深圳市大成天下信息技术有限公司

财经时报记者 李国训

　　随着“网上大盗”数量的不断增多，这一黑色产业也在不断壮大和分工。目前已经发展为包括木马制造、木马传播、密码窃取、洗钱等环节在内完整产业链形态

　　上海的唐先生从不使用网上银行，但他的银行卡却莫名出现了6笔网上转账记录，伴随而来的，是其账户里的3万元不翼而飞。

　　唐先生赶去银行质问，被告之是中了“网银大盗”的招，银行对此不负任何责任。多次沟通未果之后，唐先生无奈将该银行告上了法庭。

　　实际上，与唐先生有着类似郁闷经历的大有人在，而网上银行遭遇投诉的事件也屡见不鲜。仅2006年，北京各级法院受理的相关案件就多达十余件。而在北京、上海、广东、江苏等经济发达地区，同类受害者数量达到上千人。

　　这显然是个颇为尴尬的对照。在外资银行全面进入国内市场的紧要关头，国内各大银行却在愈演愈烈的网银失窃事件中疲于应付。

　　被摧毁的信心

　　各大银行遭遇“网银风波”已非一日，但至今仍无停息的迹象。

　　12月底，名噪一时的“工行网银受害者集体维权联盟”向上海消费者协会投诉工行，再次把网上银行安全话题推向舆论的顶峰。据悉，这一联盟成员目前已近500多名，累计被窃金额达数百万元之多。

　　在此之前，农行、建行等网银失窃事件此起彼伏，已经引起了各大银行的重视。国内各大银行以防止网银失窃案件的蔓延，均采取了相应积极措施。比如工商银行提供了U盾、电子银行口令卡；农行推出限额的电子支付卡、K宝(USBKey智能密钥)；中行推出验证码、交行推出数字证书等。

　　然而，网民被摧毁的信心却难以在短期内恢复。

　　据中国金融认证中心(CFCA)最近发布的《2006中国网上银行调查报告》显示，目前国内用户数量接近4000万，为2005年的的两倍。但是，受“网银大盗”影响，61%的网民不敢用网上银行，而在2005年，这一数字为50%。

　　“网上银行到底怎么了？既然容易失窃，为什么银行不早先做好准备，而失窃的后果却要由个人来承担？”唐先生在电话里向《财经时报》的诉说，折射了许多网民的心声。

　　用户端：最危险的一环

　　为什么在不知情的情况下，账户里的钱会被人通过网上银行席卷一空？网上银行漏洞到底在哪里？

　　金山毒霸技术总监陈睿向《财经时报》透露，从目前来看，尽管从用户到银行的任何环节都可能被黑客拦截，但相比之下，99%的危险来自于用户端。

　　“在WINDOWS的开放的系统下，只要用户在键盘输入任何数字，都可能被黑客记录下来。”陈睿认为，这是导致网上银行出现风险的最大原因。

　　一般而言，“网银大盗”窃取用户银行密码的方式主要有两种：一是“网络钓鱼”，也就是利用欺骗性的电子邮件和伪造的网站来进行诈骗活动，用户一旦上当受骗填写数据，就可能被对方获取；二是利用木马和病毒远程控制用户终端。用户在被木马感染的电脑上使用网上银行，其卡号和密码也会自动发送到黑客指定邮箱中。

　　陈睿认为，在上述两者中，木马和病毒的威胁更大。这也是目前黑客普遍采用的盗窃模式。

　　据江民公司公布的数据显示：三年来国内网银木马数量已经激增600倍。2004年，国内被网银木马感染的计算机数量只有60台，2005年升至1100台，2006年前10个月更超过37000台。

　　在2006年十大计算机病毒事件评选中，涉及网银、支付宝账号和密码被盗的案件，也占据了半壁江山。

　　“在这种情况下，使用杀毒软件无疑可以帮助用户降低很多风险。但百密一疏，被黑客侵入的风险依然存在。”陈睿如此认为。

　　同时，各大银行也在通过提高身份认证等办法，来提升网上银行的安全程度。但这不能从根本上根治网上银行的漏洞。“这些限制手段不过提高了木马制作的门槛。只要能带来暴利，黑客就迟早会突破防线。”陈睿说。

　　木马产业链

　　一位熟知内情的人士向《财经时报》透露说，最近两年来，随着“网上大盗”数量的不断增多，这一黑色产业也在不断壮大和分工。目前已经发展为包括木马制造、木马传播、密码窃取、洗钱等环节在内完整产业链形态。

　　第一个环节就是木马制作。“木马制作者一般不直接作案，他们只生产制造木马，以每款木马数百元到数千元不等的价格卖给下游。他们的特点是人多，分布散，产品多，传播面广。”该人士透露。

　　其次是木马传播以及密码窃取。在从木马制造者手中购买到合适的木马后，这些人便通过各种网络渠道，将木马植入不同的用户电脑。“中招”用户只要输入
银行卡、密码以及身份证等信息，便会发到指定邮箱中。

　　最后一个环节就是洗钱。这也是最危险的一个环节。

　　“获得银行密码的人会找学生或无业人士合作，事后对半分账。洗钱的办法有很多种，比如在网上购买虚拟货币，再转手卖掉，比如直接网上转账到其他银行账号。当然，这些账号必须用虚假身份证。”上述人士透露。

　　据悉，这一产业链主要在网上交易或合作。在上述人士指引下，记者在百度“网银”贴吧等处找到大量相关信息。从1月初至今，上面有关网银木马、资料、洗钱等销售与合作的信息已超过50条，一些“热门贴”甚至多达数百点击。

　　上述人士还透露，由于“网银”盗窃涉及刑法，潜在风险极大，因此参与的人数并不多。相比之下，利用木马盗窃QQ、网游装备等虚拟财产的“灰色产业链”，相比之下要热闹得多。

　　“目前我国的虚拟财产还没有得到明显的法律保护，被盗的人也无法报案，因此做这行的人有惊无险，而且更疯狂。”该人士感慨说。

短短10天时间里多次盗取一公司7个网络游戏充值账户内的虚拟货币，并用虚拟货币购买游戏卡点卖钱，非法获利1300余元。近日，成都市锦江区法院以盗窃罪判处这名网络“黑客”杨小珑有期徒刑8个月。

　　据了解，被盗的成都某信息技术公司主要销售网络游戏点卡，2006年4月，该公司工作人员发现公司多个网络游戏充值账户内的虚拟货币被盗取，总价值上千元，随即向成都警方报警。成都警方通过上网监测发现，被盗公司充值账号内的货币被另一网络用户转走，并很快锁定了一名行盗的网络“黑客”。4月 21日，当这名网络“黑客”在成都一间租用的房屋内上网时，被成都警方抓获。

　　经审讯，杨小珑来蓉后一直没有工作，一次上网无意中看到一张“如何窃取他人账户和密码”的帖子。经过多次试验，杨某终于监测到了终端其他计算机上传输的信息，获取了被盗公司的网络游戏充值账户和密码，并先后在该公司多个账户内用虚拟货币购买游戏点卡。之后，杨某又在网上公开叫卖自己的游戏点卡，获利1300余元。

　　法院审理认为，杨小珑已构成盗窃罪。鉴于杨是初犯，且认罪态度较好，判处有期徒刑8个月，并处罚金1000元，没收用于作案的笔记本电脑。(新华)

出处：数据安全实验室 (DSW Lab Avert 小组)

日期：2007年01月07日
版权所有，转载请保留版权!

一、U盘病毒简述：

　　U盘(自动运行)类病毒(auto病毒)近来非常常见，并且具有一定程度危害，它的机理是依赖Windows的自动运行功能，使得我们在点击打开磁盘 的时候，自动执行相关的文件。目前我们使用U盘都十分频繁，当我们享受U盘所带来的方便时，U盘病毒也在悄悄利用系统的自动运行功能肆意传播，目前流行的 U盘病毒文件大家甚至耳熟能详了，比如经常有网友问的SSS.EXE SXS.EXE如何查杀这类的，下面我们将对U盘病毒极其特性和防范办法进行分析总结。

二、特性分析：

　　所谓的自动运行功能是指Windows系统一种方便特性，使当光盘、U盘插入到机器自动运行，而这种特性的实现就是通过磁盘跟目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件)，它保存着一些简单的命令，告知系统新插入的光盘或 U盘应该自动启动什么程序等。

　　　　常见的Autorun.inf文件格式大致如下：

　　　　[AutoRun]　　　　//表示AutoRun部分开始，必须输入
　　　　 icon=C:\C.ico　　//指定给C盘一个个性化的盘符图标C.ico
　　　　 open=C:\1.exe　　//指定要运行程序的路径和名称，只要在此放入病毒程序就可自动运行；

　　在Windows系统有允许和阻止自动运行的键值的方法：

　　 在注册表中找到如下键：

键路径：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]

在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:

设备名称	第几位	值	设备用如下数值表示	设备名称含义
DRIVE_UNKNOWN	0	1	01h	不能识别的类型设备
DRIVE_NO_ROOT_DIR	1	0	02h	没有根目录的驱动器
DRIVE_REMOVABLE	2	1	04h	可移动驱动器
DRIVE_FIXED	3	0	08h	固定的驱动器
DRIVE_REMOTE	4	1	10h	网络驱动器
DRIVE_CDROM	5	0	20h	光驱
DRIVE_RAMDISK	6	0	40h	RAM磁盘

其中： 保留 7 1 80h 　未指定的驱动器类型

以上值"0"表示设备运行，"1"表示设备不运行。
从上面可以看出，对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运 行的。所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED这些键的值设为1，由于DRIVE_FIXED代表固定的驱动 器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“NoDriveTypeAutoRun”的 键值改为：BD,00,00,00即可。

　　 U盘病毒就是利用这种系统特性，一般在感染后会修改系统的注册表，将显示所有文件的选项设置为禁止。甚至修改磁盘关联，杀毒软件一般会只把病毒文件清除， 但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净，或者清除后双击无法打开磁盘的原因。

三、解决方案：

　　　 1、使用超级巡警套装来全面解决U盘病毒问题(推荐!):

①超级巡警对U盘病毒检测进行了特别的处理，可以快速的监测和定位U盘病毒，并清除它们。
②超级巡警同时还提供对注册表关联修复和自动运行阻止的处理。

2、手动解决办法：

①根据上面的原理，自己修改注册表禁止磁盘的自动运行特性。
②把文件夹选项中隐藏受保护的操作系统文件钩掉，选中显示所有文件和文件夹，点击确定。这样可以在感染病毒的移动存储设备中会看到几个文件(包括autorun.inf和病毒文件)，删除后，病毒就清除了。

 

版权所有：数据安全实验室
http://www.dswlab.com
http://www.unnoo.com
Copyright(c) DSW Lab All rights reserved

出处：DSW Avert   
时间：2007年01月09日

今天，DSW Lab Avert小组监测到一个高度危险的新浪UC漏洞被公开披露，该漏洞是ActiveX控件的参数缺乏必要的验证，攻击者构造恶意网页，可以远程完全控制安装了Sina UC 的用户的计算机，如果被恶意利用，可以使得用户在浏览植入恶意代码的网页时，打开本地端口，远程植入木马到用户系统中。

目前新浪官方尚无反映!

新浪UC是新浪的一款IM软件，新浪UC集传统即时通信软件功能于一体，融合P2P思想的新一代开放式网络即时通信娱乐软件，将有声有色、图文并茂的场景聊天模式，以及视频电话、可断点续传的文件传输、能够多人聊天的多人世界，消息群发功能和在线游戏功能以及同学录(团体)等有机结合，形成一个完整的网上即时通讯娱乐平台。

临时解决方案：

1、在厂商没有升级或推出相应的补丁之前，建议用户改用其它IM。

2、关闭和删除注册表中相关ActiveX注册条目。

3、安装超级巡警来即时监测木马。

注：该漏洞由Nevis Labs安全研究员 Sowhat 发现，更多详细信息：

http://www.nevisnetworks.com
http://secway.org/advisory/ad20070109EN.txt
http://secway.org/advisory/ad20070109CN.txt

最新消息：

2007年01月10日，新浪官方紧急升级，提供了安全补丁下载，下载地址：

http://download.51uc.com/uc_download.shtml?tool_0


版权所有：数据安全实验室
http://www.dswlab.com
http://www.unnoo.com
Copyright(c) DSW Lab All rights reserved

DSW Avert   日期：2007年1月3日

一、事件描述：

2007年1月1日，DSW Avert 发布了一个针对腾讯公司即时聊天工具QQ的0day漏洞预警，仅隔两天，3日，国内一个黑客团体公开了远程溢出代码和相关利用程序，
据介绍，该漏洞是由于QQ在系统中注册了相关Activex控件引起，由于Activex控件的特殊性，用户在安装了QQ后即受此漏洞影响，甚至无需登录QQ都可能遭到潜在攻击。从公开的代码看，漏洞影响QQ2006正式版及之前所有未打最新补丁的版本。

二、漏洞演示：

    下面演示QQ 0day漏洞的危害，出于学习目的，旨在提高网友意识，请勿模仿!
    首先演示本地打开端口供黑客进入：
   
    1、首先查看本地端口，其中并没有4444。
     

   

安装版下载

http://dswlab.com/download/ast_setup.exe
http://killer.9i3g.cn/download/ast_setup.exe
http://wap.chinaz.com/x/AST/ast_setup.exe

http://dswlab.com/download/ast.rar
http://killer.9i3g.cn/download/ast.rar
http://wap.chinaz.com/x/AST/ast.rar

1)、通用的自动化Rootkit解决方案，不使用传统特征码，即可检测各种利用Rootkit技术隐藏的木马、后门。
2)、全面检测隐藏进程、隐藏服务、隐藏端口。
3)、自动检测和修复Winsock SPI链的相关错误。
4)、系统内核服务描述表恢复，显示和摘除被Hook的内核函数，自动还原被Inline hook的内核函数。
5)、独创的快速匹配算法，在最小的系统资源占用级别上进行最快的扫描检测。
6)、扫描模块和实时监控共用引擎和库在内存中的同一份拷贝，大大降低系统资源占用，模块间高效协同工作。
7)、内存扫描和静态分析预警系统有机结合。
8)、立足于病毒家族的广谱特征，强力提高病毒检测率。
9)、前瞻性的主动防御监测体系，全面检测未知木马。
10)、国内首个支持NTFS数据流扫描，使检测更彻底。
11)、纯绿色软件，解压即可使用。

作者：黄鑫（glacier②unnoo.com）

前几天接到一位朋友求助，说是硬盘里的文档、相片和 MP3 等文件全部不见了，D 盘根目录留下一个名为“EncryptV2.0.exe”的程序和一份《使用说明.txt》，主要内容如下：

【Encrypt V2.0】
功能强大的商业数据保护软件，让您的机密不再被他人窃取
客服QQ : 4040458
客服E-mail : encrypt2@163.com
【精明软件开发团队】

0040C8A8　 . 816C24 04 5B00>SUB DWORD PTR SS:[ESP+4],5B
0040C8B0　 . E9 9B7C0000JMP dumped_F.00414550;　“使用说明”按钮
0040C8B5　 . 816C24 04 5F00>SUB DWORD PTR SS:[ESP+4],5F
0040C8BD　 . E9 7E7D0000JMP dumped_F.00414640;　“服务介绍”按钮
0040C8C2　 . 816C24 04 6300>SUB DWORD PTR SS:[ESP+4],63
0040C8CA　 . E9 617E0000JMP dumped_F.00414730;　“团队介绍”按钮
0040C8CF　 . 816C24 04 6700>SUB DWORD PTR SS:[ESP+4],67
0040C8D7　 . E9 447F0000JMP dumped_F.00414820;　“解除保护”按钮
0040C8DC　 . 816C24 04 6B00>SUB DWORD PTR SS:[ESP+4],6B
0040C8E4　 . E9 07810000JMP dumped_F.004149F0;　“取消”按钮
......
00414820　 > 55 PUSH EBP
00414821　 . 8BEC　 MOV EBP,ESP
00414823　 . 83EC 0CSUB ESP,0C
00414826　 . 68 E6104000PUSH 　;　SE handler installation
0041482B　 . 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00414831　 . 50 PUSH EAX
00414832　 . 64:8925 000000>MOV DWORD PTR FS:[0],ESP
00414839　 . 81EC 9C000000　SUB ESP,9C
0041483F　 . 53 PUSH EBX
00414840　 . 56 PUSH ESI
00414841　 . 57 PUSH EDI
00414842　 . 8965 F4MOV DWORD PTR SS:[EBP-C],ESP
00414845　 . C745 F8 C81040>MOV DWORD PTR SS:[EBP-8],dumped_F.004010>
0041484C　 . 8B75 08MOV ESI,DWORD PTR SS:[EBP+8]
0041484F　 . 8BC6　 MOV EAX,ESI
00414851　 . 83E0 01AND EAX,1
00414854　 . 8945 FCMOV DWORD PTR SS:[EBP-4],EAX
00414857　 . 83E6 FEAND ESI,FFFFFFFE
0041485A　 . 56 PUSH ESI
0041485B　 . 8975 08MOV DWORD PTR SS:[EBP+8],ESI
0041485E　 . 8B0E　 MOV ECX,DWORD PTR DS:[ESI]
00414860　 . FF51 04CALL DWORD PTR DS:[ECX+4]
00414863　 . 8B16　 MOV EDX,DWORD PTR DS:[ESI]
00414865　 . 33FF　 XOR EDI,EDI
00414867　 . 56 PUSH ESI
00414868　 . 897D E8MOV DWORD PTR SS:[EBP-18],EDI
0041486B　 . 897D E4MOV DWORD PTR SS:[EBP-1C],EDI
0041486E　 . 897D D4MOV DWORD PTR SS:[EBP-2C],EDI
00414871　 . 897D C4MOV DWORD PTR SS:[EBP-3C],EDI
00414874　 . 897D B4MOV DWORD PTR SS:[EBP-4C],EDI
00414877　 . 897D A4MOV DWORD PTR SS:[EBP-5C],EDI
0041487A　 . 897D 94MOV DWORD PTR SS:[EBP-6C],EDI
0041487D　 . FF92 14030000　CALL DWORD PTR DS:[EDX+314]
00414883　 . 50 PUSH EAX
00414884　 . 8D45 E4LEA EAX,DWORD PTR SS:[EBP-1C]
00414887　 . 50 PUSH EAX
00414888　 . FF15 24104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaObjSe>;　msvbvm60.__vbaObjSet
0041488E　 . 8BF0　 MOV ESI,EAX
00414890　 . 8D55 E8LEA EDX,DWORD PTR SS:[EBP-18]
00414893　 . 52 PUSH EDX
00414894　 . 56 PUSH ESI
00414895　 . 8B0E　 MOV ECX,DWORD PTR DS:[ESI]
00414897　 . FF91 A0000000　CALL DWORD PTR DS:[ECX+A0]
0041489D　 . 3BC7　 CMP EAX,EDI
0041489F　 . DBE2　 FCLEX
004148A1　 . 7D 12　JGE SHORT dumped_F.004148B5
004148A3　 . 68 A0000000PUSH 0A0
004148A8　 . 68 C8BE4000PUSH dumped_F.0040BEC8
004148AD　 . 56 PUSH ESI
004148AE　 . 50 PUSH EAX
004148AF　 . FF15 18104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaHresu>;　msvbvm60.__vbaHresultCheckObj
004148B5　 > 8B45 E8MOV EAX,DWORD PTR SS:[EBP-18]
004148B8　 . 50 PUSH EAX
004148B9　 . 68 DCBE4000PUSH dumped_F.0040BEDC
004148BE　 . FF15 3C104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaStrCm>;　与空字符串进行比较
004148C4　 . 8BF0　 MOV ESI,EAX
004148C6　 . 8D4D E8LEA ECX,DWORD PTR SS:[EBP-18]
004148C9　 . F7DE　 NEG ESI
004148CB　 . 1BF6　 SBB ESI,ESI
004148CD　 . 46 INC ESI
004148CE　 . F7DE　 NEG ESI
004148D0　 . FF15 90104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaFreeS>;　msvbvm60.__vbaFreeStr
004148D6　 . 8D4D E4LEA ECX,DWORD PTR SS:[EBP-1C]
004148D9　 . FF15 94104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaFreeO>;　msvbvm60.__vbaFreeObj
004148DF　 . B9 04000280MOV ECX,80020004
004148E4　 . B8 0A000000MOV EAX,0A
004148E9　 . 66:3BF7CMP SI,DI
004148EC　 . 894D ACMOV DWORD PTR SS:[EBP-54],ECX
004148EF　 . 8945 A4MOV DWORD PTR SS:[EBP-5C],EAX
004148F2　 . 894D BCMOV DWORD PTR SS:[EBP-44],ECX
004148F5　 . 8945 B4MOV DWORD PTR SS:[EBP-4C],EAX
004148F8　 . 894D CCMOV DWORD PTR SS:[EBP-34],ECX
004148FB　 . 8945 C4MOV DWORD PTR SS:[EBP-3C],EAX
004148FE　 . 74 43　JE SHORT dumped_F.00414943
00414900　 . 8D55 94LEA EDX,DWORD PTR SS:[EBP-6C]
00414903　 . 8D4D D4LEA ECX,DWORD PTR SS:[EBP-2C]
00414906　 . C745 9C F0BF40>MOV DWORD PTR SS:[EBP-64],dumped_F.0040B>
0041490D　 . C745 94 080000>MOV DWORD PTR SS:[EBP-6C],8
00414914　 . FF15 7C104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaVarDu>;　msvbvm60.__vbaVarDup
0041491A　 . 8D4D A4LEA ECX,DWORD PTR SS:[EBP-5C]
0041491D　 . 8D55 B4LEA EDX,DWORD PTR SS:[EBP-4C]
00414920　 . 51 PUSH ECX
00414921　 . 8D45 C4LEA EAX,DWORD PTR SS:[EBP-3C]
00414924　 . 52 PUSH EDX
00414925　 . 50 PUSH EAX
00414926　 . 8D4D D4LEA ECX,DWORD PTR SS:[EBP-2C]
00414929　 . 57 PUSH EDI
0041492A　 . 51 PUSH ECX
0041492B　 . FF15 20104000　CALL DWORD PTR DS:[<&msvbvm60.rtcMsgBox>>;　提示“请输入密码！”
00414931　 . 8D55 A4LEA EDX,DWORD PTR SS:[EBP-5C]
00414934　 . 8D45 B4LEA EAX,DWORD PTR SS:[EBP-4C]
00414937　 . 52 PUSH EDX
00414938　 . 8D4D C4LEA ECX,DWORD PTR SS:[EBP-3C]
0041493B　 . 50 PUSH EAX
0041493C　 . 8D55 D4LEA EDX,DWORD PTR SS:[EBP-2C]
0041493F　 . 51 PUSH ECX
00414940　 . 52 PUSH EDX
00414941　 . EB 41　JMP SHORT dumped_F.00414984
00414943　 > 8D55 94LEA EDX,DWORD PTR SS:[EBP-6C]
00414946　 . 8D4D D4LEA ECX,DWORD PTR SS:[EBP-2C]
00414949　 . C745 9C 04C040>MOV DWORD PTR SS:[EBP-64],dumped_F.0040C>
00414950　 . C745 94 080000>MOV DWORD PTR SS:[EBP-6C],8
00414957　 . FF15 7C104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaVarDu>;　msvbvm60.__vbaVarDup
0041495D　 . 8D45 A4LEA EAX,DWORD PTR SS:[EBP-5C]
00414960　 . 8D4D B4LEA ECX,DWORD PTR SS:[EBP-4C]
00414963　 . 50 PUSH EAX
00414964　 . 8D55 C4LEA EDX,DWORD PTR SS:[EBP-3C]
00414967　 . 51 PUSH ECX
00414968　 . 52 PUSH EDX
00414969　 . 8D45 D4LEA EAX,DWORD PTR SS:[EBP-2C]
0041496C　 . 57 PUSH EDI
0041496D　 . 50 PUSH EAX
0041496E　 . FF15 20104000　CALL DWORD PTR DS:[<&msvbvm60.rtcMsgBox>>;　提示“密码错误！”
00414974　 . 8D4D A4LEA ECX,DWORD PTR SS:[EBP-5C]
00414977　 . 8D55 B4LEA EDX,DWORD PTR SS:[EBP-4C]
0041497A　 . 51 PUSH ECX
0041497B　 . 8D45 C4LEA EAX,DWORD PTR SS:[EBP-3C]
0041497E　 . 52 PUSH EDX
0041497F　 . 8D4D D4LEA ECX,DWORD PTR SS:[EBP-2C]
00414982　 . 50 PUSH EAX
00414983　 . 51 PUSH ECX
00414984　 > 6A 04　PUSH 4
00414986　 . FF15 08104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaFreeV>;　msvbvm60.__vbaFreeVarList
0041498C　 . 83C4 14ADD ESP,14
0041498F　 . 897D FCMOV DWORD PTR SS:[EBP-4],EDI
00414992　 . 68 C8494100PUSH dumped_F.004149C8
00414997　 . EB 2E　JMP SHORT dumped_F.004149C7
00414999　 . 8D4D E8LEA ECX,DWORD PTR SS:[EBP-18]
0041499C　 . FF15 90104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaFreeS>;　msvbvm60.__vbaFreeStr
004149A2　 . 8D4D E4LEA ECX,DWORD PTR SS:[EBP-1C]
004149A5　 . FF15 94104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaFreeO>;　msvbvm60.__vbaFreeObj
004149AB　 . 8D55 A4LEA EDX,DWORD PTR SS:[EBP-5C]
004149AE　 . 8D45 B4LEA EAX,DWORD PTR SS:[EBP-4C]
004149B1　 . 52 PUSH EDX
004149B2　 . 8D4D C4LEA ECX,DWORD PTR SS:[EBP-3C]
004149B5　 . 50 PUSH EAX
004149B6　 . 8D55 D4LEA EDX,DWORD PTR SS:[EBP-2C]
004149B9　 . 51 PUSH ECX
004149BA　 . 52 PUSH EDX
004149BB　 . 6A 04　PUSH 4
004149BD　 . FF15 08104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaFreeV>;　msvbvm60.__vbaFreeVarList
004149C3　 . 83C4 14ADD ESP,14
004149C6　 . C3 RETN
004149C7　 > C3 RETN ;　RET used as a jump to 004149C8
004149C8　 > 8B45 08MOV EAX,DWORD PTR SS:[EBP+8]
004149CB　 . 50 PUSH EAX
004149CC　 . 8B08　 MOV ECX,DWORD PTR DS:[EAX]
004149CE　 . FF51 08CALL DWORD PTR DS:[ECX+8]
004149D1　 . 8B45 FCMOV EAX,DWORD PTR SS:[EBP-4]
004149D4　 . 8B4D ECMOV ECX,DWORD PTR SS:[EBP-14]
004149D7　 . 5F POP EDI
004149D8　 . 5E POP ESI
004149D9　 . 64:890D 000000>MOV DWORD PTR FS:[0],ECX
004149E0　 . 5B POP EBX
004149E1　 . 8BE5　 MOV ESP,EBP
004149E3　 . 5D POP EBP
004149E4　 . C2 0400RETN 4

NASL脚本解释引擎Windows版，可以用来解释运行Nessus脚本。
点击下载源代码：NASL脚本解释引擎Windows版（380.3 KB）

程序介绍：
本程序为大成天下信息技术有限公司发布免费工具，用于将 MS Office 文档转换为加密的 UND 文档，同时可设置文档的阅读次数及自动销毁时间。在阅读 UND 文档期间，用户无法复制文档内容。当 UND 文档满足销毁条件后，再次被打开时将以不可恢复的方式安全删除该文档。

文件说明：
UndMaker.exe：UND 文档创建工具
UndViewer.exe：UND 文档阅读工具

使用说明：
1、执行 Setup.exe 安装本程序；
2、在“我的电脑”或“资源管理器”中右键点击 MS Office 文档，选择“转换为UND安全文档”；
3、在弹出的窗口中设置相关参数并点击“确定”；
4、将创建好的 UND 文档发送给他人；
5、在安装了本程序的电脑上可以通过鼠标双击打开 UND 文档，并在规定次数/时间内正常阅读。

命令行参数：

UndMaker
/init：初始化文件关联
/V：查看程序版本
filename：生成 UND 文档
UndViewer
/init：初始化文件关联
/o ：阅读 UND 文档
/v ：查看 UND 文档水印
/V：查看程序版本

DigNtfs - 直接读取 NTFS 卷，查找 NTFS 分区中被 rootkit 隐藏的文件
命令行格式: DigNtfs.exe
 含义:
    dig : 查找 分区中被隐藏的文件。
    list : 列出 分区中的所有文件 (包括元数据文件)。
    dump : 根据 和 读取文件内容，并保存在 中。用于复制和分析被隐藏的文件。

示例:
    1、DigNtfs.exe -dig c
    查找 C 盘内被 rootkit 隐藏的文件
    2、DigNtfs.exe -list c
    列出 C 盘内的所有文件
    3、DigNtfs.exe -dump c 10224 dump.dat
    将 C 盘内编号为 10224 的隐藏文件另存到当前目录下 dump.dat

点击下载DigNtfs系统工具v1.0

命令行参数：
    无参数：显示系统当前运行的所有进程
    /m：显示各个进程加载的 DLL 模块
    /n <进程ID>：只显示 ID 等于 <进程ID> 的进程信息
    /f <字符串>：根据 <字符串> 过滤进程信息
    /k <进程名称/进程ID>：强行终止进程
    /i <进程名称/进程ID/*> : 强行向指定进程中插入 DLL (“*”匹配所有进程)
    /e <进程名称/进程ID/*> : 强行由指定进程中释放 DLL (“*”匹配所有进程)

示例：
    ps
    显示所有进程
    ps /m
    显示所有进程及各进程加载的 DLL 模块
    ps /m /n 1012
    显示 ID 为 1012 的进程加载的 DLL 模块
    ps /m /f "user32.dll"
    在所有进程加载的模块中查找“user32.dll”字符串
    ps /k 1012
    终止 ID 为 1012 的进程
    ps /k notepad
    终止所有名为“notepad”的进程
    ps /i explorer.exe hook.dll
    强制 explorer.exe 进程加载 hook.dll
    ps /e * hook.dll
    强制所有进程释放 hook.dll

点击下载X-PS系统工具v1.0

X警戒是一款简洁有效的个人网络防火墙，可工作在 Windows 2000/XP 的各个版本上，不可在 Windows 9x/NT 下运行。纯绿色免费软件，无需安装，双击运行即可使用。
它能够自动拦截发向本机的恶意 TCP/UDP/ICMP 数据包，普通用户无需配置。可自由浏览网站、收发 E-MAIL、运行各种网络游戏。对于高级用户，可在规则设置界面中设置允许/禁止对外提供服务的 TCP/UDP 端口，各端口之间用“,”号分隔，例如“25,80,110”。各项设置将在重新启动防火墙时生效。
X警戒最大程度屏蔽技术细节，是对计算机技术了解甚少的基础用户的最佳安全工具，它的使用界面如下：


点击下载X警戒个人防火墙v1.0.1