行至水穷处，坐看云起时

ESET的一个类似于HiJackThis的分析工具，是一个最先进的易于使用的基于Windows系统的诊断工具。可以深入分析你的操作系统的各方面，，包括正在运行的进程，登记内容，启动项和网络连接，它使得你的系统完全透明作进一步操作.

阅读全文 »

没有安全的服务器，只有相对安全的服务器设置，这句话一点都不假。现在我们来讲解一下安全加固之添加IIS_WPG组。让您的服务器更安全一点。 阅读全文 »

阅读全文 »

一般ASP木马、Webshell所利用的ASP组件有：

　　① WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)
　　② WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)
　　③ WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74)
　　④ WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
　　⑤ FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)
　　⑥ Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
　　⑦ Shell.applicaiton
阅读全文 »

如题，我将默认的搜索进行了一些修改和更新，然后把更新后的文件打包到了 Google个人空间 里，使用的时候，将压缩包放到searchplugins目录就好了（可以放在自己的Profiles目录下的位置）

http://skylovebeauty.googlepages.com/searchplugins.rar

另外，利用Sytlish的官方网站，给Gmail加了不少css风格插件。

加上的Stylish脚本有

Gmail - Bigger Fonts
Gmail - Customize message record colors
Gmail - remove ads
Gmail with different and bigger attachment icons
Gmail: Inbox with new style.
Gmail: Sidebar with renovated style.

目前，使用中的FireFox插件大致有以下：

应用程序: Firefox 2.0.0.3 (2007032106)
操作系统: WINNT (x86-msvc)

- Add to Search Bar 1.5.1
http://maltekraus.de/Firefox/search-tools
将任意网页的任意搜索功能加入到搜索栏。
- All-in-One Gestures 0.18.0
http://perso.wanadoo.fr/marc.boullet/ext/extensions-en.html
This extension allows you to execute common commands using mouse gestures, rocker navigation, scroll wheel navigation and page scrolling.
- Cache Status 0.7.1
https://addons.mozilla.org/addon.php?id=1881
在状态栏方便地查看缓存状态和管理缓存
- ColorfulTabs 2.0.2
http://varun21.googlepages.com/
Colorful Tabs colors every tab in a different color and makes them easy to distinguish while beautifying the overall appeal of the interface.
- Compact Library Extension Organizer (CLEO) 2.0
http://customsoftwareconsult.com/extensions
把你最爱的Firefox主题和扩展打包成一个可直接安装的xpi文件
- DownloadWith (FF2) 0.0.8
http://downloadwith.mozdev.org/
DownloadWith is an extension enabling you to download files with external programs.
- Extension List Dumper 1.8.1
http://sogame.awardspace.com/
转储已安装扩展的列表。
- Firefox Extension Backup Extension (FEBE) 4.0.5
http://customsoftwareconsult.com/extensions
Firefox Extension Backup Extension
- Flashblock 1.5.3
http://flashblock.mozdev.org/
Replaces Flash objects with a button you can click to view them.
- GMarks 0.9.4
https://addons.mozilla.org/firefox/2888/
在侧栏中显示你的Google Bookmarks
- Greasemonkey 0.6.8.20070314.0
http://greasemonkey.mozdev.org/
A User Script Manager for Firefox
- Hide Menubar 1.0.20070405
http://forum.moztw.org/viewtopic.php?t=15303
自动隐藏菜单工具栏，按"Alt"键可临时显示。
- IE Tab 1.3.2.20070404
http://ietab.mozdev.org/
让 Firefox 也能内嵌 IE 用双核心!!!
- MediaWrap 0.1.6.3
http://mediawrap.mozdev.org/
播放 ActiveX 控件方式的网页内嵌媒体。
- NoScript 1.1.4.8.070430
http://noscript.net
为您的 Firefox 提供额外保护: NoScript 只允许您所选择的信任域(例如您本国的银行网站)上的 JavaScript, Java (和其他插件)。该白名单基于抢先式过滤方法防止安全缺陷（已知，甚至是未知的！）被利用，并且不损失功能…… 专家们都同意：Firefox 加上 NoScript 真的是更加安全
- Save Session 1.3.0.4
http://diary.noasobi.net/
Save Session 可以只保存一次会话。
- Stylish 0.4
http://userstyles.org/stylish/
自定义网站和用户界面的外观风格。
- Super DragAndGo 0.2.6.2d1
http://forums.mozillazine.org/viewtopic.php?t=90011
将 URI (例如"google.com")拖放到页面上任意空白位置，可以在新标签页中打开该链接。若拖拽非 URI 文本则使用当前选择的搜索引擎搜索文本。
- Web Developer 1.1.3.0
http://chrispederick.com/work/webdeveloper/
Adds a menu and a toolbar with various web developer tools.

最后用 思维拼图 http://www.mindpin.com/ 站点提供的服务，制作了一张 FireFox的安装和优化的思维导图

首先，从 http://www.xdowns.com/soft/1/2/2006/Soft_34115.html 这里，下载ie7 （含有不用验证方法的文件），并断开网络进行安装，重新启动。

接着，删除google toolsbar 等工具条和ie6下的插件，然后关闭所有浏览器，启动ie7浏览器后，重新下载安装。（因为ie6，7是并存的，如果不这样反安装后再重新安装，那么很多插件默认会打开ie6的呢）。

然后就是安装ie7下必要的2个插件：

1.IEPluser （本地下载） ie7pro (可从 http://www.ie7pro.com/ 下载）

功能：

1. 使IE支持拖放链接在新tab中打开
2. 在新tab中打开地址栏网址（新增）
3.双击关闭标签

用法：

必须关闭游览器后安装插件。
解压到任意目录, 关闭IE, 执行Install.cmd
卸载: 执行UnInstall.cmd

2.mousegestures （本地下载）

功能：

让IE7.0能够使用鼠标手势。安装成功后可在7.0工具栏mousegestures选项里进行个性设置

往左拉 - 上一页
摇摆手势（右左） - 上一页
往右拉 - 下一页
摇摆手势（左右） - 下一页
往上拉 - 回到网页最上面
往下拉 - 在前景开启新分页
往下、往右拉 - 关闭分页
往下、往左拉 - 将视窗最小化
往上、往右拉 - 列印这个分页
往上、往左拉 - 将视窗最大化
往上、往下拉 - 重新整理这个分页
往下、往上拉 - 复制这个分页
按住右键不放、再滚动滚轮 - 切换分页

用法：(同上)

最后，关于ie 7的安全运行，不妨借助 DropMyRights 这一工具来限制其运行时候的权限呢，下载地址是http://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi ，关于这个软件的原理，其实是和vista的uac相关的，关于uac的介绍，可以看看 http://searchwindowssecurity.techtarget.com.cn/tips/178/2520678.shtml 这里的文章。简单地说，用这个微软这个官方的软件，可以控制住ie的执行权限，即使是在超级用户下，也能以普通用户的身份来执行ie，这样一些有害的脚本（写硬盘操作，或者调用组件操作的）就无法顺利拥有执行的权限咯。使用方法：

<DropMyRights目录>\DropMyRights.exe "C:\Program Files\Internet explorer\iexplore.exe"

可以把以上的命令，做成一个bat文件，放在桌面(觉得图标不好看，可以改桌面的快捷图标和文字的)，每次运行它就好了。

另外，我再提示一次我个人使用的保证ie不受危险脚本的方法。由于有害脚本的执行，分别需要浏览/下载/解释/执行/写有害文件到硬盘文件或注册表 等几个步骤，其中最后一个步骤，大多是有害脚本利用了fso组件的方式调用来执行的，所以对于个人用户而言，如果没有必要执行vbs或者js的脚本，那么就可以把fso禁止掉（没错，禁止方法和asp主机禁止fso是相同的呢），命令是

regsvr32.exe scrrun.dll /u

这样几个步骤下来，我们的ie就又安全又好用咯。。。

在linux的源程序/Documentation/networking/ip-sysctl.txt 文件中,有详细地记录可以修改的关于linux的ip协议参数,以下是我的整理美化修整后添加个人心得的版本.(如蒙垂青,需要转载,请著名出处 http://skylove.study-area.org/blog/ )

格式

参数名 参数类型
参数值(如无特别标注,内存类的单位为byte,关于时间的单位为秒)
官方详细说明(skylove对该参数的个人心得或补充说明)

正文

===========网络接口界面(比如lo,eth0,eth1)参数===========

/proc/sys/net/ipv4/conf/{interface}/* :
在/proc/sys/net/ipv4/conf/ 下可以发现类似 all,eth0,eth1,default,lo 等网络接口界面,每一个都是目录,他们下属的文件中,每个文件对应该界面下某些可以设置的选项设置.(all/是特定的，用来修改所有接口的设置,default/ 表示缺省设置,lo/表示本地接口设置,eth0/表示第一块网卡,eth1/表示第2块网卡.注意:下面有的参数,是需要all和该界面下同时为ture才生效,而某些则是只需要该界面下为true即可,注意区别!!)

log_martians : BOOLEAN
记录带有不允许的地址的数据报到内核日志中。all/ 或者{interface}/ 下至少有一个为True即可生效.

accept_redirects : BOOLEAN
对于主机来说默认为True，对于用作路由器时默认值为False
收发接收ICMP重定向消息。all/ 和{interface}/ 下两者同时为True方可生效.
(如果不熟悉所在网络的结构.推荐不修改,因为在有多个出口的网络的时候,如果有2个出口路由器,由于作为主机的时候默认只指认一个网关,出口路由可能有策略设置转到另一个路由器上.)

forwarding : BOOLEAN
在该接口打开转发功能 (在3块或以上的网卡的时候很实用,有时候只想让其中一外一内,另一块做服务,就可以让这块做服务的网卡不转发数据进出)

mc_forwarding :BOOLEAN
是否进行多播路由。只有内核编译有CONFIG_MROUTE并且有路由服务程序在运行该参数才有效。

medium_id :INTEGER
默认值是0
通常,这个参数用来区分不同媒介.两个网络设备可以使用不同的值,使他们只有其中之一接收到广播包.默认值为0表示各个网络介质接受他们自己介质上的媒介,值-1表示该媒介未知。 通常,这个参数被用来配合proxy_arp实现:proxy_arp的特性即是允许arp报文在两个不同的网络介质中转发.(第一段 Integer value used to differentiate the devices by the medium they
are attached to. Two devices can have different id values when
the broadcast packets are received only on one of them.
The default value 0 means that the device is the only interface
to its medium, value of -1 means that medium is not known.没读懂,去cu问人，以后更正)

proxy_arp : BOOLEAN
打开arp代理功能。all/ 或者{interface}/ 下至少有一个为True即可生效

shared_media : BOOLEAN
默认为True
发送(路由器)或接收(主机) RFC1620 共享媒体重定向。覆盖ip_secure_redirects的值。all/ 或者{interface}/ 下至少有一个为True即可生效

secure_redirects : BOOLEAN
默认为True
仅仅接收发给默认网关列表中网关的ICMP重定向消息，默认值是TRUE。all/ 或者{interface}/ 下至少有一个为True即可生效。 (这个参数一般情形请不要修改，可以有效地防止来自同网段的非网关机器发出恶意ICMP重定向攻击行为)

send_redirects : BOOLEAN
默认为True
如果是router，允许发送重定向消息.all/ 或者{interface}/ 下至少有一个为True即可生效。(根据网络而定，如果是做NAT,并且网内只有此一个网关的时候，其实是可以关闭掉它的,事实上目前而言,IP Redirects是TCP/IP协议产生早期为了解决网络持续性而提出的一种方法，后来事实证明这种措施不太实用而且具有很大的安全风险，可能引起各种可能的网络风险产生 - 拒绝服务攻击，中间人攻击，会话劫持等等,所以很多安全文档是推荐关闭它.)

bootp_relay : BOOLEAN
默认为False
接收源地址为0.b.c.d，目的地址不是本机的数据报。用来支持BOOTP转发服务进程，该进程将捕获并转发该包。目前还没有实现。

accept_source_route : BOOLEAN
对于主机来说默认为False，对于用作路由器时默认值为True
接收带有SRR选项的数据报。all/ 和{interface}/ 下两者同时为True方可生效.(IP源路由选项，也是TCP/IP协议早期的一个实现缺陷，允许IP包自身携带路由选择选项，这将允许攻击者绕过某些安全检验的网关，或者被用来探测网络环境。 在企业网关上强烈建议设置关闭或过绿丢弃IP源路由选项数据包。这个功能在调试网络的时候很有用,但是在真正的实际应用中,有可能造成一些麻烦和危险)

rp_filter : BOOLEAN
默认值为False
1 - 通过反向路径回溯进行源地址验证(在RFC1812中定义)。对于单穴主机和stub网络路由器推荐使用该选项。
0 - 不通过反向路径回溯进行源地址验证。
默认值为0，但某些发布在启动时自动将其打开。 (router默认会路由所有东西﹐就算该封包'显然'不属於我们的网路的。常见的例子﹐莫过於将私有 IP 泄漏到 internet 上去。假如某个界面﹐其上设定的网络地址段為
195.96.96.0/24﹐那么理论上不会有212.64.94.1 这样的地址段封包会到达这个界面上。许多人都不想转发非本网段的数据包﹐因此核心设计者也打开了方便之门。在 /proc 裡面有些档案﹐透过它们您可以让核心為您做到这点。此方法被称為 "逆向路径过滤(Reverse Path Filtering)"。基本上﹐假如对此封包作出的回应﹐不是循其进入的界面送出去﹐那它就被置之不理。)

arp_filter : BOOLEAN
默认值为False
1 -允许多个网络介质位于同一子网段内，每个网络界面依据是否内核指派路由该数据包经过此界面来确认是否回答ARP查询(这个实现是由来源地址确定路由的时候决定的),换句话说，允许控制使用某一块网卡（通常是第一块）回应arp询问。(做负载均衡的时候,可以考虑用
echo 1 > /proc/sys/net/ipv4/conf/all/arp_filter
这样的方式就可以解决,当然 利用
echo 2 /proc/sys/net/ipv4/conf/all/arp_announce
echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
两条命令配合使用更好,因为arp_announce 和arp_ignore 似乎是对arp_filter的更细节控制的实现。)

0 -默认值，内核设置每个网络界面各自应答其地址上的arp询问。这项看似会错误的设置却经常能非常有效，因为它增加了成功通讯的机会。在Linux主机上，每个IP地址是网络界面独立的，而非一个复合的接口。只有在一些特殊的设置的时候，比如负载均衡的时候会带来麻烦。
all/ 或者{interface}/ 下至少有一个为True即可生效。（简单来说，就是同一Linux上，如果有某些原因，有2块网卡必须设置为同一网段，那么默认情况下，会有一块工作，而另外一块不工作或者内核频繁报告错误，这个时候就需要打开这个选项了）

arp_announce : INTEGER
默认为0
对网络接口上本地IP地址发出的ARP回应作出相应级别的限制:

确定不同程度的限制,宣布对来自本地源IP地址发出Arp请求的接口
0 - (默认) 在任意网络接口上的任何本地地址
1 -尽量避免不在该网络接口子网段的本地地址. 当发起ARP请求的源IP地址是被设置应该经由路由达到此网络接口的时候很有用.此时会检查来访IP是否为所有接口上的子网段内ip之一.如果改来访IP不属于各个网络接口上的子网段内,那么将采用级别2的方式来进行处理.
2 - 对查询目标使用最适当的本地地址.在此模式下将忽略这个IP数据包的源地址并尝试选择与能与该地址通信的本地地址.首要是选择所有的网络接口的子网中外出访问子网中包含该目标IP地址的本地地址. 如果没有合适的地址被发现,将选择当前的发送网络接口或其他的有可能接受到该ARP回应的网络接口来进行发送

all/ 和{interface}/ 下两者同时比较，取较大一个值生效.

提高约束级别有益于从指定的目标接受应答,而降低级别可以给予更多的arp查询者以反馈信息(关于arp代理这一段我普遍翻译地不好，去啃一下tcp/ip bible的卷一，然后再翻译吧)

arp_ignore : INTEGER
默认为0
定义对目标地址为本地IP的ARP询问不同的应答模式

0 - (默认值): 回应任何网络接口上对任何本地IP地址的arp查询请求（比如eth0=192.168.0.1/24,eth1=10.1.1.1/24,那么即使eth0收到来自10.1.1.2这样地址发起的对10.1.1.1 的arp查询也会回应--而原本这个请求该是出现在eth1上，也该有eth1回应的）

1 - 只回答目标IP地址是来访网络接口本地地址的ARP查询请求（比如eth0=192.168.0.1/24,eth1=10.1.1.1/24,那么即使eth0收到来自10.1.1.2这样地址发起的对192.168.0.1的查询会回答，而对10.1.1.1 的arp查询不会回应）
2 -只回答目标IP地址是来访网络接口本地地址的ARP查询请求,且来访IP必须在该网络接口的子网段内（比如eth0=192.168.0.1/24,eth1=10.1.1.1/24,eth1收到来自10.1.1.2这样地址发起的对192.168.0.1的查询不会回答，而对192.168.0.2发起的对192.168.0.1的arp查询会回应）
3 - 不回应该网络界面的arp请求，而只对设置的唯一和连接地址做出回应(do not reply for local addresses configured with scope host,only resolutions for global and link addresses are replied 翻译地似乎不好，这个我的去问问人)
4-7 - 保留未使用
8 -不回应所有（本地地址）的arp查询

all/ 和{interface}/ 下两者同时比较，取较大一个值生效.

tag : INTEGER
默认为0
你可以写一些,可以视需要而定.(没有明白这个是什么作用，以后补充)

以后如果有机会，我会把route部分的设置也翻译了。 通过翻译以及了解相关协议的过程中，我本人也学习到了很多，也了解到了linux在一些方面还存在着的不足,比如linux无法设置定期ARP清理的时间,linux的sysctl可控制参数比bsd来弱了很多(后者基本上是除了kernel的编译参数外,都可以通过sysctl调整).也有不少比大多数unix优秀的地方,比如TIME_WAIT的超时设置,在AIX,Tru64 UNIX里就没有.而且linuxTCP序列号本身就是依照RFC1948实现的(RFC1948 协议提出了一个加强的随机TCP序列号生成算法，启用RFC 1948支持将时TCP序列号能难以被预测，从而防止IPSpoof攻击和TCP任务劫持攻击产生。)

一些时候，并不一定收费的就会比免费的更好一些。就如事实上对我们最为关怀的，往往是利益冲突最小的群体。

推荐2个不错的软件站：

1. 智能实验室 （http://www.smartpim.com/zh/default.htm），这个站点提供的 全能优化 是非常不错的系统优化软件，功能非常多，而且相当小巧；另外还有 杀马 这个优秀的木马杀除软件。其他还有类似 通用网络请求 CHM浏览器 缩略图查看器 UBB帖子转换 后代血型测试 。这些软件全都是免费的，但是我可以负责地说，比较起很多商业软件而言，它们出品的这些软件更为不错。软件是免费的，作者在页面上也表明了会一直继续免费下去，另外开通了一个软件支持的帐号，有闲钱的朋友也可以略作以支持。

2. 费尔安全实验室 这个软件站点的软件也同样非常优秀，不过它的有些软件是收费的，而值得一提的是它的防火墙软件 费尔个人防火墙专业版 这个软件是免费的，而且功能很不错，作为个人防火墙来说效率上和效果上都是值得称道的。我曾经在以前给天极网（yesky）的一则专栏稿《安全宝典--病毒及攻击防御手册》里提到过它。目前我机器上除了使用部分xp自己带的ip策略防火墙进行封锁外，额外也安装了一个它，用来检测内部网络流经到我机器的数据访问情况。

国外和国内其实有许多相当不错，暂时却不为人所知道的一些好站点，天缘在以后的日子里，会继续在发现后和大家共同分享的，也请大家继续支持我。可以订阅本站的atom或rss，也可以加入到qq群 11231798 来闲谈各类话题。