小站会根据您的关注，为您发现更多，
看到喜欢的小站就马上关注吧！
下一站，你会遇见谁的梦想？
这里是卡饭官方人人小站，很高兴在这里遇见你，下一步，相识相知在论坛（）！&官方腾讯微博：/KaFan_CN&官方新浪微博：/kafancn
TP-LINK部分路由器存在后门漏洞可被控制
近日，国家信息安全漏洞共享平台CNVD收录了TP-LINK路由器存在的一个后门漏洞（收录编号：CNVD-）。利用漏洞，攻击者可以完全控制路由器，对用户构成较为严重的威胁。具体情况通报如下：
& && &&&TP-LINK部分型号的路由器存在某个无需授权认证的特定功能页面（start_art.html），攻击者访问页面之后可引导路由器自动从攻击者控制的TFTP服务器下载恶意程序并以root权限执行。攻击者利用这个漏洞可以在路由器上以root身份执行任意命令，从而可完全控制路由器。目前已知受影响的路由器型号包括：&TL-WDR4300、TL-WR743ND (v1.2 v2.0)、TL-WR941N。 其他型号也可能受到影响。这些产品主要应用于企业或家庭局域网的组建。
& && &&&目前，互联网上已经披露漏洞的攻击利用代码，且生产厂商还未提供修复方案。CNVD提醒广大用户随时关注厂商主页以获取最新版本（）。在厂商补丁发布之前，CNVD建议相关用户采用如下临时防护措施:
& && && &&&（1）关闭WAN管理接口，例如将WAN口远端管理IP设置为0.0.0.0，或者可信任IP。
& && && &（2）在LAN口设置中，只允许可信任的MAC地址访问管理界面。
14:25 上传
& && &&&注：CNVD成员单位绿盟公司协助对漏洞情况进行了分析、验证工作 。&& && &&&
& && && && & 参考信息：
& && && &&&
& && && && &&&
& && && && &&&
& && && && &&&
信息来源：
《卡饭安全季》 NO.2 总第36期 （2012年12月）
《卡饭安全季》& &NO.2 总第36期
==================================================================
& &&&开篇视点& && &&&
& && &&&& &1.鸟语花香：心在，世界就在
& && && &2.本期关注：手机浏览器的未来在哪里？
& && &&安防综合
& && &&&3.&&业界资讯：IT资讯& && && &&&& && &&&4.&&辅助先锋：Runscanner2.0.0.60详细教程& && && &&&& && &&&5.&&仙人指路：卡饭Hunters教程系列之网马解密初级篇& && && && && &&& && &&&6.&&铜墙铁壁：EMET设置指南& && && && && &&& && &&&7.&&评测参考：9、10、11月杀软评测参考& && && && && &&& && &&&8.&&网购交流：美国亚马逊购物教程& && && && && &&& && &&&9.&&软件推荐：国外主流安卓杀软分享+小评& && && && && &&& && &&&10.&&执掌天下：普及知识：一款智能手机需要哪些必备硬件？& && &&&
& &&娱乐休闲
& && &&&11.&&人物专访：卡饭茶舍版主&&茶澈& && && && && && && &&&12.&&星登陆 ：会员：陌上~烟雨遥& && &&&& && &&&13.&&书香门第：时光似流水，烟云弹指间& && &&&& && &&&14.&&人生百味：再见& && && && && && && &&&15.&&游民星空：网游中那些被用烂的20个游戏名& && && && && && && &&&16.&&动漫地带：天朝のACG世界中那些被错用和误解的词（之一）& && && && &&&& && &&&17.&&活动速递：会员手机桌面秀& && && && &&&& && &&&18.&&优秀卡饭：各版区优秀卡饭名单
==================================================================
&&&&&&下载地址：
& &&&&往期下载地址：
&&&&&&温馨提醒:
& &1）所有下载及分流地址，请下载后验证无误打开，请只在论坛提供的分流地址下载，否则可能出现无法预知问题。& &2）《卡饭安全季》版权归卡饭所有，转帖请注明转帖于卡饭论坛。& &3）本杂志属于会员内部交流，请不要用于商业用途。& &4）卡饭论坛对《卡饭安全季》保留最终解释权。
VHD安装Windows8教程
&ImageX 是一个命令行工具，它可以在操作系统映像中使用共享的映像格式来创建、修改和部署映像。VHD是微软虚拟磁盘文件，Win7（专业版以上）及Win8原生支持从VHD启动。利用这两项技术实现win7、win8双系统，痛快的体验win8。优点是不必单独拿一个分区来装win8、卸载方便（省掉折腾硬盘分区、卸载时win8分区合并回去的麻烦），对原系统无影响，与实机安装几乎无差别的性能体验。缺点是不能休眠，无法完成系统评分，只适用于Windows 7，8，Windows Server 20008 R2，WinPE 3.0系统下操作。下面是简单实用的教程，喜欢折腾的朋友按照步骤操作即可实现vhd安装win8，下面提到的盘符请根据自己的实际情况修改，特别感谢远景论坛。安装win8步骤：一、创建VHD1、开始-运行-diskpart，回车。2、输入 create vdisk file=D:\win8.vhd maximum=20480 type=expandable，创建一个大小20G的动态扩展硬盘win8.vhd（大小可以自己调节）。3、输入 select vdisk file=D:\win8.vhd，然后输入 attach vdisk，挂载建立的虚拟磁盘。4、右键计算机-管理-磁盘管理，确定，会看到多了一个蓝色图标的磁盘1，格式化G盘（可能盘符是别的）。二、安装系统1、将imagex.exe解压到C:\Windows\System32\目录。2、用winrar解压下载的WIN8_RTM.iso到E:\win8。2、管理员运行cmd，输入 imagex.exe /apply E:\win8\sources\install.wim 1 G:（64位系统是imagex64.exe，后面的G是刚才创建虚拟磁盘的盘符）。3、管理员运行cmd，输入 bcdboot G:\windows /s C: /l zh-cn，这里的 C：是指你的活动分区的位置。（假如你有100m启动分区的话，必须给他分配盘符并将C改为对应的盘符）5、重启电脑选择win8开始安装系统，5-10分钟安装完成。三、备份系统（不需要的可无视）1、重启进入win7，将win8.vhd改名为win8.base.vhd，2、开始-运行-diskpart，输入 create vdisk file=D:\win8.vhd parent=D:\win8.base.vhd，创建了一个链接到win8.base.vhd的差分硬盘win8.vhd，这个差分硬盘只有100kb，会随着以后使用逐渐增大。这时复制一个win8.vhd方便以后还原（命名为beifen.vhd），以后想要系统还原，删除win8.vhd，然后将beifen.vhd命名为win8.vhd即可，当然最好再做一次备份。卸载Win8：1，删除VHD文件。2，开始-运行-msconfig，点引导，删除 Windows 8。&&&下载Imagex 6.2. （X86、X64）：/share/link?shareid=22178&uk=&&
#软件教程#在无光盘、U盘情况下，使用nt6安装Windows 7原版系统图文教程
首先把WIN7系统和nt6解压到F盘(系统盘除外)因为一会我们要格式化系统盘 这也是nt6的好处之一
1. 打开nt6 如果你目前的系统是WIN7 选模式5& &XP系统选模式1&&然后重启
&&这里我就选1来说明
2. 电脑启动到 Windows启动管理器这里 因为我前面是选择模式1的 这里对应也选择模式1
3. 安装Windows-下一步-现在安装（I）-勾选我接受许可条款-下一步
4. 自定义（高级）
5. 通常来说有C D E F 4个盘 前面我说把WIN7系统和nt6解压在F盘 点右下角-驱动器选项 格式化C D E盘
&&因为F盘有解压的原版WIN7系统和nt6 所以不能格式化 操作完要选择C盘 再下一步
6. 自动安装&
7. 填写用户名
8. 建议选择 仅安装重要的更新
9. 安装完成
10. 最后把nt6卸载 再格式化F盘 这样电脑就干净了&&
nt6 hdd installer v2.8.7：
附上激活工具：
《卡饭安全季》第一期发布
《卡饭安全季》& &NO.1 总第35期&
==================================================================
& &&&开篇视点& && &&&
& && && &&&1.鸟语花香 &&&&&&&&&&& & 岁月无痕& && && &&&2.本期关注 &&&&&&&&&&& & 未来IT业：后PC还是泛PC
& && &&安防综合
& && && &&&1.业界资讯 &&&&&&&&&& &&&IT资讯&& && && &&&2.披荆斩棘 &&&&&&&&&& &&&杀毒软件防御机制存重大漏洞，文件查杀理念急需变革& && && &&&3.铜墙铁壁 &&&&&&&&&& &&&新手啃豆&&十分钟搞定个人方案& && && &&&4.辅助先锋 &&&&&&&&&& &&&Win7安全与Lns防火墙& && && &&&5.虚拟世界 &&&&&&&&&& &&&VirtualBox虚拟机网络设置（四种方法）& && && &&&6.评测参考 &&&&&&&&&& &&&2、3、4月杀软评测参考& && && &&&7.法证聚焦 &&&&&&&&&& &&&网络水军人人喊打：2011年非法网络公关的罪与罚
& && && &&&8.软件管家 &&&&&&&&&& &&&PDF Password Remover：破解PDF复制文字、打印等保护限制
& && && &&&9.硬派达人 &&&&&&&&&& &&&超级本：PC 对抗苹果的救命稻草？
& && && &&&10.信手拈来 &&&&&&&&&& &IE首页巧设置，让IE首页不被修改
& && && &&&11.执掌天下 &&&&&&&&&& &国内手机操作系统调查：被指落后国外10 年
& &&娱乐休闲
& && && &&&1.人物专访&&&&&&&&&&&&&神秘古老的&七宗罪&& && && &&&2.星 登&&陆 &&&&&&&&&& &会员：zsfkyo& && && &&&3.书香门第 &&&&&&&&&& &爱过知情重，醉过知酒浓& && && &&&4.琴韵小筑 &&&&&&&&&& &黄永灿：九寨沟～水之歌、森之梦(水のうた、森のねむり)& && && &&&5.人生百味 &&&&&&&&&& &淘宝上看到的好评与差评解释，笑得我泪奔& && && &&&6.游民星空&&&&&&&&&& & 坑爹与竞争兼有国内网游天翻地变的十年& && && &&&7.动漫地带 &&&&&&&&&& &如果没有明天， 请最少不要把我遗忘&《未闻花名》完结纪念& && && &&&8.体坛纵横 &&&&&&&&&& &米兰德比，十年一梦终须醒
==================================================================&
&&&&&&下载地址：
&/file/dpbjmvmb
&&&&&&温馨提醒:
& &1）所有下载及分流地址，请下载后验证无误打开，请只在论坛提供的分流地址下载，否则可能出现无法预知问题。& &2）《卡饭安全季》版权归卡饭所有，转帖请注明转帖于卡饭论坛。& &3）本杂志属于会员内部交流，请不要用于商业用途。& &4）卡饭论坛对《卡饭安全季》保留最终解释权。
#软件推荐#权威的碎片整理工具Diskeeper 2011 EnterpriseServer破解版
Diskeeper是磁盘碎片整理技术的领导厂商，不仅长期为微软开发Windows自带的碎片整理工具，而且是宇瞻等SSD厂商指定的碎片整理方案其价格不菲的独立版软件，适用于从家用机到服务器的所有Windows平台Diskeeper会常驻后台并自动决定最佳的整理方案，只占用很少的系统资源
32、64位版二合一支持XP(至少SP2)、Server03(至少SP2)、Vista(至少SP1)、Server08(至少SP1)、Win7、Server08 R2基于15.0.963企业服务器版制作集成AGAiN的第二版破解补丁(基于952，更新的版本一直没出)，不存在其它组织破解补丁导致的无法使用手动整理的问题去除试用期组件、自动更新组件、推送广告组件、手动激活组件禁止启动时显示欢迎信息、性能报告安装后自动变成注册版
如果已安装了其他版本的Diskeeper，需要先卸载，并在Windows\Installer目录下查找Diskeeper*.msi并删除运行Diskeeper2011EntSvr.exe后会立即开始自动安装，完成后即可到开始菜单中运行Diskeeper如果你经常插拔移动硬盘，请打开&操作&&配置Diskeeper&&Diskeeper配置属性&&新卷检测&，去掉&在所有卷上自动启用自动碎片整理&，可以解决拔掉移动硬盘时总提示&设备占用中&的问题
下载地址：
论坛原文：/thread--1.html
官方微博：
卡饭磁盘及USB设备工具箱 2.0
集多款磁盘及U盘修复、整理优化、检测、格式化等实用工具于一体，包含如下：一、磁盘修复及引导1、Partition Table Doctor V3.5&&磁盘分区表修复&2、BOOTICE V0.9&&磁盘引导删除维护&3、DiskGenius V3.5&&磁盘分区及数据恢复&
二、磁盘整理优化检测1、Auslogics Disk Defrag V3.3&&磁盘整理优化2、IObit Smart Defrag V2.2&&磁盘整理优化&3、Defraggler V2.8&&磁盘整理优化及健康检测&
三、U盘及存储卡检测1、Flash Drive Tester V1.40&&Flash设备健康状况检测&2、芯片无忧 V1.46&&Flash设备主控芯片检测&3、USB Image Tool V1.57&&Flash设备镜像备份&
四、U盘格式化及安全1、Martik USB Disk Formatter V1.1&&U盘格式化&2、Panasonic SDFormatter V3.1&&U盘及存储卡设备格式化修复&3、USB Safeguard V3.0&&USB设备密码保护&
下载地址：
论坛原文：
官方微博：
/KaFan_CN&&&/kafancn
【卡饭病毒救援区防毒系列第五讲】Final ---- 病毒终结
在等待了N久之后，意识防毒系列的最后一讲诞生了&&&&之前曾经预警过，最后一波病毒会比较凶险。它们自知单兵作战能力不行，便组团前来&&&&当然，我们做好了充分的准备，兵来将挡，水来土掩，坚持到底，方为胜利！
第一轮进攻：ARP病毒
对于这个名词，有人熟悉有人陌生，不过对于局域网的网络管理员来说，这个绝对是一个噩梦&&因为对于这一类病毒来说，一台电脑感染，可能整个网络受到影响，甚至全网大多数电脑受到感染！当然，此类病毒也只有在局域网里面才能兴风作浪。
在了解ARP病毒之前，我们有必要了解一下ARP协议的问题。
ARP协议是&Address Resolution Protocol&（地址解析协议）的缩写。在局域网中，网络中实际传输的是&帧&，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓&地址解析&就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。
这样的机制看上去很完美，似乎整个局域网也天下太平，相安无事。但是，上述数据发送机制有一个致命的缺陷，即它是建立在对局域网中电脑全部信任的基础上的，也就是说它的假设前提是：无论局域网中那台电脑，其发送的ARP数据包都是正确的。那么这样就很危险了！因为局域网中并非所有的电脑都安分守己，往往有非法者的存在。比如在上述数据发送中，当S电脑向全网询问&我想知道IP地址为192.168.0.4的主机的硬件地址是多少？&后，D电脑也回应了自己的正确MAC地址。但是当此时，一向沉默寡言的A电脑也回话了：&我的IP地址是192.168.0.4，我的硬件地址是MAC_A& ，注意，此时它竟然冒充自己是D电脑的IP地址，而MAC地址竟然写成自己的！由于A电脑不停地发送这样的应答数据包，本来S电脑的ARP缓存表中已经保存了正确的记录：192.168.0.4－MAC_D，但是由于A电脑的不停应答，这时S电脑并不知道A电脑发送的数据包是伪造的，导致S电脑又重新动态更新自身的ARP缓存表，这回记录成：192.168.0.4－MAC_A，很显然，这是一个错误的记录（这步也叫ARP缓存表中毒），这样就导致以后凡是S电脑要发送给D电脑，也就是IP地址为192.168.0.4这台主机的数据，都将会发送给MAC地址为MAC_A的主机，这样，在光天化日之下，A电脑竟然劫持了由S电脑发送给D电脑的数据！这就是ARP欺骗的过程。
或许以上的描述有一点抽象&&那么让我们来看一个故事：
小明的院子来了一个美丽的女孩，名字叫做小丽，小明很喜欢她（小小年纪玩什么早恋！）可是小丽有个很帅的男朋友，小明干瞪眼没办法。当然这里还是要遵循上面的原则：小丽是不能出院子的。那个男的想泡小丽自然只能打电话，于是小明又蠢蠢欲动了：
还记得王爷爷是院子的电话总管吗？他之所以能管理电话是因为他有一个通讯录，因为同一个院子可能有2个孩子都叫小明，靠名字无法区分，所以通讯录上每一行只有两项：
一号门 1234567 （这个是小明的）IP和MAC对应
二号门 7654321 （这个是小丽的）
王爷爷记性不好，但这总不会错了吧（同一个院子不会有2个&二号门&吧）？每次打电话人家都要说出要找的电话号码，然后通过通讯录去院子里面敲门，比如人家说我找&1234567&，于是王爷爷一比较，哦，是一号门的，他就去敲一号门&听电话&，如果是找 &7654321&，那他就找二号门&听电话&。
这里的电话号码就是传说中的&IP地址&
这里的门牌号就是传说中的网卡的&MAC&地址（每一块网卡的MAC地址都是不一样的，这是网卡的制造商写死在网卡的芯片中的）
小明心里想&奶奶的，老子泡不到你也别想泡&，于是他打起了王爷爷通讯录的主意，经过细心的观察，周密的准备，他终于发现王爷爷有尿频的毛病（毕竟是老人啊...），终于在一个月黑风高的白天，王爷爷去上厕所了，小明偷偷的摸进传达室，小心翼翼的改了王爷爷的通讯录......
过了几天，小丽的男朋友又给小丽打来了电话，对方报的电话是&7654321&，王爷爷一看通讯录，靠：
一号门 1234567 （这个是小明的）
一号门 7654321 （注意：这个原来是小丽的，但是被小明改了）
王爷爷不知道改了啊，于是就去找一号门的小明了，小明心里这个美啊，他以小丽父亲的口吻严厉的教训了那个男的和小丽之间不正当的男女关系，结果那个男的恭恭敬敬的挂了电话。当然小丽并不知道整个事情的发生...
这里小明的行为叫做&ARP欺骗&（因为在实际的网络上是通过发送ARP数据包来实现的，所以叫做&ARP欺骗&），王爷爷的通讯录叫做&ARP表&。
大致情况就是这样，ARP病毒的主要危害就在于可能使全网的通讯瘫痪，因为由于欺骗，联网的电脑被引导到错误的&网关&上，不仅可以导致所有电脑几乎无法上网，还有在局域网内部传播病毒的可能性。
原理大致就说到这里了，关键是预防。只要在局域网内部杜绝病毒的存在，自然不会有各种攻击的产生。
1.第一自然是按照前面几讲的内容做好相关防御，加强安全意识，阻止病毒从其他途径入侵。
2.苍蝇不叮无缝的蛋，经常打补丁，修补好漏洞是相当重要的&&
3.平时我们的好帮手&&软件一定要准备好&&
不过很多情况下，局域网里面已经有人中招，或者直接有人恶意使用一些如P2P终结者，聚生网管，幻境网盾之类的ARP攻击软件，阻止其他人上网，情况就比较复杂了。
对此，我们不得不使出自我保护的有效武器&&ARP防火墙！
ARP防火墙通过针锋相对，在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，从而解决上述所有问题。
目前比较流行的ARP防火墙软件主要有彩影，金山，360（金山和360均已整合到对应的卫士中），瑞星，风云（瑞星和风云是网络防火墙里面带有ARP防御模块，风云不支持win7）。
不过，安装了ARP防火墙并不是高枕无忧&&还是那个小故事：小王为防止ARP欺骗，每过一段时间就跟网关张大爷说一次：我是小王，我在A房，您别记错了阿&一会儿，又来说一遍，张大爷说，哦，我知道了。（KAO，有事没事来问，你丫烦不烦啊。）
问题出现了：
小王不停的喊：&我是小王，我是小王&，喊啊喊，张大爷快被烦死了；如果楼里所有人都不听的找张大爷说这句话.......张大爷不停回应：&知道了知道了&。恐怕这位张大爷，一直不停说&知道了呢&。这人来人往的，个个都这么折腾这张大爷，传达室（网关）被堵得不行。
1、楼道里人来人往的，正常走路受影响（网速变慢，很多ARP数据包传来传去的）
2、这小张，小王，小XX&等等几十上百的人一起喊啊喊啊的，张大爷就得不停的回答：好，知道咧，还要记录下来，也就没时间做别的事情了阿。(使上联的路由器等网络设备的cpu负载满载)
所以说，要完美解决ARP病毒和攻击比较困难，对于普通用户，除了ARP防火墙之外还有一招：绑定路由的IP地址和MAC地址，在客户机上绑定路由的IP和MAC地址可以通过DOS命令，如 arp -s 192.168.101.1 00:a5:48:3f:9b:de 来实现绑定。当然，要实现较好的效果，还需要在路由器上进行双向绑定。不过，这个以及揪出那台发动攻击的电脑，从根源上解决问题的做法，就需要网络管理员来完成了，普通用户无能为力&&
ARP病毒和攻击的防范是局域网内网管和每一个用户共同的责任，每一个人能做到的有限，只有配合才有助于解决问题。
一些详细方法，参考：
第二轮进攻：邮件病毒
在艰难地抵挡住第一波攻击之后，我们发现，第二波攻击竟然出奇的弱！！要是退到10年前，通过邮件附件传播的病毒是每年的&毒王&，现如今早已风光不再&&
最主要的原因还是如今很少有人使用收发邮件的客户端了，基本都是直接使用网上邮箱，而网上邮箱基本都有各大安全公司提供邮件病毒的扫描服务，邮件病毒基本销声匿迹&&
或许唯一需要注意的就是这种情况：邮件钓鱼&&举一个腾讯的例子：
目前，很多不法分子以QQ安全中心的名义向用户QQ邮箱发送诈骗邮件，以各种理由诱导用户点击链接，进入到仿冒的安全中心网站填写密码、密保等相关隐私资料，然后不法分子便利用这些隐私资料窃取QQ。
如何识别诈骗邮件避免上当呢？凡是QQ安全中心发送到QQ邮箱的邮件，目前均会在邮件左上方带上QQ安全中心的图标。凡是没有QQ安全中心图标，或者图标位置不在邮件左上方的均为仿冒安全中心的诈骗邮件。
其实只要稍稍注意一下内容，识别此类钓鱼邮件，还是比较容易的。
第三波攻击：网页挂马
即使是在两三年前，网页挂马都是异常猖獗的，不过这两年受害者的数量大幅下降，近年来异军突起的各类网盾类软件对此功不可没&&不过由于挂马依然常见，对此仍不可以掉以轻心，尚有一个误区需要纠正。
网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上传到空间里面！再加代码使得木马在打开网页时运行！
网马进入到电脑的方法有以下几种：
1.将木马伪装为页面元素。木马则会被浏览器自动下载到本地。
2.利用脚本运行的漏洞下载木马
3.利用脚本运行的漏洞释放隐含在网页脚本中的木马
4.将木马伪装为缺失的组件，或和缺失的组件捆绑在一起（例如：flash播放插件）。这样既达到了下载的目的，下 载的组件又会被浏览器自动执行。
5.通过脚本运行调用某些com组件，利用其漏洞下载木马。
6.在渲染页面内容的过程中利用格式溢出释放木马（例如：ani格式溢出漏洞）
7.在渲染页面内容的过程中利用格式溢出下载木马（例如：flash9.0.115的播放漏洞）
由此可见，网马要顺利进入电脑并且运行，对于浏览器和系统相关的漏洞的利用是至关重要的。
之前，经常听到过童鞋们这样的的争论：XX网盾防御挂马最给力了，或者，才不是呢，XX杀软的网页监控才是王道&&事实上，我认为这样的争论没有什么意义，因为我坚信，防御网页挂马最给力的，既不是网盾，也不是杀软，而是我们最熟悉的浏览器&&
听起来有一点荒唐，不过确实是事实。我们身边最常见的浏览器非IE莫属，还包括IE内核的浏览器，比如360安全浏览器，世界之窗，遨游这些。所谓内核是IE，就是你看见这些浏览器的外貌，使用界面（称为外壳）和IE不一样，但是使用过程中依然要使用一些IE的核心文件，实质还是一个变种的IE。如果IE浏览器出现漏洞，这些浏览器一样会受到影响。相比之下，同样为IE内核的浏览器，IE的版本越高越安全，而非IE内核的浏览器比IE内核的更加安全。非IE内核的浏览器主要有chrome（谷歌），firefox（火狐），opera，以及以这些浏览器为内核其他&马甲&浏览器，包括国内的很多双核切换的浏览器。
这个是我目前使用的chromeplus，枫树浏览器，和chrome相同内核。因为非IE内核，避开了IE的漏洞，加之chrome的内核有不错的内置沙盘功能，有效限制网页中程序的运行，也是防御网马的利器！！甚至可以说，安装了谷歌浏览器，基本可以无视网页挂马&&（关于chrome的沙箱和sandboxie的区别&）
一个好汉三个帮，毕竟网盾和杀软也不会闲着，它们也相当给力的：
所以，这里总结出来的防范网页挂马的最佳方案就是：
非IE内核的浏览器+网盾类软件+有良好的网页监控功能的杀软。
这三者组成的三道防线将使网马没有可乘之机，至此，网马被成功击败！
故事到这里就要结束了，意识防毒系列即将画上句号。俗话说，&上医治未病&，对于病毒的入侵也是如此，只要做好防范和安全意识的提升，御毒于电脑之外将不是神话！
试想一下，如果我们从下载，U盘，淘宝文件传输以及其他的路径上将病毒堵死，使它没有机会进入系统兴风作浪，那么病毒还有什么可怕的呢？
如果这样，想必病毒的终结离我们就不再遥远了&&最后，愿天下无毒！
论坛原文：
官方微博：
小红伞v12安装、设置、使用指引菜鸟图解版（第3版）
&2012使用界面和配置界面有所变化。因此想起重新写一个菜鸟指导。& && &另外我考虑本次采用连环图图解的方式做一个易于操作的指引。（本来想用ppt制作，可惜ppt内部图片插入后质量模糊）于是采用word作为模板，内部采用目录链接方式，方便查看（在目录按下ctrl和鼠标即可快速跳转到相应部分查看;&&如果因word将部分图片缩小看不清楚，可以按下ctrl同时用鼠标滚轮可以缩放图片）。希望对大家有所帮助。& && &有很少一些部分没有完善，等待下次更新。
说明：本次仅以premium版本为例进行图解，同样适用于Free版和internet_security版。internet_security版的防火墙设置和使用涉及网络知识，初级用户没有能力进行操作配置和使用，请感兴趣的用户自己研究或参考其他网友的教程。
& &&&由于论坛附件大小和图片质量的限制，这里贴几张图演示。完整版的请大家到我的网盘下载吧。
& &&&☆更新：10月7日我已经补充了web设置及扫描器部分，增补部分过程缺失、并修正了部分错误。增加了一些说明。建议重新下载。& &&&☆更新：10月9日再次增补一些内容。
完整版下载地址：晓月小红伞v2012使用指引菜鸟图解版(第3版).7z
论坛原文：&
官方微博：&
/KaFan_CN&&&/kafancn
ESET NOD32 Antivirus 5.0设置图文教程
08:00 上传
论坛原文：
官方微博：&
/KaFan_CN&&&/kafancn
#软件推荐# 【会员原创】AppRemover_2.2.13.1 星空汉化版– 杀毒软件卸载工具
软件是电脑必备的软件，但是大多数都有卸载不完整的问题，导致无法安装其它杀毒软件等。AppRemover 是一款帮你卸载杀毒软件的工具，几乎支持目前所有主流的杀毒软件厂商。如果你有杀毒软件卸载的困扰，或者是觉得卸载不干净，试试看 AppRemover 吧！
官方支持的卸载杀软地址：
文件名称：AppRemoverr_2.2.13.1CN.exe文件大小：5.98MB上传时间：上传者：北方星空提取码：f6be3b0250sha1：0D2478DAC1E6420ADA64BC515CAFCE下载地址：&
论坛原文：
官方微博：&
/KaFan_CN&&&/kafancn&&
恶意代码分析之必备家当及基本流程
工欲善其事，必先利其器。希望这个帖子能为有兴趣进入反病毒行业的朋友提供一些基本信息。
先说说硬件：条件允许的情况下，2条不同网络运营商提供的线路，2台或以上的电脑，具体配置自己感觉满意就行虽然用虚拟机也可以，但难免某些恶意代码有虚拟机检测机制，所以能用真机就尽量用了
接下来是必备软件：Windows XP（别嫌弃老，老有老的好处，轻便+省事）IDA Pro（虽然市面上还有别的反汇编工具，一是因为IDA强大，二是因为反病毒行业必备，如果哪位兄弟非要用别的，面试时被BS千万别说没提醒过。另外Hex-rays的反编译插件确实很强大，但是太贵了没闲钱买，另一方面养成自己动手丰衣足食的好习惯后其实也不差那个插件）OllyDbg（同上，行业必备。但说实话，个人很少用，不是说它不好，而是IDA的注释太重要了，能静态IDA的绝不调试，即便实在要调试，能用IDA自带的调试器搞定的就直接搞定了，实在不行再换Olly）WinDbg（同上，行业必备，调试驱动利器。和前者一样，个人很少用，也不是说它不好，只不过大多驱动直接用IDA静态也就够了）Wireshark（截数据包必备利器。和前者一样，个人很少用，也不是说它不好，只是分析时我很少会真让恶意代码彻底跑起来，有需要或是静态逆出来，或是直接从调试器里抓出来了）
还有几款小软件，个人比较喜欢，但不是必须的010 EditorDeDeGhostHiewLordPEWinHex
除此之外还需要一些监测小软件，其实有很多免费的或共享的，但出于减少被恶意代码忽悠的考虑，所以个人觉得能写的还是自己写好，就算不能写，也尽量选个不知名的。
系统变化监测API监测Rootkit监测
其他用于测试的备用软件：各类服务器（HTTP, SMTP, FTP, IRC等等）各类常见IM（QQ，MSN，YAHOO等等）Microsoft Office（各个版本的安装文件）Adobe Acrobat Reader（各个版本的安装文件）Adobe Flash Player（各个版本的安装文件）
最后提一下恶意代码样本的基本分析流程（不包含特征码提取）：1. 恢复系统镜像（避免在已感染的环境下被其他信息误导）2. 快速查看是否有可疑字符串3. 快速查看代码入口地址是否有被感染痕迹4. 运行，监测并记录系统变化以确定是否是恶意代码5. 如果需要的话，用IDA静态分析6. 如果需要的话，写一些辅助脚本或代码协助分析7. 如果需要的话，用调试器调试8. 如果需要的话，对相关域名，服务器，邮件地址等做背景调查9. 文档化相关内容10. 备份所有相关文件
当然，对于在杀软工作的朋友来说，通常还会需要提取特征码(一般是在静态分析之前），也可能会需要写修复工具，但那些工作细节不同公司会有不同的要求和流程，这里就不多做讨论了。
论坛原文：&
官方微博：&
利用系统自带命令搞定手工杀毒
上网最恐怖的事莫过于新病毒出来的时候，尽管电脑上我们都装有各种强大的软件，也配置了定时自动更新病毒库，但病毒总是要先于病毒库的更新的，所以中招的每次都不会是少数，这里列举一些通用的杀毒方法，自己亲自动手来用系统自带的工具绞杀病毒：
一、自己动手前，切记有备无患&&用TaskList备份系统进程
新型病毒都学会了用进程来隐藏自己，所以我们最好在系统正常的时候，备份一下电脑的进程列表，当然最好在刚进入Windows时不要运行任何程序的情况下备份，样以后感觉电脑异常的时候可以通过比较进程列表，找出可能是病毒的进程。
在命令提示符下输入：
TaskList /fo:csv&g:zc.csv
上述命令的作用是将当前进程列表以csv格式输出到&zc.csv&文件中，g:为你要保存到的盘，可以用Excel打开该文件.
二、自己动手时，必须火眼金睛&&用FC比较进程列表文件
如果感觉电脑异常，或者知道最近有流行病毒，那么就有必要检查一下。
进入命令提示符下，输入下列命令：
TaskList /fo:csv&g:yc.csv
生成一个当前进程的yc.csv文件列表，然后输入：
FC g:\zccsv g:\yc.csy
回车后就可以看到前后列表文件的不同了，通过比较发现，电脑多了一个名为&Winion0n.exe&(这里以这个进程为例)不是&Winionon.exe&的异常进程。
三、进行判断时，切记证据确凿&&用Netstat查看开放端口
对这样的可疑进程，如何判断它是否是病毒呢？根据大部分病毒（特别是木马）会通过端口进行对外连接来传播病毒，可以查看一下端口占有情况。
在命令提示符下输入：
Netstat -a-n-o
参数含义如下：
a:显示所有与该主机建立连接的端口信息
n:显示打开端口进程PID代码
o：以数字格式显示地址和端口信息
回车后就可以看到所有开放端口和外部连接进程，这里一个PID为1756（以此为例）的进程最为可疑，它的状态是&ESTABLISHED&，通过任务管理器可以知道这个进程就是&Winion0n.exe&，通过查看本机运行网络程序，可以判断这是一个非法连接！
连接参数含义如下：
LISTENINC：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接，只有TCP协议的服务端口才能处于LISTENINC状态。
ESTABLISHED的意思是建立连接。
表示两台机器正在通信。
TIME-WAIT意思是结束了这次连接。
说明端口曾经有过访问，但访问结束了，用于判断是否有外部电脑连接到本机。
四：下手杀毒时，一定要心狠手辣&&用NTSD终止进程
虽然知道 &Winion0n.exe&是个非法进程，但是很多病毒的进程无法通过任务管理器终止，怎么办？
在命令提示符下输入下列命令：
ntsd &c q-p 1756
回车后可以顺利结束病毒进程。
提示：&1756&为进程PID值，如果不知道进程的ID，打开任务管理器，单击&查看&选择列&勾上PID（进程标识符）即可。
NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的所有进程。
五、断定病毒后，定要斩草除根&&搜出病毒原文件
对于已经判断是病毒文件的&Winion0n.exe&文件，通过搜索&本地所有分区&、&搜索系统文件夹和隐藏的文件和文件夹&，找到该文件的藏身之所，将它删除。
不过这样删除的只是病毒主文件，通过查看它的属性，依据它的文件创建曰期、大小再次进行搜索，找出它的同伙并删除。
如果你不确定还有那些文件是它的亲戚，通过网络搜索查找病毒信息获得帮助。
六、清除病毒后一定要打扫战场
手动修复注册表虽然把病毒文件删除了，但病毒都会在注册表留下垃圾键值，还需要把这些垃圾清除干净。
1、用reg export备份自启动。
由于自启动键值很多，发现病毒时手动查找很不方便。
这里用reg export+批处理命令来备份。
启动记事本输入下列命令：
reg export HKLM\software\Microsoft\Windows\
CurrentVersion\Run fo:\hklmrun.reg
reg export HKCU\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run f:\hklcu.reg
reg export HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run hklml.reg
注：这里只列举几个常见键值的备份，其它键值请参照上述方法制作。
然后将它保存为ziqidong.bat在命令提示符下运行它，即可将所有自启动键值备份到相应的reg文件中，接着再输入：
copy f:\*.reg ziqidong.txt
命令的作用是将所有备份的reg文件输出到&ziqidong.txt&中，这样如果发现病毒新增自启动项，同上次导出自启动值，利用上面介绍的FC命令比较前后两个txt文件，即可快速找出新增自启动项目。
2、用reg delete删除新增自启动键值。
比如：通过上面的方法在[HKER_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run],找到一个&Logon&自启动项，启动程序为&c:\windows\winlogon.exe&,现在输入下列命令即可删除病毒自启动键值：
reg delete HKLM\software\Microssoft\Windows\
CurrentVersion\Run /f
3、用reg import恢复注册表。
Reg de-lete删除是的是整个RUN键值，现在用备份好的reg文件恢复即可，输入下列命令即可迅速还原注册表：reg import f:\hklmrun.reg
上面介绍手动杀毒的几个系统命令，其实只要用好这些命令，我们基本可以KILL掉大部分的病毒，当然平时就一定要做好备份工作。
提示：上述操作也可以在注册表编辑器里手动操作，但是REG命令有个好处，那就是即使注册表编辑器被病毒设置为禁用，也可以通过上述命令导出/删除/导入操作，而且速度更快！
七、捆绑木马克星&&FIND
上面介绍利用系统命令查杀一般病毒，下面再介绍一个检测捆绑木马的&FIND&命令。
相信很很多网虫都遭遇过捆绑木刀，这些&批着羊皮的狼&常常躲在图片、FLASH、甚至音乐文件后面。
当我们打开这些文件的时候，虽然在当前窗口显示的确实是一幅图片（或是播放的FLASH），但可恶的木马却已经在后台悄悄地运行了。
比如近曰我就收到一张好友从QQ传来的超女壁纸，但是当我打开图片时却发现：图片已经用&图片和传真查看器&打开了，硬盘的指示灯却一直在狂闪。
显然在我打开图片的同时，有不明的程序在后台运行。
现在用FIND命令检测图片是否捆绑木马，在命令提示符输入：
FIND /c /I〝This program〞g:\chaonv.jpe.exe其中:
g:\chaonv.jpe.exe表示需要检测的文件
FIND命令返回的提示是&___G:CHAONV.EXE: 2&,这表明&G：、CHAONV.EXE&确实捆绑了其它文件。
因为FIND命令的检测：如果是EXE文件，正常情况下返回值应该为&1&；如果是不可执行文件，正常情况下返回值应该为&0&，其它结果就要注意了。
提示：其实很多捆绑木马是利用Windows默认的&隐藏已知类型文件扩展名&来迷惑我们，比如本例的&chaonv.jpe.exe&，由于这个文件采用了JPG文件的图标，才导致上当。
打开&我的电脑&，单击&工具&文件夹选项&，&单击&&查看&，去除&隐藏已知类型文件扩展名&前的小勾，即可看清&狼&的真面目。
最后我们再来总结一下手动毒的流程：
用TSKLIST备份好进程列表&通过FC比较文件找出病毒&用NETSTAT判断进程&用FIND终止进程&搜索找出病毒并删除&用REG命令修复注册表。
这样从发现病毒、删除病毒、修复注册表，这完成整个手动查毒、杀毒过程。
官方微博：&
【卡饭病毒救援区日志系列第二讲】注册表
当同学们拿到一份SREng的日志报告，是不是非常头痛呢？
A同学：&呀，英文&
B同学：&呀，这么长&
C同学：&呀...英文而且这么长&
额，好吧，今天我们就先来讲解SREng的注册表部分~一段一段的学~
首先日志的最上方是什么呢？
&系统时间，SREng的版本，广告，系统版本，管理权限用户和完整功能，以及SREng扫描了哪些项目&
&那个不能算广告吧，是作者SmallFrog的网站&
&系统时间很重要，因为有些病毒会修改系统时间，导致安全软件无法打开。&
有时，SREng扫描出错退出的话，再次打开，SREng会提醒你扫描一份紧急日志。
点是的话，就会扫描得到一份SREngEm.LOG的报告。
点否的话，则会正常进入SREng。
下面就是注册表的部分了。
举一个栗子~
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
&FlashPlayerUpdate&&C:\Windows\system32\Macromed\Flash\FlashUtil10o_Plugin.exe-update plugin&[(Verified)AdobeSystems Incorporated]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
这个启动项目在注册表中的位置了~
&FlashPlayerUpdate&
就是该启动项在注册表中的名称，也可以叫做&键&
&C:\Windows\system32\Macromed\Flash\FlashUtil10o_Plugin.exe-update plugin&
这个就是这个启动项的数值数据，也可以叫做&键值&
[(Verified)Adobe Systems Incorporated]
表示该文件通过Adobe公司的数字签名
有些文件没有公司的数字签名，取而代之的就是N/A,但是并不是说N/A&就是病毒项哦~
我们所熟悉的winrar&，就是没有公司名称的，日志中显的就是N/A
数字签名验证
80%的正常文件都会有[(Verified)（公司）]（当然，还有一些正常文件会没有，这就要借助那伟大的搜索引擎和你那同伟大的大脑了！）所以，在 SRE报告中，我们对于没有数字签名验证的文件，其数字签名验证处显示为：[]，或[N/A]时，在看报告的时候，要特别小心。例如：
&WoShiBingDu&&C:\WINDOWS\sae13424.exe& [N/A]&lalala&&C:\WINDOWS\lalala.exe& []
遇到这类该怎么处理呢？
以&WoShiBingDu&&C:\WINDOWS\sae13424.exe& [N/A]为例
1.需要先删除启动项目里的数值数据，用XueTr删除C:\WINDOWS\sae13424.exe
打开XueTr -- 文件& 找到C:\WINDOWS\sae13424.exe -- 右键 -- 删除
2.打开SREng -- 启动项目 -- 注册表 & 找到&WoShiBingDu&&C:\WINDOWS\sae13424.exe&-- 点击&删除&
在弹出的对话框中，点&是&
接下来就是几项病毒最喜欢钻的地方（红字部分，注意正常文件的路径和拼写）
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]
&shell&&explorer.exe&[(Verified)Microsoft Windows]
&Userinit&&C:\Windows\system32\userinit.exe,&[(Verified)Microsoft Windows]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
&ctfmon.exe&&C:\WINDOWS\system32\ctfmon.exe&[(Verified)MicrosoftWindows Publisher]
Explorer.exe&经常会被病毒感染、替换。如果SREng中公司名称前显示Infected，那么这个文件就需要替换咯~
当然，这个文件要注意拼写哦~ &E ~ X ~P ~ L ~ O ~ R ~ E~ R&&有时候病毒会山寨这个名称的哦~
Userinit&这项，也要注意是否通过数字签名。
最为重要的是C:\Windows\system32\userinit.exe,后面的逗号是必不可少的~
输入法程序ctfmon&也会经常被感染，要注意哦~
&那掌握了上述技巧后，还要注意啥呢？&
&那就是文件的路径了，例如：C:\WINDOWS\ctfmon.exe，名称对吧~但是哦，路径在windows下，这个就有问题了~&
&所以，一些正常文件的路径需要大家掌握。&
遇到被病毒替换的，咋办呢？
1.&先下载对应的系统文件
2.使用替换系统文件工具
&(10.96 KB, 下载次数: 11)
点击下载哦~
&使用方法，压缩包里有图解
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
& && & &AppInit_DLLs&&&[N/A]
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]& && &&&&load&&&& && &&&[N/A]& && &&&&run&&&& && &&&[N/A]
AppInit_DLLs，这项，&木马群的时候，这里面会充斥着大量的病毒程序。需要删除哦
处理步骤：
里面键值出现的文件都是在C:\WINDOWS\System32\
目录下的&所以先去这个目录里删除病毒文件
AppInit_DLLs&这项处理比较特殊哦~不是在SREng中删除键值，而是点击编辑，把里面的内容都清空。
如图操作，注册表 & 找到&AppInit_DLLs&&--&点击&编辑&
删除红框框里的数据&&&确定
如果AppInit_DLLs后也是有正常项目的，例如
kmon.dll&（卡卡助手的） kilf.sys （的）
所以，你要看该文件是哪个公司的产品~&load&和&run&中出现键值的话，也要小心。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360safe.exe]
&IFEO[360safe.exe]&&ntsd-d&[N/A]
如果出现这项，那就说明有IFEO劫持啦~
可以很清楚的看到，劫持的是360safe.exe 所以你电脑中360软件是打不开的。
IFEO劫持啥，啥软件就打不开
那么，如何应对这个问题呢？有三种方法哦~
1.SREng&启动项目 & 注册表 & 找到IFEO项目 &点击&删除&
2.使用IFEO修复工具
3.使用ARK工具，以XueTr为例，打开XueTr&系统杂项&映像劫持&按住ctrl，选择全部劫持项，然后右键&删除
启动文件夹
里面如果有问题，也是先删除文件，再去注册表里删除。
论坛原文：
官方微博：
【卡饭病毒救援区日志系列第一讲】SREng的故事
&呀，电脑中毒了，咋办？&班级里的一位女同学在群里呼救ing...
&关闭电源，饿死它&我的室友猥琐的回复到。
一个博爱的小哥眉头一紧&用XX杀软啊，免费的呀，很不错，快去试试&
手持装机大赛一等奖的哥们，潇洒的敲打着键盘：&把笔记本送到XX楼XX寝室，我来帮你吧&
&啊，我不想搬着电脑走这么远嘿..&这位女同学充分发挥了懒惰的精神...
&... ...&哥们寂寞的敲打着省略号
&好了，好了，你们就折腾她吧，先扫描份SREng日志吧，然后把文件通过QQ发给我吧，我帮你看下。&&（这个就是我啦）
&啊？SERng是什么呀？&
&是SREng，不是SERng...&
&好吧，我普及下吧。SREng，全名System Repair Engineer，大家学英语的，这些英文都看的懂吧~&
&懂...（以下略去N个字）&
&这个软件会扫描&系统基本信息，注册表，驱动，正在运行的程序，&hosts，文件关联...&
&这些又是啥呢？&
&你搜索或不搜索，Google就在那里~&&
&哦，下载好了，怎么扫描呀？&
&&运行SREngLdr.EXE &&智能扫描&，要勾选&&扫描&&等待1-2分钟左右，点击&保存报告，存到桌面上&，桌面上出现的SREngLOG.log就是我所说的日志啦~&
&哦~我去瞅瞅。&
&就像这样啦~扫描很simple的啦~&
&呀，怎么弹出什么入口点错误啊？&
&这个没关系哦，可以先不用理会~&
&哦~这样子啊，吓死我了&
&恩，通过看SREng的报告，可以找出电脑中的病毒，然后你就可以拿起榔头，砸向电脑了。&
&开个玩笑，然后使用一些强制删除工具，把病毒删除，修复下系统，一般就能解决问题了。&
&哇，这么神奇啊&该女同学流露出羡慕的笑容。
我淡定的说道：&是呀是呀。&
&求教程！&装机大赛冠军的哥们吼到。
&教程？关注卡饭吧~&
好了，我和他（她）的小故事就到这里了。
那么接下来，就是我和你的故事了~
希望学习SREng吗？
我们教，你们学~共同进步~打造我们自己的故事~
论坛原文：
官方微博：&
【卡饭防毒系列第四讲】病毒从哪里来（三）——来自远方的阴谋
&弹指间，心无间&&12年相伴...&&
无论你对于腾讯有怎样的意见，至少12年来，它极大地推动了中国即时通讯软件的发展，当然，有一些问题也随之而来&&
以下的场景估计有人似曾相识&&一天，某人QQ上线，立刻收到了好友发送的文件。仔细一看，什么嘛，&我的照片&？什么照片？看看再说&&
然后&&没有什么然后了，后来我在卡饭的病毒救援区看见了正在求助的他&&毫无疑问，他中招了，软件挂掉了&&
到底什么&照片&有如此强大的威力？
把接收的rar文件解压，一睹照片真容：
呃，估计看过之前教程的童鞋要笑了&&显示了扩展名之后，这不过是一个拙劣的伪装&&很明显不是照片啦&&随便运行一个陌生人发来的exe文件，后果可想而知&&常见的症状就是有系统文件被替换，杀软被干倒&&
不过，只要一点点&意识防毒&的知识，加上不断更新的杀软和腾讯的努力，此种病毒现在基本浮云了&&&&
Tips：关于显示扩展名的方法，详见第一讲：
其实，今天的重点不在这里。随着QQ的壮大，各类即时通讯软件自然不甘寂寞，最有代表性的就是阿里旺旺。它借助淘宝网购的平台不断壮大，早已是淘宝卖家和买家直接的重要交流工具&&当然，它也难免被一些人利用，潜在的威胁相比于QQ，可是有过之而无不及&&
故事仍然是这样开始的，没有什么新意&&又是一天，某人看中淘宝某商品，正和卖家热情交流中，卖家说愿意提供放大的商品实物图，于是此人顺利接收文件&&不过后来，我可没有在卡饭的救援区见到他，这个可以说明他的电脑没有问题吗？后来此人的电脑似乎真的非常正常，杀毒软件也没有挂掉，不过为商品支付的货款，却是莫名其妙地消失了&&
OK，问题出现了，这一切怎么发生的？接下去有请现场还原&&
&看上去正常的rar压缩文件？
&大小215KB，怎么看也是正常大小？解压看看？
&ace？这个算什么文件？其实ACE也是一种压缩文件的格式，不过比较少见而已&&接着解压。
&很明显了，又一个exe后缀，根据第一讲的内容，完全有理由怀疑病毒了。当然，作为大名鼎鼎的淘宝诈骗木马，已经绝非&我的照片&这么简陋了，它已经具备了很多新特性！
1.对于exe文件，文件的图标完全可以修改的，这里的就是一个照片的图标；还有描述，一样可以修改，说是照片，其实不是。一切都这么有迷惑性&&
2.如果细心的话&&&&有童鞋表示已经有了一个惊人的发现！
大小402兆！！！原来的压缩包不过215KB的&&
接着，让亲爱的多引擎网站登场！！多引擎指的是一些网站可以接收上传的文件（一般有大小限制），然后用众多杀毒软件对这个文件进行扫描，并提供杀软报毒的情况，为鉴定文件是否为病毒提供参考&&常见的有和。
下面是扫描结果：
&在41款杀毒软件中仅有6款报毒！！
最后一步，让我们来运行以下病毒吧&&欢乐的病毒测试开始了！由于这个病毒运行没有明显的现象，我们会使用Malware Defender记录一下病毒的行为，也就是病毒干了什么事&&
能够看见的现象只有一个：
当然，一个假提示而已，确定之后病毒照样运行&&
下面就是记录下的行为：
08:44:13& & 创建新进程& & 允许进程: c:\windows\explorer.exe目标: d:\我的文档\desktop\实物图\实物图.exe命令行: "D:\我的文档\Desktop\实物图\实物图.exe"&规则: [应用程序]*
08:45:02& & 访问网络& & 允许进程: d:\我的文档\desktop\实物图\实物图.exe目标: TCP [本机 : 1056] -&&&[174.128.226.36 : 80 (http)]规则: [网络]任意协议 [本机 : 任意端口] &-& [任意地址 : 任意端口]
可以说行为非常简单，即使不太看得懂也不难理解：一是病毒运行，二是病毒文件联网，没有了&&
至此测试结束，可以说这个病毒的种种怪异之处留下了一个个谜团。在揭开之前，我们先了解一下此病毒能够顺利盗取钱财的原理，毕竟网银和支付宝的安全机制几乎坚不可摧&&
当病毒运行后，没有进行淘宝支付前一切正常，而进行交易时，当收款人等交易信息填写完毕后，将要进入网银进行交易时，运行的病毒就自动修改收款人的账户&&
一切就这么简单，简单到恐怖，网银和支付宝的保护被绕过，因为是你&自愿&把钱送到一个陌生的账户，没有病毒试图破解保护机制，因为看起来一切都说&自愿&的&&
当然在此之前，为了这一刻，病毒会准备很多，现在就来揭开谜底，探寻蹊跷背后的真相！
1.一个照片的图标，文件的虚假描述，迷惑性不小，就是千方百计希望你运行它。
2.解压时的奇怪的ace文件格式，这个是用来对付国内各网盾的文件传输保护的&&在此之前，ace这种奇怪的压缩格式不在网盾的文件传输保护范围之内，差不多就是不扫描这种格式的文件，于是病毒悄悄溜过&&不过现在各类网盾已经发现这个问题了，有了改进。
3.解压出exe文件的超级庞大的体积，这个是为国内的卫士和杀软的云安全上传量身定做的&&杀软遇到陌生文件，可以上传云端服务器进行鉴定，如果是采用完整文件上传，会有文件大小的限制，比如超过20M以上的文件就不能上传分析了，自然400M的体积就不能被上传分析，达到不被杀软识别的目的。至于为什么这么大，那是病毒本身可以包括大量的无用的垃圾代码，这些是可以被压缩到很小的，完全是用来撑大体积的。
4.多引擎网站的扫描结果证明，此病毒的免杀技术不错，至少很难被众多杀软识别，常用杀软很多对于这个压缩包是不能扫描出来的&&
5.比较多的例子中，病毒运行后都会出现&系统不支持&的虚假提示，我表示不太清楚有什么含义，不过也算一个特征吧。
6.最经典的淘宝诈骗木马就和上面的例子一样，运行后只有联网行为，不会向系统其他位置写入病毒文件；当然，有一些诈骗木马还是会的，不过一般就写入几个文件，然后添加启动项，总体行为不多。
还有一种情况，有时候某些犯罪分子会装作买家先和卖家交流，试图让卖家感染上病毒之后，利用卖家和其他买家交流的机会传播诈骗木马。于是有时候，卖家也可能成为受害者，这一点也值得注意！
以上的差不多就是目前淘宝诈骗木马的常见共同特征，当然，以后木马可能进一步变异，或许会有其他的特点&&不过，因为木马的传播途径和目的都非常明确，防御也是比较easy的：
一：根据意识防毒的指导，最简单也最有效的方法就是：拒绝一切发送过来的文件，直接不接收，不允许，那么一切都不会发生。这个最简单也最要紧！切记！！
二：目前国内的一些杀软和卫士推出的&网购保镖&系列产品对付此类木马的效果还不错，比如：
其实&网购保镖&原理不算复杂，主要是检测进行支付时所有正在运行的程序，发现陌生或者可疑的就提示用户，个人觉得还是不错的东西&&
三：由于淘宝诈骗木马运行后必须联网，这也算是一个弱点，对于有一定知识的用户用HIPS或者防火墙都可以轻松防御！比如：
&这也是一个淘宝诈骗木马，运行后，
&很明显，一个长的像照片的文件竟然需要联网？毫无疑问阻止&&
至此本教程接近尾声。由于网银的安全措施非常完善，木马要直接破解网银账户极其困难，于是木马纷纷转向网购&&淘宝诈骗木马可以说危害非常大，因为盗取的是白花花的RMB，当然，特征和弱点也是明显的。
只要有完善的安全意识和正确的防护措施，在病毒防御战中我们就可以利于不败之地，而不是被动挨打&&
当然，下一讲的对手会更加可怕，不过我们坚信，有完善的安全意识和正确的防护措施，神马都是浮云！
论坛原文：
官方微博：
【卡饭防毒系列第三讲】病毒从哪里来（二）——阻击U盘病毒 Part2
怎么防御U盘病毒呢？（我们分普及版和高级版讲解）
1.意识打头，之前的描述很明确了，如果能够正常显示隐藏文件和扩展名，相信大家都能发现那些不对劲的文件并且歼灭之，无论如何伪装都是逃不过滴&&
2.对于autorun病毒的预防，原先的误区是很多的，用以下Q&A说明：
Q：听说这样关闭自动播放可以预防autorun病毒？（单击&开始&-&运行&，在运行中输入gpedit.msc进入组策略编辑器，依次选择&用户配置&-&管理模板&-&系统&-&关闭自动播放&，在&关闭自动播放&属性窗口选择&已启用&，关闭自动播放中选择&所有驱动器&，单击&应用&按钮禁用系统中所有驱动器的自动播放功能。）
A：不对！靠组策略中关闭自动播放来预防U盘毒是完全没有用的！自动播放（Autoplay）和自动运行（autorun）并不是一回事。
Q：那么在U盘以及硬盘分区建立无法删除的autorun.inf同名文件夹是否可以？不让病毒文件进入。
A：用来防御autorun可以，不过只限于这种病毒，对于引诱你点击的无效。还有，autorun.inf同名文件夹只能阻止autorun.inf文件进入，病毒的主体文件还会进来，只是不会自动运行。
注意，下面3和4是对付autorun行之有效的方法：
3.最简单的方法：安装微软的补丁，win7这方面的安全已经完善了，没有补丁。安装后系统不再支持非光学便携媒体的自动运行(AutoRun)功能。
WindowsXP：
Windows XP 64
Windows Vista：
Windows Vista 64位：
4.稍稍麻烦：关闭Shell Hardware Detection服务（同时把自动播放和自动运行取消）
5.或许有人注意到，以前的教程都没有涉及到杀软&&现在，我们的好搭档已经准备好了，表示要发挥很大的作用&&没错，在U盘病毒的防护中，杀软和卫士都有着重要作用！！一款监控不错的杀软配合卫士（什么卫士都行）的U盘监控功能，加上之前的显示隐藏文件、扩展名，以及打补丁，就可以非常好地防御U盘病毒感染。而且对于U盘某些感染型病毒，自然也是杀软比较给力。PS：我们的凝逸版主研发的凝逸反毒--U盘防御也是相当给力滴&&
再下面呢，就是一些高级的方法了，由于水平限制，不一定完全正确，欢迎给意见。如果对高级方法没有兴趣或者觉得太难，没有关系，掌握好前面的基本方法足矣。
1.U盘可执行文件软件散列规则禁运开始运行，输入secpol.msc，打开，看到软件限制策略。
规则对于指定的文件类型里的所有可执行文件都有效。
然后看到软件限制策略下的其他规则：
默认的东西不要动，右侧，右键，新建路径规则：
关于路径，从你光驱的盘符之后开始写，一般几个就行（不会插那么多设备的，比如X：\，你要写到Z也可以&&），安全级别自然是不允许，需要几个盘符就写几个规则。&此后，直接运行U盘里的可执行文件就会这样：
当然，运行PPT之类的文件不会有问题，网银的U盾似乎也不受影响。只是如果要运行安装程序，请先复制到电脑上再说。这样，U盘里的所有病毒自然没有机会运行。
1.&U盘根目录NTFS权限法：此法比较麻烦，不过可能是能够阻止有毒电脑上的病毒文件进入你的U盘的少数方法之一，毕竟大多数防御都是在你自己电脑上做文章。&以下纯属引用：首先U盘的文件系统要是NTFS（废话，不然怎么设置权限？）最简单的做法是：开始&&运行&&ｃｍｄ&&convert&Ｇ:/fs:ntfs（Ｇ是ｕ盘盘符，当然你直接格式化成这样也行）。然后：查看&&文件夹选项&&把&使用简单文件共享&前面的钩取掉。这么做之后鼠标右键点击ｕ盘盘符&&属性，会出现安全选项卡！接下来，我们就要在这里作文章了！&
作文章之前先别忙，我们在ｕ盘根目录下创建一个空文件夹名字就叫&都放在这里吧&。呵呵！～&（以后的文件真的只有放在里面，我这里是新建文件夹）&
ｕ盘默认的组或用户是Ｅｖｅｒｙｏｎｅ，并且权限是完全控制。也就是说，ｕ盘插在谁的电脑上谁的电脑就对它有完全控制权。如果电脑上带有病毒，它要对你的ｕ盘做些什么是你无法控制的。点击&高级&&&&编辑&我们来对Ｅｖｅｒｙｏｎｅ的权限作一些限制。拒绝掉创建文件／写入数据、创建文件夹／附加数据、写入属性。这样，任何人都不能在ｕ盘根目录下创建文件、文件夹了。但是别忘了，你还有一个空文件夹&&名叫&都放在这里吧&。
正常文件的存储读取怎么办呢？当然都要在&都放在这里吧&文件夹（新建文件夹）中了。
对该文件夹的权限设置仍然很重要！属性&&安全选项卡&&这里默认有两个用户administrator（就是自己的用户名，也可以是其他）和ＳＹＳＴＥＭ。到这里，我的ｕ盘根目录下这个文件夹到了别人的电脑上是打不开的，也就是无法拷东西了。在这里我们要添加一个用户Ｅｖｅｒｙｏｎｅ。点击&高级&设置Ｅｖｅｒｙｏｎｅ对该文件夹。注意，&从父项继承哪些可以应用到子对象的权限项目。。。&一定要选上，默认就是选上的吧。拒绝掉删除子文件夹及文件、删除。这样可以防止资料在别的电脑上被误删。本机用户就采用完全控制好了～自信我的电脑上没毒～
至此，ＮＴＦＳ格式的安全ｕ盘打造完毕。以后使用中所要做的就是把东西都放在那个名叫&都放在这里吧&的文件夹下，根目录下是不能新建任何东西了，病毒也就没有了可趁之机。
PS：此法自然可靠，当年我用它抵御过文件夹隐藏者病毒。不过文件只能放在特定的文件夹里，不是很方便，而且操作不能出错，有一定风险，一般推荐。
3.这个或许是卡饭历史上最蛋疼，但最有效的绝招（感谢天月来了！），他的思路是使用的加密盘。（和NTFS一样，阻止病毒进入U盘）。
这算是加密盘的古怪用法了。创建一个和你的U盘容量几乎一样大的加密盘文件，通过瑞星的加密盘向U盘里写入你要放进去的文件，相当于把你所有的文件加密成一个庞大的特殊文件，几乎占用整个U盘空间。这样，不但由于剩下空间极小（可能只有几个字节），病毒文件无法写入，而且文件特殊，病毒还无法感染此文件，可谓绝对保险了&&确定也是显而易见的，加密解密只有在双方电脑上都安装瑞星的加密盘时才能实现，人家电脑上没有安装就悲剧了。所以非常安全，也极其蛋疼！&&
4.&当然，其他的比如：
A.把U盘放在沙盘里运行
（DW的非信任、SBie的强制运行等等）
B.自定义有害文件：autorun.inf&（一些杀软可以做到，例如咖啡8.5i）
C.修改shell32.dll，更改autorun.inf的打开方式这些都有效，不一一赘述。&至此，第三课结束，欢迎反馈意见。或许教程会出的很慢，不过还会继续，精彩不断！&呵呵，还会有第四课滴&&&&
论坛原文：
官方微博：
【卡饭防毒系列第三讲】病毒从哪里来（二）——阻击U盘病毒 Part2
怎么防御U盘病毒呢？（我们分普及版和高级版讲解）
1.意识打头，之前的描述很明确了，如果能够正常显示隐藏文件和扩展名，相信大家都能发现那些不对劲的文件并且歼灭之，无论如何伪装都是逃不过滴&&
2.对于autorun病毒的预防，原先的误区是很多的，用以下Q&A说明：
Q：听说这样关闭自动播放可以预防autorun病毒？（单击&开始&-&运行&，在运行中输入gpedit.msc进入组策略编辑器，依次选择&用户配置&-&管理模板&-&系统&-&关闭自动播放&，在&关闭自动播放&属性窗口选择&已启用&，关闭自动播放中选择&所有驱动器&，单击&应用&按钮禁用系统中所有驱动器的自动播放功能。）
A：不对！靠组策略中关闭自动播放来预防U盘毒是完全没有用的！自动播放（Autoplay）和自动运行（autorun）并不是一回事。
Q：那么在U盘以及硬盘分区建立无法删除的autorun.inf同名文件夹是否可以？不让病毒文件进入。
A：用来防御autorun可以，不过只限于这种病毒，对于引诱你点击的无效。还有，autorun.inf同名文件夹只能阻止autorun.inf文件进入，病毒的主体文件还会进来，只是不会自动运行。
注意，下面3和4是对付autorun行之有效的方法：
3.最简单的方法：安装微软的补丁，win7这方面的安全已经完善了，没有补丁。安装后系统不再支持非光学便携媒体的自动运行(AutoRun)功能。
WindowsXP：
Windows XP 64
Windows Vista：
Windows Vista 64位：
4.稍稍麻烦：关闭Shell Hardware Detection服务（同时把自动播放和自动运行取消）
5.或许有人注意到，以前的教程都没有涉及到杀软&&现在，我们的好搭档已经准备好了，表示要发挥很大的作用&&没错，在U盘病毒的防护中，杀软和卫士都有着重要作用！！一款监控不错的杀软配合卫士（什么卫士都行）的U盘监控功能，加上之前的显示隐藏文件、扩展名，以及打补丁，就可以非常好地防御U盘病毒感染。而且对于U盘某些感染型病毒，自然也是杀软比较给力。PS：我们的凝逸版主研发的凝逸反毒--U盘防御也是相当给力滴&&
再下面呢，就是一些高级的方法了，由于水平限制，不一定完全正确，欢迎给意见。如果对高级方法没有兴趣或者觉得太难，没有关系，掌握好前面的基本方法足矣。
1.U盘可执行文件软件散列规则禁运开始运行，输入secpol.msc，打开，看到软件限制策略。
规则对于指定的文件类型里的所有可执行文件都有效。
然后看到软件限制策略下的其他规则：
默认的东西不要动，右侧，右键，新建路径规则：
关于路径，从你光驱的盘符之后开始写，一般几个就行（不会插那么多设备的，比如X：\，你要写到Z也可以&&），安全级别自然是不允许，需要几个盘符就写几个规则。&此后，直接运行U盘里的可执行文件就会这样：
当然，运行PPT之类的文件不会有问题，网银的U盾似乎也不受影响。只是如果要运行安装程序，请先复制到电脑上再说。这样，U盘里的所有病毒自然没有机会运行。
1.&U盘根目录NTFS权限法：此法比较麻烦，不过可能是能够阻止有毒电脑上的病毒文件进入你的U盘的少数方法之一，毕竟大多数防御都是在你自己电脑上做文章。&以下纯属引用：首先U盘的文件系统要是NTFS（废话，不然怎么设置权限？）最简单的做法是：开始&&运行&&ｃｍｄ&&convert&Ｇ:/fs:ntfs（Ｇ是ｕ盘盘符，当然你直接格式化成这样也行）。然后：查看&&文件夹选项&&把&使用简单文件共享&前面的钩取掉。这么做之后鼠标右键点击ｕ盘盘符&&属性，会出现安全选项卡！接下来，我们就要在这里作文章了！&
作文章之前先别忙，我们在ｕ盘根目录下创建一个空文件夹名字就叫&都放在这里吧&。呵呵！～&（以后的文件真的只有放在里面，我这里是新建文件夹）&
ｕ盘默认的组或用户是Ｅｖｅｒｙｏｎｅ，并且权限是完全控制。也就是说，ｕ盘插在谁的电脑上谁的电脑就对它有完全控制权。如果电脑上带有病毒，它要对你的ｕ盘做些什么是你无法控制的。点击&高级&&&&编辑&我们来对Ｅｖｅｒｙｏｎｅ的权限作一些限制。拒绝掉创建文件／写入数据、创建文件夹／附加数据、写入属性。这样，任何人都不能在ｕ盘根目录下创建文件、文件夹了。但是别忘了，你还有一个空文件夹&&名叫&都放在这里吧&。
正常文件的存储读取怎么办呢？当然都要在&都放在这里吧&文件夹（新建文件夹）中了。
对该文件夹的权限设置仍然很重要！属性&&安全选项卡&&这里默认有两个用户administrator（就是自己的用户名，也可以是其他）和ＳＹＳＴＥＭ。到这里，我的ｕ盘根目录下这个文件夹到了别人的电脑上是打不开的，也就是无法拷东西了。在这里我们要添加一个用户Ｅｖｅｒｙｏｎｅ。点击&高级&设置Ｅｖｅｒｙｏｎｅ对该文件夹。注意，&从父项继承哪些可以应用到子对象的权限项目。。。&一定要选上，默认就是选上的吧。拒绝掉删除子文件夹及文件、删除。这样可以防止资料在别的电脑上被误删。本机用户就采用完全控制好了～自信我的电脑上没毒～
至此，ＮＴＦＳ格式的安全ｕ盘打造完毕。以后使用中所要做的就是把东西都放在那个名叫&都放在这里吧&的文件夹下，根目录下是不能新建任何东西了，病毒也就没有了可趁之机。
PS：此法自然可靠，当年我用它抵御过文件夹隐藏者病毒。不过文件只能放在特定的文件夹里，不是很方便，而且操作不能出错，有一定风险，一般推荐。
3.这个或许是卡饭历史上最蛋疼，但最有效的绝招（感谢天月来了！），他的思路是使用的加密盘。（和NTFS一样，阻止病毒进入U盘）。
这算是加密盘的古怪用法了。创建一个和你的U盘容量几乎一样大的加密盘文件，通过瑞星的加密盘向U盘里写入你要放进去的文件，相当于把你所有的文件加密成一个庞大的特殊文件，几乎占用整个U盘空间。这样，不但由于剩下空间极小（可能只有几个字节），病毒文件无法写入，而且文件特殊，病毒还无法感染此文件，可谓绝对保险了&&确定也是显而易见的，加密解密只有在双方电脑上都安装瑞星的加密盘时才能实现，人家电脑上没有安装就悲剧了。所以非常安全，也极其蛋疼！&&
4.&当然，其他的比如：
A.把U盘放在沙盘里运行
（DW的非信任、SBie的强制运行等等）
B.自定义有害文件：autorun.inf&（一些杀软可以做到，例如咖啡8.5i）
C.修改shell32.dll，更改autorun.inf的打开方式这些都有效，不一一赘述。&至此，第三课结束，欢迎反馈意见。或许教程会出的很慢，不过还会继续，精彩不断！&呵呵，还会有第四课滴&&&&
论坛原文：
官方微博：
【卡饭防毒系列第三讲】病毒从哪里来（二）——阻击U盘病毒 Part1
终于，防毒第三讲&&出来啦！在各类下载中，我们的意识防毒已经成功地御病毒于千里之外，当然病毒不会善罢甘休，它们试图通过U盘暗渡陈仓&&
对于U盘病毒，想必大家都见识过，一些人或许还深受其害，对于U盘病毒，你了解多少呢？OK，言归正传&&
& & U盘病毒，其实是一个宽泛的概念，凡是可以通过U盘等可移动存储设备传播的病毒，都可以算作U盘病毒，即使它还有其他的传播途径。
& & U盘病毒大致可以分为3类（个人意见）：autorun（自动运行），文件夹或者文件模仿类，微软的lnk漏洞类。下面就分开介绍三种，在最后，会有统一的解决方案，主要是普及版和高级版的防御方案以及一般的处理病毒的防法。&
autorun（自动运行）病毒（最常见）&
在之前的防毒课程中，想必童鞋们已经了解了显示隐藏文件和扩展名的方法了&&
今天我们一样会用到。
这是一只U盘，电脑上已经显示扩展名，但没有显示隐藏文件。现在此U盘一切正常。然后&&&&运行病毒！（我们依然是在虚拟机里操作）
仔细一看&&？多出3个快捷方式？这还是次要的&&下面显示隐藏文件（扩展名已经显示了）：
再看U盘，咦？
这里，最上方三个文件夹是原有的文件夹，正常，注意最后多出的两个文件，病毒现身了！autorun.inf估计很多人看见过，不过你了解吗？&我们用记事本打开autorun.inf文件：&
&&大致的意思是，双击盘符，右键单击打开，用资源管理器打开U盘都会运行病毒文件！&问题出现了！最早的autorun病毒只在双击盘符时运行，于是有人右键打开U盘，安全&&后来右键打开U盘也不安全了，就有人用资源管理器访问U盘，那时还是安全的&&现在，资源管理器也不保险了&&至于怎么预防后面再说。&偶们的童鞋是细心的，很快有人注意到，开始生成的那3个快捷方式是怎么回事?&传统的auto病毒只有那两个文件（一个autorun.inf，一个可以执行的病毒文件，exe或者其他），这个病毒更进一步，我们看看快捷方式的属性：&
& & 非常明显，如果点击了快捷方式，首先运行病毒，同时打开你原来想访问的那个文件夹。因为快捷方式的图标就是那个文件夹的，不注意容易误点击，果然狡猾！&二.&文件夹或者文件模仿类（比较常见）&文件夹模仿者（隐藏者）病毒算是其中最常见的了，它没有运用自动运行的方法，而是直接引诱点击。
这是正常的U盘，扩展名和隐藏文件均没有显示，只有一个可见的文件夹。运行病毒：&
仔细观察，还是一个文件夹？不过图标有点粗糙？现在显示扩展名+显示隐藏文件：&&
& & 一目了然。原有文件夹被隐藏，显示的只是相同名称的，图标模仿的病毒文件。此类病毒曾经广泛爆发，现在依然多见。还有一类是将原有的照片或者可执行文件隐藏并且改名，然后显示病毒文件的，比如死亡宅男（sola）：
这里的情况是显示的是病毒文件，而不是原有的照片。&后来sola的变种更胜一筹，不只是隐藏照片，而是直接删除照片，用病毒文件代替，而且图标显示的还是照片的默认图标！！&三．微软Lnk漏洞病毒（现在很少见）微软Lnk漏洞（快捷方式漏洞）具有非常好的触发特性，一句话解释就是，&看一眼就中毒&。病毒传播者会精心构造一个特殊的lnk文件和一个lnk调用的病毒文件。通过U盘、移动硬盘、数码存储卡复制传播这些文件。只要查看这些文件，有漏洞的系统就会触发病毒运行。听起来比较恐怖，不过只要打上了相应补丁，此类病毒不过是浮云&&&嗯嗯，下面就是童鞋们最感兴趣的了&&&&怎么防御U盘病毒呢？&&&
篇幅比较大，继续详见part2
论坛原文：
官方微博：
【卡饭防毒系列第二讲】——病毒从哪里来？（一）
今天我们开始我们的第二讲了&&一起来讨论病毒从哪里来的问题。生活中许多人常常被&从天而降的病毒&弄得不知所措&&。恶意软件天上来？这个当然不现实。俗话说，冤有头，债有主，病毒也是凡间的东西，还是会通过特定的途径袭击我们的电脑！所以&&意识防毒第二波！让病毒没有机会出现在我们的电脑上，半路狙杀之！超越文件名的判断！其实，还是那句老话，相比较杀毒而言，防毒更为重要。因为其实中了毒之后如果杀毒软件不管用的话，普通用户是很难对付的。就算是有一定功底的人，即使把病毒杀了，系统也会变得千疮百孔，且基本不可能完全修复，因此防御病毒的入侵是最为重要的，切记切记！
& &&OK，言归正传。病毒会通过哪些途径侵袭大家呢？
欢迎踊跃发言&&（waiting）
众高手经过讨论，一致认为主要有下列几点：
1.下载软件中招
2.插入的U盘带毒
3.浏览恶意或者挂马网页中招
4.接受别人（QQ好友或者淘宝卖家）的文件中招
5.局域网ARP病毒
第二波的第一部分，也就是这节课，我们来详细研究一下下载软件中招的问题。
选择题：各位童鞋，平时你们都会去哪里下载自己想要的软件？
A．我就相信官方的，从来都去软件的官方网站下载。
B．华军，天空，太平洋，非凡神马的大型下载站我最喜欢了&&就去那里。
C．360，QQ，金山卫士这一类的软件管家功能很好，都这里下的。
D．好东东都在偏僻的角落，在各种论坛，网盘搜罗一圈总有各种我喜欢的&&（咳咳，省去100字不和谐内容&&）
E．神马都是浮云！百度随便一搜一大堆，管他第一个还是最后一个链接，随便点一个下载了事，哪那么多麻烦？
等待中&&&&&&&&&&&&&&&&&&&&&&&&
& &&选A,B,C的童鞋恭喜了，你们有着不错的下载习惯，这个可以帮助你避免不少难缠的病毒&&选D的要引起注意了！很快大家就会知道，这个不见得安全&&下面&&全体人员为选了E的童鞋默哀3分钟&&&&&&&&&&&&&&&&&&&&&&&&&&
& &&有E这种习惯的童鞋务必引起足够重视！说不定哪天你的电脑就真的浮云了&&至于为什么嘛，我们向下看。
& &&一般说来，官方网站的软件由软件的官方发布，安全性几乎无懈可击；大型的知名下载站，对于软件来源的管理和审核还是不错的，虽然比官方网站可能稍稍逊色一些，不过也不错；至于软件管家提供的下载，来源可靠，很多来自官网，并有安全厂商的严格审核，也是放心的。关键问题在于论坛，网盘和不知名下载站点的下载！
& &&让我们来看一下这个网站：
没见过吧？没听说过吧？正常，我也没听说过这个站点&&
第一印象是什么？广告多，&下载地址&多，处处&高速&&&
点广告的关闭按钮一样弹广告&&
到这里，估计有同学有疑问：很多大型下载站不是一样有广告吗？
这个没错，不过区别在于，大站的广告位置固定，没有漂浮和弹窗，而且有提示把你引导到正确的下载地址。而这些小下载站的最大问题就在于，你有很大的可能下载到你所不需要的东西&&
当点击了高速下载地址中的一个后：
好吧，有MM&&不过谁都知道这是个弹窗广告。
咳咳，根据之前文件名的判断，这种纯数字命名东东估计有问题！
下载下来之后&&
右键属性：
貌似世界之窗浏览器？反正不是我们想要的。运行一下看看&&
好吧，世界之窗是出来了，不过，那个淘宝特卖&&
然后，我们打开世界之窗看看。
我承认这个不是官方版本的世界之窗，很明显被修改过了&&
那么换一个电信下载地址试试呢？
右下角是亮点&&链接失效，附带下载一个带毒的文件&&
折腾到现在，承诺的酷狗音乐播放器去哪里了？很明显是没有了。
现在我估计大家可以认清这些&垃圾&下载站的面目了：
两多一无：广告多，&下载地址&巨多，不过没有一个是我们想要的。而且下载的东西往往是恶意软件，或者是某些被恶意修改的。
所以，珍爱电脑生命，远离&垃圾&下载站！像选ABC的童鞋学习。
不过下载到正规软件的童鞋还要注意一点，就是安装过程中的选项问题。以QQ为例：
要不要安装这些软件，要显示什么图标，要看清楚，有些是你不需要的。还有安装结束：
& & 几个选项看清楚，特别是改主页和开机启动，不需要的就不选（貌似QQ不用开机启动的）。
& & 不同的软件或许有所不同，留个心眼就好。每每看到一些人开机启动时&QQ与PPS齐飞，迅雷共暴风一色&，并且开机暴卡的情形，总是表示相当的同情和无奈&&
& &&接着看一下论坛和网盘下载的问题。这两个地方的文件都是会员或者网民自行上传的。论坛有版主检查，不过能力有限，不见得每一个都能仔细检查，难免漏网之鱼，即使是卡饭这样的计算机安全论坛也不能避免（或许是会员自己也不知道，或许是有人故意的）；而网盘更是没有人检查，安全性更是值得怀疑。
& &&以下就是卡饭的一个例子，帖子中给的是软件的下载链接，不是卡饭的网站：
又是这样的一个网站：
好在还是可以找到真实的下载地址的（上方图片再下面一点的位置）下载成功，但是：
其实exe和swf都可以成为flash文件的后缀，不过这个双后缀&&难道被修改？运行一下：
确实是一个flash游戏。不过关闭它之后，试着打开IE，
& &&好吧，主页被修改，还是不太干净的软件&&论坛的东西不一定保险，切记！
关于网盘，曾经看见过某牛人的网盘，全是exe后缀的大小几十KB的文件，文件名都是带颜色（yellow）的那种&&
& & 很好，有同学认为那个文件不正常，没错，用杀软一试，全是一种病毒&&这个相当无语。
& &&总的来说，论坛和网盘的下载都不怎么靠谱，当然&垃圾&下载站更加不对劲&&我们也知道，有一些同学去这些地方找资源是不得以，因为他找的是一些&灰色资源&：比如某些小型视频网站的特制版快播，或者是外-挂。对于快播，它是个好软件，不过想一想为什么要你下载特制的？很明显，快播是被做过手脚的，这一点通过我们意识防毒的学习应该不难判断。
& &&公司不对，不是快播的，而且没有数字签名。
& &&运行文件，没有安装界面（压根不是安装程序），我们记录下了一堆病毒的行为，然后虚拟机竟然自动重启了&&貌似危害不小。
& &&外-挂更不用说，十挂九毒可不是传说啊！本来，单机游戏用的修改器无可非议，但是在网游用外-挂就是严重扰乱游戏公平的行为，我们坚决反对。关键是由于外-挂软件干的某些事情本来就和病毒很像，容易被杀软报病毒，所以一般人判断外-挂是否带病毒不容易（方法还是有的，不过不容易掌握，有兴趣可以来卡饭学习研究，这里不说了）。
所以说根本不用这些灰色软件才是王道。
& & 到这里，第二课的讲述基本完成。在今后的课里，我们不仅会对病毒入侵的其他途径做详细论述，还会教授很多的防毒杀毒相关的基本知识。最后，关于文章的难度和其他方面，有任何想说的话，都欢迎反馈！
论坛原文：
站长在关注