忙啊忙,好容易算是把很多大事都尘埃落定了,哎。心中感慨无限啊。。。每当听到或想起Beyond的《真的爱你》,就想起慈爱的父亲。杯具得很。
昨天帮家里一个亲戚远程杀电脑病毒,是一个锁定IE首页的毒,并发的还有很多乱七八糟的木马。呵呵。用360杀毒和360安全卫士的木马扫描三下两下就都杀光了。不过最有意思的是,桌面上的IE浏览器图标始终是个文件夹的图标,右键点来看,弹出的菜单跟普通桌面上的IE图标相似,只是没有“属性”选项。而且选择删除还删不掉。不用说肯定是木马弄的了。于是使用桌面图标清理功能删除掉这两个图标。但原本正常的IE浏览器图标总是无法恢复。
用360修复IE和锁定主页均无效,直接运行Iexplorer.exe都会跳转到被木马绑定的一个导航网站页面,之前杀光病毒以后,360的体检已经是100分了,而且360杀毒也找不到其他木马了。
由此推测锁定浏览器桌面图标和浏览器首页的木马程序有可能是做了免杀处理的而且隐蔽的比较好。
打开偶的木马查杀工具,发现 Explorer.exe 进程被挂了两个可疑的DLL文件,都是在Windows目录下的Kingsoftxxx目录里,打开这个文件夹一看,我考,居然是金山网盾。。。用木马查杀工具结束掉金山网盾的系统进程,然后卸载并删除它挂在Explorer.exe里的两个DLL文件之后,桌面上的正常IE图标重新出现了。重设浏览器默认首页以后,打开IE也不会再访问那个垃圾导航站的首页了。至此成功恢复系统。
总结:现在搞流氓插件的人真的是越来越聪明了呢,居然会想到用木马外加金山网盾来实现罪恶的目的…… 锁定浏览器的默认首页就用金山网盾,难怪杀毒软件也报告一切正常,而且让金山网盾主程序不在系统托盘出现,只差隐藏它的进程了。然后把事先配置修改好的网盾和木马捆绑在一起,一旦执行成功,就能达到多种目的,实在是够狠啊。只可惜在杀毒过程中偶手脚比较麻利,把病毒三下两下就给都删掉了。忘记备份一份研究研究,都还不知道它用的这个金山网盾是否有做自定义的修改,把反黑软件倒过来利用作为流氓插件,实在是有一套。。。。呵呵。
********************************** 2010年5月24日后记 **********************************
今天看新闻,发现了360已经开始和金山开始打口水仗了,不过说真的,虽然金山公司也有很多优秀的软件,但金山网盾真的是垃圾,看了360的声明,有下面这么一段,和我开始写这篇日志遇到的问题如出一辙。这个就真的是用事实说话了。居然会被木马利用来锁定浏览器首页,感觉很无语。。。这样的垃圾“安全软件”不要也罢了。
昨天帮家里一个亲戚远程杀电脑病毒,是一个锁定IE首页的毒,并发的还有很多乱七八糟的木马。呵呵。用360杀毒和360安全卫士的木马扫描三下两下就都杀光了。不过最有意思的是,桌面上的IE浏览器图标始终是个文件夹的图标,右键点来看,弹出的菜单跟普通桌面上的IE图标相似,只是没有“属性”选项。而且选择删除还删不掉。不用说肯定是木马弄的了。于是使用桌面图标清理功能删除掉这两个图标。但原本正常的IE浏览器图标总是无法恢复。
用360修复IE和锁定主页均无效,直接运行Iexplorer.exe都会跳转到被木马绑定的一个导航网站页面,之前杀光病毒以后,360的体检已经是100分了,而且360杀毒也找不到其他木马了。
由此推测锁定浏览器桌面图标和浏览器首页的木马程序有可能是做了免杀处理的而且隐蔽的比较好。
打开偶的木马查杀工具,发现 Explorer.exe 进程被挂了两个可疑的DLL文件,都是在Windows目录下的Kingsoftxxx目录里,打开这个文件夹一看,我考,居然是金山网盾。。。用木马查杀工具结束掉金山网盾的系统进程,然后卸载并删除它挂在Explorer.exe里的两个DLL文件之后,桌面上的正常IE图标重新出现了。重设浏览器默认首页以后,打开IE也不会再访问那个垃圾导航站的首页了。至此成功恢复系统。
总结:现在搞流氓插件的人真的是越来越聪明了呢,居然会想到用木马外加金山网盾来实现罪恶的目的…… 锁定浏览器的默认首页就用金山网盾,难怪杀毒软件也报告一切正常,而且让金山网盾主程序不在系统托盘出现,只差隐藏它的进程了。然后把事先配置修改好的网盾和木马捆绑在一起,一旦执行成功,就能达到多种目的,实在是够狠啊。只可惜在杀毒过程中偶手脚比较麻利,把病毒三下两下就给都删掉了。忘记备份一份研究研究,都还不知道它用的这个金山网盾是否有做自定义的修改,把反黑软件倒过来利用作为流氓插件,实在是有一套。。。。呵呵。
********************************** 2010年5月24日后记 **********************************
今天看新闻,发现了360已经开始和金山开始打口水仗了,不过说真的,虽然金山公司也有很多优秀的软件,但金山网盾真的是垃圾,看了360的声明,有下面这么一段,和我开始写这篇日志遇到的问题如出一辙。这个就真的是用事实说话了。居然会被木马利用来锁定浏览器首页,感觉很无语。。。这样的垃圾“安全软件”不要也罢了。
引用
二、金山网盾存在高危漏洞,被木马利用来劫持用户的浏览器首页。安全软件沦为木马加载器,成为木马逃避杀毒软件查杀的“保护伞”,这在安全行业历史上还是第一次。由于问题严重到无法掩盖,连金山公司自己都不得不发布公告,承认金山网盾被木马利用(参见《金山公司关于“如何清除盗版金山网盾”的公告》),但仅仅是给出一个“系统急救”的方案,漏洞本身至今仍没有得到修复,目前仍在威胁着许多网民(包括非金山用户)的安全。出于对公众安全的考虑,360在此不公布该漏洞的细节,但是如果金山公司继续视公众安危为无物,坚持否认或放任该漏洞的存在,360将在必要时公布相关证据。
查阅相关媒体报道:金山网盾漏洞遭利用 安全软件成了“木马加载器”
查阅相关媒体报道:金山网盾漏洞遭利用 安全软件成了“木马加载器”
呵呵,超级郁闷的事情发生了,黑刀部落的超级QQ群【黑刀部落 大聚会】就这么被腾讯悄无声息的给关闭了,理由是存在不良信息。只是事先居然一点提示和警告都没有,感觉相当的莫名。还以为我是唯一的受害者,结果今天百度一搜,果然有大把的超级群被腾讯在没有任何通知的情况下就给关闭了。
呵呵,居然还有人反应情况到腾讯,还被腾讯告知让他拨打114查询政府机关的电话号码。哈哈。真有意思。
大家也暂时凑合一段时间吧。等过几天再看看腾讯到底葫芦里卖的是什么药了。。。。
呵呵,居然还有人反应情况到腾讯,还被腾讯告知让他拨打114查询政府机关的电话号码。哈哈。真有意思。
大家也暂时凑合一段时间吧。等过几天再看看腾讯到底葫芦里卖的是什么药了。。。。
呵呵,最近发现很多朋友都来找我解密类似下面这段代码的PHP文件的解密。解过很多个之后,发现他算法上虽然搞得很复杂,但其实还是很容易解密的,目前只能是手工解密,但是可以百分百的还原源代码哦!
研究了一下之后,原来是用的“威盾PHP加密专家(PHPCodeLock) ”加密过的PHP文件。呵呵。有需要解密这种加密方式的朋友可以来找我。3个文件以内免费解密,3个或整套程序解密收取少量辛苦费,给多少算多少,给个一毛两毛可不行,别拿偶当要饭的打发就好了。哈哈。要么就拿整套这种方式加密过的PHP文件来作为交换,注意哦,是完整版的才行,要是我这里不能安装调试,或者缺少文件,那我解密了可不认帐。嘿嘿。
同志们,偶的黑刀微盾解密专家发布了,批量解密微盾加密后的PHP文件,永久免费!大家转载、转发宣传一下哇!谢谢!!
【 黑刀微盾解密专家1.0 】
使用说明:
操作方法:
1、运行软件,点击“打开目录”按钮,指定需要解密的PHP文件目录。
2、点击“列出文件”按钮列出所有该目录下的PHP文件。
3、点击“批量解密”按钮,程序自动解密所有微盾加密的文件。
Enjoy ~~~~~~~~~~
后记:本程序参考了Neeao同学的PHP版解密脚本,根据他的解密思路成功用Delphi开发完成了本地运行的批量解密版。因为我一直是习惯用IDE手工解密,感觉也都很方便,压根没想过要做解密程序,不过貌似有解密需求的人蛮多,而且用PHP的解密脚本一个个解密也很不方便,在经过很多努力和数十个小时后,终于把本地批量解密程序写出来了。在此特别感谢强大的牛人“乡巴佬”同学,是他用JavaScript脚本写出了替代PHP的strtr()函数的脚本给我参考,再由我改写成了Delphi版的函数。欢呼ing~~~又学习到不少的知识。感谢朋友们一直的支持。嘿嘿。
管巨侠
QQ:44167884
2010年4月27日
下载地址:
http://tmd.me/2008/read.php/48.htm
研究了一下之后,原来是用的“威盾PHP加密专家(PHPCodeLock) ”加密过的PHP文件。呵呵。有需要解密这种加密方式的朋友可以来找我。3个文件以内免费解密,3个或整套程序解密收取少量辛苦费,给多少算多少,给个一毛两毛可不行,别拿偶当要饭的打发就好了。哈哈。要么就拿整套这种方式加密过的PHP文件来作为交换,注意哦,是完整版的才行,要是我这里不能安装调试,或者缺少文件,那我解密了可不认帐。嘿嘿。
同志们,偶的黑刀微盾解密专家发布了,批量解密微盾加密后的PHP文件,永久免费!大家转载、转发宣传一下哇!谢谢!!
【 黑刀微盾解密专家1.0 】
使用说明:
操作方法:
1、运行软件,点击“打开目录”按钮,指定需要解密的PHP文件目录。
2、点击“列出文件”按钮列出所有该目录下的PHP文件。
3、点击“批量解密”按钮,程序自动解密所有微盾加密的文件。
Enjoy ~~~~~~~~~~
后记:本程序参考了Neeao同学的PHP版解密脚本,根据他的解密思路成功用Delphi开发完成了本地运行的批量解密版。因为我一直是习惯用IDE手工解密,感觉也都很方便,压根没想过要做解密程序,不过貌似有解密需求的人蛮多,而且用PHP的解密脚本一个个解密也很不方便,在经过很多努力和数十个小时后,终于把本地批量解密程序写出来了。在此特别感谢强大的牛人“乡巴佬”同学,是他用JavaScript脚本写出了替代PHP的strtr()函数的脚本给我参考,再由我改写成了Delphi版的函数。欢呼ing~~~又学习到不少的知识。感谢朋友们一直的支持。嘿嘿。
管巨侠
QQ:44167884
2010年4月27日
下载地址:
http://tmd.me/2008/read.php/48.htm
假李鬼与真李逵
——【黑刀部落】郑重声明
作者:管管
大家好,我是【黑刀部落】http://Tmd.me 站长管管。因为最近不断有一些朋友找到我,向我反映有人以本人及本人网站的名义进行诈骗,所以特发此声明,让朋友们在寻求他人帮助时,能擦亮眼睛,避免不必要的钱财损失及精神损害。
下面我先简要的对【黑刀】网站的发展历程及我个人的一些想法进行表述,使大家能更好的理解我发表这篇声明的用意。
霍霍,2009年了!!同志们!朋友们!在新的一年里,我们展望着,祝福着,期待着!回顾过去的一年,走过了各种灾难,各种艰难险阻,成功的举办了奥运,创造了奇迹,我们有什么理由不为新一年的到来而欢欣鼓舞呢?
在这里,黑刀又走过了一个年头,作为站长,管管我最欣慰的地方,就是通过黑刀部落认识了天南海北的很多朋友,而大家也一起快乐的学习进步着。
回首过去,展望未来,期待我们大家的明天都更加美满幸福!也谢谢朋友们对小站长期以来的支持和帮助!!鞠躬!
在这里,黑刀又走过了一个年头,作为站长,管管我最欣慰的地方,就是通过黑刀部落认识了天南海北的很多朋友,而大家也一起快乐的学习进步着。
回首过去,展望未来,期待我们大家的明天都更加美满幸福!也谢谢朋友们对小站长期以来的支持和帮助!!鞠躬!
