Category “电脑技术”

破解软件壳的介绍已经脱壳常用思路

星期三, 12 五月, 2010

一、概论

壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和加密壳两种
UPX ASPCAK TELOCK PELITE NSPACK …
ARMADILLO ASPROTECT ACPROTECT EPE SVKP …
顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳是程序输入表等等进行加密保护。当然加密壳的保护能力要强得多!

二、常见脱壳方法
 
 预备知识

1.PUSHAD (压栈) 代表程序的入口点,
2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近
3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。

方法一:单步跟踪法
1.用OD载入,点“不分析代码!”
2.单步向下跟踪F8,实现向下的跳。也就是说向上的跳不让其实现!(通过F4)
3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——>运行到所选)
4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现!
5.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,不然程序很容易跑飞,这样很快就能到程序的OEP
6.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入
7.一般有很大的跳转(大跨段),比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就会到程序的OEP。

Btw:在有些壳无法向下跟踪的时候,我们可以在附近找到没有实现的大跳转,右键–>“跟随”,然后F2下断,Shift+F9运行停在“跟随”的位置,再取消断点,继续F8单步跟踪。一般情况下可以轻松到达OEP!
 
方法二:ESP定律法
ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!)
1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色)。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值)
2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车!
3.选中下断的地址,断点—>硬件访—>WORD断点。
4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP。

方法三:内存镜像法
1:用OD打开软件!
2:点击选项——调试选项——异常,把里面的忽略全部√上!CTRL+F2重载下程序!
3:按ALT+M,打开内存镜象,找到程序的第一个.rsrc.按F2下断点,然后按SHIFT+F9运行到断点,接着再按ALT+M,打开内存镜象,找到程序的第一个.rsrc.上面的.CODE(也就是00401000处),按F2下断点!然后按SHIFT+F9(或者是在没异常情况下按F9),直接到达程序OEP!
方法四:一步到达OEP
1.开始按Ctrl+F,输入:popad(只适合少数壳,包括UPX,ASPACK壳),然后按下F2,F9运行到此处
2.来到大跳转处,点下F8,到达OEP!

方法五:最后一次异常法
1:用OD打开软件
2:点击选项——调试选项——异常,把里面的√全部去掉!CTRL+F2重载下程序
3:一开始程序就是一个跳转,在这里我们按SHIFT+F9,直到程序运行,记下从开始按SHIFT+F9到程序运行的次数m!
4:CTRL+F2重载程序,按SHIFT+F9(这次按的次数为程序运行的次数m-1次)
5:在OD的右下角我们看见有一个”SE 句柄”,这时我们按CTRL+G,输入SE 句柄前的地址!
6:按F2下断点!然后按SHIFT+F9来到断点处!
7:去掉断点,按F8慢慢向下走!
8:到达程序的OEP!

方法六:模拟跟踪法
1:先试运行,跟踪一下程序,看有没有SEH暗桩之类
2:ALT+M打开内存镜像,找到(包含=SFX,imports,relocations)

内存镜像,项目 30
地址=0054B000
大小=00002000 (8192.)
Owner=check    00400000
区段=.aspack
包含=SFX,imports,relocations
类型=Imag 01001002
访问=R
初始访问=RWE
 
3:地址为0054B000,如是我们在命令行输入tc eip<0054B000,回车,正在跟踪ing。。

Btw:大家在使用这个方法的时候,要理解他是要在怎么样的情况下才可以使用

方法七:“SFX”法
1:设置OD,忽略所有异常,也就是说异常选项卡里面都打上勾
2:切换到SFX选项卡,选择“字节模式跟踪实际入口(速度非常慢)”,确定。
3:重载程序(如果跳出是否“压缩代码?”选择“否”,OD直接到达OEP)

Btw:这种方法不要滥用得好,锻炼能力为妙。

拼音打字快打有哪些小窍门

星期三, 12 五月, 2010

除了少数专业的打字员,大部分人都用拼音打字,使用最多的也是最方便的可能就是标准拼音也就是智能ABC了。如果不会用五笔打字,智能ABC用起来确实很方便。而且熟练了也会很快。当然也还可以多学些加快速度的方法吧。这里收集整理了若干帮助条文,加上使用中一些心得,一并放在空间里,给大家方便,自己也方便查阅。

  一、这是最简单的,词组。

  当要输入“棉袄”一词的拼音“mianao”时,肯定是出不来这个词的,因为ao字是零声母,不过要是在“mian”和“ao”之间输入一个分隔符——‘(即单引号),棉袄就有了,你可以试一试,以此类推,晚安——wan’an,骄傲——jiao’ao……

  二、快捷输入英文:

  无须切换,在中文输入状态下先输入一个”v“,然后再敲入你需要的英文就搞定了:vlove——love,若需要大写则按Shift。 –

  三、快速输入符号和单位,你只须先输入一个“v”,然后接着输入数字1—9中的任意一个,就可得到不同符号,具体功能如下:

  输入:   得到的符号类型 –

  “v1”   各种常用的和不常用的标点符号 –

  “v2”   各种类型的数字 –

  “v3”   常用符号 –

  “v4”   日语假名 –

  “v5”   注音 –

  “v6”   各种语言的基本字母 –

  “v7”   同上 –

  “v8”   汉语拼音 –

  “v9”   线形特殊符号   –

  四、输入中文小写的数字是件挺麻烦的事,挨个去找很浪费时间。不过,掌握了技巧,它也就没那么难了。

  只要先输入一个“i”,再加上数字1—9中的某个你要输入的数,这个数的中文小写就出来了。 –

  智能ABC还提供了单位的快速输入,所用热键同样是“i”,采用“i+单位缩写”,比如要输入“厘米”,则只要键入“icm”即可。输入“万”、“千”、“百”、“十”等的方法是在其声母前加“i”,如输入“千”,只需键入“iq”就可以。 –

  对一些常用量词也可简化输入,输入“ig”,按空格(或回车键),将显示“个”;系统规定数字输入中字母的含义为: –

  g [个]、s [十,拾]、b[百,佰]、q[千,仟]、w[万]、e[亿]、z[兆]、d[第]、 –

  n[年]、y[月]、r[日]、t[吨]、k[克]、$[元]、h[时]、f[分]、l[里]、 –

  m[米]、j[斤]、o[度]、p[磅]、u[微]、i[毫]、a[秒]、c[厘]、x[升] –

  五、输入大写数字:

  要在智能ABC中输入大写的数字,如“一”、“二”、“三”或“壹”、“贰”、“叁”,需要使用的快捷键就是“i”和“I”键。比如要输入“三”,只要键入“i3”,要输入“贰”,只要键入“I2”(按住“Shift+i”,即可输入“I”)即可。 –

  六、输入中文日期:

  在智能ABC中快速输入年月日的方法与其他输入法相似,使用“n”、“y”、“r”来分割“年”、“月”、“日”,只是要输入前,还要加上“i”,如要输入“二00七年五月八日”,只需键入“i2007n5y8r”即可。大小写的“i”,会有不同收获,参看上条。

  七、笔形输入:

  智能ABC 不是一种纯粹的拼音输入法,而是一种音形结合输入法。因此在输入拼音的基础上如果再加上该字第一笔形状编码的笔形码,就可以快速检索到这个字。笔形码所代替的笔形为:1 横 2 竖 3 撇 5 左弯钩 6 右弯钩 7 十字交叉 8 方框。例如输入“吴”字,输入:wu8 即可减少检索时翻页的次数,检索范围大大缩小。

  八、强制记忆功能:

  强制记忆功能是指将需要经常使用的字符串强制添加到用户词库中,如果仅仅把它当作是造词功能的一种扩展,就太小瞧它了。以向词库中强制添加“老牛”这个词语为例,在智能ABC 的输入条上右击,在展开的右键菜单中选择“定义新词”,这时将打开“定义新词”对话框,在“新词”栏中输入“老牛”,接着在“外码”栏中输入老牛的英文缩写“ln”。以后可以用以下方法输入:在输入条中输入“uln”(前面加了一个u) ,这时词条“老牛”就会出现在输入条中,再按空格键即可使之上屏。切记,要先输一个u 。 –

  九、中途定位:

  当你打完一个词组却发现上屏的光标位置有误,别着急,不用重新来过,直接按方向键左右移动到新位置,再按空格上屏,就可以了。不过这不通用,记事本可以的。 –

  以前的word97也是可以的,现在的Office2003就不行了。 –

  十、朦胧回忆:

  智能ABC 在输入的过程当中会自动记忆用户输入的历史情况,对于刚刚用过不久的词语,使用最简单的方法依据不完整的信息进行回忆,从而方便地输入用过的词语。若要重复刚刚输入过的词条,可以按组合键Ctrl +-,比如刚刚输入了“天堂苏州”这个词,紧接着再按Ctrl +-,词语“天堂苏州”就又被输入,回忆在输入内容比较单一、输入内容频繁重复的情况下使用起来非常有效。 –

  还有些常规的不常用容易忘记,一并记在这里,算是备忘: –

  全半角切换:按 shift+space(上档键加空格)就可以了。比如~和~,全半角不一样的。 –

  中英文标点符号切换:按ctrl+.(控制键+句号)就可以了。比如 . 和

  。¥和$ 还有……和^。 –

  -

  有时候打一个字忘了拼写,我们就打词,然后去掉词里多余的那个字就得到我们想要的。其实可以这样:打出词的拼写以后,按“[”得到这个词的第一个字;按“”得到这个词的最后一个字。比如打“yyh[”就得到“音”字。不过这个方法有时候行有时候不行,可能和键盘类型或者ABC的版本、或者是操作系统的版本有关,还没弄明白。 –

  接下来是些趣味打字,不常用: –

  1、↖↗↘↙怎么打?ALT+43081,43082,43083,43084 –

  2、嗯。这个字全拼可以直接打en,标准(也就是智能ABC)要打n88 才有。 –

  3、囍。ALT+821206 按下ALT再按数字键,打完数字键放开ALT就上屏了。如果要在word里用,先用记事本打,然后粘贴。 –

  还有些是比较初级的,多半使用者都知道,也有可能不知道的,一并写在下面: –

  单字快打:z–在;m–没;a–啊;b–不;c–才;n–年;x–小;s–是;d–的;f–发;h–和;g–个……余类推。 –

  双字组: sm–什么;zd–知道;my–没有;wm–我们;mn–明年;hj–环境……余类推。 –

  三字组: ymy–有没有;hbh–会不会;gcd–共产党;mzd–毛泽东;ybf–一部分……余类推。 –

  四字成语:很多常用成语都可以一次打出,比如mmhh——马马乎乎;brgh——病入膏肓;mxy——莫须有;mmqm——莫名其妙;bfbz——百发百中;wangmeizhike——望梅止渴;fanrongchangsheng——繁荣昌盛;jplj——筋疲力尽;buhuangduorang——不遑多让……余类推。 –

  上述例举只是一部分,用多了自然会有新发现。ABC的词频调整如果打开,则会根据个人打字习惯的不同和当前打字词组的出现频率,自动将最常用的字和词组调整到最前面,无须选字,直接按空格键就上屏,很方便。如果临时打文章改变了首字或首词组,想回到原来习惯了的状态,只要关闭当前打字的文稿,重新再开新文稿,就行了。 –

  意犹未尽,再说些智能ABC输入法相关的题外话。当年windows98的时候,智能ABC输入法有个人词库,系统会根据各人的打字习惯将最常用的词组记忆下来,使用时间越长,惯用词组就记忆得越多越全,会越打越方便、顺手和快捷,进入WinXP的时期,这个词组记忆词库功能取消了,莫名其妙,实在令人想不通,或许是微软为了推广它自己的输入法,故意削弱智能ABC吧,可是也没见几个人改用那个什劳子微软拼音输入法,毕竟那是要改变已有的打字习惯相当于从头学打字的,有几个人愿意做这种没必要的傻事呢。 –

  和微软输入法犯同样毛病的是时下层出不穷的新输入法,但是很少有用惯了智能ABC又去改新输入法的,尽管新输入法确实有很多优点,比如庞大而完备的词库和强大的词组记忆功能,但是要求别人彻底改变已有的打字习惯,从头再来,重新适应和建立新的习惯,这工程也过于浩大了。就如同凌空建阁,根本上是靠不住的。除非本来就是新手。

华硕主板命名规则

星期三, 12 五月, 2010

前两位代表支持平台,P5—775,P4,478,A8-939
K8-754,A7-462,M2 -940
第三位代表芯片组, G-915,A-925,L-945,W-955,
V-VIA, S-SIS, N-NVIDA, R-ATI, U-ULI
第四,五位代表内存系支持,D1-DDR1,D2-DDR2
DC- DDR1&DDR2
后缀: X代表X系列, MX,VM代表集成显卡,小板.
–V:代表集成显卡,大板。
DELUXE-豪华, PREMIUM—白金
WIFI-AP—附代WIFI 模组.

端口映射排除法

星期三, 12 五月, 2010

很多人在用SHARE时经常卡在端口映射上。甚至有些时候设置是对的,但是因为宽带服务商的问题,认为自己设置错了。端口映射的方法网上有,我就不说了。这里写了一个排除路由器端口映射问题的方法,供参考。

因为本方法是本机获得独立IP,所以无需端口映射。

1.在路由上找WAN口,有WAN的字,把线拔下来,插到其他空闲的孔。检查各孔对应的灯是否亮了。
2.回到本机,点网上邻居,点查看网络连结,点创建一个新的连接,点下一步,点下一步,选手动设置我的连接,点下一步,选用要求用户名和密码的宽带来连接,点下一步,ISP名称可以乱输入,点下一步,用户名和密码输入,点下一步,点完成。(前提:已经记下上网帐号和密码)
3.在本机用新建的拨号上网。
4.打开SHARE,如果不能正常运行,证明本地SHARE设置有问题。若能正常运行,则本地的设置至少是没问题的。再有问题可能就出在路由器上。

PS:建议SHARE端口号为5位数。

恢复方法:

1.把原来WAN口的那根线插回原来的地方。
2.回到本机,点网上邻居,点查看网络连结,删除刚才新建的那个网上连接。

OK,恢复正常上网。

纯dos安装操作系统的步骤

星期三, 12 五月, 2010

1.先备份自己系统盘的资料,比如我的文档里自己的东西,收藏夹里的收藏,主板,声卡,显卡,网卡,拨号程序,要先准备好,也可以用驱动精灵先备份下来,拨号设置也要先记下来.(XP自带很多驱动,旧的机器会自动识别安装)
2.下载安装文件,解包到别的分区,可能用WINRAR解压,查找序列号文件,记下来备用.番茄园,河套下载基地等都可以下载的系统
3.下载一个虚拟软盘启动或者矮人DOS工具箱,或者MAXDOS,解包运行添加到启

假设你的xp安装文件在d盘(FAT32格式)的winxp盘里面:

进入dos以后,依次输入下面的命令:

a:>format c:/q 快速格式化c盘

a:>smartdrv.exe 运行smartdrv.exe程序,不然安装会很漫长

a:>d: 进入d盘

d:>cd winxp

d:\winxp>cd i386

d:\>winxp\i386>winnt

然后就是安装界面了,后面的步骤基本上就是中文的了

Regsvr 32命令的注册和反注册

星期二, 11 五月, 2010

注册了以下dll文件 修复IE
regsvr32 actxprxy.dll
regsvr32 shdocvw.dll
regsvr32 mshtml.dll
regsvr32 urlmon.dll
regsvr32 msjava.dll
regsvr32 browseui.dll
regsvr32 oleaut32.dll
regsvr32 shell32.dll
regsvr32 jscript.dll
其他重要REGSVR32

regsvr32 /u zipfldr.dll
regsvr32 shimgvw.dll
regsvr32 /u scrrun.dll
regsvr32 /u scrrun.dll
添加/删除程序打不开了

regsvr32 appwiz.cpl
regsvr32 mshtml.dll
regsvr32 jscript.dll
regsvr32 msi.dll
regsvr32 “c:\program files\common files\system\ole db\oledb32.dll”
regsvr32 “c:\program files\common files\system\ado\msado15.dll”
regsvr32 mshtmled.dll
regsvr32 /i shdocvw.dll
regsvr32 /i shell32.dll

XP的用户帐户打不开:
regsvr32 nusrmgr.cpl
regsvr32 mshtml.dll
regsvr32 jscript.dll
regsvr32 /i shdocvw.dll
系统还原打不开:
regsvr32 jscript.dll
regsvr32 vbscript.dll

一、能够帮你轻松修复IE浏览器
  很多经常上网的朋友都有过这样的遭遇:IE不能打开新的窗口,用鼠标点击超链接也没有任何反应。这时重装IE一般能解决问题。其实不必这么麻烦,使用Regsvr32命令就可以轻松搞定。

  在“开始→运行”中键入“regsvr32 actxprxy.dll”命令,点击“确定”按钮,这时会弹出一个信息对话框“DllRegisterServer in actxprxy.dll succeeded”,点击“确定”;然后再在“开始→运行”中键入“regsvr32 shdocvw.dll”命令,单击“确定”即可。重新启动后IE已经被轻松修复了。

  二、解决Windows无法在线升级的问题
  Windows的漏洞很多,每隔一段时间就需要使用“Windows Update”升级程序进行在线升级,不过“Windows Update”经常出现无法使用的情况,这时,我们可以使用Regsvr32来解决这个问题。

  在“开始→运行”中键入“regsvr32 wupdinfo.dll”,点击“确定”按钮,这样在系统中就重新注册了“Windows Update”组件,重新启动后问题已经解决。

  三、防范网络脚本病毒有新招
  网络脚本病毒嵌在网页中,上网时在不知不觉中机器就会感染上这种病毒。笔者认为单纯使用杀毒软件并不能有效地防范这些脚本病毒,必须从病毒传播的机理入手。网络脚本病毒的复制、传播都离不开FSO对象(File System Object,文件系统对象),因此禁用FSO对象就能有效地控制脚本病毒的传播。操作方法很简单:

  在“开始→运行”中键入“regsvr32 /u scrrun.dll”就可以禁用FSO对象;如果需要使用FSO对象,键入“regsvr32 scrrun.dll”命令即可。

  四、卸载Win XP自带的“鸡肋”功能
  Win XP以功能强大而著称,但有些功能却常常令人有“鸡肋”之感,比如Win XP自带的ZIP功能和图片预览功能,不仅占用了系统资源,功能也远不如第三方软件强大。其实用Regsvr32命令可以很容易地卸载这些功能。

  在“开始→运行”中键入“regsvr32 /u zipfldr.dll”,单击“确定”按钮,弹出卸载成功信息框后就完成了ZIP功能的卸载;要恢复ZIP功能,键入“regsvr32 zipfldr.dll”即可。同样,卸载图片预览功能也很简单,在“开始→运行”中键入“regsvr32 /u thumbvw.dll”即可;如果要恢复该功能,只须键入“regsvr32 thumbvw.dll”。  
五、让WMP播放器支持RM格式
  很多朋友喜欢用Windows Media Player(以下简称WMP)播放器,但是它不支持RM格式,难道非得安装其他播放软件吗?笔者有办法。

  以Win XP为例,首先下载一个RM格式插件,解压缩后得到两个文件夹:Release(用于Windows 9x)和Release Unicode (用于Windows 2000/XP);将Release Unicode文件夹下的RealMediaSplitter.ax文件拷贝到“系统盘符\WINDOWS\System32\”目录下;在“开始→运行”中键入“regsvr32 RealMediaSplitter.ax”,点击“确定”即可。接着下载解码器,如Real Alternative,安装后就能用WMP播放RM格式的影音文件了。

命令格式

Regsvr32 [/s] [/n] [/i[:cmdline]] dllname

/u 卸载安装的控件,卸载服务器注册;

/s 注册成功后不显示操作成功信息框;

/i 调用DllInstall函数并把可选参数[cmdline]传给它,当使用/u时用来卸载DLL;

/n 不调用DllRegisterServer,该参数必须和/i一起使用。
#************************************************************************************************#

Regsvr32原来这么神奇
我的右键“设为桌面背景”按键没了,就用 regsvr32 shimgvw.dll 一条指令搞定了···厉害的太五体投地了

其他功能

  一、能够帮你轻松修复IE浏览器
  很多经常上网的朋友都有过这样的遭遇:IE不能打开新的窗口,用鼠标点击超链接也没有任何反应。这时重装IE一般能解决问题。其实不必这么麻烦,使用Regsvr32命令就可以轻松搞定。

  在“开始→运行”中键入“regsvr32 actxprxy.dll”命令,点击“确定”按钮,这时会弹出一个信息对话框“DllRegisterServer in actxprxy.dll succeeded”,点击“确定”;然后再在“开始→运行”中键入“regsvr32 shdocvw.dll”命令,单击“确定”即可。重新启动后IE已经被轻松修复了。

二、解决Windows无法在线升级的问题
  Windows的漏洞很多,每隔一段时间就需要使用“Windows Update”升级程序进行在线升级,不过“Windows Update”经常出现无法使用的情况,这时,我们可以使用Regsvr32来解决这个问题。

  在“开始→运行”中键入“regsvr32 wupdinfo.dll”,点击“确定”按钮,这样在系统中就重新注册了“Windows Update”组件,重新启动后问题已经解决。

  三、防范网络脚本病毒有新招
  网络脚本病毒嵌在网页中,上网时在不知不觉中机器就会感染上这种病毒。笔者认为单纯使用杀毒软件并不能有效地防范这些脚本病毒,必须从病毒传播的机理入手。网络脚本病毒的复制、传播都离不开FSO对象(File System Object,文件系统对象),因此禁用FSO对象就能有效地控制脚本病毒的传播。操作方法很简单:

  在“开始→运行”中键入“regsvr32 /u scrrun.dll”就可以禁用FSO对象;如果需要使用FSO对象,键入“regsvr32 scrrun.dll”命令即可。

  四、卸载Win XP自带的“鸡肋”功能
  Win XP以功能强大而著称,但有些功能却常常令人有“鸡肋”之感,比如Win XP自带的ZIP功能和图片预览功能,不仅占用了系统资源,功能也远不如第三方软件强大。其实用Regsvr32命令可以很容易地卸载这些功能。

  在“开始→运行”中键入“regsvr32 /u zipfldr.dll”,单击“确定”按钮,弹出卸载成功信息框后就完成了ZIP功能的卸载;要恢复ZIP功能,键入“regsvr32 zipfldr.dll”即可。同样,卸载图片预览功能也很简单,在“开始→运行”中键入“regsvr32 /u thumbvw.dll”即可;如果要恢复该功能,只须键入“regsvr32 thumbvw.dll”。  
五、让WMP播放器支持RM格式
  很多朋友喜欢用Windows Media Player(以下简称WMP)播放器,但是它不支持RM格式,难道非得安装其他播放软件吗?笔者有办法。

  以Win XP为例,首先下载一个RM格式插件,解压缩后得到两个文件夹:Release(用于Windows 9x)和Release Unicode (用于Windows 2000/XP);将Release Unicode文件夹下的RealMediaSplitter.ax文件拷贝到“系统盘符\\WINDOWS\\System32\\”目录下;在“开始→运行”中键入“regsvr32 RealMediaSplitter.ax”,点击“确定”即可。接着下载解码器,如Real Alternative,安装后就能用WMP播放RM格式的影音文件了。

  RM格式插件下载地址:http://www.fyrose.com/realmediasplitter_20030729.zip

  RM格式解码器下载地址:http://www.fyrose.com/realalt111.exe

  你知道吗?Regsvr32命令
  Regsvr 32命令是Windows中控件文件(如扩展名为DLL、OCX、CPL的文件)的注册和反注册工具。

  命令格式
  Regsvr32 [/s] [/n] [/i[:cmdline]] dllname

  /u 卸载安装的控件,卸载服务器注册;

  /s 注册成功后不显示操作成功信息框;

  /i 调用DllInstall函数并把可选参数[cmdline]传给它,当使用/u时用来卸载DLL;

  /n 不调用DllRegisterServer,该参数必须和/i一起使用。

  简单实例
  要手工注册“E:\\CPCW.dll”,只需在“开始→运行”中键入“Regsvr32 E:\\CPCW.dll”,单击“确定”按钮后会弹出提示信息“DllRegisterServer in CPCW.dll succeeded”,说明组件注册成功;如果要卸载此组件,在“开始→运行”中键入“Regsvr32 /u E:\\CPCW.dll”即可。
格式:regsvr32 [/s] [/n] [/i[:cmdline]] DLLname

使用参数——–解除服务器注册

使用参数[/s]——–无声;不显示消息框

使用参数———调用DllInstall,给其传递一个可选[cmdline];跟/u参数一起使用时卸载DLL。

使用参数[/n]——–不用调用DLLRegisterServer。这个参数必须跟/i一起使用。

实例1:IE无法打开新窗口

regsvr32 actxprxy.dll

regsvr32 shdocvw.dll

重启后如果还不能解决

regsvr32 mshtml.dll

regsvr32 urlmon.dll

regsvr32 msjava.dll

regsvr32 browseui.dll

regsvr32 oleaut32.dll

regsvr32 shell32.dll

实例2:IE无法保存HTML格式文件

regsvr32 inetcomm.dll

实例3:MSN无法登陆

regsvr32 softpub.dll

实例4:windows默认的文件关联混乱

regsvr32 /i shdocvw.dll

regsvr32 /i shell.dll

regsvr32 /i shdoc401.dll

实例5:Window server 2003中无法播放MP3

regsvr32 i3codeca.acm

regsvr32 i3codecx.ax

实例6:Windows添加/删除程序无法启动

regsvr32 mshtml.dll

regsvr32 /i shdocvw.dll

regsvr32 /i shell.dll

实例7 Windows搜索功能故障

regsvr32 urlmon.dll

实例8:禁止系统对媒体文件进行预览

regsvr32 /u shmedia.dll

恢复可用

regsvr32 shmedia.dll

实例9:卸载Win XP自带的zip功能

regsvr32 /u zipfldr.dll

实例10:禁用FSO对象

regsvr32 /u scrrun.dll
补充:

IE不能打开新的窗口
用鼠标点击超链接也没有任何反应的问题
网页显示不完整
JAVA效果不出现
网页不自动跳转
打开某些网站时总提示‘无法显示该页’
状态栏显示‘网页上有错误’的提示。
regsvr32 Shdocvw.dll
regsvr32 Oleaut32.dll
regsvr32 Actxprxy.dll
regsvr32 Mshtml.dll
regsvr32 Urlmon.dll
regsvr32 jscript.dll
——————————————————————————–

Windows无法在线升级
—-regsvr32 wupdinfo.dll
——————————————————————————–
XP系统的搜索功能、帮助和支持.管理工具等,打开无任何反应——regsvr32 shdocvw.dll
——————————————————————————–
控制面板中的添加/删除程序时,双击它的图标后无反应,或者打开后自动关闭了或打开后一片空白.
regsvr32 appwiz.cpl
regsvr32 mshtml.dll
regsvr32 jscript.dll
regsvr32 msi.dll
regsvr32 c:\program files\common files\system\ole db\oledb32.dll
regsvr32 c:\program files\common files\system\ado\msado15.dll
regsvr32 mshtmled.dll
regsvr32 /i shdocvw.dll
regsvr32 /i shell32.dll

——————————————————————————–
文件夹中不使用缩略图查看文件
2000: regsvr32 C:\Winnt\System32\thumbvw.dll
XP: regsvr32 shimgvw.dll
——————————————————————————–
搜索’功能的搜索助理操作面板空白及系统还原功能无法使用等。
regsvr32 vbscript.dll
regsvr32 jscript.dll
——————————————————————————–
.WINplayer 9打开时提示‘出现内部应用程序错误’,如图2:
regsvr32 jscript.dll
——————————————————————————–
恢复Windows默认的文件关联
rundl32l setup.dll,InstallHinfSection DefaultInstall 132 c:\windows\inf\shell.in
regsvr32.exe /i shdocvw.dll
regsvr32 /i shell32.dll
regsvr32.exe /i shdoc401.dll

——————————————————————————–
内存不能读写
除去硬件原因:如内存不兼容等。软件原因大部分也是.dll文件损坏。
当然如果是个别软件运行时出现这个问题,重装那个软件看看能不能解决。
需要修复的.DLL文件如下:
regsvr32 actxprxy.dll
regsvr32 shdocvw.dll
regsvr32 oleaut32.dll
regsvr32 actxprxy.dll
regsvr32 mshtml.dll
regsvr32 msjava.dll
regsvr32 browseui.dll
regsvr32 urlmon.dll

——————————————————————————–
注1:一个重要参数 /U(卸载.DLL或.ocx文件,导致系统错误)

如:regsvr32 /u jscript.dll 就会出现上图七中的错误.

是不是病毒都用这个阿!

——————————————————————————–
注2:有的系统故障要用注册很多个.dll文件,可以用记事本建一个文件,把那些命令拷贝进去.然后另存为”修复.bat”,运行”修复.bat”就可以修复了.

我的修复.bat,注册上面的所有.dll文件
regsvr32 Shdocvw.dll
regsvr32 Oleaut32.dll
regsvr32 Actxprxy.dll
regsvr32 Mshtml.dll
regsvr32 Urlmon.dll
regsvr32 jscript.dll
regsvr32 wupdinfo.dll
rundll32 setup.dll,InstallHinfSection DefaultInstall 132 c:\windows\inf\shell.inf
regsvr32.exe /i shdocvw.dll
regsvr32 /i shell32.dll
regsvr32.exe /i shdoc401.dll
regsvr32 shdocvw.dll
regsvr32 vbscript.dll

各类.DLL文件修复打包,可以下载试试。
注:如果你直接运行.BAT文件,会出现很多注册成功或失败的窗口,你要点的半死。
方法:运行————CMD。右键点击这个.BAT文件,在右键菜单中选择编辑。出现记事本窗口,把.BAT的内容复制,粘贴到CMD窗口。这样你
不需一次次点击确定。等全部注册完,关闭组就可以了
大家注册DLL或OCX的方法应该用Regsvr32.exe,用得多了大家一定会觉得在运行中写一长串东西很是烦人吧!这里我向大家介绍一种麻烦一次方便“一生”的方法。这个方法只要右击你想注册或反注册的OCX或DLL就可以了。它的原理是通过修改注册表使右击OCX或DLL文件时出现注册和反注册的菜单项。

下面介绍这个方法

注册DLL文件:打开HKEY_CLASSES_ROOR\Dllfile,新建项shell,再其下新建Register。你会发现Register就是右键弹出的菜单名,再在其下建command,修改其“默认值”为Regsvr32 %1

反注册DLL文件:打开HKEY_CLASSES_ROOR\Dllfile,新建项shell,再其下新建Unregister,再在其下建command,修改其“默认值”为Regsvr32 %1 /u。

注册和反注册OCX文件打开HKEY_CLASSES_ROOR\OCXfile,然后其它的方法和上面的一样的了。

右击一个OCX或DLL试试看,出现了我们想要的Register和Unregister菜单项。

Activex注册和反注册工具——Regsvr32

使用过Activex的人都知道,Activex不注册是不能够被系统识别和使用的,一般安装程序都会自动地把它所使用的Activex控件注册,但如果你拿到的一个控件需要手动注册怎么办呢?如果修改注册表那就太麻烦了,在Windows的system文件夹下有一个regsvr32.exe的程序,它就是Windows自带的Activex注册和反注册工具。它的用法为:

regsver32详解
regsvr32 [/s] [/n] [/i(:cmdline)] dllname

其中dllname为activex控件文件名,建议在安装前拷贝到system文件夹下。

参数有如下意义:

/u——反注册控件

/s——不管注册成功与否,均不显示提示框

/c——控制台输出

/i——跳过控件的选项进行安装(与注册不同)

/n——不注册控件,此选项必须与/i选项一起使用

如笔者要注册一amovie.ocx控件,则打入regsvr32 amovie.ocx即可,要反注册它时只需使用regsvr32 /u amovie.ocx就行了。
regsvr32 /s APIINEX.dll 注册DLL文件
regsvr32 /s /u APIINEX.dll 卸载DLL文件
regsvr32 Shortcut.ocx 注册ocx文件
regsvr32 /u Shortcut.ocx 卸载ocx文件

/s .dll,.ocx 注册成功后不显示提示信息。
/u .dll,.ocx 卸载
可把注册控件的命令放入批处理文件中。
regedit /s adofre15.reg
直接把注册信息注入注册表。

PPPOE错误代码(代码已更新到VISTA下)

星期二, 11 五月, 2010

遇到678的常见解决思路和步骤:

1、首先确认adsl modem拨号正常,因为网卡自动获取的IP没有清除,所以再次拨号的时候网卡无法获取

新的IP地址会提示678,操作方法是:关闭adsl modem,进入控制面板的网络连接右击本地连接选择禁用

,5秒钟后右击本地连接选择启用,然后打开adsl modem拨号即可;
2、如果第一步无效,则在关闭adsl modem的情况下,仍然禁用本地连接(网卡),重启计算机,然后启

用本地连接(网卡),再打开adsl modem即可解决;
3、如果上述步骤都无法解决,查看网卡灯是否亮,如果网卡灯不亮,参看派单知识库:“网卡灯不亮或

经常不亮”的解决方案
4、如果网卡灯正常1,2步无法解决则带领用户卸载网卡驱动,重装网卡驱动,如果用户xp系统按照:知

识编号:9973,如何在WINXP下设置ADSL拨号连接方法带领用户创建拨号连接,如果98系统建议用户安

装Raspppoe软件或者EHERNET300软件连接即可。
5、如果上述操作无效联系电信部门确认端口。

代码大全
ADSL PPPOE拨号出错部分故障代码简介:
Error 602 The port is already open
问题:拨号网络网络由于设备安装错误或正在使用,不能进行连接
原因:PPPoE没有完全和正确的安装
解决:卸载干净任何PPPoE软件,重新安装

Error 605 Cannot set port information
问题:拨号网络网络由于设备安装错误不能设定使用端口
原因:PPPoE没有完全和正确的安装
解决:卸载干净任何PPPoE软件,重新安装

Error 606 The port is not connected
问题:拨号网络网络不能连接所需的设备端口
原因:PPPoE没有完全和正确的安装,连接线故障,ADSL MODEM故障
解决:卸载干净任何PPPoE软件,重新安装,检查网线和 ADSL MODEM

Error 608 The device does not exist
问题:拨号网络网络连接的设备不存在
原因:PPPoE没有完全和正确的安装
解决:卸载干净任何PPPoE软件,重新安装

Error 609 The device type does not exist
问题:拨号网络网络连接的设备其种类不能确定
原因:PPPoE没有完全和正确的安装
解决:卸载干净任何PPPoE软件,重新安装

Error 611 The route is not available/612 The route is not allocated
问题:拨号网络网络连接路由不正确
原因:PPPoE没有完全和正确的安装,ISP服务器故障
解决:卸载干净任何PPPoE软件,重新安装,致电ISP询问

Error 617 The port or device is already disconnecting
问题:拨号网络网络连接的设备已经断开
原因:PPPoE没有完全和正确的安装,ISP服务器故障,连接线,ADSL MODEM故障
解决:卸载干净任何PPPoE软件,重新安装,致电ISP询问,检查网线和 ADSL MODEM

Error 619
问题:与ISP服务器不能建立连接
原因:ADSL ISP 服务器故障,ADSL电话线故障
解决:检查ADSL信号灯是否能正确同步。致电ISP询问

Error 621 Cannot open the phone book file

Error 622 Cannot load the phone book file

Error 623 Cannot find the phone book entry

Error 624 Cannot write the phone book file

Error 625 Invalid information found in the phone book
问题:Windows NT 或者 Windows 2000 Server 网络RAS网络组件故障
原因:卸载所有PPPoE软件,重新安装RAS网络组件和RasPPPoE

Error 630
问题:ADSL MODEM没有没有响应
原因:ADSL电话线故障,ADSL MODEM故障(电源没打开等)
解决:检查ADSL设备

Error 633
问题:拨号网络网络由于设备安装错误或正在使用,不能进行连接
原因:PPPoE没有完全和正确的安装
解决:卸载干净任何PPPoE软件,重新安装

Error 638
问题:过了很长时间,无法连接到ISP的ADSL接入服务器
原因:ISP服务器故障;在PPPoE所创建的不好连接中你错误的输入了一个电话号码
解决:运行其创建拨号的pppoe.exe检查是否能列出ISP服务,以确定ISP正常;把所使用的拨号连接中的

电话号码清除或者只保留一个0。

Error 645
问题:网卡没有正确响应
原因:网卡故障,或者网卡驱动程序故障
解决:检查网卡,重新安装网卡驱动程序

Error 650
问题:远程计算机没有响应,断开连接
原因:ADSL ISP 服务器故障,网卡故障,非正常关机造成网络协议出错
解决:检查ADSL信号灯是否能正确同步,致电ISP询问;检查网卡,删除所有网络组件重新安装网络。

Error 651
问题:ADSL MODEM报告发生错误
原因:Windows处于安全模式下,或其他错误
解决:出现该错误时,进行重拨,就可以报告出新的具体错误代码

Error 691
问题:输入的用户名和密码不对,无法建立连接
原因:用户名和密码错误,ISP服务器故障
解决:使用正确的用户名和密码,并且使用正确的ISP账号格式(name@service),致电ISP询问。

Error 718
问题:验证用户名时远程计算机超时没有响应,断开连接
原因:ADSL ISP 服务器故障
解决:致电ISP询问

Error 720
问题:拨号网络无法协调网络中服务器的协议设置
原因:ADSL ISP 服务器故障,非正常关机造成网络协议出错
解决:致电ISP询问,删除所有网络组件重新安装网络。

Error 734
问题:PPP连接控制协议中止
原因:ADSL ISP 服务器故障,非正常关机造成网络协议出错
解决:致电ISP询问,删除所有网络组件重新安装网络。

Error 738
问题:服务器不能分配IP地址
原因:ADSL ISP 服务器故障,ADSL用户太多超过ISP所能提供的IP地址
解决:致电ISP询问

Error 769
问题:网卡被禁用或网卡驱动没有正确安装
解决:检查网卡驱动是否正确安装。若网卡驱动正常,进入设备管理器,把被禁用的以太网卡状态设置

为启用,再重新连接即可。

Error 797
问题:ADSL MODEM连接设备没有找到
原因:ADSL MODEM电源没有打开,网卡和ADSL MODEM的连接线出现问题,软件安装以后相应的协议没有

正确绑定,在创立拨号连接时,建立了错误的空连接
解决:检查电源,连接线;检查网络属性,PPPoE相关的协议是否正确的安装并正确绑定(相关协议),

检查网卡是否出现?号或!号,把它设置为Enable;检查拨号连接的属性,是否连接的设备使用了一个

“ISDN channel – Adapter Name (xx)” 的设备,该设备为一个空设备,如果使用了取消它,并选择正

确的PPPoE设备代替它,或者重新创立拨号连接。
以下是针对VISTA系统下使用ADSL可能出现的错误代码:

798
找不到一个可以用于可扩展的身份验证协议的证书。

799
由于 一 IP 地址冲突,不能启用 Internet 连接共享访问 (ICS)。ICS 要求主机被配置为用

192.168.0.1。请确认网络上没有其它客户端被配置为用 192.168.0.1.

800
不能建立 VPN 连接。VPN 服务器可能不能到达,或者此连接的安全参数没有正确配置。

801
此连接被配置成验证访问服务器的身份,但是 Windows 不能证实服务器发送的数字证书。

802
无法识别所提供的卡。请检查卡是否正确插入,是否插接紧密。

803
保存在会话 cookie 中的 PEAP 配置和当前的会话配置不匹配。

804
保存在会话 cookie 中的 PEAP 标识和当前标识不匹配。

805
您不能在登录时使用此连接拨号,因为它被配置成使用登录后的用户身份证。

806
已启动计算机与 VPN 服务器之间的连接,但无法完成 VPN 连接。导致此问题的最常见原因是,您的计

算机和 VPN 服务器之间至少有一台 Internet 设备(例如防火墙或路由器)没有配置为允许通用路由封装

( GRE )协议包。如果问题仍然存在,请与您的网络管理员或 Internet 服务提供商联系。

807
计算机与 VPN 服务器之间的网络连接被中断。这可能是由于 VPN 传输过程中出现的问题所致,通常是

Internet 延迟或者仅是 VPN 服务器已到达容量限制的结果。请尝试重新连接到 VPN 服务器。如果问题

仍存在,请与 VPN 管理员联系并分析网络连接的质量。

808
无法建立计算机与 VPN 服务器之间的网络连接,因为远程服务器拒绝此连接。这通常是由于服务器配置

与连接设置不匹配所致。请与远程服务器的管理员联系以验证服务器配置和连接设置。

809
无法建立计算机与 VPN 服务器之间的网络连接,因为远程服务器未响应。这可能是因为未将计算机与远

程服务器之间的某种网络设备(如防火墙、NAT、路由器等)配置为允许 VPN 连接。请与管理员或服务提

供商联系以确定哪种设备可能产生此问题。

810
已启动计算机与 VPN 服务器之间的网络连接,但是 VPN 连接未完成。这通常是由于使用不正确的或过

期的证书来进行客户端与服务器之间的身份验证所致。请与管理员联系以确保用于身份验证的证书是有

效的。

811
无法建立计算机与 VPN 服务器之间的网络连接,因为远程服务器未响应。这通常是由于客户端与服务器

之间的预共享密钥问题所致。预共享密钥用于保证您在 IP 安全设置( IPSec )通信周期中所表明的身份

。请向管理员寻求帮助以确定预共享密钥问题来自何处。

812
由于 RAS/VPN 服务器上配置的某个策略,连接被阻止。特别是,服务器用于验证用户名和密码的身份验

证方法可能与连接配置文件中所配置的身份验证方法不匹配。请与 RAS 服务器的管理员联系并将此错误

通知给他们。

813
建立了前一个宽带连接的情况下,您在使用相同的设备或端口尝试建立另一个宽带连接。请断开前一个

连接,然后重新建立连接。

814
找不到宽带连接所需的基本以太网连接。在尝试此连接之前,请通过网络连接文件夹在计算机上安装并

启用以太网适配器。

815
无法在计算机上建立宽带网络连接,因为远程服务器未响应。这可能是由于此连接的“服务名称”字段

值无效所致。请与 Internet 服务提供商联系,询问此字段的正确值,并在连接属性中将其更新。

816
远程访问服务不再支持您试图启用的功能或设置。

817
当某连接处于连接状态时无法将其删除。

818
网络访问保护(NAP)强制客户端无法为远程访问连接创建系统资源。某些网络服务或资源可能不可用。如

果问题仍存在,请断开连接,重试远程访问连接,或与远程访问服务器的管理员联系。

819
网络访问保护代理( NAPAgent )服务已禁用或未在此计算机中安装。某些网络服务或资源可能不可用。

如果问题仍存在,请断开连接,重试远程访问连接,或与远程访问服务器的管理员联系。

820
网络访问保护( NAP )强制客户端无法注册网络访问保护代理( NAPAgent )服务。某些网络服务或资源可

能不可用。如果问题仍存在,请断开连接,重试远程访问连接,或与远程访问服务器的管理员联系。

821
网络访问保护( NAP )强制客户端无法处理请求,因为远程访问连接不存在。请重试远程访问连接。如果

问题仍存在,请确保可以连接到 Internet,然后与远程访问服务器的管理员联系。

822
网络访问保护( NAP )强制客户端无响应。某些网络服务或资源可能不可用。如果问题仍存在,请断开连

接,重试远程访问连接,或与远程访问服务器的管理员联系。

823
收到的加密绑定 TLV 无效。

824
未收到加密绑定 TLV 。

825
点对点隧道协议( PPTP )与 IPv6 不兼容。请将虚拟专用网络的类型更改为第二层隧道协议( L2TP )

826
缓存凭据的 EAPTLS 验证失败。请丢弃缓存凭据。

827
由于 IKE 和 AuthIP IPSec 密钥模块服务和/或基本筛选引擎服务未运行,因此 L2TP/IPSec 连接无法

完成。若要建立L2TP/IPSec 连接,上述服务是必需的。拨号连接前请确保这些服务已启用。

浅谈局域网ARP攻击的危害及防范方法

星期二, 11 五月, 2010

浅谈局域网ARP攻击的危害及防范方法 2009-11-17 1638 浅谈局域网ARP攻击的危害及防范方法
责任编辑:黑鹰编辑   更新日期:2009-10-31 885
本文网址: 
来源:安全中国

    您是否遇到局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常?您的网速是否时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常?您是否时常听到教职工的网上银行、游戏及QQ账号频繁丢失的消息?……

    这些问题的出现有很大一部分要归功于ARP攻击,我校局域网自去年5月份开始ARP攻击频频出现,目前校园网内已发现的“ARP攻击”系列病毒已经有了几十个变种。据检测数据显示,APR攻击从未停止过,为此有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。

    一、ARP的基本知识

    1、什么是ARP?

    ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。

    所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

    在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的,ARP协议对网络安全具有重要的意义。

    2、ARP协议的工作原理

    正常情况下,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;

    如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。

    如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。

    1. 要发送网络包给192.168.1.1,但不知MAC地址?

    2. 在局域网发出广播包“192.168.1.1的MAC地址是什么?”

    3. 其他机器不回应,只有192.168.1.1回应“192.168.1.1的MAC地址是00-aa-00-62-c6-09”

    从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。更何况ARP协议是工作在更低于IP协议的协议层,因此它的危害就更加隐蔽。

    二、ARP欺骗的原理

    ARP类型的攻击最早用于盗取密码之用,网内中毒电脑可以伪装成路由器,盗取用户的密码, 后来发展成内藏于软件,扰乱其他局域网用户正常的网络通信,下面我们简要阐述ARP欺骗的原理:假设这样一个网络,一个交换机连接了3台机器,依次是计算机A,B,C

    A的地址为:IP:192.168.1.1 MAC AA-AA-AA-AA-AA-AA

    B的地址为:IP:192.168.1.2 MAC BB-BB-BB-BB-BB-BB

    C的地址为:IP:192.168.1.3 MAC CC-CC-CC-CC-CC-CC

    第二步:正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。

    Interface 192.168.1.1 on Interface 0x1000003

    Internet Address Physical Address Type

    192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

    第三步:在计算机B上运行ARP欺骗程序,来发送ARP欺骗包。

    B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD MAC地址。

    第四步:欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。

    Interface 192.168.1.1 on Interface 0x1000003

    Internet Address Physical Address Type

    192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

    上面例子中在计算机A上的关于计算机C的MAC地址已经错误了,所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。

    当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。

    这就造成了无法访问外网的问题,另外由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了。下图更直观的展示了ARP欺骗攻击的情况:

    三、ARP欺骗的危害

    ARP类型的攻击在校园网中最早出现在去年5月份,目前校园网内的计算机所感染的“ARP欺骗”系列病毒已经有了几十个变种。根据这些变种的工作特点和外部特性大概可以分为三大类,其中“ARP欺骗”和“恶意窃听”两类对学校局域网的正常运行和网络用户的信息安全的威胁最大。

    ARP攻击只要一开始就造成局域网内计算机无法和其他计算机进行通讯,而且网络对此种病毒没有任何耐受度,只要局域网中存在一台感染“ARP欺骗”病毒的计算机将会造成整个局域网通讯中断。

    “恶意窃听”病毒是“ARP欺骗”系列病毒中影响和危害最为恶劣的。它不会造成局域网的中断,仅仅会使网络产生较大的延时,但是中毒主机会截取局域网内所有的通讯数据,并向特定的外网用户发送所截获的数据,对局域网用户的网络使用造成非常非常严重的影响,直接威胁着局域网用户自身的信息安全。

    四、出现ARP攻击的原因及特征

    一个正常运行的局域网是不应该出现ARP攻击的,经过长时间的观测,发现ARP攻击的出现主要是由以下几个原因造成的:

    1、人为破坏

    主要是内网有人安装了P2P监控软件,如P2P终结者,网络执法官,聚生网管,QQ第六感等,恶意监控其他机器,限制流量,或者进行内网DDOS攻击。

    2、木马病毒

    传奇、跑跑卡丁车、劲舞团等游戏外挂,如:及时雨PK版,跑跑牛车,劲舞小生等,他内含一些木马程序,也会引起ARP欺骗。

    其实真正有人恶意捣乱的是很少的,一次两次捣乱,次数多了自己也就腻了,更何况事后网管肯定会找到捣乱的主机,所以说人为破坏是比较好解决的。最麻烦的就是使用带木马的游戏外挂和浏览带有恶意代码的网页。

    当出现ARP攻击后最明显的特征是网络频繁掉线,速度变慢,查看进程你会发现增加了 down.exe 1.exe cmd.exe 9sy.exe中的任意一个或多个,严重的还能自动还下载威金病毒,logo_1.exe.rundl132.exe,感染可执行文件,图标变花还。

    五、常用的防范方法

    目前ARP系列的攻击方式和手段多种多样,因此还没有一个绝对全面有效的防范方法。从实践经验看最为有效的防范方法即打全Windows的补丁、正确配置和使用网络防火墙、安装防病毒软件并及时更新病毒库。

    对于Windows补丁不仅仅打到SP2(XP)或SP4(2000),其后出现的所有安全更新也都必须及时打全才能最大限度的防范病毒和木马的袭击。此外,正确使用U盘等移动存储设备,防止通过校外计算机传播病毒和木马。

    下面介绍防范ARP攻击的几种常用方法:

    1、静态绑定

    将IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。

    欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。缺点是每台电脑需绑定,且重启后任需绑定,工作量较大,虽说绑定可以通过批处理文件来实现,但也比较麻烦。

    2、使用防护软件

    目前关于ARP类的防护软件出的比较多了,我校常用的一款软件是彩影软件的ARP防火墙.

    ARP防火墙采用系统内核层拦截技术和主动防御技术,包含六大功能模块可解决大部分欺骗、ARP攻击带来的问题,从而保证通讯安全(保障通讯数据不被网管软件恶意软件监听和控制)、保证网络畅通。

    3、具有ARP防护功能的网络设备

    由于ARP形式的攻击而引发的网络问题是目前网络管理,特别是局域网管理中最让人头疼的攻击,他的攻击技术含量低,随便一个人都可以通过攻击软件来完成ARP欺骗攻击,同时防范ARP形式的攻击也没有什么特别有效的方法。目前只能通过被动的亡羊补牢形式的措施了,本文介绍的方法希望对大家有所帮助。

NetShell快速完成重置Internet协议

星期二, 11 五月, 2010

  NetShell实用程序(netsh)是一个命令行脚本编写工具,主要用于重置Internet协议,此工具提供了交互式网络外壳程序接口。

  Internet协议是目前我们最常用的协议之一,于是我研究了一下重置Internet协议的步骤和语句,在这里拿出来和大家分享一下,希望对大家有用。如果您在“本地连接”属性中显示的此连接使用下列项目列表中单击 Internet协议(TCP/IP) 项,您将发现卸载按钮不可用(被禁用)。这是因为传输控制协议/Internet协议 (TCP/IP) 堆栈是 Microsoft Windows Server 2003 的核心组件,不能删除。

  在有些情况下,可能需要重新安装TCP/IP以使TCP/IP堆栈恢复为原始状态。可以使用 NetShell 实用程序重置 TCP/IP 堆栈,使其恢复到初次安装操作系统时的状态。NetShell实用程序(netsh)是一个命令行脚本编写工具,您可以使用此实用程序配置并监视 Windows Server 2003联网。此工具提供了交互式网络外壳程序接口。您可以使用该实用程序的Internet协议(IP)上下文中的reset命令重写以下与 TCP/IP相关的注册表项:

  SYSTEMCurrentControlSetServicesTcpipParameters

  SYSTEMCurrentControlSetServicesDHCPParameters

  命令语法

  netsh int ip reset [log_file_name]

  要使用netsh 命令重置 TCP/IP 堆栈,您必须指定记录命令结果的日志文件的名称。如果输入了本文“命令示例”一节中介绍的任一命令,当前计算机中的 TCP/IP 堆栈将被重置,且该xx作的活动将被记录到命令行中指定的 Resetlog.txt 文件。在第一个示例中,日志文件被创建在当前文件夹中;在第二个示例中,则指定了 Resetlog.txt 日志文件的完整路径。备注:如果该文件的名称与目标文件夹中的现有日志文件的名称相同,则会将新日志文件的信息附加到现有文件的结尾处。

  命令示例,下面的示例说明了如何使用netsh 命令重置Internet协议堆栈。

  重置Internet协议示例1:

  单击开始,然后单击运行。

  在打开框中键入 cmd,然后单击确定。

  在命令提示符后键入以下命令,然后按 ENTER 键:

  netsh int ip reset resetlog.txt

  备注:在上面的命令中,“int”是 interface 命令的缩写形式。

  键入 exit,然后按 ENTER 键。

  重置Internet协议示例2:

  单击开始,然后单击运行。

  在打开框中键入 cmd,然后单击确定。

  在命令提示符后键入以下命令,然后按 ENTER 键:

  netsh int ip reset c:resetlog.txt

  键入 exit,然后按 ENTER 键。

  要查看有关命令的帮助,请键入空格,然后键入 ?。即会显示有关netsh 命令子上下文中可用命令的其他帮助。例如,要查看上一节中介绍的netsh 命令,应在命令提示符后键入以下命令:

  键入 netsh ?,然后按 ENTER 键。

  键入 netsh int ?,然后按 ENTER 键。

  键入 netsh int ip ?,然后按 ENTER 键。

  键入 netsh int ip reset ?,然后按 ENTER 键。

  NETSH INT IP RESET 的日志文件示例,以下是一个日志文件的示例,该日志文件是由运行ip reset 命令后的netsh 生成的。根据发出命令的计算机上不同的配置,实际的日志文件也会有所不同。通常,如果没有替换TCP/IP注册表项的原始配置,则不会在文件中记录任何操作。

QQ2010手动去广告方法

星期日, 9 五月, 2010

一、去除腾讯迷你首页:
首先进入QQ的安装文件夹,接着进入 Plugin\Com.Tencent.Advertisement\bin 文件夹,这里你会看到一个Advertisement.dll文件,它就是迷你首页的关键所在,只需将这个文件改成只读属性,以后启动QQ就不会再看到迷你首页了。

二、去除聊天窗口右上角广告:
方法 1、这个操作针对XP和Vista/Win7略有不同,主要是文件夹路径上的。
XP:
进入 X(系统所在盘):\Documents and Settings\用户名\Application Data\Tencent\QQ\Misc\com.tencent.advertisement,首先删除这个文件夹里面的所有文件,注意文件夹本身不能删除,然后把当前用户的写入权限给拒绝掉(需要当前分区为NTFS格式)。方法:文件夹上右键,属性 – 安全标签,选中当前登录用户,接着在下方“写入”权限里,拒绝上打勾。
Vista/Windows 7
进入X:\users\用户名\appdata\Roaming\Tencent\QQ\Misc\com.tencent.advertisement,之后操作同XP。
如果看不到用户名的话请点菜单栏上的 工具>文件夹选项>查看>显示隐藏的文件和文件夹 就看到了,
Administrator是当前系统的用户名, 默任的都是Administrator)
方法 2、这个有点麻烦。在QQ的安装目录下的Plugin\Com.Tencent.Advertisement文件夹内有个Bundle.rdb的文件,所有罪恶就在这里面。当然,我们是不能删除的,这样QQ因为缺乏文件而无法启动,我们要做的是解包这个文件(可以用 RDB文件打包解包工具  来进行解包和再打包。下载这个
RDB文件打包解包工具  后要是不能运行你还要再下载安装Microsoft_DotNetFXCHS2.0  这样就可以运行解包工具了。Microsoft_DotNetFXCHS2.0  和 RDB文件打包解包工具  可以到网上自己下载。),解包后在目录Bundle\I18N\2052下,有个StringBundle.xml文件,用记事本打开它,删除如下字段:
<String id=”IDS_DEFAULT_AD_BANNER_FN”>defaultbanner.jpg</String>
<String id=”IDS_DEFAULT_AD_BANNER_CLICKURL”>www.tencentmind.com<
/String>   <String id=”IDS_DEFAULT_AD_RICH_FN”>defaultrich.swf</String>
<String id=”IDS_DEFAULT_GROUP_BANNER_FN”>GroupBanner.jpg</String> 
<String id=”IDS_DEFAULT_AD_VIDEO_FN”>defaultvideo.swf</String> 
<String id=”IDS_DEFAULT_AD_VIDEO_CLICKURL”>www.tencentmind.com</String>   <
String id=”IDS_ADVERTISEMENT_TITLE”>http://im.qq.com</String>
然后再打包放回原处。
(修改Bundle.rdb文件时要退出QQ。还要记得备份啊。)
要是怕麻烦这里有我已经修改好的。退出QQ覆盖到原目录就可以了。这个文件在QQ2009SP6和QQ2010Beta_Trial中都 可以用。

三、去除聊天窗口左下角广告
同样操作针对XP和Vista有所不同。
XP:
首先要关闭QQ,然后进入X(系统盘):\Documents and Settings\用户名\Application Data\Tencent\Users\你的QQ号\QQ\,删除其中的Misc.db,接着新建一个文件夹并命名为Misc.db。
Vista/Windows 7
关闭QQ后,进入X:(系统盘)\users\用户名\appdata\Roaming\Tencent\Users\你的QQ号码\QQ\,然后操作同上。

QQ2010Beta_Trial  正在体验阶段。还没有本地会员补丁。用这个方法可以不用看广告。不过右下角的泡泡还是会弹的。有高手再看看怎么能不让它弹泡泡。
http://bbs.duba.net/forum-6353-1.html
方法二:
经过一轮的“共存风波”后,终于有时间写写这个QQ2010完全去广告的方法。

      可能很多机友都会发现,QQ2010只不过是在QQ2009版本上添加腾讯浏览器而已,所以制作它的共存版方法和QQ2009版本是一样的~~~~

       但是,去广告的方法却改变了~~~~下面是教程:

-去除“腾讯空间”多余项目:
      解包!\sys\bin\Framework_0x200274B3.dll文件,用十六进制打开,搜索“04f0 62ef”,把“04f0 62ef”修改为“c046 c046”,然后打包即可!

-去除12宫格上方的广告:
       解包、!\sys\bin\Framework_0x200274B3.dll文件,用十六进制打开,搜索“01f0 0eea”,把“01f0 0eea”修改为“c046 c046”,然后打包即可!

    其他修改方法和QQ2009无恙,这里就不多说了!大家去DIY下吧~~~~
 

点击进入—— 「i」QQ2010公测版Build0149声音图标美化完全去广告多窗口共存修改版http://bbs.dospy.com/viewthread.php?tid=6161056&bbsid=190&page=1&extra=#pid86873902

        不过需要提醒的是,制作出来的共存版需要打开Open4all权限才能使用!