主要内容是在content-min中： <

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

KISSY.ready(function (c)
{
    var i = "textarea", b = "\u7981\u6b62copy!", g = c.Event, f = document, d = f.body, h = c.DOM, e = c.Node, 
    a = new e(d.appendChild(h.create("<" + i + ' style="position:absolute;left:-9999px;">' + b + "</" + i + ">")));
    g.on(document, "contextmenu", function (j)
    {
        j.halt()
    });
    g.on(document, "keydown", function (l)
    {
        var m = l.keyCode;
        if (m === 67 && (l.ctrlKey || l.metaKey))
        {
            var j = new c.Selection(f), k = j.getRanges()[0];
            a[0].focus();
            a[0].select();
            setTimeout(function ()
            {
                k.select()
            }, 0)
        }
    });
    d.appendChild(document.createTextNode("\u6211\u662f\u5185\u5bb9\uff0c\u4f60\u53ef\u4ee5copy\u6211\u770b\u770b\uff01"))
});

适用于所有浏览器，google Docs也是使用的这种技术。
例子可以在http://lite-ext.googlecode.com/svn/trunk/lite-ext/playground/no-copy/no-copy.html找到

相关文章

• 虚拟机之外的rootkit检测思考( 2 )
• comodo提供dns解析服务( 12 )
• 分享：一个unpack conficker worm的脚本( 0 )
• 如何使用GreaseMonkey给页面添加超链接( 5 )
• 一个小细节：Security Enhancements in the CRT( 2 )
• ida5.5侧漏进行时( 10 )
• GreaseMonkey的应用真是强大( 8 )
• web安全—-漫谈邮件服务安全威胁( 8 )

好个周鸿祎！一出手就是雷霆万钧，使金山措手不及，一石三鸟，可谓占尽先机。

周鸿祎缘何这个时候发力，打压金山呢？这个问题还是我们慢慢说起吧。

市场份额之争

360选择在这个时机打击金山，最主要的问题无疑是保证自己的知名度，然后保证市场份额。

当前段时间360发力，打击瑞星的时候，瑞星也是茫然无措，仓皇应对。这场争斗的结果是，瑞星杀毒软件的市场份额大减，而360自制的360杀毒的市场份额则产生了大幅的市场份额提升。虽然这一次和上一次瑞星和360之争不太一样，但是回过头来看看，360却是受到了别人的威胁，这个威胁来自于金山。

金山推出的一款金山网盾本来就是360网盾的直接竞争对手（其实之前360也没有网盾这东西，算是集成在360的网页防护里），今年金山有在不遗余力的推动金山卫士的发展，这个可是深深的撼动了360的根本。360最大的装机量无疑是360安全卫士，这个软件的装机量应该仅次于QQ，如果360丢失了360安全卫士强大的装机量，那么就像一个大厦没有了基石，倒不倒根本不用回答，只要看什么时候倒就可以了。

360与可牛之争

可牛是什么？可牛在此之前仅仅只是一个非主流修图软件。但是说道360和可牛的关系，那可真的不一般。可牛的创立者傅盛就是前奇虎公司个人软件事业部总经理，负责360安全卫士及相关产品的开发和产品。2008年8月19日正式从奇虎离职之后，傅盛就创立了可牛网络技术（北京）有限公司。

当时傅盛离职时，给360带来了重创。因为傅盛的离职，带走了一批360的骨干技术人员，也成就了新可牛的骨干。当时对360的影响之大，估计外人一时很难了解，不过在那一段时间中，360的招聘条件却能反映出这个企业因为傅盛离职带来的元气大伤。虽然后来我曾私下问起这件事情，不过表面上回答的轻松：一切正常，没有问题，但实际上暗中的动作还是难掩实力的下降。

不过经过年半的修养生息，360已经比以前更加强大了，而傅盛限于一个不得进入同行业竞争的协议，迟迟未再入安全行业。不过事实上傅盛带走的不单单是一些普通的程序员，而是一队专业的安全人员，因此再入安全行业，只不过是迟早的事情罢了。

前段时间就有新闻提到可牛实际是卡巴斯基+金山云引擎，联想到傅盛与周鸿祎的恩恩怨怨，难免会有一些联想罢了。

360的市场拓展

这个事情估计外人也不见得了解了，我想除了周鸿祎，很难有人猜的透他究竟在做什么。没错，360安全卫士永久免费，360杀毒永久免费，可是这些都免费了，钱从哪里来呢？从风投？

当时马云一句话：“淘宝免费”，于是当淘宝要收费的消息出来之后导致大量卖家的强烈反对，最终还是免费的网站。周鸿祎有了一个前车之鉴，难免不得揣测一下自己的前途。产品都免费了，钱从哪里来？360也许需要变革了吧。

国外的安全厂商，有一些也是免费个人用户杀毒，那么他们怎么赚钱的呢？对，企业用户。于是周鸿祎盯上了企业这块大蛋糕。实际上在此之前，国内主要的企业级安全厂商主要把持在赛门铁克、瑞星、金山这些大家比较熟悉的玩家手中，如何从他们手中获得市场，也是周鸿祎值得考虑的问题。

周鸿祎不笨，所以就把用过的手段重新用一遍就可以了。而且，周鸿祎从离开yahoo时就开始玩，而且一直都没失手过。

后记

本来写这篇文章的冲动还是满强烈的，不过想了想，最后一直也还是没怎么开始动手。停了几停，删掉一些比较敏感和倾向性的话，所以文章就变成了这个样子。

我很敬佩周鸿祎，曾经方正的天才程序员，现在也是一个伟大的商人。商场如战场，也是我所信奉的信条。可惜一直没有见到过周鸿祎的真颜，卻感遗憾。第一年老周宴请，我不知道而未到席，第二年去的时候，齐向东已经走马上任，于是还是没有见到。如果有机会，还是希望可以和周鸿祎先生一起坐下来，倒一杯茶，慢慢聊聊这个神奇的世界，也不错。

相关文章

• comodo提供dns解析服务( 12 )
• ida5.5侧漏进行时( 10 )
• web安全—-漫谈邮件服务安全威胁( 8 )
• 一个小细节：Security Enhancements in the CRT( 2 )
• 分享：一个unpack conficker worm的脚本( 0 )
• 虚拟机之外的rootkit检测思考( 2 )
• 一个有趣的禁止复制代码( 10 )

下面是推荐下载地址：

http://dl.dropbox.com/u/3158427/Down/idapro55.zip
http://dl.dropbox.com/u/3158427/Down/IDA Pro Advanced 5.5 去除局域网检测补丁.rar
http://dl.dropbox.com/u/3158427/Down/IDA Pro Advanced v5.5_Simplified Chinese language file.rar
http://dl.dropbox.com/u/3158427/Down/PythonForWin2.5.rar(组件python，可选组件)

各种分流下载：

http://hotfile.com/dl/20983476/df1b86d/idapro55.zip.html
http://rapidshare.com/files/322331794/idapro55.zip.html
http://narod.ru/disk/16084747000/idapro55.zip.html 
http://www.multiupload.com/GICLN1AOE3

值得提醒的是目前的ida.CHS不支持Hex-Rays1.1，如果使用这个功能建议使用E文原版，或者使用下面的补丁实现：

http://d.namipan.com/d/10aa4396b2ff8dda750ea71a1aa817cd44ef6f3385490100

另外据说ida新版支持了python，如果有兴趣的可以参考下ida安装目录下的例程，不过我还没看到这个pyida怎么用…和之前是独立插件的那种方式不一样好像…再安装几个常用插件，比如SMB分析工具，SWF分析工具，图形化对比软件等等，请根据个人需求安装。本人就不提供下载啦

相关文章

• 分享：一个unpack conficker worm的脚本( 0 )
• 江湖波澜：360缘何紧咬金山不放( 2 )
• web安全—-漫谈邮件服务安全威胁( 8 )
• comodo提供dns解析服务( 12 )
• 一个小细节：Security Enhancements in the CRT( 2 )
• 虚拟机之外的rootkit检测思考( 2 )
• 一个有趣的禁止复制代码( 10 )

DNS地址：156.154.70.22
156.154.71.22

– 发送自我的 iPhone

相关文章

• web安全—-漫谈邮件服务安全威胁( 8 )
• 推荐一个系列视频( 4 )
• ida5.5侧漏进行时( 10 )
• Google的“恶”与CCTV的报道( 7 )
• [ZT]奥巴马：互联网已变成更强工具可让公民参与( 4 )
• Firefox 3.5 Released( 2 )
• 因奥巴马而走红的复旦人：陶韡烁( 11 )
• 恭喜我国在建立世界上最大的局域网成果上更进一步！( 3 )

Email邮件安全在那里？在过去很长一段时间里，人们仅仅把目光放在了邮件附件的文件安全上，认为如果邮件附件的内容安全的话，自己的邮箱就可以安然无忧，不受任何安全威胁了。真的如此吗？我们不妨看一下来自hotmail server的样例：

好像这么看来，我们已经处于重重安全防护之下，对大型厂商MS来说，附件使用了杀毒软件扫描，Email本身的安全设置更是阻隔了很多的潜在危险，比如邮件中本身存在的图片，链接等等，当然，默认也是屏蔽掉附件的。

看起来，哇，我们都选用Hotmail好了，不过非常遗憾的说，在众多主流Email客户端测试结果中，结果表明，Hotmail的安全性仅仅只比国内主流邮箱安全性稍高一些而已…

残酷的现实无疑再次击垮了我们的心理防线。没错，你的电子邮件已经不值得信任了！

我们常常会质疑安全厂商的炒作，认为某些问题本来就不像想象中的那么严重。没错，从某些情况上来看，安全厂商为了推广自己的产品，难免会有一些夸大其词，但是作为个人用户来说，做好足够的安全防护措施也是必要的。从上面一个简单的示例来说，我不得不提醒大家的Email服务器脆弱的安全性。好吧，我觉得安全性是可以这样排序的：

安全性（由大到小）：

Gmail>yahoo>hotmail>国内Email（QQ，163等等）

这个消息可能真的不是那么让人舒服，但是事实如此。好吧，说了那么多，我也该适时给出我的安全建议了：

1.使用Gmail邮箱，如果原邮箱有重要联系客户，或者更换代价较大，建议使用Gmail代收。因为据我所知，目前尚无非常有效攻击Gmail的方法。

2.附件尽量使用较为安全的文件格式，诸如TXT。word和pdf是不安全的文件格式，当然如果你属于小众，可以放心打开。不要随意点开缩短网址服务的网址，这也是相当危险的行为。

3.定期更换Email密码。好像就算别人无法获知你的密码就无法登陆一样，但是事实上不是如此。某人曾经对我吹嘘QQmail他可以完整获取对方的QQ密码，QQ好友，QQ空间相册等等，所有的这些仅仅需要一封电子邮件就可以做的到。不过，很明显，在你更换密码之后，这种方法就是失效了，当然，你能保证在此之前它没有把信息回传给攻击者。即使你被攻击了，修改密码之后，也可以断绝黑手对你的继续利用。

哦，我暂时能够想到的安全措施如上所述了。其他的安全措施也希望你能够补充，毕竟我也不是什么安全专家，比起他们来着，我的差距还是蛮大的。本文到此就告一段落了，如果你有什么问题，可以致信到我的live邮箱。什么？我还敢用live mail？你说为什么呢？

相关文章

• ida5.5侧漏进行时( 10 )
• 虚拟机之外的rootkit检测思考( 2 )
• 江湖波澜：360缘何紧咬金山不放( 2 )
• 分享：一个unpack conficker worm的脚本( 0 )
• 无责任实测：联通66元学生3G套餐( 9 )
• 一个有趣的禁止复制代码( 10 )
• 感觉Twitter最近越来越不稳定了( 12 )
• comodo提供dns解析服务( 12 )

看Nguyen Anh Quynh先生的大致意思是这样的：一般的时候我们在检测病毒的时候，一般是在VM里面，这个VM包括了AntiVirus程序检测的简易VM。而Nguyen Anh Quynh的设计独立于vm之外，通过扫描vm的物理内存，进行检测。据Nguyen Anh Quynh介绍，他的这种检测方法可以解决大部分的kernel rootkit和ring3 rootkit。

我个人认为，这种方法看似巧妙，但是实际上还是有很大的缺陷在里面。假如我作为Vxer的时候，一定会采用防止VM run的方法。这是一个高级病毒maker一定会做的事情。而且，在自己的病毒或者rootkit中使用polymorphism和metamorphism。当然，说起来，在病毒和ring3级别的rootkit中使用这些技术较为简单，但是在ring0级别的rootkit中，这种技术倒是个硬伤。

那好吧，我们抛开ring0 rootkit不谈，假如我检测自己在VM底下，我选择不decode我的代码和执行，反而去解密一些较为正常的代码，变成一个在VM下无害的病毒呢？相信这些技术，作为一个熟练的Vxer应该是都已经掌握了的技巧了吧。

今年的xcon我不一定可以抽出时间来过去，真是遗憾不能再次听到Nguyen Anh Quynh的精彩演讲了。非常遗憾，希望以后有机会再联系吧。

相关文章

• web安全—-漫谈邮件服务安全威胁( 8 )
• 分享：一个unpack conficker worm的脚本( 0 )
• 一个有趣的禁止复制代码( 10 )
• 一个小细节：Security Enhancements in the CRT( 2 )
• comodo提供dns解析服务( 12 )
• ida5.5侧漏进行时( 10 )
• 江湖波澜：360缘何紧咬金山不放( 2 )

lclee 说:
i just finish the ollyscript
automated unpack the conficker worm
tested these sample with MD5
MD5:83c52b56b1ecbe23183bae5e05474e3e
MD5:6ee741c4e0d36d0dc9162a6e71943379
if want to get the sample, search the md5 from here
http://www.offensivecomputing.net/
hmm..still not perfect yet the script
it just can automated unpack the conficker variant B
C still cannot

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83

var goaddr1
var goaddr2
var goaddr3
var goaddr4
var goaddr5
var goaddr6
var goaddr7
var szmemory
 
start:
  find eip, #807C240801#
  cmp $RESULT, 0
  jne uncompress1
 
error1:
  msg "Failed to uncompress 1st layer packer of conficker worm variant B"
  ret
 
uncompress1:
  sti
  msg "Start to uncompress 1st layer packer"
  mov goaddr1, $RESULT
  findop goaddr1, #83EC??#
  cmp $RESULT, 0
  bphws $RESULT, "x"
  run
  bphwc $RESULT
  sti
  sto
  msg "1st Layer packer success uncompress, Now start uncompress 2nd layer packer"
 
SearchAPI:
  gpa "VirtualProtect", "kernel32.dll"
  mov goaddr2, $RESULT
  bphws goaddr2, "x"
  run
  bphwc goaddr2
  msg "Landed at address of VirtualProtect, check the segment address of memory allocate for dll"
  mov goaddr3, esp
  add goaddr3, 4
  mov goaddr4, [goaddr3]
  findop goaddr4, #807C240801#
  cmp $RESULT, 0
  jne uncompress2
 
error2:
  msg "Failed to uncompress 2nd layer packer of conficker worm variant B"
  ret
 
uncompress2:
  mov goaddr5, $RESULT
  go goaddr5
  msg "start uncompress 2nd layer packer"
  find eip, #83EC??#
  mov goaddr6, $RESULT
  bphws goaddr6, "x"
  run
  bphwc goaddr6
  sti
  sto
 
  //mov goaddr7, eip
  //gmemi goaddr7, MEMORYSIZE
  //mov szmemory, $RESULT
 
  //msgyn "Dump the file from the memory?"
  //cmp $RESULT, 0
  //jne dumpfile
  //jmp end
 
//error3:
  //msg "Failed to dump the file from the memory"
  //ret
 
//dumpfile:
  //dma goaddr7, szmemory, "conficker.mem"
  //msg "stop"
 
end:
  cmt eip, "This is Original Entry Point of the conficker worm variant B"
  msg "This is OEP of the binary file. Right click and select "backup" and "save data to file" and dump the binary from the memory. Binary decrypted."
  msg "Script by lclee_vx/F-13 Labs"
  ret

很久没有沾手病毒这一块了，相对之下，lclee最近的成果可真是多呀 :)。 马上考完最后一场编译原理之后，我全部的精力就要集中在考研这种事情上了。加油！这个是给lclee的，也是给自己的。:)

目标还没有选好，北京理工其实也不错，不是吗？

相关文章

• GreaseMonkey的应用真是强大( 8 )
• 一个有趣的禁止复制代码( 10 )
• 如何使用GreaseMonkey给页面添加超链接( 5 )
• 一个小细节：Security Enhancements in the CRT( 2 )
• 江湖波澜：360缘何紧咬金山不放( 2 )
• comodo提供dns解析服务( 12 )
• web安全—-漫谈邮件服务安全威胁( 8 )
• 虚拟机之外的rootkit检测思考( 2 )

1
2
3
4
5

((_waccess(strVirName,0)) != -1)
{
	//ShowMessage(TEXT("There is a virus in here!"),TEXT("IsExist"));
	return true;
}

这样是一定会在改写成_waccess_s时出现问题的。最初我以为是_waccess_s的定义问题，查了下msdn，是下面这个样子：

1
2
3
4
5
6
7
8

int _waccess(
   const wchar_t *path,
   int mode
);
errno_t _waccess_s(
   const wchar_t *path,
   int mode
);

这两个函数在参数上没什么差别，貌似问题并不出在这里。看编译器并不在这里提示错误，但是最后逻辑一定会有错误。不过仔细看下类型，一个是int，一个是errno_t，这个不太一样。但是实际上你看下errno_t的定义就知道，其实这个是tpyedef int errno_t来的。好像程序分析到这里陷入到了僵局。不过注意到_waccess定义中有一句话：

Each function returns 0 if the file has the given mode. The function returns –1 if the named file does not exist or does not have the given mode; in this case, errno is set as shown in the following table.

从这句话看，我这原来的程序在这里没有任何问题，修改后应该也不会出现什么问题，但是实际上却不然。在_waccess_t的返回值中是这么提到的：

Each function returns 0 if the file has the given mode. The function returns an error code if the named file does not exist or is not accessible in the given mode. In this case, the function returns an error code from the set as follows and also sets errno to the same value.

这就说明，实际上在_wacess_s中-1并不能在这里判定文件不存在，因为在_waccess_s中不会出现这个返回值，仅会出现EACCES、ENOENT、EINVAL三者之中的一个。因此实际上将最初语句中的-1替换为ENOENT就可以解决这个问题了。

实际上，这个问题也是很有提示作用的，这说明在写程序的时候，还是需要用些定义的了东西，不仅在移植的时候方便，而且更新的时候不需要具体的调整参数了，避免一些莫名其妙的错误。

相关文章

• 一个有趣的禁止复制代码( 10 )
• C#中實現窗體的淡入淡出( 2 )
• 新的相册下载工具酝酿中( 10 )
• 如何使用GreaseMonkey给页面添加超链接( 5 )
• Win7下Android無法找到AVD的解決辦法( 8 )
• [ZT]五种开源协议的比较(BSD,Apache,GPL,LGPL,MIT)( 2 )
• web安全—-漫谈邮件服务安全威胁( 8 )
• 虚拟机之外的rootkit检测思考( 2 )