其他

2007-08-16這段時間忙著寫監控autorun.inf的小東東，現已完成了90%，也許下周可以發一個beta測試版……在這之前，寫了一個提取可疑檔案說明符的網頁，用來提取分析後的log中的可疑項中的檔案說明符 2007-06-231、這個新增的 啟動項 是在　瑞星卡卡安全助手 裡發現的2、發現Windows  提供的INI檔案操作API讀取到的資料有時不完整，於是自已寫了一個INI檔案讀取分析的代碼 2007-06-04近期惡意程式利用 映像劫持

endurer　原創2006-09-12 第1版有一位朋友，他把移動硬碟接到電腦上使用，上午還正常，但下午用時則有資料保護的出錯提示資訊。該朋友電腦使用的是Win XP SP2，因未連網，所以不能從網上下載 HijackThis 等軟體來分析。打工作管理員，發現一個名為wincfgs.exe的進程，表徵圖為一個黃色問號，十分可疑，終止了。開啟命令提示字元視窗搜尋檔案：/------------C:/Documents and Settings/user>attrib /wincfgs*.*

BoBoTurbo.EXE,100多個svhost.exe2endurer 原創2008-04-24 第1版(續1)開始修複~到 http://purpleendurer.ys168.com 下載 bat_do 和 FileInfo。用 FileInfo 提取log中紅色標記的檔案資訊，用 bat_do 將 log中紅色標記的檔案 打包備份並延時刪除。到 http://endurer.ys168.com 下載 IceSword備用。把 c:/windows/system32 和

今年的金球獎真無聊　　足球場上，最令人難受的就是看巴西球員和法國球員踢球。因為這兩類球員踢球花哨太多，陰氣太重，巴西球員更帶一絲妖氣。缺少男人最基本的陽剛之美……　　所以巴西球員卡卡拿金球獎真無聊，手捧世界盃和歐洲冠軍杯的皮爾洛完全比他更有資格拿獎……　　羅米終於回博卡了，真想看他們的比賽…… 

endurer 原創2007-06-15 第1版一位網友說他的電腦不管開啟什麼網站的網頁，顯示的都是hxxp://218.*1*.1*4.170的VIP1.HTM、VIP2.HTM等。hxxp://218.*1*.1*4.170/VIP1.HTM 的內容採用US-ASCII編碼。到http://purpleendurer.ys168.com 下載US-ASCII編碼解碼程式進行解碼，得到的內容包含JavaScript指令碼代碼，功能是下載 檔案 611.exe，儲存為 c:/Microsoft.

BoBoTurbo.EXE,100多個svhost.exe1endurer 原創2008-04-21 第1版開機後多次提示 NSIS 出錯，虛擬記憶體不足，電腦反應很慢。好不容易開啟工作管理員一看，居然有170多個進程，其中大部分是 svchost.exe。運行 cmd.exe 開啟命令提示字元視窗。把 BoBoTurbo.EXE、explorer.exe 及 所有屬於使用者 user 的 svchost.exe

免費軟體“瑞星殺毒助手”說明和下載簡介:瑞星是我最信賴的國產殺毒軟體，在使用瑞星殺毒軟體的過程中，感覺有些地方操作不便；另外，手工清除病毒、木馬等程式也需要一定的知識和技術。因此，我用MASM32寫了這個程式，既針對瑞星軟體的不足提供臨時的改進方案，也簡化了手工清除病毒、木馬等程式的操作，減輕工作量。 它可以：1.儲存瑞星查殺結果清單2.刪除瑞星發現的病毒檔案3.幫你開啟瑞星提示要先解壓的檔案,你再刪除病毒檔案就行了......4.幫你修改病毒檔案名稱5.下次啟動時自動刪除病毒檔案......6

資訊源:駭客基地 廣告  一、概要: 　　為了能夠好好的讓IIS運行穩定，俺主要介紹用於最佳化專用的 Windows 2000 Web 服務器效能的一點方法。二、禁用不必要的服務: 　　禁用專用 Web 服務器不需要的 Windows 2000 服務。方法是：單擊開始，依次指向程式、管理工具，然後單擊電腦管理。在“電腦管理（本地）”下，展開“服務和應用程式”，然後單擊服務。當前所運行服務的狀態 列中顯示已啟動 。以下服務是專用 Web 服務器上不需要的： 　　警報器 　　剪貼簿 　　電腦瀏覽器

再打機器狗comint32.sys,fat32.sys,tk71ov01.sys等2endurer 原創2008-03-13 第1版(續：再打機器狗comint32.sys,fat32.sys,tk71ov01.sys等1)先到 http://purpleendurer.ys168.com 下載 FileInfo、bat_do對log中的可疑檔案進行資訊提取、打包和延時刪除。接著開始清理病毒的啟動項。到 http://endurer.ys168.com 下載 HijackThis，掃描並修複O2

MBR rootkit Mebroot: A tough threat to securityMebroot：感染硬碟主引導記錄的rootkit、惡煞般的安全威脅Author: Arun Radhakrishnan作者：Arun RadhakrishnanCategory: News, Security分類：新聞，安全Tags: Software, Malware, F-Secure Corp., Security Software, Rootkits, Security, Spyware,

endurer 原創2007-02-05 第1版網站首頁被加入代碼：/------＜iframe height=0 width=0 src="hxxp://www.g**ao**jun***888.com/4"＞＜/iframe＞------/開啟網頁4 中包含Javascript代碼，輸出一段加入多餘空格、使用escape()加密的VBScript指令碼程式。該VBScript指令碼程式利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject

利用SEH進行反跟蹤;我這裡不想對 SEH 進行掃盲;當一個程式被調試時，遇到了int 3，那麼調試器會中斷。;當一個程式正常執行時，遇到了int 3，就產生了異常。系統會報錯。如果我們設定了SEH，那麼系統就;暫時不會報錯，然後把處理權交給 SEH。我們在裡面做一些手腳，就可以判斷軟體是否被跟蹤了。;下面貼上我寫的一個常式:.386.model flat, stdcalloption casemap:noneinclude windows.incinclude

監視遠程線程的建立作者: 一塊三毛錢郵件: zhongts@163.com日期: 2004.12.29    遠程線程技術被大量的使用在木馬、蠕蟲等軟體當中，通過在別的進程中插入線程的方式運行代碼，具有相當高的隱蔽性。比如常見的 Explorer.exe 進程中有十幾個線程同時運行，在其中插入一個線程後，誰也分辨不出來哪個就是插入的遠程線程。本文提供了一種方法可以監視遠程線程的建立活動，記錄下來遠程線程的 ID

在網頁輸入漢字時彈出啟動對話方塊，原來是IETool.dll等搗鬼endurer 原創2008-05-30 第1版一位同事的電腦，最近重裝系統後，出現了奇怪的現象：在網頁輸入漢字時彈出啟動對話方塊，提示螢幕放大鏡等程式未啟動，是否啟動。請偶幫忙檢修看看。運行 瑞星卡卡安全助手分析，發現了下面 pe_xscan 的log中的幾個可疑項，將它禁用後，重啟電腦，故障消失。於是在瑞星卡卡安全助手中恢複這些項目，並用 pe_xscan 掃描 log，然後再禁用和刪除：pe_xscan 08-04-26

遭遇auto.exe,Hack.ArpCheater.a(ARP欺騙工具),Trojan.PSW.ZhengTu等2endurer 原創2007-07-24 第1版很奇怪，今天中午在一位網友的電腦遇到與此相似的東東，pe_xscan 的 log 中的 O2、O4、O23、O24都相似，各盤下也有auto.exe，但多了一個：O20 - AppInit_DLLs:

在用masm32編寫示範利用WH_JOURNALRECORD 和 WH_JOURNALPLAYBACK鉤子記錄和回放 鍵盤+滑鼠 操作程式程式op_record中發現的一個資源使用方面的問題/技巧。（op_record程式可以到http://purpleendurer.ys168.com下載，其中/myworks/demo_only目錄下的op_rocord.rar為示範版本，/myworks/tools目錄下的op_rocord.rar為具有實用功能的版本，程式介面圖可看：【原創】用MASM3

endurer　原創2006-09-10 第1版有位網友的電腦的案頭莫名其妙地出現了名為sohu遊戲的表徵圖，到控制台的“添加刪除程式”卸載以後，下次系統啟動時又出了。並發來了 HijackThis（你可以到 http://endurer.ys168.com 下載）掃描的log。在 log 發現如下可疑項目：/--------------HijackThis_zww漢化版掃描日誌 V1.99.1儲存於      21:33:37, 日期 2006-9-10作業系統：  Windows XP

　　一位同事的電腦中IE一直使用265網址導航作首頁，這天忽然變成hxxp://www.COXDX.INFO/?z012了，修改不回來，請我幫忙檢修。　　開啟Internet選項，手動修改首頁為http://www.265.com/，但總不能生效。將該電腦中的360殺毒軟體的即時監控禁用，下載安裝金山衛士檢修，沒有檢查出問題。　　使用pe_xscan掃描日誌並分析，發現如下可疑項： pe_xscan 11-03-17 by Purple Endurer2011-6-30

endurer　原創2006-06-26　第3版 補充：Kaspersky確認為病毒：Trojan.Win32.Agent.ut2006-06-26　第2版 補充：Kaspersky（2006-06-26

 一位網友想在空間裡引用網頁http://www.xiami.com/song/1769156926 裡Joseph McManners演唱的《In Dreams》，但找不到，向我救助。 在Maxthon