2007/08/14 23:20 | by 逍遥花主 ]
Windows Vista自身对恶意软件的防护主要是通过驱动程序数字签名、用户访问控制(UAC)和WindowsDefender来实现的,前两者对Rootkit类恶意软件的防御尤为重要。因为Rootkit的隐藏功能实现需要加载驱动,我们就先说说Vista的驱动程序加载管理:Vista驱动程序的安装加载管理和原有的Windows版本相比有较大的改进,在Microsoft的设计中,Vista不允许加载没有经过数字签名的驱动程序,而在之前的Windows2000、XP、2003系统上,系统虽然会在安装未签名或老版本驱动程序时会有提示,但安装好之后是能够加载的。
出于Microsoft意料之外的是,“有数字签名的驱动程序才能被Vista所加载”这个设定对Rootkit类的防护作用并不是很大。去年的Blackhat会议上,曾有研究人员演示过在VistaX64Beta2版本上通过修改磁盘上页面文件来加载未经数字签名的驱动程序,虽然这个漏洞稍后被Microsoft补上,但已经说明通过技术手段来突破Vista的驱动加载管理并非不可能。但要突破Vista驱动加载管理的更好途径是在数字签名本身上做功夫,之前曾有安全研究人员提到,Vista驱动程序的数字签名申请的审核并不严格,只需要有合法的申请实体,并交纳少许的申请费用即可。
这样,通过注册或借用一个公司的名义,Rootkit作者完全可以从Microsoft拿到合法的驱动数字签名,也就是说,很有可能会出现拥有Microsoft数字签名的、“合法”的Rootkit程序。攻击者还可以使用特殊的加载程序来加载没经数字签名的程序,安全公司LinchpinLabs最近就发布了一个叫做Astiv的小工具,这个工具实现的原理就是使用经过数字签名的系统组件来加载未经数字签名的驱动程序,而且用这种方式加载的驱动程序并不会出现在正常驱动程序列表中,更增强了加载目标驱动程序的隐蔽。
用户访问控制(UAC)是Vista防御恶意软件的另外一个手段
在开启了UAC的Vista系统上,用户的权限相当于被限制了的管理员权限,如果用户程序要对系统盘及注册表等地方进行修改的话,需要用户进行交互的二次确认。如果用户拒绝或者是目标程序比较特殊(比如木马、后门等)不出现UAC提示,因为对系统目录和注册表的访问被Vista所拒绝,除了极个别不写入系统目录的之外,大部分目标程序是无法安装成功的。Rootkit程序在UAC环境中同样会因为权限问题而无法安装成功,但很多情况下,攻击者会使用社会工程学的方法来诱骗用户信任攻击者所提供的程序,并在UAC提示时选择允许操作。
至此可以得出一个结论,由于WindowsVista从设计开始就很重视安全性,因此对它推出之前的Rootkit等恶意软件的防御水平到达了一个新的高度,攻击者单纯靠技术手段攻击的成功率已经比在原先的Windows2000/XP/2003平台上大为下降。但我们也应该注意到,攻击者会更多的使用社会工程手段,伪造和利用各种信任关系,欺骗用户安装恶意软件。
如何在Vista下对Rootkit类恶意程序进行防护?用户可以参考以下几点:
1、保持Vista的系统补丁版本为最新。
2、不在不可信的来源获取软件,并在安装使用时留意系统的各种提示,尤其是有关数字签名的提示。
3、注意UAC的提示信息,及时拦截试图修改系统的危险操作。
4、使用反病毒软件并保持病毒库版本为最新,为防护恶意软件多加一层保障。
5、定期使用支持Vista的反Rootkit工具对系统进行扫描检查。
2007/08/11 23:43 | by 逍遥花主 ]
打开Vista自带极光启动画面 已经试过了,效果不错下面给大家介绍具体步骤。
1)win+r输入msconfig。
截图“图一”如下:
图1 msconfig选项
2)我们选择启动,勾起无GUI启动。
3)确定。弹出如下对话框。
截图“图二”如下:
图2 是否重新启动
4)不要一高兴忘记自己的东西了,把该保存的保存了,然后“重新启动”。
5)当我们重新启动进入的时候,原来的滚动条变成了极光,下面是用白色字体写的Windows Vista正在启动。
6)如果你对上述修改之后的效果觉得不满意了,将上述步骤逆着做一遍就好了。
2007/06/22 18:57 | by 逍遥花主 ]
一、 现象篇
细心的朋友一定发现,Vista系统在执行复制或者删除操作时非常缓慢,速度上远不能和XP系统相比。甚至,就连一个非常简单的将文件删除到回收站的操作,也要我们等上老半天。
其实,这并不是说Vista在删除文件时会比XP多占用多少系统资源,而是由于操作系统在正常安装后,将默认打开一项“远程差分压缩”功能。
二、 原理篇
您可不要以为这个“远程差分压缩”是个多么深奥的技术。其实,它的原理十分简单,就是当Vista在执行远程“复制”或者“删除”操作时,预先将被操作文件压缩起来,而当操作结束后,再自动解压被操作文件,以求通过缩小文件体积来更快地在低速网络上传输。
只不过,事与愿违的是,Vista在执行“远程差分压缩”时,并不会区分此次进行的是远程操作还是本地操作。甚至,就连复制粘贴一个1KB的本地文件也要一步不落地完成整个过程。
这样一来,压缩和解压所耗费的时间就远远大于复制所需要的时间,因此也就造成了Vista在执行这类操作时,速度将远远落后于老版本XP系统的现象。
三、 解决方法
不过,知道了问题所在,解决起来就变得容易多了。要关闭Vista的“远程差分压缩”,我们只要点击“开始”菜单→“控制面板”,再通过“程序和功能”图标→“打开或关闭Windows功能”调出Vista系统功能集,取消最后一项“远程差分压缩”前面的复选框后,再点击“确定”按钮,即可成功关闭这项功能。
好了,现在我们再来复制一份文件试试吧,是不是又和以前的XP系统一样“极速狂飙”了呢。
2007/05/10 22:09 | by 逍遥花主 ]
微软和苹果合作拿出了一款补丁,最终解决了iPod播放器在Windows Vista下的兼容性问题.在Vista下,如果用户通过Windows资源管理器的弹出命令或者托盘区的安全删除硬件命令卸载iPod,就会导致 iPod出现问题.微软此前曾经就此发布过升级补丁,但没有彻底解决问题,于是就有了现在这个KB936824.
在更新KB936824后,iPod和Vista的兼容性问题就会得到根除.该补丁将在5月22日通过Windows Update提供自动更新,当然用户也可以现在就在微软下载中心手动下载.
下载:Update for Windows Vista (KB936824) - 简体中文
下载:Update for Windows XP (KB936824) - 简体中文
2007/05/09 23:44 | by 逍遥花主 ]
1、替换法
原理:用替换vista的一些许可文件的办法来用测试版序列号激活vista,是最早出现的办法
缺点:许可变为测试版,有时间限制
2、kms私服激活法
原理:不是去微软的官方服务器激活,而是去私人架设的服务器激活,也可以用vmware虚拟机自己架设激活服务器或在局域网中其它机器架设激活服务器来进行激活。
优点:激活后跟正版软件并无区别,此法微软较难封杀。
缺点:只适用于b版(商业版)和e版(企业版),并且隔6个月就要重新激活一次。而且私服存在不稳定性,说不定哪天就关了,而自己架设的话比较复杂。
3、timestop(时间停止)法
原理:vista在激活之前有30天的试用期,此法加载一个驱动(timerstop.sys),使倒计时停止在30天,从而使你避免激活,无限试用。
优点:操作简便,可以用于u版(旗舰版),无功能限制(自动更新,梦幻桌面等都可使用)
缺点:vista处于未激活状态,虽然没有功能上的限制,但是对于追求完美的人来说,会感到影响美观。并且可以预见的是,微软一定会在未来的某次升级(如sp1)之后封杀此方法。
使用方法:推荐步骤是安装vista时不输序列号,并且不勾选”联机时自动激活Windows”。装好vista后不进行任何更新,在 TimeStop.exe上点右键以管理员的身份运行TimeStop.exe,然后电脑会自动重启,完成破解。之后可以运行“slmgr.vbs- dlv”验证倒计时是否停止在30天。
点击下载timestop-v2
卸载方法:删除windowssystem32 imerstop.sys
4、刷bios法
原理:此法是将品牌机oem信息刷入你机器bios,然后可以使用oem版的vista.
优点:跟真正的oem正版没有区别
缺点:由于需要改bios、刷bios,对新手来说有难度,而且有一定危险性,并且每台机器不同,并不一定都能刷成功。
使用方法:不同主板有不同方法
卸载方法:再把bios刷回去
5、softmod,vistaloader(免刷BIOS或动态BIOS)法
原理:在启动vista之前,先往bios里添加slic的OEM验证数据,从而使vista认为你的机器为OEM的品牌机型。
优点:可以达到刷bios法的效果,而又没有刷bios的危险,操作简单。激活之后跟正版的oem vista没有区别。
缺点:每次启动时会闪过一堆字符,影响美观,也减慢启动速度(虽然只是减慢了一点点)。而且由于此法需要修改MBR来达到效果,如果你以前修改过MBR, 例如品牌机或笔记本的隐藏分区还原功能,又例如Acronis True Image的F11功能,会产生冲突导致无法启动。还有个别软件的安装,微软个别补丁的更新安装会影响到这个.主要现象是激活失败,或者不能进入系统循环重启。最后还有可能被微软封。
使用方法:(2选1)
A.使用网友做的全自动傻瓜包。
http://mirror.gochina.cn/liuhang/SoftMod.exe
http://files.xaoyo.net/picvista/vista_loader2.1.2.rar
B.不想用全自动的话,手动进行也并不麻烦,建议有一定电脑基础的朋友手动修改,毕竟自己动手心里比较明白。
卸载方法:以管理员方式运行uninstall.cmd,但是这样重启之后可能会导致vista被识别成盗版。
6、不算激活方法的方法(嘿嘿,有点像古龙大侠的《七种武器》中的“拳头”,不是武器。)
不激活,可用360天
方法是运行命令:slmgr -rearm 重置激活
这个命令可以用11次.
原理:利用微软的一个小BUG,进行推迟激活日期。
优点:不改任何的系统状态。
缺点:随时可能被微软封。
7、OEM BIOS Emulation Toolkit
原理:通过设备驱动程序ROYAL.SYS 模拟OEM BIOS ,提供ACPI_SLIC信息。
优点:操作并不太复杂(我估计几天后一定会出现全自动傻瓜包),激活之后跟正版的oem vista没有区别。
缺点:在windows下安装驱动,有可能导致系统稳定性降低,而且目前此法不支持64位vista。由于跟timestop一样也是加载驱动,很可能微软在未来的某次更新之后封杀此法。
PS:可以参考我以前这写的vista系统的激活方法总结 这贴
地址:http://blog.xaoyo.net/post/165
推荐:用方法4,因为这种方法跟真正的OEM正版毫无区别,微软也不太可能封,最多就是换一下OEM证书及OEM序号,这个网上很好搞到;其它的封了就不好弄了。但有一点要注意,刷BIOS有风险,也不见得每块主板都能改好。多参考一下网上的高手们的意见及方法。
不过大家也不要担心,相信Vista也逃不了当年WinXP的命运,达到现在的完美状态。
