发布于Software分类中的文章

Aug 29

通常很多关于网站不能访问的问题都出在DNS解析上面。不正确的DNS服务器设置,指向的DNS服务器负荷过大或者失效,某些ISP在DNS服务器上面做了“劫持”,等等,都会影响我们对目标网站的访问。

本文将介绍怎么在个人计算机(WINDOWS服务器,XNIXS可能有更好地选择)上面建立本地带缓冲的DNS服务器。并且也将介绍怎么去简单的测试一个DNS服务器的执行效率。


1.建立本地DNS服务器:

首先下载TreeWalk这个软件的最新版本。它是一个支持多处理器并且对个人用户免费的DNS服务器软件。我们只需要使用默认安装,安装完毕以后,启动TWDNS这个服务,本地DNS服务器就可以工作了。按照官方介绍,需要手动设置网络界面的首选DNS为1 27.0.0.1(在2000系统中由于是保留地址,需要借助另外的工具来设置),但是其实最新版本在安装完毕以后已经通过更加底层的方法把首选DNS设置成了127.0.0.1,不需要用户的介入。要测试是否如此,请在命令行打入:

nslookup bbs.et8.net

查看返回的信息,就可以知道当前使用的DNS服务器。通常默认的配置就可以满足基本的要求,你已经在使用一个不依赖ISP,并且带有缓存功能的DNS本地服务器。但是如果你想对配置有更加深入的了解,请打开:
%SystemDriver%:\%SystemFolder%\system32\dns\etc\named.conf 这个文件。

下面是这个文件中一些参数的中文说明:


 /* TreeWalk master config*/
......
// the private (LAN) network space //定义你的私有(信任)网络
acl "privlan" { 127.0.0.0/8; 10.0.0.0/8; 169.254.0.0/16; 192.168.0.0/16; 172.16.0.0/20; };

// our own private subnets
acl "private" { 127.0.0.0/24; 192.168.0.0/16; 192.168.0.0/16; };

listen-on port 53 { 127.0.0.1; }; //需要绑定的监听端口和网络界面地址,如果要在局域网使用,可以添加 192.168.0.1 等更多
listen-on-v6 { none; };

allow-query { "private"; }; //允许进行查询地网段,就是你上面设置的信任地址

forward first; //设置转发。如果你不使用root-hints查询,将这行的注释取消,然后在下一行添入你自定义的DNS服务器地址。这样的话TreeWalk就是纯粹的一个DNS缓冲器。(如果这样做的话,你将不能绕过你的ISP对某些地址所作的“劫持”)
forwarders { 202.96.134.133; 202.96.128.166; }; //你定义的DNS服务器。
tcp-clients 500; //查询TCP最大连接数
max-cache-size 4m; //缓存大小。


2.测试DNS服务器的效率

我们使用下面的工具来测试DNS服务器:DNSRU

DNS Benchmarking & Research utility 会在一段时间内发出大量的DNS请求来测试DNS服务器的工作状况。工具已经非常古老,而且会提示测试时间已到,请使用“时光倒流”或者“永不过期”在Google搜索相应的工具来解除这个限制。例如:SoftSea.net 所列出来的工具,都是免费的。

运行DNSRU后,点击它的Benchmark标签进行测试。程序会自动找到本机的首选,辅助DNS服务器进行测试。结果会是如下图:

  • "Cached Name" 表示从被查询的DNS服务器本地缓存查询的结果。
  • "Uncached Name"表示从被查询的DNS服务器本地缓存不能获得查询结果,次服务器向另外的DNS服务器查询的结果。
  • "DotCom Lookup" 查询DotCom这种特殊域名的结果。
  • Min,Max,Avg分别表示各个项目的最小,最大和平均查询时间;Std.Dev是随机抽取地址的查询时间;Reliab%是可靠程度,这个可以看出被测试的DNS服务器查询总量/成功的百分率。

从测试图可以看出本地DNS服务器的稳定性和可靠程度比ISP的要高;而且这还是在凌晨时间的测试结果,如果在上网高峰器,本地DNS服务器稳定性还会下降。

关于最近流行的 OpenDNS ,YsKin已经做过一些心得测试,你也可以用上面的方法从数据上了解一下是否合适。

关于TreeWalk的更多应用请参考它的主页:ntcanuck.com

附送两个同类软件:Posadis DNS serverSANS DNS server


Aug 28

VJPEG

Software | 1 评论 » | Trackback | FavLinks | 5,010 次阅读

VJPEG 这个看图软件很有创意啊:本身没有 GUI ,安装后它会自动关联 JPG, BMP, 和 GIF 文件,(2.0还支持查看PSD文件了)点击这些文件就会直接显示图片,此时仍然无任何边框以及图形界面,全部用热键完成功能上面的操作。你可以打开很多图片,然后用鼠标随意拖动它们在屏幕的位置。

主要热键:

左键点击-拖动: 改变图像尺寸, 移动图像位置;
右键单击: 关闭当前图像文件;
左键双击: 1:1 或者填充整个屏幕显示图像, 哪个更小就按照哪个来;
ESC 健: 关闭当前图像文件;
Ctrl-Alt-Q: 关闭所有打开的文件;

e: 通过 Email 发送当前图像文件;
E: 通过 Email 发送当前文件显示在屏幕的部分 (如果你想发送一个很大的文件,而你想压缩它们,这个办法不错);
a: 亮度自动平衡;
-> / r: 向右转动图像;
<- / R: 向左转动图像;

兼容 "Windows Media/Quicktime" 的热键:
ctrl-1 / alt-1: 按照原图 50% 大小显示;
ctrl-2 / alt-2: 按照原图 100% 大小显示;
ctrl-3 / alt-3: 按照原图 200% 大小显示;
alt-enter: 全屏显示;

兼容 "Photoshop" 的热键:
ctrl-alt-0: 按照原图 100% 大小显示;
ctrl +: 增大图像尺寸;
ctrl -: 减小图像尺寸;

软件只有不到 100K 哦。


Aug 28

我们曾经介绍过 关于Windows的自启动项,但是用户如何去监视这些内容不被恶意程序修改?当然我们不能天天打开注册表去看。

以下译自 Wilders Security Forums 的文章,详细的对比了当前几个流行的注册表监视软件,希望对你抗击恶意程序有所帮助。(注:通常来说注册表监视软件与杀毒软件以及防火墙可以配合使用)

以下可以监视注册表启动键值的程序,大多都是免费软件。每个软件侧重的监视键值都有所不同,我们来做一个比较:

图示

'+' 表示: 键值 (包括启动组) 被软件监视
'L' 表示: 软件只监视 HKLM 子键
'U' 表示: 软件只监视 HKCU 子键
'HK**' 表示: 软件监视 HKLM 和 HKCU 子键
*** 表示: 按照 L 的深度实时监测子键

列表条目类型:

(K) 表示键值, 包括数据和子键都被监测
(v) 表示只监测某个键值数据的改变
(M) 表示监测多个键的不同数据
(?) 表示目前未知

软件名缩写:

1 SM: Mike Lin's Startup Monitor (free)
2 RP: DiamondCS Registry Prot 2.0 (free)
3 RD: RegDefend 1.0 (shareware) [Wilders forum]
4 RR: Regrun 4 Gold Pro (shareware) [see also]
5 TT: Spybot Search and Destroy Teatimer (free)
6 SS: System Safety Monitor (free)
7 GA: Microsoft Antispyware = Giant Antispyware (free)
8 WP: Winpatrol
9 MJ: MJ Registry Watcher 1.2.3.8 (free) [Wilders thread]

后面的 链接s 表示曾经在这个键发现过木马或者其它恶意程序,以供参考。


自启动:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
+ + + + + + + + + (K) HK**\SW\MS\Windows\CV\Run(Once) 链接
- + - + - - - - + (K) HKLM\SW\MS\Windows\CV\RunEx
- + - - - - - - + (K) HKLM\SW\MS\Windows\CV\RunOnce\Setup 链接
- + + + - + + + + (K) HKLM\SW\MS\Windows\CV\RunOnceEx 链接
- - - + + + L + + (K) HK**\SW\MS\Windows\CV\RunServices(Once) 链接
- - + + - - + - + (v) HKCU\SW\MS\Windows\CV\Explorer\Shell Folders\Startup 链接
- - - + - - + - + (K) HKCU\SW\MS\Windows\CV\Explorer\User Shell Folders
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\Explorer\ShellExecuteHooks 链接
- - - + - - - - + (K) HKLM\SW\MS\Windows\CV\Explorer\SharedTaskScheduler 链接
- - - + - - - - + (K) HKLM\SW\MS\Windows\CV\ShellServiceObjectDelayLoad 链接
- - - - - - - - + (?) HKLM\SW\MS\Windows\CV\app management\arpcache\ 链接
- - - + - - - - + (K) HKLM\SW\MS\Active Setup\Installed Components 链接
- - - ? - - - - + (M) HKLM\SW\MS\Active Setup\Installed Components\***\StubPath 链接
- + - + + + + - + (K) HKLM\Software\CLASSES\#file\shell\open\command (#=exe,com,pif,bat) 链接
- - - + - + + - + (K) HK**\SW\MS\Windows\CV\policies\Explorer\Run 链接
- - + + - - - - + (v) HKLM\System\CCS\Control\Session Manager\BootExecute 链接
- - - + - - - - + (K) HKLM\System\CCS\Control\Session Manager\FileRenameOperations 链接
- - - - - - - - + (K) HKLM\System\CCS\Control\Session Manager\KnownDLLs 链接
- - + - - - - - + (v) HKLM\System\CCS\Control\Session Manager\PendingFileRenameOperations 链接
- - + - - - - - + (v) HKLM\System\CCS\Control\Session Manager\environment\path
- - - - - - + - + (K) HKLM\System\CCS\Control\lsa 链接
- - + + - + - - + (K) HKLM\System\CCS\Services 链接
- - - + - + - - + (M) HKLM\System\CCS\Services\***\Image Path
- - - - - - - - + (K) HKLM\System\CCS\Services\vxd 链接
- - - + - - + - + (K) HKLM\System\CCS\Services\WinSock2 链接
- - - - + - + - + (K) HKLM\SW\MS\Code Store Database\Distribution Units\ 链接
- - - + - + - - + (?) HKLM\SW\Policies\Microsoft\Windows\System\Scripts\Shutdown
- - - + - + - - + (?) HKLM\SW\Policies\Microsoft\Windows\System\Scripts\Startup 链接
- - - + - U - - + (?) HK**\SW\Policies\Microsoft\Windows\System\Scripts\Logon
- - - + - U - - + (?) HK**\SW\Policies\Microsoft\Windows\System\Scripts\Logoff
- - - + - - - - + (v) HKCU\Control Panel\Desktop\scrnsave.exe 链接
- - - - - - - - - (K) HK**\SW\MS\Windows NT\CV\Extensions
- - - L - - ? - ? (?) HK**\SW\MS\Windows NT\CV\IniFileMapping\win.ini\load
- - - L - - ? - ? (?) HK**\SW\MS\Windows NT\CV\IniFileMapping\win.ini\run
- - - L - - L - + (v) HK**\SW\MS\Windows NT\CV\IniFileMapping\win.ini\Winlogon
- - - L - - L - + (v) HK**\SW\MS\Windows NT\CV\IniFileMapping\system.ini\boot\shell
- - + + - - - + + (v) HKCU\SW\MS\Windows NT\CV\Windows\Run 链接
- - + + - - - + + (v) HKCU\SW\MS\Windows NT\CV\Windows\Load 链接
- - L + - - - - + (K) HK**\SW\MS\Windows NT\CV\Winlogon 链接
- - L + - - L - + (v) HK**\SW\MS\Windows NT\CV\Winlogon\UserInit 链接
- - + + - + + - + (v) HKLM\SW\MS\Windows NT\CV\Winlogon\Shell 链接
- - + - - - - - + (v) HKLM\SW\MS\Windows NT\CV\Winlogon\Taskman
- - - + - - - - + (K) HKLM\SW\MS\Windows NT\CV\Winlogon\Notify 链接
- - - + - - - - + (K) HKLM\SW\MS\Windows NT\CV\Svchost ASP&NoWebContent=1" rel="external"">链接
- - + + - + - - + (v) HKLM\SW\MS\Windows NT\CV\Windows\APPINIT_DLLs 链接
- - - - - - - - + (M) HKLM\SW\MS\Windows NT\CV\Accessibility\Utility manager\***\Application path
- - - - - - - - + (K) HKLM\SW\MS\Windows NT\CV\WOW\boot 链接
- - - - - - - - + (K) HKLM\SW\MS\Windows NT\CV\Shell Extensions\Approved 链接
- - - - - - - - + (K) HKEY_CLASSES_ROOT\Protocols\Filter 链接
- - - - - - - - + (K) HKLM\SW\Classes\Protocols\Filter 链接
- - - - - - - - + (K) HK**\SW\classes\mailto\shell\open\command 链接
- - - - - - - - + (v) HKCU\SW\MS\Command Processor\AutoRun 链接
- - - - - - - - + (K) HK**\SW\MS\ole 链接
- - - - - - + - - (v) HKCR\ftp\shell\open\command\(Default)
- - - - - - + - - (v) HKCU\ftp\shell\open\command\(Default)
- - - - - - - - + (K) HKLM\System\CCS\Control\MPRServices 链接
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J


安全设定:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- - - - - - - - + (K) HKLM\SW\MS\Windows\CV\Explorer\Advanced 链接
- - - - - - - - - (K) HKLM\SW\MS\Windows\CV\WindowsUpdate 链接
- - - - - - - - + (K) HK**\SW\MS\Windows\CV\policies\Explorer 链接
- - - - - - + - - (K) HKLM\SW\MS\Windows\CV\policies\Explorer\RestrictRun 链接
- - - - - - - - + (K) HK**\SW\MS\Windows\CV\policies\System 链接
- - - - - - - - + (K) HK**\SW\MS\Windows\CV\policies\Network 链接
- - - - - - - - - (K) HKLM\SW\MS\Security Center 链接
- - - - - - - - - (K) HKLM\SW\Policies\Microsoft\Windows\WindowsUpdate 链接
- - - - - - + - + (v) HKLM\SW\MS\Windows NT\CV\Winlogon\DefaultPassword

微软浏览器恶意劫持程序:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- - + + + - + - + (K) HKCU\SW\MS\Windows\CV\Explorer\Browser Helper Objects 链接
- - - - - - L - + (K) HK**\SW\MS\Internet Explorer\Toolbar 链接
- - - - U - U - + (K) HK**\SW\MS\Internet Explorer\Toolbar\WebBrowser 链接
- - - - - - U - + (K) HK**\SW\MS\Internet Explorer\Toolbar\ShellBrowser
- - - - U - + - + (K) HK**\SW\MS\Internet Explorer\Explorer Bars\ 链接
- - - - U - - - + (K) HK**\SW\MS\Internet Explorer\MenuExt\ 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Local Page 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Search Page 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Search Bar 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Start Page 链接
- - - - U - L - + (K) HK**\SW\MS\Internet Explorer\Search\ 链接
- - - - U - - - + (K) HK**\SW\MS\Internet Explorer\SearchUrl\ 链接
- - - - - - - - + (K) HK**\SW\MS\Internet Explorer\Styles 链接
- - - - - - L - + (K) HKLM\SW\MS\Internet Explorer\AboutURLs 链接
- - - - - - + - + (K) HK**\SW\MS\Internet Explorer\extensions
- - - - - - - - + (K) HKCU\SW\MS\Internet Explorer\extensions\cmdmapping 链接
- - - - - - + - - (K) HKCU\SW\MS\Internet Explorer\URLSearchHooks 链接
- - - - - - - - - (K) HK**\SW\MS\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN 链接
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\Internet Settings\SafeSites 链接
- - - - - - + - - (M) HKCU\SW\MS\Windows\CV\Internet Settings\Zones\***\CurrentLevel
- - - - - - + - - (K) HKCU\SW\MS\Windows\CV\Internet Settings\ZoneMap\Domains
- - - - - - - - + (K) HKU\.default\SW\MS\Internet Explorer\extensions\cmdmapping
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\URL\DefaultPrefix 链接
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\URL\Prefixes 链接


可能发生恶意事件的键值:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- + - - - - + + + (K) HKCU\SW\MS\Windows\CV\RunOnceEx
- - - - - - - - + (K) HKCU\SW\Policies\Microsoft\Windows\safer\codeidentifiers
- - - - - - - - + (K) HK**\SW\MS\Windows NT\CV\IniFileMapping
- - - - ? - - - + (K) HK**\SW\MS\Internet Explorer\
- - - - ? - - - + (K) HK**\SW\MS\Internet Explorer\Main\
- - - - - - - - + (K) HKLM\System\CCS\Services\WinSock2\Parameters
- - - - - - - - + (K) HKCU\SW\MS\Windows\CV\Explorer\fileexts
- - - - - - - - + (K) HKU\***\SW\MS\Windows\CV\Explorer\fileexts\***\OpenWithList
- - - - - - - - + (M) HKU\***\SW\MS\Windows\CV\Explorer\fileexts\***\Application
- - - - - - - - + (K) HKU\***\SW\MS\Windows\CV\Run(Once)
- - - - - - - - + (K) HKU\***\SW\MS\Windows\CV\RunServices(Once)
- - - - - - - - + (K) HKCR\Protocols\Filter\Class Install Handler


特色内容:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- - + + - + - - + ¦ *** Monitors any user configured reg. keys ***
- - - - - - - - + ¦ Monitors user configured keys based on wildcards
- - + + - + - + + ¦ Monitors any user configured file associations
+ + - - + + - - + ¦ Is free
- - + - - + - - + ¦ Displays complete list of monitored keys
- - - + - - - + + ¦ Displays the content of autostart entries
+ + - + + + + + + ¦ Works by polling the registry content every x seconds
- - + - - - - - - ¦ Works by intercepting registry change attempts
- - ? + + + - - + ¦ Also monitors deletions from registry
- - - - - + + - + ¦ Auto-undos the change before displaying popup dialog
- - + - - + ? - - ¦ Is also a kind of sandbox
+ + ? + + - + + + ¦ Monitors some files for changes
- - ? ? - + - - - ¦ Survives certain termination attempts

以上大多数都是可以实现自启动的键值,还有一些也是你不想被恶意程序修改的地方。.

如果你发现其中有错误,或者们某些软件(像是 Ad-Watch)增加了监视的内容,请告知。

你还可以使用 Sysinternals Autoruns 这个免费软件来查看自启动程序列表. 注意: 它不是一个注册表监视器.

访问一下地址获取更多关于注册表键值的知识和解释:

http://forums.subratam.org/index.php?showtopic=1063
http://www.diamondcs.com.au/index.php?page=autostarts
http://www.giantcompany.com/antispyw...manifests.aspx
http://research.pestpatrol.com/White...rtingPests.asp
http://www.cpcug.org/user/clemenzi/t...Hijackers.html
The NT booting process

Registry,Monitor,Comparison,Freeware


Aug 28

以下是系统启动的时候所有可能加载启动程序的方式,了解它对于解决未知的木马病毒间谍软件等会有好处。

最常见的6个启动文件夹

1. WinDir\Start Menu\Programs\Startup\
2. User\Startup\
3. All Users\Startup\
4. WinDir\system\iosubsys\
5. WinDir\system\vmm32\
6. WinDir\Tasks\

12个可能的自启动文件位置

1. c:\explorer.exe
2. c:\autoexec.bat
3. c:\config.sys
4. windir\wininit.ini
5. windir\winstart.bat
6. windir\win.ini - [windows] "load"
7. windir\win.ini - [windows] "run"
8. windir\system.ini - [boot] "shell"
9. windir\system.ini - [boot] "scrnsave.exe"
10. windir\dosstart.bat
11. windir\system\autoexec.nt
12. windir\system\config.nt

35个注册表的自启动位置

1. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\
All values in this key are executed.

2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
All values in this key are executed, and then their autostart reference is deleted.

3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
All values in this key are executed as services.

4. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
All values in this key are executed as services, and then their autostart reference is deleted.

5. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
All values in this key are executed.

6. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
All values in this key are executed, and then their autostart reference is deleted.

7. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
Used only by Setup. Displays a progress dialog box as the keys are run one at a time.

8. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
Similar to the Run key from HKEY_CURRENT_USER.

9. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Similar to the RunOnce key from HKEY_CURRENT_USER.

10. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
The "Shell" value is monitored. This value is executed after you log in.

11. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
All subkeys are monitored, with special attention paid to the "StubPath" value in each subkey.

12. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\
All subkeys are monitored, with special attention paid to the "StaticVXD" value in each subkey.

13. HKEY_CURRENT_USER\Control Panel\Desktop
The "SCRNSAVE.EXE" value is monitored. This value is launched when your screen saver activates.

14. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager
The "BootExecute" value is monitored. Files listed here are Native Applications that are executed before Windows starts.

15. HKEY_CLASSES_ROOT\vbsfile\shell\open\command\
Executed whenever a .VBS file (Visual Basic Script) is run.

16. HKEY_CLASSES_ROOT\vbefile\shell\open\command\
Executed whenever a .VBE file (Encoded Visual Basic Script) is run.

17. HKEY_CLASSES_ROOT\jsfile\shell\open\command\
Executed whenever a .JS file (Javascript) is run.

18. HKEY_CLASSES_ROOT\jsefile\shell\open\command\
Executed whenever a .JSE file (Encoded Javascript) is run.

19. HKEY_CLASSES_ROOT\wshfile\shell\open\command\
Executed whenever a .WSH file (Windows Scripting Host) is run.

20. HKEY_CLASSES_ROOT\wsffile\shell\open\command\
Executed whenever a .WSF file (Windows Scripting File) is run.

21. HKEY_CLASSES_ROOT\exefile\shell\open\command\
Executed whenever a .EXE file (Executable) is run.

22. HKEY_CLASSES_ROOT\comfile\shell\open\command\
Executed whenever a .COM file (Command) is run.

23. HKEY_CLASSES_ROOT\batfile\shell\open\command\
Executed whenever a .BAT file (Batch Command) is run.

24. HKEY_CLASSES_ROOT\scrfile\shell\open\command\
Executed whenever a .SCR file (Screen Saver) is run.

25. HKEY_CLASSES_ROOT\piffile\shell\open\command\
Executed whenever a .PIF file (Portable Interchange Format) is run.

26. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
Services marked to startup automatically are executed before user login.

27. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\
Layered Service Providers, executed before user login.

28. HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline
Executed when a 16-bit Windows executable is executed.

29. HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline
Executed when a 16-bit DOS application is executed.

30. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Executed when a user logs in.

31. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\
Executed by explorer.exe as soon as it has loaded.

32. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
Executed when the user logs in.

33. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
Executed when the user logs in.

34. HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\
Subvalues are executed when Explorer initialises.

35. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\
Subvalues are executed when Explorer initialises.

依赖软件,但是软件不是万能的,知道根源,手动解决 :twisted:


Aug 26

NirSoft其实和以前的 sysinternals一样,也有非常多好用的免费软件,sysinternals 官方有个Suite,我今天也做个 HomeMade,方便大家收集使用。

以下是各个软件的简介,原文来自:http://www.nirsoft.net/utils/index.html,翻译不到之处,万请指正。(还有几个不太懂的就没翻了,希望能人补上.)

密码恢复工具(以下工具用于恢复和查看密码,请勿用于非法用途。 )
MessenPass v1.10 - Instant Messenger Password Recovery
MessenPass 可以用来恢复一下即时通讯工具的密码: MSN Messenger, Windows Messenger (In Windows XP), Windows Live Messenger (In Windows XP And Vista), Yahoo Messenger (Version 5.x/6.x), ICQ Lite 4.x/2003, AOL Instant Messenger, AOL Instant Messenger/Netscape 7, Trillian, Miranda, and GAIM.
Asterisk Logger v1.02
可以用来显示Windows标准密码框中的星号密码。
Dialupass v2.43 - Dialup Password Recovery
查看拨号网络的用户名,密码,域信息。 可以很好的工作在 Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, 和 Windows XP下. 在 Windows 2000/XP 使用这个工具需要管理员权限.
Protected Storage PassView v1.63
这个工具用来查看使用 Internet Explorer, Outlook Express 和 MS-Outlook POP3帐号保存的密码信息。
IE PassView v1.04
IE PassView 这个小工具用来查看用 Internet Explorer 浏览器保存过的密码信息, 支持 Internet Explorer 7.0, 当然也包括 Internet explorer, v4.0 - v6.0
Network Password Recovery v1.10
当你连接 LAN 上的共享计算机或者你的 .NET Passport/Messenger 帐号, Windows XP/Vista 允许你记住这些密码以便下次登录时使用. 这个工具可以查看当前用户这些被记录过的密码.
AsterWin IE v1.03
这个工具用来查看 Internet Explorer 5.0 或者以上版本浏览器中的星号密码,即使它们没有被保存在本机上,你也可以通过这个工具查看这些网页密码。需要VB运行库,附带源代码。
Mail PassView v1.38 - Email Password Recovery
恢复以下邮件客户端的帐户密码: Outlook Express, Microsoft Outlook 2000 (POP3/SMTP Accounts only), Microsoft Outlook 2002/2003/2007, Windows Mail, IncrediMail, Eudora, Netscape Mail, Mozilla Thunderbird, Group Mail Free, and Web-based email accounts.
PstPassword v1.00
恢复 Outlook .PST (Personal Folders) 文件密码.
WirelessKeyView v1.10
WirelessKeyView 可以恢复你的无线网络密匙 (WEP/WPA) 。这些密匙在 Windows XP 下通过 'Wireless Zero Configuration' 服务储存在你的计算机上,在 Windows Vista 中则是'WLAN AutoConfig' .
Remote Desktop PassView v1.00
这个工具用来显示储存在 .rdp 文件中的 Microsoft Remote Desktop Connection(微软远程桌面)密码.
LSASecretsView v1.10
LSASecretsView 显示所有储存在注册表中的 LSA 密文信息. 具体位置是:HKEY_LOCAL_MACHINE\Security\Policy\Secrets ,它可能包含 RAS/VPN 密码, 自动登录密码,或者其它系统密码/密匙.
LSASecretsDump v1.10
上面那个工具的命令行版本。
PCAnywhere PassView v1.11
PCAnywhere密码查看工具。 可以查看登录和保护密码,支持7.5和10.0版本,理论上支持以上版本。
Access PassView v1.12
这个工具支持查看由 Microsoft Access 95/97/2000/XP 或者 Jet Database Engine 3.0/4.0 创建的 mdb 数据库文件密码。
Win9x PassView v1.1
查看 Windows 95/98 操作系统上的一些密码.
Content Advisor Password Remover
移除 Internet Explorer (versions 4.x and above) 的内容保护密码. 提供Visual C++ 源代码
Enterprise Manager PassView v1.00
查看 SQL Server Enterprise Manager 储存在本地机器的密码。
AsterWin v1.20
又一个查看星号密码的工具,支持的操作系统: Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000 and Windows XP.
AspNetUserPass v1.00
AspNetUserPass is 是用来查看本机 ASPNet 用户密码的命令行工具.
Netscapass v2.03
查看由 Netscape Communicator 4.x, Netscape 6.x 和 Netscape 7 记录下来的网页密码和 POP3 密码。 网络监视工具
SmartSniff v1.30
SmartSniff 抓取网络适配器上的数据包, 显示客户端和服务器之间的数据交流. 可以是明文 (例如 HTTP, SMTP, POP3 和 FTP协议信息.) 也可能是 HEX 代码(例如 DNS)
SniffPass v1.01 - Password Sniffer
SniffPass 抓取流过网络适配器的密码,支持以下协议: POP3, IMAP4, SMTP, FTP, and HTTP 。
CurrPorts v1.20
列出所有 TCP/IP 和 UDP 连接,列出打开端口的应用程序,并将终止程序以外,它提供的信息十分详细,从版本到调度的服务,还能实时高亮显示新出现的程序等等。
AdapterWatch v1.01
显示网络适配器的硬件信息、 IP 地址、各种服务器地址等信息。
NetResView v1.10
NetResView 显示局域网上的所有资源,包括所有工作组和域。
互联网相关工具
IPNetInfo v1.09
IPNetInfo用来查询相关 IP 地址所有信息: 拥有者, 所在国家/所在地, 注册人信息等等。 IPNetInfo 可以自动截取邮件文件头的所有 IP 地址,以用来查询匿名邮件的来源。
WhoisThisDomain v1.12
域名查询。
FastResolver v1.00
多线程的域名IP地址互查软件。
SeqDownload v1.20
定时下载网页上那种不停变化图片的软件,一段时间后,你下载的软件就可以做成不错的动画了。
GoogRank v1.01
显示某网站的 Google's PageRank .
IECookiesView v1.70
显示查看更改删除本机上的 Cookie 文件。 Read More >>
FavoritesView v1.10
显示查看修改收藏夹的软件,支持IE和NS,可以找出重复的链接。
MozillaCookiesView v1.11
支持 Mozilla 浏览器的Cookie管理软件。
IEHistoryView v1.34
管理 Internet Explorer 浏览历史的软件。
ActiveX Compatibility Manager v1.00
轻松 禁用/启用 Internet Explorer 浏览器的 ActiveX 组件.
HTMLAsText v1.05
转换 HTML 为纯文本文件。
IdenSwitch v1.01
用任意身份登录 Outlook Express。
AddrView v1.01
AddrView 用来提取网页文件中的下载地址, 包括图像 ( tag), 外连文件 ( tag), CSS 文件, 框架, Flash 文件等等.
TagsReport v1.00
TagsReport 读取 HTML 文件然后显示文件中的标签信息。
JavaScript Animator Express v1.10
使用(GIFs and JPGs) 图片创建简单的网页 JS 动画。
CustomizeIE v1.00
为 Internet Explorer 添加新的菜单或者工具栏按钮。
TurnFlash v2.10 (UI Version)
实时启用/禁用 Internet Explorer 的 Flash 显示.
TurnFlash v1.00 (command-line version)
上面工具的命令行版本,包含源代码。
MIMEView v1.10
显示系统中定义的所有 MIME 类型及其关联文件。
命令行工具
NirCmd v1.85
功能强大的命令行工具, 你可以用它读写删除注册表, 写 INI 文件, 拨号或者连接到 VPN 网络, 重启或者关闭计算机, 为文件创建快捷方式 更改文件日期, 更该显示属性, 等等...
AtNow v1.1
定时启动工具。 包含Visual C++源代码。
GoogRankCmd v1.01
命令行显示某网页的 Google's PageRank ,不需要 Google Toolbar 或者其他插件支持
WhosIP v1.02
命令行版本的 IP 信息查询。
WhoisCL v1.12
命令行版本的域名信息查询。
SNRemove v1.00
This utility removes the reference to strong name signature from .NET exe and dll files. After removing the strong name reference, you can make any change you want in dll/exe file, without getting any exception or error message.
桌面工具
Volumouse v1.31
让您通过鼠标滚轮来控制音量的小软件。
NirExt v1.01
NirExt 在资源管理器关联菜单增加了3个小功能: 文件夹属性: 右键点击文件夹时出现,可以改变文件夹图标,以及鼠标悬停提示; 高级运行: 右键点击可执行文件时出现 (*.EXE).你可以配置一些参数来运行这个执行文件。 增强创建快捷方式: 右键点击任何文件都会出现这个选项。. 创建文件快捷方式的同时,让你把这个快捷方式放入: 桌面, 开始菜单, 等等定义好的一些常用文件夹中。.
WinLister v1.12
显示当前打开的所有窗口,它们的详细信息,你也可以选择关闭,隐藏它们。
ShortcutsMan v1.01
显示桌面和开始菜单的所有快捷方式,可以修复删除已经失效的快捷方式。
MyUninstaller v1.34
方便快捷的反安装软件(替代系统的添加/删除功能)。
WinMessControl v1.00
禁用/启用 Windows XP 下的 Windows Messager.
系统工具
OpenedFilesView v1.03
显示系统中当前打开的所有文件及其相关信息。
WinUpdatesList v1.13
查看系统中已安装的更新项目的信息,包括包含文件,内容等等。
SysExporter v1.20
抓取几乎所有应用程序标准列表框,组合框中的数据,显示或者输出这些数据。
ShellExView v1.16 - Shell Extensions Manager
显示系统中所有外壳扩展的详细信息, 你可以禁用/启用这些扩展。
DLL Export Viewer v1.10
显示 DLL 文件的输出函数和虚拟内存地址。
RegScanner v1.40
注册表搜索增强工具,一次性显示所有的搜索结果,不用再辛苦的F3了,双击结果可以跳到该键值。
USBDeview v1.03
显示所有当前连接或者曾经连接在你机器的USB设备,点击这些设备可以查看详细的扩展信息。
MonitorInfoView v1.01
查看显示器的详细信息r: 厂商 年份, 显示屏厂商, 型号 支持模式 等等... 这些信息 EDID ("Extended display identification data")都储存在你的计算机上. 你也可以通过远程管理员权限查看j局域网上的其他计算机显示器信息。
DumpEDID v1.01
上面工具的命令行版本。
RunAsDate v1.00
以特定的时间运行某程序,但并不改变系统时间。
NK2View v1.00
Each time that you send a new message in Outlook, the emails that you type in To/Cc fields, are automatically inserted into the AutoComplete list, so in the next time that you type an email address, Outlook automatically completes the right email address for you. The AutoComplete file of Outlook is stored under [Your Profile]\Application Data\Microsoft\Outlook , and it always saved as the profile name of Outlook with .NK2 extension. This utility reads the AutoComplete file of Outlook (with .NK2 extension), displays all email records stored in it, and allows you to easily export these records into text/html/xml file.
OfficeIns v1.02 - Microsoft Office Add-Ins Manager
查看和管理 Microsoft Office add-ins 的软件,通过它你可以 禁用/启用这些 Add-ins..
ProduKey v1.06
显示当前机器的 MS-Office, Windows, SQL Server 序列号。
ActiveXHelper v1.11
显示管理系统 ActiveX 组件的工具,你可以禁用/启用这些组件。
InjectedDLL v1.00
显示注入系统中所有进程的DLL文件。
CurrProcess v1.11
类似 Process Explorer ,任务管理器的增强版本,显示管理系统进程的详细信息。
ServiWin v1.30
显示和管理系统中的服务和驱动。
ShellMenuView v1.00
管理右键点击文件/文件夹中出现的那些菜单项。
DriverView v1.10
显示和管理系统加载的驱动程序。
FoldersReport v1.21
显示文件夹的详细信息。
StartupRun v1.22
显示管理 Windows 的启动项目。
GACView v1.01
GACView is an alternative to the standard .NET assembly viewer on Windows Explorer. In addition to the standard columns, GACView displays additional information for each assembly, like modified date, file size, full path of the assembly file, file version, and so on. GACView also allows you to delete an assembly the cannot be uninstalled in the regular way.
JRView v1.00
JRView is a small utility that displays the list of all Java Runtime Environments and Java Development Kits installed on your system, and allows you to run a Java application (.class or .jar file) on the desired Java environment.
MMCompView v1.10
显示管理多媒体组件 (解码器, ActiveX 滤镜),你也可以禁用/启用其中的某个组件。
IECompo v1.00
显示当前安装的 Internet Explorer 组件。
FileDate Changer v1.1
改变文件日期的工具,可以同时处理多个文件。
Explorestart v1.00
这个工具不干别的,运行它你的所有 explorer.exe 和 iexplore.exe 实例马上会被关闭,同时会重新运行一个新的 explorer.exe 。
其它工具
MetarWeather v1.51
天气查询软件。
ZipInstaller v1.21
简单的创建一个安装/反安装程序的小工具。
IconsExtract v1.41
提取 EXE, DLL, CPL, 和 OCX 文件中的 ICO 或者 CUR 文件.
WinExplorer v1.30
按等级显示所有系统窗口,你可以查看修改这些窗口的数据。 包含源代码。
ExeInfo v1.01
显示 可执行文件 (*.exe), 动态链接库 (*.dll), ocx 文件, 和驱动文件的详细说明。.
pcANYWHERE Hosts Scanner v1.01
在 TCP/IP 网络上搜索所有的 pcANYWHERE 主机。包含Visual Basic源代码。

下载连接包含所有软件的,有中文语言的均已奉上,截至2007-5-20日的最新版。


Aug 26

虽然说都步入Vista时代了,不过命令行始终有它独特的魅力,下面要推荐的3款软件都是多窗口的命令行Windows版本,嗯,它们都支持Visual Style(这是我最不能容忍系统CMD窗口的地方>_<)。

第一个是 JPSoft TCI - Tabbed Console Interface

可在一个多页面窗口内同时运行多个控制台程序 (比如4NT, CMD, bash, Monad, 等等.).

  • 可连接或断开某个控制台进程;
  • 在各个控制台页面间复制粘贴数据;
  • 通过定制工具条快捷方式向各个页发送命令数据;

下载:



第二个是: PowerCMD


高度可定制的界面配置;

高亮显示搜索结果;

显示命令行的环境参数;

自动完成功能;

可以集成到资源管理器右键菜单中,随时调用它;

历史记录以及自动完成功能;

全方位的文字编辑功能。

下载:



最后一个Console是免费软件(Freeware),所以功能上比较简单,不过一般也足够用了:


Aug 26

Tor 大家都熟了吧,无数的集合版本让它普及的很快。不过 Tor 致命的缺陷就是速度太慢,而且现在有很多“陷阱”节点。

嗯,如果你也觉得 Tor 太慢,可以试试 Your Freedom 。

Your Freedom 是一款类似 Tor (其实我觉得它更像 JAP),是欧洲(德国?)某公司开发的用于穿透防火墙和内容过滤的代理软件。

与 Tor 做简单比较的话,YF 的优点主要体现在绝大多数情况下它比 Tor 要快(深圳电信),而且本身直接支持 HTTP 和 Socks 代理,图形界面设置比较方便,也支持二级代理。

缺点呢,你必须安装 SUN JAVA 1.4.2 +,这东西有 10 几 M ...程序本身倒是不大,1 M 多吧,而且使用前你必须(免费)申请一个帐号(是否通用未知)。

下面介绍如何使用它:

1、在 YF 的网站上 注册 一个用户,需要电子邮件验证,所以不能乱填;
2、下载 并安装YF;
3、运行,使用向导建立最基本的配置,如果上网环境不涉及代理,基本不用改动什么,让它自己查找最合适的节点群;
4、默认参数就能很好的工作,HTTP 代理开在 8080 端口,SOCKS 开在 1080 端口,当然你也可以 DIY

补充下,有防火墙的要允许 JAVAW.EXE UDP/TCP 出站。


[21/21]  «< 12 13 14 15 16 17 18 19 20 21