2009/12/30

Regshot 監視登錄檔、檔案異動

之前為了分析病毒行為找到了 RegshotRegshot 在執行程式前對登錄檔和硬碟做紀錄,執行程式後重新讀取後分析新增、刪除、修改等異動,可以將紀錄輸出成文字檔或是 HTML。




「1st shot」在開始動作前執行、「2nd shot」在動作結束後執行,二次紀錄結束以後點選「compare」對二次紀錄進行比較。例如在 kavo.exe 病毒執行後,Regshot 會輸出以下分析結果:

REGSHOT LOG 1.61e5
Comments:
Datetime:2009/12/28 18:36:50  ,  2009/12/28 18:37:07
Computer:ZERO-A0738C6D72 , ZERO-A0738C6D72
Username:zero , zero

----------------------------------
Values added:3
----------------------------------
HKEY_USERS\S-1-5-21-527237240-436374069-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\mreb\桌面\xnib.rkr: 08 00 00 00 06 00 00 00 B0 C9 49 BA EC 87 CA 01
HKEY_USERS\S-1-5-21-527237240-436374069-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\kava: "C:\WINDOWS\system32\kavo.exe"
HKEY_USERS\S-1-5-21-527237240-436374069-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\zero\桌面\kavo.exe: "kavo"

----------------------------------
Values modified:7
----------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed: 92 1F 14 70 5A 88 D7 10 29 B4 63 02 36 B9 C6 92 58 E9 6C CC 85 7F 43 CC D3 2A 26 00 EF 31 BD CC 2D A9 AB B0 C5 EF D7 49 05 B2 01 B6 CC AE 46 13 61 4A C8 C8 C0 CC A6 3D 1B 9F 79 D3 DB D7 D6 46 24 83 80 CD F9 24 8F B9 D8 F4 83 5E 66 0A 5C 73
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed: 31 B0 E1 CF 34 2C 86 B2 4B D5 9E FE C3 6C 48 D3 9E 62 83 48 67 69 1A 90 C5 81 61 26 91 41 01 CD F1 8D FF D5 26 68 DC 9A 82 63 B2 AE 7C 74 2A 0F 1E 14 09 5A 4E 68 19 4A B8 5A 2A 05 A3 D2 E3 D5 B4 DA DE 91 55 6E E2 6E 54 DD D1 B2 88 EA 1A 9A

...........

----------------------------------
Files added:2
----------------------------------
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kavo0.dll

...........

如果有其他好用的軟體歡迎推薦。

2009/12/28

我想買「大」筆電

今天去系學會打算 Demo 時,發現 Ubuntu 在接上投影機時會偵測失敗,網路上看到很多作法都很麻煩,再加上版本不一樣失敗機率還是很高。

這時就有點後悔當初怎麼不去買一台正常一點的筆電,社群大、使用者多,對硬體的支援也會比較完整.....。

等我有前買第二台筆電,一定要去弄一台無敵小黑!



ps. 一定要趕快推 Linux,使用者多廠商才會重視!

2009/12/27

FreeBSD 安裝步驟


用光碟開機,並載入開機程式



選擇鍵盤排列方式,一般選擇美式鍵盤就可以



選擇 Standard Installation



磁碟分割,使用整個硬碟可直接按 A - Q



是否要安裝 Boot Manager



設定掛載點,一般可以直接按 A - Q 使用預設值


若是 FTP Server 建議將 /home 目錄分開以便設定 quota;若是 Web Server 建議將 www 分開掛載,/var 目錄也應該多流一些空間給 Databases,免得塞爆以後讓系統掛彩。



選擇要安裝的環境,不需要圖形介面的話可直接選擇 Developer



是否需要安裝 ports collection,不安裝就不是 FreeBSD 了啊 XD



選擇安裝位置,一般可以直接從 CD 安裝;選擇網路安裝則會先設定網路 (DHCP or Static IP)



安裝要一段時間,可以去喝杯茶在回來看



準備設定網路,設定好以後就可以 SSH 登入,離開該死的機房



選擇電腦的網路卡



如果選擇 DHCP 則會自動填上部份資料,沒有的話請自行輸入



SSH 是一定要的啊!



安裝 linux_base 可以模擬執行 Linux 上的程式



新增一個使用者,如果要讓這個使用者可以 su 成 root,記得加入 wheel 群組



設定完 root 以後就差不多大公告成了


接下來就可以使用 ports 或是 pkg_add 安裝套件,/etc/make.conf 設定可以參考「FreeBSD make.conf」,要安裝 FAMP 環境可以參考「FAMP:FreeBSD + Apache + MySQL + PHP」。

2009/12/19

J-mex Navii Mouse

前幾週去台北資訊展看 J-mex Navii Mouse,可說是整個資訊展比較有參觀價值的產品。

Navii Mouse 特色是不需要放在桌面也可以像拿雷射筆那樣使用!不像 Wii 的遙控器使用重力感應,必需要移動才會有反應, Navii Mouse 即使在原地轉動也可以移動滑鼠游標 (聽說是使用類似羅盤的技術),使用起來相當方便。

以下是非常白目的開箱影片 XD




優點:
  • 設計很有創意
  • 操作簡單、免安裝驅動程式
  • 支援 Ubuntu 等 Linux 作業系統
缺點:
  • 電池蓋不好開
  • 較為耗電,在會場問工作人員:每天八小時大約一週
  • 沒有接收器的收納合,小東西很容易找不到 XD

最後還是要特別提一下,之所以說設計很有創意是因為滑鼠這幾年來都是改進精確度、按鍵功能,這是我弟一次看到有人將羅盤技術使用在滑鼠上來添加功能。

2009/12/18

2009/12/17

曖昧 - 資工版



大學四年過了,看到這段影片還是很好笑,特別是「出現訊息.......」

2009/12/16

李開復與雲惟彬的對話

創新,也能從山寨開始
http://forum.30.com.tw/Board/show.aspx?go=1738
  • Not only live your life, but also lead your life
  • Steve Jobs:「要有勇氣來追隨你的心和直覺,只有內心能告訴你,自己想要成為什麼樣的人」
  • 創業者最重要的特質是要有 hunger (渴望)
  • 先做大,不要太想賺錢,利益不要最大化,才可能有最大利益
  • 大家抄襲才可以學習,學習才會進步,只要沒有違背智財

2009/12/12

My .vimrc

set number
set hls
set ic
set ai
set enc=utf8
set incsearch
set shiftwidth=3
set nobackup
set hlsearch        " highlight searches
set ignorecase      " ignore case when searching 
set title           " show title in console title bar
set ruler

set modeline
"set tabstop=3 " length of each tab


if has("autocmd")
    " Restore cursor position
    au BufReadPost * if line("'\"") > 0|if line("'\"") <= line("$")|exe("norm '\"")|else|exe "norm $"|endif|endif

    " Filetypes (au = autocmd)
    au FileType helpfile set nonumber      " no line numbers when viewing help
    au FileType helpfile nnoremap     " Enter selects subject
    au FileType helpfile nnoremap     " Backspace to go back
    
    " When using mutt, text width=72
    au FileType mail,tex set textwidth=72
    au FileType cpp,c,java,sh,pl,php,asp  set autoindent
    au FileType cpp,c,java,sh,pl,php,asp  set smartindent
    au FileType cpp,c,java,sh,pl,php,asp  set cindent
    "au BufRead mutt*[0-9] set tw=72
    
    " Automatically chmod +x Shell and Perl scripts
    "au BufWritePost   *.sh             !chmod +x %
    "au BufWritePost   *.pl             !chmod +x %

    " File formats
    au BufNewFile,BufRead  *.pls    set syntax=dosini
    au BufNewFile,BufRead  modprobe.conf    set syntax=modconf
endif

syntax on

參考資料:
http://phuzz.org/vimrc.html

大家來學 Vim
http://edt1023.sayya.org/vim/node1.html

2009/12/06

人是一種矛盾的動物

今天接 AC 電源接上筆電時想到一個問題:網路上說接上 AC 電源時如果電池已經充電完畢最好取下,不然同時充電用同時放電會降低電池壽命。

記得之前課本有教過,電池放時,外電路電子移向正極;充電時,電子流方向相反。那網路上說的「同時充電同時放電」電子到底怎麼移動?假設充電與放電的比例相同 (剛好能讓電池維持在 100%),那表示電子移入和移出負極的量相同會抵銷,那樣與把電池拆下來的情況是一樣的,為什麼會減少電池的壽命?

想到這裡又想到很矛盾的地方:
  • 教育部說九年國教都是基礎教育,教的都是應有的常識
  • 大家都說不常用的東西很快就會忘掉
  • 大家平常都把九年國教的東西給忘了
印象中之前換日光燈管時,朋友還問我要不要先把開關切掉免得觸電,當時心理就 OS:玻璃不是不導電嗎?就算是燈管兩端的金屬片,中間也用軟木和電極格開了啊,怎會觸電?

結論就是:人是一種很矛盾的動物。

包括自己在內,行動時做的事情又和自己以前說的理念不相符,實在應該檢討檢討。

相關資料:請搜尋「電子流 方向 filetype:ppt

2009/12/05

Google DNS

Google 最近出產品的速度真的很快,Google Chrome OS 後又推出日文輸入法Google DNS。比起 Hinet 的 DNS 伺服器,Google DNS 實在不用花什麼大腦記憶:
  • 8.8.8.8
  • 8.8.4.4
不過為什麼已經有 OpenDNS 了還需要另外建議自己的 DNS 呢?OpenDNS Blog 馬上寫了一篇文章討論 Google 的企圖:

Some thoughts on Google DNS
http://blog.opendns.com/2009/12/03/opendns-google-dns/