本人实在不爱玩这种游戏，迫于阿雅与我女人的关系，我不得不巴结她……
其实，做人就怕这个　~!＠＃￥＾&*　（魔头表生气哟）
 
【写下八个你理想伴侣的条件】

STEP1：题目【写下八个你理想伴侣的条件】。
STEP2：然后把题目丢给另外N个人，在文末附上这N个人的链接，并且到这些人的blog上留下：“你被贴了。”这N个被tag到的人，于自己的blog内注明是从哪个blogger那里受到的邀请。然后写下答案，再去贴另外N个人。如此往复。

首先要有6颗心：

1、善良的心
2、平衡的心［懂得知足常乐］
3、正直同情的心
4、责任之心
5、懂得尊重自己和他人
6、宽容之心

另外两点：
7、我看着她舒服
8、懂得享受人生
 
既然是游戏，玩就得讲规则，

虽然是害人的事儿……　我也得拖两人下水才行　哼

随风而逝(http://spaces.msn.com/members/lisan333/)被点名了；
清水无香(http://spaces.msn.com/members/wenxm2003/) 被点名了；

老纪的生活（http://spaces.msn.com/members/bywlw）被点名了

• 首先想到写一脚本实现，在找到过程中，发现现存的资源不多，并且脚本实现需要做大量的修改，如先要知道AD中联系人的关键属性值，然后在程序中调试循环操作，读取CSV或者TXT文件等……烦不烦啊
• 突然觉得CSVDE.EXE是最好的办法，因为有以前lifde.exe导入导出经验。很快地使用Address Magic,Ad explorer;再加上几个简单的Excel公司，就将原OUTLOOK使用的CSV文件转换成了CSVDE的标准格式(在excel里用到的简单文本函数midb,concatenate,substitute(x,y,""),right,left)；
• 导出规范CSV格式用：csvde -r "<objectclass=contact>" -f filename
• 导入csv为联系人用：csvde -i -f filename

另：批量修复AD对象属性的工具：Admodify 可以使用变量如displayname全部替换为abc+displayname就可直接使用abc%'displayName'%

引用

斩断木马的黑手:IceSword冰刃

　　有这么一款软件，它专为查探系统中的幕后黑手——木马和后门而设计，内部功能强大，它使用了大量新颖的内核技术，使内核级的后门一样躲无所躲，它就是——IceSword冰刃。

　　IceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。在笔者的使用中，IceSword表现很令笔者满意，绝对是一把强悍的瑞士军刀——小巧、强大。

　　1.IceSword的“防”

　　打开软件，看出什么没？有经验的用户就会发现，这把冰刃可谓独特，它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”，而并是通常所见的软件程序名(见图1)。这就是IceSword独有的随机字串标题栏，用户每次打开这把冰刃，所出现的字串都是随机生成，随机出现，都不相同(随机五位/六位字串)，这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外，你可以试着将软件的文件名改一下，比如改为killvir.exe，那么显示出来的进程名就变为了killvir.exe。现在你再试着关闭一下IceSword，是不是会弹出确认窗口？这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮，也不能结束IceSword的运行了，只能在IceSword的面前乖乖就范了。

　　2.IceSword的“攻”

　　如果IceSword只有很好的保护自身功能，并没有清除木马的能力，也不值得笔者介绍了。如果大家还记得本刊2005年第5期《如何查杀隐形木马》一文，那一定会觉得IceSword表现相当完美了。但这只所谓的隐身灰鸽子，在IceSword面前只算是小儿科的玩意。因为这只鸽子只能隐身于系统的正常模式，在系统安全模式却是再普通不过的木马。而IceSword的作者就在帮助中多次强调IceSword是专门针对功能强大的内核级后门设计的。今天，笔者通过一次经历来说明IceSword几招必杀技。
前段时间，笔者某位朋友的个人服务器(Windows 2003)，出现异常，网络流量超高，朋友使用常规方法只可以清除简单的木马，并没有解决问题，怀疑是中了更强的木马，于是找来笔者帮忙。笔者在询问了一些情况后，直接登录到系统安全模式检查，谁知也没有什么特别发现。于是笔者尝试拿出IceSword这把“瑞士军刀”……

　　第一步:打开IceSword，在窗口左侧点击“进程”按钮，查看系统当前进程。这个隐藏的“幕后黑手”马上露出马脚(见图2)，但使用系统自带的“任务管理器”是看不到些进程的。注意，IceSword默认是使用红色显示系统内隐藏程序，但IceSword若在内核模块处显示多处红色项目并不都是病毒，我们还需要作进一步的技术分析及处理。

　　别以为只是系统自带的任务管理器功能弱，未能发现。我们又用了IceSword与Process Explorer(另一款功能强大的进程查看软件)进行对比，同样也没办法发现“幕后黑手”的踪影(见图3)。

　　第二步:点击窗口左侧的“服务”按钮，来查看系统服务。这时就可以看到如图4所示的情况了，这个木马的服务也是隐藏的，怪不得笔者未能发现行踪。

　　第三步:既然看了服务，也应该查查注册表[HKEY_LOCAL_ MACHINE SYSTEM CurrentControlSet Services]的情况。反正IceSword也提供查看/编辑注册表功能，正好和系统的“注册表编辑器”也来个对比，点击窗口左侧的“注册表”标签，然后打开依次展开[HKEY_LOCAL_ MACHINESYSTEMCurrentControlSetServices]项(见图5)。真是不比不知道，一比吓一跳。看来，系统内置工具还是选择“沉默”，还记得《如何查杀隐形木马》一文吧，虽说鸽子在正常模式下，它的主服务也能隐藏，但它在系统的“注册表编辑器”内完全是显示的，更不要说目前是安全模式。仔细看看，既然已经从IceSword得到可靠情报，得知“幕后黑手”位于系统目录E:Windowssystem32wins下。

　　第四步:我们还是用系统的“资源管理器”和IceSword对比一下，点击窗口左侧的“文件”标签，结果如图6所示。“资源管理器”选择了“交白卷”。在IceSword的文件浏览器与系统的“资源管理器”明显对比下，IceSword已经发现三只“黑手”，正是因为有这只隐藏的幕后黑手，难怪朋友搞了几次，换了不同的防病毒软件还是没清干净。

　　第五步:剩下的事容易多了，在IceSword中点击“查看”标签下的“进程”按钮，右击刚刚发现的隐藏进程，选择“结束进程”。然后用IceSword删除那三个木马文件，最后，还要删除多余的服务项——那两个HackerDefender*的注册表键值即可。清理完这只“黑手”后，再使用杀毒软件重新杀一遍系统，确认没有其他的木马。

　　上面的例子充分体现了IceSword的魅力所在。正如作者所言，IceSword大量采用新颖技术，有别于其他普通进程工具，比如IceSword就可以结束除Idle进程、System进程、csrss进程这三个进程外的所有进程，就这一点，其他同类软件就是做不到的。当然有些进程也不是随便可以结束的，如系统的winlogon.exe进程，一旦杀掉后系统就崩溃了，这些也需要注意。

　　还等什么，这么好用、强悍的“瑞士军刀”，还不赶快准备一把防身？

病毒救援一周综述（8月22日--8月28日）

最近一段时间，我忽然发现使用Rootkit和类似驱动技术的病毒越来越多了，近来在很多bot病毒和一些木马程序里都看到它们携带了Rootkit这样的东西，有的是只用来隐藏病毒文件，有的还隐藏了进程，甚至启动项和服务信息，看起来以后病毒真是越来越难处理了。

一般如果遇到这类病毒，有一些经验的用户可以借助IceSword这样的工具处理，但对于新手和初级用户来说，这样手动处理的难度又加大了不少，我想还是指望反病毒软件们加强一下针对这方面的工作，把这种事交给反病毒软件来处理应该会好很多。前些日子碰巧看了些有关卡巴斯基2006的介绍，好像里面有专门针对Rootkit那样隐藏有害文件的处理，看似不错，吼吼，不过具体的还不清楚，以后有机会测试测试，还有McAfee，上次看到一个Rootkit的gen，不知道效果怎么样，没条件测试，哈哈。不过相信，随着这类东西越来越多，各反病毒公司都会陆续采取相应的措施的，所谓“上有政策，下有对策”嘛（好像不太恰当）。

在这星期里出现一串带Rootkit的bot类病毒，它们一般都是本身EXE建立服务，另外释放一个.sys的Rootkit文件（也建立服务项），.sys文件监视病毒EXE，保护病毒进程，如果病毒EXE被结束掉,.sys便会将它恢复，重新调用病毒EXE，不过好在它们都没有怎么隐藏进程和服务项，我们一般可以先删除掉它们的服务，等重启后就可以删除病毒文件了。
这里收集列举几个出现频率较多的：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSGSERVICE]
%Windows%\msgsrv.exe
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\27611]
%System%\27611.sys

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntfsdiscman]
%Windows%\ntfsprotect.exe
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hpdriver]
%System%\hpdriver.sys

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netinfo]
%Windows%\netinfo.exe
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\orans]
%System%\orans.sys
就是不知道哪天会出来一个既监视保护进程，又隐藏进程、隐藏启动项服务项的Rootkit，这样就更难处理喽。对了还有预防，一直在强调的！很重要！比什么杀毒重要多了！预防预防！预防第一！

除了Rootkit之类的，其它问题大多也还都是一些老问题，没什么好说的了，只是在大家HijackThis扫描的LOG里，这星期新发现这么一个BHO，还不知道是个啥，可能又是一个新的广告文件吧：
O2 - BHO: InsII - {88F0447D-BAC5-4aa4-B184-3781CD93D605} - %System%\iisnirb.dll

最后提一下SREng，今天写了一个帖子介绍了一些SREng的常用操作，大家可以参考看一下，主要是操作步骤和附图：
常见的SREng操作 http://bbs.db.kingsoft.com/viewthread.php?tid=555039
较HijackThis来说，SREng在某些地方更方便一些。