081128【假行善，真聯誼－聖誕節特輯之願望遊戲】

【假行善，真聯誼－聖誕節特輯之願望遊戲】

遊戲宗旨:

　　有句話說幫助別人就是幫助自己，幫助別人自身會產生一種無法言喻的喜悅，本遊戲目的在於體驗能幫上忙那份自我能力肯定的快樂。

參加資格:

　　有意願幫助別人且無假藉願望來滿足自己私慾的正心善良人士

遊戲規則:

　　請將自己小小的心願(注意，一定要小小的)用悄悄話留下，並留下自己的MSN以便讓你的小天使連絡，主辦單位將彙整願望後以隨機取樣方式分發給參加者，拿到願望卡後請盡心盡力幫助他人實現願望，請以認真的心態正視他人的小小願望，你的幫助對他而言是很重要的。

　　請小主人於活動結束後將成果(你的願望以及小天使如何幫助你等過程簡單回報本單位，本單位將陸續選出有趣的願望及實現過程。越有趣有爆點的越有可能上版喔，請大家在幫助別人之餘可以順便發揮自己的創意。

收件截止日期：08.12.23. PM7:00

公佈日期：08.12.24. PM7:00

活動結果公佈：農曆過年會給大家一個交代的。

 

備註:請保持遊戲過程中內心的良知，心無雜念

【主辦方】允喵　

　活動網誌 http://www.wretch.cc/blog/jyjen/14514149

　請要參加的朋友把資料以留言的方式留在活動網誌

　請大家踴躍加入，一起過個美麗的聖誕節～

　　　　　　　　　　　　　　By Cathy 11/28 2008

071124 用之不盡的愉悅

　　也許金錢能增加一定的快樂,但是最大的快樂卻不是因為金錢...

　　我是個窮學生,也是廉價勞工,累了半天拿不到薪水的研究生住院醫師,但是我每天都很high,都很快樂...

　　每天看到患者對我笑咪咪的,看到一個一個最初因恐懼不敢進醫院,最後看到原本缺陷的臉變得完整一些而快快樂樂出院的,我心理真的都好開心,好高興...

　　我能陪伴他們度過對手術的恐懼,我能幫他們加油看著他們康復,看著我的患者在術後看見我而伸出手對我的依賴,握著他們的手陪他們度過...這些都是我快樂的泉源

　　也許是我比較雞婆吧,我總是會在基本上能不耽誤工作的前提下,多去看看我的病人,多跟她們聊兩句,我相信,我這樣小小的動作,在她們的心理有一定的安定與溫暖的作用...

　　我做這些,並不是要換得他們的感激,我只是因為他們快樂,而我也跟著快樂起來...當然,在最後,他們總是會跟我說,"吳醫師...你真是個好人,在哪都找不到你這樣好的大夫阿...要出院很開心,但是很捨不得你阿..."

　　真的,有你們的肯定,就真的足夠了...

　　其實我真的很累...每天回家就是洗澡睡覺,連看書的時間都很少,但我卻覺得我有取之不盡的幸福,用之不竭的快樂,感到幸福的是,上天賜給我一個好父親,支持著我,給我一個完整健康的身體,讓我能幫助別人,給我一個能夠吃飽穿暖的環境,讓我免除了生活上的煩惱...在這有些人只圖有一個溫暖的家.一頓吃飽的飯.一副完整健康的身體的社會,想想我所擁有的,我真的是太幸福了,而我最大的快樂,就是看著我身邊的人都快樂...

　　我真的相信,笑容.快樂.與善意都是互相的...

071103 被遺棄的希望

該面對的,總是躲不過...

　　好像命運就是這麼巧妙,你越不想去面對的,命運總會在適當的時機,讓你必須去面對它. 以前我曾說過,我最討厭勸說不聽,哭鬧不休的小惡魔,所以打死我也不選兒科,然而我卻忘了,整形外科的修復組裡的唇顎裂, 全部都是小孩子,9成是兩歲以下, 只會哭,大人說話也不聽的幼兒...

　　現在,我手上的患者,全部都是我當初不想面對的...

　　其實,會哭的只是佔少數,而那少數全都是歇斯底里的,只要你穿白衣,他看到你就死命哭, 當我把醫師服換下後, 看到我還是會對我笑的

　　由此證明,絕對不是我的長相把孩子嚇壞了,全都是白衣的錯...

　　這些孩子...是未來的希望,他們睡著的時候,真的好像天使,每個都好美,然而,他們大多數都來自社會福利院,也就是孤兒院...

　　我想,大概是因為父母接受不了並非完美的孩子,或者是父母的期望破裂...從憤怒悲傷,到否定...否定這孩子是他們所生?然後,就這樣,把一個充滿希望的孩子,冷漠地交由自生自滅,由命運決定.

　　孩子何辜?造成唇顎裂的因素太多了,但絕非是孩子自己想長成這樣的,再說,唇顎裂不是不治之症,更不是要動輒上萬元的富貴疾病,只要一次手術,孩子可以恢復得和正常孩子沒有區別...

　　為什麼呢...?

　　就算一個出生時完美的孩子,在遭受命運各種磨難後,可能會車禍.可能會火燒,難道...到那時候,孩子也會被遺棄嗎?

　　小小的希望們...希望你們長大後,不要悲觀地認為你們是被拋棄的,起碼還有一群人,還有我,從未放棄你們...也許當你們出生那一剎那,有人認為你們很醜,甚至像怪物? 但是請相信我,不只我,看過你們的人都覺得你們真的很美,很可愛...

　　當然,除了你們放聲大哭的時候...

透析Svchost進程清除後門

　　網上有很多關於Svchost.exe的討論，我們今天首先來看一下Svchost.exe的原理，工作方法，然後結合著名DLL木馬，實戰瞭解一下使用Svchost.exe進行啟動的木馬的清除，希望大家能夠有所收穫。

　　Svchost.exe是NT核心系統非常重要的檔，對於Windows 2000/XP來說，不可或缺。Svchost進程提供很多系統服務，如：logical disk manager、remote procedure call（RPC）、dhcp client、Automatic Updates、Background Intelligent Transfer Service、COM+ Event System、Internet Connection Sharing、Network Connections、Portable Media Serial Number Service、Remote Access Auto Connection Manager、Remote Access Connection Manager、Removable Storage、Routing and Remote Access、System Event Notification、Telephony、Wireless Configuration等等。 對於服務中使用Svchost.exe載入了哪些動態連結程式庫，我們可以在服務中點擊上面列出的某個服務來看看。比如我們要看Automatic Updates服務，就可以在在它上麵點擊滑鼠右鍵，看它的屬性。 同樣情況下，如果讀者還想進一步瞭解其他的那些服務是怎樣使用Svchost.exe的，可以使用與上面相同的方法來觀察一下。 聰明的讀者一眼就可以看出，Svchost.exe對於系統來說是多麼的重要了。也正是因為Svchost.exe的重要性，所以病毒、木馬也想盡辦法來利用它，企圖利用它的特性來迷惑用戶，達到感染、入侵、破壞的目的。

　　那麼應該如何判斷到底哪個是病毒進程呢?正常的Svchost.exe檔應該存在於“C:\Windows\system32”目錄下，如果發現該檔出現在其他目錄下就要小心了。另外，駭客們為了使用Svchost.exe達到進程欺騙的目的，有可能使用一些迷惑性的名字，如將字母o變成數位0（零），這樣程式的名稱就變成了svch0st.exe了，如果不注意觀察，很容易逃過普通用戶的眼睛。 通常情況下，為了確定我們的電腦中正在運行的Svchost.exe是不是真正的系統的Svchost.exe，我們可以使用如下方法來查看。Svchost.exe檔的調用路徑可以通過“電腦管理→系統工具→系統資訊→軟體環境→正在運行任務”來查看。 這裏僅舉一例來說明。假設Windows XP系統被“w32.welchia.worm”感染了。正常的Svchost文件存在於“c:\Windows\system32”目錄下，如果發現該檔出現在其他目錄下就要小心了。“w32.welchia.worm”病毒存在於“c:\Windows\system32wins”目錄中，通過使用上面說的方法就可很容易地查看到所有的Svchost進程的執行檔路徑，一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理。 現在我們已經搞清楚了一部分疑問，但是，我們還不知道哪個服務調用了哪個動態連結程式庫檔，是不是沒有辦法呢？如果沒有地方可以找到，那麼Windows自己又是如何知道調用哪一個呢？大家知道，Windows將所有的系統資訊和應用程式資訊都保存在了系統註冊表中，所以，我們可以在註冊表中找找看。 下面以Remote Procedure Call（RPC）服務為例，來看看Svchost進程是如何調用DLL檔的。

　　在Windiws中，打開服務，然後打開“Remote Procedure Call（RPC）”屬性對話方塊，可以看到Remote Procedure Call（RPC）服務的可執行檔的路徑為“C:\WINNT\system32\Svchost -k rpcss”，這說明Remote Procedure Call（RPC）服務是依靠Svchost調用“rpcss”參數來實現的，而參數的內容則是存放在系統註冊表中的。 在運行對話方塊中輸入“regedit.exe”後回車，打開註冊表編輯器，找到“HKEY_LOCAL_MACHINE\System\currentcontrolset\services\ rpcss”項。然後，再在裏面找到類型為“reg_expand_sz”的“Imagepath”項，其鍵值為“%SystemRoot%\system32\Svchost -k rpcss”（這就是在服務視窗中看到的服務啟動命令），另外在“parameters”子項中有個名為“ServiceDll”的鍵，其值為“%SystemRoot%\system32\rpcss.dll”，其中“rpcss.dll”就是Remote Procedure Call（RPC）服務要使用的動態連結程式庫檔。這樣Svchost進程通過讀取“rpcss”服務註冊表資訊，就能啟動該服務了。 同樣情況下，如果有程式試圖蠻天過海，假借Svchost.exe來啟動自己的動態連結程式庫檔（如將木馬作成動態連結程式庫檔），那麼我們就可以從這裏找到DLL木馬的路徑，將它大白於天下。 如果要瞭解每個Svchost進程到底提供了多少系統服務，可以在Windows 2000的命令提示符視窗中輸入“tlist -s”命令來查看，該命令是Windows 2000 support tools提供的。不過，在這裏看到的效果跟服務裏面看到的是一樣的，只不過是DOS介面而已。 小知識：在Windows xp下則使用“tasklist /svc”命令會收到同樣的效果。 由於篇幅的關係，不能對Svchost全部功能進行詳細介紹，這是一個Windows中的一個特殊進程，有興趣的可參考有關技術資料進一步去瞭解它。 下面，我們通過一個實例來看一下木馬程式是如何利用Svchost.exe進行啟動的。這裏，我選擇了PortLess BackDoor V1.2來做演示，這是一個使用Svchost.exe去啟動，平時不開埠,可以進行反連接的後門程式(和小榕的BITS是同一類型的後門)。 為了看一下這個後門是如何利用Svchost.exe進行啟動的，我們在運行軟體之前，先給註冊表做一個快照，這裏我選擇了Regshot 1.61e5 final版本，並將初始快照命名為1.hiv。然後我們將Portlessinst.exe和Svchostdll.dll(不要改名)上傳到系統目錄(%winnt%\system32目錄中)。 接下來，進入命令行，使用“Portlessinst.exe -install ActiveString Password”進行安裝，這裏的ActiveString就是連接那系統打開的埠後輸入的驗證字串，這裏的密碼是使用正向連接你連接上後門打開的埠時需要輸入的密碼。比如，我輸入如下： portlessinst.exe –install smiler wind_003 這樣就安裝上去了，我們來看一下註冊表裏的變化。將1.hiv裝載進Regshot中的1st shot，然後對當前的註冊表做2st shot的快照，然後使用compare進行比較，其比較的結果如下： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\PortLess\FdsnqbTsuni`: "tjnkbu" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\PortLess\Wfttphuc: "tofiXdo" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Security\Security: 01 00 14 80 A0 00 00 00 AC 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 70 00 04 00 00 00 00 00 18 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 63 00 6F 00 00 00 1C 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 6D 00 00 00 00 00 18 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 20 02 00 00 00 00 1C 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 6D 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Parameters\ServiceDll: "C:\WINNT\system32\Svchostdll.dll" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Parameters\program: "SvchostDLL.exe" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Parameters\Interactive: 0x00000000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Type: 0x00000020 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Start: 0x00000002 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\ErrorControl: 0x00000001 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\ImagePath: "%SystemRoot%\System32\Svchost.exe -k netsvcs" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\DisplayName: "Intranet Services" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\ObjectName: "LocalSystem" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Security\Security: 01 00 14 80 A0 00 00 00 AC 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 70 00 04 00 00 00 00 00 18 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 63 00 6F 00 00 00 1C 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 6D 00 00 00 00 00 18 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 20 02 00 00 00 00 1C 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 6D 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Parameters\ServiceDll: "C:\WINNT\system32\Svchostdll.dll" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Parameters\program: "SvchostDLL.exe" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Parameters\Interactive: 0x00000000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Type: 0x00000020 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Start: 0x00000002 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\ErrorControl: 0x00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\ImagePath: "%SystemRoot%\System32\Svchost.exe -k netsvcs" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\DisplayName: "Intranet Services" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\ObjectName: "LocalSystem" 可以看出，PortLess BackDoor V1.2將自己註冊為了服務IPRIP，它使用的啟動參數是"%SystemRoot%\System32\Svchost.exe -k netsvcs"，它使用的DLL檔是"C:\WINNT\system32\Svchostdll.dll"。通過這裏，我們就可以找到 http://bbs.ccidnet.com/showthread.php?s ... did=207361

071005 友情的力量

　　今天逛了逛好友寫的Blog,秤子的文章引起了我高度關注...

　　http://www.wretch.cc/blog/libra23023&article_id=20066482

　　大剌剌的就寫了"突然...想對妳說...我愛妳...真的"

　　開玩笑,這麼聳動的標題,我相信只要是他的朋友都一定會想一窺究竟,順便翻翻無聊的八卦...越往下越往下看,怎麼...好像說的是我耶沒想到...真的是

　　我老實說,我真的很感動,有一個人如此的看重我,把我當作人生難逢的知己...我們一年到頭可能見不上一次,但是友情依舊,不隨歲月推移而磨滅,我感謝老天賜予我有如此豐沛的友情,感謝有這麼一個人如此信任我,如此地愛我...謝謝你...你讓我感受到了友愛,讓我感到了無比的溫馨以及幸福...我也很愛你~

　　當然了,也包括我的諸多好友...謝謝你們大家,也許你們不像秤子那麼勇敢表達出來,但是我相信你們也是愛我的(好啦...如果我有自做多情的部分,也別揭穿我吧),當我感到孤單,當我為了一兩個人難過時,你們讓我看開,讓我心界放寬,讓我知道我不是寂寞一人,讓我認清不必為一些不把我當朋友的人而傷心...我愛你們,我所有的好友...

070710 天使在微笑

今天在整形外科的門診,看見一對可愛的雙胞胎姊妹

　　首先我看到的是妹妹,跟一般的孩子沒有兩樣,天真,活潑,調皮...不同的是,因為被火紋身的軀體,顏面部幾乎全毀,一雙可愛的手也因瘢痕收縮而扭曲畸形...

　　因為病患人數多,她們在候診室玩了起來,當時我沒看到姊姊,不知道她們是雙胞胎,輪到她們時,媽媽牽著妹妹,姊姊以及爸爸也都跟了進來,也許是年紀小,妹妹不怕生,也不感到自卑,還對著我笑咪咪的.

　　教授問診,仔細觀察她的傷勢,可能是老師想看看他的腕及手指關節活動程度,她感到不適而哭了起來,媽媽把她抱起來,我才發現...媽媽的手也因為被火燒傷,而扭曲不堪

　　教授也觀察到了,問了情況,爸爸感慨地說,一家人...卻有三支廢手...

　　因為他是工人,家境很貧窮,負擔不起龐大的醫藥費用,還好是電視台給她們了醫藥費的協助,讓妹妹得以二次手術.大人由於沒有生長發育的問題,手術可以擇期進行,而孩子不能等,隨著年齡增長,手部畸形將會越來越嚴重...

　　教授安排了手術的時間,看到了一旁玩耍的姊姊,問道"是雙胞胎嗎?"

　　姊妹倆同時點了點頭

　　真的難以想像...在妹妹燒傷前,她的臉能有如此地漂亮,而今卻因瘢痕收縮,連呼吸都快要出現困難的徵狀.

　　我拿面紙擦乾了妹妹的眼淚,她看著我停止了哭泣,笑了笑

　　我彷彿看到了,天使在對我微笑......