青春时代是一个短暂的美梦,当你醒来时,它早已消失得无影无踪了。
 
昨日:篇  今日:篇   总帖:篇   会员:
今日:0
文章:43
今日:0
文章:19
今日:0
文章:39
今日:0
文章:44
今日:0
文章:1
今日:0
文章:6
今日:0    总帖:177
admin
572
相信许多人跟站长一样,Win10一出来的时候就迫不及待的升级了Win10,升级完成后,安装软件,优化设置,当一番折腾下来,就出问题了,一重启,打开图片、系统设置等等窗口,都出现了这个提示  那么这个提示是怎么一回事呢,又怎么解决呢,其实这是跟微软改进了系统的安全性有关,我们都知道从Vista开始微软引入了UAC(User Accocunt Control)机制,不过对于Win10之前的系统,我们完全可以把它给关闭掉,并不会影响使用,而Win10则不同了,在Win10中,如果我们关闭了UAC设置就会出现上面的情况。       那么既然知道了原因,其实就很好办了,只需要开启这个UAC就行了,至于怎么进入UAC,因为Win10并未完全去掉控制面板,所以我们仍然可以从桌面右键这台计算机的图标,点击属性,之后通过点击地址栏上面的控制面板来进入,当然有些人说简单点的,也可以直接从msconfig中找到UAC并进行开启,偷懒的话,也可以直接把站长的这个地址复制到这台计算机上面的地址栏中,直接访问就可以看到了,地址:控制面板\用户帐户\用户帐户       附上从msconfig中进入 只需要将这个最低要求设置成这样即可 设置完成后,请记得要重启才可以生效哟
软件维护 0 0 364天前
admin
653
   有时候我们在使用IE的时候因为某些原因需要设置IE的兼容性视图模式,但是明明设置完了以后,关闭IE重新打开后却发现IE的兼容性视图设置里面又空了,就算设置好以后,下次再打开还是空的,每次都要设置      那么这种情况该怎么解决呢?      其实出现这种情况,一般都是因为以下的原因:1.IE设置被清空  2.权限不够(或者被安全软件拦截)      既然知道原因,其实就很好解决了      第一种情况,我们首先打开IE的Internet 选项          在里面,我们会看到有这样的一个选项,我们只需要把“退出时删除浏览历史记录”前面的勾去掉,即可      而第二种情况,对于这种情况,只能是建议更换一个系统账户或者将安全软件退出来尝试是否能解决
软件维护 0 0 364天前
admin
588
原文转自:http://bbs.wuyou.net/forum.php?mod=viewthread&tid=273524&highlight=WIN7%2BPE背景知识1 什么是 Windows PE?1.1 简要介绍    Windows Preinstallation Environment (Windows PE) 是一个为 Windows 安装而设计的最小操作系统.它可以用于启动无操作系统的计算机、对硬盘驱动器分区和格式化、复制磁盘映像以及从网络共享启动 Windows 安装程序.    微软本意是 PE 仅作系统维护,并设置了各种限制.可以简单的理解为: PE 是 Windows 系统的超级精简版,以 Wim 的文件形式存在,运行于内存中.特别的,也是最有价值的, PE 以系统 system 账户登录,这意味着超级权限!对于安装系统、无法进入系统、修复系统、分区等问题都可以进入PE进行操作,因此PE是强大的系统维护工具!    微软原版的 PE ,只有"命令行"窗口.网上流传的各种版本都是"高手们"修改出来的,甚至有的 PE 可以作为系统来使用,这都偏离了微软的本意.我不主张"肆意扩展" PE 的功能来彰显"技术",但是"可视化操作界面、常用功能的集成"这些都是必要且必须的.1.2 版本编号下面简要介绍 Windows PE 的命名规则[略去Windows Server 2003/2008/2012]:Windows PE 1.x表示Windows XP内核.Windows PE 2.x表示Windows Vista内核.Windows PE 3.x表示Windows 7内核.Windows PE 4.x表示Windows 8内核.x表示系统版本,例如SP1(带有Service Pack 2)举例:PE 1.3表示Windows XP SP3内核的PE.                                                                                                2 Windows PE 的启动过程Windows PE 4.x(3.x  2.x类似)引导过程[略去1.x]:2.1 详细过程(微软ADK/AIK说明文档):①Windows PE 在特定媒体上加载启动扇区.系统将控制传递给 Bootmgr.Bootmgr 从启动配置数据 (BCD) 中提取基本启动信息,并将控制传递给包含在 Boot.wim 文件中的 Winload.exe 文件.然后 Winload.exe 将加载相应的硬件抽象层 (HAL),接着加载系统注册表配置单元和必要的启动驱动程序.Winload.exe 完成加载后,将会准备要执行内核 Ntoskrnl.exe 的环境.②该环境将执行 Ntoskrnl.exe 文件.然后 Ntoskrnl.exe 完成环境设置.系统将控制传递给会话管理器 (SMSS).③SMSS 加载注册表的剩余部分,然后配置运行 Win32 子系统 (Win32k.sys) 的环境及其各种进程.SMSS 加载用于创建用户会话的 Winlogon 进程,然后启动服务和剩余的非必要设备驱动程序及安全子系统 (LSASS).④Winlogon.exe 根据 HKEY_LOCAL_MACHINE\SYSTEM\Setup\CmdLine 注册表值来运行设置.Winpeshl.exe 将启动 %SYSTEMDRIVE%\sources\setup.exe 文件,前提是该文件存在.如果该文件不存在,Winpeshl.exe 将确定 %SYSTEMROOT%\system32\winpeshl.ini 文件是否指定了某个应用程序.如果该文件未指定应用程序,则 Winpeshl.exe 将执行 cmd /k %SYSTEMROOT%\system32\startnet.cmd 文件.默认情况下,Windows PE 包含启动 Wpeinit.exe 文件的 Startnet.cmd 文件.Wpeinit.exe 将加载网络资源并协调网络组件(如 DHCP).⑤当 Wpeinit.exe 结束时,将会出现命令提示符窗口.当命令提示符窗口出现时,Windows PE 的启动进程结束.                                                             2.2 简单理解:若为光盘启动,引导文件(例:pe.bif)——bootmgr——BCD——boot.wim——启动PE.3 Windows操作系统的启动过程除了了解WinPE的启动过程,系统的启动过程也非常重要,可以为将来安装WinPE到本地系统分区做准备,更重要的是加深对系统维护和装机的理解.http://bbs.wuyou.net/forum.php?mod=viewthread&tid=254880&extra=page%3D14 如何制作Win8PE,Win7PE4.1 Windows PE 的来源①winpe.wim源自ADK/AIK——被称为"微软官方PE",是最为纯粹的版本,可以进入CMD操作界面②winre.wim<系统安装光盘或ISO>\Sources\install.wim\Windows\System32\Recovery\winre.wim ——可以进入恢复环境③boot.wim<系统安装光盘或ISO>\Sources\boot.wim——定制版的Windows PE,将启动setup.exe,执行系统的安装重点:以上三个文件有不同用途.但本质上都是PE,均可为我们所用,深度加工,制作更人性化、更符合要求的Windows PE.4.2 常见的 Windows PE 制作途径分析①winpe.wim 可以用来制作 ADK/AIK 版 winpe ——安装ADK/AIK时自带winpe.wim,可利用DISM来添加组件,但最终不会有桌面环境,只有 CMD 操作界面.②winre.wim 可以用来制作 Winbuilder 版 winpe  ——缺少的文件可以直接从 install.wim 中拷贝,以获取需要的功能.重点:    由于 WinRE.WIM 只比 boot.wim 分卷2 多一个 winpeshl.ini 文件,故而 Winbuilder 大多利用 boot.wim 分卷2 ;另外, install.wim 的几个分卷代表不同的 Windows 版本,越往后版本越高,故而拷贝文件的时候选择最后一个分卷即可.   ③boot.wim boot.wim 中的卷#1 Windows PE 相当于 winpe.wim ;卷#2 Windows Setup 相当于 winre.wim4.3 制作Windows PE 的新途径    PE是超小型的Windows系统,相关文件以Wim 形式存在,如winpe.wim ,winre.wim ,boot.wim .而install.wim 包含了Windows系统几乎所有文件(没有引导类文件),在WinPE中,我们也经常利用它来装系统.基于这样的理论,Winbuilder 制作出了出色的Windows PE,并让它走向了傻瓜式操作.    但是, ADK/AIK/Winbuilder/MakePE 都没让我们学到真正的东西,它究竟是如何做到的呢?有没有更快更简单的制作方法呢?答案是肯定的,本帖为此而生. 我将告诉大家如何利用boot.wim镜像全手工式制作自己的WinPE,让你做得明明白白,体验其中的乐趣.有了这个基础,还可以利用winre.wim 或者winpe.wim来试试,操作差不多,不过要注意一些细节差异.
维护 0 2 378天前
admin
619
为32位及64位7PE、8PE添加DISM组件,支持/WIMBoot参数。先解包你的PE,执行以下操作,然后重新打包即可。文件下载:Dism组件包添加方法:1、复制DISM相关文件:将x64目录下的所有文件及文件夹复制到64位PE的system32目录下,将x86目录下的所有文件及文件夹复制到32位PE的system32目录下,如提示文件已存在,直接覆盖即可。2、导入服务项:运行regedit打开注册表编辑器,选中HEK_LOCAL_MACHINE主键,“文件”菜单——加载配置单元——选中PE的system32\config目录下的SYSTEM,项名称设为“ST”(不含引号),双击导入压缩包中的wof.reg,然后展开HEK_LOCAL_MACHINE主键,选中ST后,“文件”菜单——卸载配置单元。
维护 0 0 378天前
admin
478
WIN8一般只用DISM挂载处理WIM文件,因为DISM在8时代替换了过去IMAGEX的绝大部分功能,但不等于WIN8的ADK工具中就没有了IMAGEX了。不过,现在很少再用IMAGEX,除了/INFO功能外。WIN7时,DISM、IMAGEX的分工各有不同。下面讲失败的挂载与卸载导致无法进行下一次挂载问题应该如何解决。常见的情况有:卸载没有完成,命令窗口被关闭了,或者挂载没完成,命令窗口被关闭了,这样挂载目录中还有残留文件和目录。还有一种情况是,卸载时,挂载目录处理读写状态,比如你打开了挂载目录中的某个文件,或正常读取某个目录。如果不进行清理,失败的记录将保留在系统的LOG中,这些都会导致下一次挂载无法进行。所以执行卸载时,要注意不要有读写挂载目录中的任何文件的任何行动,也不要打开挂载目录中的任何目录。如果已经有这样的情况,要进行一次清理。处理办法如下:1、DISM对于WIN8及更高的系统,以管理员身份执行DISM命令(系统自带):dism /cleanup-mountpoints对于WIN7,以管理员身份执行DISM命令(系统自带):Dism /Cleanup-Wim2、imagex在部署工具命令提示窗口(或者在IMAGEX.EXE所在目录,建立一个CMD文件来执行),执行:imagex /cleanup以上的命令将帮你清理失败的挂载与卸载。
维护 0 0 378天前
admin
647
转载自:http://bbs.duba.net/thread-23349493-1-1.html1、 概述这个病毒被封装在GHOST系统盘,通过电脑装机、重装系统等途径传播,并且自带驱动对抗杀软,隐藏自身目录防止被查杀。该病毒通过配置文件劫持指定浏览器和主页,并且可通过云端链接升级,十分灵活。2、 样本简介该病毒保存在C:\Program Files\bwlock下,整个bwlock目录被驱动drinst.sys保护,防止杀软扫描,同时病毒主程序bwlock.exe开机自启动,主要功能是根据配置文件锁定浏览器主页。SafeProtect.dll被驱动注入杀软和浏览器进程用于自保护和主页劫持。 图1、GHOST盘中病毒目录下的文件图2、病毒功能大致流程图3、 详细分析 3.1 bwlock.exe行为分析 bwlock.exe是病毒主程序,主要功能是根据配置文件篡改指定浏览器快捷方式参数和注册表主页设置,以及升级驱动和dll模块。 1、获取主页地址 访问www. *****.com/kzr/zhu/2015.htm获得要锁定的主页地址,其中Indexurl为要锁定的主页,Driverurl为保存到本地的网页文件,用于重定向到Indexurl。如下图:图3、主页配置2、篡改浏览器lnk参数和注册表主页设置读取配置文件C:\Program Files\bwlock\llq.ini,修改浏览器主页。配置文件升级地址为www.*****.com/kzr/llq/20150101/xpllq_32.htm 。配置文件内容如下:图4、浏览器主页劫持配置文件部分内容修改主页时,根据配置文件,对“[要修改的浏览器]”,修改其桌面和任务栏lnk参数为C:\Windows\index.htm;对“[whitelist]”不进行修改;对“[要删除的浏览器]”,删除其桌面和任务栏lnk。 根据配置文件中[项名]、[键名]、[键值]的信息来控制驱动修改注册表中的主页设置,如下图:图5、修改注册表主页设置3、云端升级驱动和DLL模块 通过访问www.*****.com/kzr/DriverUpdate/UpDateConfig.txt进行模块升级;更新驱动文件和dll模块。图6、云端升级配置信息3.2 drinst.sys驱动行为分析 该驱动主要功能是注入DLL到指定进程、隐藏自身及防止网页保护模块加载。 1、DriverEntry行为首先检查驱动同目录下是否存在bwlock.exe并且检查特征码判断是否为自身的文件;如果存在并通过验证,则hookSSDT和NTFS派发函数,对自身进行过滤保护。驱动通过接收bwlock.exe的控制码来设置bwlock.exe的启动项,确保长期驻留系统。DriverEntry代码如下:图7、驱动DriverEntry代码2、HOOK 系统服务描述符表(SSDT) HOOK函数ZwEnumerateValueKey、ZwOpenKey、ZwQueryValueKey用于保护自身注册表服务项;HOOK函数NtSetInformationProcess用于注入SafeProtect.dll到指定进程。图8、HOOK SSDT这里HOOK的3个注册表相关函数都先过滤了部分系统进程和自身进程,然后过滤注册表路径和键值,如果为自身驱动的服务名或者包含子串“bwlock”就返回失败,禁止杀软访问。图9、白名单进程过滤图10、注册表关键字过滤NtSetInformationProcess的钩子函数对以下进程通过插入apc线程来注入DLL,apc线程直接调用Loadlibrary加载DLL。图11、注入dll到指定进程图12、通过插入APC远程加载dll3、HOOK NTFS的派遣函数 对NTFS HOOK了3个派遣函数:MJ_IRP_CREATE、MJ_IRP_DIRECTORY_CONTROL、MJ_IRP_SET_INFORMATION图13、HOOK NTFS派遣函数在派遣函数中匹配当前进程是否在白名单中,若是则放行,否则匹配路径是否包含字串“bwlock”,包含则过滤掉,防止自身目录被杀软扫描。由于过滤有进程白名单,所以通过资源管理器是可以查看和删除该病毒所在目录的。图14、文件访问过滤白名单和关键字4、保护自身进程及拦截网页保护模块 在ObReferenceObjectByHandle的钩子函数中会检查当前进程和引用目标对象,如果当前进程在白名单中或是浏览器进程则放行;否则,如果文件对象路径中包含bwlock、safehmpg.dll(360网盾防护模块)、tswebmon.dat(电脑管家网页防火墙模块)或进程对象为bwlock.exe,则进行拦截;目的是防止浏览器加载安全模块以及保护自身。图15、ObReferenceObjectByHandle拦截代码PsLookupProcessByProcessId的钩子函数会检查当前进程和目标进程,如果进程在白名单中或是浏览器进程则放行;否则如果目标进程为bwlock.exe则拦截,防止结束进程bwlock.exe。图16、PsLookupProcessByProcessId拦截代码3.3 SafeProtect.dll行为分析 该dll被注入到浏览器进程,功能是劫持命令行参数及拦截浏览器加载主页保护模块。加载后在dllmain中解密文件C:\Program Files\bwlock\Confighp.txt,得到主页路径C:\Windows\index.htm;当前进程如果是bwlock.exe,结束并返回。 1、劫持命令行参数 如果是kxetray.exe,则hook 系统API函数CreateProcessA/W;在钩子函数中修改命令行参数为之前解密的主页路径。 如果是其他进程,则生成命令行”EXEPATH”C:\Windows\index.htm(EXEPATH为当前进程全路径),hook 系统API函数GetCommandLineA/W,修改函数开头第2字节处的DWORD值为命令行的地址,使得进程读取命令行时得到设置好的主页路径。图17、hook GetCommandLineA/W劫持命令行参数2、拦截主页保护模块hook系统API函数LoadLibraryA/W,在钩子函数中匹配加载dll路径,如果包含下图中字串则直接返回,防止浏览器加载安全软件的主页保护模块。图18、hookLoadLibraryA/W过滤杀软模块4、 防范措施根据以上分析,该病毒通过修改浏览器快捷方式参数、劫持命令行参数、篡改注册表主页设置来劫持主页;并通过驱动HOOK来对抗杀软和保护自身;由于该病毒通过GHOST系统盘传播,在新安装或者重装系统时尽量使用正版操作系统,不要从网上下载GHOST盘安装,并且一定要第一时间安装安全软件,防止系统被不法分子安装病毒木马,沦为其牟取非法利益的工具。注:本文转载自网络,个人觉得不错,分享给各位技术员同行。
维护 0 0 424天前
admin
488
作者:想了好久链接:https://www.zhihu.com/question/21883209/answer/19617109来源:知乎著作权归作者所有,转载请联系作者获得授权。前几天,突然发现默认浏览器的Chrome的主页被篡改为了hao123。每次第一次打开,都自动跳转到http://www.hao123.com/?tn=29065018_59_hao_pg这个网址。自己到网上搜了一下,试了各种方法最终还是无果,本着屌丝懂技术,神都难不住的精神决定自己破掉它。(*^__^*) 嘻嘻……<一> 缩小包围圈1、chrome设置?对chrome中的启动时、外观属性都进行了修改,仍然没有解决问题。&amp;amp;lt;img src="https://pic4.zhimg.com/c4934bf010bea48b811258eaad0f3cbf_b.jpg" data-rawwidth="837" data-rawheight="458" class="origin_image zh-lightbox-thumb" width="837" data-original="https://pic4.zhimg.com/c4934bf010bea48b811258eaad0f3cbf_r.jpg"&amp;amp;gt;2、快捷方式中添加了参数?发现不管是从桌面快捷方式还是直接点击exe文件,chrome主页都被篡改。这就排除了是在桌面快捷方式中的目标栏中添加了hao123网址的缘故。哎,查看一下桌面chrome快捷方式不就得了,整的这麽麻烦。囧。&amp;amp;lt;img src="https://pic1.zhimg.com/c08ba2010964ad2bd041eb343f1e7038_b.jpg" data-rawwidth="366" data-rawheight="461" class="content_image" width="366"&amp;amp;gt;3、chrome.exe被篡改或者chrome配置文件被修改?将chrome的配置文件和可执行文件一同拷贝到虚拟机中,擦,在虚拟机中就没问题。说明问题不在chrome身上。那会是什么问题呢?山重水复疑无路,柳暗花明又一村。转折来了,将chrome.exe重新命名后,再打开浏览器,主页就是设置的www.google.com.hk,这样就没问题了。测试一下,将firxfox.exe重命名位chrome.exe后,主页也被篡改位流氓导航页。看来chrome.exe是个关键词啊!一个解决方案就这样诞生了,太easy了吧。但是这里面到底隐藏着什么奥秘呢?继续整!<二>我要看代码1. 先上第一个利刃,microsoft旗下的Process Explorer。查看chrome.exe的主进程信息如下,亮点就在下图中。&amp;amp;lt;img src="https://pic1.zhimg.com/1689f0289790459e26e24d0e87d90874_b.jpg" data-rawwidth="903" data-rawheight="329" class="origin_image zh-lightbox-thumb" width="903" data-original="https://pic1.zhimg.com/1689f0289790459e26e24d0e87d90874_r.jpg"&amp;amp;gt;小伙伴们一定看到了Command line下面的编辑框里有我们久违的流氓url吧。这个Comand line是什么东东? Windows下常见的创建进程的api就是CreateProcess,这个函数申明如下。&amp;amp;lt;img src="https://pic4.zhimg.com/9a323005cc07f736f4fd12c4a165a1df_b.jpg" data-rawwidth="746" data-rawheight="324" class="origin_image zh-lightbox-thumb" width="746" data-original="https://pic4.zhimg.com/9a323005cc07f736f4fd12c4a165a1df_r.jpg"&amp;amp;gt;其中的第二个参数,就是Command line,在我们这里就是chrome.exe应用程序的参数。该api的详细介绍在http://msdn.microsoft.com/en-us/library/windows/desktop/ms682425(v=vs.85).aspx。现在的问题就是这个command line是谁传递给chrome.exe进程的?弄清楚这个问题之前,先要搞清楚,windows下,双击或者右键打开应用程序时,该应用程序进程是谁创建的?查阅资料发现,通过双击或者右键打开的应用程序进程都是由explorer.exe这个进程调用CreateProcess创建的。那么,我们的流氓url Command line 就一定是explorer.exe传递给chrome.exe。看来explorer.exe有问题了。测试一下,通过任务管理器中的创建新任务的方式启动chrome就没有流氓导航了。但是通过和虚拟机中的explorer.exe文件对比,发现主机和虚拟机中的两个文件完全相同。Exe运行时不光要加载自身的.exe程序文件,还要依赖一些动态库dll。是不是dll有问题。利刃2上场。2、ollydbg闪亮上场。用od加载explorer.exe运行,查看所依赖的dll。&amp;amp;lt;img src="https://pic2.zhimg.com/94d0c04001c18cc6899916ba839c87fd_b.jpg" data-rawwidth="910" data-rawheight="329" class="origin_image zh-lightbox-thumb" width="910" data-original="https://pic2.zhimg.com/94d0c04001c18cc6899916ba839c87fd_r.jpg"&amp;amp;gt;看到有几个可疑的非系统dll,QvodExtend.dll, QvodWebBase.dll,按理说explorer.exe是不会依赖非系统dll的。想起来,网上说的卸载Qvod可以解决问题。这个怎么能说卸就卸呢?万万不可以的。问题肯定是在调用CreateProcess之前出现的,在当前模块中查找调用CreateProcess的地方,一共有四个点,全部设置断点,然后调试explorer.exe进程?当然时调试失败了。~~~~(>_<)~~~~ 但是重新加载explorer.exe运行,然后查看kernel32.dll的CreateProcess的代码发现了重要的问题。下图就是kernel32.dll中的CreateProcess代码,尼玛不是说好了的CreateProcess将调用CreateProcessInternalW吗?这儿怎么上来直接 jmp QvodWebB.10008B90?QvodWebB你要闹啥啊!!!&amp;amp;lt;img src="https://pic4.zhimg.com/56ab58b4f88019ab9570214375c45003_b.jpg" data-rawwidth="624" data-rawheight="560" class="origin_image zh-lightbox-thumb" width="624" data-original="https://pic4.zhimg.com/56ab58b4f88019ab9570214375c45003_r.jpg"&amp;amp;gt;看看下面这个正版的CreateProcess吧。&amp;amp;lt;img src="https://pic4.zhimg.com/12bbf8cf2fe987f574e9cf96982874eb_b.jpg" data-rawwidth="611" data-rawheight="561" class="origin_image zh-lightbox-thumb" width="611" data-original="https://pic4.zhimg.com/12bbf8cf2fe987f574e9cf96982874eb_r.jpg"&amp;amp;gt;至此,整个流程大致出来了。QvodWebBase.dll将kernel32.dll的CreateProcessW代码的前5个字节改为了一条jmp指令,改变了CreateProcess的正常执行流程。实际上,CreateProcessA,CreateInternProcessW,CreateInternProcessA都被注入了相应的跳转指令。<三>深入巢穴 QvodWeb如何随explorer.exe加载,QvodExtend.dll, QvodWebBase.dll到底都做了些什么?先mark,后面接着整。1.先看看QvodExtend.dll, QvodWebBase.dll都导出了些什么函数。&amp;amp;lt;img src="https://pic3.zhimg.com/f001721d7591449edfc92ce397f2081a_b.jpg" data-rawwidth="833" data-rawheight="296" class="origin_image zh-lightbox-thumb" width="833" data-original="https://pic3.zhimg.com/f001721d7591449edfc92ce397f2081a_r.jpg"&amp;amp;gt;下面是QvodWebBase.dll导出的函数。可以看到有InstallWindowsHook钩子函数。下面是QvodWebBase.dll导出的函数。可以看到有InstallWindowsHook钩子函数。&amp;amp;lt;img src="https://pic4.zhimg.com/8a794913984d780f7ef326ca24570573_b.jpg" data-rawwidth="829" data-rawheight="295" class="origin_image zh-lightbox-thumb" width="829" data-original="https://pic4.zhimg.com/8a794913984d780f7ef326ca24570573_r.jpg"&amp;amp;gt;同时,用IceSword扫描时发现,QvodExtend.dll还是个BHO。同时,用IceSword扫描时发现,QvodExtend.dll还是个BHO。&amp;amp;lt;img src="https://pic3.zhimg.com/a985644ee77a0cb8cb5bcd67a16a0d3e_b.jpg" data-rawwidth="1236" data-rawheight="300" class="origin_image zh-lightbox-thumb" width="1236" data-original="https://pic3.zhimg.com/a985644ee77a0cb8cb5bcd67a16a0d3e_r.jpg"&amp;amp;gt;同时,测试发现如果将QvodExtend.dll重命名后,就不会出现主页被篡改,同时explorer.exe也不会有QvodExtend.dll和QvodWebBase.dll模块。由此可以推断,QvodExtend.dll随explorer.exe或者ieplorer.exe启动时,会向系统注册QvodWebBase.dll中的钩子函数,接着再是加载QvodWebBase.dll时,该dll的DLLMain入口函数会向当前进程注入Jmp指令。反汇编QvodExtend.dll代码可以发现,注册QvodWebBase.dll中的钩子函数的代码&amp;amp;lt;img src="https://pic1.zhimg.com/dcf520216d63419ab3908197d0116e04_b.jpg" data-rawwidth="1011" data-rawheight="579" class="origin_image zh-lightbox-thumb" width="1011" data-original="https://pic1.zhimg.com/dcf520216d63419ab3908197d0116e04_r.jpg"&amp;amp;gt;至此,整个过程告一段落。至此,整个过程告一段落。解决办法就是删除或者重命名QvodExtend.dll和QvodWebBase.dll。不知道会不会影响qvod,目前不得而知。----------------------------------------------分割线------------------------------------------------------------------------------QvodExtend.dll在其dll_main函数中,判断当前的模块是explorer.exe或者iexplore.exe,若两者都不是则退出;否则读取qvod安装目录下的QvodCfg.ini文件获取 QvodWebBase的版本号,找到 QvodWebBase.dll后调用LoadLibrary加载该模块(加载过程中会向CreteProcessA/W中注入代码,这个代码就是在CreateProcessInteralA调用之前修改comand line参数),接着调用GetProcAddress获得 QvodWebBase安装钩子的导出函数installwindowshook,并执行该函数,该钩子的类型是WM_CBT。整体流程就是这样。 ----------------------------------------------分割线------------------------------------------------------------------------------ 该实验的软件版本是QvodPlayer5.17.152.0,目前在最新版本中该问题已经解决。
维护 0 0 424天前
admin
528
【影片基本信息】大小:38.47G清晰度:1080P视频:M2TS豆瓣评分:8.3语言: 汉语普通话导演: 九把刀编剧: 九把刀主演: 陈妍希/柯震东/敖犬/郝邵文/蔡昌宪/鄢胜宇/弯弯/邱彦翔/王彩桦上映日期: 2011-08-19(台湾)/2012-01-06(中国大陆)/2011-10-20(香港)片长: 110分钟(港澳台)/100分钟(中国大陆)又名: You Are the Apple of My Eye【剧情简介】柯景腾读国中时是一个成绩暴烂而且又调皮捣蛋的男生,老师将他“托付”给班里最优秀的女生沈佳宜。只要他不认真学习,沈佳宜就会用圆珠笔戳他的后背。在沈佳宜的监督和鼓励下,柯景腾的成绩就像芝麻开花——节节高,渐渐地,他也喜欢上了气质优雅的沈佳宜。但是柯景腾却不敢向心爱的女生表白,因为几乎被所有男生喜欢的沈佳宜对追求她的男生一律反感,她只想好好学习,不希望别人介入自己的生活。   但是,为何沈佳宜唯独愿意把心事与柯景腾分享呢?她对他究竟有没有别样的感觉呢?柯景腾暗恋沈佳宜八年最终能否修得正果呢?让我们走进《那些年,我们一起追的女孩》,一起来寻找那最纯真的感动吧!   《那些年,我们一起追的女孩》其自传体的形式,与歌德的《少年维特之烦恼》以及中国当红青年作家贾飞的《中国式青春》系列,都有一定的相似之处。其独特的叙述方式,和自传体的故事结构,引起了广大青少年的共鸣。【下载地址】百度下载
影视频道 0 0 429天前
admin
956
站长注:这个问题在现在的新机器中已经不存在了,但是站长觉得还是写出来,或许还有人能用的上     以前我们在更新主板CPU的时候,会发现怎么样都开不了机,好不容易开的了,却看到这样一行字,倒计时结束后就自动关机了,那么这行字是什么意思,该怎么解决呢?     其实内容翻译过来大概的意思是:这个CPU的最大热功耗设计为95W以上     解决方法:     进BIOS     找到Power Management setup 回车      选择 95W(over) TDP CPU Support 回车        把默认的Disabled更改为 Enabled      F10 保存 OK!
硬件维护 0 0 429天前
admin
555
       有着“龙猫”别名的毛丝鼠圆滚滚的模样,深受不少国内外网友喜爱,在国外有不少鼠类爱好者都争相饲养。最近在日本推特上有两张照片爆红,有一名毛丝鼠的主人担心宝贝鼠着凉,做了一件白色的小毛衣给牠穿,结果当毛丝鼠穿上衣服后,原本胖嘟嘟的身体变得相当细小,头反而变更大,模样相当可爱。 ↑毛丝鼠一身蓬鬆的毛皮都跑到头跟屁股去了。        根据《Twipple》报导,网友tintiraaa饲养了一只灰色的毛丝鼠,儘管牠有着一身毛茸茸的皮毛,但主人还是担心宠物鼠会因为连日寒冷天气而感冒,于是就把衣服剪一小段作成毛衣给牠穿。结果当毛丝鼠一穿上衣服,乍看肥肥的身躯突然就缩成瘦瘦的样子,萌样吸引超过5千人转发。有网友表示,没想到胖胖的毛丝鼠穿上衣服之后竟然会变这幺瘦,但这模样实在是太可爱了。        而这只可怜的龙猫因为被主人这么一折腾,吓的躲在笼子旁边小心翼翼的呆着,深怕被主人再次抓去奇装异服。这两组照片一天之内就被网友们疯狂转发了五千多次,好吧,有一种冷,叫做主人觉得你冷! ↑这是毛丝鼠原本的模样,整只都圆滚滚又毛茸茸。
休闲 1 0 444天前
桂公网安备 45010302000666号 桂ICP备14001770-3号
您的IP:54.159.30.26,2018-02-22 23:10:00,Processed in 1.09375 second(s).
免责声明: 本网不承担任何由内容提供商提供的信息所引起的争议和法律责任。
Powered by HadSky 5.4.1