介绍

随着网络免费的大潮的 退去，网站变得越来越商业化。浏览一些常去的网站，每看一个页面都会弹出N多的广告窗口，而且都是花花绿绿的Flash和Gif小动画,浪费带宽（我在家 还是拨号上网），同时干扰了正常的阅读，非常讨厌。那么如何才能将这些广告屏蔽掉呢？答案就是Browser Helper Object(简称BHO)。

BHO实际上也是一个简单的IE扩展COM组件，它和其它COM组件的区别就在于其它扩展需要一些用户的手工操作，如点击菜单，点击工具条按钮，在地址栏输入 网址等等触发动作才会被IE加载。而BHO则不同，每当IE启动时，都会自动去加载BHO而无须任何触发条件，另外BHO还可以监听IE的各类事件的通知消息，比如窗 口大小的变化，下载是否完成等事件。

由于BHO可以在一启动IE就被加载，并能监听各种事件，我们就可以使用BHO扩展实现限制用户浏览某些色情网站，或者搜集用户浏览喜好信息等功能。接下来， 我们就来实现一个能够阻断广告弹出的BHO扩展。

创建COM组件

       新建一个ActiveX Library，保存为IEBHO.dpr，然后新建一个名为TIEAdvBHO的COM Object，然后保存生成的文件为CIEBHO.pas，作为BHO扩展，需要实现两 个接口IObjectWithSite和IDispatch，其中 IObjectWithSite接口同前面的工具条扩展一样可以用来获得浏览器的接口，而IDispatch接口，则被用来监听浏览器的事件。下面就是BHO扩展的类定义：

type

  TTIEAdvBHO = class(TComObject, IObjectWithSite, IDispatch)

  private

    FIESite: IUnknown;

    FIE: IWebBrowser2;

    FCPC: IConnectionPointContainer;

    FCP: IConnectionPoint;

    FCookie: Integer;

  protected

    //IObjectWithSite接口方法定义

    function SetSite(const pUnkSite: IUnknown): HResult; stdcall;

    function GetSite(const riid: TIID; out site: IUnknown): HResult; stdcall;

    //IDispatch接口方法定义

    function GetTypeInfoCount(out Count: Integer): HResult; stdcall;

    function GetTypeInfo(Index, LocaleID: Integer; out TypeInfo): HResult;

      stdcall;

    function GetIDsOfNames(const IID: TGUID; Names: Pointer;

      NameCount, LocaleID: Integer; DispIDs: Pointer): HResult; stdcall;

    function Invoke(DispID: Integer; const IID: TGUID; LocaleID: Integer;

      Flags: Word; var Params; VarResult, ExcepInfo, ArgErr: Pointer): HResult;

      stdcall;

    //阻断广告弹出事件处理过程

procedure DoNewWindow2(var ppDisp: IDispatch; var Cancel: WordBool);

    procedure DoBeforeNavigate2(const pDisp: IDispatch; var URL: OleVariant; var Flags: OleVariant; var TargetFrameName: OleVariant; 
var PostData: OleVariant;var Headers: OleVariant; var Cancel: WordBool);

end;

IObjectWithSite的接口的实现

先 看IObjectWithSite的接口的实现，当IE加载BHO扩展后，会调用BHO的扩展，把自身的IUnknown接口作为参数pUnkSite传 给扩展，BHO扩展应该从pUnkSite参数中获得浏览器接口IWebBrowser2,同时为了监听浏览器的事件，还需要获得事件链接点接口，IE的 支持的事件都定义在DWebBrowserEvents2的双接口中，使用链接点的Advise方法建立对IE事件的监听，注意Advise方法调用后 会返回一个Cookie，需要保存Cookie，后面在退出IE时，需要Cookie作为参数来断开对IE事件的监听。

function TTIEAdvBHO.SetSite(const pUnkSite: IInterface): HResult;

begin

  Result := E_FAIL;

  //保存接口

  FIESite := pUnkSite;

  if not Supports(FIESite, IWebBrowser2, FIE) then

Exit;

  //获得事件连接点

  if not Supports(FIE, IConnectionPointContainer, FCPC) then

    Exit;

  FCPC.FindConnectionPoint(DWebBrowserEvents2, FCP);

  //监听事件

  FCP.Advise(Self, FCookie);

  Result := S_OK;

end;

后面IE有时会调用IObjectWithSite接口的GetSite方法获得需要的接口，这时可以将保存的接口返回。

function TTIEAdvBHO.GetSite(const riid: TIID;

  out site: IInterface): HResult;

begin

  if Supports(FIESite, riid,site) then

    Result := S_OK

  else

    Result:= E_NOINTERFACE;

end;

IDispatch接口的实现

前 面我们在SetSite中建立了对IE事件的监听，建立事件监听后每当IE产生了新的事件，它就会调用扩展的IDispatch接口的Invoke方法通 知扩展发生的事件类型以及事件参数，并请求扩展对事件进行处理。因此对于BHO扩展来说，IDispatch接口的Invoke方法是必须实现的，而其它 的GetTypeInfoCount，GetTypeInfo和GetIDsOfNames方法都无须实现，只要返回结果为E_NOTIMPL，表示未实 现该方法就可以了。

function TTIEAdvBHO.GetIDsOfNames(const IID: TGUID; Names: Pointer;

  NameCount, LocaleID: Integer; DispIDs: Pointer): HResult;

begin

  Result := E_NOTIMPL;

end;

function TTIEAdvBHO.GetTypeInfo(Index, LocaleID: Integer;

  out TypeInfo): HResult;

begin

  Result := E_NOTIMPL;

  pointer(TypeInfo) := nil;

end;

function TTIEAdvBHO.GetTypeInfoCount(out Count: Integer): HResult;

begin

  Result := E_NOTIMPL;

  Count := 0;

end;

事件的监听

IE支持的事件都定义在DWebEvents2接口中，如下：

  DWebBrowserEvents2 = dispinterface

    ['{34A715A0-6587-11D0-924A-0020AFC7AC4D}']

    procedure StatusTextChange(const Text: WideString); dispid 102;

    procedure ProgressChange(Progress: Integer; ProgressMax: Integer); dispid 108;

    procedure CommandStateChange(Command: Integer; Enable: WordBool); dispid 105;

    procedure DownloadBegin; dispid 106;

    procedure DownloadComplete; dispid 104;

    procedure TitleChange(const Text: WideString); dispid 113;

    procedure PropertyChange(const szProperty: WideString); dispid 112;

procedure BeforeNavigate2(const pDisp: IDispatch; var URL: OleVariant; var Flags:

 OleVariant; var TargetFrameName: OleVariant; var PostData: OleVariant;                               

var Headers: OleVariant; var Cancel: WordBool); dispid 250;

    procedure NewWindow2(var ppDisp: IDispatch; var Cancel: WordBool); dispid 251;

    procedure NavigateComplete2(const pDisp: IDispatch; var URL: OleVariant); dispid 252;

    procedure DocumentComplete(const pDisp: IDispatch; var URL: OleVariant); dispid 259;

    procedure OnQuit; dispid 253;

    procedure OnVisible(Visible: WordBool); dispid 254;

    procedure OnToolBar(ToolBar: WordBool); dispid 255;

    procedure OnMenuBar(MenuBar: WordBool); dispid 256;

    procedure OnStatusBar(StatusBar: WordBool); dispid 257;

    procedure OnFullScreen(FullScreen: WordBool); dispid 258;

    procedure OnTheaterMode(TheaterMode: WordBool); dispid 260;

  end;

可以看到每个事件中的后面都有一个dispid关键加上数字如 258 ,260等等。Dispid的数字就是事件类型的标识符号。
IDispatch的Invoke方法定义如下：

    function Invoke(DispID: Integer; const IID: TGUID; LocaleID: Integer;

Flags: Word; var Params; VarResult, ExcepInfo, ArgErr: Pointer): HResult;

当IE调用Invoke方法时，会设定DispId参数为事件的标识符号，这样我们就可以知道IE发生了什么事件。对于要实现 的阻断广告窗口弹出来说，我们只需关心BeforeNavigate2和OnQuit事件就可以了，因为当广告窗口弹出前，会激发 IE的BeforeNavigate2事件，而弹出式窗口一般没有工具条，所以只要BeforeNavigate2事件中判断当前页面是否有 工具条就可以判断是否是弹出窗口，并予以禁止。而当IE退出时，会激发OnQuit事件，在OnQuit事件中应该断开事件 监听，同时清理分配的资源。下面就是截获BeforeNavigate2和OnQuit事件的Invoke方法的实现:

procedure BuildPositionalDispIds(pDispIds: PDispIdList; const dps: TDispParams);

var

  i: integer;

begin

  Assert(pDispIds <> nil);

  for i := 0 to dps.cArgs - 1 do

    pDispIds^[i] := dps.cArgs - 1 - i;

  if (dps.cNamedArgs <= 0) then

    Exit;

  for i := 0 to dps.cNamedArgs - 1 do

    pDispIds^[dps.rgdispidNamedArgs^[i]] := i;

end;

function TTIEAdvBHO.Invoke(DispID: Integer; const IID: TGUID;

  LocaleID: Integer; Flags: Word; var Params; VarResult, ExcepInfo,

  ArgErr: Pointer): HResult;

var

  dps: TDispParams absolute Params;

  bHasParams: boolean;

  pDispIds: PDispIdList;

  iDispIdsSize: integer;

begin

  pDispIds := nil;

  iDispIdsSize := 0;

  bHasParams := (dps.cArgs > 0);

  if (bHasParams) then

  begin

    iDispIdsSize := dps.cArgs * SizeOf(TDispId);

    GetMem(pDispIds, iDispIdsSize);

  end;

  try

    if (bHasParams) then

      BuildPositionalDispIds(pDispIds, dps);

    Result := S_OK;

    case DispId of

      250://BeforeNaviage2事件id

        begin

          DoBeforeNavigate2(IDispatch(dps.rgvarg^[pDispIds^[0]].dispval),

              POleVariant(dps.rgvarg^[pDispIds^[1]].pvarval)^,

              POleVariant(dps.rgvarg^[pDispIds^[2]].pvarval)^,

              POleVariant(dps.rgvarg^[pDispIds^[3]].pvarval)^,

              POleVariant(dps.rgvarg^[pDispIds^[4]].pvarval)^,

              POleVariant(dps.rgvarg^[pDispIds^[5]].pvarval)^,

              dps.rgvarg^[pDispIds^[6]].pbool^);

        end;

      253://OnQuit事件ID

        begin

          FCP.Unadvise(FCookie);

        end;

    else

      Result := DISP_E_MEMBERNOTFOUND;

    end;

  finally

    if (bHasParams) then

      FreeMem(pDispIds, iDispIdsSize);

  end;

end;

在Invoke方法中，Params参数包含了被激发的事件包含的参数的数目以及参数的值，而BuildPositionalDispIds 则从Params参数中提取参数值，并放到数组中，然后在BeforeNavigate2事件中，调用DoBeforeNavigate2过程对 事件进行处理，事件参数作为过程参数被传递过去，下面是具体禁止弹出网页的DoBeforeNavigate2的处理过程：

procedure TTIEAdvBHO.DoBeforeNavigate2(const pDisp: IDispatch; var URL,

  Flags, TargetFrameName, PostData, Headers: OleVariant;

  var Cancel: WordBool);

begin

  if FIE.ToolBar=0 then FIE.Quit;

end;

在过程中，首先，调用IWebBrowser2接口的Toolbar属性判断页面是否有工具条，如果没有，则调用IE的退出方法关闭弹出窗口。另外在Invoke中还在OnQuit事件激发时，调用事件连接点的UnAdvise方法，断开事件监听。

 注册扩展

 注册扩展非常简单，只要在注册表中关键字HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\explorer\Browser Helper Objects\下添加值为扩展的Guid的字符串形式的下级关键字就可以了。

 type

  TIEAdvBHOFactory = class(TComObjectFactory)

  public

    procedure UpdateRegistry(Register: Boolean); override;

  end;

{ TIEAdvBHOFactory }

procedure TIEAdvBHOFactory.UpdateRegistry(Register: Boolean);

begin

  inherited;

  if Register then

    CreateRegKeyValue(HKEY_LOCAL_MACHINE, 'Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\' 
                      + GuidToString(ClassID), '', '')

  else

    DeleteRegKeyValue(HKEY_LOCAL_MACHINE, 'Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\' 
                      + GuidToString(ClassID), '');

end;

initialization

  TIEAdvBHOFactory.Create(ComServer, TTIEAdvBHO, Class_TIEAdvBHO,

    'TIEAdvBHO', '', ciMultiInstance, tmApartment);

end.

注册扩展后，打开浏览器浏览新浪网站(http://www.sina.com.cn)，你会发现平时讨厌的弹出广告窗口都消失了。

DLL注入的步骤

1。在受害进程中为DLL代码分配要占据的空间。
用到的函数：VirtualAllocEx

2。在受害进程中为要注入的DLL所需的参数分配空间。
用到的函数：VirtualAllocEx

3。把DLL的名字和代码写入受害进程的存储空间。
用到的函数：WriteProcessMemory

4。在受害进程中创建线程，运行新注入的DLL。
用到的函数：CreateRemoteThread

5。释放受害进程中的资源。
用到的函数：VirtualFreeEx

Windows 2000/XP 的任务管理器是一个非常有用的工具，它能提供我们很多信息，比如现在系统中运行的程序（进程），但是面对那些文件可执行文件名我们可能有点茫然，不知道它 们是做什么的，会不会有可疑进程（病毒，木马等）。本文的目的就是提供一些常用的Windows 2000 中的进程名，并简单说明它们的用处。

在 WINDOWS 2000 中,系统包含以下缺省进程：
Csrss.exe
Explorer.exe
Internat.exe
Lsass.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
System
System Idle Process
Taskmgr.exe
Winlogon.exe
Winmgmt.exe

下面列出更多的进程和它们的简要说明
进程名 描述
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序
svchost.exe Windows 2000/XP 的文件保护系统
SPOOLSV.EXE 将文件加载到内存中以便迟后打印
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
mstask.exe 允许程序在指定时间运行。
regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe 提供系统管理信息(系统服务)
inetinfo.exe msftpsvc,w3svc,iisadmn
tlntsvr.exe tlnrsvr
tftpd.exe     实现 TFTP Internet 标准。该标准不要求用户名和密码
termsrv.exe     termservice
dns.exe     应答对域名系统(DNS)名称的查询和更新请求
tcpsvcs.exe     提供在PXE可远程启动客户计算机上远程安装2000 Professional的能力
ismserv.exe     允许在 Windows Advanced Server 站点间发送和接收消息
ups.exe     管理连接到计算机的不间断电源(UPS)
wins.exe     为注册和解析 NetBIOS 型名称的TCP/IP客户提供NetBIOS名称服务
llssrv.exe     证****录服务
ntfrs.exe     在多个服务器间维护文件目录内容的文件同步
RsSub.exe     控制用来远程储存数据的媒体
locator.exe     管理 RPC 名称服务数据库
lserver.exe     注册客户端许可证
dfssvc.exe     管理分布于局域网或广域网的逻辑卷
clipsrv.exe     支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面
msdtc.exe     并列事务，是分布于两个以上的数据库，消息队列，文件系统或其它事务保护护资源管理器。
faxsvc.exe     帮助您发送和接收传真。
cisvc.exe     索引服务
madmin.exe      磁盘管理请求的系统管理服务。
mnmsrvc.exe     允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。
netdde.exe     提供动态数据交换 (DDE) 的网络传输和安全特性。
smlogsvc.exe    配置性能日志和警报。
rsvp.exe     为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。
RsEng.exe     协调用来储存不常用数据的服务和管理工具。
RsFsa.exe     管理远程储存的文件的操作。
grovel.exe     扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间(只对NTFS文件系统有用)
SCardSvr.ex     对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。
snmp.exe     包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
snmptrap.exe    接收由本地或远程SNMP代理程序产生的陷阱(trap)消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。
UtilMan.exe     从一个窗口中启动和配置辅助工具。
msiexec.exe     依据.MSI文件中包含的命令来安装、修复以及删除软件。

总结： 发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可可疑进程，就象找一群熟悉人中的陌生人一样

　　我们使用电脑时经常会碰到各种各样的问题，比如在网上邻居中看不到其他的“网友”、无法正常上网、电脑关机速度变慢等等，在尝试了各种方法还没有解决时，不妨到“控制面板→管理工具→服务”中“打探”一番，没准就能找到故障的根源。

　　1. Computer Browser

　　这个服务主要用于维护网上邻居中计算机的最新列表，其中包括基于Windows的域、工作组的计算机，还有其他使用NetBIOS协议的网络设 备。“网上邻居”显示的内容正是来源于此，Computer Browser服务会将这个列表通知给请求的程序。如果你在“网上邻居”看不到其他电脑，很可能是这个服务没有开启。笔者建议个人用户将其设置为“已禁 用”，局域网用户应设置为“自动”。

　　2. Event Log

　　这个服务会将程序和系统发送的出错消息记录到日志中，其中会包含对诊断问题有所帮助的信息。一般情况下，禁用这个服务并不会有什么问题，但有时 很可能会导致几个与网络有关的服务无法启动，并出现无法拨号上网的现象。如果需要上网或是处于局域网中的用户，笔者建议将其设置为“自动”。

　　3. IMAPI CD-Burning COM Service

　　Windows XP刻录服务，可以让你通过拖放文件进行光盘刻录。同时，一些与刻录相关的软件也会用到这个服务，比如:Windows Media Player等。不过，如果你使用Nero作为默认的刻录软件，在开启这个服务后，Nero的运行速度会受影响。如果使用Nero，笔者建议将其设置为 “已禁用”，这样会提高Nero的运行速度。

　　4. Shell Hardware Detection

　　用于支持闪存、各种记忆卡、光驱等设备的自动播放，如果你的笔记本电脑在使用这个服务后，出现一些问题，或者在“我的电脑”中看不到DVD光驱、光驱自动运行出现问题等，笔者建议将其设置为“自动”。

　　5. ATi HotKey Poller

　　这是ATi显卡驱动程序的服务，用来管理ATi驱动程序所附带的热键功能，不过大部分用户并不需要。同时，这个服务不仅会占用相当多的CPU资源，同时还导致关机速度变慢，笔者建议将其设置为“已禁用”。

　　6. Nvidia Driver Helper Service

　　这个服务是安装NVIDIA显卡驱动程序后生成的服务，尽管我们并不太清楚它的作用到底是什么，但起码知道，一些关机慢的故障是由它引起的，同时它还占用了不少内存资源。笔者建议将其设置为“已禁用”。

　　7. O&O Defrag

　　这是磁盘整理软件O&O Defrag的即时检测服务，它能自动监视磁盘使用情况，并在需要整理磁盘，而且系统处于空闲状态时自动启动。不少朋友可能会遇到启动O&O Defrag时，出现错误提示，无法运行软件。其实，只要先进入“服务”窗口，选中“O&O Defrag”服务，接着单击工具栏中的启动服务按钮将其启动起来，然后再运行软件即可。因此，如果遇到某个软件无法运行，除检查软件本身外，最好到“服 务”中查一查。笔者建议将其设置为“自动”。