2006年09月04日18:21 西安新闻网-西安晚报
本报讯(记者马昭)曾以批评“陕西现象”而闻名全国的陕西省统计局高级统计师杨永善在刚刚结束的第四届陕西改革与发展论坛上对我省城乡居民收入问题敲响了警钟:陕西不仅是全国城乡居民收入差距大的省份之一,而且城乡居民收入差距超过了国际警戒线!
经过对近10余年我省城乡居民收入的统计,杨永善发现,我省农民收入一直徘徊不前,始终在全国居倒数几位,城乡居民收入比全国水平差距持续扩大态势。
杨永善说,与全国平均水平比,陕西城乡居民收入较低,近年来不仅差距未见缩小反而继续扩大。2004年我省城镇居民人均可支配收入7492元,居全国26位;农民人均纯收入1867元,居全国第27位。
根据对近年来的数据进行分析,目前我省城乡显性差距已经达到5倍多,且差额较改革开放前扩大了30.8倍,在这些统计中还没有考虑农民收入被夸大的成分。城镇居民可以享受社会福利,城市基础教育资金列入财政预算,城市基础设施由政府投资建设,而这些农民基本都享受不上。
据统计,在农村税费改制后,各种乱收费仍有禁不止,特别是教育收费、农民建房收费、治安管理收费、计划生育收费(罚款)等,使得农村比城市负担加重4-5倍。
杨永善说,在西部地区只有贵州的在岗职工工资低于陕西,我们是倒数第二;在西北地区陕西在岗职工平均工资最低,比甘肃低600元,比宁夏、新疆低1500元,比青海低4205元。陕西省会城市西安市城镇居民可支配收入在全国15个副省级城市中排名倒数第二,与排名第一的深圳市人均可支配收入相差18188元。
调查表明,我省的高收入者多半为企业经理、厂长、董事长、经营承包者、专家型人才、三资企业职工和私营企业主,同时还有一些垄断行业的单位和个人。据我市去年对1800户居民的调查结果显示,最高收入组年均收入在4.8万元左右,最低为0.75万元左右,差距6倍以上。厂长经理与职工的收入差距在10-15倍之间,有的高达20倍。个别经理一年的收入等于职工30年甚至40年的收入,差距令人震惊。
对于我省城乡收入巨大的差距,杨永善十分忧虑。他说,国际上公认的贫富差距警戒线是基尼系数为0.4,但陕西前年就达到了0.51,形势十分严峻。由于居民收入少引起的消费水平的整体下滑将对全省的经济发展和社会稳定带来不利的影响。
本报讯(记者马昭)曾以批评“陕西现象”而闻名全国的陕西省统计局高级统计师杨永善在刚刚结束的第四届陕西改革与发展论坛上对我省城乡居民收入问题敲响了警钟:陕西不仅是全国城乡居民收入差距大的省份之一,而且城乡居民收入差距超过了国际警戒线!
经过对近10余年我省城乡居民收入的统计,杨永善发现,我省农民收入一直徘徊不前,始终在全国居倒数几位,城乡居民收入比全国水平差距持续扩大态势。
杨永善说,与全国平均水平比,陕西城乡居民收入较低,近年来不仅差距未见缩小反而继续扩大。2004年我省城镇居民人均可支配收入7492元,居全国26位;农民人均纯收入1867元,居全国第27位。
根据对近年来的数据进行分析,目前我省城乡显性差距已经达到5倍多,且差额较改革开放前扩大了30.8倍,在这些统计中还没有考虑农民收入被夸大的成分。城镇居民可以享受社会福利,城市基础教育资金列入财政预算,城市基础设施由政府投资建设,而这些农民基本都享受不上。
据统计,在农村税费改制后,各种乱收费仍有禁不止,特别是教育收费、农民建房收费、治安管理收费、计划生育收费(罚款)等,使得农村比城市负担加重4-5倍。
杨永善说,在西部地区只有贵州的在岗职工工资低于陕西,我们是倒数第二;在西北地区陕西在岗职工平均工资最低,比甘肃低600元,比宁夏、新疆低1500元,比青海低4205元。陕西省会城市西安市城镇居民可支配收入在全国15个副省级城市中排名倒数第二,与排名第一的深圳市人均可支配收入相差18188元。
调查表明,我省的高收入者多半为企业经理、厂长、董事长、经营承包者、专家型人才、三资企业职工和私营企业主,同时还有一些垄断行业的单位和个人。据我市去年对1800户居民的调查结果显示,最高收入组年均收入在4.8万元左右,最低为0.75万元左右,差距6倍以上。厂长经理与职工的收入差距在10-15倍之间,有的高达20倍。个别经理一年的收入等于职工30年甚至40年的收入,差距令人震惊。
对于我省城乡收入巨大的差距,杨永善十分忧虑。他说,国际上公认的贫富差距警戒线是基尼系数为0.4,但陕西前年就达到了0.51,形势十分严峻。由于居民收入少引起的消费水平的整体下滑将对全省的经济发展和社会稳定带来不利的影响。
富人和穷人的差异
1.自我认知
穷人:很少想到如何去赚钱和如何才能赚到钱,认为自己一辈子就该这样,不相信会有什么改变。
富人:骨子里就深信自己生下来不是要做穷人,而是要做富人,他有强烈的赚钱意识,这已是他血液里的东西,他会想尽一切办法使自己致富。
2.休闲
穷人:在家看电视,为肥皂剧的剧情感动得痛哭流涕,还要仿照电视里的时尚打扮自己。
富人:在外跑市场,即使打高尔夫球也不忘带着项目合同。
3.交际圈子
穷人:喜欢走穷亲戚,穷人的圈子大多是穷人,也排斥与富人交往,久而久之,心态成了穷人的心态,思维成了穷人的思维,做出来的事也就是穷人的模式。大家每天谈论着打折商品,交流着节约技巧,虽然有利于训练生存能力,但你的眼界也就渐渐囿于这样的琐事,而将雄心壮志消磨掉了。
富人:最喜欢交那种对自己有帮助,能提升自己各种能力的朋友。不纯粹放任自己仅以个人喜好交朋友。
4.学习
穷人:学手艺。
富人:学管理。
5.时间
穷人:一个享受充裕时间的人不可能挣大钱,要想悠闲轻松就会失去更多挣钱的机会。穷人的时间不值钱的,有时甚至多余,不知道怎么打发,怎么混起来才不烦。如果你可以因为买一斤白菜多花了一毛钱而气恼不已,却不为虚度一天而心痛,这就是典型的穷人思维。
富人:一个人无论以何种方式挣钱,也无论钱挣得是多是少,都必须经过时间的积淀。富人的玩也是一种工作方式,是有目的的。富人的闲,闲在身体,修身养性,以利再战,脑袋一刻也没有闲着;穷人的闲,闲在思想,他手脚都在忙,忙着去麻将桌上多摸几把。
6.归属感
穷人:是颗螺丝钉。穷人因为自身的卑微,缺少安全感,就迫切地希望自己从属并依赖于一个团体。于是他们以这个团体的标准为自己的标准,让自己的一切合乎规范,为团体的利益而工作,奔波,甚至迁徙。对于穷人来说,在一个著名的企业里稳定地工作几十年,由实习生一直干到高级主管,那简直是美妙得不能再美妙的理想了。
富人:那些团体的领导者通常都是富人,他们总是一方面向穷人灌输:团结就是力量,如果你不从属于自己这个团体,你就什么都不是,一文不名。但另一方面,他们却从来没有停止过招兵买马,培养新人,以便随时可以把你替换。
7.投资及对待财富
穷人:经典观点就是少用就等于多赚。比如开一家面馆,收益率是100%,投入2万,一年就净赚2万,对穷人来说很不错了。穷人即使有钱,也舍不得拿出来,即使终于下定决心投资,也不愿冒风险,最终还是走不出那一步。穷人最津津乐道的就是鸡生蛋,蛋生鸡,一本万利……但是建筑在一只母鸡身上的希望,毕竟是那样脆弱。
富人:富人的出发点是万本万利。同样的开面馆,富人们会想,一家面馆承载的资本只有2万,如果有1亿资金,岂不是要开5000家面馆?要一个一个管理好,大老板得操多少心,累白多少根头发呀?还不如投资宾馆,一个宾馆就足以消化全部的资本,哪怕收益率只有20%,一年下来也有2000万利润啊!
8.激情
能不能干成大事,首先要看有没有激情
穷人:没有激情。他总是按部就班,很难出大错,也绝不会做最好。没有激情就无法兴奋,就不可能全心全意投入工作,大部分的穷人不能说没有激情,但他的激情总是消耗在太具体的事情上;上司表扬了,他会激动;商店打折了,他会激动;电视里破镜重圆了,他的眼泪一串一串往下流,穷人有的只是一种情绪。
富人:“燕雀安知鸿鹄之志?”“王侯将相,宁有种乎?”有这样的激情,穷人终将不是穷人!激情是一种天性,是生命力的象征,有了激情,才有了灵感的火花,才有了鲜明的个性,才有了人际关系中的强烈感染力,也才有了解决问题的魅力和方法。
9.自信
穷人:穷人的自信要通过武装到牙齿,要通过一身高级名牌的穿戴和豪华的配饰才能给他们带来更多的自信,穷人的自信往往不是发自内心和自然天成的。
富人:李嘉诚在谈到他的经营秘诀时说:“其实也没什么特别的,光景好时,决不过分乐观;光景不好时,也不过度悲观”。其实就是一种富人特有的自信。自信才能不被外力所左右,自信才可能有正确的决定。
10.习惯
穷人:有个故事,一个富人送给穷人一头牛。穷人满怀希望开始奋斗。可牛要吃草,人要吃饭,日子很难。穷人于是把牛卖了,买了几只羊,吃了一只,剩下的来生小羊。可小羊迟迟没有生下来,日子又艰难了。穷人又把羊卖了,买成鸡。想让鸡生蛋赚钱为生,但是日子并没有改变,最后穷人把鸡也杀了,穷人的理想彻底崩溃了。这就是穷人的习惯。
富人:据一个投资专家说,富人成功秘诀就是:没钱时,不管多困难,也不要动用投资和积蓄,压力使你找到赚钱的新方法,帮你还清账单。这是个好习惯。性格形成习惯,习惯决定成功。
11.上网络
穷人:上网聊天。穷人聊天,一是穷人时间多,二是穷人的嘴天生就不能闲着。富人讲究荣辱不惊,温柔敦厚,那叫涵养,有涵养才能树大根深。穷人就顾不了那么多,成天受着别人的白眼,浑身沾满了鸡毛蒜皮,多少窝囊气啊,说说都不行?聊天有理!
富人:上网找投资机会。富人上网,更多的是利用网络的低成本高效率,寻找更多的投资机会和项目,把便利运用到自己的生意中来。
12.消费花钱
穷人:买名牌是为了体验满足感,最喜欢试验刚出来的流行时尚产品,相信贵的必然是好的。
富人:买名牌是为了节省挑选细节的时间,与消费品的售价相比,他们更在乎产品的质量,比如会买15元的纯棉T恤,也不会买昂贵的莱卡制品。
1.自我认知
穷人:很少想到如何去赚钱和如何才能赚到钱,认为自己一辈子就该这样,不相信会有什么改变。
富人:骨子里就深信自己生下来不是要做穷人,而是要做富人,他有强烈的赚钱意识,这已是他血液里的东西,他会想尽一切办法使自己致富。
2.休闲
穷人:在家看电视,为肥皂剧的剧情感动得痛哭流涕,还要仿照电视里的时尚打扮自己。
富人:在外跑市场,即使打高尔夫球也不忘带着项目合同。
3.交际圈子
穷人:喜欢走穷亲戚,穷人的圈子大多是穷人,也排斥与富人交往,久而久之,心态成了穷人的心态,思维成了穷人的思维,做出来的事也就是穷人的模式。大家每天谈论着打折商品,交流着节约技巧,虽然有利于训练生存能力,但你的眼界也就渐渐囿于这样的琐事,而将雄心壮志消磨掉了。
富人:最喜欢交那种对自己有帮助,能提升自己各种能力的朋友。不纯粹放任自己仅以个人喜好交朋友。
4.学习
穷人:学手艺。
富人:学管理。
5.时间
穷人:一个享受充裕时间的人不可能挣大钱,要想悠闲轻松就会失去更多挣钱的机会。穷人的时间不值钱的,有时甚至多余,不知道怎么打发,怎么混起来才不烦。如果你可以因为买一斤白菜多花了一毛钱而气恼不已,却不为虚度一天而心痛,这就是典型的穷人思维。
富人:一个人无论以何种方式挣钱,也无论钱挣得是多是少,都必须经过时间的积淀。富人的玩也是一种工作方式,是有目的的。富人的闲,闲在身体,修身养性,以利再战,脑袋一刻也没有闲着;穷人的闲,闲在思想,他手脚都在忙,忙着去麻将桌上多摸几把。
6.归属感
穷人:是颗螺丝钉。穷人因为自身的卑微,缺少安全感,就迫切地希望自己从属并依赖于一个团体。于是他们以这个团体的标准为自己的标准,让自己的一切合乎规范,为团体的利益而工作,奔波,甚至迁徙。对于穷人来说,在一个著名的企业里稳定地工作几十年,由实习生一直干到高级主管,那简直是美妙得不能再美妙的理想了。
富人:那些团体的领导者通常都是富人,他们总是一方面向穷人灌输:团结就是力量,如果你不从属于自己这个团体,你就什么都不是,一文不名。但另一方面,他们却从来没有停止过招兵买马,培养新人,以便随时可以把你替换。
7.投资及对待财富
穷人:经典观点就是少用就等于多赚。比如开一家面馆,收益率是100%,投入2万,一年就净赚2万,对穷人来说很不错了。穷人即使有钱,也舍不得拿出来,即使终于下定决心投资,也不愿冒风险,最终还是走不出那一步。穷人最津津乐道的就是鸡生蛋,蛋生鸡,一本万利……但是建筑在一只母鸡身上的希望,毕竟是那样脆弱。
富人:富人的出发点是万本万利。同样的开面馆,富人们会想,一家面馆承载的资本只有2万,如果有1亿资金,岂不是要开5000家面馆?要一个一个管理好,大老板得操多少心,累白多少根头发呀?还不如投资宾馆,一个宾馆就足以消化全部的资本,哪怕收益率只有20%,一年下来也有2000万利润啊!
8.激情
能不能干成大事,首先要看有没有激情
穷人:没有激情。他总是按部就班,很难出大错,也绝不会做最好。没有激情就无法兴奋,就不可能全心全意投入工作,大部分的穷人不能说没有激情,但他的激情总是消耗在太具体的事情上;上司表扬了,他会激动;商店打折了,他会激动;电视里破镜重圆了,他的眼泪一串一串往下流,穷人有的只是一种情绪。
富人:“燕雀安知鸿鹄之志?”“王侯将相,宁有种乎?”有这样的激情,穷人终将不是穷人!激情是一种天性,是生命力的象征,有了激情,才有了灵感的火花,才有了鲜明的个性,才有了人际关系中的强烈感染力,也才有了解决问题的魅力和方法。
9.自信
穷人:穷人的自信要通过武装到牙齿,要通过一身高级名牌的穿戴和豪华的配饰才能给他们带来更多的自信,穷人的自信往往不是发自内心和自然天成的。
富人:李嘉诚在谈到他的经营秘诀时说:“其实也没什么特别的,光景好时,决不过分乐观;光景不好时,也不过度悲观”。其实就是一种富人特有的自信。自信才能不被外力所左右,自信才可能有正确的决定。
10.习惯
穷人:有个故事,一个富人送给穷人一头牛。穷人满怀希望开始奋斗。可牛要吃草,人要吃饭,日子很难。穷人于是把牛卖了,买了几只羊,吃了一只,剩下的来生小羊。可小羊迟迟没有生下来,日子又艰难了。穷人又把羊卖了,买成鸡。想让鸡生蛋赚钱为生,但是日子并没有改变,最后穷人把鸡也杀了,穷人的理想彻底崩溃了。这就是穷人的习惯。
富人:据一个投资专家说,富人成功秘诀就是:没钱时,不管多困难,也不要动用投资和积蓄,压力使你找到赚钱的新方法,帮你还清账单。这是个好习惯。性格形成习惯,习惯决定成功。
11.上网络
穷人:上网聊天。穷人聊天,一是穷人时间多,二是穷人的嘴天生就不能闲着。富人讲究荣辱不惊,温柔敦厚,那叫涵养,有涵养才能树大根深。穷人就顾不了那么多,成天受着别人的白眼,浑身沾满了鸡毛蒜皮,多少窝囊气啊,说说都不行?聊天有理!
富人:上网找投资机会。富人上网,更多的是利用网络的低成本高效率,寻找更多的投资机会和项目,把便利运用到自己的生意中来。
12.消费花钱
穷人:买名牌是为了体验满足感,最喜欢试验刚出来的流行时尚产品,相信贵的必然是好的。
富人:买名牌是为了节省挑选细节的时间,与消费品的售价相比,他们更在乎产品的质量,比如会买15元的纯棉T恤,也不会买昂贵的莱卡制品。
获取星空极流氓软件拨号密码
各地区中国电信现今正在极力推广星空极速这个他们自行开发的广告软件。仔细观察一下,他对提高用户安全性好无用处!
为什么这么说,因为他根本就没有脱离xp下的PPPoE拨号程序,用户可以发现,在安装好软件的同时,会在xp拨号连接下新建两个连接。只是他们都没有被设置成储存密码,流氓客户端的主要作用就是生成加密后的用户拨号信息,填入xp下的拨号程序使之建立拨号。
所以,我们也就由此入手,来得到流氓软件加密后的用户拨号信息。
鉴于流氓软件还是最终使用PPPoE协议,我们可以采用,在拨号端使用抓包软件的方法,截取通过机器网卡送出的PPPoE的信息。
主要用到软件:
WildPackets OmniPeek
启动软件
选择 New Capture
选择adsl路由器连接的网卡
启动星空急速 注意这个时候先不要使用它去拨号
启动软件 点击 Start Capture
这时使用星空急速拨号
待跳拨号成功以后
停止软件抓包
得到一下画面
选择第一个 protocol 值为 password authentication 的数据包
双击打开
察看其中
Peer-Id 和 Passwd 的两个值 ,他们相对应的就是 拨号时的用户名和密码
用这两个值建立新的拨号,丢弃星空软件。
注
猜想,本人现在上海用户,还未发现不使用此拨号软件不能上网的情况。
现在无法证明其他已采用mac绑定的用户使用此方法是否能顺利用路由器拨号成功。从原理上来看,电信局只会核对他们局端绑定的mac地址和用户信息经过算法后得到的值和软件每次采集用户mac地址后通过算法得到的值是否相符。所以说只要这个值不变,那么mac地址是否是原来的就无关紧要了,因为电信局认为通过PPPoE送过来的是软件算好的值。
各地用户,已可以给个反馈。
本次得到密码并没有使用任何非法手段,只是采用了网络分析中经常是使用的抓包手段。作者只希望电信局多为用户想想,不要为了提高自己的收入而强加到用户身上;使用广告加载(这和报纸夹广告有什么区别),为了减少带宽的损耗,采用 一户一网卡的手段。上海IPTV都快实行了,这对电信又是一个挑战,看他们怎么保证每用户的带宽。(具非官方反映,上海部分地区2M等高速线路用户在高峰时间已经达不到额定速度了)
SZ
2006-8-24
哈哈 问候一下中国电信
关键字:中国电信 陕西 西安 星空极速 2.5 破解 crack keygen 流氓软件
希望上面的关键字可以帮助更多的星空极速的受害者搜到这个程序。
具体这个软件有多流氓我就不详细说明了,但是可以查看下面的链接:
http://post-mp3js.baidu.com/f?kz=92364004
http://www.315ts.net/viewtousu.asp?id=18902&ti...
http://www.google.com/search?hl=zh-CN&q=%E6%98...
程序的链接如下:
http://mephistophilis.googlepages.com/md5.7z
感谢:neogeo64帮我把md5的算法弄出来。
更新:
修正了以前版本对VC8的动态库的依赖关系,现在程序应该可以在windows xp上正常运行了。
注意:
这是免费软件,也就意味着如果使用这个软件造成什么问题软件的作者是不会负责的;
7z是用7-zip压缩的;
程序算出来密码不确保正确,但是这个程序在我这里确实运行的十分正常(西安),并且得到了正确的密码;
程序保证不是不是什么盗号软件,黑客程序之类的东西,如果不是在我这里下载的我可不保证程序没有问题;
有什么问题欢迎大家提问和讨论;
但是如果您说话的语气跟谁欠你什么一样最好请早早的滚远。
http://mephistophilis.spaces.live.com/blog/
mephistophilis的中国电信星空极速MD5密码算法破解
被星空极速锁定了MAC地址的朋友实际上是被变相修改了密码,这个密码是通过一定算法得出的,我们可以通过嗅探等方式获取这个密码,有一位强人Misanthropic设计出了一款KeyGen,这个KeyGen出来已经有一些时间了,针对星空极速旧版本效果还是相当好的.以下是作者提供的汇编技术说明:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
我分析了KeyGen中的MD5代码,发现它在填充信息后插入了一段处理(代码位置
0x00402ccd)
我把一个网上的Javascript MD5按其汇编代码修改后,就能生成电信用的MD5了。
00402CCD /$ 8B4424 04 mov eax,dword ptr ss:[esp+4]
00402CD1 |. 8B10 mov edx,dword ptr ds:[eax]
00402CD3 |. 83C0 04 add eax,4
00402CD6 |. 8BCA mov ecx,edx
00402CD8 |. 83C0 04 add eax,4
00402CDB |. C1E2 10 shl edx,10
00402CDE |. C1E9 10 shr ecx,10
00402CE1 |. 0BCA or ecx,edx
00402CE3 |. 83C0 04 add eax,4
00402CE6 |. 8BD1 mov edx,ecx
00402CE8 |. 83C0 04 add eax,4
00402CEB |. 80E6 00 and dh,0
00402CEE |. 83C0 04 add eax,4
00402CF1 |. C1E9 08 shr ecx,8
00402CF4 |. C1E2 08 shl edx,8
00402CF7 |. 81E1 FF00FF00 and ecx,FF00FF
00402CFD |. 0BD1 or edx,ecx
00402CFF |. 8950 EC mov dword ptr ds:[eax-14],edx
下载地址: attach.ikunlun.net/000/010/274/076.rar
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (MingW32)
iQEVAwUBROwrs1g65rQihvPdAQLJNgf/VE6Ehz1w94aBK9aG66+r5xRlV/uQ9sye
sVT0XEhdXrTHmUumyVK+NY4YMK/TtB5oUw2t/8FBfrmjU8l9mVSaOB2VFdjs5vx4
pzK7v9WQa2Tgt9K0GJJT7/iPa3Ov2bhj/Hn9bhcm7toXnoXsGMSu7PFrgVAvOEJQ
BULt0rELCW3PflzLatDeadlyf4u4XctASVZaF4QIi4pBoAN6zTut1QA3BcQfCG3X
CBdKKMChmmnIRtMM8ZcU+VgLuw1wix4Llq/Ar27AR5zwm5qbRByYj9ktUhiKI9Jy
tQpwY1FOkvzynHm9j4EH/YX/FLb80/1YO4DdcJTV/Ip307Xj6lvxcw==
=Jw+k
-----END PGP SIGNATURE-----
闲来无事又仔细分析了一下我们的星空急速,发现拨号的时候程序应该会生成三种类型的密码.
第一种就是用户名是gXXXXXXXX,然后密码就是aXXXXXXX(md5(gXXXXXXXXgXXXXXXXX))这样算出来的.也就是我先前keygen计算出来的那种.
第二种就是用户名是gXXXXXXXX,密码是aXXXXXXX.
最后一种就是用户名是gXXXXXXXX,然后密码就是aXXXXXXX(md5(mac+gXXXXXXXX))这样滴.似乎这种就是传说中的绑定MAC地址的那种,不过这个mac地址我很好奇为啥跟我跟踪程序时候得到的不一样?一个虚拟拨号也能产生一个mac地址么?我感觉这个mac地址是程序拨号时候建立的虚拟拨号产生的.
似乎这个程序再也没有什么玄机了.
感谢:neogeo64帮我把md5的算法弄出来.
更新:
修正了以前版本对VC8的动态库的依赖关系,现在程序应该可以在windows xp上正常运行了.
各地区中国电信现今正在极力推广星空极速这个他们自行开发的广告软件。仔细观察一下,他对提高用户安全性好无用处!
为什么这么说,因为他根本就没有脱离xp下的PPPoE拨号程序,用户可以发现,在安装好软件的同时,会在xp拨号连接下新建两个连接。只是他们都没有被设置成储存密码,流氓客户端的主要作用就是生成加密后的用户拨号信息,填入xp下的拨号程序使之建立拨号。
所以,我们也就由此入手,来得到流氓软件加密后的用户拨号信息。
鉴于流氓软件还是最终使用PPPoE协议,我们可以采用,在拨号端使用抓包软件的方法,截取通过机器网卡送出的PPPoE的信息。
主要用到软件:
WildPackets OmniPeek
启动软件
选择 New Capture
选择adsl路由器连接的网卡
启动星空急速 注意这个时候先不要使用它去拨号
启动软件 点击 Start Capture
这时使用星空急速拨号
待跳拨号成功以后
停止软件抓包
得到一下画面
选择第一个 protocol 值为 password authentication 的数据包
双击打开
察看其中
Peer-Id 和 Passwd 的两个值 ,他们相对应的就是 拨号时的用户名和密码
用这两个值建立新的拨号,丢弃星空软件。
注
猜想,本人现在上海用户,还未发现不使用此拨号软件不能上网的情况。
现在无法证明其他已采用mac绑定的用户使用此方法是否能顺利用路由器拨号成功。从原理上来看,电信局只会核对他们局端绑定的mac地址和用户信息经过算法后得到的值和软件每次采集用户mac地址后通过算法得到的值是否相符。所以说只要这个值不变,那么mac地址是否是原来的就无关紧要了,因为电信局认为通过PPPoE送过来的是软件算好的值。
各地用户,已可以给个反馈。
本次得到密码并没有使用任何非法手段,只是采用了网络分析中经常是使用的抓包手段。作者只希望电信局多为用户想想,不要为了提高自己的收入而强加到用户身上;使用广告加载(这和报纸夹广告有什么区别),为了减少带宽的损耗,采用 一户一网卡的手段。上海IPTV都快实行了,这对电信又是一个挑战,看他们怎么保证每用户的带宽。(具非官方反映,上海部分地区2M等高速线路用户在高峰时间已经达不到额定速度了)
SZ
2006-8-24
哈哈 问候一下中国电信
关键字:中国电信 陕西 西安 星空极速 2.5 破解 crack keygen 流氓软件
希望上面的关键字可以帮助更多的星空极速的受害者搜到这个程序。
具体这个软件有多流氓我就不详细说明了,但是可以查看下面的链接:
http://post-mp3js.baidu.com/f?kz=92364004
http://www.315ts.net/viewtousu.asp?id=18902&ti...
http://www.google.com/search?hl=zh-CN&q=%E6%98...
程序的链接如下:
http://mephistophilis.googlepages.com/md5.7z
感谢:neogeo64帮我把md5的算法弄出来。
更新:
修正了以前版本对VC8的动态库的依赖关系,现在程序应该可以在windows xp上正常运行了。
注意:
这是免费软件,也就意味着如果使用这个软件造成什么问题软件的作者是不会负责的;
7z是用7-zip压缩的;
程序算出来密码不确保正确,但是这个程序在我这里确实运行的十分正常(西安),并且得到了正确的密码;
程序保证不是不是什么盗号软件,黑客程序之类的东西,如果不是在我这里下载的我可不保证程序没有问题;
有什么问题欢迎大家提问和讨论;
但是如果您说话的语气跟谁欠你什么一样最好请早早的滚远。
http://mephistophilis.spaces.live.com/blog/
mephistophilis的中国电信星空极速MD5密码算法破解
被星空极速锁定了MAC地址的朋友实际上是被变相修改了密码,这个密码是通过一定算法得出的,我们可以通过嗅探等方式获取这个密码,有一位强人Misanthropic设计出了一款KeyGen,这个KeyGen出来已经有一些时间了,针对星空极速旧版本效果还是相当好的.以下是作者提供的汇编技术说明:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
我分析了KeyGen中的MD5代码,发现它在填充信息后插入了一段处理(代码位置
0x00402ccd)
我把一个网上的Javascript MD5按其汇编代码修改后,就能生成电信用的MD5了。
00402CCD /$ 8B4424 04 mov eax,dword ptr ss:[esp+4]
00402CD1 |. 8B10 mov edx,dword ptr ds:[eax]
00402CD3 |. 83C0 04 add eax,4
00402CD6 |. 8BCA mov ecx,edx
00402CD8 |. 83C0 04 add eax,4
00402CDB |. C1E2 10 shl edx,10
00402CDE |. C1E9 10 shr ecx,10
00402CE1 |. 0BCA or ecx,edx
00402CE3 |. 83C0 04 add eax,4
00402CE6 |. 8BD1 mov edx,ecx
00402CE8 |. 83C0 04 add eax,4
00402CEB |. 80E6 00 and dh,0
00402CEE |. 83C0 04 add eax,4
00402CF1 |. C1E9 08 shr ecx,8
00402CF4 |. C1E2 08 shl edx,8
00402CF7 |. 81E1 FF00FF00 and ecx,FF00FF
00402CFD |. 0BD1 or edx,ecx
00402CFF |. 8950 EC mov dword ptr ds:[eax-14],edx
下载地址: attach.ikunlun.net/000/010/274/076.rar
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (MingW32)
iQEVAwUBROwrs1g65rQihvPdAQLJNgf/VE6Ehz1w94aBK9aG66+r5xRlV/uQ9sye
sVT0XEhdXrTHmUumyVK+NY4YMK/TtB5oUw2t/8FBfrmjU8l9mVSaOB2VFdjs5vx4
pzK7v9WQa2Tgt9K0GJJT7/iPa3Ov2bhj/Hn9bhcm7toXnoXsGMSu7PFrgVAvOEJQ
BULt0rELCW3PflzLatDeadlyf4u4XctASVZaF4QIi4pBoAN6zTut1QA3BcQfCG3X
CBdKKMChmmnIRtMM8ZcU+VgLuw1wix4Llq/Ar27AR5zwm5qbRByYj9ktUhiKI9Jy
tQpwY1FOkvzynHm9j4EH/YX/FLb80/1YO4DdcJTV/Ip307Xj6lvxcw==
=Jw+k
-----END PGP SIGNATURE-----
闲来无事又仔细分析了一下我们的星空急速,发现拨号的时候程序应该会生成三种类型的密码.
第一种就是用户名是gXXXXXXXX,然后密码就是aXXXXXXX(md5(gXXXXXXXXgXXXXXXXX))这样算出来的.也就是我先前keygen计算出来的那种.
第二种就是用户名是gXXXXXXXX,密码是aXXXXXXX.
最后一种就是用户名是gXXXXXXXX,然后密码就是aXXXXXXX(md5(mac+gXXXXXXXX))这样滴.似乎这种就是传说中的绑定MAC地址的那种,不过这个mac地址我很好奇为啥跟我跟踪程序时候得到的不一样?一个虚拟拨号也能产生一个mac地址么?我感觉这个mac地址是程序拨号时候建立的虚拟拨号产生的.
似乎这个程序再也没有什么玄机了.
感谢:neogeo64帮我把md5的算法弄出来.
更新:
修正了以前版本对VC8的动态库的依赖关系,现在程序应该可以在windows xp上正常运行了.
现在已经破解中国电信星空极速的网络限制. 直接可以使用路由器上网.
目前已测试范围为西安电信.
如果有需要的话,可以与我联系.
http://www.cnbeta.com/zt/060901/archive/000001.htm
http://www.cnbeta.com/modules.php?name=News&fi...
经济观察报:转型路上的中国电信
cnBeta制作的星空极速系列报道已经被本期《经济观察报》作为报料,请大家购买参阅.
在中国互联网关于流氓软件的新一轮讨伐如火如荼之际,上海电信推出一款涉嫌广告推送的拨号软件引发了网民激烈的反应.上海电信力推“星空极速”软件属于中国电信集团代号为“星火燎原”计划的一部分,最早开始于广东电信,由于很好的契合了中国电信业务的整体转型,开始在中国电信各省业务中迅速流行;作为“后来者”的上海电信则在近期刚刚启动了这个计划,在本月中旬一场所谓“魔波病毒导致电信用户大规模断网”事件之后加快脚步.
中国电信集团公司内部人士对本报称:“向ADSL用户推荐安装涉嫌广告推送的拨号软件,最早是广东电信搞出来的,期间电信集团公司曾经声明不准这么搞.不过后来四川电信或重庆电信那边也来广东学习,到现在这种做法已经蔚然成风,因为各省分公司发现,集团总公司提出的'向互联网转型,向全面信息服务提供商转型'的目标,用这个手段实现起来效果很好.”
谁在“做局”?
上海《新闻晨报》17日称,“从本月13日开始,申城宽带用户断网故障集中出现.最近三天里,市计算机病毒防范中心接到有关求助电话已超过800个.”
而就在报道的前一天的8月16日,上海电信公司发布了《致广大ADSL用户紧急公告》,称“自8月13日开始,我公司受理部门陆续接到不少ADSL用户报障,反映使用ADSL上网一段时间后会发生网络中断,拨号工具同时会处于锁死,无法响应状态的故障现象……”最后“建议ADSL用户在发生上述断网时,可通过重启XP操作系统,或更换其他的PPPoE拨号软件”.
非常蹊跷的是这个公告的落款时间竟然也是8月13日——这意味上海电信早在病毒爆发前就已“预料”到会出现大规模断网.这引发了网友质疑,是不是运营商人为制造了所谓“断网危机”,然后诱导用户更新拨号软件.
在公告当天,上海电信更是“极其迅速”地开始在各区大规模上门为用户更新“星空极速”拨号软件.在本报获得的《上海电信公司南区分公司电信局的通知书》中,上海电信以“宽带拨号软件来源多样,有可能存在病毒和安全漏洞”等为由,声称将在其预约后上门安装.
在出现装机高潮的这一周,很多未安装新拨号软件的上海ADSL用户反映上网困难.
微软在例行的每个月第二周周二发布补丁软件(8月8日),在病毒爆发前提前发布了对于攻击WINDOWS的“魔波”病毒的补丁.
上海计算机病毒防范服务中心技术部副主任吴恩平在接受媒体采访时称微软已提前发布补丁程序,只要安装该补丁程序,就不会受到“魔波”侵害.
上海电信综合管理部郑建平先生则对本报强调,“此次用户更新拨号软件属于自愿行为,我们不强制要求.”
上海市汇业律师事务所律师吴冬对本报称:“从目前掌握的初步证据显示,上海电信以及工作人员在具体执行中已经具备欺诈嫌疑.”
“拨号门”快速蔓延
浙江的大二学生张越是国内人气新闻站点cnBeta.com的站长,他在网上率先发起的“星空极速事件专题”迅速引发了网友的共鸣.
“我们从全国各地接到了大量有关中国电信星空极速或http劫持的异常报告,在简单整理后让我们大跌眼镜的是,全国各地的电信流氓手段均不相同,大有一切从实际出发,为受害者定做的味道.”张越对本报说.
上海使用MSN的白领们则在近期纷纷把后缀改为了“友情提醒,千万别更新上海电信ADSL客户端软件”,而在一些热门论坛上类似的贴子更是屡见不鲜,一致反击电信“拨号门”事件.
8月29日,上海电信不再沉默.在当天发布的一份名为《关于向电信宽带上网用户推送“欢迎页面”的说明》中,上海电信承认,近期更新的星空极速客户端存在“推送广告”,但称其为“欢迎页面”.
上海电信综合管理部郑建平先生对本报称:“上海并不是特例,这是中国电信在全国开展的活动,我们已经比广东省等其他地方晚了一到两年.”他同时认为“欢迎页面”的推送方式“只在拨号成功,第一次访问IE时弹出一次”,不能称为所谓的广告推送功能.
中国电信集团公司内部人士对本报称,上海电信并不是最早开始此项业务的,只是因为在近期做推广而过于被瞩目,其业务相对广州等地已经非常“温和”.
在本报获得的数份中国电信内部资料中,广东电信的模式被“包装”成了推广的典型,早在2003年,VnetClient客户端(星空极速是其升级版)在广东电信得以广泛使用,新装用户渗透率达到90%,总用户渗透率达到35%,截至 2004年12月13日,全省VnetClient用户超过宽带总用户数的50%.
中国电信集团公司转发的《广东互联星空“星火燎原”培训材料(终稿)》已在各省广为流传,在这份长达67页的文件中,广州电信详细讲解了该项目的操作细节.
据本报了解,在某些采取这种做法的省份,终端软件被修改的机器比例已经超过50%.在广州、深圳等地的电信ADSL用户,在上网的时候会自动给用户弹出“富媒体”的广告内容.
这份资料中称,“业务营销管理人员可以通过('星空极速')客户端的增值服务管理平台,向客户端推送各类业务信息和应用功能.”这正是业内所公认的“流氓软件”.
“广告及推送”、“插件加载及推送”、“占领终端用户的桌面”等更为直接的表述,更是频繁出现在其他数份来自中国电信以及旗下研究与开发中心的内部资料中.
控制终端
在中国移动、中国联通的步步紧逼之下,中国电信正在积极谋求转型——从传统基础网络运营商向现代综合信息服务提供商转变.
未来五六年,中国电信战略转型的主要目标为:非话音业务收入占企业收入(含移动通信)比例达到45%左右;传统固网及宽带接入投资占其收入比控制在25%左右.其“星火燎原”计划显然是这个巨人转身的一个关键.
本报在其内部文件中发现,中国电信认为推广“星空极速”的意义是:解决PPPoE拨号软件版权问题,解决应用推送渠道问题,最终实现“占领用户端的桌面”.
这意味着每台电脑都将像手机一样成为电信运营商真正意义上的终端.
本报获悉,众多受到中移动打压的SP公司已经对电信的新业务跃跃欲试,甚至一些广告投放主也看好这种投放,这显然再度激发了中国电信的热情.
中国电信的做法已经开始在市场上体现出其“独特”的商业价值,一家名为fsjoy.com的网站在利用了中国电信的推广后,访问量大幅跃升.
而越来越多的以所谓“中国电信合作——定向网络信息管理平台”为主营业务的公司开始涌现,他们代理的正是中国电信“星空极速”推送广告.
浙江大学计算机博士毛郁欣分析认为:“除了用星空极速拨打,会带来大量强制性播放的广告,而且很可能用户将无法使用Linux和路由器拨号(目前比较普遍的家庭'一拖二'上网可以在技术上被控制),这帮助电信解决了一号多机的问题,可以快速扩大用户装机量.”
业内人士指出,中国电信转型的急切心情可以理解,但采取如此做法似乎有拔苗助长之嫌,因为在这样一个时代,消费者的选择正日趋理性和成熟.
目前已测试范围为西安电信.
如果有需要的话,可以与我联系.
http://www.cnbeta.com/zt/060901/archive/000001.htm
http://www.cnbeta.com/modules.php?name=News&fi...
经济观察报:转型路上的中国电信
cnBeta制作的星空极速系列报道已经被本期《经济观察报》作为报料,请大家购买参阅.
在中国互联网关于流氓软件的新一轮讨伐如火如荼之际,上海电信推出一款涉嫌广告推送的拨号软件引发了网民激烈的反应.上海电信力推“星空极速”软件属于中国电信集团代号为“星火燎原”计划的一部分,最早开始于广东电信,由于很好的契合了中国电信业务的整体转型,开始在中国电信各省业务中迅速流行;作为“后来者”的上海电信则在近期刚刚启动了这个计划,在本月中旬一场所谓“魔波病毒导致电信用户大规模断网”事件之后加快脚步.
中国电信集团公司内部人士对本报称:“向ADSL用户推荐安装涉嫌广告推送的拨号软件,最早是广东电信搞出来的,期间电信集团公司曾经声明不准这么搞.不过后来四川电信或重庆电信那边也来广东学习,到现在这种做法已经蔚然成风,因为各省分公司发现,集团总公司提出的'向互联网转型,向全面信息服务提供商转型'的目标,用这个手段实现起来效果很好.”
谁在“做局”?
上海《新闻晨报》17日称,“从本月13日开始,申城宽带用户断网故障集中出现.最近三天里,市计算机病毒防范中心接到有关求助电话已超过800个.”
而就在报道的前一天的8月16日,上海电信公司发布了《致广大ADSL用户紧急公告》,称“自8月13日开始,我公司受理部门陆续接到不少ADSL用户报障,反映使用ADSL上网一段时间后会发生网络中断,拨号工具同时会处于锁死,无法响应状态的故障现象……”最后“建议ADSL用户在发生上述断网时,可通过重启XP操作系统,或更换其他的PPPoE拨号软件”.
非常蹊跷的是这个公告的落款时间竟然也是8月13日——这意味上海电信早在病毒爆发前就已“预料”到会出现大规模断网.这引发了网友质疑,是不是运营商人为制造了所谓“断网危机”,然后诱导用户更新拨号软件.
在公告当天,上海电信更是“极其迅速”地开始在各区大规模上门为用户更新“星空极速”拨号软件.在本报获得的《上海电信公司南区分公司电信局的通知书》中,上海电信以“宽带拨号软件来源多样,有可能存在病毒和安全漏洞”等为由,声称将在其预约后上门安装.
在出现装机高潮的这一周,很多未安装新拨号软件的上海ADSL用户反映上网困难.
微软在例行的每个月第二周周二发布补丁软件(8月8日),在病毒爆发前提前发布了对于攻击WINDOWS的“魔波”病毒的补丁.
上海计算机病毒防范服务中心技术部副主任吴恩平在接受媒体采访时称微软已提前发布补丁程序,只要安装该补丁程序,就不会受到“魔波”侵害.
上海电信综合管理部郑建平先生则对本报强调,“此次用户更新拨号软件属于自愿行为,我们不强制要求.”
上海市汇业律师事务所律师吴冬对本报称:“从目前掌握的初步证据显示,上海电信以及工作人员在具体执行中已经具备欺诈嫌疑.”
“拨号门”快速蔓延
浙江的大二学生张越是国内人气新闻站点cnBeta.com的站长,他在网上率先发起的“星空极速事件专题”迅速引发了网友的共鸣.
“我们从全国各地接到了大量有关中国电信星空极速或http劫持的异常报告,在简单整理后让我们大跌眼镜的是,全国各地的电信流氓手段均不相同,大有一切从实际出发,为受害者定做的味道.”张越对本报说.
上海使用MSN的白领们则在近期纷纷把后缀改为了“友情提醒,千万别更新上海电信ADSL客户端软件”,而在一些热门论坛上类似的贴子更是屡见不鲜,一致反击电信“拨号门”事件.
8月29日,上海电信不再沉默.在当天发布的一份名为《关于向电信宽带上网用户推送“欢迎页面”的说明》中,上海电信承认,近期更新的星空极速客户端存在“推送广告”,但称其为“欢迎页面”.
上海电信综合管理部郑建平先生对本报称:“上海并不是特例,这是中国电信在全国开展的活动,我们已经比广东省等其他地方晚了一到两年.”他同时认为“欢迎页面”的推送方式“只在拨号成功,第一次访问IE时弹出一次”,不能称为所谓的广告推送功能.
中国电信集团公司内部人士对本报称,上海电信并不是最早开始此项业务的,只是因为在近期做推广而过于被瞩目,其业务相对广州等地已经非常“温和”.
在本报获得的数份中国电信内部资料中,广东电信的模式被“包装”成了推广的典型,早在2003年,VnetClient客户端(星空极速是其升级版)在广东电信得以广泛使用,新装用户渗透率达到90%,总用户渗透率达到35%,截至 2004年12月13日,全省VnetClient用户超过宽带总用户数的50%.
中国电信集团公司转发的《广东互联星空“星火燎原”培训材料(终稿)》已在各省广为流传,在这份长达67页的文件中,广州电信详细讲解了该项目的操作细节.
据本报了解,在某些采取这种做法的省份,终端软件被修改的机器比例已经超过50%.在广州、深圳等地的电信ADSL用户,在上网的时候会自动给用户弹出“富媒体”的广告内容.
这份资料中称,“业务营销管理人员可以通过('星空极速')客户端的增值服务管理平台,向客户端推送各类业务信息和应用功能.”这正是业内所公认的“流氓软件”.
“广告及推送”、“插件加载及推送”、“占领终端用户的桌面”等更为直接的表述,更是频繁出现在其他数份来自中国电信以及旗下研究与开发中心的内部资料中.
控制终端
在中国移动、中国联通的步步紧逼之下,中国电信正在积极谋求转型——从传统基础网络运营商向现代综合信息服务提供商转变.
未来五六年,中国电信战略转型的主要目标为:非话音业务收入占企业收入(含移动通信)比例达到45%左右;传统固网及宽带接入投资占其收入比控制在25%左右.其“星火燎原”计划显然是这个巨人转身的一个关键.
本报在其内部文件中发现,中国电信认为推广“星空极速”的意义是:解决PPPoE拨号软件版权问题,解决应用推送渠道问题,最终实现“占领用户端的桌面”.
这意味着每台电脑都将像手机一样成为电信运营商真正意义上的终端.
本报获悉,众多受到中移动打压的SP公司已经对电信的新业务跃跃欲试,甚至一些广告投放主也看好这种投放,这显然再度激发了中国电信的热情.
中国电信的做法已经开始在市场上体现出其“独特”的商业价值,一家名为fsjoy.com的网站在利用了中国电信的推广后,访问量大幅跃升.
而越来越多的以所谓“中国电信合作——定向网络信息管理平台”为主营业务的公司开始涌现,他们代理的正是中国电信“星空极速”推送广告.
浙江大学计算机博士毛郁欣分析认为:“除了用星空极速拨打,会带来大量强制性播放的广告,而且很可能用户将无法使用Linux和路由器拨号(目前比较普遍的家庭'一拖二'上网可以在技术上被控制),这帮助电信解决了一号多机的问题,可以快速扩大用户装机量.”
业内人士指出,中国电信转型的急切心情可以理解,但采取如此做法似乎有拔苗助长之嫌,因为在这样一个时代,消费者的选择正日趋理性和成熟.
百度3000万人民币收购天空软件 四股力量暗战
早在两年前,国内几大利益集团就已围绕收购个人网站展开了竞赛。百度不过是这几大势力的一员
这似乎是《教父》情节在国内互联网市场的重演:为了抢占更多资源,多家势力集团之间展开了长达数年的收购竞赛。
国内互联网貌似平静的水面下,带着浓重江湖气息的暗流正在疯狂涌动。
百度天价收购天空软件
最近,国内知名个人网站“天空软件”站长张鹤在湖北老家长长松了口气。
几个月前,张鹤成功将自己一手创立的网站卖了出去,售价相当可观不说,接手方的实力更是有目共睹,是国内互联网的龙头老大——百度。
《财经时报》近日从多个可靠渠道获悉,早在今年5月,百度就以3000万元人民币的价格完成了对天空软件的最终收购。
目前,百度已将天空软件的广告销售纳入了自有体系,并将针对天空软件进行更多内部整合工作。
据悉,这也是迄今为止百度最为巨大的一次收购案例。
2004年,百度宣称以5000万元收购国内最大网址站Hao123.com,实际收购金额仅为1000万元。而此次收购天空软件,百度开出的3000万元则是真金实银。
“现在知道这事的人还很少。将来百度对外公布的话,收购数字有可能会是8000万甚至1亿元。但不可否认,这确实是国内个人网站最大的一次收购案。”某知情人士对此透露说。
天空软件网站由张鹤创建于2001年,为国内最知名的软件下载网站之一,在ALEXA全球网站排名中名列351名,每日页面流量超过数百万。据知情人透露,这一网站目前的运营团队均在湖北境内,公司人数大约在10人左右。
对于收购一事,当事双方均讳莫如深。
7月20日,百度副总裁梁冬接受《财经时报》电话采访时表示,“基于对合作伙伴的尊重,我们有义务不对具体的合作发表评论。”但他承认,百度和一些网站已经达成了“形式各样的合作模式”。
幕后势力操作软件收购
实际上,百度收购不过是国内互联网暗流潜动的一个缩影。
据一位不愿署名的人士透露,早在两年前,国内几大利益集团就已围绕收购个人网站展开了竞赛。百度不过是这几大势力的一员。
“现在是互联网加速整合的一个高峰。”该人士评价说,“所不同的是,以前大家收购的是有像Hao123这样有巨大流量的个人网站,而现在,大家抢的是热门软件,以及天空软件这样的软件通道。”
不久前,百度悄然收购了一款名为“千千静听”的MP3播放软件。在某家网站公布的十大下载量最大共享软件中,这款软件以18780836的高票名列第三名。据知情人透露,百度此次收购的价格也在百万元以上。
作为国内最资深的互联网大佬,千橡集团总裁陈一舟更加热衷于类似的收购。2004年全资收购了国内最大的社区网站猫扑,从此一发不可收拾。2005年又继续收购著名IT社区DONEWS.迄今为止,陈一舟已收购了3家SP公司,以及DuDu等多个热门软件。
2005年年底,陈一舟又悄悄收购了中国共享软件注册中心,并在此基础上成立了中国软件社区。“这个做法的目的很明确,就是先掌握软件渠道,为下一步收购国产软件打好基础。”一位接近陈一舟的人士向《财经时报》解释说。
“最近,陈一舟和ZCOM展开了对FlashGet的竞购。尽管最后被ZCOM得手,但这个失败更加坚定了他收购其他软件的决心。”该人士声称。
FlashGet又称网际快车,是国内最受欢迎的本土下载软件之一,以提高下载速度、批下载和下载文档管理的功能而闻名业内。不久前,获得凯雷1000万美元投资的ZCOM智通无限科技有限公司以千万元的价格将之收购。此外,ZCOM还以500万元的价格收购了珊瑚虫版QQ软件。
而据该人士透露,在ZCOM公司这两次收购案中,真正的幕后操盘手有可能是265.com的老总蔡文胜。原因很简单,尽管没有文字记载,但蔡文胜身为ZCOM大股东的事实已在坊间广为流传。而他对于投资软件的爱好更可以以狂热来形容。迄今为止,他已直接投资或收购了包括动网、Verycd,以及周博通在内的多个软件及相关网站。
“蔡文胜是互联网的一方诸侯,光他手上囤积的域名资源就价值数亿元。他的特点是喜欢通过小投资控制热门软件和网站,并和这些软件和网站实施捆绑。”上述人士透露说。
此外,奇虎网CEO周鸿也被视为掀起互联网“暗战”的一个力量。这位3721创始人以及前雅虎中国总裁最近携手众多VC,已投资了包括奇虎、Discuz!、迅雷在内的多个软件及相关网站。
“最近迅雷获得的新一轮投资是1亿美元,你从中可以想象这个P2P软件有多么值钱了。”某知名站长向《财经时报》透露说。
早在两年前,国内几大利益集团就已围绕收购个人网站展开了竞赛。百度不过是这几大势力的一员
这似乎是《教父》情节在国内互联网市场的重演:为了抢占更多资源,多家势力集团之间展开了长达数年的收购竞赛。
国内互联网貌似平静的水面下,带着浓重江湖气息的暗流正在疯狂涌动。
百度天价收购天空软件
最近,国内知名个人网站“天空软件”站长张鹤在湖北老家长长松了口气。
几个月前,张鹤成功将自己一手创立的网站卖了出去,售价相当可观不说,接手方的实力更是有目共睹,是国内互联网的龙头老大——百度。
《财经时报》近日从多个可靠渠道获悉,早在今年5月,百度就以3000万元人民币的价格完成了对天空软件的最终收购。
目前,百度已将天空软件的广告销售纳入了自有体系,并将针对天空软件进行更多内部整合工作。
据悉,这也是迄今为止百度最为巨大的一次收购案例。
2004年,百度宣称以5000万元收购国内最大网址站Hao123.com,实际收购金额仅为1000万元。而此次收购天空软件,百度开出的3000万元则是真金实银。
“现在知道这事的人还很少。将来百度对外公布的话,收购数字有可能会是8000万甚至1亿元。但不可否认,这确实是国内个人网站最大的一次收购案。”某知情人士对此透露说。
天空软件网站由张鹤创建于2001年,为国内最知名的软件下载网站之一,在ALEXA全球网站排名中名列351名,每日页面流量超过数百万。据知情人透露,这一网站目前的运营团队均在湖北境内,公司人数大约在10人左右。
对于收购一事,当事双方均讳莫如深。
7月20日,百度副总裁梁冬接受《财经时报》电话采访时表示,“基于对合作伙伴的尊重,我们有义务不对具体的合作发表评论。”但他承认,百度和一些网站已经达成了“形式各样的合作模式”。
幕后势力操作软件收购
实际上,百度收购不过是国内互联网暗流潜动的一个缩影。
据一位不愿署名的人士透露,早在两年前,国内几大利益集团就已围绕收购个人网站展开了竞赛。百度不过是这几大势力的一员。
“现在是互联网加速整合的一个高峰。”该人士评价说,“所不同的是,以前大家收购的是有像Hao123这样有巨大流量的个人网站,而现在,大家抢的是热门软件,以及天空软件这样的软件通道。”
不久前,百度悄然收购了一款名为“千千静听”的MP3播放软件。在某家网站公布的十大下载量最大共享软件中,这款软件以18780836的高票名列第三名。据知情人透露,百度此次收购的价格也在百万元以上。
作为国内最资深的互联网大佬,千橡集团总裁陈一舟更加热衷于类似的收购。2004年全资收购了国内最大的社区网站猫扑,从此一发不可收拾。2005年又继续收购著名IT社区DONEWS.迄今为止,陈一舟已收购了3家SP公司,以及DuDu等多个热门软件。
2005年年底,陈一舟又悄悄收购了中国共享软件注册中心,并在此基础上成立了中国软件社区。“这个做法的目的很明确,就是先掌握软件渠道,为下一步收购国产软件打好基础。”一位接近陈一舟的人士向《财经时报》解释说。
“最近,陈一舟和ZCOM展开了对FlashGet的竞购。尽管最后被ZCOM得手,但这个失败更加坚定了他收购其他软件的决心。”该人士声称。
FlashGet又称网际快车,是国内最受欢迎的本土下载软件之一,以提高下载速度、批下载和下载文档管理的功能而闻名业内。不久前,获得凯雷1000万美元投资的ZCOM智通无限科技有限公司以千万元的价格将之收购。此外,ZCOM还以500万元的价格收购了珊瑚虫版QQ软件。
而据该人士透露,在ZCOM公司这两次收购案中,真正的幕后操盘手有可能是265.com的老总蔡文胜。原因很简单,尽管没有文字记载,但蔡文胜身为ZCOM大股东的事实已在坊间广为流传。而他对于投资软件的爱好更可以以狂热来形容。迄今为止,他已直接投资或收购了包括动网、Verycd,以及周博通在内的多个软件及相关网站。
“蔡文胜是互联网的一方诸侯,光他手上囤积的域名资源就价值数亿元。他的特点是喜欢通过小投资控制热门软件和网站,并和这些软件和网站实施捆绑。”上述人士透露说。
此外,奇虎网CEO周鸿也被视为掀起互联网“暗战”的一个力量。这位3721创始人以及前雅虎中国总裁最近携手众多VC,已投资了包括奇虎、Discuz!、迅雷在内的多个软件及相关网站。
“最近迅雷获得的新一轮投资是1亿美元,你从中可以想象这个P2P软件有多么值钱了。”某知名站长向《财经时报》透露说。
ICANN is about to renew the .org, .biz, and .info registry contracts
with a HUGE loophole to allow each registry to charge different
scaled pricing on a per-domain basis and to provide each registry
with a presumptive perpetual monopoly. This means your best domains
may very soon cost you thousands (or more) per year in renewal fees.
We need your help to halt the approval of these contract proposals.
Everyone who owns a domain and cares about its value should post a
comment TODAY to:
http://www.icann.org/announcements/announcement-2-...
Its easy: Just email your comments to each of the three following
email addresses:
biz-tld-agreement@icann.org,
info-tld-agreement@icann.org,
org-tld-agreement@icann.org
and then approve the email links they respond with.
The comment period will remain open until 5:00 PM PDT, August 28,
2006. THAT'S TODAY! The comments will be submitted to the ICANN Board
of Directors for the Board to consider at its meeting on September 13,
2006.
If Registries can set "market prices" for each .biz, .info, .org
domain name (ie. $500 or $1 million per year for cars.org or
Google.org etc.. ), then ICANN will have to provide Verisign the same
terms for .com and .net in 2012. ALL of your businesses could be in
serious jeopardy. So we all have a vested interest in this not
happening.
If you CHOOSE to remain silent the fallout will jeopardize all of our
futures. We need your help. Please take a moment to read the comments
others have posted, then create one of your own and mail it off.
http://forum.icann.org/lists/biz-tld-agreement
http://forum.icann.org/lists/info-tld-agreement
http://forum.icann.org/lists/org-tld-agreement
Below are sample letters that were forwarded to us. They give some
good ideas and the consequences of staying silent. Please remember
that the deadline is 5pm today.
THANK YOU!!
The Parked.com Team
Sample #1
To the ICANN Board,
The proposed TLD Registry Renewal Contracts for .info, .biz, and .org
domains have a seriously flawed component whereby a Registry will be
able to set arbitrary rates without price caps at whatever the market
will bear. This will create a financially devastating impact on the
business models of millions of domain and web site owners worldwide.
The impact will be especially damaging to .org and .info domain
owners and site operators who for the most part use .org and .info
domains for non-profit, charitable organizations, and educational
purposes.
Hundreds of billions of dollars have been invested into the core
domain name infrastructure of the Internet with the secured
expectation that acquiring, owning and maintaining domains would
always be affordable and make economic sense for a long term
investment.
To enable and facilitate a way for registry's to financially exploit
and gouge the marketplace would not only be a business tragedy, but
it goes against the grain of all the base principles upon which the
Internet was conceived. It would certainly deter new entrepreneurs
from considering venturing onto the Net if there is no certainty what
their site's URL location will be costing them each year they renew.
And the vast multitude of current domain owners and web site
operators would close up shop if their costs of doing business
skyrocketed on every domain they own.
Even more importantly, this flaw would give an unfair economic
advantage to individuals and corporations who have substantial
capital resources who could outbid less fortunate and startup
entrepreneurs with limited capital.
And inevitably, there would be a tidal wave of costly and time
consuming lawsuits and litigation that ICANN itself would have to
deal with from the millions of impacted domain owners.
Thus, I respectfully request that you reconsider and reconstruct the
contracts and remove this no price caps clause completely.
Sample #2
I wish to express my profound concern that the proposed registry
agreements for .org, .biz and .info do not prohibit predatory price
rises by the registries. ICANN was entirely right to object to
Verisign's SiteFinder service, and for all the right reasons, but
appears not to have learned the obvious lesson: that registries can
be motivated to do things that are not in registrants' interests.
Given that reality, removal of price caps is likely to result in
anticompetitive practices that seriously impact internet
stakeholders. I hope that you will reconsider this aspect of the
agreements.
Sample #3
In permitting even the theoretical hiking of fees for domain name
renewals, ICANN is threatening nothing less than the democratic
nature of the Internet. As an individual, I have been using a .org
domain for some years for a political and social blog website. The
relatively low cost of renewing my domain name and hosting the site
is extremely important to me. Operating such a site now feels like an
extension of my free speech rights! I am counting on you not to do
anything to erode that. Thank you.
Sample #4
As a small business operator, with substantial goodwill invested in
our domain names, I wish to express my strong opposition to the
lifting of price controls. One of ICANN's core principles is the
encouragement of competition at both the registry and registrar
levels. Such competition is incompatible with the kind of
unrestricted monopoly that these proposed agreements would create. I
therefore urge the board to reject the agreements.
with a HUGE loophole to allow each registry to charge different
scaled pricing on a per-domain basis and to provide each registry
with a presumptive perpetual monopoly. This means your best domains
may very soon cost you thousands (or more) per year in renewal fees.
We need your help to halt the approval of these contract proposals.
Everyone who owns a domain and cares about its value should post a
comment TODAY to:
http://www.icann.org/announcements/announcement-2-...
Its easy: Just email your comments to each of the three following
email addresses:
biz-tld-agreement@icann.org,
info-tld-agreement@icann.org,
org-tld-agreement@icann.org
and then approve the email links they respond with.
The comment period will remain open until 5:00 PM PDT, August 28,
2006. THAT'S TODAY! The comments will be submitted to the ICANN Board
of Directors for the Board to consider at its meeting on September 13,
2006.
If Registries can set "market prices" for each .biz, .info, .org
domain name (ie. $500 or $1 million per year for cars.org or
Google.org etc.. ), then ICANN will have to provide Verisign the same
terms for .com and .net in 2012. ALL of your businesses could be in
serious jeopardy. So we all have a vested interest in this not
happening.
If you CHOOSE to remain silent the fallout will jeopardize all of our
futures. We need your help. Please take a moment to read the comments
others have posted, then create one of your own and mail it off.
http://forum.icann.org/lists/biz-tld-agreement
http://forum.icann.org/lists/info-tld-agreement
http://forum.icann.org/lists/org-tld-agreement
Below are sample letters that were forwarded to us. They give some
good ideas and the consequences of staying silent. Please remember
that the deadline is 5pm today.
THANK YOU!!
The Parked.com Team
Sample #1
To the ICANN Board,
The proposed TLD Registry Renewal Contracts for .info, .biz, and .org
domains have a seriously flawed component whereby a Registry will be
able to set arbitrary rates without price caps at whatever the market
will bear. This will create a financially devastating impact on the
business models of millions of domain and web site owners worldwide.
The impact will be especially damaging to .org and .info domain
owners and site operators who for the most part use .org and .info
domains for non-profit, charitable organizations, and educational
purposes.
Hundreds of billions of dollars have been invested into the core
domain name infrastructure of the Internet with the secured
expectation that acquiring, owning and maintaining domains would
always be affordable and make economic sense for a long term
investment.
To enable and facilitate a way for registry's to financially exploit
and gouge the marketplace would not only be a business tragedy, but
it goes against the grain of all the base principles upon which the
Internet was conceived. It would certainly deter new entrepreneurs
from considering venturing onto the Net if there is no certainty what
their site's URL location will be costing them each year they renew.
And the vast multitude of current domain owners and web site
operators would close up shop if their costs of doing business
skyrocketed on every domain they own.
Even more importantly, this flaw would give an unfair economic
advantage to individuals and corporations who have substantial
capital resources who could outbid less fortunate and startup
entrepreneurs with limited capital.
And inevitably, there would be a tidal wave of costly and time
consuming lawsuits and litigation that ICANN itself would have to
deal with from the millions of impacted domain owners.
Thus, I respectfully request that you reconsider and reconstruct the
contracts and remove this no price caps clause completely.
Sample #2
I wish to express my profound concern that the proposed registry
agreements for .org, .biz and .info do not prohibit predatory price
rises by the registries. ICANN was entirely right to object to
Verisign's SiteFinder service, and for all the right reasons, but
appears not to have learned the obvious lesson: that registries can
be motivated to do things that are not in registrants' interests.
Given that reality, removal of price caps is likely to result in
anticompetitive practices that seriously impact internet
stakeholders. I hope that you will reconsider this aspect of the
agreements.
Sample #3
In permitting even the theoretical hiking of fees for domain name
renewals, ICANN is threatening nothing less than the democratic
nature of the Internet. As an individual, I have been using a .org
domain for some years for a political and social blog website. The
relatively low cost of renewing my domain name and hosting the site
is extremely important to me. Operating such a site now feels like an
extension of my free speech rights! I am counting on you not to do
anything to erode that. Thank you.
Sample #4
As a small business operator, with substantial goodwill invested in
our domain names, I wish to express my strong opposition to the
lifting of price controls. One of ICANN's core principles is the
encouragement of competition at both the registry and registrar
levels. Such competition is incompatible with the kind of
unrestricted monopoly that these proposed agreements would create. I
therefore urge the board to reject the agreements.
从2006年8月7日开始的旅行..即将告一段落. 虽然未全按预期计划. 但是还是有一些收获. 这次去了四川成都. 随后内容将记录.
【作者:朱辉】
因为自己是穷人,所以常常站在穷人的角度看问题。又因为毕竟是舞文弄墨的,相比这座城市为数不少的底层市民还不是穷得格外厉害,所以平时尚能心平气和,不至于嫉富如仇,看到坐“奔驰”的产生从背后扔小石头、说诛心话的冲动。
随着年纪渐长、思想麻木,甚至对于“包二奶”的富人也见怪不怪,懒得口诛笔伐了。于是窃以为由自己来对穷人、富人的“形状”加以评判,尚能客观公正、以理服人。
穷人善良、勤劳……我们这代人因为深受无产阶级思想教育和文化熏陶,脑海里的穷人大多集中了中华民族所有优点。时过境迁,如今的穷人早已沦落为“高尚人士”笔下批评、嘲笑的对象,穷人粗鲁、不讲文明、缺少进取精神、缺乏眼光……穷人大多不喜欢看书,这当然也算一条。不过好在有了这样一条缺点,“高尚人士”们的鄙视才没有激起过大的社会反响。
作为穷人阶层的末流文人,我当然觉得有义务挺身而出,为广大受歧视的穷人鼓与呼。那天,我正坐在电脑前写“鼓呼”文章,我买的一台冰箱送货上门了。扛着冰箱进门的是一位五旬老汉,五旬这个年纪在现代都市里本算不得老汉,按照联合国标准中年从45岁才开始。我之所以依然称他为老汉,是因为他脸上的沟壑纵横、他额上的花白头发以及有些佝偻的背。这样一个老人,一人独自扛着一台与他身高相当的冰箱爬上六楼,想想这一天、这一个月,他不知道又扛了多少这样的冰箱上了多少层楼?我不禁有些心酸,于是递给他一瓶“雪碧”和一根好烟。想象中他一定会推辞或者千恩万谢地接过去。果然,他有些受宠若惊,愣了一下接了过去,不过并没有说什么。送他出门时,我格外多说了几声“谢谢”,潜意识中是想给他一些精神安慰和工作成就感。对于这样的礼遇,他似乎毫无心理准备,又愣了一下,嘟囔了一句“找些话说,这有什么好谢的。”
“存在就是合理的。”望着他的背影,我想起了这句被断章取义的名言。这个社会是讲“游戏规则”的,谁也没有义务单方面地对你好。像这位老汉这样不懂起码的社会交往礼数,即使有机遇,他也难以改变受穷的命运。
几分钟后我有事下楼,到了门洞口看到送货的车还在,业务员和那个老汉蹲在车旁休息聊天。“六楼那主大概是个书呆子,看上去傻乎乎的,对我说了好几声谢谢……”那老汉在说……
这就是穷人,也许他们习惯了被吆来喝去,习惯了汗流浃背还被人大声呵斥,我对穷人的印象顿时打了很大的折扣(虽然自己也是穷人),这种折扣随着生活中的一些小事越打越低。比如有时候晚饭后出门遛狗散步,我的小“西施”偶尔会对路过的行人叫上几声,或表示兴奋、或表示警惕。面对小狗的叫声,老宿舍区的“穷人”常常会抱以骂声,或者作势踢狗一脚,于是狗叫得更加厉害了。而在旁边高档小区,那里的人通常很友善,会付之一笑,或者蹲下来逗逗小狗。
“中国就是因为穷人太多搞不好,你看街上那些被破坏的公共设施都是穷人毁坏的;遇到争议,穷人总喜欢扯皮打架斗狠,就是不喜欢用法律手段解决……”某位曾经是穷人,如今是“高尚人士”的老同学谈起穷人常常一脸不屑和无奈,最后总结这一切都是穷人不喜欢遵守社会“游戏规则”,不按“游戏规则”办事造成的。
老同学对于穷人的愤怒是有原因的。他刚刚兼并了一个厂。由于手头资金紧,没有给职工交社保、医保,工资也时有拖欠,为此职工们常常四处投诉。不过以老同学在本地的关系网,这些投诉最后当然是不了了之了。不久前,厂子里几个狠人终于发作了,有一个“三进宫”的家伙用砖头把他办公室的门砸了个大洞,还有一个扬言要去“接”他儿子放学……担惊受怕了一阵子,老同学终于给几个狠人落实了“政策”。看到狠人的“战果”,厂里不少职工也纷纷效仿,老同学最后只好忍痛履行了他本该履行的义务。
富人的“形状”显然要比“穷人”好,可是穷人的种种劣迹真的都是因为不遵守“游戏规则”造成的吗?仔细想想,大谬不然。“游戏规则”看起来神圣,其实归根结底还是人制定的,既然是人制定的当然就可以去完善或者改变。比如那位老同学,他能在三年内迅速成为千万富翁,第一桶金其实来自于国企改制,依靠手中的权力“四两拨千斤”,用少量的资金(还是贷款来的)成为了大股东;第二桶金则是来自于靠原有地位获得的关系网,使他总能以不合理的价格在招标中屡屡中标。两桶金下来,与一般的草根商人相比,他已经用极短的时间完成了别人需要一辈子完成的原始积累。这个时候他开始频频使用“游戏规则”、“与国际接轨”这样的时髦词了,这就如同百米赛跑时,有的人先蹲到八十米处,然后对身后起跑线上的对手们说:“我们现在开始公平竞争吧,你们要注意不要抢跑,要遵守比赛规则,要……”
“游戏规则”的最大作用应该是保持社会和谐、稳定,保持有序的公平竞争。在规则的制定中占有强势地位的富人阶层拥有着更多的话语权,人都有自私的天性,假如不加以控制,这种“游戏规则”自然会变得越来越有利于富人。终有一天,老是“输”的穷人不愿意再玩下去了,那么“规则”也会被颠覆,“游戏”自然就破产了,富人的既得利益当然也就无从保留。看看乒乓球、羽毛球规则这些年来的频繁改变,就是为了防止出现一家独赢、大家都没有指望既而退出游戏的局面。
富人越来越有修养,越来越有贵族气质当然没有什么不好;可穷人假如越来越粗鲁、越来越暴力、越来越……这其中也有富人的责任。分析一下穷人为什么愿意用吵架、斗狠去争取自己的利益,而不是像富人那样通过法律途径争取?“社会资源”的差异决定了穷人用不起法律手段,或者用起来效果远不如富人,于是他们不得已选择了“粗野”、“斗狠”这些他们觉得更有效的方式。穷人被狗吠为什么生气而富人不生气?这是因为穷人长期受压抑被轻视产生了自卑感,觉得“狗眼看人低”,而富人的自信心不至于认为狗会看不起他……
“先富带动后富”,这看起来像是一句不太可能实现的政治口号,实际上却是富人必须完成的使命,为了社会更是为了他们自己。假如穷人的“形状”变得越来越坏,社会的和谐必将受到威胁。社会不和谐,所谓“游戏规则”早晚会成为玩不下去的规则,最大的受害者很可能还是正在得到利益的富人阶层。
你是穷人还是富人?
下面是刚颁布的《中国贫富标准线》,看看我们生活在哪个层次?
超级大富豪:年收入在5000万以上
大富豪:年收入在1000—5000万
富豪:年收入在300—1000万之间
富人:年收入在100—300万之间
高产者:年收入在30—100万之间
中产者:年收入在15—30万之间
低产者:年收入在8—15万之间
穷 人:年收入在3—8万之间
很穷的人:年收入在1—3万之间
非常穷的穷人:年收入在5千—1万之间
穷得没衣服穿的人:年收入在1千—5千之间
穷得求生不得求死不能的穷人:年收入在100 —1000元之间
穷得几乎要死的穷人:年收入在30—100元之间
死路一条的穷人:年收入在30元以下
因为自己是穷人,所以常常站在穷人的角度看问题。又因为毕竟是舞文弄墨的,相比这座城市为数不少的底层市民还不是穷得格外厉害,所以平时尚能心平气和,不至于嫉富如仇,看到坐“奔驰”的产生从背后扔小石头、说诛心话的冲动。
随着年纪渐长、思想麻木,甚至对于“包二奶”的富人也见怪不怪,懒得口诛笔伐了。于是窃以为由自己来对穷人、富人的“形状”加以评判,尚能客观公正、以理服人。
穷人善良、勤劳……我们这代人因为深受无产阶级思想教育和文化熏陶,脑海里的穷人大多集中了中华民族所有优点。时过境迁,如今的穷人早已沦落为“高尚人士”笔下批评、嘲笑的对象,穷人粗鲁、不讲文明、缺少进取精神、缺乏眼光……穷人大多不喜欢看书,这当然也算一条。不过好在有了这样一条缺点,“高尚人士”们的鄙视才没有激起过大的社会反响。
作为穷人阶层的末流文人,我当然觉得有义务挺身而出,为广大受歧视的穷人鼓与呼。那天,我正坐在电脑前写“鼓呼”文章,我买的一台冰箱送货上门了。扛着冰箱进门的是一位五旬老汉,五旬这个年纪在现代都市里本算不得老汉,按照联合国标准中年从45岁才开始。我之所以依然称他为老汉,是因为他脸上的沟壑纵横、他额上的花白头发以及有些佝偻的背。这样一个老人,一人独自扛着一台与他身高相当的冰箱爬上六楼,想想这一天、这一个月,他不知道又扛了多少这样的冰箱上了多少层楼?我不禁有些心酸,于是递给他一瓶“雪碧”和一根好烟。想象中他一定会推辞或者千恩万谢地接过去。果然,他有些受宠若惊,愣了一下接了过去,不过并没有说什么。送他出门时,我格外多说了几声“谢谢”,潜意识中是想给他一些精神安慰和工作成就感。对于这样的礼遇,他似乎毫无心理准备,又愣了一下,嘟囔了一句“找些话说,这有什么好谢的。”
“存在就是合理的。”望着他的背影,我想起了这句被断章取义的名言。这个社会是讲“游戏规则”的,谁也没有义务单方面地对你好。像这位老汉这样不懂起码的社会交往礼数,即使有机遇,他也难以改变受穷的命运。
几分钟后我有事下楼,到了门洞口看到送货的车还在,业务员和那个老汉蹲在车旁休息聊天。“六楼那主大概是个书呆子,看上去傻乎乎的,对我说了好几声谢谢……”那老汉在说……
这就是穷人,也许他们习惯了被吆来喝去,习惯了汗流浃背还被人大声呵斥,我对穷人的印象顿时打了很大的折扣(虽然自己也是穷人),这种折扣随着生活中的一些小事越打越低。比如有时候晚饭后出门遛狗散步,我的小“西施”偶尔会对路过的行人叫上几声,或表示兴奋、或表示警惕。面对小狗的叫声,老宿舍区的“穷人”常常会抱以骂声,或者作势踢狗一脚,于是狗叫得更加厉害了。而在旁边高档小区,那里的人通常很友善,会付之一笑,或者蹲下来逗逗小狗。
“中国就是因为穷人太多搞不好,你看街上那些被破坏的公共设施都是穷人毁坏的;遇到争议,穷人总喜欢扯皮打架斗狠,就是不喜欢用法律手段解决……”某位曾经是穷人,如今是“高尚人士”的老同学谈起穷人常常一脸不屑和无奈,最后总结这一切都是穷人不喜欢遵守社会“游戏规则”,不按“游戏规则”办事造成的。
老同学对于穷人的愤怒是有原因的。他刚刚兼并了一个厂。由于手头资金紧,没有给职工交社保、医保,工资也时有拖欠,为此职工们常常四处投诉。不过以老同学在本地的关系网,这些投诉最后当然是不了了之了。不久前,厂子里几个狠人终于发作了,有一个“三进宫”的家伙用砖头把他办公室的门砸了个大洞,还有一个扬言要去“接”他儿子放学……担惊受怕了一阵子,老同学终于给几个狠人落实了“政策”。看到狠人的“战果”,厂里不少职工也纷纷效仿,老同学最后只好忍痛履行了他本该履行的义务。
富人的“形状”显然要比“穷人”好,可是穷人的种种劣迹真的都是因为不遵守“游戏规则”造成的吗?仔细想想,大谬不然。“游戏规则”看起来神圣,其实归根结底还是人制定的,既然是人制定的当然就可以去完善或者改变。比如那位老同学,他能在三年内迅速成为千万富翁,第一桶金其实来自于国企改制,依靠手中的权力“四两拨千斤”,用少量的资金(还是贷款来的)成为了大股东;第二桶金则是来自于靠原有地位获得的关系网,使他总能以不合理的价格在招标中屡屡中标。两桶金下来,与一般的草根商人相比,他已经用极短的时间完成了别人需要一辈子完成的原始积累。这个时候他开始频频使用“游戏规则”、“与国际接轨”这样的时髦词了,这就如同百米赛跑时,有的人先蹲到八十米处,然后对身后起跑线上的对手们说:“我们现在开始公平竞争吧,你们要注意不要抢跑,要遵守比赛规则,要……”
“游戏规则”的最大作用应该是保持社会和谐、稳定,保持有序的公平竞争。在规则的制定中占有强势地位的富人阶层拥有着更多的话语权,人都有自私的天性,假如不加以控制,这种“游戏规则”自然会变得越来越有利于富人。终有一天,老是“输”的穷人不愿意再玩下去了,那么“规则”也会被颠覆,“游戏”自然就破产了,富人的既得利益当然也就无从保留。看看乒乓球、羽毛球规则这些年来的频繁改变,就是为了防止出现一家独赢、大家都没有指望既而退出游戏的局面。
富人越来越有修养,越来越有贵族气质当然没有什么不好;可穷人假如越来越粗鲁、越来越暴力、越来越……这其中也有富人的责任。分析一下穷人为什么愿意用吵架、斗狠去争取自己的利益,而不是像富人那样通过法律途径争取?“社会资源”的差异决定了穷人用不起法律手段,或者用起来效果远不如富人,于是他们不得已选择了“粗野”、“斗狠”这些他们觉得更有效的方式。穷人被狗吠为什么生气而富人不生气?这是因为穷人长期受压抑被轻视产生了自卑感,觉得“狗眼看人低”,而富人的自信心不至于认为狗会看不起他……
“先富带动后富”,这看起来像是一句不太可能实现的政治口号,实际上却是富人必须完成的使命,为了社会更是为了他们自己。假如穷人的“形状”变得越来越坏,社会的和谐必将受到威胁。社会不和谐,所谓“游戏规则”早晚会成为玩不下去的规则,最大的受害者很可能还是正在得到利益的富人阶层。
你是穷人还是富人?
下面是刚颁布的《中国贫富标准线》,看看我们生活在哪个层次?
超级大富豪:年收入在5000万以上
大富豪:年收入在1000—5000万
富豪:年收入在300—1000万之间
富人:年收入在100—300万之间
高产者:年收入在30—100万之间
中产者:年收入在15—30万之间
低产者:年收入在8—15万之间
穷 人:年收入在3—8万之间
很穷的人:年收入在1—3万之间
非常穷的穷人:年收入在5千—1万之间
穷得没衣服穿的人:年收入在1千—5千之间
穷得求生不得求死不能的穷人:年收入在100 —1000元之间
穷得几乎要死的穷人:年收入在30—100元之间
死路一条的穷人:年收入在30元以下
目的:
有两台MySQL数据库服务器A和B,使A为主服务器,B为从服务器,初始状态时,A和B中的数据信息相同,当A中的数据发生变化时,B也跟着发生相应的变化,使得A和B的数据信息同步,达到备份的目的。
原理:
负责在主、从服务器传输各种修改动作的媒介是主服务器的二进制变更日志,这个日志记载着需要传输给从服务器的各种修改动作。因此,主服务器必须激活二进制日志功能。从服务器必须具备足以让它连接主服务器并请求主服务器把二进制变更日志传输给它的权限。
环境:
A、B的MySQL数据库版本同为5.0.18
A:
操作系统:Windows 2003
IP地址:10.100.0.100
B:
操作系统:Windows 2000 server
的IP地址:10.100.0.200
配置过程:
1、在A的数据库中建立一个备份帐户,命令如下:
GRANT REPLICATION SLAVE,RELOAD,SUPER ON *.*
TO backup@’10.100.0.200’
IDENTIFIED BY ‘1234’;
建立一个帐户backup,并且只能允许从10.100.0.200这个地址上来登陆,密码是1234。
2、关停A服务器,将A中的数据拷贝到B服务器中,使得A和B中的数据同步,并且确保在全部设置操作结束前,禁止在A和B服务器中进行写操作,使得两数据库中的数据一定要相同!
3、对A服务器的配置进行修改,打开mysql/my.ini文件,在[mysqld]下面添加如下内容:
server-id=1
log-bin=c:log-bin.log
server-id:为主服务器A的ID值
log-bin:二进制变更日值
4、重启A服务器,从现在起,它将把客户堆有关数据库的修改记载到二进制变更日志里去。
5、关停B服务器,对B服务器锦熙配置,以便让它知道自己的镜像ID、到哪里去找主服务器以及如何去连接服务器。最简单的情况是主、从服务器分别运行在不同的主机上并都使用着默认的TCP/IP端口,只要在从服务器启动时去读取的mysql/my.ini文件里添加以下几行指令就行了。
[mysqld]
server-id=2
master-host=10.100.0.100
master-user=backup
master-password=1234
//以下内容为可选
replicate-do-db=backup
server-id:从服务器B的ID值。注意不能和主服务器的ID值相同。
master-host:主服务器的IP地址。
master-user:从服务器连接主服务器的帐号。
master-password:从服务器连接主服务器的帐号密码。
replicate-do-db:告诉主服务器只对指定的数据库进行同步镜像。
6、重启从服务器B。至此所有设置全部完成。更新A中的数据,B中也会立刻进行同步更新。如果从服务器没有进行同步更新,你可以通过查看从服务器中的mysql_error.log日志文件进行排错。如果大家对文章有什么问题,可以到我的网站和我交流.
http://bbs.chinaunix.net/viewthread.php?tid=728248
有两台MySQL数据库服务器A和B,使A为主服务器,B为从服务器,初始状态时,A和B中的数据信息相同,当A中的数据发生变化时,B也跟着发生相应的变化,使得A和B的数据信息同步,达到备份的目的。
原理:
负责在主、从服务器传输各种修改动作的媒介是主服务器的二进制变更日志,这个日志记载着需要传输给从服务器的各种修改动作。因此,主服务器必须激活二进制日志功能。从服务器必须具备足以让它连接主服务器并请求主服务器把二进制变更日志传输给它的权限。
环境:
A、B的MySQL数据库版本同为5.0.18
A:
操作系统:Windows 2003
IP地址:10.100.0.100
B:
操作系统:Windows 2000 server
的IP地址:10.100.0.200
配置过程:
1、在A的数据库中建立一个备份帐户,命令如下:
GRANT REPLICATION SLAVE,RELOAD,SUPER ON *.*
TO backup@’10.100.0.200’
IDENTIFIED BY ‘1234’;
建立一个帐户backup,并且只能允许从10.100.0.200这个地址上来登陆,密码是1234。
2、关停A服务器,将A中的数据拷贝到B服务器中,使得A和B中的数据同步,并且确保在全部设置操作结束前,禁止在A和B服务器中进行写操作,使得两数据库中的数据一定要相同!
3、对A服务器的配置进行修改,打开mysql/my.ini文件,在[mysqld]下面添加如下内容:
server-id=1
log-bin=c:log-bin.log
server-id:为主服务器A的ID值
log-bin:二进制变更日值
4、重启A服务器,从现在起,它将把客户堆有关数据库的修改记载到二进制变更日志里去。
5、关停B服务器,对B服务器锦熙配置,以便让它知道自己的镜像ID、到哪里去找主服务器以及如何去连接服务器。最简单的情况是主、从服务器分别运行在不同的主机上并都使用着默认的TCP/IP端口,只要在从服务器启动时去读取的mysql/my.ini文件里添加以下几行指令就行了。
[mysqld]
server-id=2
master-host=10.100.0.100
master-user=backup
master-password=1234
//以下内容为可选
replicate-do-db=backup
server-id:从服务器B的ID值。注意不能和主服务器的ID值相同。
master-host:主服务器的IP地址。
master-user:从服务器连接主服务器的帐号。
master-password:从服务器连接主服务器的帐号密码。
replicate-do-db:告诉主服务器只对指定的数据库进行同步镜像。
6、重启从服务器B。至此所有设置全部完成。更新A中的数据,B中也会立刻进行同步更新。如果从服务器没有进行同步更新,你可以通过查看从服务器中的mysql_error.log日志文件进行排错。如果大家对文章有什么问题,可以到我的网站和我交流.
http://bbs.chinaunix.net/viewthread.php?tid=728248
防止黑客入侵:DLL后门完全清除方法(1)
前言
后门!相信这个词语对您来说一定不会陌生,它的危害不然而欲,但随着人们的安全意识逐步增强,又加上杀毒软件的"大力支持",使传统的后门无法在隐藏自己,任何稍微有点计算机知识的人,都知道"查端口""看进程",以便发现一些"蛛丝马迹"。所以,后门的编写者及时调整了思路,把目光放到了动态链接程序库上,也就是说,把后门做成DLL文件,然后由某一个EXE做为载体,或者使用Rundll32.exe来启动,这样就不会有进程,不开端口等特点,也就实现了进程、端口的隐藏。本文以"DLL的原理""DLL的清除""DLL的防范"为主题,并展开论述,旨在能让大家对DLL后门"快速上手",不在恐惧DLL后门。好了,进入我们的主题。
一、DLL的原理
1,动态链接程序库
动态链接程序库,全称:Dynamic Link Library,简称:DLL,作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件,需要跟其进行"动态链接";从编程的角度,应用程序需要知道DLL文件导出的API函数方可调用。由此可见,DLL文件本身并不可以运行,需要应用程序调用。正因为DLL文件运行时必须插入到应用程序的内存模块当中,这就说明了:DLL文件无法删除。这是由于Windows内部机制造成的:正在运行的程序不能关闭。所以,DLL后门由此而生!
2,DLL后门原理及特点
把一个实现了后门功能的代码写成一个DLL文件,然后插入到一个EXE文件当中,使其可以执行,这样就不需要占用进程,也就没有相对应的PID号,也就可以在任务管理器中隐藏。DLL文件本身和EXE文件相差不大,但必须使用程序(EXE)调用才能执行DLL文件。DLL文件的执行,需要EXE文件加载,但EXE想要加载DLL文件,需要知道一个DLL文件的入口函数(既DLL文件的导出函数),所以,根据DLL文件的编写标准:EXE必须执行DLL文件中的DLLMain()作为加载的条件(如同EXE的mian())。做DLL后门基本分为两种:1)把所有功能都在DLL文件中实现;2)把DLL做成一个启动文件,在需要的时候启动一个普通的EXE后门。
常见的编写方法:
(1),只有一个DLL文件
这类后门很简单,只把自己做成一个DLL文件,在注册表Run键值或其他可以被系统自动加载的地方,使用Rundll32.exe来自动启动。Rundll32.exe是什么?顾名思意,"执行32位的DLL文件"。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用Rundll32.exe启动了多少个的DLL文件。当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找到。
现在,我来介绍一下Rundll32.exe这个文件,意思上边已经说过,功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件,他的意思是"执行16位的DLL文件",这里要注意一下。在来看看Rundll32.exe使用的函数原型:
·防止黑客入侵:DLL后门完全清除方法(2)
其命令行下的使用方法为:Rundll32.exe DLLname,Functionname [Arguments]
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);
DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;[Arguments]为引出函数的具体参数。
(2),替换系统中的DLL文件
这类后门就比上边的先进了一些,它把实现了后门功能的代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时, DLL后门就启一个转发的作用,把"参数"传递给原来的DLL文件;如果遇到特殊的请求时(比如客户端),DLL后门就开始,启动并运行了。对于这类后门,把所有操作都在DLL文件中实现最为安全,但需要的编程知识也非常多,也非常不容易编写。所以,这类后门一般都是把DLL文件做成一个"启动"文件,在遇到特殊的情况下(比如客户端的请求),就启动一个普通的EXE后门;在客户端结束连接之后,把EXE后门停止,然后DLL文件进入"休息"状态,在下次客户端连接之前,都不会启动。但随着微软的"数字签名"和"文件恢复"的功能出台,这种后门已经逐步衰落。
提示:
在WINNT\system32目录下,有一个dllcache文件夹,里边存放着众多DLL文件(也包括一些重要的EXE文件),在DLL文件被非法修改之后,系统就从这里来恢复被修改的DLL文件。如果要修改某个DLL文件,首先应该把dllcache目录下的同名DLL文件删除或更名,否则系统会自动恢复。
(3),动态嵌入式
这才是DLL后门最常用的方法。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中,每个进程都有自己的私有内存空间,但还是有种种方法来进入其进程的私有内存空间,来实现动态嵌入式。由于系统的关键进程是不能终止的,所以这类后门非常隐蔽,查杀也非常困难。常见的动态嵌入式有:"挂接API""全局钩子(HOOK)""远程线程"等。
远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。当EXE载体(或Rundll32.exe)在那个被插入的进程里创建了远程线程,并命令它执行某个DLL文件时,我们的DLL后门就挂上去执行了,这里不会产生新的进程,要想让DLL后门停止,只有让这个链接DLL后门的进程终止。但如果和某些系统的关键进程链接,那就不能终止了,如果你终止了系统进程,那Windows也随即被终止!!!
·防止黑客入侵:DLL后门完全清除方法(3)
3,DLL后门的启动特性
启动DLL后门的载体EXE是不可缺少的,也是非常重要的,它被称为:Loader。如果没有Loader,那我们的DLL后门如何启动呢?因此,一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多,可以是为我们的DLL后门而专门编写的一个EXE文件;也可以是系统自带的Rundll32.exe,即使停止了Rundll32.exe,DLL后门的主体还是存在的。3721网络实名就是一个例子,虽然它并不是"真正"的后门。
二、DLL的清除
本节以三款比较有名的DLL后门例,分别为"SvchostDLL.dll""BITS.dll""QoServer.dll"。详细讲解其手工清除方法。希望大家在看过这三款DLL后门的清除方法之后,能够举一反三,灵活运用,在不惧怕DLL后门。其实,手工清除DLL后门还是比较简单的,无非就是在注册表中做文章。具体怎么做,请看下文。
1,PortLess BackDoor
这是一款功能非常强大的DLL后门程序,除了可以获得Local System权限的Shell之外,还支持如"检测克隆帐户""安装终端服务"等一系列功能(具体可以参见程序帮助),适用Windows2000/xp/2003等系统。程序使用svchost.exe来启动,平常不开端口,可以进行反向连接(最大的特点哦),对于有防火墙的主机来说,这个功能在好不过了。
在介绍清除方法之前,我们先来简单的介绍一下svchost.exe这个系统的关键服务:
Svchost只是做为服务的宿主,本身并不实现什么功能,如果需要使用Svchost来启动服务,则某个服务是以DLL形式实现的,该DLL的载体Loader指向svchost,所以,在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的,在需要启动服务的下边都有一个Parameters子键,其中的ServiceDll表明该服务由哪个DLL文件负责,并且这个DLL文件必须导出一个ServiceMain()函数,为处理服务任务提供支持。
呵呵!看了上边的理论,是不是有点蒙(我都快睡着了),别着急,我们来看看具体的内容。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs下的Parameters子键,其键值为%SystemRoot%\system32\rpcss.dll。这就说明:启动RpcSs服务时。Svchost调用WINNT\system32目录下的rpcss.dll。
注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost,里边存放着Svchost启动的组和组内的各个服务,其中netsvcs组的服务最多。要使用Svchost启动某个服务,则该服务名就会出现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下。这里有四种方法来实现:
1, 添加一个新的组,在组里添加服务名
2, 在现有组里添加服务名
3, 直接使用现有组里的一个服务名,但是本机没有安装的服务
4, 修改现有组里的现有服务,把它的ServiceDll指向自己的DLL后门
我测试的PortLess BackDoor使用的第三种方法。
好了,我想大家看完了上边的原理,一定可以想到我们清除PortLess BackDoor的方法了,对,就是在注册表的Svchost键下做文章。好,我们现在开始。
注:由于本文只是介绍清除方法,使用方法在此略过。
·防止黑客入侵:DLL后门完全清除方法(4)
后门的Loader把SvchostDLL.dll插入Svchost进程当中,所以,我们先打开Windows优化大师中的Windows进程管理2.5,查看Svchost进程中的模块信息,SvchostDLL.dll已经插入到Svchost进程中了,在根据"直接使用现有组里的一个服务名,但是本机没有安装的服务"的提示,我们可以断定,在"管理工具"—"服务"中会有一项新的服务。此服务名称为:IPRIP,由Svchost启动,-k netsvcs表示此服务包含在netsvcs服务组中。
我们把该服务停掉,然后打开注册表编辑器(开始—运行--regedit),来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP下,查看其Parameters子键。Program键的键值SvcHostDLL.exe为后门的Loader;ServiceDll的键值C:\WINNT\system32\svchostdll.dll为调用的DLL文件,这正是后门的DLL文件。现在我们删除IPRIP子键(或者用SC来删除),然后在来到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下,编辑netsvcs服务组,把49 00 70 00 72 00 69 00 70 00 00 00删除,这里对应的就是IPRIP的服务名,具体如图6所示。然后退出,重启。重启之后删除WINNT\system32目录下的后门文件即可。
2,BITS.dll
这是榕哥的作品,也是DLL后门,和SvchostDLL.dll原理基本一样,不过这里使用的是上边介绍的第四种方法,即"修改现有组里的现有服务,把它的ServiceDll指向自己的DLL后门"。换句话说,该后门修改现有的某一个服务,把其原有服务的DLL指向自己(也就是BITS.dll),这样就达到了自动加载的目的;其次,该后门没有自己的Loader,而是使用系统自带的Rundll32.exe来加载。我们还是用Windows 进程管理2.5来查看,从图7中,我们可以看到bits.dll已经插入到Svchost进程当中。
好,现在我们来看看具体的清除方法,由于该后门是修改现有服务,而我们并不知道具体是修改了哪个服务,所以,在注册表中搜索bits.dll,最后在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto下搜索到了bits.dll,查看Parameters子键下的ServiceDll,其键值为C:\WINNT\system32\bits.dll。原来,该后门把RasAuto服务原来的DLL文件替换为bits.dll了,这样来实现自动加载。知道了原因就好办了,现在我们把ServiceDll的键值修改为RasAuto服务原有的DLL文件,即%SystemRoot%\System32\rasauto.dll,退出,重启。之后删除WINNT\system32目录下的bits.dll即可。
3,NOIR--QUEEN
NOIR--QUEEN(守护者)是一个DLL后门&木马程序,服务端以DLL文件的形式插入到系统的Lsass.exe进程里,由于Lsass.exe是系统的关键进程,所以不能终止。在来介绍清除方法之前,我先介绍一下Lsass.exe进程:
这是一个本地的安全授权服务,并且它会为使用Winlogon服务的授权用户生成一个进程,如果授权是成功的,Lsass就会产生用户的进入令牌,令牌使用启动初始 的Shell。其他的由用户初始化的进程会继承这个令牌。
从上边的介绍我们就可以看出Lsass对系统的重要性,那具体怎么清除呢?请看下文。
后门在安装成功后,会在服务中添加一个名为QoSserver的服务,并把QoSserver.dll后门文件插入到Lsass进程当中,使其可以隐藏进程并自动启动。现在我们打开注册表,来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver,直接删除QoSserver键,然后重启。重启之后,我们在来到服务列表中,会看到QoSserver服务还在,但没有启动,类别是自动,我们把他修改为"已禁用";然后往上看,会发现一个服务名为AppCPI的服务,其可执行程序指向QoSserver.exe(原因后边我会说到)。我们再次打开注册表,来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppCPI,删除AppCPI键,重启,再删除QoSserver,最后删除WINNT\system32目录下的后门文件。
·防止黑客入侵:DLL后门完全清除方法(5)
本人和这个后门"搏斗"了3个多小时,重启N次。原因在于即使删除了QoSserver服务,后门还是在运行,而且服务列表中的QoSserver服务又"死灰复燃"。后来才知道原因:在我删除了QoSserver服务并重启之后,插入到Lsass进程当中的QoSserver.dll文件又恢复了QoSserver服务,并且生成了另外一个服务,即AppCPI,所以我们必须在到注册表中删除AppCPI服务才算是把该后门清除。由此可以看出,现在的后门的保护措施,真是一环扣环。
注意:在删除QoSserver服务并重启之后,恢复的QoSserver的启动类别要修改为"已禁用",否则即便删除了AppCPI服务,QoSserver服务又运行了。
三、DLL的防范
看了上边的例子,我想大家对清除DLL后门的方法有了一定的了解,但在现实中,DLL后门并不会使用默认的文件名,所以你也就不能肯定是否中了DLL后门。对于DLL后门,system32目录下是个好地方,大多数后门也是如此,所以这里要非常注意。下面我来具体介绍一下怎么发现DLL后门,希望对大家有所帮助。
1,安装好系统和所有的应用程序之后,备份system32目录下的EXE和DLL文件:打开CMD,来到WINNT\system32目录下,执行:dir *.exe>exe.txt & dir *.dll>dll.txt,这样,就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中;日后,如发现异常,可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt,其意思为使用FC命令比较两次的EXE文件和DLL文件,并将比较结果保存到exedll.txt文件中。通过这种方法,我们就可以发现多出来的EXE和DLL文件,并通过文件大小,创建时间来判断是否是DLL后门。
2,使用内存/模块工具来查看进程调用的DLL文件,比如Windows优化大师中的Windows 进程管理 2.5。这样,可以发现进程到底调用了什么DLL文件,在结合上边用FC命令比较出来的结果,又能进一步来确定是否中了DLL后门。如果没有优化大师,可以使用TaskList,这个小工具也可以显示进程调用的DLL文件,而且还有源代码,方便修改。
3,普通后门连接需要打开特定的端口,DLL后门也不例外,不管它怎么隐藏,连接的时候都需要打开端口。我们可以用netstat -an来查看所有TCP/UDP端口的连接,以发现非法连接。大家平时要对自己打开的端口心中有数,并对netstat -an中的state属性有所了解。当然,也可以使用Fport来显示端口对应的进程,这样,系统有什么不明的连接和端口,都可以尽收眼底。
4,定期检查系统自动加载的地方,比如:注册表,Winstart.bat,Autoexec.bat,win.ini,system.ini,wininit.ini,Autorun.inf,Config.sys等。其次是对服务进行管理,对系统默认的服务要有所了解,在发现有问题的服务时,可以使用Windows 2000 Server Resource Kit中的SC来删除。以上这些地方都可以用来加载DLL后门的Loader,如果我们把DLL后门Loader删除了,试问?DLL后门还怎么运行?!
通过使用上边的方法,我想大多数DLL后门都可以"现形",如果我们平时多做一些备份,那对查找DLL后门会启到事半功倍的效果。
前言
后门!相信这个词语对您来说一定不会陌生,它的危害不然而欲,但随着人们的安全意识逐步增强,又加上杀毒软件的"大力支持",使传统的后门无法在隐藏自己,任何稍微有点计算机知识的人,都知道"查端口""看进程",以便发现一些"蛛丝马迹"。所以,后门的编写者及时调整了思路,把目光放到了动态链接程序库上,也就是说,把后门做成DLL文件,然后由某一个EXE做为载体,或者使用Rundll32.exe来启动,这样就不会有进程,不开端口等特点,也就实现了进程、端口的隐藏。本文以"DLL的原理""DLL的清除""DLL的防范"为主题,并展开论述,旨在能让大家对DLL后门"快速上手",不在恐惧DLL后门。好了,进入我们的主题。
一、DLL的原理
1,动态链接程序库
动态链接程序库,全称:Dynamic Link Library,简称:DLL,作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件,需要跟其进行"动态链接";从编程的角度,应用程序需要知道DLL文件导出的API函数方可调用。由此可见,DLL文件本身并不可以运行,需要应用程序调用。正因为DLL文件运行时必须插入到应用程序的内存模块当中,这就说明了:DLL文件无法删除。这是由于Windows内部机制造成的:正在运行的程序不能关闭。所以,DLL后门由此而生!
2,DLL后门原理及特点
把一个实现了后门功能的代码写成一个DLL文件,然后插入到一个EXE文件当中,使其可以执行,这样就不需要占用进程,也就没有相对应的PID号,也就可以在任务管理器中隐藏。DLL文件本身和EXE文件相差不大,但必须使用程序(EXE)调用才能执行DLL文件。DLL文件的执行,需要EXE文件加载,但EXE想要加载DLL文件,需要知道一个DLL文件的入口函数(既DLL文件的导出函数),所以,根据DLL文件的编写标准:EXE必须执行DLL文件中的DLLMain()作为加载的条件(如同EXE的mian())。做DLL后门基本分为两种:1)把所有功能都在DLL文件中实现;2)把DLL做成一个启动文件,在需要的时候启动一个普通的EXE后门。
常见的编写方法:
(1),只有一个DLL文件
这类后门很简单,只把自己做成一个DLL文件,在注册表Run键值或其他可以被系统自动加载的地方,使用Rundll32.exe来自动启动。Rundll32.exe是什么?顾名思意,"执行32位的DLL文件"。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用Rundll32.exe启动了多少个的DLL文件。当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找到。
现在,我来介绍一下Rundll32.exe这个文件,意思上边已经说过,功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件,他的意思是"执行16位的DLL文件",这里要注意一下。在来看看Rundll32.exe使用的函数原型:
·防止黑客入侵:DLL后门完全清除方法(2)
其命令行下的使用方法为:Rundll32.exe DLLname,Functionname [Arguments]
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);
DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;[Arguments]为引出函数的具体参数。
(2),替换系统中的DLL文件
这类后门就比上边的先进了一些,它把实现了后门功能的代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时, DLL后门就启一个转发的作用,把"参数"传递给原来的DLL文件;如果遇到特殊的请求时(比如客户端),DLL后门就开始,启动并运行了。对于这类后门,把所有操作都在DLL文件中实现最为安全,但需要的编程知识也非常多,也非常不容易编写。所以,这类后门一般都是把DLL文件做成一个"启动"文件,在遇到特殊的情况下(比如客户端的请求),就启动一个普通的EXE后门;在客户端结束连接之后,把EXE后门停止,然后DLL文件进入"休息"状态,在下次客户端连接之前,都不会启动。但随着微软的"数字签名"和"文件恢复"的功能出台,这种后门已经逐步衰落。
提示:
在WINNT\system32目录下,有一个dllcache文件夹,里边存放着众多DLL文件(也包括一些重要的EXE文件),在DLL文件被非法修改之后,系统就从这里来恢复被修改的DLL文件。如果要修改某个DLL文件,首先应该把dllcache目录下的同名DLL文件删除或更名,否则系统会自动恢复。
(3),动态嵌入式
这才是DLL后门最常用的方法。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中,每个进程都有自己的私有内存空间,但还是有种种方法来进入其进程的私有内存空间,来实现动态嵌入式。由于系统的关键进程是不能终止的,所以这类后门非常隐蔽,查杀也非常困难。常见的动态嵌入式有:"挂接API""全局钩子(HOOK)""远程线程"等。
远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。当EXE载体(或Rundll32.exe)在那个被插入的进程里创建了远程线程,并命令它执行某个DLL文件时,我们的DLL后门就挂上去执行了,这里不会产生新的进程,要想让DLL后门停止,只有让这个链接DLL后门的进程终止。但如果和某些系统的关键进程链接,那就不能终止了,如果你终止了系统进程,那Windows也随即被终止!!!
·防止黑客入侵:DLL后门完全清除方法(3)
3,DLL后门的启动特性
启动DLL后门的载体EXE是不可缺少的,也是非常重要的,它被称为:Loader。如果没有Loader,那我们的DLL后门如何启动呢?因此,一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多,可以是为我们的DLL后门而专门编写的一个EXE文件;也可以是系统自带的Rundll32.exe,即使停止了Rundll32.exe,DLL后门的主体还是存在的。3721网络实名就是一个例子,虽然它并不是"真正"的后门。
二、DLL的清除
本节以三款比较有名的DLL后门例,分别为"SvchostDLL.dll""BITS.dll""QoServer.dll"。详细讲解其手工清除方法。希望大家在看过这三款DLL后门的清除方法之后,能够举一反三,灵活运用,在不惧怕DLL后门。其实,手工清除DLL后门还是比较简单的,无非就是在注册表中做文章。具体怎么做,请看下文。
1,PortLess BackDoor
这是一款功能非常强大的DLL后门程序,除了可以获得Local System权限的Shell之外,还支持如"检测克隆帐户""安装终端服务"等一系列功能(具体可以参见程序帮助),适用Windows2000/xp/2003等系统。程序使用svchost.exe来启动,平常不开端口,可以进行反向连接(最大的特点哦),对于有防火墙的主机来说,这个功能在好不过了。
在介绍清除方法之前,我们先来简单的介绍一下svchost.exe这个系统的关键服务:
Svchost只是做为服务的宿主,本身并不实现什么功能,如果需要使用Svchost来启动服务,则某个服务是以DLL形式实现的,该DLL的载体Loader指向svchost,所以,在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的,在需要启动服务的下边都有一个Parameters子键,其中的ServiceDll表明该服务由哪个DLL文件负责,并且这个DLL文件必须导出一个ServiceMain()函数,为处理服务任务提供支持。
呵呵!看了上边的理论,是不是有点蒙(我都快睡着了),别着急,我们来看看具体的内容。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs下的Parameters子键,其键值为%SystemRoot%\system32\rpcss.dll。这就说明:启动RpcSs服务时。Svchost调用WINNT\system32目录下的rpcss.dll。
注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost,里边存放着Svchost启动的组和组内的各个服务,其中netsvcs组的服务最多。要使用Svchost启动某个服务,则该服务名就会出现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下。这里有四种方法来实现:
1, 添加一个新的组,在组里添加服务名
2, 在现有组里添加服务名
3, 直接使用现有组里的一个服务名,但是本机没有安装的服务
4, 修改现有组里的现有服务,把它的ServiceDll指向自己的DLL后门
我测试的PortLess BackDoor使用的第三种方法。
好了,我想大家看完了上边的原理,一定可以想到我们清除PortLess BackDoor的方法了,对,就是在注册表的Svchost键下做文章。好,我们现在开始。
注:由于本文只是介绍清除方法,使用方法在此略过。
·防止黑客入侵:DLL后门完全清除方法(4)
后门的Loader把SvchostDLL.dll插入Svchost进程当中,所以,我们先打开Windows优化大师中的Windows进程管理2.5,查看Svchost进程中的模块信息,SvchostDLL.dll已经插入到Svchost进程中了,在根据"直接使用现有组里的一个服务名,但是本机没有安装的服务"的提示,我们可以断定,在"管理工具"—"服务"中会有一项新的服务。此服务名称为:IPRIP,由Svchost启动,-k netsvcs表示此服务包含在netsvcs服务组中。
我们把该服务停掉,然后打开注册表编辑器(开始—运行--regedit),来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP下,查看其Parameters子键。Program键的键值SvcHostDLL.exe为后门的Loader;ServiceDll的键值C:\WINNT\system32\svchostdll.dll为调用的DLL文件,这正是后门的DLL文件。现在我们删除IPRIP子键(或者用SC来删除),然后在来到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下,编辑netsvcs服务组,把49 00 70 00 72 00 69 00 70 00 00 00删除,这里对应的就是IPRIP的服务名,具体如图6所示。然后退出,重启。重启之后删除WINNT\system32目录下的后门文件即可。
2,BITS.dll
这是榕哥的作品,也是DLL后门,和SvchostDLL.dll原理基本一样,不过这里使用的是上边介绍的第四种方法,即"修改现有组里的现有服务,把它的ServiceDll指向自己的DLL后门"。换句话说,该后门修改现有的某一个服务,把其原有服务的DLL指向自己(也就是BITS.dll),这样就达到了自动加载的目的;其次,该后门没有自己的Loader,而是使用系统自带的Rundll32.exe来加载。我们还是用Windows 进程管理2.5来查看,从图7中,我们可以看到bits.dll已经插入到Svchost进程当中。
好,现在我们来看看具体的清除方法,由于该后门是修改现有服务,而我们并不知道具体是修改了哪个服务,所以,在注册表中搜索bits.dll,最后在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto下搜索到了bits.dll,查看Parameters子键下的ServiceDll,其键值为C:\WINNT\system32\bits.dll。原来,该后门把RasAuto服务原来的DLL文件替换为bits.dll了,这样来实现自动加载。知道了原因就好办了,现在我们把ServiceDll的键值修改为RasAuto服务原有的DLL文件,即%SystemRoot%\System32\rasauto.dll,退出,重启。之后删除WINNT\system32目录下的bits.dll即可。
3,NOIR--QUEEN
NOIR--QUEEN(守护者)是一个DLL后门&木马程序,服务端以DLL文件的形式插入到系统的Lsass.exe进程里,由于Lsass.exe是系统的关键进程,所以不能终止。在来介绍清除方法之前,我先介绍一下Lsass.exe进程:
这是一个本地的安全授权服务,并且它会为使用Winlogon服务的授权用户生成一个进程,如果授权是成功的,Lsass就会产生用户的进入令牌,令牌使用启动初始 的Shell。其他的由用户初始化的进程会继承这个令牌。
从上边的介绍我们就可以看出Lsass对系统的重要性,那具体怎么清除呢?请看下文。
后门在安装成功后,会在服务中添加一个名为QoSserver的服务,并把QoSserver.dll后门文件插入到Lsass进程当中,使其可以隐藏进程并自动启动。现在我们打开注册表,来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver,直接删除QoSserver键,然后重启。重启之后,我们在来到服务列表中,会看到QoSserver服务还在,但没有启动,类别是自动,我们把他修改为"已禁用";然后往上看,会发现一个服务名为AppCPI的服务,其可执行程序指向QoSserver.exe(原因后边我会说到)。我们再次打开注册表,来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppCPI,删除AppCPI键,重启,再删除QoSserver,最后删除WINNT\system32目录下的后门文件。
·防止黑客入侵:DLL后门完全清除方法(5)
本人和这个后门"搏斗"了3个多小时,重启N次。原因在于即使删除了QoSserver服务,后门还是在运行,而且服务列表中的QoSserver服务又"死灰复燃"。后来才知道原因:在我删除了QoSserver服务并重启之后,插入到Lsass进程当中的QoSserver.dll文件又恢复了QoSserver服务,并且生成了另外一个服务,即AppCPI,所以我们必须在到注册表中删除AppCPI服务才算是把该后门清除。由此可以看出,现在的后门的保护措施,真是一环扣环。
注意:在删除QoSserver服务并重启之后,恢复的QoSserver的启动类别要修改为"已禁用",否则即便删除了AppCPI服务,QoSserver服务又运行了。
三、DLL的防范
看了上边的例子,我想大家对清除DLL后门的方法有了一定的了解,但在现实中,DLL后门并不会使用默认的文件名,所以你也就不能肯定是否中了DLL后门。对于DLL后门,system32目录下是个好地方,大多数后门也是如此,所以这里要非常注意。下面我来具体介绍一下怎么发现DLL后门,希望对大家有所帮助。
1,安装好系统和所有的应用程序之后,备份system32目录下的EXE和DLL文件:打开CMD,来到WINNT\system32目录下,执行:dir *.exe>exe.txt & dir *.dll>dll.txt,这样,就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中;日后,如发现异常,可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt,其意思为使用FC命令比较两次的EXE文件和DLL文件,并将比较结果保存到exedll.txt文件中。通过这种方法,我们就可以发现多出来的EXE和DLL文件,并通过文件大小,创建时间来判断是否是DLL后门。
2,使用内存/模块工具来查看进程调用的DLL文件,比如Windows优化大师中的Windows 进程管理 2.5。这样,可以发现进程到底调用了什么DLL文件,在结合上边用FC命令比较出来的结果,又能进一步来确定是否中了DLL后门。如果没有优化大师,可以使用TaskList,这个小工具也可以显示进程调用的DLL文件,而且还有源代码,方便修改。
3,普通后门连接需要打开特定的端口,DLL后门也不例外,不管它怎么隐藏,连接的时候都需要打开端口。我们可以用netstat -an来查看所有TCP/UDP端口的连接,以发现非法连接。大家平时要对自己打开的端口心中有数,并对netstat -an中的state属性有所了解。当然,也可以使用Fport来显示端口对应的进程,这样,系统有什么不明的连接和端口,都可以尽收眼底。
4,定期检查系统自动加载的地方,比如:注册表,Winstart.bat,Autoexec.bat,win.ini,system.ini,wininit.ini,Autorun.inf,Config.sys等。其次是对服务进行管理,对系统默认的服务要有所了解,在发现有问题的服务时,可以使用Windows 2000 Server Resource Kit中的SC来删除。以上这些地方都可以用来加载DLL后门的Loader,如果我们把DLL后门Loader删除了,试问?DLL后门还怎么运行?!
通过使用上边的方法,我想大多数DLL后门都可以"现形",如果我们平时多做一些备份,那对查找DLL后门会启到事半功倍的效果。
