按照我本人的习惯应该在一些较为重要的时刻，在BLOG上发表一些什么。但是在除夕前后的很长一点时间里，我都没有登陆BLOG。这段时间，对于大多数人而言是一段休闲的快乐时光。我也想这样使用这段时间，但是在内心里总是有种隐隐的不愉快的感觉。与其说我在度假不如说是在逃避一些什么。

    好像是在许多朋友的庇护下度过了农历新年的更迭。对于度过了本命年的我而言时间又逝去了一年，不能说这一年没有收获，个人感觉是收获少之又少，家里人总会催促我关于对象什么的事情。08年是我换工作换的最勤的一年（对于我个人而言），大多数都是对于现状的不满，也有老板不爽我的时候（少数）。虽然我一直认为只要是做过的工作都会从中学到东西，但是08年我感觉我的收获不多。

    自己单身过了很多年（对于一个生在80后，长在新世纪的，有“痔”且生理正常的青年来说）也确实想找到我的另一半，尤其是在大环境下(同学们纷纷步入婚姻殿堂，且大多数都为人父为人母)。但是现实往往让人不敢抱有太多的希望，如今的女孩子都想找一个高大威猛、儒雅绅士、学识渊博、家境富裕、有车有房、有正式工作、有三险一金的男士为伴。我看了看自己，以上要求均不占。也许有人说，我这样说有点太偏激了，但当前的大趋势是这样的，不能说每个女孩都这样想，也代表了绝大多数人。我有心奋斗了再找，可惜到现在了还不知道自己是吃几碗干饭的，可悲啊！

    没有爱情（很可怕，因为你从大多数影视作品和其他形式的艺术作品可知，这是人们精神生活最重要的部分）主要是因为没有物质基础，想提升自己的物质基础吧，又没有门路。退一万步说，就算是有了门路也不一定就能挣到钱。就算是挣到钱了也不一定就能转化成物质基础。就算转化成了物质基础也不一定就能找到自己的爱情！所以我认为像我这样的80后小伙子可以用2个字来概况（至少我认为像自己这样的不在少数）——被动！

    没有事业（更可怕，就好像大海上航行没有方向一般，要是没有了目标和奔头那是何种的黑暗）反正到目前为止，我是没有发现什么自己为之奋斗终身的事业。好像身边也没什么朋友有，不过也不是绝对的，少年得志的人还是有的。

    没有钱（我说的是大钱，您别说块儿八毛的，解决不了本质的问题）因为上面一项没有，所以这一项空缺是十分正常的。因果关系。

    有工作！（唯一有的一样东西，不过好像大家都有，没有的绝对是NIU人）为了养活自己的那个并不是十分情愿去做的事情。每个月都会发给你一些钱，基本上能够维持你的日常开销（当然了你不能购买一些超出你经济能力的所谓的大件商品）。

    其实，我最害怕的就是我常和朋友提及的一件事情，那就是我发现自己没有希望！（我常说，我发现自己连梦都没有~！梦，梦想，理想，希望之意）不知道自己想要什么。我问了自己很多次，都没能找到答案。

    我还幼稚不懂事？应该不是这个原因怎么说也是经历过了20多个春秋啊。

    大智若愚？我应该没这么高的境界。

    猪？（一种常见的家禽，也许应该称作宠物什么的）我觉得我的智商比这种东西高一些。

    三聚氰胺？（08年的流行词汇，常与“三鹿”一词一起出现）我应该比这个东西有用，而且无害。

    XXXXXXXX。。。。。。。

 

    这个问题一直在困扰着我，我希望自己能够想通，想明白。

   

在金光blog上看到的，第一次看觉得很好的创意，今天再看感觉太贴切了！就是这个感觉！真TM的绝了！

很久不来，原因很多。也不是没时间，今天偶然间看到某人留言，提醒博上长草了！才发觉真的是太久没有上blog了。决定不管心情如何不好，今天也要打破“进球荒”！！

 

先写个啥发出来再说！！！

 

 

现在天天过的挺虚的，白天上班，乌七八糟的公司的事让人头大，晚上到家了就dota。行尸走肉一般。何时才能解脱呢？

    从QQ秀的流行程度我们可以看出国内网友对卡通形象的热爱。我们在大部分可以自定义个人资料的网站上一般不会上传真实的图片,一个独具个性的卡通形象也许会更加具有吸引力。
   下面介绍的12个卡通形象制作网站各具特色,能够满足不同类型的需求。

1.　Befunky是一款能够将图片卡通化的在线工具.如果你看过李维斯同学那部不知所以然的《黑暗扫描仪》,应该对这种美国漫画风的卡通效果很熟悉.其实我觉得这种效果还是挺酷的,只把物体的轮廓用简单的粗线条勾勒出来,色彩也颇具油画的风格.

2.　Portrait Illustration Maker

个性卡通头像制作工具,制作结果可以直接另存到本地.

3.　WeeWorld

卡通形象的各项设定都比较完善,细节非常出众,可以导出为多种模式.

4.　Meez

可以制作3D的卡通形象.

5.　Sipsonize Me

如果你喜欢辛普森一家的动漫形象,这个网站能够满足你的需要.

6.　Yahoo Avatars

Yahoo为Yahoo Messenger制作的一个卡通形象制作网站,比较接近于QQ秀,不过是免费的.

7.　Buscar Messenger

各项设定也非常多,绝对个性化.

8.　Cartoon Me

直接上传照片,然后一键卡通化.

9.　Joystiq Mii Characters

任天堂Wii风格的卡通形象制作网站,看网站名就知道了.

10.　MyPlay

台湾的一个网站,非常棒.

11.　South Park Studio

南方公园风格的卡通形象制作网站.

12.　MSN Cartooner

微软为MSN开发的卡通形象制作工具,麻烦的是需要安装一个插件.

最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）

smss.exe Session Manager csrss.exe 子系统服务器进程

winlogon.exe 管理用户登录

services.exe 包含很多系统服务

lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) ->netlogon

svchost.exe 包含很多系统服务 !!!->eventsystem,
(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe 资源管理器
(internat.exe 托盘区的拼音图标) ==================================================================== 附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）

mstask.exe 允许程序在指定时间运行。(系统服务)->schedule

regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister

winmgmt.exe 提供系统管理信息(系统服务)。

inetinfo.exe->msftpsvc,w3svc,iisadmn

tlntsvr.exe->tlnrsvr tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)

termsrv.exe ->termservice

dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务) ================================================================= 以下全是系统服务,并且很少会用到，如果你暂时用不着,应该关掉(对安全有害 )

tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)->simptcp

支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)

ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)

ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)

wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)

llssrv.exe License Logging Service(system service) ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)

RsSub.exe 控制用来远程储存数据的媒体。(系统服务)

locator.exe 管理 RPC 名称服务数据库.->rpclocator(区 RpcSs)

lserver.exe 注册客户端许可证。(系统服务)

dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)

clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)

msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)

faxsvc.exe 帮助您发送和接收传真。(系统服务)

cisvc.exe Indexing Service(system service)!!!

dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)

mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)

netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)

smlogsvc.exe 配置性能日志和警报。(系统服务)

rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)

RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务) RsFsa.exe 管理远程储存的文件的操作。(系统服务)

grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)

SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)

snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)

snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务)

UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)

msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

总结： 发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可疑进程，就象 找一群熟悉人中的陌生人一样。

特洛伊木马（简称木马）是一种C/S结构的网络应用程序。其中，木马的服务器端程序可以驻留在目标主机上并以后台方式自动运行。攻击者使用木马的客户端程 序与驻留在目标主机上的服务器木马程序进行通信，进而获取目标主机上的各种信息。例如，窃取用户口令、复制或删除文件、控制目标主机的运行状态等。

1 将它的程序代码作为单独的程序出现，这个程序可以在设定的时间自动运行。

2 将它的程序代码集中隐藏在合法程序中，随合法程序运行而独立工作。

3更改合法程序，将其代码分布到合法程序中，随合法程序运行而独立工作。

系统中出现木马程序的原因主要有两种：一种是合法用户故意获得木马程序并将其安装在系统上；另一种是在网上下载的或由他人提供的软件中包含木马程序，在安 装软件时，无意识地将木马程序安装到了系统上。另外，攻击者在入侵某个系统后，也会将木马程序复制到系统上，为自己留个后门，以便对系统进行远程操纵和控 制。

安装木马程序的主要目的是用于远程管理和控制主机系统。但也经常被攻击者用做对系统进行攻击的一种手段。根据木马程序的启动特点，在Windows系统中，可以通过检查Windows系统启动时自动加载程序的几种方法来检查并清除木马程序。

检查和清除Windows系统中的木马程序的一般方法如下：
1在“开始→程序→启动”菜单组中，如果发现有异常程序，则可直接清除。

2在autoexec.bat文件中，如果发现有类似“win 程序名”的命令行，则在命令中的程序很可能就是木马程序。
3在win.ini文件中，检查[windows]段上由“run=”和“load=”两个项目指定的程序是否有异常，如果有，很可能是木马，则应立即清除。

4在system.ini文件中，检查[boot]段上由“shell=”项指定的程序是否有异常。正常情况下，应该为“shell=explorer.exe”，如果变成“shell=explorer.exe 程序名”，则其中的程序名很可能是木马程序。

5在注册表中，与启动相关的注册表项是需要注意的。可以使用regedit命令打开注册表编辑器。然后，依次检查相关的注册表项的值，如果发现异常，则需要及时修正。下列注册表项是需要重点检查的项目内容。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY_CLASSES_ROOT\exefile\shell\open\command
一 般采用对比的方法来检查注册表项，用正确的注册表与当前的注册表进行对比，从中找出可疑的内容。例如，在 HKEY_CLASSES_ROOT\exefile\shell\open\ command表项中包含的正确值为“'%1'%*”，如果被改为“程序名'%1'*”，则可能是木马程序名。 如果发现异常程序，除了在上述文件中删除它们之外，还要找到它们所在的目录，彻底清除，否则，它们有可能还会自动加到相应的启动位置。

6 驱动级木马.随着杀毒软件和木马的较量逐渐升级,木马也开始进驻系统内核,以至于出现了无进程,不修改注册表,无系统启动项的三五木马的诞生。这样的木马 技术被称为rootkit技术，属于现在高端木马编程的主流技术。他的实现原理是通过windows加载驱动的方式进行运行的。一般此类木马都是通过 hook SSDT 通过注入到其他正常服务来达到自身运行的目的。清除此类木马也是比较费事的，这需要借助一款能分析内核的模块的工具，icesword(冰刃)，这是一款 能够分析内核模块的软件，如果有哪个模块被木马HOOK了，这个模块就会显示为红色。一般没有被HOOK的模块是黑色的。关于分析SSDT以后只能写一个 专门的文章来介绍了。这里有兴趣的朋友请关注我的BLOG。

木马运行的硬件特征：

1、其实木马也属于计算机程序，也属于 2进制文件，如果通过网络感染计算机的话。那么木马也和文件操作是一样的。也就是说，木马也必须参与硬盘的读写操作。这时候硬盘最明显的特征就是会有 COPY的动作，外部特征就是硬盘灯会出现持续的闪动。假设你正处于上网的过程中，只浏览网页而没有做下载和玩游戏等其他动作，这时候硬盘指示灯突然闪个 不停，那很有可能就是木马下载者把各种木马下载到你的计算机中。（此方法不适合旧配置的机器，内存太小，很多东西都是要通过虚拟内存运行的，硬盘灯基本时 刻都在闪动）。

2现在绝大部分木马都是通过IE进行传播的。一般来说，网马都是通过系统漏洞来传播和执行的。而这里的系统漏洞通常是指堆 栈缓冲区溢出漏洞，基本上所有的堆栈缓冲区溢出漏洞执行起来都是要消耗一定时间的。一般感染网马的页面通常打开起来都非常的缓慢，因为他在执行恶意代码， 比如在网络正常的情况下，访问一个平时不会卡，但是现在访问起来就很卡的网页的话，这个网页就有可能被挂马了。出现这样的情况，就要对系统做次小诊断了。

3 运行程序无反应。很多人在下载各种应用软件的时候，常常会发现下载的软件双击无反应。最后把这样软件删除掉，这里要说下，这个软件很有可能是伪装过的木 马。你双击的话，恰好执行了木马。所以，对于各种从网上下下来的软件，最好还是能放在虚拟机上先运行下吧，以免中招。虚拟机是什么？不要急，下篇就会推 出。木马的高级防范 使用虚拟机来进行网上冲浪。

作者  霜冷长河  BLOG http://thunderplayonline.blogspot.com/

基本上所有把感染和木马运行统称为中马了。其实木马感染和木马运行完全是两个概念。只有在机器上感染了木马，木马才可以发挥他盗号的功用，所以要做到防范木马。拒绝感染是第一步。下面就现有的流行木马的传播方式，我就简单做一说明。

NO.1 网页木马
首先要说下，这个网页木马不是有时候在网站留后门的那个“网页木马”，那个严格说一起来应该叫做WEBSHELL（可交换对话式的页面控制程序）。这里的 网马是能够利用计算机漏洞，可以在用户非授权的情况下，下载并运行后门程序的可以嵌入网页中的恶意代码。通俗点说，就是你访问了这个网页，这个网页里面包 含的代码可以下载和运行木马在你的计算机上。最简单的方式就是在网页中插入www.xxx.xxx/xx.exe, 一般访问这样的网页杀毒软件或者防火墙都会弹出一个是否要运行程序的对话框来询问，XX网站试图安装XXX.exe到你的计算机中，是否同意。这时候一定 要小心了。虽然在登陆网银和支付宝这样的网站会提示安装其功能插件。但是一般的网站很少有要求安装软件的，音乐或者电影网站可能会有，但是也要小心。如果 拒绝这样的程序运行是不是就能百分百的保证不感染网页木马了呢？答案是否定的，我们都知道。基本每星期，每月微软或者一些应用软件公司都会发布补丁来修复 软件本身的漏洞。其实这些漏洞主要的利用方式就是网马，一般感染网马的页面会插入大量的漏洞利用代码。这时候如果你的计算机一旦没打补丁，势必会被网马利 用，然后被植入木马。所以，勤打补丁也是一个很重要的习惯。

NO.2 P2P挂马
基本上很多人都喜欢用BT软件， 下载各种各样的视频。其实现在BT可以说是传播木马第2温床，曾经做过一个实验。N年前的事了，以不雅照片为主题，恩有点邪恶了。简单说下，弄点图片，做 个好看像册。然后弄个相片浏览器，捆上小木马，下来就在乱七八糟，五言六色的各种论坛发布了下资源。果然，不到一天，N多计算机就被控制了。所以，这样做 起来既简单又实惠，后来讯雷做了些防范，就是检查下资源是否有病毒。不过，并没有从根本上解决问题。所以，众多电驴，哇嘎众们。下载的时候还是小心点 吧，“色彩艳丽的蜘蛛往往都有巨毒”。

NO.3软件资源挂马
搜索引擎的确是个非常好的东西，大家需要什么软件需要什么资 源，网往都baidu,或者google一下，但是从一些小站上下载的软件往往都包含广告或者木马软件。这点我不着重强调了，对于WOW众来说，搜索下载 “魔兽大脚”“魔兽精灵”而导致号被盗走的不计其数。所以，下载软件什么的，悠着点吧。

NO.4 ARP挂马
ARP挂马是从传奇 时代开始的，由于早期的网游基本都没有考虑到安全因素，游戏数据包基本都是不过加密或者简单加密发送的。这样就被ARP木马钻了空子，这里得说下ARP欺 骗。ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。比如说你在一个局域网中，当你登 陆帐号后，首先你所在的计算机会把封包发给局域网的网关（也就是服务器）。然后再由网关进行internet的网络传输。但是感染ARP木马的计算机，会 更改他所在机器的MAC地址来冒充网关。这样，数据封包就会发送到他哪里去。 从而有了即使你没有感染木马，帐号也被莫名其妙偷走的情况。象早期的传奇和QQ木马就利用了这一原理。现在基本游戏都有了加密技术，但是ARP挂马还可以 被用来感染下载者的，危害依然很大。

NO.5 DNS欺骗
DNS欺骗是由于域名服务器漏洞所致。这里简单说下，以后会在高级篇里详细说名。当你访问一个网站的时候，比如访问www.baidu.com 这时候你所发送的连接请求会被路游器发送到DNS服务器上来解析域名，然后找到和www.baidu.com这个域名所对应的IP，然后将你的连接请求发送，并返回www.baidu.com的信息，但是很多DNS服务器是用Bind来架设的。由于当时考虑服务器的高效执行能力，缓存的检查就不是很严格，这样就导致了冒名顶替的问题出现。也就说黑客可以伪造个假的www.baidu.com上去来欺骗DNS服务器。这时候通过这台DNS服务器来访问网页的人只要访问www.baidu.com就会被服务器定项到假的网站上去。这个网站可以有恶意插件，可以有木马。这个漏洞基本都已经被修复了，但是难免以后有其他的利用方式。所以，大家在网上冲浪的时候不要因为觉得是大站没问题而放松警惕。大站一般不会有问题，但是你访问的是不是这个大站可就不一定喽。

NO.6 网络钓鱼
现在网络钓鱼虽然不是什么新鲜话题，从早期的游戏中“XXX，你已经中奖了，请访问www.xxx.xxx来 领取豪华礼品一份。”基本很多人都知道这是骗子行经。但是依然很多人上当，天上不会掉馅饼，哪有这么好的事。一般都是请输入你的帐号密码来领取你的礼品。 结果是自己乖乖把帐号送给别人洗，唉 无奈啊无奈。还有搜索引擎，假冒WOW官方，WOW资料的网站并不少。看的时候，注意下标题栏，莫叫李鬼成了李逵。

作者  霜冷长河
一般来说,大家查杀木马的手段主要是通过杀毒软件来进行查杀的。选择好的杀毒软件基本就做到了防护木马的第一步。

杀毒软件的查杀方式一般分为，启发式杀毒，特征码匹配杀毒，行为杀毒。以及最新的主动防御技术和木马云查杀技术。其中特征码匹配杀毒又分为文件特征码查杀，和内存特征码查杀。

杀毒软件的组成很复杂，简单来说他是由杀毒引擎，虚拟机，和病毒代码特征库来组成的。理论上来说，杀毒引擎的好坏直接关系到杀毒软件查杀病毒的能力，在杀毒软件的引擎开发上，欧美和俄罗斯一直保持在世界前列。

启发式杀毒是将可执行程序装载到杀毒软件的虚拟机中，逐步执行。如果这个可执行程序调用了一些敏感函数，比如说用来截取密码的SendMessage()。就判断此可执行程序为木马病毒，从而进行删除和隔离。启发式杀毒的杀软代表做就是：NOD32。

特 征码匹配杀毒，首先当杀毒软件的工程师截取到病毒的样本后，会对病毒进行逆向分析，从病毒的运行文件中抽取病毒文件的特征代码。然后加入到病毒库中去，这 样杀毒软件在查杀病毒的过程中就会对文件进行校对。发现符合特征码的文件则判定为病毒。这里特别有代表的就是卡巴斯基。内存特征码就是根据木马在运行中， 从其所占用的内存里抽取特征代码来进行查杀。其最偶代表性的就是瑞星。

行为杀毒 这个就简单说下，就是根据木马的运行特征来进行判断，比如说一般的木马会有弹窗啊，记录密码啊，开放端口等各种行为，一般具有这些行为的程序则判定为木 马。其代表为绿盟的“绿鹰万用精灵”但是随着软件的发展，很多广告或者是正常软件的插件都具备以上的特征，所以逐渐淘汰掉了，现在已不多见。

主动防御 主动防御是杀毒软件通过检测一些API函数，如果有些程序调用了这些API函数，这些函数一般是只有木马才会经常使用到的。就判定此程序为木马病毒，进行删除和查杀。其代表为“东方微点”。

木 马云查杀 木马云查杀是将每个安装杀毒软件的计算机做为木马的监控平台，进行查杀的时候会对系统核心的DLL和常用文件进行检测。如果发现有改边，在不知道具体为何 种病毒的情况下，由杀毒软件自身上报到杀毒软件的技术团队，进行分析，然后来决定是否删除此文件，简单来说，就是用撒网捕鱼的策略来快的速度发现正在传播 中的木马，从而进行查杀。其代表为“360安全卫士”

说了这么多，那么如何在自己的计算机设置防线来拦截木马呢？这里传授一个小窍门，叫 多款杀软共用，一起拦截木马。要查杀最多种类的木马，就一定选病毒库全的，先选上卡巴斯基。下来该要查杀未知病毒的，那就选NOD32吧。监控要好，最起 码要能监控注册表和系统服务的，另外木马云查杀也确实不错，我们就选上360吧。好了，现在搭配下来，我需要在自己的系统上安装
360+NOD32+卡巴斯基。会死机不？要全按软件设置装下来，当然会死机，下来说下步骤。

第一步 3中杀毒软件的安装包都准备好。 （废话）

第二步 安装卡巴斯基 一步步确省安装下来。

第三步 安装卡巴斯基要求重起后，做如下修改

<1>关闭卡巴斯基的所有监控。（文件，网页，反钓鱼）

<2>关闭主动防御

<3>关闭自动更新

<4>关闭开机自启动 (MSCONFIG)

第四步 安装NOD32

第五步 安装NOD32要求重起后，做如下修改

<1>关闭NOD32的所有监控。（文件，网页，反钓鱼）

<2>关闭主动防御

<3>关闭自动更新

<4>关闭开机自启动 (MSCONFIG)

第六步 安装360安全卫士(别忘了保险箱)

第七步 开启360的所有监控 (ARP防护可选,看自己是不是在局域网内了)

使用说明 一般在下载软件或者电影或者其他什么的时候,请在下载完毕后用卡巴和NOD32查杀,(自己要手动更新的,不更新病毒库的杀软是垃圾)。最后在运行完后，请用360做次云查杀。小心驶得万年船，这话绝对没错。

作者  霜冷长河

作者  霜冷长河

基本平均每两位CWOW众就有一人的WOW号被盗过。按600万CWOW众来说，那最少经历过被盗号的就是300万人。几乎都变的一招被蛇咬，十年怕井绳了。每次上号前都考虑帐号是否安全？机器是不是有木马？在很多朋友的要求下，就打算写这样一系列专题。来专门写一些关于木马盗号之类的专题，从而达到“授人于鱼”不如“授人与渔”的目的。第一篇专题帖就从密保卡是否安全来开始这WOW帐号的安全之旅。（如果是技术研究或者是分析代码的话，请单独发消息给我，或者我再发些技术帖来论证更深层的东西）。
在这短短的一天时间之内，我收到了大概10多条类型差不多的消息，消息的内容都在问我一个话题“九城的密保卡究竟安全不安全？”
九城的密保卡严格说是一种矩阵密码卡，把密码每两位当做一个密码对象，然后整个密码由3个对象组成，密码对象由整个矩阵空间组成，再选取密码的时候将从矩阵空间内抽取密码对象进行组合，虽然这是由服务器决定的，但是他必定有一定的规则。比如，不能频繁的抽取某3个对象做为验证密码。如果这样做了，那就相当于帐户有了常用密码，是绝对不安全的。这就要求抽取密码对象的多样性。
九城的密保卡是由一个8×10的矩阵组成，那么就意味着可以生成80×80×80个密码。理论上看似非常安全，也似乎牢不可破。毕竟从几十万分之一的可能性去获取密码这几乎为零。但是我要是利用密保卡的第一条保护措施呢？由于每一次登陆都要尽可能的不和其他次登陆出现相同的对象，那么就可以理解成每10次登陆最少要暴露12个密码空间内的对象。那么对于30次的登陆来说，暴露30个对象是很轻松的事情。当有了密保卡30 个对象后，我们再来看密码区间是否安全。当我有了30个密码对象的时候，就意味着我可以生成30×30×30个密码，用这个数去除以80×80×80，接近%6。也就是说我要登陆20次就差不多有一次可以登陆使用这个密保卡的帐号。拿一个普通CWOW玩家来说，如果他晚上在进行RAID的时候，掉线3次，上线3次这是很正常不过了。这时候假设他的机器已经感染了盗号木马，那么也就是说在10天之内，他的密保卡的内容就已经被记录的很可观了。当然情况要比这严重，木马也不是省油的灯，一般他为了快速获取密保卡的内容回频繁断开玩家游戏中的连接。这样一般都发生在RAID过程中，一面的心急火燎的玩家，另外一面是虎视耽耽的木马。不多时，密保卡被记录的七七八八了。
所以，在发现玩游戏的过程中频繁掉线的时候，请先检查自己的计算机，不要为了一时的RAID而葬送了自己辛苦练起来的帐号。
还有一种情况，是玩家在玩游戏的过程中丢号，自己明明登陆了游戏，但是在登陆界面卡了一下，再次登陆的时候，等进到游戏中，发现自己身上的钱全没了。过了一天两天，号还被九城冻结了。“基本封号信都说是怀疑使用了外挂程序而被冻结”。这时候就奇怪了，“我明明没有用外挂，为什么号被盗了还会被冻结呢？”如果是老网民并且玩过传奇的人一定知道，传奇到了后期就有脱机外挂，外挂就是分析了游戏的封包。然后再构建封包和游戏服务器进行数据交换。WOW也不例外，其实WOW的脱机外挂早已被某些写外挂的高手实现。这里也就不详细阐述了，要不落了喷子卖外挂的口实我又说不清了。
回正题，外挂是可执行程序，木马也是可执行程序，只不过外挂一般都是需要人进行设置和操作的，但是如果把外挂程序给隐藏了，由木马去执行外挂，那么外挂就会变成盗号这盗G的帮凶。简单来描述下这一过程：首先你的机器感染木马了（废话，不感染木马怎么会丢号）。这时候木马就开始下载外挂程序到你的WOW文件中并隐藏。当开始登陆游戏的时候，在输完密保卡的全部信息后，这时候木马利用WINDOWS的消息机制，将游戏窗口挂起，基本我们看到的是卡登陆界面或者是卡蓝条，这时候你的人物已经在游戏中了，此时木马启动外挂程序，对你的人物进行操作，将身上的金币发送到指定人物的身上去。此时经典场景出现了（登陆->角色开始使用炉石->回城->到邮箱旁边->发信）整个过程非常之快，1分钟不到就搞定。可怜的玩家一般还在看着蓝条进游戏界面呢。短短几分钟内，一个有密保卡的帐户就被木马加外挂给搞定了。
看似很恐怖，不过这样的盗号方式也有着致命的缺陷。首先外挂必须通过游戏的登陆框加载，也就是说他必须得加载到游戏的进程中去或者是随着游戏的进程一并加载才有效果。其次他必须修改游戏的可执行文件。所以在每次登陆前，请玩家好好看看自己WOW的可执行程序和插件的可执行程序是不是和官方的一样大，如果不一样，呵呵奉劝你还是别上游戏了。正是退一步高枕无忧，进一步倾家荡产啊。

    我的QQ，自己感觉分类比较有意思！诸君做何感想？