老婆，起床啦　劲哥哥

　核心提示：《朝鲜日报》在其26日的报道中说，今年9月，中国的《环球时报》曾在报道原“独岛”舰舰徽时显示出不满之意。该报道传到韩国后，引起网民们热烈争论。“据悉，中国政府后来曾非正式向韩国政府表示遗憾之意”。

　　磨难似乎总在鼎盛时到来。

　　“今年9月，征途私服就开始扩散了。”近日，一些资深游戏玩家向记者透露，正处于巅峰状态的巨人网络(NYSE：GA)旗下的核心产品《征途Online》正遭遇类似2002年给盛大带来巨大损失的“私服门”事件。

　　现在登录百度搜索“征途私服”即能发现，提供征途私服下载的相关“联盟”和“集中营”公开销售已在网络上大规模铺开，而提供最新下载的服务还在连续推出。

　　11月21日，记者浏览百度，分列用户“征途私服”相关关键词搜索排名前几位的还有——“新开征途私服”、“最新征途私服”、“网通征途私服”、“征途私服外挂”等。

　　“私服”是指未经版权拥有者授权、非法获得服务器端安装程序后设立的网络服务器，本质上属网络盗版。对网游运营商来说，“私服”又叫“服务端的流失”——通常，服务端由游戏公司控制，而一经流失，则会导致运营商利润被直接分流的后果。

　　2002年，盛大因流散在外数目将近百万的《传奇》私服损失惨重；而九城引进的第一款国外游戏大作《奇迹》，也已成为私服遍地下的牺牲品。

　　此次“征途私服门”是否也会给“巨人”带来不可承受之重？

　　“这是史玉柱的心头痛。”消息人士透露，早在几个月前，史玉柱就已向公安部门报案。不过，由于严格控制，该消息一直未在游戏圈外流传。

　　分析人士认为，自今年11月1日登录纽交所后，巨人公司的表现一直欠佳。上述消息可能会对巨人股价产生进一步影响。

　　一个程序员和一个黑客群的故事

　　目前，事情的来龙去脉仍十分隐秘。但有确凿证据显示，现年29岁的王予川是始作俑者之一。

　　事实上，王予川本为巨人公司的一位程序员。2006年3月至6月，王予川私自复制了《征途Online》网络游戏的服务端源代码、客户端源代码及辅助文档。

　　2007年3月，离职后的王予川觉得资金紧张，便以网名“阿King”到网上发帖出售《征途Online》源代码。

　　近日，上海市徐汇法院开庭审理了这起涉及犯罪的侵犯网络游戏著作权案。法庭信息显示，在今年3月15日、30日，王予川将游戏源代码先后卖给了王岩等人，共得款13万元。

　　到了4月4日，买主王岩和朋友汤帅结伙在南京市某旅馆客房内以20万元的价格将《征途Online》游戏源代码出售，没想到一出门就被公安人赃俱获。

　　公诉机关认为，王予川违法所得数额较大，应以侵犯著作权罪追究刑事责任；而王岩、汤帅出售侵权复制品，违法所得数额巨大，也应以销售侵权复制品罪追究刑事责任。法院将择日对此案判决。

　　对源代码的围剿似乎取得了成功，但今年夏季黑客组织的出现，再次打破了史玉柱的宁静。

　　对此，游戏圈内流传的一个版本是：今年暑假有一个黑客组织约3-5人规模，在一次黑了征途的官网后，成功窃取《征途Online》服务端的程序。

　　而为避免自身目标过于明显，他们想出了一个“聪明”的办法，即将客户端免费发布到网络上，以和其它人一起赚取史玉柱利润——虽然自己的获利可能减少，但隐秘可以带来安全。

　　这正是造成目前征途私服开始扩散的重要原因。

　　史玉柱损失和源代码隐患

　　鉴于目前巨人公司只有一款《征途Online》，其第二款网游《巨人》要下季度才能公测，业内人士认为，“私服门事件”对史玉柱至关重要：“如果征途私服的道具比官网卖得便宜，那么对巨人公司将造成很大伤害。”

　　前车之鉴是2002年曾饱受其害的盛大。当时为保证现有用户不流失，以及将进入私服游戏的用户拉回盛大平台，盛大不得不选择向用户免费赠送两周的游戏时间，并在私服出现前快速架设服务器，当时的速度是每星期8组至12组。而仅此两项，盛大在不到两个月的损失就超过了4000万元。

　　在私服问题较严重的地方，盛大还加大了与当地电信等部门的合作，多开几组服务器以杜绝当地有资源的电信部门联合“私服”业者，使其没有良好的硬件资源。

　　“传奇私服猖獗时，有近百万规模，盛大甚至动用了与各地私服方分成借以收编的补救方式。”业内人士透露，此后九城的《奇迹》更加悲惨，“后来官网上的玩家几乎全跑到了私服上”。

　　不过，《征途Online》的独特模式为自己争取了一些主动。

　　与盛大的Windonws服务器架构不同，《征途Online》为Linux的服务器架构，“这决定私服的服务器架构也必须是该系统，而该系统市场应用还不广泛，也在一定程度上会限制征途私服的泛滥”。

　　有资深玩家透露，今夏开始的征途私服扩散，截至目前可能还只在数千左右。

IT.com.cn

　　随着计算机感染和威胁每天都在发展，安全公司正在努力设计能够将它们全部阻截的新技术。但是我们不得不承认，这一切很难实现。安全厂商McAfee今天发布了明年计算机感染的十项预报，指出Web 2.0攻击将在明年出现大幅上升。

　　McAfee Avert Labs和产品开发部门高级副总裁杰夫·格林说：“安全威胁正逐渐地转移到网络，并且转移向更新的技术，比如VoIP和即时通讯。专业的和有组织的犯罪分子不断发起大量恶意活动。随着他们变得不断老练，遨游互联网时需要比以往更加谨慎。”

　　下面是McAfee所预测的2008年十大安全威胁：

　　1、Web 2.0攻击——随着越来越多的用户寻找这种类型的网站，攻击者们调整他们的方案，并试图通过这些页面引导恶意攻击和其他恶意行为。Salesforce和MySpace攻击相当具有典型性——它们都针对用户的登陆凭证。

　　2、蠕虫攻击——一起最近被发现并标识为“蠕虫”的安全威胁，透露出与我们计算机相关的恶意攻击的一个新趋势：永久性地改变代码和许多文件格式，使我们的安全技术的阻截和移除过程变得非常困难。

　　3、即时通讯攻击——即时通讯持续升温已经不再是什么秘密，大量互联网用户选择雅虎通、Windows Live或QQ在网络上进行通讯。文件传输，Webcam支持和许多其他功能的闪亮登场，使即时通讯服务越来越吸引人。这也正是为何针对这些应用程序的攻击大量出现的原因。黑客们通过钓鱼网站，窃取用户的登陆凭证。被黑客窃取的信息然后将被用来向被攻击者联系人发送信息，从而扩大攻击。

　　4、在线游戏攻击——在线游戏不仅是互联网上一项极受欢迎的活动，同时还是大量公司主要的收入来源，因为注册成员可以花钱购买游戏中所使用的虚拟货物。攻击者可能会被这些可以用来获得实际金钱的虚拟货物所吸引。

　　5、Windows Vista攻击——最新版本的微软Windows操作系统就和早先版本一样，或多或少受高危漏洞影响。和往常一样，攻击者试图利用这些漏洞，并向受影响系统中植入恶意软件或其他威胁。

　　6、广告软件攻击——即使由于安全工具越来越强大，广告软件如今正在持续减少，但McAfee还是将其列为一个重要的安全威胁。

　　7、钓鱼攻击——钓鱼攻击一直以来都是非常奏效，因为他们通常拷贝正规网站，诱使用户输入他们的敏感信息。由于发起这种攻击的技术正在不断增加，因此钓鱼攻击可能在明年成为十大攻击之首。

　　8、寄生攻击——这种攻击非常危险，因为它试图修改存储在磁盘中的文件——“向其寄生的文件中植入代码”。McAfee解释道：“我们将持续关注犯罪软件社区的寄生现象，而2008年寄生恶意软件的数量将上升20%。”

　　9、虚拟化将帮助新类型攻击——“安全厂商欢迎虚拟化，因为它将可以帮助创建更多弹性防守。如今复杂的安全威胁将可以很轻易地防御，但研究人员，专业黑客和恶意软件作者将开始寻找攻陷新防御技术的方式，继续一场猫和老鼠的经典游戏。”

　　10、VoIP公司——由于这种类型的软件工具受欢迎度持续攀高，相应攻击也将大量增加，McAfee认为其数量在2008年将会上升近50%。

金融界网站

　　综合当地主要英文传媒11月21日消息，巴林ZAIN电信公司首席执行官萨德.巴拉克博士（DR SAAD AL BARAAK）在日前在此举行的“第三届中东国土和全球安全论坛”发言指出，黑客攻击造成全球电信运营商每天损失4000亿美元，相当于每天收入的10% -15%，他督促中东地区的安保当局重视这个问题，并与信息安全服务商商讨解决办法。

赛迪网
【赛迪网讯】11月23日消息，剑桥大学计算机实验室的安全研究人员史蒂文上周五在其博客中写道，他发现Google的搜索引擎可以用来破解MD5哈希密码。
据国外媒体报道称，数周前，有人“闯进”了史蒂文的博客站点，并创建了一个用户帐户。在迅速关闭这一流氓帐户后，他还进行了一些有趣的研究工作，希望能够找出黑客的密码。
由于史蒂文的博客站点使用Wordpress，密码以MD5哈希码的形式存储在用户数据库中，他尝试了字典攻击方法。即使在单词后面添加数字，他也没有找到用户的密码。然后他又尝试了一本俄语词典，因为黑客的评论中使用了俄语。但史蒂文仍然一无所获。
史蒂文表示，他可以找到或编写更好的密码破译软件，可以使用不同的字符集、增添符号等，但他不愿意再多浪费时间了，于是转向了Google。
史蒂文在Google的搜索引擎中对黑客密码的原始MD5哈希码进行了搜索， Google找到了一些搜索结果。一个是“安东尼”姓人的基因网页，另一个是昵称为“安东尼”的用户投放的房地产广告网页。史蒂文说，“Anthony” 的MD5哈希码是黑客访问数据库的条目，我发现了他的密码。
史蒂文表示，Google充当了哈希原象发现者的角色。Google发挥了它最擅长的本领━━存储大量数据库、并对它们进行搜索，我怀疑Google想到了自己的这种用途。

受影响系统：
phpMyAdmin phpMyAdmin 2.11.2.1
不受影响系统：
phpMyAdmin phpMyAdmin 2.11.2.2
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 26513

phpMyAdmin是用PHP编写的工具，用于通过WEB管理MySQL。

phpMyAdmin处理用户请求时存在输入验证漏洞，远程攻击者可能利用此漏洞在用户浏览器中执行恶意代码。

phpMyAdmin登录页面的index.php文件中没有验证对convcharset参数的输入，如果用户提交了恶意的URL请求的话就可能导致执行跨站脚本。

$ grep -n convcharset libraries/auth/cookie.auth.lib.php
48: * @uses $GLOBALS[convcharset]
236: <input type="hidden" name="convcharset" value="<?php echo $GLOBALS[convcharset]; ?>" />

<*来源：Tim Brown （securityfocus@machine.org.uk）

链接：http://www.sms55.cn/reg.htmhttp://www.nth-dimension.org.uk/pub/NDSA20071119.txt.asc
http://www.sms55.cn/reg.htmhttp://secunia.com/advisories/27748/
http://www.sms55.cn/reg.htmhttp://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2007-8
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

phpMyAdmin
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.sms55.cn/reg.htmhttp://downloads.sourceforge.net/phpmyadmin/phpMyAdmin-2.11.2.2-all-languages.tar.gz

　　近日，中国最大独立第三方网上支付平台——支付宝宣布将全力支持阿里妈妈，为中国上亿的博客解决收款问题，彻底打破个人支付、交易及信用“瓶颈”。同时支付宝总裁陆兆禧宣布，将通过阿里妈妈平台采购1000万元的网站广告，全力支持广大中小网站和博客的发展。
　　阿里巴巴集团11月20日正式宣布进军网络广告市场，推出网络广告交易网站阿里妈妈（http://www.sms55.cn/reg.htmwww.alimama.com)。由于创新地集成支付宝收付款方式，阿里妈妈已成为数百万个人网站和近1亿“博主”的“淘金”平台。业内人士认为，这将成为广告发展历程中最具革命性的措施，草根网民首次大规模迎来收益，涉及受众将达上亿。该模式推广下去，我们身边每10个人，或许就有会有一个人通过阿里妈妈获得广告收益。广告买卖双方通过支付宝收付款，不但有效地解决了网络交易的诚信难题，长期困扰买卖双方的小额广告资金支付的问题也得到解决。
　　支付宝网站还表示，将通过阿里妈妈平台采购1000万元的网站广告，全力支持广大中小网站和博客的发展。 据支付宝公司总裁陆兆禧表示，他们刚刚启动了旨在改善互联网信任环境的大型公益活动——“支付宝互联网信任计划”，希望通过阿里妈妈的广告交易平台，挑选一些质量好的合适的小网站和个人博客投放关于信任计划的网络广告，让更多人了解这一计划，同时也希望能够给国内众多的个人博客一个盈利的方式，帮助更多诚信的中小网站以及个人通过阿里妈妈，传递诚信和信任，并实现自己的价值。
　　支付宝相关负责人表示：“支付宝目前实行实名制认证，阿里妈妈会员帐户将和支付宝帐户绑定，一方面为用户提供简单、快捷的结算服务，即使再少的钱也能结算，同时支付宝特有的中介担保交易模式同样适用于广告交易平台，使得阿里妈妈的交易模式更为公正和透明；另一方面支付宝的诚信机制也将融入到阿里妈妈中，支付宝企业和个人所积累的信用数据，也将成为投放商选择诚信广告主时的一个重要标准。”
　　据悉，任何网站和个人可以自主把网站的某一个位置规划出来作为广告位置，然后拿到阿里妈妈上面去卖。任何一个广告商只要看得上，都可以去阿里妈妈上面购买这个位置的广告。购买的费用直接通过支付宝支付给卖家，不论广告金额的多少，“哪怕只是一元甚至更低的广告位都可以在阿里妈妈网站上交易，并可使用阿里旗下的支付宝付账。”阿里妈妈相关人士表示。目前，阿里妈妈提供两种模式，一种是按每次点击付费，另外一种就是根据展示时长付费，比如是1元/周。
　　阿里巴巴集团新闻发言人金建杭说，阿里妈妈为中国数千万中小企业和中小网站提供了一个非常切合实际的商业模式和收入模式。
　　2007年8月10日正式上线的阿里妈妈网站已汇集了超过15万家中小网站和超过13.5万的个人博客站点，超过38万个广告位，注册会员超过100万，覆盖中小网站总流量超过10亿PV/天，一举成为中国最大的网上广告交易平台；目前，阿里妈妈仍以惊人的速度增长，每天新增近4000家中小网站，新增1万名个人博客，新增2万余广告位。
　　已经在其博客上投放广告的知名IT博客作者布棉（http://www.sms55.cn/reg.htmhttp://www.xucx.com/blog/）表示，阿里妈妈的出现，为中小网站（包括博客和论坛）站长提供了一个赚钱的机会。和以前的短信、广告联盟等不同的是，阿里妈妈提供了自我定价和广告审核，从而让广告主和网站之间的关系更和谐。在这里，作为个人博客或网站站长，不仅可以出售自己的广告位，也可以购买认为不错的广告位，为自己的网站做宣传。
　　去年8月，支付宝就曾与博客网合作开通“博客金行”。选择开通博客金行的博客用户，博客网将在其博客页面上挂出相应的广告。广告主把广告费投给网站，网站按一定比例和博客用户分账。相关人士认为，阿里妈妈平台的推出将进一步扩大博客受众群体的数量，使得“博主”的受益更加透明化。
　　2003年，淘宝网的推出使得国内网上交易之风大盛，对于当时在网上做生意的网民来说，大部分都是个体性质，买家最大的障碍也是卖家最大的障碍———买卖双方都怀疑彼此的信用。这个时候，支付宝于当年推向市场，以信用担保来解决买卖双方在交易上的诚信问题。在交易过程中，支付宝作为诚信、中立的第三方机构，提出了“你敢用，我敢赔”的6字真言，起到了保障货款安全及维护买卖双方利益的作用，如今网上个人交易几乎言必提支付宝。最新数据显示，截止2007年11月19日，使用支付宝的用户已经超过5600万，几乎每三个网民中就有一个持有支付宝账户。
　　互联网分析人士蚂蚁网CEO麦田认为，阿里妈妈用的是“淘宝”那样的站方免费模式，是一种广告的C2C，领先于包括百度联盟在内的传统网站联盟模式。咨询机构艾瑞认为，阿里妈妈将广告交易进一步平民化，将广告交易的主动权交由中小企业甚至个人用户，加上支付宝补全支付环节，完整的筑建了中小广告主和中小广告媒体之间双向选择的顺畅通路。
　　数据显示，目前中国博客用户(Blogger)将接近1亿，同比增长65%，由于目前博客服务的盈利模式尚不清晰，BSP都是免费提供博客服务，同时也在积极探索博客的盈利模式，普遍认为，广告仍是博客产业链的重要组成部分，也是博客服务商主要的盈利模式。

最新统计显示，Google继续在美国搜索市场上攻城掠地，不断提升着自己的市场份额，而其竞争对手则纷纷丢失地盘。

据ComScore统计，Google在9月份的美国搜索市场上占据了57.0％的份额，而10月份提升至58.5％，并有望在年内突破60％大关。

相比之下，Google的竞争对手们日子就很不好过了：位列第二的雅虎丢失了0.8个百分点，仅有22.9％；微软MSN损失0.6个百分点后已经只剩9.7％，还不到一成；Ask.com和时代华纳(含AOL)则分别有4.7％和4.2％，其中后者下滑0.1个百分点。

另外，Google股价近日来正在缓慢回升，但仍会返回700美元之上，现在只有660美元，距离月初的最高峰还差近80美元。

已经有不少同学用上了Windows Live Messenger 9.0 Beta，微软内部人员也公布了这个新版MSN的重要更新列表：
1.支持MPOP（Multiple Points Of Presence，多点登录），也就是说，你可以在不同的地点、不同的PC上同时登陆使用LIVE Messenger 9.0，在此之外，新登录将导致原登录线程中止
2.添加签名提示音
3.添加联系人动作提示音
4.动态显示图片——支持.gif图片
5.状态栏支持URL——现在这些链接可以点击打开了
6.支持SPIM——你可以向微软汇报、屏蔽那些发送Spam垃圾信息的账户

Google第一美女高管Marisa Mayer近日披露，为了让搜索用户“感到幸运”，Google每年损失的广告收入高达1亿1000万美元。
“I am Feeling Lucky”（谷歌中为“手气不错”）是Google首页搜索框中最显眼的两个按键之一（另一个自然是“Search”），用户如果在搜索中选择按下这个按键，将会被直接带到Google认为“最准确”的搜索结果，节约你的搜索时间。
不过，这项小功能对于Google来说其实直接导致收入的降低——用户将没有机会看到搜索序列旁的广告，从而点击为Google带来收入。
虽然只有大约1%的用户会采用“手气不错”进行搜索，根据Google估测，这1%的流失会为Google每年的广告总收入带来1亿1000万美金损失——“手气不错”也就成为了Google首页上代价最高的按键。

　　微软近日公布最新信息安全更新，公布了2项新的安全性公告。以下摘要为赛门铁克就此次安全更新中的关键问题所做出的评估。
　　Windows URI Handling (KB943460) 漏洞能够导致远程代码执行
　　该安全公告被列为严重性级别，因其能够影响IE浏览器7处理特定URI的方式。该漏洞存在于Windows Shell中，是由IE浏览器和Windows Shell之间的交互所引起的。一旦成功利用该漏洞，攻击者便可远程执行命令。有可能受到影响的用户是由于在Windows XP或Server 2003上运行了IE浏览器7，但修复方案目前已可为所有Windows XP和Server 2003用户所采用。
　　DNS (KB941672) 漏洞能够导致诈欺
　　Windows DNS Server服务的远程漏洞被列为严重性，因其能够允许攻击者对于DNS的请求发出诈欺响应。这种诈欺能够使攻击者模仿合法响应，从而影响DNS存储，将网络流量从合法网站导向攻击者控制的位置。
　　赛门铁克安全响应中心高级研究经理Ben Greenbaum表示：“Windows URI漏洞十分严重因其能够使计算机用户面临风险。另外，我们发现DNS诈欺漏洞也应引起足够关注，因其能够允许攻击者将受影响的用户导向网页仿冒网站， 而无需采用任何网页仿冒电子邮件作为诱饵。

　　德国内政部17日证实，德国有关部门正在招聘电脑高手，目的是让他们研发被称为“白帽”的电脑病毒，以侵入恐怖分子的电脑，窃取相关资料，防止恐怖袭击的发生。
　　据德新社报道，德国法院今年2月曾宣布互联网监视行为需要法律授权，但现在德国联邦刑事警察局已被告知可以继续此类行动，并为此聘用两名电脑专家，因为“研发远程司法软件时间十分紧迫”。
　　但一些反对派人士认为，通过远程监控并把病毒“植入”潜在恐怖分子电脑的行为会侵犯公民的自由权，这和电脑黑客所干的勾当并无二致。

　　德国内政部17日证实，德国有关部门正在招聘电脑高手，目的是让他们研发被称为“白帽”的电脑病毒，以侵入恐怖分子的电脑，窃取相关资料，防止恐怖袭击的发生。
　　据德新社报道，德国法院今年2月曾宣布互联网监视行为需要法律授权，但现在德国联邦刑事警察局已被告知可以继续此类行动，并为此聘用两名电脑专家，因为“研发远程司法软件时间十分紧迫”。
　　但一些反对派人士认为，通过远程监控并把病毒“植入”潜在恐怖分子电脑的行为会侵犯公民的自由权，这和电脑黑客所干的勾当并无二致。

　　曾经跌倒的“巨人”史玉柱如今通过“脑白金”的积累在“征途”上又站了起来。凭借跌宕起落的精彩历程，已然被美化为个人奋斗形象代言人的史玉柱已经听不见昨日踉跄时那些如芒在背的尖锐声音，所见所闻皆为一片赞誉，敲锣打鼓披红挂彩，一些社会的良心——记者、专家甚至发出了类似这样的感慨：中国应该多几个像史玉柱这样的人。言下之意，跌倒后爬起还能发大财的史玉柱应该得到全社会的普遍接受和效仿，要么成为赚钱楷模，要么干脆把史玉柱拉去给赵宝刚最新青春励志大戏《奋斗》做男主角。
　　讨论史玉柱发财的任何意义都没太大意思，一是说的太多，再精彩的电视剧连着放两个月，谁都会看见就调台；二是效仿度确实很低，像史玉柱一样发财不是一场换件衣服，画个彩妆就能搞定的cosplay，齐白石说“学我者生，似我者死，”结果几十年了，死了一堆画家，愣没几个活着的，足见沿袭偶像脚步成功的几率是多么地低；第三，史玉柱的成功真没什么好说的，在一个连劳诗丹顿都能卖的不错的国度里，糖水卖出一百多块一斤的事情根本不能算是荒谬的，在游戏里以践踏公平原则为卖点自然也就没什么可非议的地方，只要你能赚钱，民营企业的原罪都可以赦免，这点瑕疵又算什么？瑕不掩瑜，成王败寇这些词很能说明几千年来我们的价值取向。当然了，即便如此，对于一些记者、专家所说的“中国应该多几个像史玉柱这样的人”还是别实现的好，几亿人手握脑白金，砸钱在网游里找人生价值的日常生活会让国际友人笑咱们蒙昧无知的。
　　抛开史玉柱不表，说说这么多年来媒体对于他的评判标准，这是最让人值得咀嚼的地方，不明白it媒体为何也搞的和娱乐圈的名利场一样如倒伏的麦穗般没有立场，人一倒霉，什么坏话都来了，人一走鸿运，溢美之辞又让人犯晕，一分为二看问题的基本思想在现在的it媒体这儿如同一张废纸，反正读者想看正常的新闻是没什么机会。媒体说杀，随之而来的就是一阵震耳欲聋的“威武”；媒体说捧，那基本上就是一贴你high我也high的壮阳药。更令人感到羞耻的是，是杀还是捧都和广告有关，有钱人得捧着，落魄的就痛打，谁要捧不起钱场的，那就只好把你当猴耍赚点人场。媒体这样的表现和现实压力无关，只是媚骨又一次忍不住发抖而已。
　　昨天巨人坍塌时的毁誉是冰冷的海水，呛人；今天征途得胜虽是温暖的火焰，估计被吹捧者也是脊背发凉，肉麻话会让人不舒服，两种感觉都不好受，在这冷热交替的世态人情中，从跌倒处站起的史玉柱应该是很能体会个中滋味的——媒体根本就是把自个当成把冬藏夏取的扇子，有利可图时一阵猛夸，不需要了，赶紧束之高阁。
　　不管史玉柱的各项生意对社会产生了什么样的意义，事情就是如此，这本也符合新闻的定义，追逐新近发生的有价值的事。但是追着追着，喊惯了杀和捧的媒体人会以为自己真是一呼百应的意见领袖，看这不平，看那不爽，这儿指指，那儿点点，一派自命不凡的样子，实质上他们什么也不是，就是一个在别人手底下靠摇笔杆子混饭吃的it媒体从业者，挺悲哀的。无数电影告诉我们，抛头露面指点江山的角色基本上不是律师就是替死鬼。所以当一些记者、专家以纵览全局的俯视姿态说下“中国应该多几个像史玉柱这样的人”时，我隐约觉得说这话的哪是记者、专家，分明是向底下黑压压的群众挥手致意的领袖啊，而且这个领袖说话的依据只是赚钱与否，赚的什么钱、如何赚的钱却避而不谈，好话说遍，丑话不语，这叫啥领袖，充什么大尾巴狼。
　　应该……在这个颐指气使的句式后面往往都潜藏着一层转折的含义，好像不按着记者、专家们指名的道路前行就根本行不通。可现实是无情的，说这些话的人忘记了自己根本不是站在瞭望台上的船长，只是站在岸边说现成话的食客，他们除了依据现状说点不疼不痒的话之外，根本不具备洞若观火的通透预见力，说白了都是些事后诸葛亮。
　　应该，这个词的位置太高，居高临下的让人有压迫感。“应该”在这儿其实应该这么理解，中国是否多几个史玉柱根本不重要，这玩意不是两针红色素就能催熟的西瓜，应该是应不来的，当下it圈最应该就是少几个只会吹拉弹唱的事后马屁精，召之即来，挥之即去的马屁精不值钱，腆着脸事后大唱赞歌的马屁精更不值钱，还是少点为好，省的扰人心烦。

目录：
反主动防御rootkit的产生背景及其必要性
反网络访问主动防御
反API钩子进程行为主动防御
反系统Notify进程行为主动防御
绕过监控进入ring0安装驱动
实用级反主动防御rootkit的通用性问题


反主动防御rootkit的产生背景及其必要性
        当前随着新型木马，病毒，间谍软件对网络安全的威胁日益加重，传统的特征查杀型的安全产品和简单的封包过滤型防火墙已不能有效保护用户，因此各大安全公司纷纷推出自己的主动防御型安全产品，例如卡巴斯基kis6，mcafee8.5i，ZoneAlarm Pro等，这些产品应对未知的病毒木马都有很好的效果，若非针对性的作过设计的木马和rootkit，根本无法穿越其高级别防御。因此，反主动防御技术，作为矛和盾的另一方，自然被渗透者们提上日程；由于主动防御安全产品的迅速普及，为了不使后门木马被弹框报警，具有反主动防御能力的rootkit成为了一种必然选择。


反网络访问主动防御
        几乎现在每个防火墙都具有应用程序访问网络限制功能。一个未知的程序反弹连接到外网，或者是在本地监听端口，基本上都会引起报警。而且对系统进程的行为也有了比较严格的审查，原先的注射代码到winlogon等系统进程，在向外反弹连接的方法，很多主动防御软件都会阻止了。
        很多防火墙的应用程序访问网络限制，都可以通过摘除tcpip.sys上面的过滤驱动，并还原tcpip.sys的Dispatch Routines来绕过。据称这是因为在ndis层次取得进程id不方便而导致的。但是如果在一个实用级的rootkit里应用此方法则是不智之举，因为存在部分防火墙，如ZoneAlarm，其ndis过滤层必须和tdi过滤层协同工作，才会放行网络连接。至于ndis层次的中间层驱动的摘除，和NDIS_OPEN_BLOCK的还原，则是一项不太可能完成的任务，因为无法从原始文件中读取的方法，获得NDIS_OPEN_BLOCK的原始值；即使能够成功恢复ndis钩子，也不能保证系统可以正常运行，很可能会出现各种不明症状。
        到现在为止，绕过应用程序访问网络限制最好的选择，还是那两个：简单的一个，注射代码到一个ie进程，用它反弹连接出来，访问外网；复杂的选择则是应用内核驱动，如ndis hook/添加新的ndis protocol，来实现端口复用，或者使用tdi client driver反弹连接。已经有很多木马和rootkit使用前者，因其简单易行，在实际开发中工程量小，出现问题的可能性也少得多，产品成熟的时间代价也小。但是目前很多的主动防御已经注意到这一点，并且在程序行为监控中严密防范了其他程序对ie的感染行为。

    如图，想要使用僵尸IE访问网络的木马被拦截


反API钩子进程行为主动防御
        接下来是主动防御系统的很重要的一部分：进程行为监控。该部分主动防御软件一般通过两种解决方案来执行，一是API钩子，二是windows支持的notify routine。
        大量的主动防御安全软件，如KIS6，ZoneAlarm Pro，使用API钩子来监控进程的危险行为。如注射远程线程，启动傀儡IE，加载驱动，注册服务，修改敏感系统注册表键值等。但是作为一个rootkit，完全绕过这些操作，基本上是不可能的；于是摆放在面前的任务，就是如何击败这种主动防御。
        对于特定种类的监控，总是有特定的方法可以绕过。比如注射远程线程，如果常用的CreateRemoteThread被监控了，可以尝试采用Debug API， SetThreadContext的方法绕过，也可以尝试采用hook其ntdll!ZwYieldExecution等频繁调用的函数来装载自己的DLL模块。 注册表监控，我的朋友xyzreg曾经写过系列文章，提出了很多种方法，包括RegSaveKey, Hive编辑等方法绕过卡巴斯基的注册表监控，其Hive编辑的方法目前仍未能有任何主动防御系统拦截。
        但是从一个通用型，为实战设计的实用型rootkit来说，采用这些特定的技术并不是一个非常好的选择；因为这些技术可以保证对付一个主动防御软件，却不能保证通用，甚至通用性很差。而且针对每一个可能被主动防御拦截的行为，都采用一套特定的绕过技术，从工程代价上来讲，太过巨大，开发耗时，等其成熟更是不知道要多少时间来测试和更改。因此我们需要的一个相对涵盖范围广，能够解决绝大多数主动防御技术的解决方案。
        针对API钩子实现的进程行为监控，一个较好的通用解决方案就是卸载所有安全软件所安装的API钩子。为兼容性和稳定起见，几乎所有的安全软件在安装API钩子时都会选择hook SSDT表，例如KIS6，ZoneAlarm Pro。我们如果能够进入ring0，就可以使用一个驱动程序，读取系统文件ntoskrnl.exe/ntkrnlpa.exe/ntkrpamp.exe，从中提出我们所希望的SSDT表的原始函数地址，替换被安全软件hook的地址，用此方法可以通用性很好的解决绝大多数的API钩子实现的进程行为监控。不过此方法有一个前提，就是事先必须绕过监控进入ring0。关于如何实现此前提，请阅读第五部分，“绕过监控进入ring0安装驱动”。
   
    如图，ZoneAlarm Pro更改了大量的SSDT函数地址来监控程序行为。



反系统Notify进程行为主动防御
        部分主动防御安全软件不仅仅是用API钩子，同时使用了微软提供的Notify Routine，来监视进程的行为。使用该技术的安全软件不是太多，但是也不至于少到一个实用级别rootkit可以忽略的程度。
        以下几个微软DDK函数，PsSetCreateProcessNotifyRoutine，PsSetCreateThreadNotifyRoutine，PsSetLoadImageNotifyRoutine，被用作支持主动防御软件监控新进程的建立，新线程的建立，和一个新的模块被加载。处理该种类型的防御不能简单的清空NotifyRoutine就完事，因为系统本身，还有一些第三方正常模块和驱动，可能添加和使用该链表。
        解决方案，一是可以先将使用了该技术的主动防御系统的驱动程序模块做一个列表出来，然后遍历这三条链表，找出地址指向这些驱动模块的项，再将这些项删除脱链。但是这需要对大量主动防御系统的研究和测试，并且通用型也不好。第二种方法，由于Notify Routine的监控力度要远弱于API钩子，因此在纯ring3将程序做一些小的改动，就可以越过这种类型的监控。
        另外还有几个SDK函数，可以提供对文件和注册表的更改的notify。不能排除也有部分主动防御软件使用了它们。例如国产的超级巡警(AST.exe)，使用了RegNotifyChangeKeyValue，做了对注册表敏感键值修改的事后警告提示。如果仅仅使用了API钩子清除技术，那么在此时就会被AST报警。和以上介绍的三个内核notify类似的也是，有不少正常的notify在被使用，不分青红皂白的全部卸载，会导致系统异常。
        因此可见，Notify类监控虽然使用的不多，但是其对付的难度和需要的工程量，比API监控还要大。

    如图，已经处理了API钩子监控的rootkit仍然被notify方式的AST报警。


绕过监控进入ring0安装驱动
        这部分是重中之重。由于几乎每个主动防御系统都会监控未知驱动的加载和试图进入ring0的举动， 而我们在第一，第二和第三部分绕过主动防御要做的处理，都必须需要ring0权限。因此监控进入ring0，是一个独立的话题，也是我们实现前三个部分需要的条件。
        直接添加注册表项，ZwLoadDriver安装驱动，是几乎要被任何主动防御系统报警。必须要采用一些隐蔽的或者是为人不知的方法。总结目前已经公布出来的进入ring0的办法，
有以下几种：
        感染文件，例如win32k.sys，添加自己的代码到里面，启动的时候就会被执行。这种方法的优点是简单易行，稳定度和兼容性很好。但是最大的缺点就是必须重新启动以后，才能进入ring0，这是一个产品级别的后门所不能容忍的。而且微软自己的系统文件保护容易绕过，mcafee和卡巴斯基的文件监控可就不是那么容易了。
        利用物理内存对象，来写入自己的代码到内核，并添加调用门来执行。这个是最早被人提出的不用驱动进入ring0的办法。因为出来的时间太长了，所以有以下一些问题：更新的操作系统内核不支持，如2003SP1；很多的主动防御系统会拦截，例如KIS6。所以这个办法也不理想。
        利用ZwSystemDebugControl。这个代码在国外有人放出来过，利用它写内存，挂钩NtVdmControl，进入ring0。此法缺陷在于老的windows2000不被支持，最新的windows2003sp1上也取消了这个函数的此能力。不过好处在于，这个方法用的人少，基本上没有主动防御会注意到它，并进行拦截。
        利用ZwSetSystemInformation的SystemLoadAndCallImage功能号加载一个模块进入ring0。这个方法提出来比较久了，但是因为用的人少，仍未被主动防御软件所重视。用得少的原因是，它不好用。它只能加载一个普通的模块到内核并且调用，却不是加载一个驱动，因此没有一个DriverObject。这导致了非常多的麻烦。因为要想使用这个办法，必须先用这个办法安装一个简单的内核模块，再用这个模块添加调用门等方式，执行代码清除主动防御的监视驱动安装的钩子，安装一个正常的驱动，才能最终完成任务。而且这个方法似乎对windows2003sp1以上的系统也无效。
        因此，要想有一个相对完美的进入ring0解决方案，最好是寻找别人不知道或者使用很少的方法，或者将上面的有缺陷的方法做一个综合，用多种方法通过判断情况来选择使用。我在这里有一个新的思路提供给大家，微软新公布了一部分文档，关于HotPatch的使用。HotPatch可以在执行中修改系统中存在的用户态公用dll的内容，甚至是修改内核模块的内容。具体代码和细节，在这里我不能多说。
        要想开发一个好的反主动防御rootkit，绕过监控进入ring0是必不可少的，然而这部分也是使用不成熟技术最多的，最容易出现严重问题的部分。作为一个负责任的实用级产品，一定要对这个部分作做详细的测试，来保证自己的产品不会在某些特殊的环境，比如64位CPU运行32位系统，多核处理器，HyperThread处理器上面，出现故障或者蓝屏。



实用级反主动防御rootkit的通用性问题
        前文已述，本文的宗旨在于讨论一种实用级别rootkit开发的可行性。因此，工程量的大小，需要投入的人力，时间和金钱，也是我们需要考虑的内容。必须要考虑更好的兼容性通用性，和工程上的开发代价和稳定成熟周期不能无限大。因此，对于部分新技术，例如BiosRootkit，VirtualMachine-Rootkit，本文不做讨论，因为那些都属于如果要想做稳定通用，工程代价非常大，以至于他们只拥有技术上面的讨论价值，而不具备作为一个产品开发的可选解决方案的可能性。至少是目前来看是如此。
        每个主动防御软件的原理和构造都是不相同的，因此不可能指望有某一种方法，从工程上可以解决一个主动防御系统，就可以无需测试的，保证无误的解决其他系统。因为这个原因，开发一个成熟稳定的反主动防御rootkit，必然要在兼容各种主动防御的系统的通用性上面下大功夫。按照不同的主动防御系统，在程序里switch case，应该是非常必要的，尽管绝大多数反主动防御代码原理上可以通用。基本上，在测试程序通用型的时候，常用的主动防御软件，是每种都要安装一个并且仔细测试的。
        以下举例说明，几个常用主动防御系统各自需要注意的特点，这都是笔者在实际开发中遇到的比较典型的例子。

Mcafee8.5，该主动防御软件在最大化功能时会禁止在系统目录下创建可执行文件，光这一点就会让几乎全部rootkit安装失败，若非针对它做了设计。在这个系统下面，也不可能使用感染文件的方法来进入ring0。
KIS6，该系统会自动列举运行的隐藏进程，并且弹框警告。因此在这系统下，不太可能把自己的进程隐藏。而且它列举隐藏进程的手段很底层，很难绕过。
ZoneAlarm Pro，该系统下，如果一个其它的进程启动IE并且访问网络，安全报警仍然会以该进程本身访问网络为准执行，另外还会弹框警告，除非将自己的僵尸IE进程的父进程更改，或者不用IE来反弹连接。
国产的瑞星，总体来说这个系统的主动防御弱于国外产品，但是它特殊在于，会对IE作出非常严格的限制，默认不允许IE装载任何非系统的dll。因此在这个系统下基本不可能利用IE反弹。

根据Computerworld报道的Vista SP1 RC版测试人员反馈情报，Vista SP1并不会加快目前Vista操作系统的运行速度。
一位用户在其笔记本上对比了未安装任何升级补丁的Vista rtm版本与安装了Vista SP1的运行速度（该笔记本的配置为双核处理器，独立显卡，2x 1GB内存。）结果发现“不管是1GB内存还是2GB内存，Vista SP1最多比没装任何补丁的版本快1%到2%。”
这位用户表示：“看起来微软的目标并不是让SP1与普通Vista版本有天壤区别，任何期望Vista SP1成为灵丹妙药的用户会彻底失望的，总体来说，这就是一个整合补丁包”
至于前几天Vista已经发布在Windows update上的性能改善补丁也被整合至SP1中，这个性能改善补丁的主要作用仅是延长电池使用寿命，另外机器从省电模式唤醒的时候会更快速一些。

欧洲移动运营商沃达丰德国公司近日的申诉获得了同意，德国汉堡地方法院颁出了一纸临时禁令，要求德国电信旗下移动运营商T-Mobile停止销售捆绑长期套餐的苹果iPhone手机。
沃达丰公司表示，他们将此事诉诸法院并非希望阻止竞争对手销售iPhone手机，而是希望当局再次审视这种新的营销方式，即购买手机必须捆绑某一家运营商为期数年的套餐服务，并且不允许其他运营商的SIM卡在该手机中使用。他们认为此举会引起其他手机制造商的模仿，并损害德国移动通信市场的竞争环境。沃达丰德国首席执行官Friedrich Joussen表示：“我们希望买家能够不被强制购买套餐。如果我希望阻止对手销售，是可以这么做，但我没有。”
德国电信已经确认收到此禁令，他们有两周的时间提出上诉。但由于T-Mobile和苹果之间的专卖协议，不能销售锁定SIM卡和捆绑服务的iPhone，实际就相当于全面禁售。我们可以静观事态的发展，如果德国电信方面做出让步，同意销售无锁版iPhone，开此先例后无疑也会扫清iPhone进军中国市场的最大障碍。

著名网络搜寻引擎谷歌（Google）在中国遭举报可能有逃税问题，北京市地税局第二稽查局正在对Google进行调查。
据报道，Google从2000年开始向中国网民提供中文搜寻服务，2003年再推出中文关键词广告。在这段期间，中国客户只要拥有一张国际信用卡，把钱直接打入Google在美国的账号，就可以在Google网上购买关键词广告。
虽然发布广告的客户和由此产生的点击收入都来自中国，但是相关的资金流转在中国却没有任何记录。报道引述举报人表示，作为Google曾经的客户，自己和周围的朋友都没有从Google拿到正式发票，因此怀疑Google逃税。
同时，举报人还表示，从2005年8月开始，中国客户虽然透过代理商可以得到正式发票，但开票单位是代理商而非Google。而代理商和Google间的结算，由于2007年以前Google在中国的正式机构为办事处而不是分公司，按照中国税法相关规定，不具有经营权，所以在此期间Google这些由代理商开具发票的收入，在税务处理的合理性上也存在疑问。
Google被指在营业税、个人所得税、期权税方面可能存在问题，这将是中国互联网企业最大涉税案。
针对有关传言，Google中国发言人表示，这样的传言没有根据，公司没有收到北京市地税局稽查分局的调查通知，而Google进入中国以来，一直遵守中国的法律，并没有相关报道所称的问题。
尽管如此，北京市地税局第二稽查局正在根据举报人提供的线索，对Google进行调查，“一旦有结果出来，将第一时间通知举报者个人”。

昨天，一份来自金山毒霸反病毒监测中心发布的病毒预警声称，近期广大用户需高度警惕“蓝屏使者92215”（Win32.Troj.DelfT.zy.92215）。

　　据悉，这是一个木马程序，通过恶意网站网页传播，连接网络下载其他木马和病毒，造成用户电脑蓝屏、死机，更为严重的是，用户电脑内的网络财产将处于极度危险之中。

　　金山毒霸反病毒专家戴光剑表示，近期许多观众期待已久的大片上映，电影下载网站和论坛里非常火，可这也给黑客们带来了攻击的最好时机，金山毒霸客服中心接到许多问询电话，网友们表示经常在网上下载了电影之后，打开文件时，计算机莫名其妙地变成了蓝屏。

　　戴光剑分析指出，该病毒可复制自身，释放dll文件注入进程，创建ShellExecuteHooks启动信息，接下来，病毒修改注册表，将自己加入启动项，这样以后每次用户开机时，它都能随explorer.exe启动，并注入该进程。

　　据了解，该木马本身对系统不具破坏作用，但它会在用户不知晓的情况下连接http://www.sms55.cn/reg.htmj[/url]**st.y******7.com,在指定的网址下载大量各类病毒，如果你的电脑突然蓝屏，有可能就是它的“杰作”。在它下载的木马中，大部分具备盗号和系统破坏等功能，因此，如果此病毒进入电脑系统，它将带来对系统的严重破坏以及造成用户虚拟财产的损失。

　　近几周，木马病毒异常活跃，本周除“蓝屏使者92215”（Win32.Troj.DelfT.zy.92215）可导致用户电脑死机中毒外，用户还需要警惕“恐怖鸡感染号”（Win32.LwyMum.h.147456）。这是一个感染型病毒，该病毒运行后会自删除病毒源文件，下载海量病毒文件，在各盘生成AUTO病毒，当用户左键双击AUTO病毒的盘则立即触发病毒。由于该病毒下载的木马大部分具有盗号的功能，而且盗取的网络游戏范围很广，网游帐户持有者需特别注意。

　　据国外媒体透露，一种特洛伊木马病毒已经感染了全球数万台电脑系统，而且中毒机器数量正以惊人速度增长。
　　这种恶意软件会伪装成图片并经由MSN Messenger传播，看起来像是由一些熟悉的亲友发过来的。但事实上，这种文件是一种新型的木马程序，自11月18日出现以来，已经侵占了数千台PC并构建成所谓的僵尸网络(bot network)。
　　安全厂商eSafe最先发现了这种新病毒，在发出警告后短短三个小时内，受感染的电脑数量已经从最初检测到的500多台急增至数千台，并且还以每小时几百台的速度在飞速增长。
　　这种木马是一种IRC蠕虫，以.zip文件的方式通过MSN Messenger传播，常见的文件名有两种，其中一种是包含"pic"等一般扫描仪及数码相机常用字眼的双扩展名可执行文件，例如DSC00432.jpg.exe之类的。这种木马还会把自身伪装成类似图片文档的.pif可执行文件并隐藏在zip压缩文件中，例如IMG34814.pif等。该木马主要通过所收集到的即时通讯用户名或者被感染用户的联络人名单向外发送和渗透。
　　病毒以即时通讯程序为媒介传播不是新闻，但eSafe称这种木马是首个尝试主动扫描虚拟网络(VNC)的，目的是让僵尸机器连接数倍增。
　　这种木马程序具有和其他木马相似的共性，看起来像万能的“瑞士军刀”，能以多进程偷取密码、传播和发送垃圾信息。但到目前为止，eSafe仍然没发掘出这种木马构建僵尸网络的犯罪目的是什么。

受影响系统：
Microsoft msjet40.dll 4.0.8618.0
Microsoft Access 2003
- Microsoft Windows XP SP2
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 26468
Microsoft Jet数据库是MS Office应用程序中广泛使用的轻型数据库。
Jet数据库在处理畸形MDB文件时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞通过诱使用户处理恶意文件，控制服务器。
Office Access在解析MDB文件时会调用Jet数据库引擎（msjet40.dll），如果解析了恶意的MDB文件就会在以下代码中触发栈溢出：
C:\Windows\System32\msjet40.dll，版本为4.0.8618.0
.text:1B0B72BB mov ecx, edx ; ecx=0x5200
.text:1B0B72BD mov esi, edi ; esi point
to the datas
.text:1B0B72BF mov ebp, ecx ; which
can be find in the mdb file
.text:1B0B72C1 lea edi, [esp+40h] ; edi point
to stack memory
.text:1B0B72C5 shr ecx, 2
.text:1B0B72C8 rep movsd ; stack overflow!!
.text:1B0B72CA mov ecx, ebp
.text:1B0B72CC mov eax, [eax+1]
.text:1B0B72CF and ecx, 3
.text:1B0B72D2 rep movsb
以下为调试信息：
eax=05f5cb67 ebx=05e66458 ecx=00005200 edx=00005200 esi=05f5cd12
edi=0013db60
eip=1b0b72c5 esp=0013db20 ebp=00005200 iopl=0 nv up ei pl
nz ac pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000
efl=00000216
msjet40!Ordinal55+0x23cd8:
1b0b72c5 c1e902 shr ecx,2
0:000> u eip
msjet40!Ordinal55+0x23cd8:
1b0b72c5 c1e902 shr ecx,2
1b0b72c8 f3a5 rep movs dword ptr es:[edi],dword ptr [esi]
1b0b72ca 8bcd mov ecx,ebp
1b0b72cc 8b4001 mov eax,dword ptr [eax+1]
1b0b72cf 83e103 and ecx,3
1b0b72d2 f3a4 rep movs byte ptr es:[edi],byte ptr [esi]
1b0b72d4 8bb424d4000000 mov esi,dword ptr [esp+0D4h]
1b0b72db 8b4b28 mov ecx,dword ptr [ebx+28h]
0:000> db esi
05f5cd12 00 4f 00 53 00 7e 00 31-00 5c 00 56 00 42 00 41 .O.S.~.1.\.V.B.A
05f5cd22 00 5c 00 56 00 42 00 41-00 36 00 5c 00 56 00 42 .\.V.B.A.6.\.V.B
05f5cd32 00 45 00 36 00 2e 00 44-00 4c 00 4c 00 23 00 56 .E.6...D.L.L.#.V
05f5cd42 00 69 00 73 00 75 00 61-00 6c 00 20 00 42 00 61 .i.s.u.a.l. .B.a
05f5cd52 00 73 00 69 00 63 00 20-00 46 00 6f 00 72 00 20 .s.i.c. .F.o.r.
05f5cd62 00 41 00 70 00 70 00 6c-00 69 00 63 00 61 00 74 .A.p.p.l.i.c.a.t
05f5cd72 00 69 00 6f 00 6e 00 73-00 00 00 00 00 00 00 00 .i.o.n.s........
05f5cd82 00 00 00 00 00 12 01 2a-00 5c 00 47 00 7b 00 34 .......*.\.G.{.4
0:000> db edi
0013db60 09 00 00 00 01 00 00 00-18 00 00 00 9a 51 00 1b .............Q..
0013db70 86 ce 00 1b 00 c0 f5 05-02 00 00 00 e8 dc 13 00 ................
0013db80 22 7c 00 1b 0c 11 f4 05-e8 dc 13 00 c0 10 f4 05 "|..............
0013db90 3c cd 00 1b c0 10 f4 05-00 c0 f5 05 9c 78 e6 05 <............x..
0013dba0 e8 dc 13 00 05 10 92 7c-38 78 e6 05 eb cb 00 1b .......|8x......
0013dbb0 80 9f a4 05 b0 98 a4 05-01 00 00 00 f2 cb 00 1b ................
0013dbc0 9c 78 e6 05 e8 dc 13 00-4c dc 13 00 4c dc 13 00 .x......L...L...
0013dbd0 01 00 00 00 60 f3 00 1b-80 9f a4 05 02 00 00 00 ....`...........
请注意由于这是Jet引擎中的漏洞，因此一些网络空间供应商也可能受影响。攻击者可以上传.asp和.mdb文件，并通过ADODB.Connection服务器对象利用这个漏洞。
<*来源：cocoruder （frankruder@hotmail.com）

链接：http://www.sms55.cn/reg.htmmarc.info/?l=full-disclosure&m=119521280515230&w=2[/url]
*>
测试方法：
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
http://www.sms55.cn/reg.htmwww.milw0rm.com/sploits/11162007-Microsoft_Jet_Engine_MDB_File_Parsing_Exploit.rar[/url]
建议：
--------------------------------------------------------------------------------
厂商补丁：
Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.sms55.cn/reg.htmwww.microsoft.com/technet/security/[/url]

AMD北京时间今晚，将发布“Spider”蜘蛛平台，其中包括三个组成部分：AMD Phenom处理器、ATI Radeon HD 3800图形处理器与AMD7系列桌面芯片组。
AMD4年内首次推出的这款新平台将搭配Phenom 9500和9600处理器 。这两种处理器采用95W TDP功耗和共享2MB三级缓存设计。
AMD Phenom 9600处理器工作频率2.3GHz，Phenom 9500处理器工作频率略低，是2.2 GHz，这两款处理器支持Hypertransport 3.0总线，内建2MB二级缓存，每个核心512KB二级缓存。Phenom 9500和9600处理器还内建DDR2内存控制器，并支持速度高达的DDR2 - 1066规格的内存，但是，DDR2-1066规格仍有待JEDEC批准。
现在，Directron.com已经在销售Phenom 9500和9600处理器，零售价格分别是322.00美元和286.00美元。
AMD的媒体白皮书原先表示，AMD会同时发布2.4GHz的Phenom 9700处理器，但最后一分钟的更新路线图显示，Phenom 9700处理器将在12月推出。
Phenom 9500和9600处理器采用AMD 65nm工艺，属于AMD处理器家族第一代“Stars”处理器家族，AMD将在2008年发布第二代“Stars”家族产品，它们将是当前k10核心的衍生产品，采用45nm。 第二代“Stars”处理器阵容包括5个产品，其中包括四内核Deneb ，双核心Propus ，双核心Regor和单核心Sargas 。第二代“Stars”处理器家族将内建AMD第一款DDR3内存控制。
AMD蜘蛛平台发布，还包括正式宣布Radeon HD 3800系列图形芯片－Radeon HD 3870和Radeon HD 3850。 AMD的新Radeon系列图形芯片在11月15日发布之后，获得了积极的反馈，在AMD11月15日媒体活动当天，美国新蛋代表就表示，美国新蛋一天就将全部的第一批Radeon HD 3800系列显卡库存销售一空，现在美国新蛋正在迅速补充库存。
AMD今晚还将宣布其7系列桌面芯片组。AMD的790FX芯片组针对超级发烧友市场，细分市场，AMD 790FX主板的建议零售价格在150-250美元之间， AMD几个主板合作伙伴，在今年早些时候已经宣布支持这一新的芯片组。AMD 790X芯片组将主打性能市场，790X主板的建议零售价格在99-150美元之间。

据悉，微软很快就会对外提供Visual Studio 2008的RTM正式版本，不过不会公开发布，而是仅限MSDN用户。
微软此前曾确认Visual Studio 2008 RTM将在本月底发布，而根据微软博客和一些消息来源的说法，微软的新一代开发工具最早19日就会出现在微软开发者网络MSDN.com上，供订阅用户下载使用。
Visual Studio Team System产品主管Jeff Beehler月初曾披露说，此次公布的Visual Studio 2008包括所有Team版本，当然还有Load Test Agent和Team Foundation Server。.NET Framework 3.5自然也会一同到来，方便开发人员为Windows Vista、Windows Server 2008、Office 2007、移动设备和网络开发最新应用程序。
至于公开发布时间，微软没有特别声明，如无意外还是要等到2008年2月27日，与Windows Server 2008和SQL Server 2008一起面世。

虽然固态硬盘距离大范围民用还有一段距离，但在专业市场，固态硬盘早已经遍地开花了，BitMicro公司近日更是登峰造极，推出了1.6TB的超大容量新款固态硬盘。
BitMicro的这款E-Disk Altima E3F4FL容量最低16GB，最高1.6TB，外形为3.5寸格式，采用4Gb/s光纤通道接口，但也向下兼容2Gb/s和1Gb/s光纤通道。
不但容量巨大，E-Disk Altima的速度也非常惊人。BitMicro声称，借助FlashBus专利技术，其稳定数据传输率超过320MB/s，全双工突发数据传输率800MB/s，每秒I/O操作可达55000，相比之下一半快速硬盘只有400 IOPS。再加上200万小时的平均无故障时间，以及多项专利安全技术，该产品非常适合视频点播、医学成像、数据记录、贮存物流、在线传输等高带宽存储应用。
BitMicro将在2008年第一季度提供首款这种1.6TB固态硬盘，第二季度开始批量出货。
IDC预计，全球企业级固态硬盘市场规模从2006年到2011年的年复合增长率有望达到76％。

之前报道过Firefox 3.0的重大Bug只能修复20％，但是实际上Firefox开发人员的效率还是非常不错的。目前Mozilla社区负责人员Asa Dtzler宣称他们目前已经修正了1426处bug，Firefox 3.0仅剩下683个问题正在解决。

目前，Firefox 3.0新的beta版本即将发布，此次发布的更新列表将包括1000多个bug修正，以及内容更新。

目前bug修正列表我们还无法获得，我们只能了解到其中的内容更新部分：

更好的支持Web标准
速度和内存管理方面获得更新
生产力提升功能
安全与保密内容保护功能
UI界面获得改进
新的扩展开发API

好了，就跟深圳银行限制提款让民众不满一样，现在美国和加拿大的许多互联网用户也受不了ISP封杀P2P的做法了，自11月初开始，美加多家ISP开始部署Internet流量管理系统，以便对”繁忙时期网络中的P2P传输进行限制“，从而”保证网络传输高峰期的用户体验“。继美国第二大ISP Comcast之后，加拿大贝尔也于11月8日起正式开始对P2P采取带宽节流技术。
11月18日，网络视频提供商Vuze(Vuze是一家利用P2P技术在互联网提供BBC、PBS、国家地理等节目的视频供应商)正式向联邦通讯委员会(FCC)提供了书面申诉，声称封杀P2P影响了公司业务运行，导致损失，要求FCC禁止ISP封杀P2P并作欺骗性解释的“可耻”行为。除了在ISP网站上尽情宣泄的用户之外，这是第一家提起申诉的网络内容服务商。
就如同限制提款可以防止洗钱一样，封杀P2P的官方理由也很正当，毕竟”P2P已经占到Internet流量的50％或更多，进行流量控制有助于保障其它用户的上网速度“。不过这样一来，加密BT传输肯定会成为更多人的选择。国外版权管理组织称据其监控，目前的加密BT技术可突破ISP封锁，使用用户大约占全部用户的10％。
之前国内已经传出不少省份的ISP封锁P2P的新闻，甚至连台湾的中华电信也不例外，希望这次美加ISP的做法不会帮助他们下定决心，全面彻底地与国际接轨。毕竟就算不用BT，Skype也是要用的啊。

　　《付费QQ号被盗找不回 济南市民怒诉腾讯索赔十万》报道见报后，引起广大QQ用户的强烈反响。今天下午，记者电话采访了腾讯公司公关部相关负责人，对方表示，将第一时间解决 用户王谦遇到的问题，而目前正在做查实工作。傍晚时分，腾讯公司便致电王谦，表示可以马上归还被盗的QQ号。这“来去匆匆”的5位QQ号，不禁让当事人陷入更大的猜疑之中。　　
　　反响：遭盗号用户力挺“讨个说法”
　　在拨打本报热线的读者中，很多人曾有过QQ号被盗的经历，事后也试图通过密码申诉等方式要回号码，但成功几率很小。情况严重的时候，有些人甚至遭受了钱财、名誉等损失，影响了正常的生活。而且，遭盗号的用户们反映，如果QQ号码位数少或者级别达到“太阳”，号码就更容易丢失。
　　对于王谦欲起诉腾讯公司一事，多数曾被盗号的QQ用户表示理解和支持。他们认为，如此之多的号码被盗窃，腾讯公司有摆脱不掉的责任。对于王谦的遭遇，不少读者认为其中可能存在猫腻。用户李先生认为，由于5位靓号现在挺值钱，腾讯可能在暗中收回这些号段。
　　腾讯：暗中收回5位号是传闻
　　今天下午，记者电话联系上腾讯公司公关部时，其相关负责人称已经看到了本报的相关报道，正在去了解事实的真相。至于用户们反映的“腾讯暗中收回靓号”的说法，该人士予以否认，并称:“这绝对是传闻，并且，处理5位号的申诉方面，腾讯公司尤其谨慎，因为有些并非号码主人的人，有时也会提起申诉，想要这些号码。”
　　但记者注意到，QQ号码被盗引起了不少网友的关注。在网上，一则名为《80万被盗QQ寻找主人》的帖子，更是被大量转载，并引发广泛关注。记者从帖子里看到，这些号码既有6位、7位的，但更多的是8位、9位的。而网上有关如何盗取、防盗QQ号的帖子，更是多达数十万篇。
　　进展：腾讯突然要还号
　　今天晚上6点11分，记者再次接到王谦的电话。他告诉记者，自己刚刚接完了腾讯公司打来的电话。“工作人员告诉我，说被盗的QQ号可以先给我用着”。
　　王谦表示，直到今天下午，他最后一次申请还是未获得通过，按道理来讲，QQ号是肯定要不回来的。但是，媒体报道后，自己也没有再提交新的资料，腾讯公司就突然要把号码交回来，“这一结果，简直让人不知该喜还是忧!”王谦称，有人怀疑腾讯暗中收回5位QQ号的说法他也听说过，但一直不相信;而腾讯轻而易举就可以把号码送回来的做法，实在无法不让人与此传言发生联想。
　　“QQ号说丢就丢，说有就有，腾讯的这种做法太让人失望!”作为王谦的委托律师，山东德义律师事务所的苏传孝律师表示，即便腾讯马上把号码归还，也不能摆脱就已造成的损失进行赔偿的责任。“作为用户，王谦因此事遭受的人力、物力损失，腾讯公司必须赔偿，而且，要求其在网站上公开道歉的主张也没有改变”。