笔记本回来了,内伤累累,带着复杂的心情做点简单整理。
首先我想重装系统,但也作罢,卸载软件vs重装,其实都是差不多伤机器。
1,流氓软件
正常启动已经不行了,开机后随便开个“我的电脑”都要很久,软件关不掉,强制关闭被拒绝。想正常关闭,可单是找到软件的“关闭”界面就是不小的工作量,机器很累!烫。
这些软件,都是“杀毒”“清理”“助手”自居,其实它们才是光明正大的病毒。也就是说,采用跟病毒库中的代码不同的代码,达到相似的目的。杀毒原理除了常用技术外,主要是靠代码片段的比较吧?
打开注册表,发现很多驱动,我想一一对照,可是毕竟能力有限,很多程序名字不熟,况且我是理论型人,理论未成之前,不想有任何实战,所以我就一直没有实战。所以只好放弃,一一打开程序所在目录,用它们自己的卸载软件来卸载。
我对这些卸载软件其实抱着不信任的态度,但是这毕竟只是“流氓软件”,它们不是病毒,这让我省了很大的力气。这些自带的卸载软件让我在很短的时间内,就完成了电脑的瘦身。
由此我想,为什么病毒不能像这些软件一样呢?因为病毒比较小,容易被隔离,而这些软件里外相连,成了一套体系。就像很多国外软件,用的底层其实并不多,可是自身形成庞大的结构跟算法,并作出自己的引擎,血肉丰富。以linux的参数为例,其正则表达式处理只是个基础的基础,但实际代码就令人烦躁不安!
这些庞大臃肿的流氓软件,其实有着很多的弱点。
再稍清理些驱动后,这些软件就不再复发了,毕竟,它们本意也不是想伤害你,所以这些操作对于我这个没有实际经验的人也很ok。当然还有很多残留的尸体,算了,也许以后我还会研究到它们呢。
2,特别记录下手机驱动
我只是搞不清,一个手机驱动怎么会搞到40+M,但我马上也放弃了,基本上这东西只要能用就行了。简单记录如下
要实现手机连电脑,大概需要:
user-mode driver服务,貌似是wudfHost.exe(这东西竟然没有关闭接口,令我极度反感!)
对应一个w**df**0001**的sys,名字忘记了,而且不止这一个,
wpdusb.sys和wudfrd.sys 好像也是的,这俩个明确出现在手机驱动信息里面。
ssudmdm.sys和modem.sys 是三星调制解调器的
chargefaster.sys和ssudbus.sys 是充电跟三星总线驱动?的。另外
winUSB.sys也是的 它好像是微软的usb驱动,被安卓用而已
总之我估计1-2M完全可以解决的,2M都多说了。40M可包含2,3十款不同机型
实际我在另外一台机器安装后,只有3个文件,而且并不需要开启什么user-mode driver服务
wdf01000.sys-----这是对微软驱动模型的一份hotfix
WDFLDR.SYS
WinUSB.sys
应该是已经成功了。在window目录中log文件Wdf01009Inst.log提到spmsgXP_2k3.dll、WinUSBCoInstaller2.dll、WdfCoInstaller01009.dll另外出现目录$NtUninstallWdf01009$里面是卸载驱动的文件。
这才发现半年前装过一个叫keis的三星驱动留下了一些垃圾文件。
3,新建用户
为了不产生异样,要将administrator从欢迎屏幕隐去,用新用户代之。这些操作用控制面板就很烦,直接注册表里就简明了。
首先是Windows NT的logon下UserList里加用户名,值为0就可以隐去了
然后是新用户的桌面、我的文档之类,从原来的地方剪切过来。
新用户对ntfs盘没有操作权限,但是可以新建文件夹,是完全控制的,里面就可以随意操作了
ntfs才有安全属性(关闭简单共享后可见),fat没有的。
组策略里面分为上下两个一样的区,其实前者是LOCALMachine的,后者是当前用户的。这里的操作仍然没有直接注册表来的方便。比如若想将用户A的文件夹选项隐去,注册表中可以一个一个项目的隐,组策略是一弄什么都没有了。
多用户的出现,就解释了很多现象,比如:
注册表的结构,在Windows NT的ProfileList里面,列出了所有用户,有logon用的default,有system等等,但不含aspnet等诡异账号。这样看注册表就清晰一点了,因为当前账号是无权修改localmachine的。
利用这一点,先以管理员登陆,运行ranas,使其加载用户b的配置文件,然后修改其权限。修改的时候,因为权限有继承的说法,所以显得略烦,其实从代码角度看倒还好。
改完后,用户b登录后就不能改动注册表中自己的部分了(本来是可以修改的,组策略也是可以自行修改的,所以其实无用)。
另外微软的runas工具会有错误5:拒绝访问的问题,可以研究下。
sid的特点,s-1-5-21-,管理员是500,新用户1000+
wifi需要scz跟server服务
4,网络邻居
发现一个“新”朋友fengzhuang 在 pc-20121228zryh,也可能就是我自己。