著名的匿名上网软件Tor，从9月24日中午开始，在大陆地区开始不能连接成功。其具体症状是第一步连接所有目录服务器都不成功；而连接到第一个节点时，进行TLS握手时连接不成功或是请求出现两个"DONE"但连接被重置（很可能是因为TLS请求里被分析出了容易实现匹配的指纹）。24日晚主要是第二个症状；到了25日就完全卡第一个上（Tor显示Bootstrap进度卡在5%）。
他们把一个个新的IP段、一个个新分析出来的域名和关键词加入规则列表，我没说什么。因为这毕竟是黑名单而不是白名单；
他们和HTTP 8580、HTTP 9666的开发者玩猫鼠游戏，我也没说什么。因为那些开发者本来就属于一群认为嘴炮能喷倒世界第三的枪杆子的蠢货。
他们封了SOCKS4 9050，我能说什么？也许只能说，他们之前不过是懒得做而已。开源软件可比那些原理简单却千方百计加壳的东西好分析多了，Tor的这两个弱点早就被洋人给提了出来。而反观现在Security through obscurity随着tor国内用户越来越多而接近失效了，那该来的还是照样该来。

Update 9.27 0:30
Tor不愧是有DoD、VOA赞助的项目，0.2.1后加入了一个桥接到目录服务器和整个Tor网络的功能。请参照Tor的manual，查找Bridge 和UseBridges 两个torrc配置文件文件的选项。默认Win下torrc应该在%appdata%\tor下，Mac、Linux下应该在~/.tor下。如果不存在，可以新建之。
Tor官方提供了一个查询现有桥接节点的服务，gmail（一定要用gmail）bridges@torproject.org ，正文为 "get bridges"就能得到三个现有桥接节点。编辑torrc文件，加入这几行
UseBridges 1
Bridge 桥接节点IP:端口
注意回复邮件中的那几个hash值不要写。
然后启动tor，应该能够连上目录服务器和整个Tor网络了。如果得到节点目录后把UseBridges改回0，那还是不一定能上的。因为那个根据TLS握手协议的指纹的包过滤仍然会阻止tor连接。

Update 10.3 0:30
发现至少在电信的网络上，连接tor的第一次TLS握手不再有两个DONE的错误。士兵踢完了准备了N个月的正步，看来那些人终于有机会放一次假了。至于连接目录服务器，我就还是没有稳定过。

Update 10.3 21:30
看来他们放假还是没有超过一天，到晚上，密集的双DONE和NOROUTE又出现在tor连接的85%。

由于改用Pidgin，我已经有一段时间没有用过官方的MSN Messenger了。最近两个月，我回过来查阅MSN Messenger的资料的时候，发现MSN9 Beta并没有最后以Messenger 9之名发行，而是一步把版本号跳到了14（也许是发现了他们服务器日志上所谓9.0.9001、10.5.6001这样只有可能出现在我的修改版中的版本号，也许是为了把Messenger作为Office 2010的一部分而做的版本号统一）。微软当初把WinWord2.0一步跳到6，PowerPoint4.0一步跳到7，第一次为了和Mac版统一，第二次是为了和Office 95（7.0）统一。
今天应该是MSN Messenger历史上第二次不封闭协议而强制全部更新，第一次请看对付微软强制要求升级Messenger 7.x到8.1的办法。在那篇文章中，我使用了修改资源文件的方法成功使Messenger受到欺骗，将不符合实际版本的版本号发到了M$服务器，使得验证通过。现在，在8.x都被强制更新的情况下，这个方法，仍然应用于7.5版的Messenger上，居然仍然有效。这说明，Messenger 7.5使用的MSNP12协议仍然有效，可以继续使用。而目前可以确定的是，Messenger 8.5使用的MSNP15仍然也是有效的，因为pidgin 2.5.2自带的MSN插件就是使用的它，今天登录也没有任何问题。

至于8.x的修改，我并没有经验。不过根据资源里的版本号确定自身的版本号这实在太愚蠢，因此我并不对8.x能修改成功抱多大希望。

Windows 7 RTM都半个多月了，我坚持使用XP已经好几年，06-08年的Vista使用并没有使我有多少更换系统的打算。但是，Win7在各大IT媒体的被热炒，让我也忍不住把其RTM 6.1.7600给装上了。
和Vista不同，Windows 7并不包含我的ThinkPad R60的Mobility X1300显卡的驱动。好在Windows Update直接找到了一个不过10多兆的驱动，这样就不用安装烂泥窝官方那个2007年的Vista驱动了。

我Vista在早期的Windows 用户体验分数是2.0，后来更新显卡驱动后分数变为3.1。Win7下，这个分数增加到3.6，不知是因为总分从6分增长到7分带来的成比例增长，还是机器确实变快了。
同时运行三个版本（Windows NT3.51、Windows 95、Windows 7）的画图 程序，看看这么多年发生的变化吧。Win7对OLE自动注册文件类型作了限制，许多讨厌的自动注册文件类型的老软件就算关闭UAC，同样会弹出什么更新系统注册表失败这样的提示。

记得我以前说过一个Windows Vista UAC的严重不足之处（一）（二） 吧。事实上，虽然Windows 7的UAC作了很大改进，可以在四个级别中选择UAC级别，但其本质上的改变不过是加了个对运行的exe是否属于Windows 7的一部分的签名检查以及根据这个而进行的对是否允许提权的进一步判断。在Windows 7中，那个验证文件签名而决定提权的consent.exe进程和两个服务仍然存在，但是它至少不再会把整个要验证的EXE给拷到%Windir%\Temp下面了。不过，很多国内软件和盗版软件都是一个安装程序EXE几百上千兆，但这个consent居然还是会把整个文件给读上一遍，硬盘上还比较好说，在低速设备如U盘和光盘上就。。。。。我用于测试的一个光盘上500多M的软件安装程序，双击之后过了4、5分钟都还在疯狂读盘！而在管理权限的cmd下，两三秒就跳出来安装界面了。
有兴趣的朋友还是可以在没有关闭UAC的前提下去把下图两个服务禁用试试，绝对能够使任何要求提高权限的东西出错！不过，如果想恢复，就只有进安全模式用Administrator了。

WMP的新版本12添加了通用MPEG4、H264解码器和mov/mp4分离器。而且像MPC原版之类的软件同样能够利用这些新解码器。由于手上的安全工具如IceSword、Sniper Sword等都不兼容Win7，我也没有查出这些新的分离器/解码器是哪些DLL。

在32位的Windows 7下，NTVDM仍然存在并运行得很好。以下是运行16位程序的部分截图。至于DOS程序，和Vista的情况完全一样，也是字符模式的程序能窗口运行，图形模式的程序运行不了。

使用了2个小时Win7正式版，还是觉得UI上有一些问题。一是任务栏的改变有些过头了。众所周知，控制菜单这个从Windows 1.01就出现的窗口元素，从Windows 95开始就是右键点击任务栏项目打开。而在Windows 7这个集任务栏和快速启动栏为一体的新任务栏上，点击右键，却根本看不到控制菜单的任何影子；但是点击窗口的控制按钮，弹出的控制菜单和以往的Windows毫无区别。然后，把所有的网络连接都显示在一个图标上，而且需要多次选择才能看到一个连接的状态窗口，这也许是Windows 2000引入网络状态显示图标以来最大的一次倒退了。
至于内存占用、启动速度、关闭系统速度之类，我都觉得和Vista很相像。启动时仍然要占用600多M左右的PF（Windows Vista后的任务管理器能够直观看到的只有物理内存占用，而PF占用被压到了下面），可能关闭什么superfetch之类可以有所改善。启动绝对不像某些gun文吹嘘的那样比XP还快，但是关机和Vista一样，非常快。安装后加上1G页面文件、768M休眠文件大概占用8G不到，比起Vista的U版事实上也差不多（Vista在这样的情况下大概占用9G空间）。
待使用几天后，我可能会后续发几篇进阶感受。

一直以来很多人认为Flash从头开始就是由Macromedia开发的，后来和Macromedia一起被Adobe收购。其实不然。
Flash 和Powerpoint一样，第一个版本并非由其公司自身开发。不过，Flash的前身并不叫Flash，而叫FutureSplash Animator。
FutureSplash Animator由FutureWave公司于1996年5月推出，作为一个开发对Web友好的矢量动画的工具，它出现后不久就被当时的MSN和Disney看中，用来在其Web页上放置部分动画内容。1996年底，FutureWave公司被Macromedia收购，其FutureSplash Animator 2.0被以Flash 2.0的名义，改由Macromedia发售。
FutureSplash Animator使用的工程文件扩展名为.spa，影片文件名为.spl，影片的MIME类型为application/futuresplash，这些都与后来的Flash不同。但时至今日，如果你打开Mozilla/Webkit等浏览器的about:plugins页面，你都能在Flash插件支持的MIME类型中看到application/futuresplash。


我在网上好几年都没有看到FutureSplash Animator的正式发行版本，只能找到一个其Windows版的30天试用版安装程序。提供SkyDrive的下载地址如下：
http://cid-66b9967ec9d22dd4.skydrive.live.com/self.aspx/.Public/FLTRIAL.EXE
本来想破解其30天限制并绿色化的，但是我的破解能力不足。最后虽然破解了时间限制，但是还是需要向Windows安装目录下复制一个hstvf.sys的文件（不是驱动程序文件，只是当初为了伪装而把安装天数统计放在这样一个文件里。在我的破解中，此文件任意内容都有效。）
http://cid-66b9967ec9d22dd4.skydrive.live.com/self.aspx/.Public/FutureSplash%20Animator%20Trial.rar

AppleWorks 是当年 ClarisWorks 软件的后继者，也是当初苹果最早体现Mac理念的软件群——MacPaint、MacDraw、MacWrite等等的集合体后继者。进入21世纪后，因为苹果全力转向支持iWork、FileMaker等生产力软件，低端的AppleWorks最终于04年停止更新，在iWork' 08推出时彻底停止支持。该软件主要为Mac OS 8/9/OS (Carbon CFM)版本，但是也出过一个销量很低的Windows版本。其实Windows用户现在想体验这个软件并不需要去找盗版直接下载，使用一些公开下载的东西就能达到目的。
首先，去 http://support.apple.com/downloads/AppleWorks_6_2_2_for_Windows 下载 Windows 版 AppleWorks 6 的最终升级包。也许是由于Installer VISE制作文件补丁式升级包不太方便，还是苹果的人懒，这个升级包竟然包含了一份基本可以运行但不完整的 AppleWorks 6.2.2。
使用Universal Extractor 版本1.6 (http://legroom.net/software/uniextract) 解开这个Installer VISE的安装包，解开的目录下应该有一个 Main 目录和一大堆安装程序用的文件。进入 Main 目录，拷贝出其中的以下文件进入任何一个新目录：
AppleWorks.exe （主程序）
AppleWorks.qtr （主程序资源，Mac OS rsrc格式）
Assistants.qtr （“助手”功能资源文件）
ProofReader.dll（拼写检查功能 DLL）
PDDLLW32.dll（未知，应该也和字处理有关）
在AppleWorks.exe所在的新目录下建立 AppleWorks Essentials目录，
在里面再建立Dictionaries、Translators两个子目录。
将 Main 目录中所有的.ief文件复制到刚才建立的Translators目录（一部分文本转换器）
将 USA91.THS、ENGPHON.ENV复制到刚才建立的Dictionaries目录（拼写检查用的字典）

如果你已经正常安装了版本7.1.3以上的QuickTime，直接在QuickTime安装目录下的QTSystem子目录找到qtmlclient.dll，拷到AppleWorks所在的目录，那么AppleWorks应该就可以正常运行了。
如果安装的是版本6.x或者以下版本，那么还需要从
ftp://ftp.apple.com/developer/Development_Kits/QuickTime_4.1.2_SDK_Windows.zip
ftp://ftp.apple.com/developer/Development_Kits/QT_5.0.1_Win_SDK.zip
ftp://ftp.apple.com/developer/Development_Kits/QT6SDK_Win.zip
这三个SDK包中根据你的QT版本，下载并解压出qtmlClient.dll。注意，AppleWorks 6 for Windows 至少需要 QuickTime 4.1.2 for Windows 才能运行。
如果你不想安装QuickTime，还是有办法的：先找一个版本6.x 的 QuickTime for Windows 完整安装包（最好是6.4、6.5）。
提供个地址：
http://qtinstall.info.apple.com/mickey/us/win/QuickTimeFullInstaller.exe （应该是QuickTime 6.5.0）
下载回来，仍然用Universal Extractor解开，还是找到Main目录，拷出QuickTime.qts、QuickTimeAuthoring.qtx、QuickTimeImage.qtx、QuickTimeInternetExtras.qtx（AppleWorks有这3个qtx就差不多能跑了）到AppleWorks 的目录下。如果有必要，可以先把QuickTime.qts拷到Windows的system32目录下，以管理员身份运行Main目录下那个QuickTime.cpl控制面板，进入视频选项，选择Safe mode (GDI only)，然后把 System32下 生成的QuickTime.qtp也拷到AppleWorks 的目录下，这样 QuickTime 6 在Windows Vista/2008/Windows 7下就不会导致Aero Glass关闭。
这样下来，把QuickTime 6的基本文件包含上，就是一个可以随身携带的 AppleWorks 6 半吊子版。可惜的是没找到支持双字节的版本，要不然平时拿来当个增强的Windows 写字板、画笔 用，完全够了。

日期：2009年7月17日。北京时间15点半。
最近对相册的打击似乎愈演愈烈。flickr时好时坏，这一次又轮到两个新的了。
imageshack.us，直接连接=被重置，域名解析正确，IP还是能连接的。搜索发现，关键词就是imageshack.us。
请自己搜索：http://www.google.com/search?hl=en&q=imageshack.us&aq=f&oq=&aqi=
http://www.yahoo.com/r/sx/*-http://search.yahoo.com/search?p=imageshack.us&fr=yfp-t-501&toggle=1&cop=mss&ei=UTF-8&fp_ip=CN&vc=
另外，Google的Picasa在线相册服务也发生了当初如Flickr第一次被折腾时的症状，网站能打开，但所有图片看不到。
关键词是.ggpht.com。
请自己搜索：
http://www.google.com/search?hl=en&q=.ggpht.com&aq=f&oq=&aqi=g10

对大陆杀毒软件发展史稍有了解的人都知道当初王江民的KV300L++中曾经针对使用一种盗版盘制作工具的盗版KV300用户进行了凶狠的报复，史称“江民逻辑炸弹”事件。我今天翻出了一张老的盗版盘，里面有当时那个工具的升级版、恢复逻辑炸弹的修复工具，而更重要的是有当时网上讨论的一些言论记录。

“软件是没有感情和理智的，它只是按照设计者的设定来实施，一旦哪一天它认为你盗了它的版，或者你的什么操作不合它的“心意”，你就惨了！”
这个包我已经上传到了我的SkyDrive上。
http://cid-66b9967ec9d22dd4.skydrive.live.com/self.aspx/.Public/Dossoft/KV300M.rar
另外给这样一个链接:
http://www.moon-soft.com/program/bbs/docelite6889.htm

北京时间2009年6月24日，晚22时20分。

C:\Users\yksoft_user>nslookup www.google.com
*** Can't find server name for address 192.168.18.1: No response from server
Server:  resolver1.opendns.com
Address:  208.67.222.222

Name:    www.google.com
Address:  64.33.88.161

这个IP是那永远不可能连上的8个IP之一。

C:\Users\yksoft_user>nslookup google.com
*** Can't find server name for address 192.168.18.1: No response from server
Server:  resolver1.opendns.com
Address:  208.67.222.222

Non-authoritative answer:
Name:    google.com
Addresses:  74.125.127.100, 74.125.67.100, 74.125.45.100
这三个IP呢？

C:\Users\yksoft_user>tracert 74.125.67.100

Tracing route to gw-in-f100.google.com [74.125.67.100]
over a maximum of 30 hops:

  1     *        *        *     Request timed out.
  2    62 ms   112 ms   120 ms  222.247.29.89
  3    62 ms    66 ms    58 ms  61.187.255.233
  4    89 ms    71 ms    71 ms  61.137.2.177
  5    73 ms    93 ms    64 ms  202.97.46.29
  6   161 ms     *      253 ms  202.97.35.69
  7   128 ms    90 ms   107 ms  202.97.37.117
  8   246 ms   279 ms   301 ms  202.97.33.62
  9   302 ms   255 ms   229 ms  202.97.33.2
 10   350 ms     *      252 ms  202.97.33.5
 11   357 ms   346 ms   229 ms  202.97.5.138
 12   282 ms     *      275 ms  209.85.249.192
 13   556 ms   641 ms     *     216.239.43.212
 14   586 ms     *      677 ms  209.85.241.210
 15   612 ms   757 ms   593 ms  209.85.249.18
 16   709 ms   655 ms   649 ms  209.85.242.215
 17   660 ms     *      531 ms  72.14.239.131
 18   725 ms   712 ms   722 ms  209.85.255.198
 19     *      696 ms   630 ms  gw-in-f100.google.com [74.125.67.100]

Trace complete.

看上去还是能通。然而Google直接80端口上.com会被重定向到www，又上到了那8个IP中的一个。

D:\OperaTor\Tor>tor-resolve  www.google.com
202.181.7.85

这个呢？

D:\OperaTor\Tor>tracert 202.181.7.85

Tracing route to 202.181.7.85 over a maximum of 30 hops

  1     *        *        *     Request timed out.
  2   119 ms   126 ms    57 ms  222.247.29.45
  3   117 ms   163 ms     *     61.187.255.221
  4    60 ms   125 ms   116 ms  61.137.0.133
  5   152 ms   155 ms   201 ms  202.97.40.173
  6   370 ms   303 ms   339 ms  202.97.35.57
  7   124 ms   180 ms   190 ms  202.97.48.26
  8     *        *        *     Request timed out.
  9     *        *        *     Request timed out.
 10     *        *        *     Request timed out.
 11     *        *        *     Request timed out.
 12     *        *        *     Request timed out.
 13  ^C

然后再来看一个：

http://search.yahoo.com/search;_ylt=A0oGkwScNEJKIUMBSjil87UF?p=.google.com&fr=sfp&fr2=&iscqry=

重置了吧？

看来这次又是这年来常用的三层一起上，而且这次是罕有的事先放出风声（对李开复的流氓分公司做出“暂停海外搜索”的处罚），决不会像前年6月雅虎那样就来一天时间。这次依赖于Google的许多人受影响可就大了！

Update 6.25 早9：10：看来是我的预计错误，或者是影响过大，这次的时间居然比前年的雅虎还要短。今天早上Google总部的所有服务都能用了。

再Update 6.25 早9：50：向www的DNS请求仍然时不时被劫持。看来果然事件还没有结束。

再Update 6.25 晚19：45：经历了中国电信主干网络接近两个小时的严重问题之后，其防火墙系统的工作却并没有受到影响。

再Update 6.25 晚23：30：使用本地的DNS，同样能够正常进入google.com。事件终告一段落。

经我的测试，在 VMWare 中干净安装的 WinXP 中安装的目前3.17版的“绿坝”确实能被卸载干净。
运行截图：

找到的下载地址：
http://rapidshare.de/files/47496697/LBUninstall-v317-v1.0.rar.html

我认为7月1日那个版本，因为3.17版已经被各路高手翻了个底朝天，业余性暴露无遗，因此一定会有大范围改动的。到时候这个管不管用，就很值得怀疑了。

Update 6.13 16:30：6月12日此软件又有两种不同的更新，其中有一种更新似乎不再监视记事本等程序。但是这个工具此时仍然能发挥作用将其完全卸载。

Update 6.21 21:30：此软件最新的3.174版本仍然能被此工具彻底卸载。另外，其Winsock LSP层的关键词过滤有效果了。但那个洋大人发现的栈溢出漏洞仍然有效。

Update 8.5 0:50：原链接已经失效。我提供新的链接，其中是这个卸载工具的修正版：
http://cid-66b9967ec9d22dd4.skydrive.live.com/self.aspx/.Public/LBUninstall-v317-v1.02.rar

这应该是一些我发现了而别人没有发现的东西。
1、服务Mpsvcc.exe有 -removejh 的参数，用这个参数运行就会自删除服务和自动停止；hnceng.exe有类似的 -remove 参数。这两个服务被中止后，“绿坝”就立即形同虚设（至少最重要的关键词过滤没用了）。
2、会尝试往所有进程都注入个InjLib32.dll，但是在其进行文字过滤时（被文字过滤的程序还会进一步注入Handler.dll、HncengPS.dll和Sentenceobj.dll），对进程名是有要求的（如notepad.exe会被注入，而改名为np.exe就不会）。而那个Handler.dll似乎还有Hook API保护文件、注册表项和键值的能力。
3、图像过滤功能是检测IE缓存中的图像，经常突然无法使用，而且对.png的图片根本就不会过问。
4、负责弹出那个 此信息不良 的模块叫做poppo.dll。
5、和我之前想的不同，其实那个winsock LSP dbfilter.dll 有分析HTTP请求，监视某个黑名单中的url并关闭连接的功能。但是它并不会通过分析URL后继续抓包分析关键词，因此在IDS角度看仍然非常简单，没有某第2层那样的能力。
6、其日志文件的“加密”方法是把每个字符的值加1。。。
7、hnc关键词分析过滤组件和winsock lsp URL过滤组件之间是独立的。
8、xnet2、mpsvcc在启动时会自动试图恢复Winsock LSP组件，但是xnet2却不能恢复mpsvcc和hnceng，在后两个服务被删除/卸载的状态下，xnet2会干脆报错退出。
9、xdaemon和xnet2构成双进程保护。

我认为，要完美卸载这个版本的绿坝，需要知道其自身文件列表。我的Thinstall快照可以拿来参考。第一步是把mpsvcc和hnceng用自带
参数卸载掉，然后结束xdaemon/xnet2，然后把已经注入的DLL之外的文件全部删除，删除各注册表项，恢复Winsock LSP表，那几个剩下的DLL，重启后删除就没问题了。

update 6.15:有人告诉了我绿坝.dat文件解密的方法（一种一个字节变成两个字节的算法，具体看程序），因此自己写了一段小程序。
/*绿坝.dat加密文件解密程序*/
#include<stdio.h>
#include<string.h>
typedef struct gd16word{
        unsigned char lo;
        unsigned char hi;
        }gd16wrd;
char decgd16(gd16wrd a)
{unsigned int r1,r2,r3;
r1=a.lo<<4;
r2=a.hi&15;
r1=r1|r2;
r1=~r1;
r3=~r1^(char)r1;
r3=r3&51;
r2=r1^r3;
return (char)r2;}
    
main(int argc, char* argv[]){
      char ofn[300];
      char c;
      int d,i;
      gd16wrd buf;
      FILE *fi,*fo;
      printf("GreenDam 3.713 .dat decoder by yksoft1\n");
          if(argc<2)
    {
        printf("Usage: gd16d inputfile, [output file]\r\n");
        return;
    }
      if ((fi = fopen(argv[1], "rb")) ==NULL){
      printf("Error opening input file %s\n",argv[1]);
      exit(1); }
      if(argc==2)
      {strcpy(ofn,argv[1]);
       i=strlen(ofn)-1;
       while(i>0&&ofn[i]!='.')
          i--;
       ofn[i]='\0';
       strcat(ofn,".txt");
      }
      else strcpy(ofn, argv[2]);
      if ((fo = fopen(ofn,"wb")) ==NULL){
      printf("Error opening file for output!\n");
      exit(1); }
       while(fread(&buf,sizeof(gd16wrd),1,fi))
      {
       c=decgd16(buf);
       if(c!=22)/*回车换行0D 0A在原文件实际上就是回车换行符，解密后成为16*/
       fprintf(fo,"%c",c);
       else fprintf(fo,"\r\n");
      }
      fclose(fo);
      fclose(fi);
      printf("Completed decrypting %s to %s",argv[1],ofn);
}

Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN) AppleWebKit/530.17 (KHTML, like Gecko) Version/4.0 Safari/530.17
经过半年以上的开发，Safari 4.0终于更新至正式版本。正式版本保留了Public Beta版本的新功能——书签 Cover Flow 浏览视图和 Top Sites 带特效的最常访问列表。但是Public Beta版最特别的地方——类似Chrome的把标签页内置于标题栏的做法，并没有保留下来，而是使用了传统的标签栏置于工具栏、书签菜单之下的做法。这次Windows版中，关闭标签的按钮终于移动到标签右侧而不再和Mac版一样是左侧了。
不过，Public Beta版中的Windows专用UI，这次基本保留下来。但地址栏中的文本键入的柔化显示被禁止，可能是为了减少拖慢吧。



下载：http://www.mediafire.com/?yyindmyldmo

此软件确实能达到一些效果。不过经过我的测试，在很多方面，它都相当地符合病毒、木马和流氓软件的定义。

1、所有模块和数据文件安装在Windows、System32目录下，安装服务，安装驱动程序和WinSock过滤器。

2、无卸载程序，无任何安装日志。

3、尝试注入各进程，因而实现关键词过滤、文本过滤等很多功能。

4、2进程与一服务的互相守护，ring3下防进程终止保护。

5、通过WinSock过滤器实现所谓的“上网时间限制”（我搞不明白，既然已经作了winsock过滤器，为何不拿它来做一个真正的本地IDS系统而还要在应用程序上下功夫？）

6、没有ring0级别的防御和病毒木马常用的IFEO劫持、getwindowtext过滤之类的自我保护。这样，在IceSword、SnipeSword（狙剑）等安全工具的强力攻击下，整个软件很快就会被完全击溃（唯一麻烦在于WinSock SPI）。

我的建议是：增加对软件的getwindowtext过滤和特征码过滤（现在的东西可不是靠一个文件名就能唯一识别的）；把文字过滤项转移到winsock层，可以对任何网络程序进行过滤而不是仅仅针对IE内核的浏览器；日志要加密，要搞后台自动发送，截图要压缩。。总之果然是典型的国产半吊子货，还有，我搞不清这个和某个MatinSoft的GoldTach个人防火墙的关系。

我用Thinstall对软件作了一个快照（有驱动，因此想绿色化自然是不可能的），如果想研究的，可以去这里下载（怎么下载还是不用我说）。

http://www.mediafire.com/?sharekey=b88e2ce4ed1308ffd2db6fb9a8902bda

211.94.66.147
209.145.54.50
203.161.230.171
64.33.88.161
202.181.7.85
4.36.66.178
216.234.179.13
202.106.1.2

所谓第0层 不过就是监听任何UDP53端口的包 发现blacklist的域名 立即截断并把含假IP的新包发过去

不需要我做更多的解释 知道DNS是UDP协议 然后知道DNS poisoning的人 当然就明白

QuickTime 在版本2.5的时候就加入了MPEG软件播放功能。先暂时抛开这个的历史不谈（请参考 http://www.jolie.nl/quicktime/ ，QuickTime MPEG 最早是苹果挖走很早之前Mac上的一个称之为Sparkle的共享软件的作者的产物），就谈谈它从以前的版本（4.0到7.5）和这个7.6新版的一些区别吧。

功能\版本	QuickTime MPEG2的低版本	QuickTime MPEG/MPEG2 7.6
支持的音频流	MP2，LPCM	MP2，LPCM
支持系统流格式中的音频直接输出	否	是
MPEG2插件能否直接取代MPEG插件	是	否
对MPEG2隔行编码格式自动解隔行	否	否
支持QuickTime 7 Player 导出的“对源视频解隔行”的功能	否	否

使用最新的内部版QuickTime 7.6.2 for Windows（因为要绿色化因此使用Player 6.0），加上新版的7.6版本MPEG-2插件测试。发现，新的MPEG-2插件可以直接把.mpg/.vob中支持的格式的音频流视作单独的音频流导出。而使用以前版本的MPEG-2插件和MPEG插件则都做不到。其原因据以前某些人的解释，是因为以前的MPEG/MPEG2插件对于MPEG/MPEG2是一个完全独立的组件，而不是一个从分离器到解码器的完整解码架构，因此无法导出音频；而现在的版本应该解决了这一点。据我的初步分析（尚未分析其导出函数的区别），对于Windows版本，MPEG流分离器在7.6以上版本的QuickTimeMPEG.qtx中（如果换用低版本QT 7的或者 QT 6的这个组件，就算7.6版本的QuickTimeMPEG2.qtx存在，仍然无法解码MPEG2的.mpg文件，而如果这个组件不存在，就算7.6版本的QuickTimeMPEG2.qtx存在，也不能打开任何.mpg或者.vob而只能打开.m2v的MPEG2文件。）。而7.6版本的QuickTimeMPEG2.qtx，不仅不能解码MPEG1流，也不能解析MPEG包格式，也不能解码mp2音频——而老的QuickTimeMPEG2.qtx具有老的QuickTimeMPEG.qtx的一切功能，可以直接将其替代。
因此，这次苹果因为QuickTime MPEG2漏洞，而不得不把他们几乎10年都没有更改过的一个仓底物——QuickTime MPEG组件作了决定性的改动。

这两三天国内（中国大陆）很多地区的ISP的DNS服务都出现了down掉或者很慢的状况，最初（5月19日）我认定这是一次全国范围的网络“安全”实战演习。但是到了第二天，我却看到了完全不同的说法。

有人用dnspod放废品站--> dnspod被攻击，流量太大 --> dnspod所在机房被封IP --> dnspod下的所有域名访问不了 --> baofeng.com也访问不了 --> 暴风客户端不断重试 --> 国内所有的dns服务器都流量太大 --> 全都瘫痪

这是某朋友的推测。dnspod在大陆是一个很流行的DNS托管服务，其使用者估计以万计算。其被人DDOS瘫掉，为何能造成全国范围的DNS请求风暴呢？根据现有的信息，所有矛头都指向了暴风影音这个国内低端用户使用量最大的播放器，（其用户数和当年的Realplayer、部分非法打包的Media Player Classic是一个数量级）。暴风影音的baofeng.com也是放在dnspod上的，dnspod一瘫痪，baofeng.com很快就会被各DNS cache清空，暴风影音（现在的使用那个短命的“酷热影音”框架的版本，我称为酷热暴风）最得意的“特色”功能——疯狂phone home（已经不只是phone了，而是其home push大量的广告之类到客户端，当年跟一些洋人的流氓公司学的所谓“占领用户桌面”策略）就失去作用了。而这些流氓功能模块的作者又没有做好处理，据说是每sleep 100毫秒就重试连接一次。1秒一个客户端可能就会重试上10次，而根据暴风自己吹嘘的千万级别活跃用户，就能轻易产生每秒上G的DNS查询流量。DNS查询是一个一层层向上递归的结构，由此，国内各级别的DNS服务器都会受到巨大的压力，（尤其是各省ISP自己的、直接面对终端用户的DNS服务器）而导致全国各级DNS查询速度慢和down机的现象产生。

这次事件的核心问题还是开发酷热暴风的某个模块的程序员失误所致。现在暴风公司自恃其靠以前MPC时代的用户群基础，加上对自身所谓“易用性、全能性”的疯狂宣传和越来越疯狂地向客户端推送各种流氓广告，不仅占领了大量的用户桌面，而且其利润空间巨大，因而搞到了大量的风险投资，其流氓气焰正如日中天。这次一个域名服务被DDOS倒下，通过暴风这个bug居然造成了一场网络风暴，这下这个流氓公司里肯定有一批人得另谋出路了，而公司本身有这么大的小白用户群撑腰，又不缺人民币来打通关节，估计这次他们不仅不会有任何损失，而且很可能会进一步提高人气，哈哈。

哪天冯鑫等人脑袋一热，把这个非法打包、不仅违反Real、苹果、CoreCodec、Elecard等社的最终用户许可协议，更违反GPL、LGPL的怪物推到洋人的地盘，那么，看看洋人会怎么找上麻烦来吧！

另外，话说以前的酷热影音网站居然还能够上去。不过其论坛是关掉了，估计是因为广告机占领了整个论坛吧。

引用：

“集成播放器大战”的突袭者和牺牲者：酷热影音- YKSOFT Systems' Home

我简单地庆贺一下吧。2006.04.04 - 2009.04.28 YKSOFT's Home 三周年！虽然以后由于事务繁忙，可能连这个主空间都不会经常更新，但是，这个空间是绝不会荒废了。左边的所有链接都将被清理，有一些是不能用了。

QQ2005的繁体版和英文版是最后能够登录的QQ2005版本，而著名第三方软件Pidgin和Adium的QQ协议也是基于QQ2005繁体版。

北京时间2009年4月28日，QQ2009（基于QQHummer）的正式版发布有那么十几天了，其国际版本的发布也不过是时间问题（不过估计那Chinglish仍然如故）。今天，我的几个小QQ号突然无法用我的QQ2005英文版和Pidgin登录。检查信息，发现：

奇怪的是，我的主号还能用我的QQ2005上。大家都应该知道QQ的长时间不登录自动收回、验证码、版本登录权限都是和QQ号本身和登录的IP段相关的，估计我的主号比较特殊一点吧。不过我认为，很快主号也别想登上了。搞这个图来存证吧：

果然我一位朋友说的没错，6月前 QQ2008 以前的低版本的登录权限都会全部封掉，这个看似古老（其实更新时间大概是07年初 Vista 刚出的时候）的 QQ2005 的最高版本、08年之后唯一还能登录的版本就第一个被咔嚓掉了。

今后我得考虑下还用不用QQ，毕竟QQ2009不是一个容易便携化的软件，不合我的胃口。

反过来看MSN，我的Messenger 7.5改10.5至今仍然能正确登上。而且，M$N终于有所悔改，seamonkey下spaces的在线编辑器终于给我搞正常了。腾讯虽然终于做出了webqq，qq空间搞了全标准的new版，不过IM客户端过期的策略还是严了一点。

2会完毕，但是youtube今天（补正：3月24日）又被折腾了。而且还是两层。

C:\Documents and Settings\yksoft1.YKSOFT-PC>tracert www.youtube.com

Tracing route to www.youtube.com [216.234.179.13]
over a maximum of 30 hops:

  1     *        *        *     Request timed out.
  2    97 ms    60 ms   161 ms  222.247.29.89
  3   101 ms    61 ms   127 ms  61.187.255.229
  4    65 ms   105 ms    64 ms  61.137.2.173
  5    73 ms   129 ms    72 ms  202.97.40.45
  6   139 ms    89 ms    87 ms  202.97.35.57
  7    88 ms    87 ms   142 ms  202.97.48.26
  8     *        *        *     Request timed out.
  9     *        *        *     Request timed out.
10     *        *        *     Request timed out.
11     *        *        *     Request timed out.
12     *     ^C
C:\Documents and Settings\yksoft1.YKSOFT-PC>

自己google英文搜索 http://www.youtube.com

http://www.google.com/search?hl=en&q=http%3A%2F%2Fwww.youtube.com&btnG=Google+Search&aq=o&oq=

看看是不是又是连接被重置？

3月27日更新：看上去折腾累了。这几天好像非常奇怪，估计哪个敏感地区又发生了什么事情吧。

另外，看来最好的网络硬盘 Mediafire要像什么dodongo那样被永远折腾到死了。

3月30日下午：又来了又来了，和某个lamer又有关吧。。。

IE8正式版昨天出来了。第一时间装上，打开这两个网页来测试一下速度。

（webkit sunspider测试不是完全第三方的，而且对网速、机器的后台程序运行情况非常敏感，因此不用。还是用我惯用的celtic kane的测试程序）

http://celtickane.com/webdesign/jsspeed.php

比较下：

IE8

Test Description     Duration (ms)
Try/Catch with errors 47
Layer movement 219
Random number engine 31
Math engine 63
DOM speed 171
Array functions 16
String functions 16
Ajax declaration 1422
Total Duration 1985ms

Seamonkey 2.0b2 20090210 (tracemonkey 打开）

Test Description         Duration (ms)
Try/Catch with errors     32
Layer movement     66
Random number engine     13
Math engine     44
DOM speed     222
Array functions     8
String functions     7
Ajax declaration     36
Total Duration     428ms

Safari 4.0b2

Test Description        Duration (ms)

Try/Catch with errors    14
Layer movement    12
Random number engine    23
Math engine    57
DOM speed    13
Array functions    9
String functions    15
Ajax declaration    7
Total Duration    150 ms

Opera 10.0 a1139

Test Description        Duration (ms)

Try/Catch with errors    16
Layer movement    15
Random number engine    47
Math engine    47
DOM speed    31
Array functions    47
String functions    47
Ajax declaration    16
Total Duration    266 ms

http://celtickane.com/webdesign/jsspeedarchive.php

比较：

IE8

Test Type Runtime (ms)
Array object 63
Date object 31
Error handling 78
Math object 63
RegEx object 219
String object 46
DOM 110
Ajax declarations 250
Total Duration 860

 

Seamonkey 2.0b2 20090210 (tracemonkey 打开）

Test Type     Runtime (ms)
Array object     27
Date object     16
Error handling     7
Math object     12
RegEx object     129
String object     32
DOM     131
Ajax declarations     234
Total Duration     588

 

Safari 4.0b2

Test Type    Runtime (ms)
Array object    17
Date object    14
Error handling    33
Math object    33
RegEx object    50
String object    13
DOM    25
Ajax declarations    36
Total Duration    221

 

Opera 10.0 a1139

Test Type    Runtime (ms)
Array object    141
Date object    15
Error handling    32
Math object    47
RegEx object    78
String object    62
DOM    31
Ajax declarations    47
Total Duration    453

 

可以看出，Safari新版的高JS性能绝不是吹的。而IE，虽然已经大大更新，还是和06年一样，垫底。

这是我07年在同一台Thinkpad，同一个XP SP2系统上用第一版的http://celtickane.com/webdesign/jsspeed.php测试的数据。

http://yksoft1.spaces.live.com/blog/cns!66B9967EC9D22DD4!277.entry

可以看出IE8运行这个老的测试和IE7相比只提升了100多毫秒，而最快的safari、opera更快了，而Mozilla的速度在有了tracemonkey后，快了差不多一倍。

C:\Documents and Settings\yksoft1.YKSOFT-PC>nslookup google.com
Server:  resolver1.opendns.com
Address:  208.67.222.222

Non-authoritative answer:
Name:    google.com
Addresses:  74.125.45.100, 209.85.171.100, 74.125.67.100

这是OpenDNS解析出的google.com的三个IP。

其中前两个我这里是可以直接连上的。而这三个的先后顺序是随机产生的。根据多数软件进行域名解析的规则，它们都会选择第一个IP进行连接。

但是。。

Last login: Sun Mar  8 18:22:11 on ttys000
Mac-mini:~ (用户名隐藏)$ traceroute google.com
traceroute: Warning: google.com has multiple addresses; using 74.125.67.100
traceroute to google.com (74.125.67.100), 64 hops max, 40 byte packets
 1  114.245.192.1 (114.245.192.1)  59.742 ms  19.680 ms  35.331 ms
 2  bt-208-077.bta.net.cn (202.106.208.77)  8.068 ms  9.442 ms  8.314 ms
 3  61.148.155.181 (61.148.155.181)  8.550 ms  8.104 ms  7.355 ms
 4  61.148.156.65 (61.148.156.65)  8.006 ms  11.864 ms  8.517 ms
 5  202.96.12.201 (202.96.12.201)  9.034 ms  8.779 ms  9.724 ms
 6  219.158.4.186 (219.158.4.186)  38.956 ms  37.301 ms  39.808 ms
 7  * * *
......

Tracing route to gw-in-f100.google.com [74.125.67.100]
over a maximum of 30 hops:

  1    24 ms    29 ms    15 ms  221.9.118.1
  2    19 ms    15 ms    19 ms  122.139.67.133
  3    17 ms    17 ms    19 ms  ppp6.ly.jl.cn [202.98.27.133]
  4    16 ms    19 ms    18 ms  125.32.127.125
  5    38 ms    40 ms    38 ms  219.158.13.73
  6    57 ms    59 ms    59 ms  219.158.4.98
  7     *        *        *     Request timed out.
  8     *        *        *     Request timed out.
  9     *        *        *     Request timed out.
10     *        *        *     Request timed out.
11     *        *        *     Request timed out.
......
22     *        *        *     Request timed out.
23     *        *        *     Request timed out.
24     *        *        *     Request timed out.
25     *        *        *     Request timed out.
26     *        *        *     Request timed out.
27     *        *        *     Request timed out.
28     *        *        *     Request timed out.
29     *        *        *     Request timed out.
30     *        *        *     Request timed out.

Trace complete.

之后都是*了。

这是网通的结果；电信的貌似也差不多。

10    37 ms    39 ms    38 ms  202.97.44.170
11     *        *        *     Request timed out
12     *        *        *     Request timed out
13     *        *        *     Request timed out
14     *        *        *     Request timed out

差不多可以确定，74.125.67.100在跟踪超越了电信、网通的出口路由器后，就全部超时。这意味着什么大家应该清楚。

折腾了youtube，又折腾google。测试也没必要拿这种大站来测试吧。不过google 三个IP只封一个这种办法不错，给局外人造成他们什么都没干，是对方的问题的假象。聪明。

另外，有最新报告，google搜索 ax.itunes.apple.com/WebObjects/MZStore.woa/wa/storeFront 这个URL会导致连接被重置。又有什么奇怪的东西出现在itunes store上了？这个不知道。

更新 3月9日晚8点：iTunes Store又可以了。看来折腾够了，是不？google.com（不是www.google.com的智能解析，可能解析到不是国外的服务器）还是可能解析到74.125.67.100，还是可能碰上墙。