什么是注册表编辑器 regedit. exe
注册表编辑手册之大 ***
1、防止匿名用户登录:
虽然 "Win95" 可以为每个用户定制各自的使用界面并指定口令,但任何人都能通过点击登录窗口中的 "取消" 或按 "ESC" 键进入系统,即所谓匿名登录。下述 *** 可以防止匿名用户登录:
在 HKEY_LOCAL_MACHINE \NetWork\Logon 下新建 "DWORD" 类型 "MustBeValidated",其值为1。
(附:如果自己都进不去了,可以以安全模式进入,然后将其值改为0。)
2、右击"开始"菜单关闭计算机:
关闭机器是日常使用频率更高的操作之一,下面的设置可以简化关机过程:
打开 HKEY_CLASSES_ROOT\Directory\shell,选择 "编辑" / "新建主键",命名为 "Close",双击 "Close" 子键窗口右面的 "默认" 处并在 "键值" 栏内输入 "关闭计算机",它就是在右键快捷菜单中出现的提示信息,如省略此项将在右键菜单中显示主键名称 "Close",用 隔开可定义快捷键,然后再在 "Close" 下建立下一级子键 "Command",双击该子键窗口右面的 "默认" 处并在 "键值" 栏内输入 "RUNDLL32.EXE USER.EXE,EXITWINDOWS" 字符串。不用重启系统,直接右击 "开始" 菜单选 "关闭计算机" 就可关闭您的机器。
3、重排输入法:
依次展开 HKEY_CURRENT_USER\Keyboard layout\Preload ,在其下可以见到键名从数字 "1" 开始依次递增的多个子键名称,具体子键个数与系统已安装的输入法种数相一一对应。现假如要将子键名为 "2" 所对应的输入法与子键名为 "5" 所对应的输入法互换,即将子键名 "5" 所对应的输入法前移至第二位, *** 如下:右击子键 "2" 选 "重命名" 将子键 "2" 改名为 "22" 或其它不存在之名称,接着将子键 "5" 重命名为 "2" ,最后将子键 "22" 改名为 "5" 。您可以将所有输入法按自已的需要重新排序。
4、屏蔽"开始"菜单中的"运行"、"查找"、"关闭系统"功能:
在 HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer 中新建三个 "DWORD" 值,名称分别为 "NoRun"(屏蔽"运行")、"NoFind"(屏蔽"查找")、"NoClose"(屏蔽"关闭系统"),其值均设置为 "1" ,重启系统后执行 "运行" 与 "关闭系统" 命令时提示操作受限制而取消,同时你会发现 "开始" 菜单中的 "查找" 选项没有了,要重新恢复其设置,可将对应的键删除或将键值置 "0" 即可。
5、隐藏桌面所有图标:
找到子键 HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer ,新建 "DWORD" 值 "NoDesktop",其值为 "1" 。重启系统后,你会发现桌面已变得空荡荡一片。
6:快速打开文件编辑:
也许你经常使用某个程序来打开文件进行编辑,而这些文件的扩展名是随意的,为了方便我们可以将这个程序加入到右键菜单中去。以写字板为例:
在 HKEY_CLASSES_ROOT\* 下新建 "shell" 子键,在其下新建 "wordpad" 子键,双击该键右面窗口的 "默认" 处并在 "键值" 栏内输入 "写字板" ,接着在 "wordpad" 子键下建立下一级子键 "command " ,在 "默认" 的 "键值" 栏内输入 "c:\program files\accessories\wordpad.exe %1 "。不用重启系统,现在回到"我的电脑"或"资源管理器"中右键单击任意文件(当然是写字板能加载的,不管关联与否),选"写字板"即可快速打开文件进行编辑了。
7、快速清空回收站:
当我们的机器由于硬盘空间已满而必须清空回收站时,我们可以将"清空回收站"加入到文件的右键菜单中以方便操作:
运行注册表编辑器,进入 HKEY_CLASSES_ROOT\*\shellex\
ContextMenuHandlers ,在左栏中右击 "ContextMenuHandlers" 文件夹图标,然后选择 "新建" \ "主键",将新文件夹的名称由 " New Key #1" 一字不差地改为:" {645FF040-5081-101B-9 F08-00AA002F954E}",然后回车确认即可。这样,当您在任何地方右击选择某个文件时,菜单中就会出现 "清空回收站" 的选项。
8、用修改注册表的 *** 来解决中文Win95中汉字显示乱码:
笔者曾遇到过这样的问题:在 Win95 的操作桌面上汉字能正常显示,但进入应用程序后,一些汉字就成了乱码。经过反复摸索找到了通过修改注册表解决的 *** :
展开我的电脑 /HKEY_LOCAL_MACHINE/Systom/CurrentrolSet /Control/fontassoc 发现该机上只有 "Associated DefaultFonts" 子关键字,其下也只有默认值和 "AssocSystemFont" 两个入口值,没有 "Associated CharSet" 子关键字。通过 "注册表编辑器/菜单编缉/新建/主键",来增加 "Associated CharSet" 子关键字。用鼠标点取 "Associated DefaultFonts" 关键字,选取菜单中的 "编辑 / 新建 / 串值" ,则编辑器右边出现输入框,在此框中输入 "FontPackageDontCare",再在其前面的图标上双击,出现 "编辑字符串" 对话框,在键值栏中输入 "宋体",按确定即可。用同样的 *** 加入以下几行:
FontPackageRoman= 宋体
FontPackageSwiss= 宋体
FontPackageModern= 宋体
FontPackageScript= 宋体
FontPackageDecorative= 宋体
点取 Associated CharSet 关键字,选取编辑/新建/串值,按以上 *** 加入以下几行:
ANSI(00)=yes
OEM(FF)=yes
GB2312(86)=yes
SYMBOL(02)=no
(上面等式的左边为键值名,右为键值) 。
做完上述修改后,关闭注册表编辑器,重新启动计算机,发现一切正常。
9、处理无法卸掉的应用程序:
我们有时会碰到这样的情况:在控制面板的 "添加/删除应用程序" 中卸载某个应用程序之后,却发现该程序还是在列表中。这时可用下述 *** 将其从列表中删去:
打开注册表编辑器,进入目录" HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Uninstall",根据所列出的注册文件删去与该应用对应的项即可。
10、把WORD插入对象的名称改成汉字:
在WORD的"菜单插入/对象"中的一个个英文名称往往令人难以适应,我们可以用个简单的 *** 把它改成汉字:在注册表编辑器中,将 HKEY_CLASSES_ROOT\Euation 3.0 右窗口键的 "默认" 值由 " Microsoft Equation 3.0" 改为 "公式编辑器 3.0",然后关闭注册表编辑器,再打开 "WORD" ,就会发现它已变成 "公式编辑器 3.0"。
注册表编辑手册之(二)
1、去除注册表中的废弃信息
随着用户大量增删各种应用程序和硬件设备驱动程序,注册表中废弃的数据会越来越多,注册表文件也越来越大,这对 "WIN95" 的运行速度有很大的影响,为了去除掉废弃信息,笔者采用了重建注册表的 *** 。
首先在 "运行" 窗口中调用注册表编辑器,从注册表菜单中导出整个注册表,将其存为 "" ;然后重启到 "DOS命令行方式",接着按照下面的命令行运行 "DOS" 版的 "REGEDIT" : "regedit/c "
参数 ”/C“ 表示从后面指定的文件中重新生成整个注册表,重建的注册表文件往往比原来的小五分之一到三分之一左右,从而达到了优化的目的。重建注册表时必须注意要确保 ”“ 中包含全部注册表信息而不仅是它的一个。
2、提高 Windows 95 刷新的速度
当用户在 "Windows 资源管理器" 中增加或者删除了一个文件夹后,虽可通过按 "F5" 键查看最新刷新的结果。但是,每次这样做势必十分麻烦。其实通过修改注册表可以使这种刷新达到完全自动化。
具体 *** 是:
打开 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control \Update 分支,在 "Update" 子键中包含一个 "UpdateMode" 键值名,其键值为 "01" ,双击 "UpdateMode" ,将 "01" 改为 "00" 即可。
3、更改 IE4.0 的安全口令
您可以在 IE4.0 的 "Internet 选项" 对话框的 "内容" 选项页的 "分级审查" 框中设置口令,这样,在显示有 "ActiveX" 的页面时,总会出现 "分级审查不允许查看" 的提示信息,然后弹出口令对话框,要求您输入监护人口令。如果口令不对,则将停止浏览。但是,如果此口令遗忘了,则无法浏览这些特征的页面。在口令遗忘后,重装 IE4.0 也无法去掉安全口令。这时只有求助于注册表了:
打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies 分支,在 "Policies" 子键下选择 " Ratings" 子键,按 "Del" 键将其删除,由于 "Ratings" 子键下的 "Key" 键值数据就是经过加密后的口令,删除了这一项, IE4.0 自然就认为您没有设置口令了。
4、删除"开始"菜单中的"文档"菜单项
我们知道,"开始" 菜单中的 "文档" 菜单项记录了所有曾打开的文档。但是,在多人使用的机器中,为了保密起见,用户自己很不希望其他用户看到自己曾经编辑过的文档或其他信息。我们可以通过修改注册表编辑器来删除它们:
打开 HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer ,在右窗格中,用鼠标右击任意空白区域,然后从快捷菜单中选择 "新建" 中的 "二进制值" ,将 "New Value#1" 换名为 "NoRecentDocsHistory",接着右击 "NoRecentDocsHistory" 项,选择从快捷菜单中选择 "修改",然后在 "键值" 框中,键入 "01000000",最后单击 "确定" 按钮。在重启系统后,您会看到不仅 "开始" 菜单中的 "文档" 菜单项被删除掉了,而且用来存放"文档"菜单项内容的 "C:\Windows\Recent" 目录也被删除掉了。
5、改变时间的显示格式
在通常情况下, "Windows95" 在任务栏中使用 "23:12" 的时间格式来显示时间,但是您可以通过修改注册表编辑器来更改此时间格式,其操作步骤如下:
打开 HKEY_CURRENT_USER\ControlPanel\International 分支,在右窗格的空白处右击鼠标,从弹出的快捷菜单中选择 "字符串值",然后将 "New Value#1" 修改为 "sTimeFormat" 。双击 "sTimeFormat" 项,然后在如图16所示的对话框中将其 "键值" 修改为 "HHmm"。重启计算机后,则您将看到在任务栏中显示的时间会显示为 "2312" 形式了。
6、改变 Word 文档的日期显示方式
当我们在 "Word" 文档中插入日期页眉或者页脚时,其日期的显示格式一般为:"MM/DD/YY"。但是,这不符合中国用户的显示习惯。我们希望将 "12/09/98" 改为 "1998/9/12" ,则通过修改注册表可以改变这种日期的显示方式,其操作步骤如下:
打开 HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\ Word\Options 在右窗口中, 用鼠标右击任意空白区域,然后从快捷菜单中选择 "新建" 中的 "字符串值",接着将 "New Value#1" 换名为 "DateFormat"。然后右击 "DateFormat" 项,选择从快捷菜单中选择 "修改",然后在 "键值" 框中,键入 "yyyy.MM.DD",最后单击 "确定"。这样,在下次在 "Word" 中插入日期时,一定就是您所希望的 "1998.09.12"的格式了。
7、从 Netscape 中清除曾到过的网址
为了保密起见,您可以清除 Netscape 的 "Address" 框的下拉式菜单内的网址,这样别人就无法获得您曾到过的网站。
1)在 "Netscape 3.x" 中,您必须通过注册表编辑器修改注册表达到此目的,其操作步骤如下:打开 HKEY_CURRENT_USER\Software\ Netscape\NetscapeNavigator\URLHistory 分支。在右窗格中我们可看到这些曾到过的网址的列表清单,选择要删除的网址选项,然后按 "Del" 键即可。
2) 在 "Netscape 4.x" 中,首先用记事本打开文件 C:\Program Files\Netscape\Users\caogjwj\prefs.js (假定您的注册名称为 caogjwj),此文件的内容通常是这样的: user_pref ( "browser.url_history.URL_2" ,"" )
在此文件中删除其中您想要隐藏的网址整行,然后存盘退出即可。
为了让 "Netscape 4.x" 不再向 "prefs.js" 文件中写入任何网址,将此文件的属性改为只读即可。
8、将"拨号 *** "添加"开始"菜单中
在" Strat Menu "文件夹中新建名为: Dun.{992CFFA0-F557-101A-88EC-00DD010CCC48} 的文件夹,然后重启计算机即可。
9略图方式在"资源管理器"或者"文件夹"窗口中显示 BMP 图像
在 "Windows 98" 中有很多 "BMP图像",为了选择某个所需要的 "BMP图像",通常不得不打开这些图像来查找。实际上,我们可以让它们直接在窗口中显示为略图,此时我们必须修改注册表来实现此目的。其修改步骤如下:
打开 HKEY_CLASSES_ROOT\Paint.Picture\DefaultIcon ,双击右窗格中的 "默认" 图标,将键值的参数 "1" 改为 "%1"。单击 "确定",重启计算机完成。
10、删除查找结果中的文件列表
使用"查找"功能可以很快地查找到所需要的文件,同时在"查找"对话框下半部给出这些文件列表。
要想删除它们可以打开 HKEY_CURRENT_USER\.Default\SoftWare \Microsoft\Windows\CurrentVersion\Explorer \DocFind SpecMRU ,在右窗格中除之一、二和最后一个不能删除外,将其它删除即可
注册表编辑手册之(三)
1、在"我的电脑"中屏蔽磁盘驱动器图标
在多用户的操作环境中,您可以为不同用户设置不同的磁盘驱动器图标,这样可以限制各种用户的操作权限。
打开 HKEY-CURRENT-USER\Software\Microsoft\Windows\ CurrentVersion\Policies\ Explorer 分支,在此分支下 NoDrives 键值名为给不同用户设置不同的磁盘驱动器图标提供了方便,其缺省键值是 0x00000000 。 NoDrives 键值为四个字节,每个字节的每一位就对应于一个盘符(A:~ Z:),即之一个字节代表了从 A:到 H: 的八个盘,即 01 为 A:、 02 为 B:、 04 为 C:…, 80 为 H:。依此类推,第二个字节代表 I:到 P:;第三个字节代表 Q:到 X:;第四个字节代表 Y:和 Z:。因此,当相应位为 1 时,则在打开 "我的电脑",就再也看不到对应的盘了。例如,我们要关闭 C:盘,只需右击 NoDrives 键值名,然后从快捷菜单中选"修改",将其键值改为 04000000 ;若要关闭 D:盘,就此键值改为 08000000 ;若要关闭 C:和 D:,就将此键值改为 0C000000 。
2、一些英文软件在中文 Windows 95 下显示出乱
打开 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control \fontassoc\Associated CharSet 分支,将 GB2312(86) 的机内码改为 "no"(原为 "yes"), 重新启动 Windows 95 后就显示正常
3、通过修改注册表来更改文件图标
原先我的计算机中 JPG 文件是和 ACDSee 32 关联的, JPG 文件的图标也是 ACDSee 32 中所默认的图标类型。后来由于又安装了 PHOTOSHOP , JPG 文件又与 PHOTOSHOP 建立了关联。当我卸载 PHOTOSHOP 之后, JPG 文件的图标就变成了白底上一个视窗,非常难看。 虽然笔者想方设法使 JPG 文件又和 ACDSee 32 建立了关联,但是 JPG 文件的图标却还是原来的样子。笔者试图重编辑 JPG 文件的图标,但从"已注册的文件类型"中却怎么也找不到后缀为 JPG 的文件类型,如果选择建立后缀为 JPG 的 "新类型",则屏幕上会提示 "JPG 扩展名已经被 PHOTOSHOP JPG File 文件类型使用,请选择另一个扩展名",真是气人。笔者突然想起通过修改 Win95 中的注册表编辑器也许能解决这个问题,于是运行 Regedit ,在 HKEY - CLASSES - ROOT 下有许多个名称为" . ***"的主键,根据直觉,这些主键和 Win95 中已注册的文件类型的后缀名存在一一对应的关系,于是找到名为" .JPG "的主键,删掉它之后,再从资源管理器中的查看--选项--文件类型--新类型中建立后缀为 JPG 的文件类型,嘿嘿,这次屏幕上再也没有给出"请选择另一个扩展名"的提示了。建立 JPG 文件类型后,选择由 ACDSee 32 打开它,并在 "更改图标" 中将图标位置选择为 "C: \Program Files\Acdsee32.exe",即可从 ACDSee 32 所提供的图标中选择一种来替代 Win95 默认的那种难看的图标。作者撰写这篇短文,是希望给那些遇到类似问题的朋友们一点帮助,如果那位高手有更好的 *** 解决此类问题,还望不吝赐教。
4、禁止他人使用你的 Win95
大家都知道,在 Win95 中通过控制面板设置口令以后,每次启动要求输入口令时,我们只要单击 "取消" 按钮,或按 ESC ,绕过密码询问便能进入 Win95 ,口令如同虚设。那么有没有办法可以阻止他人使用你的 Win95 呢 ? 其实,我们只要对 Win95 的注册表稍加修改便能达到以上目的。有关设置步骤如下:
(1) 点击"开始"�"运行",键入 Regedit ,打开注册表编辑器。
(2) 通过双击文件夹名称或单击其前面的"+"号,依次打开下列路径: HKEY_LOCAL_MACHINE\Networ\Logon 。
(3) 在编辑器右边窗口空白处单击鼠标右键,在弹出的"新建"菜单中选择 "DWORD" 项,这时会出现一个名为 "Must BeValidted" 的新键值,在此键值名上单击鼠标右键,选择 "修改",弹出 "编辑 DWORD值" 对话框,在对话框中的"键值"栏内输入数字 "1",按 "确定" 完成修改,然后退出注册表编辑器。
重启 Win 95 后你会发现,想通过点击 "取消" 或按 ESC 键进入 Win95 行不通了,只有键入正确的密码,你才能使用 Win95 。
5、清理软件遗留注册字句信息
即使是卸载软件时,注册表文件仍然会保留软件安装时注册的许多初始信息语句(如软件的供应商、ID号、用户及组织名、某些设置参数等),如果不及时作清理工作,长时间会使得注册表文件越来越庞大,影响到系统的工作性能。依次打开 HEKY_CURRENT_USER、software 主键,显示的下级主键项一般是软件的供应商名,如:所有由微软提供的软件均含在 Microsoft 主键项中。对 HEKY_CURRENT_MACHINE 和 HEKY_USERS 中的 Software 主键项操作一样。通常根据已删软件的名字点击各项主键寻找,找到并确认后即可删除其配置项。
6、清理访问" *** 邻居"后留下的字句信息
使用局域网的用户在访问 *** 邻居时,注册表会在 HEKY_CURRENT_USER/Network/Recent 主键项中记录下一系列命令操作的信息,包含被访问机器的名字、访问过的应用程序及文件名等,如:主键 Recent 包含一名为\ierl_server\software 的子主键项,表示你曾访问过名为 ierl_server 的服务器中的 software 文件夹,点击此项后编辑器右窗显示此项的名称及键值。这些内容基本没有用途,可以适当的清理一下。打开注册表编辑器后,按以下顺序依次打开各级主键: HEKY_CURRENT_USER 、 Network 、 Recent, 然后把主键 Recent 的子项删除即可。
7、解决黑客
最近,网上的治安越来越差,一些不法之徒通过 E-mail 方式把一些黑客软件放到你的机器内,以达到控制你计算机的目的。下面是一个受害者的自诉:我收到一封自称为 SUN 的人来的信,信中宣称他来自 lamworld 自由 E-mail 软件开发小组,开发了一套可以自行设定 E - mail 的地址、自由收发邮件的软件。他们网址中的一段目录为 Netants ,极易使人误以为是 Netants 的作者 Lewis Hong 作品。
这个文件名为 Freemail.exe 的 122K 程序让我觉得有些古怪,图标为全透明,似乎作者试图掩藏某些用心。然后运行,这个文件就消失了(自删除,并且不放入回收站)。这个黑客软件叫 "BO" ,它的作者使用了一种与计算机无关的 *** 来隐藏文件,就是利用视觉的弱点。前面提过 "BO" 的文件是一个图标为全透明的文件,当它将自己复制入硬盘后把自己从新命名为 "空格.EXE" 。我们知道的资源管理器默认不显示文件扩展名,对于这个程序而言,不注意是无法看出来的,只有用鼠标点或者在 DOS 方式下用 DIR 才可以看到。确实很少有人会想到的隐藏 *** 。顺便提一句,在 95 环境中无法删除这个文件,只有退到 DOS 环境才可以。检测办法:
用注册表管理程序 查找HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\RunServices\默认 : 如果是" .exe " 删除这个默认: " .exe"键值,重新启动计算机删除 windows\system 下的" 空格.exe "和 windll.dll 。
8、ZipMagic 的简易破解 ***
由于 ZipMagic1.0 存在两个不同的版本,如果你手头的是旧一些的那个版本,目前恐怕没有什么注册器可用(至少我还没找到),下面有一个简单的解除时限的办法,你不妨试试:
*** 很简单:ZIPMAGIC 的时间存在如下的键中, [HKEY_CLASSES_ROOT\CLSID\{187b1580-324b-11d0-9398-0020aff0e034}](在你的机器上可能不同,但我想你可以通过在 HKCR\CLSID\中查找 "Data11" 和 "SData" 来找到这个键的), ”"Data11" 的值是安装日期, "SData" 的是当前日期,都是经过加密的,当超过 "40" 天期限时,只要将 "Data11" 的值改成当前 "SData" 的值,就又可以再用 40 天了,以后可以如法炮制。
注意:由于要修改注册表,请先做好安全备份!!
9、为回收站改名
我们可以容易地改变桌面上大多数图标的名字,但却不能直接给回收站改名。如果您想改变 "回收站" 的名子,只有在注册表编辑器中将HKY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E} 右窗口键的"默认"值由"回收站"改为其它的名字(如 "垃圾筒" ),关闭注册表编辑器重启WIN95,就会发现原来的 "回收站" 变成了 "垃圾筒" 。
10、改变"我的电脑"、"回收站"的图标
在Win95 中, 不能象修改一般文件的图标那样来更改 "我的电脑"、"回收站" 的图标, 只能通过修改系统的注册表来实现:启动注册表编辑器 , 在注册表中依次选择 "HKEY_LOCAL_MACHINE\SOFTWARE\ Classes\CLSID" 选项, 然后选择 "编辑"\"查找", 键入 "回收" 并确认。当找到该项后,选择该项的 "DefaultIcon" 选项, 双击名称栏中的 "Full"(或 "Deafult"、"Empty"), 在弹出的对话框中显示的是 "回收站" 所对应的图标文件, 更改该值为您喜欢的图标文件(注意要写全文件路径)。用同样的 *** 可以修改 "我的电脑" 的图标,只要在查找时键入 "我的电脑" 并确认即可。
注册表编辑手册之(四)
1、删除运行窗口中多余的选项
多次用Windows95的开始/运行菜单时,就会发现它的"打开"窗口被一大堆不再需要的命令弄得凌乱不堪。我们可以直接在注册表编辑器中删除它:
在 HKEY_USER\.Default\Software\Microsoft\Windows\ CurrentVersion\Exploe r\RunMRU 的右窗口中保存着这些操作,删掉不需要的串值即可。
2、调整层次式菜单的显示速度
打开注册表编辑器,在 HKEY_CIURRENT_USER\ControlPanel\ desktop下,右键单击窗口右栏,出现 "新增" 菜单,选 "串值",命名为 MenuShowDlay ,双击之,显示对话框,可设数值为 1~10 , 1最快。重新启动 Windows 95 就可以使设置生效了。
3、为特定的应用程序增加声音效果
1. 在"运行"框中键入 c:\windows\Regedit.exe 进入"注册表编辑器" ( 的窗口 ) ;
2. 打开 HKEY\CURRENT\USER\AppEvents\Schemes\Apps;
3. 右击 Apps ,则出现一个快捷菜单;
4. 在该快捷菜单中选择"新建",然后选择"主键 (K) "命令;
5. 在 "New Value # 1" 框中输入用户要增加声音效果的应用程序名后按回车
6. 右击刚建的主值,则出现一个快捷菜单;
7. 在该快捷菜单中选择 "新建" ,然后选择"主键 (K) "命令;
8. 在 "New Value # 1" 框中输入用户主值,主值可为:
Close Open
G.P.FaultRestoreDown
Maximize RestoreUp
MenuCommand
SystemAsterisk
MenuPopup
SystemExclamation
Minimize SystemQuestion
9. 关闭"注册表编辑器",回到"控制面板"的"声音"。
4、修改"长文件名的命名准则"
Win95 支持长文件名,它会为每个长文件名自动生成一个古老的 8.3 格式的短文件名。当长文件名超过了 8 个字母时,短文件名就会出现一个波浪号加上一个数字 ( 这就是数字尾巴 ) 。数字尾巴的作用是区分前 8 个字母相同的长文件名,但当某个长文件名的前 8 个字母唯一时, Win95 也会给短文件名后面加上数字尾巴,这在逻辑上给人一种"多余"的感觉。其实这种"规则"也是可以改变的:
在注册表编辑器中打开 HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control\FileSystem 后,给 FileSystem 新建一个 Binary Value ,命名为 "NameNumericTail",设定其值为 0 。重新启动机器后, Win95 就会使(DOS下的)文件名尽可能接近长名,易于区别,又绝不相同。
5、改变窗口变化时的动感效果
当你点击任务栏上的某个应用程序时,窗口恢复到桌面上;当最小化窗口时,窗口缩小到任务栏上。这时窗口的变化都有一个显示的变化过程,如果你不喜欢这种显示过程的处理方式,也可以使这种视觉效果失效, *** 是:
打开注册表编辑器,找到 HKEY_CURRENT_USER\Control Panel\ Desktop\WindowsMetrics 。在右边窗格空白处单击鼠标右键,然后从弹出的菜单中选择 "新建" (New)\ "串值" (String Value) ,输入 Minanimate 及回车,这时在右窗格中就有了一个名为 Minanimate 的键值,在其上单击鼠标右键并选择 "修改" (Modify) ,在键值数据 (Value Data) 文本框中输入 0 并回车,然后关闭注册表编辑器并重新启动 Win95 。现在,当你极小化一个程序(使它缩回到任务栏上)或者在任务栏上单击它的图标使程序窗口恢复正常或更大状态时,窗口会突然出现在屏幕上,没有视觉变化过程,给人一种"快速"的感觉。
6、为一台机器设置两个IP地址
一般情况下只能为一个 *** 适配器配置一个 IP 地址,但通过修改系统注册表,却可以为一个网卡配置多个 IP 地址:
灰鸽子 黑防专版
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
灰鸽子远程监控软件分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个服务端(俗称种木马)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过 *** 把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……,这正违背了我们开发灰鸽子的目的,所以本文适用于那些让人非法安装灰鸽子服务端的用户,帮助用户删除灰鸽子 Vip 2005 的服务端程序。本文大部分内容摘自互联网。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的 *** 是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了,下面就可以进行手动清除。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净。
目前世界上有多少电脑病毒?
电脑病毒种类繁多,主要包括如下这些:
一 木马的种类:
1破坏型:惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件
2、密码发送型:可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用WINDOWS提供的密码记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手中。也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。
3、远程访问型:最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么,当然这个程序完全可以用在正道上的,比如监视学生机的操作。
4.键盘记录木马
这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。
5.DoS攻击木马:随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多,你发动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给 *** 造成很大的伤害和带来损失。
6. *** 木马:黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上 *** 木马,让其变成攻击者发动攻击的跳板就是 *** 木马最重要的任务。通过 *** 木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹
7.FTP木马:这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进人对方计算机。
8.程序杀手木马:上面的木马功能虽然形形 *** ,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用
9.反弹端口型木马:木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。
二:病毒类
1开机磁区病毒
2档案型病毒
3巨集病毒
4其他新种类的病毒
三:1计算机病毒名称
冲击波(WORM_MSBlast.A)
W97M_Etkill(宏病毒)
捣毁者(W97M_ TRASHER.D)
.......等等...........
2木马病毒
木马病毒的前缀是:Trojan
如Q尾巴:Trojan. *** PSW
*** 游戏木马:Trojan.StartPage.FH等
3脚本病毒
脚本病毒的前缀是:Script
如:红色代码Script.Redlof
4系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等
如以前有名的CIH病毒就属于系统病毒
5宏病毒
宏病毒的前缀是:Macro,第二前缀有Word、Word97、Excel、Excel97等
如以前著名的美丽莎病毒Macro.Melissa。
6蠕虫病毒
蠕虫病毒的前缀是:Worm
大家比较熟悉的这类病毒有冲击波、震荡波等
7捆绑机病毒
捆绑机病毒的前缀是:Binder
如系统杀手Binder.killsys
8后门病毒
后门病毒的前缀是:Backdoor
如爱情后门病毒Worm.Lovgate.a/b/c
9坏性程序病毒
破坏性程序病毒的前缀是:Harm
格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
10玩笑病毒
玩笑病毒的前缀是:Joke
如:女鬼(Joke.Girlghost)病毒。
常见木马名称:
Mbbmanager.exe → 聪明基因
_.exe → Tryit Mdm.exe → Doly 1.6-1.7
Aboutagirl.exe → 初恋情人 Microsoft.exe → 传奇密码使者
Absr.exe → Backdoor.Autoupder Mmc.exe → 尼姆达病毒
Aplica32.exe → 将死者病毒 Mprdll.exe → Bla
Avconsol.exe → 将死者病毒 Msabel32.exe → Cain and Abel
Avp.exe → 将死者病毒 M *** last.exe → 冲击波病毒
Avp32.exe → 将死者病毒 Mschv.exe → Control
Avpcc.exe → 将死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 将死者病毒 Msgsvc.exe → 火凤凰
Avserve.exe → 震荡波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 恶鹰蠕虫病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 将死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 将死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 将死者病毒 Netspy.exe → *** 精灵
Checkdll.exe → *** 公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 将死者病毒
Diagcfg.exe → 广外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 将死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后门变种
Esafe.exe → 将死者病毒 T → 尼姆达病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 将死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 将死者病毒
Frw.exe → 将死者病毒 Vpcc.exe → 将死者病毒
Icload95.exe → 将死者病毒 Vpm.exe → 将死者病毒
Icloadnt.exe → 将死者病毒 V *** r.exe → 将死者病毒
Icmon.exe → 将死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 将死者病毒 Service.exe → Trinoo
Iexplore.exe → 恶邮差病毒 Setup.exe → 密码病毒或Xanadu
Rpcsrv.exe → 恶邮差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS爱情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩猎者病毒 Spfw.exe → 瑞波变种PX
Runouce.exe → 中国黑客病毒 Svchost.exe (线程105) → 蓝色代码
Scanrew.exe → 传奇终结者 Sysedit32.exe → SCKISS爱情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 传奇叛逆 Syshelp.exe → 恶邮差病毒
Internet.exe → 传奇幽灵 Sysprot.exe → Satans Back Door
Internet.exe → *** 神偷 Sysrunt.exe → Ripper
Kernel16.exe → Tran *** ission Scount System.exe → s**tHeap
Kernel32.exe → 坏透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 传奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求职信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe
近期高危病毒/木马:
病毒名称:熊猫烧香
病毒名称:U盘破坏者
最新病毒报告:
病毒名称:Win32.Mitglieder.DU
病毒别名:Email-Worm.Win32.Bagle.gi
发现日期:2007/2/11
病毒种类:特洛伊木马
病毒危害等级:★★★★★
病毒原理及基本特征:
Win32.Mitglieder.DU是一种特洛伊病毒,能够在被感染机器上打开一个后门,并作为一个SOCKS 4/5 *** 。特洛伊还会定期的连接与感染相关的信息的网站。病毒的主要运行程序大小为48,728字节。
感染方式:
病毒的主体程序运行时,会复制到:
%System%\wintems.exe
Mitglieder.DU生成以下注册表,以确保每次系统启动时运行病毒:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe = "%System%\wintems.exe"
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害:
SOCKS Proxy
Mitglieder.DU在25552端口打开一个SOCKS 4/5 *** 。
病毒名称:“勒索者(Harm.Extortioner.a)”
病毒危害等级:★★★☆
依赖系统:WIN9X/NT/2000/XP。
病毒种类:恶意程序
病毒原理及基本特征:
该恶意程序采用E语言编写,运行后会将用户硬盘上除系统盘的各个分区的文件删除,将自身复制到根目录下,试图通过优盘、移动硬盘等移动存储设备传播,并会建立一个名为“警告”的文件。同时该病毒还会弹出内容为:“警告:发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs196****9@yahoo.com.cn购买相应的软件”的窗口,向用户进行勒索.
病毒名称:“情人节”(Vbs_Valentin.A)
病毒种类:脚本类病毒
发作日期:2月14日
危害程度:病毒主要通过电子邮件和mIRC(Internet 在线聊天系统)进行传播, 并在2月14日“情人节”这一天,将受感染的计算机系统中C盘下的文件进行重命名,在其原文件名后增加后缀名“.txt”,并用一串西班牙字符覆盖这些文件的内容,造成计算机系统无法正常使用
计算机病毒疫情监测周报
1
“威金”( Worm_Viking )
它主要通过 *** 共享进行传播,会感染计算机系统中所有文件后缀名为.EXE的可执行文件,导致可执行文件无法正常启动运行,这当中也包括计算机系统中防病毒软件,蠕虫变种会终止防病毒软件,进而导致其无法正常工作。其传播速度十分迅速,一旦进入局域 *** ,很快就会导致整个局域 *** 瘫痪。它还会在受感染的计算机系统里运行后,会修改系统注册表的自启动项,以使蠕虫随计算机系统启动而自动运行。
2 “ *** 天空”变种(Worm_Netsky.D)
该病毒通过邮件传播,使用UPX压缩。运行后,在%Win dows%目录下生成自身的拷贝,名称为Winlogon.exe。 (其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT),病毒使用Word的图标,并在共享文件夹中生成自身拷贝。病毒创建注册表项,使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的。
3 “高波”(Worm_AgoBot)
该病毒是常驻内存的蠕虫病毒,利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播,还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后,在%System%文件夹下生成自身的拷贝nvchip4.exe。添加注册表项,使得自身能够在系统启动时自动运行。
4 Worm_Mytob.X
该病毒是Worm_Mytob变种,并利用自身的 *** TP引擎按照邮件地址列表中的邮件地址向外发送病毒邮件。该病毒还可以通过 *** 的共享文件夹进行搜索并尝试在这些文件夹中产生自身的拷贝文件。还具有后门功能,会使用不同的端口连接到指定的服务器上面,该服务器监听来自远程恶意用户的指令,利用这个指令远程用户可以控制受感染机器。同时,该变种利用一个任意的端口建立一个 FTP服务器,远程用户可以下载或上传文件或是恶意程序。
以下是目前中国流行的病毒列表,特此列出,以供参考:
1 x97m_laroux_aj
2 x97m_triplicate_c
3 Xm_laroux_a
4 w97m_birthday
5 w97m_class_cn@mm
6 w97m_class_d
7 w97m_class_Q
8 w97m_coco
9 w97m_coldape_b
10 w97m_ethan_a
11 w97m_jim_c@mm
12 w97m_julykiller
13 w97m_julykiller_a
14 w97m_julykiller_d
15 w97m_lulung_b
16 w97m_maker_c
17 w97m_maker_d
18 w97m_malaysia
19 w97m_melissa_m@mm
20 w97m_mellisa_a@mm
21 w97m_newhope_a
22 w97m_opey_h
23 w97m_ozwer_f
24 w97m_pri_a
25 w97m_story_a
26 w97m_thus_a
27 w97m_triplicate_c
28 w97m_Turn_a
29 w97m_twno_a
30 w97m_zhao 60
31 w97m_zhaojianli
32 wm_cap_a
33 wm_concept_a
34 1989
35 Dieh4000
36 8888
37 level42
38 natas4744
39 onehalf3544
40 binghe12
41 Happy99
42 Longnian
43 LOVE-LETTER-FOR-YOU
44 Sub7
45 miniexplore蠕虫
46 explore蠕虫
47 fix2001
48 Freelink
49 Prettypark
50 Stages-a
51 Bo2k
52 Jskak
53 cih12
54 cih13
55 cih14
56 Funlove
57 YAI
58 kriz4029
59 marburg
60 caw1262
61 W32.Navadid(圣诞节)
62 VBS/VBSWG.j@MM(库尔尼科娃)
63 I-Worm.Badtrans
64 I-Worm.Magistr(马吉斯)
65 Happytime(欢乐时光)
66 Hybris
67 I-Worm.MTX
68 Blebla.B(罗密欧与朱丽叶)
69 Homepage
70 Sircam
71 CodeRedII(红色代码II)
*72 klez(求职信)
*73 Aliz
*74 I-Worm.Badtrans.b
经常听黑客谈灰鸽子,请问灰鸽子是什么东西?
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳, *** ,图标等等。
灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在 *** 上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。
手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过 *** 把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的 *** 是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。另外,如果你发现了瑞星杀毒软件查不到的灰鸽子变种,也欢迎登陆瑞星新病毒上报网站()上传样本。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
小结
本文给出了一个手工检测和清除灰鸽子的通用 *** ,适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种 *** 无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏 *** 、防删除手段,手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的 *** 又检测不到时,更好找有经验的朋友帮忙解决。
怎么解除公司电脑的网页访问权限,求大神告诉
首选要整清楚网页访问权限的设置原理:
公司会在路由器中设置MAC地址过滤功能,需要上网的电脑,网管就会把它的MAC地址放入到路由器的MAC池里,这样只要没被放入的MAC地址的电脑,都只能在内网使用,不能访问外网。
知道这个原理对症下药:
之一种 *** :MAC法,你们的 *** 中总有几台电脑能上网吧(这几台就是网管方行的电脑了),去找到一台能上网的,然后看一看它的MAC地址是多少,具体如何看MAC地址可以百度一下。把它的MAC地址记下来,到你的电脑上安装一个MAC地址修改器,这个工具可以百度下载。把能上网的哪台电脑的MAC修改到你的电脑上,这样你就可以上网了。
第二种 *** ,就是去找网管要路由器的账号和密码,可以找一个同事MM,说是要上一下外网,叫网管开一下,这时网管就会来到MM的电脑上登入路由器,网管输账号密码时就用手机偷 *** 下来,这p后去分析一下账号密码是多少,知道这个后,你就可以自己登入路由器,把你电脑的MAC地址添加到充许上网的地址池中。
第三种 *** 与第二种 *** 差不多,就是在漂亮MM的电脑上先装一个叫PCGHOS的键盘黑客软件,它的作用就是记录下你的键盘输入的所有操作。然后叫网管来搞,搞完后你点看记录的结果看账号密码。哈哈。只要MM够漂亮,就可以打动网管
第四招,找一台能上外网的机器,在上面插入一个叫"移动wifi“的东西,十多块钱能买到。这样它这台电脑就会发射出一个无线信号,你的本本和手机就能上外网了。
*** 还有很多,你说说你的具体情况再给你讲
0条大神的评论