.jpg)
大家好,关于飞猫论坛很多朋友都还不太明白,今天小编就来为大家分享关于飞猫云论坛的知识,希望对各位有所帮助!• 北大青鸟设备。控制设备只给个干接点用什么模块控制
按照明确答案、解释原因、拓展内容的格式来回答问题:问题:飞猫公社是干什么的?回答:飞猫公社是一家以社区共享为核心的物流服务平台。解释原因:飞猫公社成立于2017年,致力于为社区居民提供快捷、价廉、可靠的物流服务。该平台采用社区网点+自提柜+无人配送等多种创新模式,实现物流场景的多元化覆盖,为用户提供更加方便、高效的代收、代寄等物流服务。与此同时,飞猫公社还通过人脸识别、视频监控等技术手段,保证了物流的安全性和可靠性。拓展内容:飞猫公社在物流行业已经成为一股知名品牌,尤其在社区物流服务领域无疑是业界的佼佼者。目前已覆盖全国70余个城市,积极推进智慧社区建设。近年来,随着线上线下融合的趋势愈发明显,社区物流服务的需求也日益增加。预计未来,飞猫公社将在业务范围和技术上进一步提升,为更多用户提供智能化、个性化的物流服务体验。
自李小龙成名之后,功夫电影便一直受到国外观众好评。小编就曾听人说,在外国人眼中,中国人都会功夫,而且特别厉害。更有传闻说不只是中国人是会功夫,就连中国的动物都会,所以没事别惹中国人或物,会把你打飞的。
听了这些传闻,较真的小编专门去查了查,在外国人心中,功夫真的那么厉害吗?
别说,在一个国外论坛上还真搜到了一群老外对于功夫的讨论,我们一起来看看:
真正的中国传统武术是非常能打的,它们有着4000年的历史,积累了大量的实战经验。其他东亚武术的大部分实际上都只是中国传统武术的变形。例如,日本的合气道使用了中国武术的关节技和太极原理,而空手道实际上是缩水版的白鹤拳,等等。
影视是外国人了解中国人的一个渠道。动作片是全人类都喜欢的片之一,人类离不开格斗的需求,而武术是中国文化五千的历史沉淀,有无数的拳术素材可供选择作为题材来拍摄影视作品。而且功夫素材在当时香港影视作品中,是成本最低,而收获较多的作品,所以内地、台湾、香港都拍摄了大量的影视作品。这些作品大量流入外国,就形成他们觉得中国人都会功夫。
广播体操对于咱们中国人来说是非常熟悉的,只能算是一项基础的健身运动而已,可是很多外国朋友却觉得很稀奇,不少老外在看到咱们的学校学生,每天早上都要做广播体操后,误以为学生们每天都在练武术,于是便幻想咱们中国人是不是每个人都如李小龙、成龙、李连杰那般都是会武术的,这也算是一个不小的误会了。
记得有这么一个段子,话说一个校长到美国考察,对方非得看看中国功夫。结果我们聪明过人的校长就做了一套中小学生广播体操,引来阵阵掌声,还说:我们似乎感受到了一股来自东方的神秘力量。
你可以参照下面这个来优化你的电脑速度:
首先问一下,你是不是很想激活XP,不。。。准确的说你是不是想在ms的站上能够升级。如果答案是肯定的话,那我们就先来探讨一下安装的问题,目前流行的V4、V5、V6版本我还是比较推荐的,尤其是V5和V6这两个。安装的过程中有个序列号的问题,我建议你先在机子上算好,然后用这个序列号安装,通常这样安装的XP都可以到MS的站点自由更新。
如果你是已经安装好的XP了,但用的序列号是里到处流传人人都用的那些,也没关系,我们后面会说用sysrep来重新封装的时候会解决序列号更换的问题。
我假设你已经安装完XP了,comeonbaby~~
1、在各种软硬件安装妥当之后,其实XP需要更新文件的时候就很少了。删除系统备份文件吧:开始→运行→sfc.exe/purgecache近3xxM。
3、偶没有看help的习惯,所以保留着%windows%help目录下的东西对我来说是一种伤害,呵呵。。。都干掉,近4xM。
4、一会在升级完成后你还会发现%windows%多了许多类似$NtUninstallQ311889$这些目录,都干掉吧,1x-3xM。
6、卸载不常用组件:用记事本修改\%windows%infsysoc.inf,用查找/替换功能,在查找框中输入,hide,全部替换为空。这样,就把所有的,hide都去掉了,存盘退出后再运行"添加-删除程序",就会看见"添加/删除Windows组件"中多出不少选项;删除掉游戏啊,码表啊等不用的东西。
7、删除windowsime下不用的输入法,8xM。我重新安装了自己用的zrm输入法,赫赫。
8、如果实在空间紧张,启用NTFS的压缩功能,这样还会少用2x%的空间,不过我没作。
9、关了系统还原,这破功能对我这样常下载、测试软件的人来说简直是灾难,用鼠标右健单击桌面上的"我的电脑",选择"属性",找到"系统还原",选择"在所有驱动器上关闭系统还原"呵呵,又可以省空间了。
10、还有几个文件,挺大的,也没什么用。。。。忘了名字:(,刚安装的系统可以用查找功能查找大于50M的文件来看看,应该能找到的。
如果你能按照上面的过程做完,你的原本1.4G的XP,完全可以减少到800以下。
嫌电脑启动太慢是每个电脑迷的共同心病,让电脑启动更快是大家的共同心愿,本人在使用电脑过程中总结了加快电脑启动速度的“十五式”,与您分享。
在BIOS设置的首页我们进入“AdvancedBIOSFeatures”选项,将光标移到“FristBootDevice”选项,按“PageUP”和“PageDOWN”进行选择,默认值为“Floppy”,这表示启动时系统会先从软驱里读取启动信息,这样做会加长机器的启动时间,减短软驱的寿命。所以我们要选“HDD-0”直接从硬盘启动,这样启动就快上好几秒。另外,对于BIOS设置中的“Above1MbMemoryTest”建议选“Disabled”,对于“QuickPowerOnSelftest”建议选择Enabled。
在“AdvancedChipsetFeatures”项中的设置对机子的加速影响非常大,请大家多加留意。将“Bank0/1DRAMTiming”从“8ns/10ns”改为“Fast”或“Turbo”。“Turbo”比“Fast”快,但不太稳定,建议选“Fast”。如果内存质量好可以选“Turbo”试试,不稳定可以改回“Fast”。
对于内存品质好的内存条建议在“SDRAMCASLatency”选项中设置为“2”,这样可以加快速度哦。
较新的主板都支持AGP4X,如果你的显卡也支持AGP4X,那么就在“AGP-4XMode”处将这项激活,即选为“Enabled”,这才会更好的发挥显卡的能力,加快系统启动速度。
采用UDMA/33、66、100技术的硬盘最高传输速率是33MB/s、66MB/s、100MB/s,从理论上来说是IDE硬盘(这里是指PIOMODE4模式,其传输率是16.6MB/s)传输速率的3~6倍,但是在Windows里面缺省设置中,DMA却是被禁用的,所以我们必须将它打开。
具体方法是:打开“控制面板→系统→设备管理器”窗口,展开“磁盘驱动器”分支,双击UDMA硬盘的图标,进入“属性→设置→选项”,在“DMA”项前面“√”,然后按确定,关闭所有对话框,重启电脑即可。
首先你要打开“开始”→“设置”→“文件夹选项”,从“查看”标签里的“高级设置”列表框中勾选“显示所有文件”。然后打开C盘,找到Msdos.sys这个文件,并取消它的“只读”属性,打开它,在“Option”段落下,加上一行语句:LOGO=0,这样Windows的开机图案就不会被加载运行,开机时间也可以缩短3秒钟。
电脑初学者都爱试用各种软件,用不多久又将其删除,但常常会因为某些莫名其妙的原因,这些软件还会驻留在“启动”项目中(尤其是在使用一些D版软件时),Windows启动时就会为此白白浪费许多时间。要解决这个问题,其实很简单,你可以打开“开始”→“运行”,在出现的对话框的“打开”栏中选中输入“msconfig”,然后点击“确定”,就会调出“系统配置实用程序”,点击其中的“启动”标签,将不用载入启动组的程序前面的“√”去掉就可以了。如此一来,至少可以将启动时间缩短10秒。
Windows在开机启动后,系统要读取注册表里的相关资料并暂存于RAM(内存)中,Windows开机的大部分时间,都花费了在这上面。因此,整理、优化注册表显得十分必要。有关注册表的优化,可以使用Windows优化大师等软件。以Windows优化大师,点击“注册信息清理”→“扫描”,软件就会自动替你清扫注册表中的垃圾,在扫描结束后,会弹出个菜单让你选择是否备份注册表,建议选择备份,备份后再点击“清除”即可。
如果在系统中安装了太多的游戏、太多的应用软件、太多的旧资料,会让你的电脑运行速度越来越慢,而开机时间也越来越长。因此,最好每隔一段时间,对电脑做一次全面的维护。点击“开始”→“程序”→“附件”→“系统工具”→“维护向导”,然后点击“确定”按钮即可对电脑进行一次全面的维护,这样会使你的电脑保持在最佳状态。对于硬盘最好能每隔2个星期就做一次“磁盘碎片整理”,那样会明显加快程序启动速度的,点击“系统工具”→“磁盘碎片整理程序”即可。注意在整理磁盘碎片时系统所在的盘一定要整理,这样才能真正加快Windows的启动顺序。
如果你的硬盘够大,那就请你打开”控制面板“中的“系统”,在“性能”选项中打开“虚拟内存”,选择第二项:用户自己设定虚拟内存设置,指向一个较少用的硬盘,并把最大值和最小值都设定为一个固定值,大小为物理内存的2倍左右。这样,虚拟存储器在使用硬盘时,就不用迁就其忽大忽小的差别,而将固定的空间作为虚拟内存,加快存取速度。虚拟内存的设置最好在“磁盘碎片整理”之后进行,这样虚拟内存就分不在一个连续的、无碎片文件的空间上,可以更好的发挥作用。
这些设置占用系统资源不说,还严重影响Windows的启动顺序。去掉它们的方法是:在桌面空白处点击鼠标右键,在弹出的菜单中选择“属性”,在弹出的对话框中分别选择“背景”和“屏幕保护程序”标签,将“墙纸”和“屏幕保护程序”设置为“无”即可。
系统安装盘根目录下的Autoexec.bat和Config.sys这两个文件,Windows已经不需要它们了,可以将它们安全删除,这样可以加快Windows的启动速度。
十、精简*.ini文件,尤其是System.ini和Win.ini的内容。
在system.ini的[boot]和[386Enh]小节中加载了许多驱动程序和字体文件,是清除重点。尤其要注意的是,[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所,木马们通常会将该句变为这样:shell=Explorer.exefile.exe,注意这里的file.exe就是木马服务端程序!有了木马随后加载运行不仅对系统安全造成了威胁,电脑启动也慢了许多;对Win.ini中的“Run”及“Load”后面加载的、不是每次开机必须运行的程序,可以暂时清除,等以后要用时再点击运行。这样开机时Windows调用的相关文件就会减少许多,启动速度自然就会快多了。
如果不想非正常关机后运行磁盘扫描程序,可以把atuoscan=1改为autoscan=0,这样在非正常关机后计算机的启动速度也会快上一些(因为scandisk没有运行嘛)。
用文本编辑器打开msdos.sys,设置[Options]中的BootDelay为0即可。
字体文件占用系统资源多,引导时很慢,并且占用硬盘空间也不少。因此尽量减少不必要的字体文件。但如果删错了字体文件,搞不好会使Windows不正常。因此可以采用下面这个“偷梁换柱”的方法(可以实现字体文件的安装,而不占用大量的磁盘空间):首先打开字库文件夹(如F:zk),选中全部TrueType字体文件,用鼠标的右键将它们拖动到C:WindowsFonts文件夹中,在弹出的菜单中选择“在当前位置创建快捷方式”,这样就可以在系统的字体文件夹下建立字库文件的快捷方式了。当需要使用这些字库文件时,只要插入字库光盘,不用时取出就可以了。
十四、删去多余的Dll文件。在Window操作系统的System子目录里有许多的Dll文件,这些文件可能被许多文件共享,但有的却没有没有一个文件要使用它,也就是说这些文件没用了,为了不占用硬盘空间和提高启动运行速度,完全可以将其删除。
十五、“旁门左道”的办法。如采用系统悬挂,即将当前系统状态在关机后保存,下次开机后,系统会直接进入上次关机前的桌面,用这种方法,开机时间最快可以达到4-5秒钟,但不是所有的主板BIOS都支持的,设置起来也稍显麻烦。
打开注册表,展开到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDlls子键,在右边的有许多Dll文件,如果数据为0,则可以判定该Dll文件没有程序共享,可以删掉它。
如果按以上的方法做了电脑启动速度仍不够快,除了升级硬件(CPU、内存、硬盘等)外,另一个好办法是重装系统,这样可以明显加快电脑启动速度
3721中文网址是3721公司为了方便英文不好的用户开发的一套中文网址服务。通过该服务,以往冗长难记的英文网址可以简化为一个中文的词语。
其实3721插件并不是什么好东西,甚至引起了大多数网民的反感,建议楼主如不是非常必要的话最好还是不要下载安装!!谢谢
请设想这种情况:某天走在大街上,突然有人冲出来,很有礼貌地问你:先生,要不要我帮您擦皮鞋?如果你确实需要擦皮鞋,那么你可以直接响应它这个建议,并欣然接受相应的服务。相反,如果你的皮鞋是干净的;或者你就是喜欢穿脏皮鞋,那么你可能很有礼貌地说:不,谢谢。OK,我们继续逛街。还没有走出去10米,又有一个家伙很礼貌地问你要不要擦皮鞋,你仍然很有礼貌地打发了它....结果今天这次逛街,几乎每隔10米就有人问你要不要擦皮鞋。虽然那些人很有礼貌的问,并且你可以选择擦或者不擦,但是这样逛一次街下来你有没有想扁人的感觉?
没错,3721中文网址就是这么个东西。很多网站基于各种原因会向来访者推荐3721插件,在这之前网页首先要检测你的电脑种到底有没有安装3721插件,如果已经装好,那你可以直接浏览网页,否则就要等待浏览器下载安装文件,然后询问你是否安装。遗憾的是在这个检测和下载的过程中,你的浏览器都可能进入一种不响应的状态,就像死机了一样。
如果仅仅是这样也就罢了,大不了我们屈服,装一个插件就得了,可惜事实远非如此。根据众多网友的反馈,安装了3721中文网址的电脑有可能遇到各种各样的问题,以下列举一些:
最近浏览一些门户网站时,会不知不觉的被安装上一个名为“3721网络实名”的
插件有点不妥!之所以说它是病毒,因为它同样是开机自动启动,而且虽然带来
一些方便,但是使系统运行的极不稳定,拖慢上网速度。在s8s8.net的论坛上看
到很多网友都说关机时经常会出现explorer.exe出错的提示。我也是同样深受
其害,仔细研究了一下,问题就出在这个“3721网络实名”上!更可气的是,可
这里附上它的源代码,通过代码可以看出这不是木马。不过程序写的很烂……
(如果是win98,这里的C:WINNTDOWNLO~1为C:WINDOWSDOWNLO~1)
这个目录在Internet选项->高级中加入了3721网络实名的选项。
注:如果您安装了3721的其它软件,如极品飞猫等,则应删除
在删除完注册表中的项之后,还需要删除存储在硬盘中的3721网络实名文件。
以上文件全部删除,这样3721网络实名“病毒”就从您的计算机中全部清除了。
经常听到有些朋友说:呀!系统的注册表启动项目有rundll32.exe,系统进程也有rundll32.exe,是不是病毒呀?其实,这是对rundll32.exe接口不了解,它的原理非常简单,了解并掌握其原理对于我们平时的应用非常有用,如果能理解了原理,我们就能活学活用,自己挖掘DLL参数应用技巧。
所谓Rundll.exe,可以把它分成两部分,Run(运行)和DLL(动态数据库),所以,此程序的功能是运行那些不能作为程序单独运行的DLL文件。而Rundll32.exe则用来运行32位DLL文件。Windows2000/XP都是NT内核系统,其代码都是纯32位的,所以在这两个系统中,就没有rundll.exe这个程序。
相反,Windows98代码夹杂着16位和32位,所以同时具有Rundll32.exe和Rundll.exe两个程序。这就是为什么Windows98的System文件夹为主系统文件夹,而到了Windows2000/XP时就变成System32为主系统文件夹(这时的System文件夹是为兼容16位代码设立的)。
无论是Rundll32.exe或Rundll.exe,独立运行都是毫无作用的,要在程序后面指定加载DLL文件。在Windows的任务管理器中,我们只能看到rundll32.exe进程,而其实质是调用的DLL。我们可以利用进程管理器等软件(本刊2004年21期有介绍)来查看它具体运行了哪些DLL文件。
有些木马是利用Rundll32.exe加载DLL形式运行的,但大多数情况下Rundll32.exe都是加载系统的DLL文件,不用太担心。另外要提起的是,有些病毒木马利用名字与系统常见进程相似或相同特点,瞒骗用户。所以,要确定所运行的Rundll32.exe是在%systemroot%system32目录下的,注意文件名称也没有变化。
相信大家在论坛上很常看见那些高手给出的一些参数来简化操作,如rundll32.exeshell32.dll,Control_RunDLL,取代了冗长的“开始→设置→控制面板”,作为菜鸟的我们心里一定痒痒的。他们是怎么知道答案的?我们如何自己找到答案?分析上面命令可以知道,其实就是运行Rundll32.exe程序,指定它加载shell32.dll文件,而逗号后面的则是这个DLL的参数。了解了其原理,下面就可以自己挖掘出很多平时罕为人知的参数了。
第二步:选择“导出→SHELL32.DLL”,在右边窗口就可以看到此DLL文件的参数了(见图)。
第三步:这些参数的作用一般可以从字面上得知,所以不用专业知识。要注意的是,参数是区分大小写的,在运行时一定要正确输入,否则会出错。现在随便找一个参数,例如RestartDialog,从字面上理解应该是重启对话框。组合成一个命令,就是Rundll32.exeshell32.dll,RestartDialog,运行后可以看见平时熟悉的Windows重启对话框。
现在,我们已经学会了利用反编译软件来获取DLL文件中的参数,所以以后看到别人的一个命令,可以从调用的DLL文件中获取更多的命令。自己摸索,你就能了解更多调用DLL文件的参数了。
北大青鸟设备。控制设备只给个干接点用什么模块控制
联动控制模块是介于所控制的设备以及控制系统之间的一个设备,因为由于一些厂家在生产消防电设备时,由于接触口的问题,不可以直接的去控制这些消防电设备立即启动或者停止者些消防电点设备,所以这个时候就需要模块联动控制来对那些消防电设备进行控制。
并且联动控制模块还有一个非常好的作用就是可以起到强电与弱电的隔离作用。联动模块的安装非常的灵活,它既可以与电控制版块安装在一起,还可以被安装在电消防设备的控制箱之中。这种联动模块本身就可以提供本身的动作反馈信号,提供启动触头,两组并开触头,常开触头,常闭触头等各种触点,并且可以根据电消防设备的实际需要来利用不同的触点进行不同的控制从而达到实际生活中要达到的不同的效果。在控制模块安装结束了以后,我们要继续对消防控制设备进行后期的调试工作。就比如我们用一个实际例子来说,在现实生活中,当有一层楼着火时,,这层楼有一个公共的火灾探测器以及一个手动火灾报警按钮或者有更多种类型的火灾报警器。当有两个或者更多的火灾报警器进行报警时,我们可以通过联动模块来打开这一着火层的排风扇,以及该层的上下层的排风扇,如果该层还具有喷水式报警器的话,这个时候可以去启动水泵对着火层进行喷水降低火灾发生造成的损失。并且当火灾发生的时候,可以通过联动模块对全公司进行广播的播报,从而加快火灾救援的脚步并且尽可能的去减少人员的伤亡以及财产的损失。值得注意的是,一定要通过联动板块对电梯进行控制,防止在火灾发生时人们使用电梯造成更多的人员伤亡,因此联动模块的安装与调试就显得尤为重要,它可以大大地降低火灾发生后造成的人员伤亡以及财产的损失。
北京大学(PekingUniversity),简称“北大”,位于北京市,是中华人民共和国教育部直属的全国重点大学,位列“双一流”、“211工程”、“985工程”,入选“学位授权自主审核单位”、“基础学科拔尖学生培养试验计划”、“基础学科招生改革试点”、“高等学校创新能力提升计划”、“高等学校学科创新引智计划”,为九校联盟、松联盟、中国大学校长联谊会、京港大学联盟、全球大学高研院联盟、亚洲大学联盟、东亚研究型大学协会、国际研究型大学联盟、环太平洋大学联盟、全球大学校长论坛、100世纪学术联盟、东亚四大学论坛、国际公立大学论坛、中俄综合性大学联盟成员。
程晓玥官宣订婚,和未婚夫相识比郑恺早,他们是如何结缘的?
程晓玥官宣订婚,和未婚夫相识比郑恺早,她和未婚夫看起来夫妻关系非常好。两人认识已经10年了,从求婚
男子测出了高血压没在意,次年成了脑梗,高血压该如何控制呢?
高血压在日常生活当中还是很常见的一个疾病,好发于中老年人,如果年轻朋友们不太注意自己的行为举止包括作
比银河系大20倍!“中国天眼”又有新发现,这一次都有哪些新发现?
将信息连接通讯网站,能够随时随地监测到地球外面的环境是怎么样的。能够发射超声波保护大自然。中国天眼的
近日接到内网用户来报,在上到某些站点的时候,会被提示安装一个叫3721中文实名的插件,部分用户在不知情的情况下误点“安装”选项,导致该病毒驻留于硬盘上难以杀除。天缘虽是网络管理员,但是对Windows操作系统的确使用得不多,从来也没有用过这个名为3721的插件,但看到用户们焦急地神情,于是答应尽力而为。经过几番努力,终于将其斩于马下。
以下是杀除该病毒得经历及病毒解决方案。
天缘使用一台windowsxp机器,访问用户提供的站点,下载并执行了该插件。该插件为中文,自动安装后重新启动机器后生效,并自带卸载功能。通过安装/卸载前后的对比观察,其驻留性、自身保护性及对系统性能的大量损耗,让天缘确定了该插件确是病毒无疑!
自动将浏览器的“搜索”功能重定向到一个叫www.3721.com的网站,该站点为中文站,且无法修改;
不断刷新注册表相关键值,以达到成功驻留和大量消耗用户主机资源的目的;
每次启机加载,并自带进程保护功能,在正常地windows启动下难以杀除;
自带卸载功能;该病毒为达到隐藏自身目的,麻痹下载插件用户的目的,提供了卸载程序。但根据天缘的使用情况发现,在卸载后,该病毒程序依然驻留,启动时仍然加载,依然监视、改写注册表;
采用网络升级方式;该病毒为了防止用户以及杀毒软件的杀除,采取定期网上升级的方式,这点与近期的其他Windows主流病毒类似,但值得一提的是该病毒建有公开的病毒升级站点www.3721.com,且站点风格酷似门户、服务类站点,具有极大的欺骗性;
以驱动模式加载;该特性可说是近段时期以来病毒编写的一次技术飞跃,采用驱动模式加载配合挂接hook的方式,在windows下极难查杀(详细技术讨论见后);
提供在浏览器地址栏中输入中文后转到其站点进行关键字查询的搜索服务。前段时间的冲击波克星病毒也曾在感染用户机器后自动连接用户的机器到update.Microsoft.com下载补丁,看来新的病毒越来越多地喜欢提供一些另类功能了;
被动方式传播:利用一些站点来进行传播,而不是主动感染其他机器,这点与当前热门的“美女图片”病毒的方式相近。从主动转向被动,可说是今年一些病毒的新特点;
EK_Entry子键(提示,这个键将在下次启动机器的时候生效,产生最令人头疼的部分,后文会叙述)
在重新启动计算机后,上面提到的RunOnce下的EK_Entry生效,在注册表中多处生成最为邪恶的CnsMinKP键值,同时在系统盘的windows/system32/drivers目录下生成CnsMinKP.sys文件,噩梦由此开始。
由于win2k/xp在启动的时候(包括安全模式)默认会自动运行windows/system32/drivers下面的所有驱动程序,于是CnsMinKP.sys被加载,而这个驱动的作用之一,就是保证windows/DownloadedProgramFiles目录下的Cnshook.dll和CnsMin.dll以及其自身不被删除;Cnshook.dll的作用则是提供中文实名功能,CnsMin.dll作用在于使其驻留在ie进程内的时候。CnsMin为了保证自己的优先级最高,用了一个定时器函数反复安装钩子,因此造成系统性能下降,在天缘测试的那台机器上,使得性能大概下降了20%左右。而且由于hook强行挂接的原因,当用户使用断点调试程序的时候将会导致频繁出错,这一点与早期版本的cih导致winzip操作和无法关机类似(关于详细的技术细节,可参看题目为《[转载]3721驻留机制简单研究》一文,地址为http://www.nsfocus.net/index.php?act=sec_doc&do=view&doc_id=894原作者Quaful@水木清华)
该病毒虽然自带一个所谓的“卸载程序”,但事实上核心部分的程序/注册表键值依然没有删除。而且该病毒更是利用各种技术手段,具有极其强大的反删除特性。
windows系统启机(包括安全模式下)便会加载windows/system32/drivers下的CnsMinKP.sys,该驱动该驱动程序过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时,直接返回一个TRUE,使Windows认为删除已经成功,但文件和注册表实际上还是在那里。
天缘不得不承认,3721这个病毒插件可称我作为网管以来面对的最难清除的病毒。近几年来病毒有几次质的突破:cih感染可升级的bios、红色代码打开windows的共享扩大战果、meliza让我们见识了什么是看得到源程序的病毒、mssqlserver蠕虫让我们留意到计算机病毒能攻击的不光是节点还有网络设备、冲击波病毒让我们认识到大量使用同一种操作系统时在出现安全漏洞时的可怕、美女图片病毒让我们知道了将欺骗艺术与软件漏洞结合的威力、而这次3721病毒首次展现了病毒强大的反删除特性,可说是在windows环境下无法杀除的病毒。虽然这是个良性病毒,对系统并没有破坏特性,但依据病毒的发展史,可以预见,这种几近完美的反删除技术将很快被其他病毒所利用,很快将被其他病毒所利用。届时结合网络传播,局网感染带强大反删除功能的病毒或许会让目前windows平台下的杀毒软件遭遇到最大的考验。而这次经历,也让我意识到微软的windows操作系统在人性化、美观化、傻瓜化的背后的危机。作为it同行,我个人对3721病毒作者所使用的种种技术表示钦佩,但新型病毒的潘多拉魔盒,已经被他们打开:
在目前已知的病毒历史上,之前只有几种病毒利用过windowsnt下的system32/drivers下的程序会被自动加载的特性来进行传播,但那些病毒本身编写地不够完善,会导致windowsnt系统频繁蓝屏死机,象3721插件病毒这样完美地加载、驻留其他进程,只消耗主机资源,监测注册表及关键文件不导致系统出错的病毒,国内外尚属首次,在技术上比以前那些病毒更为成熟;
如同天缘和大家曾经探讨过的没打sp2以上patch的win2k如何上网下载sp4再安装补丁这样的连环套问题一样。由于drivers目录下的CnsMinKP.sys启机必定加载,而欲不加载它,只有在windows启动后,进注册表改写相应的CnsMinKP键值或者删除该文件,但由于CnsMinKP.sys过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时,直接返回一个TRUE,使Windows认为删除已经成功,但文件和注册表实际上还是在那里。使得注册表无法修改/文件无法被删除,让我们传统的杀除病毒和木马的对策无法进行。
驻留ie进程,并自动升级,保证了该病毒有极强大的生命力,想来新的杀除方法一出现,该病毒就会立即升级。Windows上虽然还有mozilla等其他浏览器,但由于微软的捆绑策略和兼容性上的考虑,绝大多数用户一般只安装有ie。上网查资料用ie,寻找杀除3721资料的时候也用ie,如此一来,3721抢在用户前面将自身升级到最新版本以防止被杀除的可能性大大增加,更加增添了杀除该病毒的难度。或许在本文发出后,病毒将会在最短时间内进行一次升级。
附带其他“实用”功能。天缘记得早年在dos下的时候曾遇到一些病毒,在发作的时候会自动运行一个可爱的屏幕保护,或者是自动替用户清理临时文件夹等有趣的功能;后来在windows平台上也曾见过在病毒发作时自动提醒“今天是xx节,xx年前的今天发生了xx历史典故”这样的带知识教育意义的病毒;而3721病毒则是提供了一个所谓的中文域名与英文域名的翻译功能。随着病毒的发展,这样带隐蔽性、趣味性和欺骗性的病毒将越来越多。例如最近的邮件病毒以微软的名义发信,或以re开始的回信格式发信,病毒编写的发展从原来的感染传播、漏洞传播、后门传播逐步向欺骗传播过渡,越来越多的病毒编写者意识到社会工程学的重要性。或许在不久的将来,就会出现以简单的网络游戏/p2p软件为掩饰的病毒/木马。
极具欺骗性:该插件在win98下也能使用,但使用其自带的卸载程序则可比较完美地卸载,而在win2k/xp平台下卸载程序则几乎没用。由此可以看出病毒编写者对社会工程学极其精通:当一个人有一只表时他知道时间;而当他有两只表时则无从判断时间。当在论坛/bbs上win2k/xp的用户提到此病毒无法删除的时候,其他win2k/xp用户会表示赞同,而win98用户则会表示其不存在任何问题属于正常程序的反对意见。两方意见的对立,影响了旁观者的判断。
商业行为的参与。据传该病毒是由某公司编写的,为的是进一步推销其产品,增加其访问量和申请用户。这点上与某些色情站点要求用户下载xx插件,之后不断利用该插件弹出窗口进行宣传的方式很象。天缘不由得想起一个典故。话说当年某公司公司工作人员(当然也有可能是不法者冒充该公司的工作人员)经常打电话恐吓大型的企业单位,无外乎说其中文域名已被xx公司抢注,如不交钱将会导致xx后果云云。兄弟学校中似乎也有受到此公司骚扰的经历:该公司员工打电话到某高校网络中心,起初是建议其申请中文域名,其主任很感兴趣但因价格原因未果。第二次打来的时候,就由劝说变成了恐吓,说该校中文名字已经被xx私人学校注册,如果该校不交钱申请就会有种种可怕后果云云。谁想该校网络中心主任吃软不吃硬,回话:“你既然打电话到此,想来你也知道在中国,xx大学就我们一所是国家承认的,而你们公司在没有任何官方证明的情况下就替申请我校中文域名的私人学校开通,就这点上就可见你们的不规范性,那么如果我私人交钱申请xxx国家领导的名字做个人站点是不是贵公司也受理?遇到类似冒用我校名义行骗及协助其行骗的公司,我们一贯的做法是寻找法律途径解决!”回答甚妙,当然此事后果是不了了之。从相关报道中不难看到,计算机犯罪逐步开始面向经济领域。侵犯私人隐私,破坏私人电脑的病毒与商业结合,是病毒编写由个人行为到商业行为的一次转变,病毒发展的历史由此翻开了新的一章。
由于网管专题的栏目作用主要是“授人与渔”,天缘把病毒查杀过程经历一并写下,大家共同探讨。
当初见此病毒的时候,感觉不过如此,普通木马而已。依照老规矩,先把注册表里相关键值删除,再把病毒文件一删,然后重新启动机器,等待万事ok。启机一看,注册表完全没改过来,该删除的文件也都在。
换了一台机器,下了个卸载帮助工具,以方便监视注册表/文件的改变。我下的是AshampooUnInstallerSuite这个软件,能监视注册表/文件/重要配置文件。Ok,再次安装3721插件,把对注册表的改变/文件的改变都记录下来。(值得注意,因为注册表run和runonce的键是下次启动的时候生效的,因此在重新启动后,还要对比一下文件/注册表的改变才能得到确切结果)。然后对比记录,把3721添加的键全部记下来,添加的文件也记录下来。之后我计划是用安全模式启动,删除文件和注册表,所以写了一个save.reg文件来删除注册表里的相关键值(写reg文件在网管笔记之小兵逞英雄那讲有介绍,等一下在文末我提供那个reg文件给大家参考),写了一个save.bat来删除相关文件,放到c盘根目录下。重新启动机器,进入安全模式下,我先用regedit/ssave.reg导入注册表,然后用save.bat删除相关文件。重新启动机器,却发现文件依然存在,注册表也没有修改成功。通常对付木马/病毒的方式全然无效,令我产生如临大敌之感。
重新启动机器,这次我采用手工的方式删除文件。发现了问题——对system32/drivers目录下的CnsMinKP.sys,WINDOWSDownloadedProgramFiles目录下的Cnshook.dll和CnsMin.dll都“无法删除”。这样说可能有点不妥当,准确地说法是——删除之后没有任何错误报告,但文件依然存在。于是上网用google找找线索——在绿盟科技找到了一则文章(名字及url见前文),于是明白了这一切都是CnsMinKP.sys这东西搞得鬼。那么,只要能开机不加载它不就行了??但试了一下2k和xp的安全方式下都是要加载system32/drivers下的驱动,而如果想要取消加载,则需要修改注册表,但由于在加载了CnsMinKP.sys后修改注册表相关值无效,导致无法遏制CnsMinKP.sys这个程序的加载。当然,有软驱的朋友可以利用软盘启动的方式来删除该文件,但如果跟天缘一样用的是软驱坏掉的机器怎么办呢?记得绿盟上的文章所说的是——“目前无法破解”。在这一步上,天缘也尝试了各种方法。
我尝试着改这几个文件的文件名,结果没成功;
我尝试着用重定向来取代该文件,如dir*>CnsMinKP.sys,结果不成功;
我尝试着用copycon<文件名>的方式来覆盖这几个文件,结果发现三个文件中Cnshook.dll可以用这样的方法覆盖成功,但是在覆盖CnsMinKP.sys和CnsMin.dll的时候,居然提示“文件未找到”!?熟悉copycon用法的朋友都该了解,无论是文件是否存在,都应该是可以创建/提示覆盖的,但居然出来这么一个提示,看来CnsMinKP.sys着实把系统都骗过了,强!!跟它拼到这里的时候,回想到了在dos下用debug直接写磁盘的时代了,或许用它才能搞定吧?
仔细一想,win2k/xp下似乎没有了debug程序了,而或许问题解决起来也不是那么复杂。再又尝试了几种方法后,终于得到了启示:既然文件不允许操作,那么我操作目录如何?
我先把windowssystem32drivers目录复制一份,取名为drivers1,并将其中的CnsMinKP.sys删除(注意,因为是drivers1中的,所以可以被成功地真正删除掉);
之后重新启动机器,然后进到windows后先把drivers2目录删除了,然后慢慢收拾残余文件和清理注册表吧。在这里天缘提供一个reg文件,方便各位删除注册表:
WindowsRegistryEditorVersion5.00(用98的把这行改成regeidt4)
(虽然是成功地删除了它,但是感觉赢得好险,如果该病毒加一个禁止上级文件改名的功能那么就真的没折了,为了预防类似的情形,最后还是找到了彻底一点的办法,见下)
聪明的读者大概已经想到,既然没有办法在硬盘启动对于c盘是fat32格式的机器,想到这里已经找到了解决办法——用win98启机软盘启动机器,然后到c盘下删除相关文件,然后启动到安全模式下用save.reg把注册表搞定就行了。问题是——大多数win2k/xp都使用的是新的ntfs格式,win98启机软盘是不支持的!怎么办?有软驱的机器可以做支持NTFS分区操作的软盘,用ntfsdos这个软件就能做到(详情请见http://www.yesky.com/20020711/1620049.shtml一文)。而跟天缘一样没有软驱的朋友,别忘记了win2k/xp开始加入的boot,不光是能够选择操作系统而已,而是跟linux下的lilo和grub一样,是一个操作系统引导管理器——换句话说,如果我们能在硬盘上做一个能读写NTFS的操作系统,再用boot进行引导,那么不是就可以在无软驱的情形下实现操作c盘的目的了么?在网络上找到vFloppy.exe这个软件,它自带一个支持读写ntfs的镜象文件,并且使用简单,非常傻瓜化(详情见http://www.yesky.com/SoftChannel/72350068425883648/20040226/1771849.shtml一文,顺便一提新版本的yFloppy已经自带支持ntfs读写的img文件了)。然后删除3721的相关文件,重新启动后清理注册表和删除相关文件就行了。
到此,我们终于把3721这个阴魂不散地幽灵彻底赶出了我们的硬盘!!
由于不少网站基于各种原因,在显示页面的时候都会弹出3721的下载窗口,很容易误点。在ie中就能屏蔽掉该站以及其他恶意的任何下载。具体方法可见(http://www.yesky.com/20030416/1663721.shtml一文)。
截止发稿为止,天缘所知不少同行网管已经在网关上做了对该地址的屏蔽,防止不知情的用户无辜受害。网络安全任重道远,还要靠大家的努力才能把一些害群之马斩草除根。
关于飞猫论坛到此分享完毕,希望能帮助到您。