ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

　　ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。

　　ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

　　例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

　　ACL具体的执行流程

　　数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。

　　这里要注意，ACL不能对本路由器产生的数据包进行控制。
 
ACL的执行过程:
一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。
　　数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。
 
ACL的分类:
目前有两种主要的ACL:标准ACL和扩展ACL、通过命名、通过时间。

　　标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号 扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号

　　标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

　　扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

　　在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。 在使用命名访问控制列表时，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。

　　随着网络的发展和用户要求的变化，从IOS 12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。

　　基于时间访问列表的设计中，用time-range 命令来指定时间范围的名称，然后用absolute命令，或者一个或多个periodic命令来具体定义时间范围。
 
正确放置ACL:
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。

　　假设在的一个运行TCP/IP协议的网络环境中，网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问，即禁止从网络1到网络2的访问。

　　根据减少不必要通信流量的通行准则，网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处，即RouterA上。如果网管员使用标准ACL来进行网络流量限制，因为标准ACL只能检查源IP地址，所以实际执行情况为：凡是检查到源IP地址和网络1匹配的数据包将会被丢掉，即网络1到网络2、网络3和网络4的访问都将被禁止。由此可见，这个ACL控制方法不能达到网管员的目的。同理，将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上（E0接口），网络才能准确实现网管员的目标。由此可以得出一个结论: 标准ACL要尽量靠近目的端。

　　网管员如果使用扩展ACL来进行上述控制，则完全可以把ACL放在RouterA上，因为扩展ACL能控制源地址（网络1），也能控制目的地址（网络2），这样从网络1到网络2访问的数据包在RouterA上就被丢弃，不会传到RouterB、RouterC和RouterD上，从而减少不必要的网络流量。因此，我们可以得出另一个结论：扩展ACL要尽量靠近源端。

2、停用不需要的服务：
方法一：在〔开始〕\〔运行〕\键入〔services.msc〕打开服务窗口
检查右边窗口将不需要的服务在〔启动类型〕内选〔已禁止〕；再在〔服务状态〕中选〔停用〕
方法二：打开 优化大师--系统性能优化--后台服务优化--左键选中需要停止的多余服务--停止服务--完成
以下是具体的停止服务项目和我个人的意见：
1)alerter 错误警报 （要它干嘛？这东西搞得我像个微软免费的测试员似的 关！）
2)automatic updates windows 自动更新 （我不需要这东西 关！）
3)background intelligent transfer service 使用空闲的网络带宽传数据 （晕！本来网速就不够还要留给微软20%的宽带，神经！）
4)clipbook 与远程电脑来共享剪贴板内容（还让别人能看到我的桌面，哼，我看还是免了吧！速关！）
5)Computer browser 维护网络更新列表 （凭什么要我维护它啊？）
6)DHCP client （我不需要这东西 ）
7)Distributed link tracking client 保持局域网连接更新等信息（偶很少用局域网，这东西占用4M左右内存，郁闷中）
8)Distributed Transaction coordinator 协调xxx（唉！和上面的差不多）
9)DNS Client （我不需要这东西）
10)Error reporting service 错误报告 （又是一个垃圾功能，赶紧关！）
11)Event Log 系统日志纪录 （记录它有什么用？还要浪费我宝贵的硬盘空间！吐！）
12)Fast user switching compatibility 用户切换（难道多人能同时用一台电脑，可惜键盘不够呵呵！）
13)help and support 帮助 （微软想帮助谁？多操闲心）
14)Human interface device access 智能设备（ 据说是可以高级使用，唉！我又不是搞原子弹的专家今辈子估计都见不到什么智能设备了！乘早关了）
15)IMAPI CD-burning COM service 刻录（嘿嘿！偶不用这个刻碟）
16)Indexing service 索引（索引什么呢？）
17)Internet Connection Firewall(ICF) ICF防火墙 （防火墙，病毒来了连自己都保不住，败兵一个拉出去斩了！）
18)IPSEC Services （这个我不懂，你想知道问鳖儿-盖兹去）
19)Logical Disk manager administrative service 配置磁盘 （系统好好的，配置谁的磁盘？关！）
20)messenger （好像net send 等东西用的就是这个功能 ）
21)MS software shadow copy provider 卷复制备份的（没事谁复制卷干嘛？神经！）
22)Net Logon （天哪！我可不想让黑客远程登录进来，急速关！）
23)Netmeeting remote desktop sharing （我不用netmeeting）
24)Network DDE 动态数据交换传输 （搞得我好象是中情局的间谍似的，踢开）
25)Network DDE DSDM （和上面差不多）
26)Network Location Awareness 一种共享协议（关！我的机子不作共享，我怕病毒！谁不怕毒就别关）
27)NTLM Security support provider－telnet 这个功能太神秘了（呵呵，关！）
28)Performance logs and alert 将系统状态写日志或发警告 （怎么总是警告？关！）
29)Portable media serial number （关！）
30)Print Spooler 打印机（不幸的是我的机子不连接Print 886）
31) QoS RSVP 关！
32)Remote desktop help session manager 远程帮助服务 （有时候能用上）
33)remote Procedure Call LOCATOR 管理RPC
34)remote registry 远程管理注册表 （还让别人能看到我的桌面，我看还是免了吧！速关！）
35)removable storage （关！）
36)routing and remote access （我干脆禁用了它 ）
37)security accounts manager 我的系统只是一个客户系统，不用iis。
38)smart card
39)smart card helper （关！！！）
40)SSDP Discovery service （我用不到这个关！）
41)system event notification （如果是服务器肯定要记录的，可惜我的电脑是我私人的！关！）
42)system restore service 系统还原服务 （没事还原系统干嘛？关！）
43)task scheduler windows 计划服务 （计划什么啊！我计划明天去北京，这个能帮我吗？）
44)Telephony 拨号服务（用拨号上网的朋友千万别关它，否则就上不去了。）
45)telnet （它在哪？我一直用不上！也见不到这个功能！关）
46)terminal services 终端服务 （我的电脑又不是银行收款机，要终端干嘛？）
47)uninterruptible power supply UPS，我没有呀
48)universal plug and play device host （太先进了点，用不到 ）
49)upload manager 关了也能传输文件的
50)volume shadow copy 备份（又是备份，晕 微软好象很喜欢备份资料，备份的这些谁能用上？关！）
51)webclient （不清楚没用过）
52)Windows Installer MSI服务（我一直关着）
53)windows image acquisition (WIA) （有扫描仪和数码设备的朋友别关这个）
54)windows management instrumentation driver extensions 关了
55)windows time 时间同步服务 （我看时间是直接把手机拿出来看，虽说差了几秒种，还能凑合。谁为了看个时间还专门跑回去把电脑打开！没毛病吧？此项功能可算是微软十大垃圾功能之首了！）
56)wireless zero configuration 无线网络（台式机用无线网卡？很少听说这样整的！反正偶用不到关）
57)WMI perfromance adapter （怎么还是个垃圾功能 关！）
这里面的一些服务是刚开始就是关的，但我忘了，所以只好把现在系统中关闭的服务基本都列了出来。你根据自己的情况酌情处理吧。
3、加快开机与关机的速度：
①选“开始\运行”，键入Regedit，展开HKEY_CURRENT_USER\Control Panel\Desktop，将字符串值“HungAppTimeout”的数值更改为200，再将字符串值“WaitToKillAppTimeout”的数值数据更改为1000；
②另在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control下，将字符串值“HungAppTimeout”的数值数据更改为200，将字符串值“WaitToKillServiceTimeout”的数值数据更改为〔1000〕；
③使用微软 Bootvis.exe 优化启动速度。我们到微软官方网站先下载 bootVis.exe，然后解压后运行bootvis.exe，之后在Trace下选next boot和driver delays等，此后XP会重新启动，并将记录启动数据产生成BIN的文件。再在“file\open中打开这个文件，在Trace下选Optimize system即可。
提示：此优化需时颇长，请耐心等待。
4、加快预读能力改善开机速度　　
　　Windows XP预读设定可提高系统速度，加快开机速度。按照下面的方法进行修改可进一步善用CPU的效率： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerMemoryManagement]，在PrefetchParameters右边窗口，将EnablePrefetcher的数值数据如下更改，如使用PIII 800MHz CPU以上的建议将数值数据更改为4或5，否则建议保留数值数据为默认值即3。　　
二、关闭多余累赘功能

1.关闭系统还原功能
"我的电脑"->"属性"->"系统还原"，选"在所有的驱动器上关闭系统还原"。也可关闭不重要的分区的系统还原.如果考虑系统安全，则不要关闭还原功能。
2.关闭自动更新
"我的电脑"->"属性"->"自动更新"，选择"关闭自动更新，我将手动更新计算机"。
3.关闭远程桌面
"我的电脑"->"属性"->"远程"，"远程桌面"里的"允许用户远程连接到这台计算机"勾去掉。
4.取消休眠功能
"我的电脑"->"电源管理"->"休眠"，将"启用休眠"前的勾去掉，约200MB。
5、关闭时间同步
点 开始--设置--控制面板--日期、时间和区域设置--日期和时间--Internet时间--去掉自动与Internet时间
服务器同步前面的勾，退出即可。
6、关闭启动时窗口标志画面：
在〔开始〕\〔运行〕\键入〔msconfig〕\选〔boot.ini〕
然后在〔启动选项〕内选〔NOGUIBOOT]
重新开机便没有了窗口标志的画面
7、自动关闭停止响应程序
有些时候，XP会提示你某某程序停止响应，很烦，通过修改注册表我们可以让其自行关闭，在HKEY_CURRENT_USER--Control Panel--Desktop中将字符健值是AutoEndTasks的数值数据更改为1，重新注销或启动即可。
8、减少多重启动时等待时间：
方法一：用 Notepad 打开在 C:\ 目录下的 boot.ini 档案，将内容〔timeout〕的设定值由预设的 30 (秒) 改为要求等待的秒数数字，存盘。
方法二：也可以通过〔开始〕\〔运行〕\键入〔msconfig〕，打开boot.ini 选项，进行秒数的修改。
方法三：右键点击“我的电脑”，选择属性\高级\启动和故障恢复\设置，在此修改启动等待时间。
9、关闭 XP 内设的烧碟功能：
如果不打算使用此功能可将其关闭，可加快使用 Nero 烧录软件的速度，因为Windows XP 的烧录系统由 Roxio 公司提供 (即与 Easy Cd Creator 同公司)。
在〔控制面板〕\〔管理工具〕\〔服务〕\在右边窗口选〔IMAPI CD-Burning COM Service〕\〔启动类型〕\选〔已停用〕

二、删除一些可不用的东西
1.删除驱动器备份
"\windows\Driver cache\i386"下的Driver.cab文件，约70MB。
2.删除帮助文件
"\Windows\Help"下，约40MB
3.删除备用DLL文件
"\Windows\System32\Dllcache"，约200MB.最好有安装光盘或安装文件备份，以备用。
4.删除不用的输入法
"Windows\Ime"，如日文，韩文，繁体中文输入法。
5、据说XP的一个系统服务Qos，这个调度要占用一定的网络带宽，像我这样的一毛不拔的人是无法忍受的，去掉方法是：开始菜单→运行→键入 gpedit.msc ，出现“组策略”窗口， 展开 "管理模板”→“网络” ， 展开 "QoS 数据包调度程序"， 在右边窗右键单击“限制可保留带宽" ，在属性中的“设置”中有“限制可保留带宽" ，选择“已禁用”，确定即可。当上述修改完成并应用后，用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"QoS Packet Scheduler（QoS 数据包调度程序）"。说明修改成功，否则说明修改失败，顺便把网络属性中的那个Qos 协议也一起干掉（卸载）吧。
6、修改注册表的run键，取消那几个不常用的东西，比如Windows Messenger 。启用注册表管理器：开始→运行→Regedit→找到“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSMSGS” /BACKGROUND 这个键值，右键→删除，世界清静多了，顺便把那几个什么cfmon的都干掉吧。
7、快速浏览局域网络的共享
通常情况下，Windows XP在连接其它计算机时，会全面检查对方机子上所有预定的任务，这个检查会让你等上30秒钟或更多时间。去掉的方法是开始→运行→Regedit→在注册表中找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\RemoteComputer\NameSpace。在此键值下，会有个{ D6277990-4C6A-11CF-8D87-00AA0060F5BF }键，把它删掉后，重新启动计算机，Windows XP就不再检查预定任务了，hoho~~~ ，速度明显提高啦！
8、关掉调试器Dr. Watson
我好像从win95年代开始一次也没用过这东西，可以这样取消：打开册表，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug子键分支，双击在它下面的Auto键值名称，将其“数值数据”改为0，最后按F5刷新使设置生效，这样就取消它的运行了。沿用这个思路，我们可以把所有具备调试功能的选项取消，比如蓝屏时出现的memory.dmp，在“我的电脑→属性→高级→设置→写入调试信息→选择无”等等。
三、其他技巧
1.恢复EXE文件关联
EXE文件关联出错非常的麻烦，
因为这种情况的出现多是由于病毒引起的，而杀毒软件的主文件都是EXE文件，既然EXE文件关联出错，又怎能运行得了杀毒软件呢？还好XP提供了安全模式下的命令行工具供我们使用，可以利用命令行工具来解决这个问题。
在安全模式下输入：assoc<空格>.exe=exefile<回车>，屏幕上将显示“.exe=exefile”。现在关闭命令提示符窗口，按Ctrl+Alt+Del组合键调出“Windows安全”窗口，按“关机”按钮后选择“重新启动”选项，按正常模式启动Windows后，所有的EXE文件都能正常运行了！
3.更改Windows XP序列号
在Windows XP安装完毕以后，
可能由于某些原因你又想在已经安装完毕的Windows XP上更改序列号，该怎么办呢？使用激活向导可以满足你的要求。开始之前，强烈建议你在修改之前作一个系统还原点，以免误操作引起不必要的麻烦。
点击“开始”→“运行”，输入regedit后回车，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE＼Software＼Microsoft＼WindowsNT＼Current Version＼WPAEvents，在右边右键单击OOBETimer，然后选择修改，至少修改一个字节，确定保存。
点击“开始”→“运行”，输入%systemroot%＼system32＼oobe＼msoobe.exe /a，选择通过电话激活以后点击“下一步”，点击修改序列号，输入新的序列号以后选择“更新”，如果退回到前一个画面，那么选择稍后激活，并重新启动，反复前面的步骤直到修改成功为止，重新激活。点击确定，安装SP1。
如果你安装SP1以后不能重新启动，那么启动的时候按F8，选择使用“最后一次正确的配置”，然后重复以上流程。本方法适用于Windows XP Professional。
最后说一句，优化系统要作好备份，不然挂的时候都哭不出了，而且优化不可能一次作到位的，要多弄几次就会了。
优化多度，反而会带来负面影响！！！！

★桌面右下角输入法图标不显示时，怎么才能它再出来?
xp系统的输入法图标的设置
方法1、最简单的:在任务栏单击鼠标右键，弹出快捷菜单，把鼠标移动到“工具栏”上
，会弹出子菜单，看看其中的“语言栏”有没有被选中，如果没有选中，单击选中“语
言栏”，一般会显示输入法图标。
方法2、较复杂的:在“控制面板”中打开区域和语言选项。在“语言”选项卡的“文字
服务和输入语言”中，单击“详细信息”。在“首选项”下，单击“语言栏”。选中“
在桌面上显示语言栏”复选框。注意要打开“区域和语言选项”，请依次单击“开始”
、“控制面板”、“日期、时间、语言和区域选项”，然后单击“区域和语言选项”。
如果您安装诸如手写、语音，或输入法编辑器(IME)这样的文字服务，将自动显示语言
栏。但是，如果关闭语言栏，您可以使用此过程重新显示它。如果要将语言栏最小化到
任务栏，请单击任务栏上的“语言”图标，然后单击“显示语言栏”。只要显示了语言
栏，您就可以右键单击它来显示菜单。使用该菜单可以更改语言栏的设置，例如，使它
透明或删除文本标签。
方法3、最复杂的:点“开始→运行”，键入“msconfig”，单击“确定”或回车，运行“系统配置实用程序”，在“启动”里把“Ctfmon.exe”选中，单击“确定”，然后注销或重新启动应该就可以了。这是因Ctfmon.exeAlternativeUserInputTextProcessor
(TIP)和MicrosoftOffice语言条，提供语音识别、手写识别、键盘、翻译和其它用户输
入技术的支持。这个程序没有启动也会造成输入法图标不显示。
方法4最复杂的:对于Windows XP系统，只需单击“开始”-“运行”，然后在打开一栏
中输入ctfmon回车, 重新启动系统后，会发现输入法图标重新出现了，而且所有安装的
输入法全部都会显示出来，但唯独不能用键盘在不同的输入语言之间切换。
　　解决办法是右键单击输入法图标，再依次单击“设置”、“键设置”、“更改按键
顺序”按纽，然后选中“切换输入语言”和“切换键盘布局”复选框打钩，最后按照个
人习惯设置左手ALT或右手ALT，连续单击“确定”按纽退出即可。
　　在文字服务里点高级，在启用高级文字服务前打上勾。

win98系统和Win2000系统的输入法图标的设置
win98中还可在控制面板中解决问题,可这对Win2000来说,就大为不妙了,因为控制面板
中根本就没有输入法这一项!在网上也看了不少关于这一问题的讨论,但都不令我满意,
今日,只好把我自己的密招亮出来了,也许能解众生心头之痛: 管理输入法切换的那个托
盘图标,应该也是一个程序吧?它就是 internat.exe, 位于 windows\system32 下, 双
击运行它,右下角立即出现令你兴奋的图标了,然后右击输入法图标\属性\钩选"启用任
务栏上的指示器",这样不但治标,而且治本——以后开机，一度丢失的输入法图标重现!
显.
　(把本文件夹下的 internat.exe 复制到 windows\system32 下去,然后运行它,再作
钩选"启用任务栏上的指示器"的设置)

　在讲定位内存特征码前，先要分析国内外著名杀毒软件的内存查杀特点。大家在使用木马过程都会发现，内存查杀，一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴，金山，等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.

还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码.

第二部分：木马免杀的对策

一.　要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则下面的免杀操作就不能进行下去。

二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀，要进行内存特征码的定位和修改，才能内存免杀。

三.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用.

1>.入口点加1免杀法.

2>.变化入口地址免杀法

3>.加花指令法免杀法

4>.加壳或加伪装壳免杀法.

5>.打乱壳的头文件免杀法.

6>.修改文件特征码免杀法.

第三部分:免杀技术实例演示部分

一.入口点加1免杀法:

1.用到工具:PEditor

2.特点:非常简单实用,但有时还会被卡巴查杀.

3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.

二.变化入口地址免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.

3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.

三.加花指令法免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.

3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.

四.加壳或加伪装壳免杀法:

1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.

2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.

3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳.

五.打乱壳的头文件或壳中加花免杀法:

1.用到工具:秘密行动 ,UPX加壳工具.

2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.

3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.

六.修改文件特征码免杀法:

1.用到工具:特征码定位器,OllyDbg

2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.

3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.
 
第四部分:快速定位与修改瑞星内存特征码

一.　瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.

二定位与修改要点:

1>.首先用特征码定位器大致定位出瑞星内存特征码位置

2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.

        
第五部分:免杀方案实例演示部分

1.完全免杀方案一:
内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.

2.完全免杀方案二:
内存特征码修改 + 加压缩壳 + 加壳的伪装

3.完全免杀方案三:
内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳

4.完全免杀方案四:
内存特征码修改 + 加花指令 + 加压壳

5.完全变态免杀方案五:
内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件

还有其它免杀方案可任意组合.达到更好的免杀效果.

准备工作 :

下载 Total Uninstall 软件。可以在本站搜索并下载。

下载 Advanced Installer 。

当然你还得有念青五笔的安装程序，准备好以后我们就开始了。

FOR %variable IN (set) DO command [command-parameters]

  %variable  指定一个单一字母可替换的参数。
  (set)      指定一个或一组文件。可以使用通配符。
  command    指定对每个文件执行的命令。
  command-parameters
             为特定命令指定参数或命令行开关。

在批处理文件中使用 FOR 命令时，指定变量请使用 %%variable
而不要用 %variable。变量名称是区分大小写的，所以 %i 不同于 %I.

如果命令扩展名被启用，下列额外的 FOR 命令格式会受到
支持:

FOR /D %variable IN (set) DO command [command-parameters]

    如果集中包含通配符，则指定与目录名匹配，而不与文件
    名匹配。

FOR /R [[drive:]path] %variable IN (set) DO command [command-parameters]

    检查以 [drive:]path 为根的目录树，指向每个目录中的
    FOR 语句。如果在 /R 后没有指定目录，则使用当前
    目录。如果集仅为一个单点(.)字符，则枚举该目录树。

FOR /L %variable IN (start,step,end) DO command [command-parameters]

    该集表示以增量形式从开始到结束的一个数字序列。
    因此，(1,1,5) 将产生序列 1 2 3 4 5，(5,-1,1) 将产生
    序列 (5 4 3 2 1)。

FOR /F ["options"] %variable IN (file-set) DO command [command-parameters]
FOR /F ["options"] %variable IN ("string") DO command [command-parameters]
FOR /F ["options"] %variable IN ('command') DO command [command-parameters]

    或者，如果有 usebackq 选项:

FOR /F ["options"] %variable IN (file-set) DO command [command-parameters]
FOR /F ["options"] %variable IN ("string") DO command [command-parameters]
FOR /F ["options"] %variable IN ('command') DO command [command-parameters]

    filenameset 为一个或多个文件名。继续到 filenameset 中的
   下一个文件之前，每份文件都已被打开、读取并经过处理。
    处理包括读取文件，将其分成一行行的文字，然后将每行
    解析成零或更多的符号。然后用已找到的符号字符串变量值
    调用 For 循环。以默认方式，/F 通过每个文件的每一行中分开
    的第一个空白符号。跳过空白行。您可通过指定可选 "options"
    参数替代默认解析操作。这个带引号的字符串包括一个或多个
    指定不同解析选项的关键字。这些关键字为:

        eol=c           - 指一个行注释字符的结尾(就一个)
        skip=n          - 指在文件开始时忽略的行数。
        delims=xxx      - 指分隔符集。这个替换了空格和跳格键的
                          默认分隔符集。
        tokens=x,y,m-n  - 指每行的哪一个符号被传递到每个迭代
                          的 for 本身。这会导致额外变量名称的分配。m-n
                          格式为一个范围。通过 nth 符号指定 mth。如果
                          符号字符串中的最后一个字符星号，
                          那么额外的变量将在最后一个符号解析之后
                          分配并接受行的保留文本。
        usebackq        - 指定新语法已在下类情况中使用:                   
                          在作为命令执行一个后引号的字符串并且一个单
                          引号字符为文字字符串命令并允许在 filenameset
                          中使用双引号扩起文件名称。

    某些范例可能有助:

FOR /F "eol=; tokens=2,3* delims=, " %i in (myfile.txt) do @echo %i %j %k

    会分析 myfile.txt 中的每一行，忽略以分号打头的那些行，将
    每行中的第二个和第三个符号传递给 for 程序体；用逗号和/或
    空格定界符号。请注意，这个 for 程序体的语句引用 %i 来
    取得第二个符号，引用 %j 来取得第三个符号，引用 %k
    来取得第三个符号后的所有剩余符号。对于带有空格的文件
    名，您需要用双引号将文件名括起来。为了用这种方式来使
    用双引号，您还需要使用 usebackq 选项，否则，双引号会
    被理解成是用作定义某个要分析的字符串的。

    %i 专门在 for 语句中得到说明，%j 和 %k 是通过
    tokens= 选项专门得到说明的。您可以通过 tokens= 一行
    指定最多 26 个符号，只要不试图说明一个高于字母 'z' 或
    'Z' 的变量。请记住，FOR 变量是单一字母、分大小写和全局的；而且，
    同时不能有 52 个以上都在使用中。

    您还可以在相邻字符串上使用 FOR /F 分析逻辑；方法是，
    用单引号将括号之间的 filenameset 括起来。这样，该字符
    串会被当作一个文件中的一个单一输入行。

    最后，您可以用 FOR /F 命令来分析命令的输出。方法是，将
    括号之间的 filenameset 变成一个反括字符串。该字符串会
    被当作命令行，传递到一个子 CMD.EXE，其输出会被抓进
    内存，并被当作文件分析。因此，以下例子:

      FOR /F "usebackq delims==" %i IN (`set`) DO @echo %i

    会枚举当前环境中的环境变量名称。

另外，FOR 变量参照的替换已被增强。您现在可以使用下列
选项语法:

     ~I         - 删除任何引号(")，扩充 %I
     %~fI        - 将 %I 扩充到一个完全合格的路径名
     %~dI        - 仅将 %I 扩充到一个驱动器号
     %~pI        - 仅将 %I 扩充到一个路径
     %~nI        - 仅将 %I 扩充到一个文件名
     %~xI        - 仅将 %I 扩充到一个文件扩展名
     %~sI        - 扩充的路径只含有短名
     %~aI        - 将 %I 扩充到文件的文件属性
     %~tI        - 将 %I 扩充到文件的日期/时间
     %~zI        - 将 %I 扩充到文件的大小
     %~$PATH:I   - 查找列在路径环境变量的目录，并将 %I 扩充
                   到找到的第一个完全合格的名称。如果环境变量名
                   未被定义，或者没有找到文件，此组合键会扩充到
                   空字符串

可以组合修饰符来得到多重结果:

     %~dpI       - 仅将 %I 扩充到一个驱动器号和路径
     %~nxI       - 仅将 %I 扩充到一个文件名和扩展名
     %~fsI       - 仅将 %I 扩充到一个带有短名的完整路径名
     %~dp$PATH:i - 查找列在路径环境变量的目录，并将 %I 扩充
                   到找到的第一个驱动器号和路径。
     %~ftzaI     - 将 %I 扩充到类似输出线路的 DIR

在以上例子中，%I 和 PATH 可用其他有效数值代替。%~ 语法
用一个有效的 FOR 变量名终止。选取类似 %I 的大写变量名
比较易读，而且避免与不分大小写的组合键混淆。

 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]也没有找到Spooler项。遂判定是由于某个原因导致注册表没有注册Spooler服务，也就无法启动打印后台服务，所以也就无法安装打印机了。
      在我的电脑上打开[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]找到Spooler项，然后导出为一个注册表文件，并更改后缀为" .gif "（方便传送）传给ＭＭ。然后要ＭＭ把" .gif "改成" .reg "合并。然后重启电脑，ＭＭ再次安装打印机成功。收款100（汗，真贵）。

语法
runas [{/profile /noprofile}] [/env] [/netonly] [/smartcard] [/showtrustlevels] [/trustlevel] /user:UserAccountName program

参数
/profile
加载用户的配置文件。/profile 是默认值。
/no profile
/noprofile 指定不加载用户的配置文件。这使应用程序载入的更加快速，但是在一些应用程序中也会引起错误。
/env
指定当前使用的网络环境，而不是用户的本地环境。
/netonly
指明指定的用户信息只用于远程访问。
/smartcard
/smartcard 表示凭据是否是由智能卡提供的。
/showtrustlevels
列出 /trustlevel 开关项。
/trustlevel
指定应用程序运行所在的授权级别。使用 /showtrustlevels 查看可用的信任级别。
/user:UserAccountName
指定在其下运行程序的用户帐户的名称。用户帐户的格式应是 user@domain 或 domain\user。
程序
指定要用在 /user 中指定的帐户运行的程序或命令。
/?
在命令提示符显示帮助。
注释
管理员可以使用一个权限受限制的帐户执行日常、非管理性的任务，只有在执行特定管理任务时，才使用一个权限更大的帐户。要不经过注销再重新登录就完成这样的任务，可以用一般帐户登录，然后使用 runas 命令来运行需要更大权限的工具。
有关 runas 命令的使用范例，请参阅“相关主题”。
尽管 runas 通常由 Administrator 帐户使用，但并非仅限于 Administrator 帐户。任何拥有多个帐户的用户均可以利用备用凭据，使用 runas 运行程序、MMC 控制台或“控制面板”项。
如果要在计算机上使用 Administrator 帐户，对于 /user:，键入下列参数之一：
/user:AdministratorAccountName@ComputerName

/user:ComputerName\AdministratorAccountName

如果想以域管理员身份使用这个命令，键入下列参数之一：
/user:AdministratorAccountName@DomainName

/useromainName\AdministratorAccountName

runas 命令允许您运行程序 (*.exe)、保存的 MMC 控制台 (*.msc)、程序和保存的 MMC 控制台的快捷方式及“控制面板”项。作为另一组（例如“Users”或“Power Users”组）的成员登录到计算机时，可以以管理员的身份运行。
可以使用 runas 命令来启动任何程序、MMC 控制器或“控制面板”项。只要提供适当的用户帐户和密码信息，用户帐户就具有登录到计算机的能力，并且程序、MMC 控制台、“控制面板”项在系统中及对该用户帐户均可用.
runas 命令允许您管理其他域的服务器（运行工具的计算机和要管理的服务器在不同的域中）。
如果尝试使用 runas 从网络位置启动程序、MMC 控制台或“控制面板”项，可能会因为用来连接网络共享的凭据与用来启动程序的凭据不同而失败。后者的凭据可能无法访问同一网络共享。
有些项，例如“打印机”文件夹和桌面项，间接由 Windows 2000 打开，而不能使用 runas 命令启动。
如果 runas 命令失败，则可能是没有运行 RunAs 服务或使用的用户帐户无效。要检查 RunAs 服务的状态，请在“计算机管理”中单击“服务和应用程序”，然后单击“服务”。要测试用户帐户，请尝试使用该帐户登录合适的域。
范例
要在本地计算机上以管理员身份启动 Windows 2000 命令提示行实例，请键入：

runas /user:localmachinename\administrator cmd
系统提示时，键入管理员密码。

要使用名为 companydomain\domainadmin 的域管理员帐户启动“计算机管理”管理单元实例，请键入：

runas /user:companydomain\domainadmin "mmc %windir%\system32\compmgmt.msc"
当提示时，键入帐户密码。

要使用名为 domain.microsoft.com 的域中的域管理员帐户 user 启动“记事本”实例，请键入：

runas /user:user@domain.microsoft.com "notepad my_file.txt"
当提示时，键入帐户密码。

要启动命令提示符行窗口、保存的 MMC 控制台、控制面板项或管理其他地点服务器的程序的一个实例，请键入：

runas /netonly /user:domain\username "command"
domain\username 必须是有足够权限管理服务器的用户。当提示时，键入帐户密码。


举个例子：假如我们需要用Administrator用户安装D盘的一个软件，软件的安装文件就是setup.exe那么我们可以这样来做，
打开运行，输入Runas /user:administrator "d:\setup.exe" 回车我们会得到一个输入administrator用户密码的提示信息，输入Administrator的密码然后回，setup.exe就会以administrator的身份模式运行。当然我们也可以把它做成一个批处理如下：
打开记事本输入如下命令，然后另存为Adminsetup.bat
@echo off
echo --------------------------------------------------
echo 安装软件中请等待..........
runas /user:%1 "%2"
exit
         我们在安装软件的时候只需要打开运行窗口，运行adminsetup.bat administrator "D:\setup.exe"然后输入administrator的密码就可以了。当然，如果你网络中每台电脑的管理员用户都是一样的在上面的批处理中你可以把“%1”换成你的管理员用户名。但是我们在使用批处理时也无法避免输入密码这个步骤。最初我有尝试过用（echo 密码 Runas /user:administrator  "command"）来避免使用批处理时输入密码，但提示错误，于是感觉自己技术不足，在百度上一搜，发现有很多朋友碰到这种问题，也有朋友在百度问吧上给出了像我一样的答案，呵呵，我想那位朋友一定没试过，真是误人子弟啊。
         经过一段时间的搜索我找到了这个软件CPAU来代替Runas并且他可以在使用批处理时避免输入密码。CPAU的命令行使用方法是：
         CPAU.exe -u:administraotr -p password -ex "command"可以直接运行CPAU.exe得到该软件的帮助信息。这样我们就可以使用批处理命令而不需要输入密码了。把CPAU.exe放到C:\windows\system32目录下然后把上面的批处理改成
@echo off
echo --------------------------------------------------
echo 安装软件中请等待..........
CPAU.exe -u administrator -p password -ex "D:\setup.exe"
exit
这里再向大家介绍一个小技巧，相信大家现在装系统的时候都是使用克隆版的吧，我们不如把CPAU.exe改成Runas.exe然后放到系统克隆文件里，再用软件把那个批处理编译成exe文件也放到克隆文件里，这样以后在安装的时候就把CPAU.exe直接加入到系统中了。呵呵方便吧。
      另外我还找到了一个Runasp.exe的小工具，它可以图形化的完成我们所需要的操作。使用很简单，相信大家一看就会。