树莓派之家庭DNS净化之篇

大多数因特网服务依赖于 DNS 而工作，一旦 DNS 出错，就无法连接 Web 站点，电子邮件的发送也会中止。

由于我设备是树莓派，安装的是Arch Linux ARM，所以直接用官方库里的 DNSCrypt-Proxy
文中我并没有增加dnsmasq作为53端口解析服务器，而是直接把DNSCrypt-Proxy直接解析到53端口，取消了dnsmasq缓存的优势，如果在意速度的可以自行加上

如果以上步骤没有报错，可以看下如下信息：

1，客户端发送LoginRequestKeyMessage，告诉服务器准备登陆，并期望得到公钥。
2，服务器收到LoginRequestKeyMessage后，发送公钥key给客户端。
3，客户端保存公钥key后随机生成一个大整数，并将hash后的值clientNonce发给服务端。
4，服务端收到clientNonce，并随机生成一个大整数，然后照样将它hash后的值serverNonce发给客户端。
5，客户端收到serverNonce，此时此刻，客户端和服务端都有了一致的clientNonce，serverNonce且这对值每次登陆都不一样，因为都是由随机大整数hash而来。
6，服务器收到cryptedPassword然后就是查询数据库验证。

开始-->运行-->输入cmd 回车在命令提示符下输入（粘贴以下字符）
for %1 in (%windir%\system32\dll) do regsvr32exe /s %1
回车(在此不要动键盘和鼠标)直到闪完了再做别的。

前段时间客户计算机出现该问题导致某服务无法正常使用，主要是会定期假死的情况，后百度尝试解决该问题，发现以下解决办法，拷贝复制，并附上链接。

电脑的事件查看器里不断出现crypt32错误，这种情况根本原因是计算机无法连接更新根证书所致，通常情况下是计算机没有联网，或者在专用网络中无法访问公网所致，下面说说简单的解决办法。

错误显示

事件源： crypt32
说明：
自动更新检索第三方根目录列表序列号从的失败: <>

原因
如果计算机无法连接到 Internet 上 WindowsUpdate 服务器上更新根证书组件已打开且出现此现象。 定期 更新根证书 组件自动更新从 MicrosoftUpdate 服务器信任根证书机构。
crypt32错误解决办法

要解决此问题, 必须连接到 Internet 或关闭更新根证书组件。如果是某些专用网络无法连接公共网络，请关闭根证书更新。详细步骤如下：
1 在控制面板, 双击 添加/删除程序；
2 单击 添加/删除 Windows 组件；
3 单击去掉 更新根证书 前的对勾, 然后再继续。

网页链接

特鲁伊木马病毒！
这种病毒怎么清除 特洛伊木马（Trojan horse）
完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。
特洛伊木马是如何启动的
1 在Winini中启动
在Winini的[windows]字段中有启动命令"load＝"和"run＝"，在一般情况下 "＝"后面是空白的，如果有后跟程序，比方说是这个样子：
run=c:\windows\fileexe
load=c:\windows\fileexe
要小心了，这个fileexe很可能是木马哦。
2在Systemini中启动
Systemini位于Windows的安装目录下，其[boot]字段的shell=Explorerexe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样:shell=Explorerexefileexe。注意这里的fileexe就是木马服务端程序!
另外，在System中的[386Enh]字段，要注意检查在此段内的"driver＝路径\程序名"这里也有可能被木马所利用。再有，在Systemini中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。
3利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下。
4在Autoexecbat和Configsys中加载运行
请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexecbat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。
5在Winstartbat中启动
Winstartbat是一个特殊性丝毫不亚于Autoexecbat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了Wincom并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexecbat的功能可以由Witartbat代替完成，因此木马完全可以像在Autoexecbat中那样被加载运行，危险由此而来。
6启动组
木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7INI
即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。只启动一次的方式:在winintini中(用于安装较多)。
8修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马，老外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为NotepadEXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的 "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值，将“C:\WINDOWS\NOTEPADEXE本应用Notepad打开，如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值，将 "C:\WINDOWS\NOTEPADEXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLREXE%l"，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了，好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIPCOM等都是木马的目标，要小心搂。
对付这类木马，只能经常检查HKEY_C\shell\open\command主键，查看其键值是否正常。
9捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。
10反d端口型木马的主动连接方式
反d端口型木马我们已经在前面说过了，由于它与一般的木马相反，其服务端 (被控制端)主动与客户端 (控制端)建立连接，并且监听端口一般开在80，所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时，最新的天网防火墙(如我们在第三点中所讲的那样)，因此只要留意也可在网络神偷服务端进行主动连接时发现它。
WORM_NUGACHEG(威金)和TROJ_CLAGGEB 特洛伊木马（Trojan horse）
的解决方案:
WORM_NUGACHEG(威金)
病毒码发布日期: Dec 8, 2006
解决方案:
Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADERIBZ
Terminating the Malware Program
This procedure terminates the running malware process
Open Windows Task Manager
• On Windows 98 and ME, press
CTRL+ALT+DELETE
• On Windows NT, 2000, XP, and Server 2003, press
CTRL+SHIFT+ESC, then click the Processes tab
In the list of running programs, locate the process:
MSTCEXE
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your computer
To check if the malware process has been terminated, close Task Manager, and then open it again
Close Task Manager
NOTE: On computers running Windows 98 and ME, Windows Task Manager may not show certain processes You can use a third party process viewer such as Process Explorer to terminate the malware process
On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, continue with the next solution procedure, noting additional instructions If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your computer in safe mode
Editing the Registry
This malware modifies the computer's registry Users affected by this malware may need to modify or delete specific registry keys or entries For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 40
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Autostart Entries from the Registry
Removing autostart entries from the registry prevents the malware from executing at startup
If the registry entry below is not found, the malware may not have executed as of detection If so, proceed to the succeeding solution set
Open Registry Editor Click Start>Run, type REGEDIT, then press Enter
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
Microsoft Domain Controller = "%System%\mstcexe"
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003)
Removing Added Key from the Registry
Still in Registry Editor, in the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE
In the left panel, locate and delete the following key:
GNU
Close Registry Editor
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers
Users running other Windows versions can proceed with the succeeding solution set(s)
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution
Scan your computer with Trend Micro antivirus and delete files detected as WORM_NUGACHEG To do this, Trend Micro customers must download the latest virus pattern file and scan their computer Other Internet users can use HouseCall, the Trend Micro online virus scanner
Applying Patch
This malware exploits known vulnerability in Windows Download and install the fix patch supplied by Microsoft Refrain from using this product until the appropriate patch has been installed Trend Micro advises users to download critical patches upon release by vendors
TROJ_CLAGGEB 特洛伊木马（Trojan horse）
病毒码发布日期: Sep 18, 2006
解决方案:
Identifying the Malware Program
To remove this malware, first identify the malware program
Scan your computer with your Trend Micro antivirus product
NOTE the path and file name of all files detected as TROJ_CLAGGEB
Trend Micro customers need to download the latest virus pattern file before scanning their computer Other users can use Housecall, the Trend Micro online virus scanner
Editing the Registry
This malware modifies the computer's registry Users affected by this malware may need to modify or delete specific registry keys or entries For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 40
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Malware Entry from the Registry
Open Registry Editor Click Start>Run, type REGEDIT, then press Enter
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>
SharedAccess>Parameters>FiREWaLLpolicy>StAnDaRDPrOFiLe>
AUtHorizedapplications>List
In the right panel, locate and delete the entry:
{Malware path and file name} ="{Malware path and file name}::ENABLED:0"
Close Registry Editor
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers
Users running other Windows versions can proceed with the succeeding solution set(s)
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution
Scan your computer with Trend Micro antivirus and delete files detected as TROJ_CLAGGEB and TROJ_KEYLOGCO To do this, Trend Micro customers must download the latest virus pattern file and scan their computer Other Internet users can use HouseCall, the Trend Micro online virus scanner

特洛伊木马！特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和 *** 作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。
大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。
服务器向攻击者通知的方式可能是发送一个email，宣告自己当前已成功接管的机器；或者可能是联系某个隐藏的Internet交流通道，广播被侵占机器的IP地址；另外，当特洛伊木马的服务器部分启动之后，它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到 *** 控用户机器的目的。
特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。实际上，只要用一个预先定义好的关键词，就可以让所有被入侵的机器格式化自己的硬盘，或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器，然后针对某一要害主机发起分布式拒绝服务攻击（Denial of Service，即DoS），当受害者觉察到网络要被异乎寻常的通信量淹没，试图找出攻击者时，他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户，真正的攻击者早就溜之大吉。
特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害

---