银行感言（二）

Chapter One

昨天突然收到招行的通知短信，说主动把我的额度提升到了25K。干嘛提啊真是的，还嫌我用得不够多啊？
晚上回家去网上银行查了查，发现真的提了，今天早上还收到了邮件通知。同时也发现，招行的卡片额度设置里面，没有改过额度的卡片就是跟着最高额度走的，不用调就自己上去了。大概是有个类似MAX这样的变量吧。于是又一个个给改下来。
这种升额度，不知道和CPI有没有什么关系。不过真不见得是什么好事情。

Chapter Two

上个月收到的中银信用卡，由于是一块钱积一分，于是总是拿去刷瓶水之类的小单。前些日子帐单下来了，￥5.8。由于自动还款还没开通，于是为这点钱要专门跑一趟银行。推开我家附近的中行的大门，嗬，满满的老头老太，手里都捏着电费单。好在莉莉工作地点那里也有一个中行，而且几乎没什么客户，于是顺便就解决了。
虽然付费通出过几次事，但是看着几个貌似白领的家伙也夹在老头老太队里，总觉得有点BS。

Chapter Three

上网查了一下，果然快钱、腾讯和支付宝等在招行的积分商户「黑名单」上。也就是说，去这几个地方消费结帐的时候是没有积分可言的。
同时赫然发现，上海的中国联通也在名单上。还好中国移动没有，不然我每月至少要少上6分。
没看过的筒子，去找找有没有自己关心的商户吧：招商银行信用卡不予计算积分商户名单

Chapter Four

最近收到很多骗子短信，下面摘录几条：

No.1

发信人：	15025113386
内容：	把钱汇到这个建设银行卡上也可以4367 4233 9530 0081 629陈志强。

No.2

发信人：	15134653056
内容：	先不要存进去了，我那个帐户不能用了，我重新给你一个农业银行帐号：622848 0860 3370 30610 户名：陈亮

No.3

发信人：	15846065198
内容：	汇到这个帐号：工商银行卡号：6222023602016464497户名：张丽丽。以前那个帐号已经没用了，汇完给这手机发条短信就行了

　　看到这些短信之后，一般我都会回一条：「二十万已汇，请速发货！」
　　毫无疑问这些都是拿假身份证开的户，不知道银行都在履行些什么样的义务？

突然发现自己真的老了

身体没老，心已经老了。
今天上班被骂了却连气也生不起来。无激情，无冲动，什么都没有。
上网的时候还老爱自居中年人士去骂小粪青取乐。
非炫耀帖，只是感慨加费解。我他妈怎么也老了？

装B者·中国邮政

周日去邮寄光盘，居然还是说不给寄。说什么正版盘才给寄，自己刻的不行。难道自己照的照片拍的录像还要找家音像出版社出个DVD申请个「X准字」不成？真正装B！
窗口的小娘们还老爱拿不知是不是上海话的土语冲我吵吵，需要我三番两次提醒该雌性海马区功能障碍人士您的鸟语我听不懂。没素质，这鸟样办啥世博会啊？无怪北京上海两处鸟地互相看不惯。

奥运期间也就算了，想想北京那拨鸟人好不容易给赐个节不容易。忍辱负重到9月20日，也算是本貉拿出十分的耐性了。装B可以，但不能过分，不能一装再装。盗版不是这样限制的。限制措施的出台开了听证会没有？有没有那种勉强能代表人民意见的XX代表参与决策？有空骚扰民众正常和谐安宁的生活，却对残害任命的毒奶粉睁只眼闭只眼。很典型的中国特色！很典型，那么，也会有很典型的中国式报应。

从终结者外传里学到一句很拽的话，这里用上：
We'll see.

终结者外传第二季开季快评

在线看的，画质不好，纯抢鲜目的。其实很多镜头在预告片里面已经看过了，情节也能猜个七七八八。于是看下来整个第一集感觉没演什么东西。唯一有点新意的就是伪装成公司女老板的T-1000。不过那女人真是不好看，难看，反正我很讨厌。本来装腔作势的女人就够讨厌了，何况还是老板。

翘翘果然是被炸坏了，然而好得却莫明其妙。难道是被小帅哥给感动了，从此非他不嫁？恶搞一下。可以看得出，编剧为了承上启下也会很伤脑筋，谁让他们为了后路起见在第一季里面要把人家给炸了呢！

值得注意的是，终结John的Mission其实并未Cancel或Stop或Abort，只是被Override了。Override在C++（OOP）里面是重载的意思，可以理解为被覆盖，或者说取代。也就是说除了终结John之外还有更高级的任务，允许在某些情况下对低级任务进行覆盖。目前还不好理解这个Override是来自固有的程序还是来自老John的Reprogramming，抑或来自于自身情感程序的Optimizing，所以留待观察。

至于多了几个敌人，老妈或叔叔又怎么样了，这些我都不紧张。反正只要翘翘还在就行。

长草期二三事

最近忙得想吐，今天回到家居然有想往床上爬的冲动了。本周至目前为止，没一天能九点以前到家，正好应了头儿的那句话：「接下来几周你和我都会比较充实……」。

干姐要给老公的公司做帐，需要一个财务软件。平时没有太留意这方面，抽空看了看，发现水还挺深。有不少软件的破解版都是会自动删数据或者是锁定的，但是一个小公司确实也不想去买这种软件。只好挤时间继续看了。不知道有没有朋友能够建议一下，有没有什么比较好用的-版或是免费版的适合小公司的财务软件？

在上海的表姐搬了新家，约我去拜访。哎，不知道排到什么时候了。最近手机也快不行了，今天居然一度提示插入SIM卡。关机键也快被我抠烂了，周末一定得去买一个——又要出血了。

说起手机，真是祸不单行啊。莉莉的手机今天居然被偷了。据说是只有五、六岁的小男孩，在某中年女子的掩护下就得手了。现在的世道啊，真是的！我们的祖国还有未来吗？要是让我揪出此二人，定拿去祭祖。

算得上好事的是，烦人的奥运总算是结束了。别的也就算了，我去寄光盘，居然让我开单位证明！恍惚中还以为是时光倒流了80年。不知此博能否引来粪青关注？要是能现身让我骂一骂就好了。

长胖了，110斤差一点点。系皮带的时候就能感觉到，已经需要松上一扣了。不过外观还是看不出来。依然是瘦肉型的貉。莉莉希望我再长一点肉。

接下来可能还要继续长草一段时间，有兴趣的人可以事先预备割草机。

日记2008.08.06

Chapter One

今天早上意外地没有堵车，连进隧道都没有堵。来到公司后才得知是托奥运的齐天大鸿福。

从这个角度来看，奥运还是有一点好处的。

Chapter Two

连着隐隐痛了三天的肚子，今天不痛了。难道我的毛病真如某些人所说：『一定要去医院「捐」点钱就会好』？

Chapter Three

装SlackWare装到头疼，——无法启动。把所有的情况都试了一遍，最后得到的结论是LILO可能必须装在MBR上才行。没时间试了，只能等明天。合作方那边又来电话，好像要得很急，于是干脆把源代码分发传给他们了。
话说回来，防火墙拿SlackWare做OS，是个好主意吗？还是7.1版，好像很老了哎。要是我的话可能会考虑BSD系统吧。

Chapter Four

今天工作中一度同时在处理四桩事情。貌似最近总是做并发任务啊！所谓的另一件工作，是做LCD Display Module的开发调研。
昨天从研华的官网上得到了Linux下的例程。今天去机器上装了个FC4，然后编译跑了一下，效果还行。不过如何移植到Windows平台上是个问题。例程来自开源项目lcdproc，但是它们的首页似乎出了点什么问题（好像是PHP的问题），无法访问。下面的子目录倒是能打开。
接着调研，发现Windows平台上也有类似的开源项目，LCD Smartie。不过和lcdproc有点不同的是，LCD Smartie基本上是一个成型的工具。用LCD Smartie本身就可以在LCD上显示很多东西，再加上个Plugin就可以实现我们的需求了（除了开机显示）。而且，更重要的是，它有个基本上是所见即所得的模拟输出界面，这样我就可以呆在自己的机器前做开发了。

Chapter Five

新开的「一屋炭烤」的午间套餐还不错，16元能吃好多盘东西。相比之下，晚餐就没有什么吸引力了。
今天又没有花任何饭钱，看来我这个月总算可以攒下点钱了。

Chapter Six

唉，不知道上个月电费几多钱哎！

和病毒的恩怨

昨天突然收到表妹的哀嚎，说正在看网页的时候突然中病毒了。但起因应该不是Web，现在根据情况看来，应该是来自于局域网内部的传播，因为我看到病毒的对抗代码中有很多针对反ARP攻击的内容。不过还是很奇怪，ARP攻击一般用于DoS，用于传播倒是少见。要是从网页上的话，有可能是ANI漏洞造成的网页挂马。但是又比较没有马的特征……，算了，谈正题吧。

这个病毒会对抗不少主流的安全软件——主要是防病毒软件。瑞星、金山、赛门铁克……，包括一些专杀工具和系统工具也在列表之中。手段有两种，一是映像劫持，二是定时轮询后的Kill。映像劫持被最近的病毒用得挺多，土！俗！定时轮询做得也很烂，定时的周期过长，以至于我有时间让表妹用ProcessExplorer把进程列表给保存出来。大概是害怕CPU占用高到影响运行吧。从这个角度推断，这很可能是学生的作品，因为学生的电脑一般性能不高。

进程列表出来了，结合超级兔子的诊断报告，病毒本体不幸被我逮到。一个名为wuauclt1.exe的文件，孤零零地呆在system32下。文件的Version Resources模拟得跟微软WinXP SP3的文件很像，可见就是最近几个月的作品，应该说作者还是下了一番苦心的。可惜文件大小他没有模拟，于是一眼被我瞧出。结合网上的资料，很顺利地就干掉了。

说说主要特征吧：

1. 病毒本体wuauclt1.exe，位于system32下。硬盘每个逻辑盘上释放autorun.inf和MSDOS.EXE，作为土得掉渣但却挺有效的辅助潜伏手段。U盘似乎没有被感染，不知道是不是我表妹防护得当的缘故。
2. wuauclt1.exe大小仅15KB左右，正常大小在150KB以上，所以仅此一项便可判定。MSDOS.EXE的大小和wuauclt1.exe相同，我没有核对MD5，估计是同一个文件。
3. wuauclt1.exe在任务管理器中可见，可杀，无副进程交叉守护，未设置为系统进程或隐藏进程，无服务守护，无驱动保护文件。从自身防护这一点上来看，该病毒简直可以说是一无是处，也许作者在这方面的知识比较欠缺吧。将Explorer的显示隐藏文件的选项强行定在NOHIDDEN（屏蔽了SHOWALL），从而导致在设定文件夹选项时可能会看见一组RadioButton亮起了两盏灯。看来不暴露也是不可能的了。
4. 由wuauclt1.exe负责对抗常见的系统工具，如ProcessExplorer，甚至对包含相关内容的网页浏览器窗口都进行关闭。360等安装进程无法完成，估计也是这个原因。映像劫持禁用了某些杀毒软件的执行程序，我表妹的Symantec失效就是因为VPC和VPTRAY被劫持所致。
5. 启动项加在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run上面，由于不是常见的启动项放置位置，比较容易被忽视，建议使用工具进行查看。但启动项的名字很马虎地写了个test，其病毒本质暴露无疑，难道是作者大意了？
6. 不明确是否有Downloader特性，但根据事后的查杀结果来看应该是有。我准备拿虚拟机来研究研究。另外，病毒有释放npf.sys，版本还是4.0.0.755，估计在内网里面也有点动作。

应该说，这个病毒还是不难杀除的，破坏性也不算大。只是由于其针对性的对抗手法，导致普通用户在杀毒软件被禁，继而发现连病毒资料都无法搜索之后，常常会手足无措。根据test这个启动项命名看来，该病毒的这个版本应该只是一个中间版本而已，后续的新变种估计很快就会出来。

险些疑似中招

去下载了BitComet 1.03，修改了WinXP SP3的TCP连接数限制。准备拿TCPView看看效果，没想到却吓了自己一跳。

看的时候，发现[System Process]:0有好几个TCP连接，状态是TIME_WAIT，源地址是本地动态端口，对方地址是一个不认识的IP，端口80。
不是吧？！难道我中了传说中的反弹木马？我一直洁身自好，再说最近也没发现什么可疑情况啊！

再看，发现都是80端口。仔细研究那几个IP地址，倒是很吓了我一跳。在搜索引擎上查了一下，口碑都不好。而且有一些能直接IE打开，很明显是刷流量的IP地址。汗！什么时候中的马？我都不知道啊！

219.232.243.55
220.181.37.169
220.181.38.110
220.181.38.74
220.181.5.22
61.172.203.141
210.51.42.210
61.152.242.254
65.55.199.195
65.55.199.153
124.238.254.119
124.238.254.38
211.100.21.5
211.100.21.6
124.238.254.49
121.14.88.235
219.232.241.144
59.151.3.120
61.129.48.125
61.152.167.78
61.174.60.71
58.61.166.174
222.76.218.18
……

一个个杀进程，好像没有什么效果。而且TCPView明明说了是[System Process]:0，也就是说不是任何已知的进程了。ProcessExplorer也看不出什么来。仔细检查了启动项，把IE的加载项全部禁用掉，然而还是会出现。这种神秘的TCP连接出现的时机似乎和IE也有点关系，但是也不是完全有关。iexplore.exe的连接是很正常的。无奈，只好拿出前不久刚准备好的虚拟机来做试验了。

在XP虚拟机上首先装上TCPView监控，做了快照，然后便开始安装怀疑中的BitComet和FlashGet。不过期待中的TCP连接并没有出现。又装Google工具条，还是没出现。懊恼之中打开了虚拟机的Windows Update。呵呵，出现了，而且外面的实体机上也出现了（我虚拟机用NAT上网）。原来如此。

又打开了几个网站，发现像Google，百度这种页面比较单纯的就基本上不会有这种情况。而像网易、新浪、雅虎这些门户就肯定会有。联想到这种TCP连接的状态全都是TIME_WAIT，而作为客户端出现TIME_WAIT是比较奇怪的。估计这些因为某些原因由客户端断开的连接，在TCPView中就全部由应用程序丢给[System Process]:0，由TCP/IP协议进行维护了。也就是说，这种情况并不是中了什么反弹木马，而是HTTP协议和某些网页联合导演出来的。

当然，并不能因此就排除木马的可能。把反弹端口开在80端口是最简单也检测难度最高的。如果在[System Process]:0上出现了ESTABLISHED或LISTENING就完全值得怀疑了。我还是决定开一晚上Packetyzer抓一下包确认一下。如果是木马，或者是那种刷流量的垃圾软件，起码应该会隔一段时间便自动发包到指定的地址。先把msfeedssync给停了，如果明早起来抓不到包，那么应该问题不大了。

又是一夏

不知道为什么，每次都是出差的前夕突然会想写点什么东西。「大概是对这个世界开始无比留恋了吧」，哈哈，……算了，玩笑开太过分就不好了。

有一个月没有写博了。其间，又是发生了很多事情。

爸妈到上海来了，又走了。呆了两个星期，修理了不少东西，做了两个星期的家常菜。老爸得到了新游戏，老妈升级了独门武器，最后还见到了莉莉，可以说是圆满。

公司给我加薪了，同时也换了岗位。现在比以前忙一倍，「早知如此，还不如不加」。还不停地出差，短短一个月，出差四五次。大家都不想再出差了，连客户都不想了。

伊苏O到手之后还没有玩完（玩到一半卡住了，该死的Video Decode问题），空之轨迹3rd又预发售了。去卓越和娱乐通看了看，卓越便宜，娱乐通东西齐。想到本来买豪华版就是为了收藏，最后还是在娱乐通订了。上周刚拿到，痛快。

日记2008.06.12

Chapter One

房东打电话来要房租了。上海的房东们不知道为啥都喜欢现金不喜欢转帐。
呜呜，这个月要赤字了，入不敷出了，要用信用卡周转了。

Chapter Two

今天像模像样地主持了一次会议。当然，会议的规模很小，不过讨论的事情并不小。最终的效果挺好，要达到的目的都达到了。
难道我以后真的该去做管理了？

Chapter Three

发现我招行专业版里面的文件证书用户全部都不见了。难道是被入侵了？
在数据目录中逛了一圈，无果。果断地上Google，果然有效果。原来招行专业版在刷过主板BIOS之后文件证书用户就会丢个光光，我端午节刚刚刷过……

Chapter Four

表妹发来短信，问基金是不是该赎回。真是后知后觉啊，才百来块钱，告诉她别赎回了，安心等反弹吧。
近来很奇怪的股市，看不懂了。量低得吓人，价也跌得吓人，可券商股却连着拉涨停。算了，懒得去想了，反正我最近没钱用也不急用钱，管都不想管了。

Chapter Five

在Google上找招行问题的时候，偶尔看到一篇博客。博主是个典型的技术人员性格，对招行网银的64位OS问题以及键盘驱动问题死死抓住不放。心想招行专业版的问题多了去了，比如虚拟机里面不能用啊，还有这次的BIOS清证书啊等等。不由得回想一下自己是不是以前也是这么一根筋。
好像有时候在梦里面还是这样，现实中已经很现实了。