SoundGhost

我要崩溃了，刚刚洋洋洒洒写了一千多字Opera一崩溃啥都没了！

前几天电脑中招了，中的是镜像劫持病毒，开机后红伞被自动关闭，这个像AV终结者。高手们可以手动杀毒，像我这样的总认为自己很忙的低手还是喜欢用现成的软件，不过既然是AV终结者，当然常用的稍有名气的安全软件都是不能运行的，不过，可以改名。将360和arswp改个名字就可以运行了，接着升级了特征库之后轮番清理了几遍将这个不受欢迎的东西给解决了。

虽然我不求甚解，但是却应该找找中招的原因，否则的话类似这样的麻烦还是会不断重演。

原因是我在台式机上打算将DVD压制成H.264看看压缩率和效果，在用SubRip这个提取字幕的软件的时候没有料到这个文件里夹杂了木马，我运行的时候本来红伞已经跳出警告框拦截了，但是我认为这是误报，因为一款字幕提取软件包含病毒或者木马的情况应该很少，除非制作这个文件的人是一个爱好视频压缩的骇客。

结果因为我的侥幸心理导致了红伞接二连三地弹出警告框，直到LNS提示有个文件有联网企图时我才意识到这个文件可能真的有问题，禁止了这次的联网请求。

但是病毒已经在电脑里扎了根，红伞也不能运行了，包括其他的安全软件都是这样。关于这个“镜像劫持”，有一个很形象的解释：

所谓的镜像劫持，就是在注册表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]处新建一个以杀毒软件主程序命名的项，例如Rav.exe。然后再创建一个子键“Debugger=“C:WINDOWSsystem32driversceffen.com”。以后只要用户双击Rav.exe就会运行OSO的病毒文件ceffen.com，类似文件关联的效果。
by deyu260 QQ272873373

对付这种病毒的办法是——改程序名，然后升级病毒库再进行查杀。

另外由于我是用U盘在两台电脑之间拷贝文件，而我的笔记本又忘记关闭自动播放了，所以这也是另一个重要的原因。XP关闭自动播放功能可以有效地防止一些U盘病毒自动运行，而关闭自动运行的方法有：

• XP Pro版可以用组策略来关闭。
• XP Home版没有组策略，但是可以用第三方软件如Tweak UI来实现，XP Pro也同样可以使用这款软件。
• XP可以安装微软的更新953252和更新967715来关闭。
• 可以用导入注册表的方式来关闭（分别将下列两处虚线内的内容粘贴在记事本中另外为后缀名为reg的文件后，双击运行即可）： 

关闭所有驱动器的自动播放功能：

================================================================================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"HonorAutoRunSetting"=dword:00000001
"NoDriveTypeAutoRun"=dword:000000ff

=================================================================================

关闭除CDROM以外的驱动器自动播放功能：

=================================================================================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"HonorAutoRunSetting"=dword:00000001
"NoDriveTypeAutoRun"=dword:000000df

==================================================================================

• 还有一招是最简单的，先按住键盘上的Shift键不松手再插入U盘，这样也能够禁止自动运行。

病毒的问题解决完了，但是网络的问题却依然严峻。

华为ER5200路由器非常垃圾，QoS功能鸡肋，负载量一大就有丢包的现象，无法查看单IP地址的联网请求及管控，它能做的只有禁止。对于P2P完全没有办法。但是P2P本身是一个很好的技术，不封杀而管控才是好的解决之道。可惜的是，ER5200没有大小包策略，没有单IP管控功能。垃圾垃圾！

如今白天的每个时段网络都是那么卡，完全不像15M光纤，比512K的ADSL还慢。基于这种情况，我搬出了全部家当，用m0n0china.org论坛的修改版组装了一台软件路由器，并且设置好了QoS策略，直接接线就可以用了。可是，我日他妈，网管那个杂种他不用我的路由器，他说他明天下载一个限速软件试试看，他不想用我的软路由。

为了这个我昨天很生气，吃过晚饭很久食物都没有消化而且肚子感觉气鼓鼓的，到睡觉的时候都觉得还有东西在胃里面翻腾。

今天醒了，不气了，去他妈的吧，反正要卡一起卡，不管我的事。

既然我已经搭好了软路由，那我也不能白忙活一场，我将这个东西留在了办公室，并在库房里翻出了一台旧显示器和旧键盘，放在我的办公桌上运行着，现在我自己的机器处于另一个网段里，跟他们分道扬镳了。上外网都要先通过我这个软路由中转一次到单位的ER5200上，然后才出站，这样很好，我有事情做了，或者说有东西可玩了，我可以研究软路由，虽然这算不上生产环境。

在硬盘里，我保存着好几种不同的软路由系统，有m0n0wall、BrazilFW、FreeSco、LinTrack、海蜘蛛、RouterOS，其中关于RouterOS的资料最多，可是这里面我最陌生的也是RouterOS。

上网的时候只要看到个什么有趣的东西就开始找介绍，看完介绍以后觉得有意思了就开始四处找资料，然后就这样搜集一大堆在硬盘里放着，结果是一个都没有看，一个都没有研究。总以为这样做，好像知识都在我这里了，但实际上并非如此，我依然什么都不会，什么都不精通，用一句俗话来形容就是猴子搬包谷，而我本来就属猴，这真的是我的陋习。

现在既然条件具备了，而且我也有时间，那么就开始学习软路由系统吧，同时将学习笔记记在这里，这样才会真的有进步。

参考资料：

How Disable Autoplay?

如何禁用 Windows 中的自动运行功能

本文链接： http://www.soundghost.com/jotting-1.html