十里河小窝

修改系统还原设置

2010-07-18T09:13:12+08:00

1、net stop srservice
2、attrib restore\filelist.xml -s -h -r
3、修改filelist.xml%cookies%、%favorites%等类似项目。
如加上：%SystemDrive%\Program Files\Internet Explorer
4、attrib restore\filelist.xml +s +h +r
5、net start srservice

以上方法试了不行，要完全关闭系统还原监控才能起作用。

系统还原与系统备份有何不同?

2010-07-18T08:27:31+08:00

系统还原服务监测的文件种类仅是特定的系统文件与应用程序文件的核心设置（如.exe，.dll文件等），而备份功能与此不同，它通常是将所有的文件进行备份，包括用户的个人资料文件，以确保将一份安全的拷贝存储在本地磁盘或其他的媒体上。系统还原服务并不会监测用户个人数据文件如文档，图片，电子邮件等的改变，也不会将用户的这些文件进行恢复。包含在系统还原服务还原点中的系统数据可以被用来仅在一段有限的时间内（如果默认的还原点存在的时间超过90天，它就会被删除）将系统还原，而备份工具进行的文件备份可以在任何时间得到恢复。

将服务由禁用状态改为手动启动状态

2010-07-18T08:26:02+08:00

BOOL EnableService(char *lpService)  //将服务由禁用状态改为手动启动状态
{
    SC_HANDLE hSCManager = NULL;
    hSCManager = OpenSCManager( NULL, NULL, SC_MANAGER_ALL_ACCESS );
    if (hSCManager !=  NULL )
    {
        SC_HANDLE hService = NULL;
        hService = OpenService(hSCManager, lpService, SERVICE_ALL_ACCESS);
        if ( hService != NULL )
        {
            LPQUERY_SERVICE_CONFIG sc = (LPQUERY_SERVICE_CONFIG)LocalAlloc(LPTR, 4 * 1024);
            memset(sc, 0, sizeof(sc));
            DWORD     nRet = 0;
            QueryServiceConfig(hService, sc, 4 * 1024, &nRet);
            if(sc->dwStartType == SERVICE_DISABLED)
            {
                SC_LOCK sclLock = NULL;
                sclLock = LockServiceDatabase(hSCManager);
                if(sclLock != NULL)
                {
                    DWORD dwStartType = SERVICE_DEMAND_START;
                    if(ChangeServiceConfig(hService,SERVICE_NO_CHANGE,dwStartType,SERVICE_NO_CHANGE,NULL,NULL,NULL,NULL,NULL,NULL,NULL))
                    {
                        UnlockServiceDatabase(sclLock);
                        CloseServiceHandle(hService);
                        CloseServiceHandle( hSCManager );
                        LocalFree(sc);
                        return TRUE;
                    }
                    UnlockServiceDatabase(sclLock);
                }
            }
            LocalFree(sc);
            CloseServiceHandle(hService);
        }
        CloseServiceHandle( hSCManager );
    }
    return FALSE;
}

arp小故事

2010-07-18T08:17:42+08:00

看看底下这个小故事关于arp的东西大家就全明白了：

搬家后，这里可以上网,是房东牵了一根宽带然后用交换机分到每个房间里.头天来还挺快。从第二天开始，速度就奇慢无比，十有八九是有人在下BT。就在网上找点工具查查谁在下。GOOGLE，BAIDU一搜，网络执法官，P2P终结者。OK，下了个P2P终结者。运行起来，一查，果然拦截到不少BT，电驴等的数据。然后一开用户列表，有一台机器下载速度达到130k，天哪，你们用了这么多，别人还用不用了。当时一发狠，就把他的网给掐了。随即世界太平了。网速恢复嗖嗖的了。

     过了两天，发现网速又是奇慢。打开P2P终结者，咦？能拦截到P2P的包，但是每个用户都是几k的速度，总的带宽占用也不多啊，是不是也有人用网络执法官之类的软件呢？后来在网上查资料，了解诸如网络执法官，P2P终结者之所以限制网速甚至断网，就是利用了ARP欺骗的原理。

    在局域网内通讯，IP层的下一层——链路层是通过MAC地址通讯的。比如我要访问192.168.0.3的机器，这时我可能不知道192.168.0.3的MAC地址，这时我就向局域网里广播一个ARP包，问谁是192.168.0.3啊？请把你的MAC地址发我。局域网内所有的机器都会收到这个广播包，正常情况下，只有192.168.0.3的机器会做出应答，说我的MAC是A23FFF0D，这时我的机器就知道了192.168.0.3对应的MAC地址，并可以和他通讯了，并且会在本机的ARP缓冲里面保存192.168.0.3对应的MAC地址，这样就不用每次都去发广播包询问了。某太机器的IP地址可能会变，所以这个列表会随时更新的。ARP欺骗的原理就是，当有ARP查询包时，尤其是要查询网关的ARP的时候，有其他机器在中间回答，说我是网关，这就麻烦了。比如网关的IP地址是192.168.0.1，我要上网了，肯定要先把数据发到网关，于是我就先发个广播包询问，谁是网关啊，把你的MAC地址发个我。其中有不是网关的机器就对这个ARP查询数据应答了，说我是网关，要想上网把数据发给我，这样我每次上网的数据都是先发给他，再由他发给真正的网关，这就达到了截获数据的目的，当然也可以干脆把数据包丢掉，得，这下干脆就上不了网了。而且ARP还有一种广播包，里面的信息是IP地址和对应的MAC地址。正常情况下，比如我的ip地址变更了，我就可以发送这样一个广播包告诉大家，我的IP地址和对应MAC地址是多少，以前的IP地址不用了。但是这样一种包也可以被ARP欺骗利用，他可以不停在局域网里广播数据包，包的内容是网关的IP地址和自己的MAC地址，意思是告诉大家，我是网关，以后大家要有出局域网的数据都要发给我。这下好了。局域网所有的用户都得听他的了。网络执法官和P2P终结者就是这么干的。

      难道就没有解决办法吗？

      回答是有的。本地的ARP列表可以进行静态绑定。即我的列表里192.168.0.1的MAC固定为某个值，不允许改变。这样的话，只要把正确MAC地址和网关IP绑定，就不怕自己的包再发给“中间的第三人”了。用ARP -A命令一看，网关地址果然不是原来的了，随即进行了静态绑定。120k/s，哈哈，网速又恢复了！这之后，只要一发现网速变慢，我就看看ARP列表网关的MAC有没有被改变，变了我就绑定成静态的，绑定完就网速就好了。直到有一天……      一天回家上网，发现网速奇慢，先用P2P终结者看了看，没有人大量占用带宽。再看看ARP列表，网关的MAC地址是静态绑定的，而且MAC值也是对的，咦，这是怎么回事？百思不得其解。后来在网上闲逛，发现ARP防火墙可能管用，就下了一个，装上一试，网速倒是没有完全恢复吧，但是也有50，60k了，看来还管点用。当时一看不早了，就去洗脸准备睡觉。在洗脸的时候我就琢磨，突然来了灵感：是不是ARP欺骗者把网关记录的我机器的MAC地址也改了——改成欺骗者的MAC地址了，这样我发出去的包是直接送到了网关，但网关接收到数据后，是首先发给欺骗者，再发给我的，这样接收数据的速度就会收到控制。回屋后看ARP防火墙的监测，发现一秒钟发出五个ARP攻击数据——即告诉局域网中的其他机器网关的MAC地址是FAC2CC03FC（即攻击者本机的MAC），并告诉网关网络中所有的机器的MAC也都是FAC2CC03FC，这样不仅往外发的数据会经过欺骗者，而且网关从外网接收到数据以后，也会先发给欺骗者，再由他转发给实际的接收者（至于说他是否真的转发，就全由着他了）。索性的是我的ARP防火墙可以发广播数据，即告诉局域网中的机器（包括网关）我的IP地址和真正对应的MAC地址。你不是一秒钟发5个ARP欺骗包吗？好，那我一秒钟发20个广播包，告诉大家（尤其是网关）我真正的MAC地址是多少。在ARP防火墙中设置完后，一看网速，180k/s，爽！

      后记：      这样的反ARP欺骗方式有个缺点就是自己发广播包的速度一定要比欺骗者快，原理我想我已经说得很清楚了。这样就带来一个问题，如果欺骗者想得逞，就会加快欺骗数据的发送速度，而被欺骗者如果想摆脱欺骗，就得以更快的速度发送“更正”数据，这样下来，两个人就开始比谁发送广播包的速度快了，结果局域网里到处充斥广播包，对网速也会有影响，如果是多个人同时比赛看谁发发得快，OH MY GOD！      如果局域网中同时有人用ARP欺骗和BT下载的话，那怎么办的？那你就得用更快的速度发ARP欺骗包，从而占领整个网络的控制高地。当然，还是上面说的问题，如果多个人同时竞争ARP包的发送速度，那……。就像美苏两个大国在搞军备竞赛，储备的核弹够把地球毁灭多少遍了，突然又冒出个国家来，声称他的核弹比美苏的还多，这岂不是加倍让人提心吊胆吗？            当然管理BT下载用ARP欺骗的方法并不是个解决方法，最好的办法还是人来管。本文只是从技术的角度讨论一下ARP欺骗和反ARP欺骗的原理和应对。

以下这种方法也是可以查询出arp主机的：
进入到cmd后，输入arp -a如果这个时候发现有和网关mac一样的主机，那么这台主机就有可能是arp主机了，用nbtstat -a ip地址将对方主机名找出来，如些以来各位知道该怎么办了吧！哈哈

ThunderBird邮件迁移真可恨

2010-07-02T09:11:33+08:00

换电脑，要把ThunderBird下的邮件全部转移，邮件都是用IMAP方式收取的，有的邮箱又没了密码。接触ThunderBird不久，不是太熟悉，原来以来只要把ImapMail目录拷贝即可，于是就把原机子的ThunderBird删了，覆盖新机子邮件相应目录。谁知到了新机子上，邮件都在，但邮件目录却变成了&g0l6Pw-之类的乱码，并且第二次登录时邮件文件夹也没有了，所有的邮件都不显示了。折腾几天都没解决，只发现prefs.js、panacea.dat两个文件很重要，分别是所有设置参数、邮件文件夹缓存。于是把panacea.dat文件属性设置为只读，这样解决了第二次登录邮件不显示的问题，但目录乱码问题仍没解决。到老机子上找，发现Profiles目录还在，又生起了一丝希望（奇怪，记得来找过，没找到的）。把配置文件放到虚拟机上试一下，居然成了。可是放到真机上，又是乱码，失望透顶。仔细对比虚拟机和真机，发现是因为我修改的Application Data路径不同，老机子和虚拟机都在D盘，新机子我设置在了E盘。改回去，终于物归原貌了！！
真被ThunderBird折腾死了！

更改Application Data路径

2010-06-23T12:13:34+08:00

开始——运行中输入regedit，展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders，在里面找到AppData键，修改一下它的键值就行了。

两种基本的PDF转WORD方法

2010-06-11T10:05:22+08:00

一、打开PDF文档，复制全文；然后，在Word中粘贴。
二、MS Office Document Imaging 将PDF转为Word。
①从PDF到MDI：在PDF阅读器中，打印PDF，打印机选“Microsoft Office Document Image Writer”，确认后将该PDF文件输出为MDI格式的虚拟打印文件。（注:如果没有找到“Microsoft Office Document Image Writer”项，使用Office 2003安装光盘中的“添加/删除组件”更新安装该组件，选中“Office 工具 Microsoft DRAW转换器”。）
　　② 从MDI到Word：Document Imaging 转换为运行“Microsoft Office Document Imaging”，并利用它来打开刚才保存的MDI文件，选择“工具→将文本发送到Word”菜单，在弹出的窗口中选中“在输出时保持图片版式不变”，确认后系统会提示“必须在执行此操作前重新运行OCR。这可能需要一些时间”，确认即可。

命令行导出注册表启动项目

2010-06-10T12:28:31+08:00

regedit /e c:\run.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

VC菜单编辑器新插入菜单项方法

2010-05-20T08:57:05+08:00

VC菜单编辑器，怎么插入一个菜单项？
有时候更改菜单项资源号如果弄错了程序就出问题了。
能不能直接在菜单和菜单之间插入一个？不是用动态的
---------回复--------------
直接选中菜单项上空白条目，右键选择属性就可以了了啊，取消popup，然后键入名字就行了啊！不知道楼主是这个意思吗

---------回复--------------
取消Popup选项，应该挺简单啊，正如楼上所说！
---------回复--------------
按insert键

郁闷，网站被挂马，不过应该没造成很大危害

2010-05-02T10:39:55+08:00

昨天发现网站不能访问，还以为又有什么文章或广告不符合和谐社会要求，被和谐了，今天联系到网管，说是因为我的站被挂马了。
检查后发现default.asp等文件被动过，修改时间是2010年4月30日, 1:34:00，它妈的，这个时候我好像也才睡觉，估计就是这时被黑的。被黑后，网站不能访问，所以估计危害不大。黑客添加的代码是：

20100420

,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

唉，黑客真是无孔不入，这么一个小站，已经被黑客第二次光顾了！