出现在za中
位于c:\WINDOWS\system32\ZoneLabs\avsys
下面
过期日到2009-12月,能不能用在kav上不清楚,但是za上觉对够用了。
另外,这个key支持api和模块的更新,所以卡巴的引擎bug也会跟着修复。
刚用za 1天,说的不对别拍我啊。。。。。

Related posts