Langouster 's Blog(虾 窝)

突发灵感，发现一个卡巴的小BUG，没什么用，更没什么技术含量，高手飘过。

在开启卡巴自我防护的情况下，我们是不能在卡巴的安装写或修改文件的，但利用点小技巧还是可以绕过的。

代码如下：

奥运开完了，网络形势又变的复杂，为了防止那些Script Boy通过XSS来搞我，今天把IIS Firewall升级了下，又重新开启了访问控制。

本来那个支持IP段时候有问题，而且现在自已上网IP变数太大，经常自己想进后台也进不去，后来嫌麻烦干脆关了。

今天花了半小时搞了下，希望解决了问题。太迟了，没仔细测，但愿不会有本该访问的不让访问的情况。测试: www.langouster.com/admin

中秋节大概都去爽了，可怜一个人呆住的地方。

突然想下个瑞星2009来玩玩，不过本人搜索技术不行，没找到下载地址，只好先下个2008回来玩玩。

在虚拟机上装了，大概看了看，感觉不是太严谨，找到一个可以无视它让它形为虚设的方法。

其实也没啥意思，本意是因为开发过程中遇到点难题想看看瑞星它们怎么解决的，后来一看，它也是傻傻的而已。。。

当年的3721，如今的360。

以前N多写rootkit的转行了，现在反过来搞杀毒软件了。

用卖rootkit赚的钱，注册一个XX科技公司，然后在技术论坛发个贴“XX公司高薪诚招系统底层工程师”。

一切顺利的话，过个两月一个杀毒软件就面世了。。

平时我是用maxthon上网的，所以不知道从什么时候开始我的IE不能上网了，该查的都查了也没发现问题，就一直没管它，反正我很少用IE。

不过昨天突然发现只要开着狙剑，我的IE就能上网，想想可能中恶意程序了。比较开着狙剑时IE加载的模块和不开狙剑时IE加载的模块，没有发现差别。

又怀疑是kis的问题，于是把kis卸了，一重启，郁闷了，发现SSDT下有关注册表的全被某驱动HOOK了（装着kis的时候它不HOOK），该驱动没有全路径，找了整个windows目录也没此文件，怀疑驱动是用来把自启动项隐藏，搬出regsnap，比较恢复SSDT HOOK前后枚举到的差异，希望能以此发现它的可执行文件路径，可什么也没发现。