SiS001! Board - [第一会所关闭注册]

标题: [交流] 做自己的救世主--系統安全保衛戰 [打印本页]

作者: grhj 时间: 2007-4-20 14:35 标题: 做自己的救世主--系統安全保衛戰

做自己的救世主--系統安全保衛戰

　一. 誰是救世主

　　相信看過《黑客帝國》系列的朋友都不會對主人公尼奧感到陌生，這位闖入虛擬世界的程序員一次又一次演繹了“救世主”的角色，保護了城市居民，其形象早已深入人心。
而離開電影后，我們廣大的電腦使用者要面對的又是另一種亦真亦假的數字虛擬世界——網絡，這里同樣潛伏著許多危險，同樣存在“黑客帝國”，但這里卻沒有尼奧這個人的存在，我們能看到的，只有形形色色的安全廠商和他們所提供的安全工具，除此之外，似乎已經沒有別的選擇。

　　於是乎，許多使用者把各種安全工具看成了這個世界中的“救世主”，我們看到許多關於安全工具的廣告，我們購買市面上流行的防病毒軟體，我們在聽聞每週一次的“新病毒預警”時趕緊昇級病毒特征庫，我們每周都對電腦進行一次漫長的病毒掃瞄……許多人都這樣做，許多人不得不這樣做，因為我們把一切都交給殺毒工具了，我們什麼都不需要做了，我們只管肆無忌彈的上網聊天看電影下軟體，因為我們有殺毒工具，這些工具都具備一個“實時監測”的功能，它每時每刻都會檢查我們剛下載的文件，我們感到自己很安全，我們以為這就是網絡中的防御。

　　然而，事實真的如此美好嗎？依稀記得有一句話好像是這麼說的，“無論你做什麼事情，你都不可避免要付出一定的代價”，在我們安然自得的享受由殺毒工具帶來的安全防御的同時，我們也在付出相應的代價。為什麼呢？因為殺毒工具是一套在系統啟動的時候就開始運行直到關機或者使用者退出它的時候才會停止運行的程序，它們的檢測和防御機制的效率是不能和尼奧相比的。舉個簡單例子，學過程式化的人大概都知道，象棋程序是最難寫得完美的，因為象棋的走法從來都沒有一個固定的模式，我們能創造出許多花樣，但是程序不能，它只能按照有限的判斷機制去決定每一步棋怎麼走，這就是為什麼如今的許多象棋程序看起來像個傻瓜的原因。有人也許會說，做一個強大的象棋程序把盡可能遇到的走法都寫進去就可以了，這個象棋程序必然無敵。這樣是可行的，但是由此帶來的代價就是每個和它下棋的人可能都要花一輩子的時間了，因為程序在每走一步棋之前都要把所有盡可能遇到的情況都“思考”一遍，這樣是要付出時間作為代價的，如果要縮短時間，就要讓程序在同一時刻思考多種走法，但著時候，代價就變成龐大的系統資源消耗了——你能忍受麼？

　　同樣的缺陷正在殺毒軟體身上發生，我們知道，大部分殺毒軟體是採用“特征碼”技術去搜索病毒的，就是說，殺毒軟體引擎讀取一個程序或文件內容，並與自身資料庫里儲存的已被確認為病毒程序體內某段特定代碼進行匹配，一旦兩者相同，殺毒軟體就“確認”此文件為病毒。隨著病毒家族的龐大，這個資料庫體積的增長也到了不可忽視的地步，加載的速度也就慢了。而且資料庫每增加一個病毒特征碼，殺毒引擎的判斷分支就要增多一條，相應的時間也會延長，為了避免出現掃瞄一個文件需要半小時的尷尬情況，殺毒軟體會採用各種提高匹配速度的方案，但這些方案無一例外都要瘋狂剝削使用者的系統資源，如果一台電腦的配置並不是很高，那麼在使用者查毒的時候，他基本上已經不能正常做其他工作了，找個電視台慢慢看連續劇吧，這就是尼奧的代價。

　　那麼，誰才是我們的救世主？答案就是——你自己。能信任的人永遠只有自己，只要肯努力，每個人都可以做尼奧，不過這也是有代價的，因為它把系統資源的消耗轉變為腦子的消耗，把判斷分支和經驗寫入腦子里，在處理分支的效率上，人永遠比程序要靈活，而且這樣一來就不會出現依賴的惡性循環了，離開了殺毒軟體，我們要學會靠自己來保護自己不被這個虛擬世界傷害到。現在，就讓我們來做自己的救世主吧。

　　二. 做自己的救世主

　　小時候曾經看過一個故事《另一種侵略》，被人類打敗的宇宙侵略者送給人類一種水晶，只要人類拿起它想一種物品，這個物品就會出現在自己面前，於是每個人都開始沉浸於無盡的享受中，再也沒人去鉆研科技國防了，幾十年后，人類開始出現退化現象。這時候，宇宙侵略者又來訪問地球了，這次它們只用了一條條鞭子就征服了地球，在最后一個人類被驅逐進囚籠之前，他回頭含糊不清的說了句什麼話——連他的舌頭都退化得差不多了，也許他是說：“地球完了。”

　　以上的故事或許只是虛無的幻想，但類似的行為卻正在當代發生，如果一個使用者懷疑自己的電腦感染了后門，他的第一個反應大概會是打開殺毒工具。故事里的人類太依賴水晶的魔力，現實中的我們太依賴殺毒軟體的方便快捷！也許有人會反對，既然能使用工具方便快捷的保護電腦安全，我又何必自尋煩惱學習安全防御？會這樣想的使用者沒有想到網絡的復雜，能闖進電腦的“客人”並非就是在各大安全工具廠商通緝名單上的成員，因為網絡中還流傳著一部分小規模使用而且沒有被公開的“私人后門”（例如大部分DDoS后門工具其實都是自己寫自己用的），有能力的人都可以自己寫“私人后門”，然后通過多種途徑放到別人的電腦上執行。這時候，“病毒庫特征碼”技術的局限性就開始顯露了，被感染了“私人后門”的使用者偶爾會察覺到電腦異常，然后他會開始查毒，結果因為滲透進系統的后門程序並沒有在病毒特征庫里“登記”過，殺毒軟體就認不出它了，使用者只能在浪費大量時間后看著殺毒軟體報告的“沒有發現病毒”消息繼續“享受”被入侵的感覺。這個事實可笑嗎？我們只能在自己信賴的尼奧面前被敵人殺死——甚至這個尼奧也不復存在了，如果后門能把它踢出記憶體並刪除掉的話。

　　還是那句話，能信任的人只有自己，更何況這是網絡。所以，我們不能再戰戰兢兢的躲在掩體里等待救世主消滅所有敵人了，我們要做自己的救世主！
　　三. 捕獲不請自來的“客人”

　　“600型機器人包裹的是橡膠外皮，很容易被認出來，但現在的101型機器人是生化技術制造的，有真實皮膚，會呼吸、流血、甚至口臭，一切都和人類一樣，直到它開始攻擊，你才能知道它不是人類。”
　　“那你們怎麼辦？”
　　“我們用狗識別終結者。”
　　——《終結者》

　　在《終結者》里，狗是唯一可以區分敵我的工具，因為它判斷對方的方式並不僅僅靠眼睛——眼睛是可以被欺騙的，但是氣息不能，一個機器人無論偽裝得再怎麼逼真，都不能具備生命體的氣息，但是它能欺騙人類的視覺和聽覺，這就足夠了。

　　后門技術從誕生到現在，已經發展了好幾代，對自身的偽裝技術也越來越成熟了，從最初的啟動項結合隱藏進程方式，到最新的Ring0驅動方式，我們越來越難發現這些“客人”的痕跡，當它開始破坏的時候，已經來不及做補救措施了，所以，我們需要一種可以嗅出后門氣息的“狗”。

　　1.準備工作

　　在進行一切工作之前，使用者需要對系統有點了解，例如注冊表、啟動項、服務、常見的程序和進程名等，這是學習手工查毒最基本的要求，在初期可以多參考一些介紹系統概念的文章如到處都流傳的“系統進程詳解”、“WinXP系統服務簡介及優化措施”等，並做一點筆記，力求日積月累盡快記住一些最常見的系統程序和相關工具的使用方法，如果過不了這個門檻，后面的工作也就無從談起。

　　首先，我們必須了解Windows系統的三大知識點：注冊表（Registry）、進程（Process）和權限（Privilege）。

　　“注冊表”是出現在Windows 95及以后版本的一種資料庫。在這之前，使用者要對軟硬體工作環境進行配置，就要修改一種被稱為“配置設置”（INI）的文件來完成，但是由於每種設備或應用程序都得有自己的INI文件，無形中增加了管理難度，為了解決這個問題，微軟開始統一標準並將各種資訊資源集中起來存儲，最終形成了將應用程序和電腦系統配置資訊容納在一起的“注冊表”，用來管理應用程序和文件的關聯、硬體設備說明、狀態屬性以及各種狀態資訊和資料等，注冊表維持著整個系統的正常運作。

　　注冊表採用一種類似文件目錄的結構樹來描述配置資訊，最頂端的5個項目稱為“根鍵”（ROOT_KEY），系統能識別的所有的資料都是從它們這里展開的，這5個根鍵分別是：
　　‧HKEY_CLASSES_ROOT（負責各種組件注冊類別和文件並聯資訊）
　　‧HKEY_CURRENT_USER（當前登錄使用者的環境資訊）
　　‧HKEY_LOCAL_MACHINE（整個系統的公共環境資訊）
　　‧HKEY_USERS（所有使用者的環境配置資訊）
　　‧HKEY_CURRENT_CONFIG（當前的配置資訊）
　　其中，我們主要關注的是前面三個根鍵里的資料，它們是后門最愛篡改的地方，分別是三個啟動項目“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”和“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices”，一般的后門都要通過修改這里加入自己的配置資訊以達到跟隨系統啟動的目的；除此之外就是文件並聯資訊“HKEY_CLASSES_ROOT”，並聯型后門最愛更改這里的.exe、.bat、.scr、.com等可執行文件的注冊資訊，讓自己搶先一步運行。更多涉及到的注冊表內容以后會提到，現在讓我們來看看進程是什麼。

　　“進程”，是指一個可執行文件在運行期間請求系統在記憶體里開辟給它的資料資訊塊，系統通過控制這個資料塊為運行中的程序提供資料交換和決定程序生存期限，任何程序都必須擁有至少一個進程，否則它不被系統承認。進程從某一方面而言就是可執行文件把自身從存儲介質復制在記憶體中的映像，它通常和某個在磁盤上的文件保持著對應關係，一個完整的進程資訊包括很多方面的資料，我們使用進程查看工具看到的“應用程序”選項卡包含的是進程的標題，而“進程”選項卡包含的是進程文件名、進程標識符、占用記憶體等，其中“進程文件名”和“進程標識符”是必須掌握的關鍵，“進程標識符”是系統分配給進程記憶體空間時指定的唯一數字，進程從載入記憶體到結束運行的期間里這個數字都是保持不變的，而“進程文件名”則是對應著的介質存儲文件名稱，根據“進程文件名”我們就可以找到最初的可執行文件位置。

　　最后是“權限”，這里涉及的權限是指80386模式的Ring權限。操作系統是由內核（Kernel）和外殼（Shell）兩部分組成的，內核負責一切實際的工作，包括CPU任務調度、記憶體分配管理、設備管理、文件操作等，外殼是基於內核提供的交互功能而存在的界面，它負責指令傳遞和解釋。由於內核和外殼負責的任務不同，它們的處理環境也不同，因此處理器提供了多個不同的處理環境，把它們稱為運行級別（Ring），Ring讓程序指令能訪問的電腦資源依次逐級遞減，目的在於保護電腦遭受意外損害——內核運行於Ring 0級別，擁有最完全最底層的管理功能，而到了外殼部分，它只能擁有Ring 3級別，這個級別能操作的功能極少，幾乎所有指令都需要傳遞給內核來決定能否執行，一旦發現有可能對系統造成破坏的指令傳遞（例如超越指定範圍的記憶體讀寫），內核便返回一個“非法越權”標志，送出這個指令的程序就有可能被終止運行，這就是大部分常見的“非法操作”的由來，這樣做的目的是為了保護電腦免遭破坏，如果外殼和內核的運行級別一樣，使用者一個不經意的點擊都有可能破坏整個系統。但是現在，Ring已經屢屢被后門木馬利用成為一個令人頭痛的凶器。

　　2.進程偽裝型后門的殲滅

　　最初的后門靠注冊“系統服務”的方法在Win9x系統里隱藏自己的運行資訊，到了NT架構里，這個方法失效了——NT家族自帶的任務管理器（Task Manager,TaskMgr.exe）把所有普通進程都一視同仁的顯示出來，連初級使用者都能輕易發現后門運行的痕跡，於是后門制造者開始攻克心理學和障眼法，讓后門進程在任務管理器里把自己標榜為“系統關鍵進程”，達到欺騙使用者的目的。

　　我們都知道，任務管理器列出的眾多進程里包含著一部分“關鍵進程”，它們是無法通過任務管理器中止的，而且許多文章也會提到相關進程名，久而久之，我們又養成一個習慣：查看進程資訊時，只要看到熟悉甚至類似的進程名就忽略不計了，僅僅去尋找不熟悉的進程名，於是后門制造者就直接利用這個心理暗角配合路徑遍曆法則，讓后門進程顯示為“smss.exe”、“svchost.exe”、“lsass.exe”、“csrss.exe”、“winlogon.exe”等關鍵進程名就欺騙了使用者和任務管理器。

　　在這種情況下，系統自己的任務管理器已經不能信任了，因為它遺漏了最重要的路徑資訊，后門就利用了這一點——它可以把自己偽裝成svchost.exe放到Windows目錄下，然后在注冊表啟動項里加上不帶路徑資訊的“svchost.exe”資訊，系統在根據目錄遍曆法則一層層深入尋找svchost.exe時會在Windows目錄里發現並執行它，而真正的關鍵進程svchost.exe是在SYSTEM32里的，而且它也必須通過“服務管理器”（Service Control Manager,SCM）加載，於是任務管理器會顯示多個svchost.exe進程，但是由於缺乏路徑指示，我們根本不知道系統已經多了一個假的svchost.exe。即使我們發現了它是假的，也無法用任務管理器終止它的運行，因為任務管理器只是簡單的判斷了文件名就認為它是“關鍵進程”了，自然不會讓你終止。類似的后門偽裝文件名還有“SYSTEM undll32.exe”、“SYSTEM32 undll.exe”（NT架構雷根本沒有rundll.exe這個程序）、“SYSTEMservices.exe”等，要發現並殲滅這些后門，除了要求我們對常見的系統關鍵進程有所了解以外，還需要第三方提供的擴展任務管理器協助，例如Windows優化大師攜帶的進程查看器，用它便可迅速發現路徑不對的“假兄弟”。

　　其實最迅速的搜尋方法是運行“系統配置實用程序”（MSCONFIG.EXE），切換到“啟動項”，如果在這里發現了“系統關鍵程序”的資訊，那它一定是假的。

　　3.服務欺騙型后門的戰役

　　Windows的任務管理器不可終止兩種程序的運行：一種是關鍵進程，另一種是通過服務管理器SCM啟動的系統服務程序（NT-Service），所以一部分后門制造者設法把后門做成服務形式，讓SCM直接幫助啟動服務進程，不再借用注冊表啟動項加載，這樣即使是對注冊表啟動項有一定了解的使用者也難以發現異常，而且就算他想終止任務管理器里顯示的奇怪進程，也會被拒絕，如果使用者對服務管理器的了解不深，那他將會在眼花繚亂的服務面前變得束手無策。

　　這時候，我們又需要請“系統配置實用程序”出山了，切換到“服務”選項卡，把“隱藏所有Microsoft服務”，這里就只顯示非微軟開發的普通服務程序列表了，包括服務欺騙型后門的服務項，一般它會包含欺騙性質的字符或者偽裝成某廠商的服務名，如“Rising Virus Monitor”（瑞星監控）、“Macromedia License”等，記住這里顯示的列表名稱，接著運行“服務管理器”（Services.msc）找到對應的項目，看看屬性里的文件和路徑是不是真的，如果你並沒有安裝KAV、MCAFEE這些殺毒軟體而SCM里卻找到對應項目的話，它就是狡猾的后門沒錯了。一些間諜軟體還會自作主張的把自己命名為“Windows Print Controller”，簡直就是無視系統自身的“Print Spooler”服務。

　　找到這類后門后，不要急著終止它的運行，既然后門作者知道SCM能直接停止它們，就必然會做一些復活措施，所以我們必須先把后門服務的“啟動類型”設置為“禁止”，然后重啟一次確保后門程序無法跟隨系統啟動，這時候才能開始清理后門。其中文件的路徑資訊SCM已經提供給我們了，直接在磁盤上找到刪除即可，但是服務項目不能直接用SCM刪除，要刪除這個殘留的服務項，首先要對系統服務有個最初的概念。

　　官方對系統服務的定義如下：

　　在NT架構系統中，服務是指執行指定系統功能的程序、例程或進程，以便支持其他程序，尤其是底層(接近硬體)程序。通過網絡提供服務時，服務可以在Active Directory中發布，從而促進了以服務為中心的管理和使用。服務是一種應用程序類型，它在后台運行。服務應用程序通常可以在本地和通過網絡為使用者提供一些功能，例如客戶端/服務器應用程序、Web服務器、資料庫服務器以及其他基於服務器的應用程序。既然服務自身也是獨立出來的程序，它就必須有一個加載的入口，我們可以把這個入口理解為第二個啟動項，這個入口是由SCM負責的，無論是什麼身份的使用者進入系統，SCM啟動服務的位置都固定在注冊表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices分支里，所以只要找這個分支就可以發現所有服務——也許你會說，這里顯示的名字似乎都毫無意義，我怎麼知道哪個是我正在找的？其實很簡單，我們回到SCM，查看一個服務的屬性，例如“DNS Client”服務，它的屬性里寫著“顯示名稱：DNS Client 服務名稱：Dnscache”，現在回到注冊表分支，搜尋“Dnscache”，就會看到它是CurrentControlSet ServicesDnscache，這就是我們在SCM里看到的“DNS Client”服務，如果你刪除掉“Dnscache”項目，那麼整個“DNS Client”服務也就消失了。以此類推，很快就可以清理掉服務欺騙型后門。

　4.最艱難的尋找：Ring 0后門

　　隨著安全技術的發展和電腦使用者群的技術提高，一般的木馬后門越來越難生存，於是一部分有能力的后門作者把眼光投向了系統底層——Ring 0。
位於Ring 0層的是系統核心模塊和各種驅動程序模塊，所以位於這一層的木馬也是以驅動的形式生存的，而不是一般的EXE。后門作者把后門寫成符合WDM規範（Windows Driver Model）的驅動程序模塊，把自身添加進注冊表的驅動程序加載入口，便實現了“無啟動項”運行。一般的進程查看器都只能枚舉可執行文件EXE的資訊，所以通過驅動模塊和執行文件結合的后門程序便得以生存下來，由於它運行在Ring 0級別，擁有與系統核心同等級的權限，因此它可以更輕易的把自己隱藏起來，無論是進程資訊還是文件體，甚至通信的連接埠和流量也能被隱藏起來，在如此強大的隱藏技術面前，無論是任務管理器還是系統配置實用程序，甚至系統自帶的注冊表工具都失去了效果，我們不得不借助於更強大的第三方工具。幸好，一部分持有編寫Ring 0程序能力的人並沒有加入Ring 0木馬的陣營，而是把技術用到了安全檢查方面，於是我們有了IceSword、RootkitRevealer、knlsc等優秀的檢測工具。

　　一般的進程工具是運行在Ring 3級別的，它們讀取的依據來自Ring 0層，這些資料是可以被運行於Ring 0級別的木馬修改的，所以它們根本無法得知木馬程序資訊，而IceSword等檢測工具不同，它們和Ring 0木馬一樣，也是通過驅動的模式進入Ring 0層工作的，不再需要從Ring 0層獲取資訊，所以它們能得到未被木馬篡改的原始鏈表資料，例如最原始的進程資訊，它是不能被更改的，如果木馬把它自身從原始進程資訊里刪除，就意味著它要自我終結了。所以一旦有進程工具從 Ring 0層直接讀取了原始資料，再把這個資料和Ring 3層獲取到的進程列表比較一下，就能迅速發現哪個是拼命隱藏自身的木馬程序了。很巧合的是，驅動程序和系統服務共享同一個加載入口，即HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices，只要搜尋相應的Ring 0木馬文件名，就會發現它，刪除掉注冊表的加載資料后重新啟動電腦，再刪除掉木馬文件就可以解決了。

　　5.清理不受歡迎的附屬產品
　　“21世紀什麼最貴？人才！”
　　——《天下無賊》

　　黎叔說的這句話固然無可厚非，只是他大概不知道，在21世紀的網絡上，網民最恨的就是一部分利用歪點子制造“廣告軟體”（Adware）和“流氓/間諜軟體”（Spyware）的“人才”。如今的網絡已經被這些不受歡迎的軟體使用捆綁戰術給占領了，隨便下載個共享工具，有點良心的會在安裝界面里預設打上“安裝附屬產品”的勾，更多的則是一口氣給你把所有附屬工具都裝上了，許多使用者在安裝了一些共享軟體后，突然發現瀏覽器多了一堆這個條那個霸的，想要卸載時卻發現所謂的卸載程序只是個把使用者當小孩來哄的界面！可以說，這些惡意軟體才是當今網絡最令人厭惡的東西，“流氓軟體猛於后門也”！

　　與各種后門木馬的意圖不同，惡意捆綁軟體的立場是自家公司的利益，它們一般不會攜帶破坏性質的代碼（但不代表沒有），通常還會擁有一些號稱“服務大眾”的功能，這些功能或許可以讓它得到一些使用者的擁戴，但是這種光環並不能掩蓋其“服務大眾”背后的暴利黑幕。首先，惡意捆綁軟體可以輕易收集到使用者資訊，任何一台被安裝了“X手X霸X豬X搜”的電腦都不再與“個人隱私”這個詞語有緣。其次，惡意捆綁軟體可以借用廣大電腦作為它無償跳出公司廣告的殖民地，如果每條廣告都能給該軟體背后的公司帶來一點利潤，那麼一年下來這個公司就已經從廣大使用者群的身上搜刮到一大筆可觀的錢財了。天下並沒有免費的午餐，在你使用這些捆綁軟體提供的“快捷服務”時，你就已經付出了代價。

　　最初，捆綁軟體都比較單純，僅僅使用BHO技術（Browser Helper Objects，瀏覽器輔助模塊）把自己安家在瀏覽器上而已，但是現在，也許因為被使用者清理得多了，一些公司惱羞成怒把ring 0級別的木馬技術應用在了自家產品上，配合一種令人厭惡的強制安裝技術，再利用金錢開路，讓一些網站加載自己的產品，只要使用者瀏覽某個頁面，就會不知不覺被安裝上一堆BHO，這已經不是一般的強盜行為了，而由於商業關係，一般的殺毒程序是不能去查殺它們的，即使它們與木馬后門的特征無異，這時候，使用者就要靠自己來了。

　　首先，瀏覽器的BHO加載項目是固定在系統目錄的“Downloaded Program Files”文件夾里的，對於在瀏覽器上出現的欄目，只要簡單的在這個文件夾里選中刪除即可，但是其余殘留文件就只能自行尋找了，由於制作惡意捆綁BHO的公司太多，文件存放位置也不同，這里無法給出很全面的刪除方法，所以只能推荐兩個工具：Upiea和RogueCleaner，使用它們即可快速卸載掉惹人討厭的附屬產品。

　　四. 生存法則

　　在森林里，鹿媽媽會警告小鹿不要去到太偏僻或者太遠的地方玩耍，因為那里可能隱藏著惡狼。在網絡上有更多的惡狼存在，但是卻沒有人能收到有效的警告。要成為自己的救世主，必須把那一份多余的好奇心收起來，直到已經掌握了清理“不速之客”的技術以后，方可放開好奇心到處看看，否則一不小心被自己的好奇心弄得系統出毛病了，又沒法判斷清理，最終恐怕還是會回到依賴殺毒軟體的使用者群去。最后還有一句恆古不變的真理：網絡充滿風險，勤打系統補丁。

作者: wusaul 时间: 2007-4-20 15:22

大致看了一遍。繁体的看了真的累。我基本上1个月装次系统。新系统速度快，也省去很多麻烦。关键是很多软件都是一个月免费用。所以要做的只是装个纯净的系统做个镜像。每个月Ghost一次，装点软件。

作者: hxtyx 时间: 2007-4-20 20:00

好长啊,没耐心看一下去,支持一下,让更多的人能了解一下,我系统维护得好的话有时候能用半年到一年,重装系统要装很多软件,懂得去还原

作者: dyt1977 时间: 2007-4-21 10:03

写的和小说一样，纯支持了！

作者: 33644652 时间: 2007-4-21 11:50

这个字体真的很难认啊都看不进去了不过文章还是好的

作者: lioklin 时间: 2007-4-21 12:56

为何用繁体啊,内容菜鸟看不懂

作者: yyyuiu111 时间: 2007-4-21 15:23

好长啊,支持一下,让更多的人能了解一下,我系统维护得好的话,有时候能用半年到一年,重装系统要装很多软件,l懒得去还原。。

作者: nyp007 时间: 2007-4-21 18:45

太复杂了,没有耐心去看,还不如重装系统来的痛快

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://67.220.92.7/bbs3/)