Tuesday, September 04, 2007
Wednesday, August 22, 2007
摘自 Kappa Work:Vista and Samba Server - 樂多日誌
Vista 與 Samba 連線的問題 可改 NTLM 授權認證方式
參考下列資料
The solution, however, is pretty easy using the registry.
The key:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
controls the security level mandated or allowed for logins. In Vista it defaults to 0x3, which means "NTLMv2 only". This is not supported by Samba, or at least not supported by any of the Samba servers I use (Mac OS X, Debian Sarge, or Buffalo TeraStation). This is despite the fact that the Samba documentation implies that it should work.
The fix is to change it to 0x1, which means "use NTLMv2 if available, or older versions if not." Reboot. Samba shares will work just fine.
Hope that helps people out. It made me happy, now I can get at my backup server again.
jim frost
jimf@frostbytes.com
或參考下列 Blog
Kappa Work:Vista and Samba Server - 樂多日誌
參考下列資料
The solution, however, is pretty easy using the registry.
The key:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
controls the security level mandated or allowed for logins. In Vista it defaults to 0x3, which means "NTLMv2 only". This is not supported by Samba, or at least not supported by any of the Samba servers I use (Mac OS X, Debian Sarge, or Buffalo TeraStation). This is despite the fact that the Samba documentation implies that it should work.
The fix is to change it to 0x1, which means "use NTLMv2 if available, or older versions if not." Reboot. Samba shares will work just fine.
Hope that helps people out. It made me happy, now I can get at my backup server again.
jim frost
jimf@frostbytes.com
或參考下列 Blog
Kappa Work:Vista and Samba Server - 樂多日誌
Monday, July 30, 2007
又是病毒-- od8mid.dll ( TROJ_MARAN.YJ)
圖書室的電腦又中毒了
這次是 TROJ_MARAN. 病毒檔案是 od8mid.dll
因為病毒利用 植入 winsock provider 的技術 在安全模式下也無法刪除
利用 木馬病毒 參考資料提到的 autoruns
找到od8mid.dll 將機碼刪除後
麻煩了 系統載入變慢了 IE 也連不出去了,>_<
懷疑是 Winsock provider 的 (TCP/IP)載入過程的問題
想到另一篇筆記的如何在 Windows XP 中重設網際網路通訊協定 (TCP/IP)
設定了
netsh int ip reset c:\resetlog.txt
看來可以解決這個問題
後記:還是有問題 IIS 不正常,連帶使得圖書查詢程式也無法使用
最後重裝 IIS 及圖書查詢程式的 wconect 元件,總算恢復正常
看來這個病毒還有些看不清的地方,希望沒有沒發現的木馬才好。
這次是 TROJ_MARAN. 病毒檔案是 od8mid.dll
因為病毒利用 植入 winsock provider 的技術 在安全模式下也無法刪除
利用 木馬病毒 參考資料提到的 autoruns
找到od8mid.dll 將機碼刪除後
麻煩了 系統載入變慢了 IE 也連不出去了,>_<
懷疑是 Winsock provider 的 (TCP/IP)載入過程的問題
想到另一篇筆記的如何在 Windows XP 中重設網際網路通訊協定 (TCP/IP)
設定了
netsh int ip reset c:\resetlog.txt
看來可以解決這個問題
後記:還是有問題 IIS 不正常,連帶使得圖書查詢程式也無法使用
最後重裝 IIS 及圖書查詢程式的 wconect 元件,總算恢復正常
看來這個病毒還有些看不清的地方,希望沒有沒發現的木馬才好。
Monday, July 23, 2007
在WindowsXP上安裝NetBEUI
摘自 http://forum.slime.com.tw/archive/index.php/t-39951.html
在WindowsXP上安裝NetBEUI
概要
Microsoft 在 Windows XP 中不再對 NetBIOS 擴展用戶接頭 (NetBEUI) 網路協議提供支持。 然而,可以理解,遷移到另一個網路協議(如 TCP/IP)要在規劃和測試上花費大量時間。 因此,對於那些打算通過獲取完整的、零售版本的 Windows XP 將系統環境遷移到 Windows XP 的用戶來說,可在 Windows XP 光碟中的 VALUEADD 目錄下找到 NetBEUI 協議。
本文介紹了在執行 Windows XP 的電腦上手動安裝不受支持的 NetBEUI 協議的程序。 需要先從 Windows XP 光碟手動複製 NetBEUI 文件,然後 NetBEUI 才會顯示在可安裝的網路協議列表中。
在 Windows XP 上安裝 NetBEUI
在 Windows XP 上安裝 NetBEUI 協議所必需的文件是 Netnbf.inf 和 Nbf.sys。若要安裝 NetBEUI,請完成以下步驟:
1.將 Windows XP 光碟插到 CD-ROM 驅動器中,瀏覽到 類型add\MSFT\Net\NetBEUI 資料夾。
2.將 Nbf.sys 複製到 %SYSTEMROOT%\System32\Drivers 目錄中。
3.將 Netnbf.inf 複製到 %SYSTEMROOT%\Inf 隱藏目錄中。
4.按擊開始,按擊「控制台」,然後雙按「網路連接」。
5.右鍵按擊要為其增加 NetBEUI 的適配器,然後按擊屬性內容。
6.在一般選擇項上,按擊安裝。
7.按擊協議,然後按擊增加。
8.從列表中按擊選「NetBEUI Protocol」(NetBEUI 協議),然後按擊確定。
9.如果收到完成安裝的提示,請重新啟動
NetBEUI 協議現在應已安裝並正常工作。
在WindowsXP上安裝NetBEUI
概要
Microsoft 在 Windows XP 中不再對 NetBIOS 擴展用戶接頭 (NetBEUI) 網路協議提供支持。 然而,可以理解,遷移到另一個網路協議(如 TCP/IP)要在規劃和測試上花費大量時間。 因此,對於那些打算通過獲取完整的、零售版本的 Windows XP 將系統環境遷移到 Windows XP 的用戶來說,可在 Windows XP 光碟中的 VALUEADD 目錄下找到 NetBEUI 協議。
本文介紹了在執行 Windows XP 的電腦上手動安裝不受支持的 NetBEUI 協議的程序。 需要先從 Windows XP 光碟手動複製 NetBEUI 文件,然後 NetBEUI 才會顯示在可安裝的網路協議列表中。
在 Windows XP 上安裝 NetBEUI
在 Windows XP 上安裝 NetBEUI 協議所必需的文件是 Netnbf.inf 和 Nbf.sys。若要安裝 NetBEUI,請完成以下步驟:
1.將 Windows XP 光碟插到 CD-ROM 驅動器中,瀏覽到 類型add\MSFT\Net\NetBEUI 資料夾。
2.將 Nbf.sys 複製到 %SYSTEMROOT%\System32\Drivers 目錄中。
3.將 Netnbf.inf 複製到 %SYSTEMROOT%\Inf 隱藏目錄中。
4.按擊開始,按擊「控制台」,然後雙按「網路連接」。
5.右鍵按擊要為其增加 NetBEUI 的適配器,然後按擊屬性內容。
6.在一般選擇項上,按擊安裝。
7.按擊協議,然後按擊增加。
8.從列表中按擊選「NetBEUI Protocol」(NetBEUI 協議),然後按擊確定。
9.如果收到完成安裝的提示,請重新
NetBEUI 協議現在應已安裝並正常工作。
關閉SMB的445等連接埠
關閉SMB的445等連接阜.reg
Windows Registry Editor Version 5.00
# 重新啟動 才能生效
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000000
Windows Registry Editor Version 5.00
# 重新
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000000
Sunday, July 22, 2007
木馬病毒 參考資料
以下資料摘自http//www.cnitblog.com/linghuye/archive/2006/08/12/15175.html點選超連接時請注意安全
木马病毒处理备忘
我的机器从不装杀毒软件,杀毒软件对我其实没什么作用,影响系统速度,查一次硬盘耗时数小时,又杀不了新出的病毒,有时杀的系统不干不净,所以有问题都是google一下,然后自己动手清除,平时用Processor Explorer和Autoruns例行检查预防,备忘总结如下:
病毒分析:
Explorer Browser Helper Objects型病毒
出现迹象:Autoruns报告出现在HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects标签下的项目.
编程技术:使用Windows Browser Helper Objects技术,为DLL形式,随Explorer和Internet Explorer启动而发作,表象是随开机进入桌面而启动.
删除手法:使用Process Explorer杀掉Explorer.exe和所有Internet Explorer进程,使用Explorer.exe的Run,浏览文件功能找到并删除相关DLL文件,再使用Autoruns删除注册表项.
一般项目:标签下只该有google的产品,其他一律删除.
病毒举例:易趣,3721, System32\googlebar.dll(冒充)
Internet Explorer Toolbar型病毒
出现迹象:Autoruns报告出现在HKLM\Software\Microsoft\Internet Explorer\Toolbar标签下的项目.
编程技术:使用Internet Explorer Toolbar Extension技术,为DLL形式,随Internet Explorer启动而发作,表象是打开IE浏览器而启动.
删除手法:使用Process Explorer杀掉Explorer.exe和所有Internet Explorer进程,使用Explorer.exe的Run,浏览功能删除文件,使用Autoruns删除注册表项.
一般项目:标签下只该有google的产品,其他一律删除.
病毒举例:雅虎助手等
CurrentControlSet Services型病毒
出现迹象:Autoruns报告出现在HKLM\System\CurrentControlSet\Services标签下的项目.
编程技术:Exe形式,注册为Service.
删除手法:使用Process Explorer杀掉该进程,删除该Exe文件,用Autoruns删除注册表项.
一般项目:微软自身的产品
病毒举例:
CurrentControlSet Drivers型病毒
出现迹象:Autoruns报告出现在HKLM\System\CurrentControlSet\Services标签下的项目.
编程技术:sys形式,注册为系统驱动程序,随系统启动.
删除手法:确定是病毒文件后,用IceSword强行删除文件和注册表项.
一般项目:微软自身的产品
病毒举例:Adware.Roogoo, sysmgr的NWUPSPX.SYS,iebar的fsprot.sys和moprot.sys
Windows CurrentVersion Run型病毒
出现迹象:Autoruns报告出现在HKCU\Software\Microsoft\Windows\CurrentVersion\Run标签下的项目.
编程技术:Exe形式,注册为Run下自动启动.
删除手法:使用Process Explorer杀掉该进程,删除该Exe文件,用Autoruns删除注册表项.
一般项目:
Winsock Providers型病毒
出现迹象:Autoruns报告出现在Winsock Providers标签下的项目.
编程技术:Dll形式,技术上要比IE BHO插件木马之类的高,删除后会导致TCP/IP协议栈损毁,导致上网失败,无法查找杀毒资料.
删除手法:进入Windows安全模式,使用Autoruns删 除注册表项,如果出现删除失败提示,使用RegEdit设置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\WinSock2\Parameters的权限->高级->所有者为Administrators,然后再删,然后再用软 件WinsockXPFix恢复Winsock协议栈后解决.
病毒举例:xboxcenter.dll,quartz32.dll
非一般启动手法:
1.使用Windows任务计划程序调度启动,位于Autoruns Task Scheduler栏下,例子:iebb.exe
禽兽之变诈几何哉,只增笑尔?
References:
http://360safe.com/
又是麻煩的病毒 執行 I E 就會跟著啟動
7/12-7/16 發作的病毒裡又辨識出了一個病毒及其行為
執行時會產生一個名為 be7b1.exe 的執行檔在 WINDOWS\SYSTEM32\ 中, 在安全模式下可殺掉,
但在執行 I E 時會自行產生.
使用BHO的病毒
下面的disable是加上去抑制病毒執行用的
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\disabel{FAAAC0F6-94BE-4466-934B-7C53666A2F41}]
在 I E 執行時會載入 上面機碼指向的程式
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}]
@="ff Class"
"AppID"="{CCF11A98-DC8C-40A9-ABAA-DF9C4D6DD923}"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\InprocServer32]
@="C:\\WINNT\\system32\\0be1.dll" <-----------
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\ProgID]
@="dbho.ff.1"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\Programmable]
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\TypeLib]
@="{0FECB569-7E71-4ADB-AC44-F3C1C0E8EF2D}"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\VersionIndependentProgID]
@="dbho.ff"
要切實刪除 C:\\WINNT\\system32\\0be1.dll 及be7b1.exe 方可杜絶這個病毒
(^_^ 這個病毒是在防毒軟體辨識出來前就自己找出來及辨識出其行為的哦!)
執行時會產生一個名為 be7b1.exe 的執行檔在 WINDOWS\SYSTEM32\ 中, 在安全模式下可殺掉,
但在執行 I E 時會自行產生.
使用BHO的病毒
下面的disable是加上去抑制病毒執行用的
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\disabel{FAAAC0F6-94BE-4466-934B-7C53666A2F41}]
在 I E 執行時會載入 上面機碼指向的程式
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}]
@="ff Class"
"AppID"="{CCF11A98-DC8C-40A9-ABAA-DF9C4D6DD923}"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\InprocServer32]
@="C:\\WINNT\\system32\\0be1.dll" <-----------
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\ProgID]
@="dbho.ff.1"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\Programmable]
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\TypeLib]
@="{0FECB569-7E71-4ADB-AC44-F3C1C0E8EF2D}"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\VersionIndependentProgID]
@="dbho.ff"
要切實刪除 C:\\WINNT\\system32\\0be1.dll 及be7b1.exe 方可杜絶這個病毒
(^_^ 這個病毒是在防毒軟體辨識出來前就自己找出來及辨識出其行為的哦!)
修改隱藏目錄顯示被鎖定的問題
最近遇到一個討厭的病毒, 把自己藏在隱藏目錄中, 並且不給改 檔案-顯示 的隱藏屬性
Google 後找到的解決方法:
先說明原因:
HKLM@Softwaer@Microsoft@Windows@CurrentVersion@explorer@Advanced@Folder@Hidden@。 在這裡有三個主鍵,分別是
NOHIDDEN
NOHIDORSYS
SHOWALL。
在SHOWALL下面有個二進制鍵值Checked類型,把它的鍵值 修改為「0」——這樣,再怎麼選項「顯示所有文件」,隱藏文件也不會顯示.
**"顯示所有文件" 的選項會消失也無法設定**
病毒把它改成 錯誤的TYPE二進位值 如下
"CheckedValue"=hex(4):30,30,30,30,30,30,30,30,00
厲害的是 看的到 ""顯示所有文件" 的選項
但不管怎麼設, 都沒法讓隱藏文件顯示出來, 唯一的破綻就是套用後再看還是設成"不顯示隱藏檔案"
正確的機碼應是 TYPE 為 DWORD
"CheckedValue"=dword:00000001
Google 後找到的解決方法:
先說明原因:
HKLM@Softwaer@Microsoft@Windows@CurrentVersion@explorer@Advanced@Folder@Hidden@。 在這裡有三個主鍵,分別是
NOHIDDEN
NOHIDORSYS
SHOWALL。
在SHOWALL下面有個二進制鍵值Checked類型,把它的鍵值 修改為「0」——這樣,再怎麼選項「顯示所有文件」,隱藏文件也不會顯示.
**"顯示所有文件" 的選項會消失也無法設定**
病毒把它改成 錯誤的TYPE二進位值 如下
"CheckedValue"=hex(4):30,30,30,30,30,30,30,30,00
厲害的是 看的到 ""顯示所有文件" 的選項
但不管怎麼設, 都沒法讓隱藏文件顯示出來, 唯一的破綻就是套用後再看還是設成"不顯示隱藏檔案"
正確的機碼應是 TYPE 為 DWORD
"CheckedValue"=dword:00000001
Saturday, March 17, 2007
Wednesday, February 28, 2007
有趣的編輯功能--網頁直接編輯
只要在網址列上鍵入
javascript:document.body.contentEditable='true'; document.designMode='on'; void 0
並按Enter鍵,就可以編輯正在檢視的畫面。
javascript:document.body.contentEditable='true'; document.designMode='on'; void 0
並按Enter鍵,就可以編輯正在檢視的畫面。
Windows執行命令列表
摘自ㄚ晟的部落格
http://tw.myblog.yahoo.com/austinlin811/article?mid=4194&prev=-1&next=4041
Calc 啟動小算盤
Certmgr.msc 憑證管理程式
Chkdsk 磁碟磁軌檢查
Charmap 檢視字元對應表
Ciadv.msc 打開索引服務
Cleanmgr 打開磁碟機清理程式
Cmd 打開命令提示字元
Compmgmt.msc 打開電腦管理
Conf 啟動Netmeeting
Control userpasswords2 使用者帳戶設定
Dcomcnfg 分散式COM設定
Ddeshare 打開DDE共用設置
Devmgmt.msc 打開裝置管理員
Dfrg.msc 打開磁碟重組工具
Diskmgmt.msc 打開磁碟管理工具
Drwtsn32 啟動Dr. Watson ,Windows程式錯誤偵錯器
Dvdplay 打開DVD播放機
Dxdiag DirectX診斷工具
Eudcedit 打開造字程式
Eventvwr 打開事件檢視器
Explorer 打開檔案總管
Fsmgmt.msc 共用資料夾管理員
Gpedit.msc 群組原則管理員
Iexpress 打開Iexpress Wizard
Logoff 登出系統
Lusrmgr.msc 打開本機使用者和群組
Magnify 啟動Microsoft Magnifier放大鏡工具
Mmc 打開主控台
Mobsync 同步處理設定
Mplayer2 啟動舊式Windows Media Player
Msconfig 系統設定公用程式(WinXp)
Mspaint 啟動小畫家
Mstsc 啟動遠端桌面連線(WinXp)
Narrator 打開朗讀程式
NotePad 打開記事本
Nslookup DNS查詢工具
Ntbackup 打開備份及修復工具
Ntmsmgr.msc 打開卸除式存放裝置
Ntmsoprg.msc 打開卸除式存放裝置操作員要求
Odbcad32 ODBC資料來源管理員
Oobe /msoobe /a 檢查WinXp是否啟動(WinXp)
Osk 打開螢幕協助鍵盤
Packager 打開物件封裝程式
Perfmon.msc 打開效能檢視器
Progman 打開程式管理員
Regedit 打開登錄編輯程式
Regedt32 打開登錄編輯器
Rsop.msc 檢視原則結果組(WinXp)
Shrpubw 建立共用資料夾
Sigverif 檔案簽章驗證
Sndrec32 打開錄音機
Sndvol32 打開音量控制
Syncapp 建立我的公事包
Sysedit 打開系統設定編輯器
Syskey 系統加密,啟動就無法復原
Taskmgr 打開工作管理員
Tourstart 打開Windows簡介(WinXp)
Tsshutdn 啟動六十秒後自動關機(WinXp)
Utilman 公用程式管理員
Wiaacmgr 掃描器與數位相機精靈(WinXp)
Winchat Windows內建區域網路即時通訊
Winmsd 系統資訊
Winver 檢查Windows版本
Wmimgmt.msc Windows管理基礎結構
Write 打開Word Pad
Wscript Windows Script Host設定
Wupdmgr 啟動Windows Update
http://tw.myblog.yahoo.com/austinlin811/article?mid=4194&prev=-1&next=4041
Calc 啟動小算盤
Certmgr.msc 憑證管理程式
Chkdsk 磁碟磁軌檢查
Charmap 檢視字元對應表
Ciadv.msc 打開索引服務
Cleanmgr 打開磁碟機清理程式
Cmd 打開命令提示字元
Compmgmt.msc 打開電腦管理
Conf 啟動Netmeeting
Control userpasswords2 使用者帳戶設定
Dcomcnfg 分散式COM設定
Ddeshare 打開DDE共用設置
Devmgmt.msc 打開裝置管理員
Dfrg.msc 打開磁碟重組工具
Diskmgmt.msc 打開磁碟管理工具
Drwtsn32 啟動Dr. Watson ,Windows程式錯誤偵錯器
Dvdplay 打開DVD播放機
Dxdiag DirectX診斷工具
Eudcedit 打開造字程式
Eventvwr 打開事件檢視器
Explorer 打開檔案總管
Fsmgmt.msc 共用資料夾管理員
Gpedit.msc 群組原則管理員
Iexpress 打開Iexpress Wizard
Logoff 登出系統
Lusrmgr.msc 打開本機使用者和群組
Magnify 啟動Microsoft Magnifier放大鏡工具
Mmc 打開主控台
Mobsync 同步處理設定
Mplayer2 啟動舊式Windows Media Player
Msconfig 系統設定公用程式(WinXp)
Mspaint 啟動小畫家
Mstsc 啟動遠端桌面連線(WinXp)
Narrator 打開朗讀程式
NotePad 打開記事本
Nslookup DNS查詢工具
Ntbackup 打開備份及修復工具
Ntmsmgr.msc 打開卸除式存放裝置
Ntmsoprg.msc 打開卸除式存放裝置操作員要求
Odbcad32 ODBC資料來源管理員
Oobe /msoobe /a 檢查WinXp是否啟動(WinXp)
Osk 打開螢幕協助鍵盤
Packager 打開物件封裝程式
Perfmon.msc 打開效能檢視器
Progman 打開程式管理員
Regedit 打開登錄編輯程式
Regedt32 打開登錄編輯器
Rsop.msc 檢視原則結果組(WinXp)
Shrpubw 建立共用資料夾
Sigverif 檔案簽章驗證
Sndrec32 打開錄音機
Sndvol32 打開音量控制
Syncapp 建立我的公事包
Sysedit 打開系統設定編輯器
Syskey 系統加密,啟動就無法復原
Taskmgr 打開工作管理員
Tourstart 打開Windows簡介(WinXp)
Tsshutdn 啟動六十秒後自動關機(WinXp)
Utilman 公用程式管理員
Wiaacmgr 掃描器與數位相機精靈(WinXp)
Winchat Windows內建區域網路即時通訊
Winmsd 系統資訊
Winver 檢查Windows版本
Wmimgmt.msc Windows管理基礎結構
Write 打開Word Pad
Wscript Windows Script Host設定
Wupdmgr 啟動Windows Update
Subscribe to:
Posts (Atom)