手机游戏,总说手机内存不够够,进不去。怎么回事。

密 码: | | | | | |
S60手机菜鸟必读
当前离线
12 帖子
1679 精华
7858 塞班币
6214 枚 代金卷
-7 张 信用度
0 阅读权限
30 在线时间
105 小时 注册时间
2007-10-15 最后登录
2010-5-17 帖子
1679 精华
7 塞班币
6214 枚 代金卷
-7 张 信用度
0 最后登录
2010-5-17 跳转到
发表于 2008-1-8 11:39
S60手机菜鸟必读
转自BWO手机论坛 蓝色沙丘 6681/6680其它N70,7610,3230手机的也是大同小异,看一下也无妨,对你有帮助的!
最近买6681的朋友比较多,论眼里经常重复一些很基础的问题,这里我把我在6681回答过的典型基础问题整理了一下,建议菜鸟们看看,会比重复提问有更好的效果。另外,说明书是非常重要的,不要忽视
681有单键拨号吗?
单键拨号在菜单-工具下,把常用号码设置在2-9对应的数字上,要拨哪个号码,只要在待机时长按那个数字键就可以了
发短信的时候怎么每输一个字母下面都有一横而且输不了我想要的字母
工具-设置-手机设置-常规-预想输入,选择“关”就可以了
信息难道只能一条一条的删吗 麻烦死了啊 哎!
全部删除的话,按选项-标记-标记全部,按C删除;部分删除的话,按住笔形键,按确认键选中一条,如此继续
VGA是什么意思?
VGA一般指640*480的分辨率,VGA摄像头就是30万像素的摄像头
SQCIF=12*96
QCIF=176*144
CIF=352*288
QVGA=320*240
VGA=640*480
SVGA=800*600
XGA=1024*768
XVGA=1280*960
UXGA=1600*1200
哪位大虾知道6681 的短消息拒绝通话的功能怎么设置???
当拒绝接听来电时,可以向呼叫方发送一条文字信息,以说明无法接听的原因。选择选项-发送短信息。可以在发送前编辑文字。在通话设置里,通过短信息拒绝通话,选择是,可向呼叫方发送一条文字信息,以说明无法接听来电的原因;短信息,输入当拒绝接听来电时,通过文字信息发送的文字
为什么MP3文件名会有乱码?
这是由于手机不能很好支持音乐文件标签的汉字编码,只要在电脑用winamp播放该音乐文件,在播放列表中会显示该文件。右击选择“音乐文件信息”,将IDv1和IDv2标签前的钩去掉,这样就删除了ID标签的内容,没有乱码了,手机将直接显示音乐文件名。也可以用REALONE播放,文件-剪辑属性-编辑剪辑信息,清空里面的文字即可。XP系统的话直接右击文件,属性-摘要-高级,把摘要里的MP3的信息删掉就可以了。还嫌麻烦的话,有个删除ID标签的小程序,可以批量进行,文件数量大的话就方便了
6681和6260的功能哪个多?
6681的功能比6260少,因为6260有FM和红外,6681没有,而6681有的,6260都有,但还是6681强大。6681是Symbian 8.0a系统S60 2.6界面,6260是Symbian 7.0s系统S60 2.1界面;6681的CPU是220MHz,6260是123MHz;6681的屏幕为18位色,6260为16位色;6681的摄像头是130万像素,有闪光灯,6260是30万像素,没有闪光灯;6681支持立体声音乐,6260不支持;6681支持EDGE,6260不支持。6681除了软件兼容不如6260外,其他方面要高出一个档次
请问各位6681下铃声时直接把MP3下到手机进里就行吗,有没有大小的限制,用什么软件可以传啊?先谢了.
只要把铃声文件放到e\sounds目录下即就可以了,然后在情景模式-个性化选择里设置铃声,铃声没有大小限制。可以用数据线,读卡器,红外或蓝牙传输铃声到手机
用直充充电,两个小时能充显示充电完毕,正常吗?
正常的,诺基亚的ACP-12充电器,输出电流有800mA,所以充满1000mAh以下容量的BL-5C电池,不到一小时就可以了,没有问题
请问6681装QQ用哪个好?
java软件一般都比较小,功能也不如sis软件,java QQ的功能是要单薄些,但是可以通过cmwap接入,可以使用动感地带包月套餐,sis QQ一般都要通过cmnet接入,使用多,费用就会比较高。使用QQ软件只收取数据流量费用,和发送条数没有关系。收发文字信息的流量不是很大
6681和7610哪个好些?
6681是Symbian 8.0a系统S60 2.6界面,7610是Symbian 7.0s系统S60 2.1界面;6681的CPU是220MHz,7610是123MHz;6681的屏幕为18位色,7610为16位色;6681的摄像头是130万像素,有闪光灯,7610是100万像素,没有闪光灯;6681支持立体声音乐,7610不支持;6681支持EDGE,7610不支持。6681除了软件兼容不如7610外,其他方面要高出一个档次
有谁知道6681是不是不能玩QD上的游戏呀!??
6681的运行内存不够大,可以玩一些对运行内存要求不高的N-Gage游戏,只要把下载包里的SYSTEM文件夹覆盖存储卡根目录就可以了,或是把XXXX(游戏名)文件夹,复制到e\system\a \目录下。不过6681的操控不是很好,玩NG游戏会比较吃力
MOTO的智能手机有那款可以和诺基呀的3300、还有6681比美那?
诺基亚3300不是智能手机,是S40平台普通手机,支持MMC卡,支持立体声音乐。6681是Symbian系统S60平台智能手机,扩展功能强大,摄像头好,有闪光灯,支持立体声音乐。摩托的智能手机基本上都是Linux系统,屏幕大,影音效果不错,但软件稀少,扩展功能和S60不能比。摩托还有一些Symbian系统UIQ平台智能手机,和Linux类似,屏幕大,软件也不如S60多
请问6681最大支持多大的内存容量啊?
理论上可以支持1GB的存储卡,但6681必须使用1.8V的低电压存储卡,普通3.3V的RSMMC卡不能兼容,一般都是买的1.8V/3.3V双电压RSMMC卡,有512MB的了,但难买,一般256MB的价格在220左右,KINGMAX的MC MOBILE是专门为诺基亚手机设计的,很不错,另外PQI,ATP,威刚,鹰泰等品牌也可以
怎么更换LOGO?
要更改logo的话,先要制作一个bmp格式的logo图片,尺寸在97*25左右(大一点也可以,小了也没事),放在c\system\a \phone\oplogo下,改名为460_0_0.bmp(这是移动,而联通用460_1_0.bmp)。也可以用sTools这个软件直接设置logo
最近没有在c盘里面装东西,可是空间却在不断变小!?是什么原因造成的呢!?请问各位兄弟有没有什么好的垃圾清理软件!?
要保持C盘空间,可以采取以下办法:C盘尽量不要用来***软件;***在存储卡的软件,在c\system\i tall\下会有反***文件,可以剪切到存储卡里,需要删除软件时再移过来;另外游戏存档都是在C盘的,玩得多,存档也多,这些文件在c\system\a \下对应的目录里,可以删除;蓝牙传文件给手机,尽量存在存储卡里,短信也存储在RSMMC卡里;如果对名片夹进行了很多操作,可以用Stacker这个软件来压缩名片数据文件
***号码一般存在什么文件下的啊?
6681的通讯录数据文件是c\system\data\contacts.cbd,如果对通讯录进行多次操作,会使这个文件体积急剧变大,可以用Stacker这个软件压缩。备份通讯录可以用Contact Manager
今天我***了vnes 里面有两个自带的nes 一个是ines deom.nes,另一个是sound deom.nes 这两个是游戏吗!?
VNES是红白机的模拟器,首先***VNES模拟器,把SIS文件放在存储卡里,然后在文件管理中***,ines demo.nes和是sound demo.nes都只是DEMO,不是正式游戏。要把ROM文件放在e\vampent\roms,然后运行模拟器,就可以选择游戏了
6680和6681哪个好呀??????不知买哪个?????
6680和6681只是网络版本不同,6680是3G手机,多了个视频通话的前置VGA摄像头,另外6680的机身内存比6681大了2MB,实际使用是没有区别的。考虑到保修的问题,建议买6681,如果有时间去香港,也可以在香港买港行的6680
请问现在6681是诺记里最好的手机吗?
诺基亚最具有代表性的智能手机就是S60平台的,而6681是大陆上市的S60机中性能最强大的,26万色屏幕,130万像素摄像头,闪光灯,立体声音乐,高速CPU,确保了它是目前诺基亚智能的旗舰。不过很快就要有新款S60上市了。另外S90的7710屏幕比6681大很多,S80的9500和9300也很强大
如何压缩视频文件,用什么软件?怎么设置,哪位大侠指教一下!
使用Easy RealMedia Producer压缩为rm格式的话,设置如下:固定码率:以前的编码方式,选择它生成的就是rm文件,这里选100就可以;动态码率:新的VBR编码方式,最后生成的是rmvb文件(不建议使用);设定FPS:建议20到25,太高容易卡,太小影响效果;调整画面大小:设置为174*144;如果片原文件是宽屏幕的:建议设置174*100
使用Batch Real Producer压缩为rm格式的话,设置如下:采用固定频率,选成100;画面质量选成Sharpest Image;视频编码选成Real Video 8;音频选成20 K Music;画面大小选成174X144;FPS设定为25,或者15,20都可以,25质量比较好;其它选项可自行设定
使用Smartmovie压缩为avi格式的话,设置如下:编码用Xvid Encoder,比特率选择128-192k 以上比较好,音频设置按默认设置即可,频率:16000-24000Hz,比特率:16-48k ,剪辑模式最好选择“否”(此贴为本人整理)
为什么在81上读不出我sim卡上的号码呀,而在我的8310上确可以读出来,谢谢拉,小弟今天刚买,还不大会用!!!
S60手机不显示SIM卡***簿的,可以把SIM卡里的号码复制到机身通讯录中,进入名片夹-选项-SIM卡***簿,然后选项-标记-全部标记-复制至名片夹就可以了
6681和7710哪个好,应该选择哪个?
6681是SYMBIAN系统S60平台的智能手机,软件非常丰富,扩展功能强大,CPU频率为220MHz,运行速度快,可玩性强,支持立体声音乐,缺点是屏幕不够大;7710是SYMBIAN系统S80平台的智能手机,软件数量很少,扩展一般,为双处理器方案,实际频率192MHz,运行速度较慢,唯一好处是屏幕大。如果要强大的扩展功能,建议还是选择6681
6681怎么不能玩金属咆哮2?
金属咆哮2对运行内存的要求比较高,而6681的运行内存不够大,所以会这样,先关闭桌面快捷方式,然后重新启动手机,用APPMAN压缩一下运行内存,如果运行内存能达到7MB以上,基本上就可以运行了,也可以按下电源键进入飞行模式再运行游戏(本贴为转贴)
怎么给6681***游戏!需要把游戏文件拷到哪个目录下!???
6681的游戏***格式是SIS的,把文件复制到存储卡根目录,然后在文件管理中***,有的下载后是个SYSTEM文件夹,直接复制到存储卡根目录就可以使用了。***后,菜单里会出现软件图标,点击即可运行
请问买行货有哪些要注意的?
买行货最重要的还是去正规商家购买,切勿贪图小便宜,开好***,最好是把电池编号和容量情况都写在***上。并不是看了几条注意事项就可以避免买到水货了,卖的永远比买的精,很多鉴别水货的方法JS也懂。鉴别是否新机,最重要的就是看输入*#92702689#显示的总通话时间是否为0。6681行货标配为诺基亚6681手机,64MB微型存储卡MU-1及适合普通大小存储卡插槽的适配器,立体声耳机HS-3,诺基亚电池BL-5C,诺基亚旅行充电器 ACP-12c,诺基亚USB数据线DKU-2,《用户手册》,《快速入门》和《附加应用指南》,价格请自己去看。买时检查好配件,试试各项功能,基本上就没什么问题。待机下输入*#06#查看串号,输入*#0000#查看软件版本
怎么鉴别原装电池
电池鉴别有几种常用方法:
1、看序列号,买时多拿几块出来,看序列号,若都是重复的,必定是假的
2、看包装纸,原装的包装纸手感佳(细微的磨砂感)、有荧光颗粒(很小)、边缘不容易掉色,假的手感光滑或者粗糙、边缘易掉色磨白,字体颜色和随机电池的字体颜色的明暗相差较大
3、看金属触点的橡胶部分,真的是软塑料,指甲按一下会有凹痕,但会恢复一些,最后不会像刚按下去时那样深,假的要么按不动,要么按下去不会再恢复,一直是那么深
4、镭射防伪标签,假的一般没有,现在真的一般是两个标签,一个较大,金色的,一个小点是透明度的
5、看做工,假的一般做工粗糙,边缘有细小的毛刺、边缘不整齐,真的不会有细小毛刺、边缘很整齐,做工良好(本贴为转贴)
u 数据线联手机,为什么进不了手机C或E:\SYSTEM\APPS
SYSTEM是系统目录,PC套件里看不了,要看到这个文件夹,可以***SELEQ 1.7或FILEMAN,另外E盘的SYSTEM目录可以用读卡器来看,但这个目录是隐藏的,要先选择显示全部文件才看得到
681可以用座充吗?
如果用座充,请确保品质有保障,一般的座充电路非常简单,缺少应有的隔离,稳压功能,对电池多少是有影响的。万能充是最简陋的充电器,对电池有很大损害,而且也容易发生危险。还是建议用原装充电器
索爱K750和6681哪个更好?
K750和6681是不同类型的手机。K750和6681都支持立体声音乐,实际效果区别不大;K750的摄像头是自动对焦的200万像素,比6681的好些。其他方面就是6681强了,由于6681是智能手机,强大的扩展功能是K750不能比的,并且6681配备了高速的处理器,播放视频能力也比K750更强。K750在摄像头方面比较好,而在全面功能上,6681占有绝对优势
请问手机自带的翻译软件删除了怎么找回啊?
词典软件是不会没有的,词典的词库如果没了,可以去下载,然后复制到e\system\a \dictionary\下即可
欧版和亚太版怎么区分
亚太版一般特指东南亚版本,常见的是马来西亚版本(马行),也是水货的一种,但是马行自带了简体和繁体中文,另外说明书和系统都有马来语,和欧版有所不同,但和欧版一样都是没有保修的。它们在使用上没有区别,稳定性也是一样的,只不过亚太版不刷机即可支持中文
6681支持声控拨号吗?有没有声控拨号的软件?
6681自带声控标签功能,每张名片只能有一个声控标签,最多可以为50个***号码增加声控标签。在名片夹中,打开需要增加声控标签的名片,滚动至需要增加声控标签的***号码,然后选择选项-增加声控标签
我在国美买的行货,5300多。为什么在装SIM卡的上面不是贴的“进网许可”的蓝色标签,而是贴的“进网试用”的绿色标签啊?而且也没有中国移动的主题,难道国美也有水货?!请高手指点一下啊!!
一般新机贴的都是绿色的进网试用证,时间为一年,之后就是正常的蓝色入网许可证了,当年经典的8310和阿卡OT715都是进网试用,似乎是增加了新网络功能的机型才使用“进网试用”的标贴,放心,进网试用并不代表机器不可靠,都是正规的官方证明。至于没有中国移动的主题,那个东西本来就是移动定制机器才有的
GPRS怎么设置啊?为什么彩信都收不到啊?
建议到诺基亚官方网站,可以定制GPRS与彩信的设置,具体如下:服务与支持-移动***-定制手机设置,然后就可以按照提示一步步的设置好你的WAP等功能;水货手机也行的。记住网站提示的PIN码;也可以拨打诺基亚客户服务***4008800123,要求给你发设置信息,同时询问设置时的PIN码,收到后保存设置就可以了。也可以使用设置向导来进行自动设置
请问如何删除***在手机里的软件?
删除软件只要在程序管理里删就可以了,但前提是c\system\i tall下的卸载信息没有被删除,平时这些卸载文件可以移到存储卡里以节省空间。如果没有了卸载信息,只要直接删除e\system\a 对应的***目录即可,如果是一些类似于6R**的NG游戏,还需要通过查看图标或直接去电脑里找来确认***文件夹。有时会在其他文件夹留下一些文件,如e\system\li ,一般不要去管。c\system\a 下的目录里是设置和存档文件,需要的话,备份后删除。另外一些特定的软件可能在C或E的根目录或其他位置留下产生文件
6681的MP3音质如何,是不是立体声的?
6681支持mp3和aac音乐播放,其mp3部分采用德州仪器的TMS320DA250 DSP搭配TLV320AIC23音频芯片,这和创新MuVo 2播放器的芯片相同,功耗很低,支持立体声输出,配合HDS-3或HS-3耳机,音乐效果相当不错
索爱W800和6681哪个好?
W800和K750差不多的,只是外观有所不同,另外对音乐播放做了优化,它和6681是不同类型的手机。W800和6681都支持立体声音乐,实际效果区别不大;W800的摄像头是自动对焦的200万像素,比6681的好些。其他方面就是6681强了,由于6681是智能手机,强大的扩展功能是W800不能比的,并且6681配备了高速的处理器,播放视频能力也比W800更强。W800在摄像头方面比较好,而在全面功能上,6681占有绝对优势
如果更新手机的版本,可以改善软件兼容情况么?
6681对以前的软件一些不能兼容,是因为Symbian系统比较高的缘故,另外S60操作平台加了新的Feather Pack,兼容性肯定要降低。推出新版本可以改善手机的一些BUG,但对兼容性的提高不会有什么帮助
软件***中,a 和rsc是什么文件?
sis是***主文件,先传到手机里***好,rsc文件是汉化补丁,只要把它覆盖到***目录下,即e\system\a 下相应的目录里,替换原有同名文件即可。有时还有个a 文件,一般是破解文件,和rsc文件一样操作
什么是飞行模式,6681支持吗?
飞行模式就是关闭通信信号,只使用手机的其他附加功能,理论上讲可以上飞机上使用,但并不是每款有该功能的手机会被每个航空公司允许使用,记得最早的是瑞典斯堪的纳维亚航空公司允许P802开启飞行模式使用。6681按下电源键就可以选择切换到飞行模式,6681可以不插SIM卡就开机使用
6681能玩哪些模拟器游戏?
6681可以玩FC,SFC,GBC,MD模拟器,先装模拟器,再把ROM放进存储卡。FC模拟器主要有yewnes和vnes,前者画质非常好,但是声音模拟很差,速度较慢,并且不能自定义按键;后者画质差一些,声音模拟很好,速度快,支持自定义按键;GB模拟器可以用VBOY或GOBOY,速度不错,但不能全屏,声音模拟不好;MD模拟器可以用Picodrive,速度快,但是画面不是很好;SFC模拟器用VSun,画面好,但还是新出的,有待完善
Rom要放在指定的地方。FC模拟器的话,YewNes是放在e\yewsoft\nesroms下,vNes是放在e\vampent\roms下;GBC模拟器的话,可以用VBOY或GOBOY,如果用VBOY,ROM放在e\vampent\gbroms下,如果用GOBOY,ROM放在e\goboy下;MD模拟器的ROM不能用中文;SFC的ROM放在e\vampent\sfcroms下
怎么样截取铃声片段?
可以用GOLDW***E截取截取铃声。打开一个mp3文件,出现波形图像。在要截取的开始部分单击鼠标右键——选择“设置开始标记”,在要截取的结尾单击鼠标右键——选择“设置结束标记”,然后在菜单“文件”里选择“保存选定部分为……”就可以将要截取的部分另存为一个mp3文件。如果设置起始点和终止点困难,可以使用右上角的“放大”功能
6681与6600的软件可以通用吗?虽然系统不是一个级别的,我不大清楚是否会出现不兼容现象
6681是Symbian 8.0a系统S60 2.6平台,6600是Symbian 7.0s系统S60 2.0平台,6681对以前的软件有一些是不兼容的,如SeleQ 1.65和SmartViewer,而6600的软件兼容是最好的。不过大部分常用软件6681都有可用版本,或是有替代的软件,这点可以放心
谁有好的录音软件介绍一下?
PowerDictaphone就很好,支持一键录音,轻轻一按便可以录下你的想法及通话内容。软件特点:1)任何时候都可以通过单键启动/停止录音;2)可录制手机通话内容;3)无限的录音时间,视你的存储容量而定;4)可自定义启动/停止录音功能的热键;5)可选择录音存储的媒介;6)可自定义是在录音前或录音后发出提示音;7)可设定默认的录音文件名;8)可选择开机自动启动;9)可选择录音文件的格式(W***或AMR)
请问,我***了POWERDICTAPHONE,可是不会用啊,里面有:
3,程序设置
哪位会用啊,谢谢了!
把该软件的快捷建设定为*键,通话中如果要录音,长按*键即可。平时录音的话,进入6681功能表,然后长按*键,既可录音。记住,不要在待机桌面长按*键,在待机桌面按不起作用,不能录音。如果要把录音保存在存储卡里,进入该软件的系统设置,然后方向键右键进到文件设置-存储位置改成卡就行了
我问了新加坡6681有,且便宜许多,请问是否水货,国内能用吗?充电器是否可用?国内是否保修?多谢
新加坡的6681就是亚太版本,自带了中文输入法和显示,大陆可以正常使用。亚太版也是水货,在大陆没有任何保修。诺基亚所有的充电器都可以通用,亚太版的6681充电器也是ACP-12,只不过型别不同
能不能指教一下,各种模拟器的游戏对应的都是什么后缀呢?
  模拟平台  ROM格式
  FC     NES
  SFC  SRM,ZIP(不要解压缩),SMC
  GB     GB
  GBC     GBC
  GBA     GBA
MD    BIN,SMD
刚买到手,应该***哪些软件呢?
S60的软件非常丰富,文件管理软件可以用seleq 1.7和fileman,系统监视用a man,电影软件有smartmovie和pvplayer,音乐播放器推荐用自带的或oggplayer,字典软件有自带的双向词典以及掌上词霸和蛤蟆背单词,名片和短信备份软件有contact manager和me agestorer,模拟器平台有yewnes,vnes,VBOY,GOBOY,Picodrive,vsun,vbag,还有看书的掌上书院,qreader,readm,REPLIGO,等等,另外还有很多增强情景模式,增强闹钟,加密,办公辅助等各种软件,游戏也很多,根据需要***
请问短信-选项-设置-短信息-首选连接,这个设置是什么用的啊?还有请问CMWAP包月和GPRS包月是一回事吗?如果是20元1M的GPRS包月包括CMWAP吗?
短信-选项-设置-短信息-首选连接,这个连接选GSM就可以了。CMWAP包月就是动感地带20元包月,看电视,SIS的QQ和MSN等都不包括在内,使用局限比较大;20元包1MB,是包括CMWAP和CMNET接入点的总流量
为什么我装了GoBoy,却没有e\goboy,装的是GoBoy_Plus_Series60_142_+keygen,对吗?
首先要***GoBoy_Series60_14.sis,再***goboy_plus_series60_142.sis,这样手机上就***好了。keygen.exe是注册机,把串号输入即可得到注册码。然后把.gbc后缀的游戏rom复制到e\goboy\下就可以运行模拟器了
为什么我用手机下载mp3铃声下好了就说我不能播放咯
如果MP3不能播放,那是因为该MP3不是Layer-3的,不能识别,当播放到那首歌的时候就会跳过去,只要通过GoldWave把MP3文件转换一下即可
用WINAMP可以查看MPEG信息,在播放列表中选中该文件,点击鼠标右键--音乐文件信息,看到有一行是:“MPEG 1.0 层 *”。 关键就在这里,如果*不是3的话,就播放不了
6681能拍黑白的照片吗?
6681可以拍黑白照片,手机自身带有四种色调选择:普通、棕褐色、黑白和补色,选择黑白就可以了
6630和6681哪个好?哪个性价比高?
6630和6681的系统相同,基本功能也都一样,都有立体声音乐。不同在于6681的屏幕更好,是26万色的,但也因为这个,会拖慢速度,使其性能不如6630,另外6681开机后的可用运行内存比6630小不少,当然,6681要比6630稳定不少,毕竟新机器在软件上做了很多优化。6681的摄像头带有闪光灯,6630没有,6630的机身内存是10MB,6681是8MB。如果能买到新的机器,6630的性价比更高
6681的待机图支持多大的分辨率?能不能全屏?能不用用动画屏保?
如果只是用背景待机图片,不能全屏,只能充满待机区域,分辨率是176*144,如果要实现真正176*208的全屏待机,需要通过主题模式才能实现。6681可以使用GIF格式的壁纸,不过如果是GIF动画文件的话,只会显示第一桢。可以***屏保软件实现动画屏保,不过占用系统资源,可能产生软件冲突,还很耗电,不推荐长期使用
大家说的内存是机身内存吗?那我如果机身存了很多***本和短信也会使内存下降?还有,哪里查看内存的情况?
机身内存是用来存储数据的,***簿短信等等都可以存在机身内存,相当于电脑的C盘,尽量要留出空间,但不直接影响性能,看机身剩余内存可以用SELEQ等管理软件查看;影响运行能力的是运行内存,相当于电脑的内存,可以用APPMAN看,这个空间是否充足,决定了是否能运行较大软件
诺基亚把发信息前的***号码确认去掉了,直接显示姓名发送,不能修改。我要给小灵通发信息前面有106,只能在***本里面再存一个加了106的!各位还有没有更好的解决方法
在名片夹里选择要设置的联系人,按选项,可以设置默认号码,进入后可以对每个联系人选择默认号码,文字短信,彩信,电子邮件,***,可以是不同的默认号码,很方便
在C:\下面的data、cache、logs、nokia等文件夹都有什么用啊?能不能删除?
C盘的文件很多都是系统文件,不要随便删,DATA里是一些设置文件,如名片夹,记事本,壁纸文件等,CACHE是缓冲文件夹,LOGS是日志目录,NOKIA里有ROM里读出的一些多媒体文件,这个可以删除。C盘里可以放心删除的是SYSTEM\APPS\下对应的目录,里面是游戏存档和软件设置等数据
请问买机之前,除了在*#0000#,*#06#,*#92702689#上面注意之外,还得注意些什么地方哦?怎么鉴别是不是翻新机?
鉴别是否新机,最重要的就是看输入*#92702689#显示的总通话时间是否为0,因为恢复出厂设置和刷机都改不了这个数据。然后还要注意看屏幕内有无印痕,数据线,耳机孔,扬声器孔,挂带孔是否有灰尘;看机身电池卡锁处有无拨痕,上下盖旋轴处有无旋印,上盖处两凸点有无压痕;检查WAP和语音功能及通话纪录信息功能中有无记录;检查SIM卡接触点,机身电池接触点有无磨痕;看外壳的接缝处间隙是否均匀而且在1MM以下,有无撬痕,上盖内屏幕下两封点有无挑痕;与新机器对比按键的弹性和内外显示屏的亮度;仔细看机身的固定螺钉有无旋印,涂漆涂墨,商标有无撬痕(本贴为本人整理)
6681支持哪些视频和音频格式?
6681自带的播放器可以支持MP3,AAC,W***,AMR(NB-AMR),AWB(WB-AMR),MID,NRT(NOKIA RINGTONE),RA格式的音频文件,和3GP,RM,RMVB格式的视频文件。***软件后还可以支持更多格式,OGGPLAYER支持OGG,SMARTMOVIE支持***I,PVPLAYER支持MP4,MOBICLIP支持MO
怎么把短消息,***簿存到存储卡上啊?
要把短消息存储到RSMMC卡上,可以进入功能表-信息-选项-设置-其他-使用中的存储,选择路径为MMC卡。***簿必须存储在机身内存,但是可以用软件备份到RSMMC卡上
索爱S700和6681哪个好?
S700是非智能手机,扩展功能很一般,强项是屏幕和摄像头,它的屏幕是320*240的分辨率,摄像头是CCD的,这些比6681占优势,,其他方面是6681更强大,6681是智能手机,扩展功能好,可玩性非常高,游戏软件很丰富,视频播放也好,S700只支持最高176*144的视频,不能全屏,而6681可以播放176*208的***I,还能支持320*240以上的MP4格式。所以,除了屏幕和摄像头外,6681总体是要比S700好的
我在的txt文件,弄到手机里,汉字的地方都是小方框,怎么才能正常显示呢?
要转换TXT的文字编码的,如果用自带记事本或SMARTVIEWER看,要转换为UNICODE编码,而用READM看,则要转换为UTF-8编码,这个用WINDOWS自带的记事本“另存为”就可以了,另外还要在READM里面选择格式,也就是说两个格式要对应都是UTF-8才能正常显示
6681的笔键是做什么用的,6681也支持手写吗?
那个铅笔按键是S60典型的编辑键,不是手写的,可在编辑文字时打开可用命令列表,如复制,剪切和粘贴,在一些软件中也可用于调出特殊菜单,另外可以用来进行多项选择
请问用蓝牙发的歌,自动存在信息中的“我的文件夹”中,怎么移动到储存卡中,怎么设为领声??
1、打开这个铃声播放,然后按暂停,按选项,存储
2、或者用SeleQ进入C\System\Mail里,找到这个铃声文件,剪切到E\Sounds\Digital里就可以了
问一下机身能存多少短信?是不是也可以象以前诺的机子可以用pc suit来管理?
6681机身内存可以存储999条短消息,也可以入功能表-信息-选项-设置-其他-使用中的存储,设置为存储在RSMMC卡上,就没有条数限制了。可以使用PC套件来管理手机
6681的系统是否比3230稳定?返修高不高?谢谢!
6681的稳定性很好,而3230目前的软件版本还有很多BUG,稳定性不如6681。另外,6681有着比3230更高的系统,220MHz的CPU,立体声音乐播放,带闪光灯的摄像头,整体性能比3230高很多。至于质量,对于诺基亚的手机都不是问题
6681有没有自动键盘锁功能?
手机有自动键盘锁功能,在手机设置-安全性设置-自动锁闭前等待时间,可以设定一个自动锁闭时间,当手机处于待机状态下的时间超出该时间后,它就会自动锁闭且只有在输入了正确的锁码后才可重新使用
6681有没有来电防火墙?
S60平台智能手机支持许多来电防火墙软件,象BlackList,Advance Call Manager和BlackBaller等,其中BlackBaller还支持屏蔽短信和彩信功能,SpamKiller敏感短信防火墙可以实现对一些固定的号码的短信进行屏蔽
我昨天刚买了一台6681,发现拍一张黑的,可以看到好多的白点,而且就是打开镜头拍也有不少的白点,是不是机子有问题呀?还是本来这个屏幕就是这样的?
这是噪点,6681的摄像头传感器是CMOS,传感器以及电路本身会产生噪声,另外CMOS工作时温度容易升高而产生噪点,光线不足也会如此,这都是CMOS的通病。另外如果CMOS传感器有坏点也会产生固定的亮点
有没有133和138一起用的双模卡,谢谢了!
只有联通的双模手机可以,因为CDMA的卡在一般GSM手机上是不能用的。LG W800,摩托A860和三星W109都可以使用联通CDMA/GSM双模卡,可以在联通CDMA和GSM网络之间切换,但如果是移动的GSM号码,不能使用GPRS功能,因为这是联通的手机,目前选择范围很窄,这也算是中国特色
我的6681想发送文件到别的手机去,可是不行啊,是不是就可以传送到一个牌子的手机上去啊???????????
6681的红外和蓝牙接口可以直接发送到其他手机等设备,没有问题,但前提是对方手机要能够支持,有的手机不支持直接用红外传文件或不支持数据蓝牙,就不行。另外直接发送的话,一些格式在诺基亚手机里是被保护的,不能直接发送,如MID,SIS等,可以用管理软件改一下后缀再发送
6681的耳机和数据线接口都在哪里啊 ?
耳机和数据线接口都是pop-port接口,在手机下侧,注意插拔时要讲究技巧。左手握持手机始终保持不动,手机保持水平,耳机插头水平向下45度(近手机端高,远手机端底),首先将连接勾置入手机插槽相对应的下方孔内,右手向前、向下用力的同时将耳机插头尾部上提,通过挤压耳机插头上端的直角接入手机pop-port插槽。拔出方向与连接方向相反,即下压耳机插头尾部拔出。数据线与耳机连接及拔除相同(本贴为转贴)
请问一下高手6681与多扑打的828+那个优秀?我看了828+外观十分美观。
这个应该说没有比较的必要,SYMBIAN是专门开发的智能手机操作系统,是为***设计的,多普达828+本来就是个PPC,带有***功能,但828+的性能在PPC中实在一般,性价比也不高。总之,一个是***,一个是PDA,买哪个看你需要了,需要PPC的话,不如买个PPC再加个背夹。当然,如果你觉得828+的美观是你选择它的原因,那,为什么不买呢?
6681内置音频解码芯片,那么它的立体声播放MP3的效果怎么样?和索爱的比如何?
首先明白一点,MP3离发烧音乐差很远,而手机的MP3功能也是附带的,不是专门的MP3播放器。MP3播放器的音质不单单和芯片有关,和电路也有很大关系。智能手机内部电路比单纯的MP3播放器复杂多了,产生的干扰 电磁波 也会比较多些,这些都会影响音质。所以把手机播放效果和高端MP3播放器比是没什么意义的。但是平时使用足够了,这也是事实。6681的mp3部分采用德州仪器的TMS320DA250 DSP搭配TLV320AIC23音频芯片的解决方案,特点是省电,可扩展性强,而索爱采用PHILIPS芯片,都是不错的芯片,效果也都很好,比较哪个好些哪个差些没有意义,MP3的压缩率也决定了它不可能真正满足高要求的音乐欣赏
手机 c/system/i tall下得 文件是都可以删除吗?
这个目录下的是反***文件,都可以删除,但是如果删除了,在程序管理列表中就没有了,只能直接删除e\system\a \下对应目录,***软件多的话,比较占用空间,可以把这些文件剪切到存储卡,需要删除时再粘贴到i tall目录下
请问:MP3 AAC W*** MMF哪个铃声效果最好?
这个要在同数据流量即同比特率下进行比较
首先,MMF是不可能和前3者同比特率的,MMF的音质是最差的
如果从一张CD抓轨再压缩为同比特率音频文件的话,AAC由于其先进的算法,音质明显要比MP3好;而如果是同比特率(W***不讲比特率,这里认为是同一个音乐文件,文件大小相同),MP3的音质比W***好,因为MP3的压缩也采用的特殊的算法来减少音质损失
所以AAC>MP3>W***》MMF
GPRS是怎么收费的?
上网和使用QQ等是按GPRS流量计费的,有四种资费标准:
1、自由套餐,无月租费,0.03元/KB,每日23:00至次日凌晨7:00半价优惠
2、经济套餐,20元月租费,每月有1MB的免费流量,超过部分是0.01元/KB
3、时尚套餐,100元月租费,每月有20MB的免费流量,超过部分是0.01元/KB
4、商务套餐,200元包月不限流量
另外各地可能有10元或20元CMWAP接入点不限流量包月套餐
3230和6681哪个机器好呀??我拿不定注意到底买哪个????
6681要比3230强大得多,价格也更高,6681的系统平台比3230高。6681的屏幕是26万色,3230屏幕是65536色。6681的CPU速度是220MHz,3230的速度是123MHz。6681支持立体声音乐,3230不支持。6681带有闪光灯,拍照效果也比3230好。3230只是多了FM和红外,软件兼容好些
该机的商务功能怎么样,浏览 t.pdf.word.xls的功能好不好用啊
6681内置了Quickoffice,包括Quickword,Quicksheet和Quickpoint,可以分别浏览doc,xls和 t文档,用PDF+可浏览pdf文档,也可以用REPLIGO把pdf文档转换为手机支持的格式
C盘到底指什么?还有E盘?
先要***文件管理软件,相当于电脑里的资源管理器,常用的有seleq 1.7和fileman。***,打开上述软件,就可以像电脑里一样看到盘符,其中C盘是机身内存,D盘是运行内存映射的虚拟磁盘,E盘是mmc卡,Z盘是系统rom。可以方便地进行文件管理
怎么添加捷径内容,桌面快捷方式怎么关闭?
捷径可以定义在左右功能键或那5个快捷方式上,用a man可以添加捷径;桌面快捷方式在菜单-工具-设置-手机设置-待机状态模式里设置和关闭
什么软件可以让6681蓝牙联上PC后,在PC上通过手机发短消息,自带的软件居然不支持6681
PC套件就有这个选项,这是用来在电脑上发短消息的,不过老版本的话S60机不能用这个功能,可以使用Mobile ways.DesktopMe age.v1.01.Cracked-n7uG这个软件,但只支持英文。现在最新版本的PC套件可以支持S60机连接电脑发送短消息了
我的MD模拟器为什么***不了游戏啊?我是把游戏文件放在模拟器的文件夹下了啊!而且同模拟器找软件也打不开,自动就关闭了,这是怎么回事啊?我搞了半个多小时了!
MD模拟器平台要用最新版本,ROM的存放路径随意,但路径不得有中文,ROM文件名不得有中文
6681与6270,6280的区别什么?
6681是Symbian 8.0a系统S60 2.0界面的智能手机,摄像头为130万像素,屏幕分辨率176*208,使用低电压rsmmc卡
6270和6280都是S40 3界面的普通手机,摄像头200万像素,屏幕分辨率320*240,支持miniSD卡。其中6270是3G手机6280的2G版本和简化版本
有没有人知道6681的对讲机功能怎么用
6681的对讲机就是PUSH TO TALK(PTT),一键通是它的商业名称,就是通过手机数据网络实现的半双工通话,类似对讲机,目前移动网络尚未开通PTT数字集群通信功能,所以大陆还不能用
用SM转换RM到***I,为什么提示没有编码器?
用smartmovie转换rm格式,要***real alternative插件,这是播放rm/rmvb的插件,***此软件后才能在sm converter里打开rm/rmvb格式的视频,还要***K-Lite Codec Pack编码插件包,***以后才能选择适合压缩rm/rmvb的编码格式XVID MPEG-4 code。但只要装了暴风影音,就一切OK了
怎么用数据线下载东西啊?
用数据线的话,打开NOKIA浏览器,点击6681的图标,进入MOMERY CARD这个选项,然后粘帖到任意位置即可。也可以用蓝牙直接发送给手机,手机接收后,打开存储即可。最好还是用读卡器,方便,有时复制个文件夹或大文件时,读卡器是最好的
6681支持来电大头帖吗?
本身支持来电图象显示,但尺寸不大,***软件后可以支持全屏来电显示。使用FSCaller 3.02完全版 的话,一定要把情景模式调整为线路2才有效
装了个T9,可是怎么删不掉,总说软件正在使用,是不是非要格机不可?
软件在运行自然无法删除,进入“输入切换”,把输入法切换到机身原带输入法再删除。但6681再***其他的输入法,容易出问题
6681怎么格式化?
待机下输入*#7370#格式化手机,这是软格,格机后,会删除机身内存里所有非系统数据,包括游戏软件的注册信息,设置和存档以及一些备份,短消息和名片夹也会全部删除。需要的话,先做好数据备份再格式化。格式化会从ROM重新读入系统数据,恢复出厂时的干净软件环境。软格会丢失线路2
如果进不了系统,可以硬格,同时按住拨号键,*键,3键,打开电源,不要松开手,NOKIA图标出现后,过几秒钟会出现“Formating”界面,这时再松手,大约3分钟,完成格式化系统,自动重启,即可进入系统
也可以用sTools自动的功能进行软格,格机后线路2不会消失
6681和摩托E680I哪个更好?
6681和E680I都是智能手机,都支持立体声音乐播放,E680I的外放效果更好。6681的130万像素摄像头比E680I的30万像素好得多,还带闪光灯,6681的CPU频率虽然低些,但系统不同,实际速度很快。作为智能手机,Symbian系统的6681软件非常丰富,而Linux系统的E680I的软件就很少了。E680I的强项是大屏幕。如果要玩机,6681是更好的选择,如果只是注重影音效果,E680I也不错
我的机器,在开机后进入A man,看见只有两个ru ing a :A man和phone。可是当我打开名片夹再退出后,再进入A man就看见里面多了一个phonebook,可是在待机状态下按住菜单键,却只看到一个***,这是怎么回事呢,不知道我说清楚了没有?
这是6681的一个BUG,打开名片夹后退出,不能真正关闭,还是驻留在内存里的,要用A Man手动关闭以释放空间
我装了一个麻将游戏,在功能表里面找不到运行,怎样才能找到这个游戏运行他?谢谢
这个要看是什么格式的,如果是SIS格式,在菜单里就可以找到;如果是JAR格式的,在应用程序里可以找到;如果是模拟器游戏,把ROM放在指定位置,运行模拟器即可;如果是MGS平台的,运行MGS,菜单里可以找到。否则就是软件***失败,或是不兼容,或是***错误
移动心机与普机有什么区别吗?
心机的背面有全球通的标志,键盘上的0键上有MO的标志,内部预装了中国移动的相关程序,如移动梦网,全球通,百宝箱等。心机是诺基亚为中国移动定制的,普机没有上述的相关程序和标志。心机的价格比普机低,使用和保修没有区别
有没有将CHM格式电子书转换成TXT文档的软件啊,
可以用ChmDecompile这个CHM格式的反编译软件,释放包括在CHM电子书里面的全部源文件(包括网页、文本、图片、CHM、ZIP、EXE等全部源文件),运气好的话,会得到一堆HTML文件,然后你再找个工具把HTML批量转换为TXT文档就可以了。其实复制粘帖也很方便
6681支持哪些电子书格式?
掌上书院这个软件是支持UMD格式的,下载图书文件后,放在存储卡任意位置,软件搜索,打开就可以了,UMD格式的书在各大智能手机论坛都有下载。另外掌上图书可以支持MDX格式。机器本身支持看TXT文本,但一般还是用SMARTVIEWER比较方便,可以添加书签,管理方面也比较好用,也可以用QREADER或READM,这两个软件还支持PDB格式,PDF+可以打开PDF文档
情景模式里的标准模式和无声模式有什么区别啊?
这些模式都是可以自己设置的,标准模式也可以设置为无声状态,无声也可以自己随意设置,不过标准模式的模式名称不能更改,而别的模式可以自行更改模式名称
为什么我的6681的运行内存用APPMAN看很少?
如果后台运行太多的程序,运行内存自然就要降低,如后台隐藏的闹钟软件,录音软件,大头贴等,都要占用系统资源;主题越大,占用资源越多;名片夹必须手动关闭,这是个BUG;软件***多了,运行内存也会有所下降
请问6681能不能播放wma啊?装什么软件?
S60机器目前没有可以使用的WMA音频播放软件,机器本身一般也不支持,不过即将上市的N91可以支持WMA格式
我装了区号秀怎么不行啊,怎么***和设置的啊,教我啊,谢谢了
6681可以用区号秀CodeShow S60 v1.6.2,***好软件后,把data数据包文件放在e\system\a \codeshow\目录中,然后设置-系统-自动运行,选择开启,开机自动运行也选择开启就可以了
本人现在徘徊于P910和6681之间,他们能比较吗?那款性能更优呢?
两个手机都是SYMIBAN系统的智能手机,不过P910是UIQ平台,6681是S60平台。6681的系统版本更新。6681的强项是扩展功能,S60的软件是最多的,摄像头是130万像素带有闪光灯,比P910好很多;P910的强项类似E680,主要是屏幕大,支持手写,影音效果好。另外6681的待机时间要比P910长
有人使用micro MMC吗,能兼容RS-MMC吗
micro MMC比RSMMC卡更小,只有RSMMC卡的1/3,一般都是1.8/3.3V双电压的,6681如果要使用,应该需要加了相应的适配器才可以在6681上使用,但似乎没必要特意去买这样的存储卡,毕竟还不普及,价格会高些
6681的主题怎么***,使用和删除?
主题是sis的,sis是symbian系统的***程序格式,把其复制到存储卡即可打开***,***以后即可在主题模式里选择使用,也可以随时卸载。如果是自己***的,有些可以在程序管理里找到,并可卸载,如果在程序管理里没有,可以打开主题模式,找到要删的主题,按C键删除,不过要删的主题不能正在使用
压缩电影和制作铃声到底用什么软件好啊?
调整rm格式可以用Easy RealMedia Producer,要是想转换为avi格式可以用smartmovie的PC端。制作铃声可以用GoldWave,提高音量和截取片段都比较方便,要是修改midi铃声,可以用PsmPlayer,使用比较简单
摩托罗拉MPX220和6681哪个更好?
摩托MPX220是Windows Mobile for Smartphone 2003 SE系统智能手机,相对软件比Symbian系统的6681要少,另外MPX220的CPU是204MHZ,6681是220MHZ,而微软对硬件要求高,所以6681速度更快。MPX220也有立体声音乐和闪光灯,但音乐和拍照效果都不如6681。诺基亚的质量也要比MPX220好很多。所以应该是6681好,但MPX220也是个不错的手机
6681的视频拍摄支持多长时间的拍摄啊?
6681自带功能就支持无限拍摄的,菜单-相机/摄像机-选择摄像机-选择设置-选择视频-选择最长时间-存储位置-选择储存卡,文件将自动存储在MMC卡上
Easy RealMedia Producer转出来的RM文件有点卡啊,口形和音乐不大相配。。。有什么办法????
可能是片源问题,也有可能是转换过程中出现的问题,Easy RealMedia Producer软件带有调整功能的,在编码设置里,有“音频[+延迟/-提前]”的选项,设置好秒数再转换就可以了
6681手机右上角那个圆洞是干吗的呀?
左上角的光线感应器,在光线较暗的环境下会自动将屏幕亮度调低,彼避免了强光刺眼影响阅读的同时也有效延长了电池的寿命,而当操作光景较强时则会自动提高屏幕亮度,使在强光下阅读屏幕信息的干扰减至最低,保证了屏幕的清晰度,此外也能自动根据光线自动启动或关闭键盘灯
我通过彩信想把一个OGG格式的文件发出去,但是不行,不知道彩信支持哪些格式?
诺基亚对内置文件有着严格的版权保护措施,一些特定格式的文件,不能通过彩信或蓝牙红外向外发送,如MID,SIS等,但可以***MMS IT软件,就可以发送任何文件了,或用管理软件修改文件后缀再发送
当前离线
6324 帖子
14 精华
28 塞班币
14 枚 代金卷
0 张 信用度
0 阅读权限
10 在线时间
1 小时 注册时间
2008-4-6 最后登录
2008-4-11 帖子
14 精华
0 塞班币
14 枚 代金卷
0 张 信用度
0 最后登录
2008-4-11 发表于 2008-4-11 16:44
真是辛苦了 有的我也不知道 顶下做个沙发
当前离线
56249 帖子
258 精华
376 塞班币
118 枚 代金卷
0 张 信用度
0 阅读权限
30 在线时间
4 小时 注册时间
2009-2-12 最后登录
2009-2-27 帖子
258 精华
0 塞班币
118 枚 代金卷
0 张 信用度
0 最后登录
2009-2-27 发表于 2009-2-13 00:25
学习学习~~~~~~~~~~~~~~
当前离线
61402 帖子
9 塞班币
0 枚 代金卷
0 张 信用度
0 阅读权限
10 在线时间
0 小时 注册时间
2009-2-21 最后登录
2009-2-21 帖子
0 塞班币
0 枚 代金卷
0 张 信用度
0 最后登录
2009-2-21 发表于 2009-2-21 09:45
太丰富了,我要慢慢研究 广播台
诺基亚 S60V5 《头脑运动会》
诺基亚 S60V5 《出气拳击》QT版
【11.07.27】星际丽影天使危机
***性感图片欣赏,小说下载,视频分享-软件功能多多
GMT+8, 2011-8-1 17:14
(塞班论坛 http://www.s60sky.com/) 版权所有
discuz!技术支持 苏ICP备11033213号
| 官方QQ群:
官方QQ群:海内存知己,天涯若比邻——汉武重播前夜
共117页
作者: 发表日期:2006-4-24 12:31:00 敬酒青
 回复日期:2006-4-24 12:33:24
    铲子,我的铲子呀。。。。
  #%……#*—……—
  语无伦次呀,终于……终于……在没人和我抢的情况下,我终于抢到了。。。。。
  幸福呀。。。
 回复日期:2006-4-24 12:34:41
    新楼!亮旗子!
 回复日期:2006-4-24 12:35:57
    给偶们花水派占位置。。。
 回复日期:2006-4-24 12:37:08
    糊涂友的ID那个啥,今天不能再水了,上来替她给糊涂门占个位置。
 回复日期:2006-4-24 12:41:59
    本社天涯卫青楼现场快讯:2006年4月24日12点31分,天涯社区“卫青群楼”39号楼顺利封楼!卫40号开始奠基!40号的奠基砖是某位整日为当铲子拍地、打滚又哭又闹有一大段日子,并且在38、39号先后坐了两次便宜铲子的人^-^!!!
 回复日期:2006-4-24 12:48:51
    给C、E、F、H、CF、领导、落花、大师、小琴、春草和我的姐妹占位置。
  再次感谢和吧唧39楼里最最辛苦的石头和E。。。谢谢!谢谢!
 回复日期:2006-4-24 12:54:07
    新楼占位子。
 回复日期:2006-4-24 12:54:26
    嘿嘿上来补一下,给亲爱的二他妈妈占个位置,人家一兴奋就爱忘事,不好意思。。。
 回复日期:2006-4-24 12:55:42
    谢谢可乐给我占位置~~~~
  上一页我打开时的机子可用内存只有2M……
 回复日期:2006-4-24 13:03:26
    为什么这么火呀
  已经都没有几个人在说正题了,那我也只有来凑热闹算了
  中国人就是多!
 回复日期:2006-4-24 15:07:12
    新楼,四十不惑!
 回复日期:2006-4-24 18:01:36
    顶上去~~~~~~~~
 回复日期:2006-4-24 18:36:05
    先来新楼水一下!哈哈,功夫不负有心人的说。。。
  俺争取过两天也来继续青之旅。。。
 回复日期:2006-4-24 18:41:09
    再喊一声:山西地下有黑金,地上都是宝,真是好地方!
 回复日期:2006-4-24 21:08:04
    晃一下。。
 回复日期:2006-4-24 22:15:46
    啊?第40座楼了。露个脸先。
 回复日期:2006-4-24 22:28:25
    新楼了……上来占个位子。。。吧唧领导 吧唧可乐
 回复日期:2006-4-24 22:57:12
    俺跟俺那徒弟没对上,那就说一句:
  把你的万字文贴过来吧,你师伯在楼里还能给你说说:)
 回复日期:2006-4-25 01:18:54
    对四十号楼情有独钟,可能是四十不惑这句话吧,总会想四十岁的卫青会思考一些什么,会过什么样的生活。是不是尘埃落定了。
  半夜发HC,请大家无视我。
 回复日期:2006-4-25 06:59:28
    
嘿嘿,抢到了号子~~
起床了,盖楼啦~~
空气很清新的说,筒子们,赶快起来锻炼身体,好继续偶们的HC大业啊!
 回复日期:2006-4-25 07:16:19
    某人……去睡了--
 回复日期:2006-4-25 08:01:19
    某人……起床了--
 回复日期:2006-4-25 08:18:16
    某人……上班了--
 回复日期:2006-4-25 08:20:04
    某人来喽!!!
  某人心情粉好滴说。。。。
  嘿嘿嘿。。。。
  四十楼啊。。。
  又一个整十,又一座新楼。。。
 回复日期:2006-4-25 08:51:55
    吧唧小友先。
  对四十号楼情有独钟,可能是四十不惑这句话吧,总会想四十岁的卫青会思考一些什么,会过什么样的生活。是不是尘埃落定了。
  半夜发HC,请大家无视我。
  --------------
  说实话,想要无视您,真的很难。
  40岁了,一个男人到了这个岁数,尘埃落定了,水到渠成了,是不是该常有了闲看落花飞舞的心境了呢?哇哈哈哈。。。
 回复日期:2006-4-25 08:55:20
    昨夜被炸,需要发泄,今晨起床,看水军E的发泄贴赫然挂在子衿丹青,凑份发泄转1的帖子。。
  http://weiqing.glcb.cn/di .a ?boardID=21&am ID=1701&am age=1
  [贴图]偶羡慕的绿叶们……原作青青子衿水军E:)
  某人前几天闲来无事重温汉武,发现了n个特别令偶羡慕的银~~~~~~~~~~~
  论相貌,素相当普通;论演技,望天ing--好像也8太需要……
  嘿嘿,抛块小破砖:D
  大家表打偶哦……
  都素一个片断里出现的银们……
  先素介个筒子。。。8知道大家有印象没?
  某男人:“都8得有任何特殊之处。违反此令者,都给偶责罚……”
  介位筒子:“诺~~~~~~”
 回复日期:2006-4-25 08:56:39
    水军E针对上图的感叹:^0^OMG,多么好的角度啊~~~~~~~无比虔诚恭谨的听车骑将军的发号施令。。。
 回复日期:2006-4-25 08:57:37
    接下来介位比较著名了,8g前辈啊。。。。
  就素他的出现强有力的证明了某两人的事情好像全长安的银都知道了……
 回复日期:2006-4-25 08:58:28
    接下来就素介位马夫了。。。感慨啊,同样素马夫,微么差距介么大捏???公主能适应么???
  8过他的位置相当的好啊~~~~~~~~~怀疑公主故意找个嘴严老实的???--
 回复日期:2006-4-25 08:59:39
    HOHO,同发泄完毕:)飞吻某E下——嘿嘿,干了坏事,态度一定要好了。。。
 回复日期:2006-4-25 09:38:06
    哈哈哈,这人真能笑到人家肚子疼,哪有做好事还口口声声喊着做坏事的。
  E是不会怪你滴。。。。
 回复日期:2006-4-25 09:46:56
    不知道在五一前,我们会不会迎来我们的41号呢?
 回复日期:2006-4-25 10:14:16
    大家努力呀!某人可能要7天不能来盖楼呢,再给一次五一前当铲子的机会吧!
 回复日期:2006-4-25 11:08:33
    
不经意间,已经四十楼了。时光好快!
   落花言:40岁了,一个男人到了这个岁数,尘埃落定了,水到渠成了,是不是该常有了闲看落花飞舞的心境了呢?
希望如此!希望四十岁的他,能时看落花飞舞,云卷云舒。心中有些淡淡的喜悦,或者温馨......平淡的生活,应该就是他想要的吧。
另外狂想一下,啥时能到400楼呢~~
上班期间偷偷上来灌水 嘿嘿
 回复日期:2006-4-25 11:20:00
    40岁了,一个男人到了这个岁数,尘埃落定了,水到渠成了,是不是该常有了闲看落花飞舞的心境了呢?哇哈哈哈。。。
  ——————————————————————
  某人自恋,鉴定完毕。
 回复日期:2006-4-25 11:26:31
    另外狂想一下,啥时能到400楼呢~~
  ————————————————————————
  我说痴风筒子,敢想就要敢做,哼哼,别光说不练呀。
 回复日期:2006-4-25 13:01:56
    作者:将军府吉祥物国宝 回复日期:2006-4-25 11:20:00 
    40岁了,一个男人到了这个岁数,尘埃落定了,水到渠成了,是不是该常有了闲看落花飞舞的心境了呢?哇哈哈哈。。。
    ——————————————————————
    某人自恋,鉴定完毕。
  -----------------------------------------------------------
  没什么只是看到这样绝倒的鉴定不能假装没看到,想知道某人看到后的表情,笑下。
 回复日期:2006-4-25 13:03:08
    转文一篇,添砖加瓦:)
  来源:中国人力资源开发网(简称中人网,www.ChinaHRD.net)
作者:倪 楠
  才高八斗的汉武帝
  中国金融网 http://www.zgjrw.com
  汉武帝时代,汉王朝经过多年征战,终于打垮了长期盘踞在北方的劲敌匈奴,一跃成为当时最强大的国家之一。依托辉煌的军事胜利,汉武帝大大拓展了汉朝的领土,奠定了现代中国广阔疆域的雏形,为中华民族留下了丰厚的物质和精神财富。
  汉武帝前无古人的丰功伟绩,得益于其卓越的军事人才选拔思想。
  汉武帝不追求“高大全”
  “德才兼备”、“不拘一格”,是汉武帝军事人才选拔的基本原则——只要在关键素质方面符合要求并在关键军事才干方面表现突出,不论籍贯、门第、出身、职业、年龄以及与朝廷的私人关系,都会得到选拔重用。
  在军事将领的选拔过程中,汉武帝特别重视来自“外戚”团队的人才——他们的身份决定了他们能够与汉王朝的最高利益始终保持一致,作为军事将领可以最大限度地降低上级管理风险,也能够确保军事职业生涯的连续性,利于长期的培养和塑造。当然,对于来自其他途径的军事将领,只要他们具备选拔标准,汉武帝同样会予以认可和栽培。
  汉武帝军事人才选拔的目标和价值观非常明确:造就一支能够不断战胜强大敌人的、阵容整齐的、团结进取的优秀军事人才团队,维护大汉王朝的长治久安;他不仅重视被考察对象在军事指挥和军事管理方面的才干,更重视对军事人才潜在能力素质的考察,甚至将后者置于更加重要的地位,因为后者能够在更大程度上决定被考察对象未来的整体表现和发展空间;同时,他认识到“人无完人”,在对军事人才的考察中将注意力集中在影响被考察者今后军功战绩的关键能力和关键素质方面,从不追求被考察对象的“高、大、全”。
  卫青,原为一介奴仆,姐姐被召入宫特别是做了皇后以后,身份才逐渐显赫起来,平时一向谨慎低调,表现平庸。汉武帝通过长达数年的观察、了解,独具慧眼的发现了卫青出色的个人潜能:思路敏捷、心胸开阔、讲求规则、志向远大。于是,他决定在重大军事行动中对卫青予以破格提拔,终于打造出享誉中外的一代名将。
  霍去病从小侍从汉武帝,十八岁时就随军出征并屡建奇功。汉武帝非常欣赏其积极进取、不蹈常规、勇猛果敢、无惧艰险的作风,并未因其年轻气盛和其他一些明显的缺点就放弃对他的栽培和使用。后来,霍去病成长为与卫青齐名的杰出军事统帅,并成为汉王朝浩荡军威的形象代言人。
  由于卫青、霍去病等卓越军事人才的不断涌现,汉王朝逐步形成了蔚为壮观的一流军事人才团队,在与强敌的反复斗争中屡屡获胜并最终完全制服了对手。
  汉武帝的军事人才选拔思想,对于当今的企业管理者仍然具有重大的借鉴意义。在企业管理者的选拔中,同样要树立鲜明的目标和正确的价值观;在人才的实际选拔中,不仅要考察被选拔对象较为容易评价的知识、技能,还要通过有效的方法和手段考察其潜在的规范认知、自我认知、行为方式和职业动机等素质;在人才的具体考察中,要将注意力集中到影响被考察对象的关键能力和关键素质方面,以达事半功倍之效。
 回复日期:2006-4-25 13:07:02
    总社的SF,哈哈,没想到RP果真好的不行。。。。
 回复日期:2006-4-25 13:10:02
    作者:将军府吉祥物国宝 回复日期:2006-4-25 11:20:00 
    40岁了,一个男人到了这个岁数,尘埃落定了,水到渠成了,是不是该常有了闲看落花飞舞的心境了呢?哇哈哈哈。。。
    ——————————————————————
    某人自恋,鉴定完毕。
  ------------
  某位筒子,你不要这样鼓励于我,真把我的知音瘾激发出来,大家没有好日子过:)
  某朵朵,你最好也不要随便想象:)
  知音是一种瘾,自恋是一种病,显摆,是深入骨髓的一种残疾。
  于是,只好,以知音自恋显摆为荣了:)
 回复日期:2006-4-25 14:10:48
    某朵朵,你最好也不要随便想象:)
  ==========================================
  可是不随便想,人家要怎么想呢?小白状问下。
  还有见到这个ID,大家都叫人家浪花的说,E总结说很哪个啥的,不要给人家叫没了的说。。。
 回复日期:2006-4-25 14:56:57
    作者:天涯亲卫队 回复日期:2006-4-25 06:59:28 
     嘿嘿,抢到了号子~~
     起床了,盖楼啦~~
     空气很清新的说,筒子们,赶快起来锻炼身体,好继续偶们的HC大业啊!
  作者:天涯亲卫队 回复日期:2006-4-25 07:16:19 
    某人……去睡了--
  作者:天涯亲卫队 回复日期:2006-4-25 08:01:19 
    某人……起床了--
  作者:天涯亲卫队 回复日期:2006-4-25 08:18:16 
    某人……上班了--
  ——————————————————————————————————————————————
  值班室里的这几个人呐~~~~~~~~~
    
 回复日期:2006-4-25 15:31:48
    偶也来值班
 回复日期:2006-4-25 17:54:07
    好喜欢40号楼的奠基砖啊...正和了四十不惑的意境了....敬酒青那笑啊...
 回复日期:2006-4-25 17:55:12
    在值班室吧唧下草草和百合^0^呵呵……
 回复日期:2006-4-25 21:26:31
    某人登陆后一顶~~~~~~~
 回复日期:2006-4-25 21:56:24
    今天咩人贴图?!
  是不是都不惑去了~~~~
  )——————————————————————————————————
  系统怀疑你灌水(短时间内连续发贴),请您过45秒后再发!
  奇怪,今天老是被45秒BS~~~~~
 回复日期:2006-4-25 22:38:26
    HOHO,草草莫急,字和图,两手抓,两手都要硬:)
  咱的楼快20000了,这个伟大的两万层五一前整不出五一假期里估计也就差不多了——大家加油!
 回复日期:2006-4-25 23:06:29
    大楼快两万字了,坛子也快周年庆了,爬上来打个广告:)
  青青子衿(weiqing.glcb.cn)坛庆特别活动,欢迎大家参与:)
  值此坛庆到来之际,论坛将举办坛庆月活动,欢迎大家踊跃参加。活动期间:2006年4月28日——2006年5月27日活动内容:
  1、举办论坛VIP卡设计大赛,请大家为论坛设计VIP卡的图案,凡参与者均将获得VIP卡及积分、爵位的奖励。胜出者还将获本次坛庆活动大奖。
  2、“坛庆作品征集活动”。参与者可以以文章、MV、图片等任何形式本次活动。内容可以涉及卫青、亲卫队、陆剑民、汉武及论坛相关等各个方面 。活动结束后将根据参与的类型,进行分类评选活动。获奖者将获得本论坛VIP纪念卡一张(含获奖字样),并根据获奖级别得到进爵及五铢钱等的奖励。参与者请标明“坛庆作品征集活动”字样。
  3、为答谢一年来大家为论坛发展所作的贡献,将根据发帖排行,取前20位奖励论坛VIP纪念卡一张。
  4、小行营杀人游戏现已开始,获胜者分享千金奖励,并进爵一级。
  5、凡活动期间发贴、回贴,均将获得双倍的积分和财产。即:主题贴每贴100钱,回贴20钱。
  6、坛庆活动优秀回贴评选,参加活动的回帖须表明回帖字样,活动结束后将根据参评数量和内容,举办不同种类最佳回帖的评选,分别给予VIP卡和爵位、积分等奖励。
  7、活动结束后,论坛将选出一年来刊登在论坛的优秀文章,汇编成册,并将积极联系出版单位,争取出版。如能成功出版,该书也将作为坛庆的奖品,发给特定的获奖用户。
 回复日期:2006-4-26 01:07:29
    领导的SF,半夜坐坐也幸福。
 回复日期:2006-4-26 01:12:14
    知音是一种瘾,自恋是一种病,显摆,是深入骨髓的一种残疾。
  ——————————————————————
  哇塞!~强烈鼓励某人发病上瘾骨髓残疾。
 回复日期:2006-4-26 01:16:59
    作者:湘妃竹上泪 回复日期:2006-4-26 01:12:14 
    知音是一种瘾,自恋是一种病,显摆,是深入骨髓的一种残疾。
    ——————————————————————
    
    哇塞!~强烈鼓励某人发病上瘾骨髓残疾。
  ++++++++++++++++++++
  这话BH的,巨汗!
  想象一下某人天亮后看到这话的反应,掐某人?不掐某人?会吗?不会吗?
 回复日期:2006-4-26 01:33:42
    卫青,原为一介奴仆,姐姐被召入宫特别是做了皇后以后,身份才逐渐显赫起来,平时一向谨慎低调,表现平庸。汉武帝通过长达数年的观察、了解,独具慧眼的发现了卫青出色的个人潜能:思路敏捷、心胸开阔、讲求规则、志向远大。于是,他决定在重大军事行动中对卫青予以破格提拔,终于打造出享誉中外的一代名将。
  ————————————————————————
  突然发现这个评价很有新意:讲求规则。
  一般讲求规则的人,会喜欢层级化的环境,一步一步的向上。照这个推论,卫青在宫廷里,应该很适应仕途生活,而且会喜欢处理琐碎的行政事务,但很可能不擅长“人脉”。
  一般讲求规则的人,会倾向于科学化的管理,淡化人的因素。那么这样推测,卫青在打战时,应该是分权、分兵、区域化作战的风格。
 回复日期:2006-4-26 05:27:06
    @_@看到某人昨天发泄成果了……
  嘿嘿,妃子也bh的~~~~~~
 回复日期:2006-4-26 06:33:34
    今天让偶抢到一回!
  起床!盖楼!
 回复日期:2006-4-26 06:39:23
    某人居然又没抢着……
  --去睡了……
 回复日期:2006-4-26 07:25:44
    作者:湘妃竹上泪 回复日期:2006-4-26 01:12:14 
    知音是一种瘾,自恋是一种病,显摆,是深入骨髓的一种残疾。
    ——————————————————————
    
    哇塞!~强烈鼓励某人发病上瘾骨髓残疾。
  作者:槛外桃花 回复日期:2006-4-26 01:16:59 
    作者:湘妃竹上泪 回复日期:2006-4-26 01:12:14 
      知音是一种瘾,自恋是一种病,显摆,是深入骨髓的一种残疾。
      ——————————————————————
      
      哇塞!~强烈鼓励某人发病上瘾骨髓残疾。
    ++++++++++++++++++++
    这话BH的,巨汗!
    想象一下某人天亮后看到这话的反应,掐某人?不掐某人?会吗?不会吗?
  ------------------
  呵呵,某人还好还好,不能辜负这名字的说……主ID么,要保持形象:)
 回复日期:2006-4-26 07:46:29
    继续搬贴,某E又更新了,希望保持并继续:)
  http://weiqing.glcb.cn/di .a ?boardID=21&am ID=1701&am age=1
    
    [贴图]偶羡慕的绿叶们……原作青青子衿水军E:)
    
  还素一集出现的银们……
  嘿嘿,偶们大将军回家吃饭了。。。
  毕竟素大司马大将军猪猪的姐夫加小舅子,家里伺候银的银还素8少的。。。光上菜的就三位筒子(女),8过,看用的着那么多银么???公主也8把把关,就让那么多银有机可乘--还有身后介个,伸手接(那个应该叫什么?)束冠(?),hoho……
 回复日期:2006-4-26 07:47:36
    --条件有限,8素很清楚。。。凑合看吧(估计也没几个人看--)
  接下来介位可素相当的有名哦。。。
  公主:小青,来来来,8素让俚把介地方擦干净的么~~~~~~~~~~~~~
  没错,她就叫小青~~~~~~汗,太远了。。。8过没关系,介张大将军青很口耐,可以弥补下:D
   :偶友情提醒,就素中间那个银。。。仔细辨认应该能看到个人型的……--
 回复日期:2006-4-26 07:48:35
    嘿嘿,介张估计大家的眼睛都被公主和大将军吸引过去了。。。但人家右边8素还站着个筒子么。。。
  哇,汉朝打金枝现场版。。。唯一比较遗憾的就素她看到的应该都素背影。。。等后来那巨帅无比的那一抱后,她早已华丽丽的8见了~~~~~~坚持就素胜利啊。。。
 回复日期:2006-4-26 07:49:13
    今天最后一张。。。
  介两位筒子后来也出现过。。。偶想到了偶的将军府岁月……
 回复日期:2006-4-26 07:52:14
    领导做了广告了,那俺把青青子衿卫青特色新等级的方案搬过来啦:)让人很有HC动力的新等级们啊……
  升级到 小卒·公士 需要 0 的文章
  升级到 什长·上造 需要10 的文章
  升级到 五百将·大夫 需要 50 的文章
  升级到 千人·官大夫 需要 100 的文章
  升级到 校尉· 公大夫 需要 200 的文章
  升级到 都尉·公乘 需要 300 的文章
  升级到 卫尉·五大夫需要 400的文章
  升级到 游击将军·左庶长
需要 500 的文章
  升级到 骑将军·右庶长 需要 700的文章
  升级到 轻车将军·左更 需要 1000 的文章
  升级到 材官将军·中更 需要 1500的文章
  升级到 骁骑将军·右更 需要 2000的文章
  升级到 冠军将军·少上造 需要 3000 的文章
  升级到 中将军·大良造 需要 4000 的文章
  升级到 卫将军·驷车庶长 需要 5000 的文章
  升级到 车骑将军·大庶长 需要 6000的文章
  升级到 骠骑将军·关内侯 需要 7000 的文章
  升级到 大将军·长平侯
需要7777777的文章
 回复日期:2006-4-26 08:28:21
    作者:我是hc 回复日期:2006-4-25 17:54:07 
    好喜欢40号楼的奠基砖啊...正和了四十不惑的意境了....敬酒青那笑啊...
  -------------------------------------------------------
  谢谢谢谢,某人虽然做事常常乌龙的很,可天可怜见加大将军保佑。。。
  总算RP的考验终于成功的过关了。。。
 回复日期:2006-4-26 08:35:25
    升级到 骑将军·右庶长 需要 700的文章
  ------------------------------------------
  某人现在够做的是这个,显摆ing。
  同时还有我们的那个和尚
  歪风
  吼吼。。。真比蜘蛛侠好听多了。。。
  对了还有那特例独的过了1000贴的人,你的俺口水ING。
 回复日期:2006-4-26 08:49:45
    作者:天涯亲卫队 回复日期:2006-4-26 06:33:34 
    今天让偶抢到一回!
    起床!盖楼!
    
  -------------------------------------------
  一夜未睡吗?黑眼圈呀。。。。
 回复日期:2006-4-26 09:06:16
    呵呵,怎么可能泥?不但睡了,还睡得相对很早泥:)
 回复日期:2006-4-26 09:13:21
    这样吗?很好很好,今儿有什么好东东?
 回复日期:2006-4-26 11:20:17
     突然发现这个评价很有新意:讲求规则。
    一般讲求规则的人,会喜欢层级化的环境,一步一步的向上。照这个推论,卫青在宫廷里,应该很适应仕途生活,而且会喜欢处理琐碎的行政事务,但很可能不擅长“人脉”。
    一般讲求规则的人,会倾向于科学化的管理,淡化人的因素。那么这样推测,卫青在打战时,应该是分权、分兵、区域化作战的风格。
  -------------
  某人果然专业。
  这两天随处闲逛,看到不少所谓“亲卫队之外”的人对卫青的评价,觉得不少都很有意思。
  而单从此文说来,讲求规则,“思路敏捷、心胸开阔、讲求规则、志向远大”,更加有现实意义,特别是讲求规则,其实现在中国很多问题,都是规则问题,甚至,体制问题,恩恩,MS又扯得有点不着边际了哈:)
  扯回来,贴几一小段在军事历史研究论坛看到的网友说卫青:
  无心人的发言:“单从某个方面,有很多超过卫青的,但综合:创立新战术、先战略、带兵练兵、驾御下属、破敌杀获几个方面来说,中国历史上没有几个与其并肩,但结合到他杀的的都是不断侵犯我边境凶蛮外族,是数百年来困扰中华民族发展的当时世界数一数二最次也是地球老三匈奴。可以说,5000年中华历史的将帅中来无出其右!……”
  ---------
  在那还再次看到了关于卫李公案的争论,HOHO,因为即使是非亲卫队,有些话说得对李老将军也很8HD了。。。俺就不转了,大家有兴趣可以去看看,有的真是说得相~~`当~~`高啊,效果,也很爆笑了:)
 回复日期:2006-4-26 11:23:53
    有几个小错误,重发下再:
  突然发现这个评价很有新意:讲求规则。
      一般讲求规则的人,会喜欢层级化的环境,一步一步的向上。照这个推论,卫青在宫廷里,应该很适应仕途生活,而且会喜欢处理琐碎的行政事务,但很可能不擅长“人脉”。
      一般讲求规则的人,会倾向于科学化的管理,淡化人的因素。那么这样推测,卫青在打战时,应该是分权、分兵、区域化作战的风格。
    -------------
    某人果然专业。
    这两天随处闲逛,看到不少所谓“亲卫队之外”的人对卫青的评价,觉得不少都很有意思。
    而单从此文说来,“思路敏捷、心胸开阔、讲求规则、志向远大”,都非常有现实意义,特别是讲求规则,其实现在中国很多问题,都是规则问题,甚至,体制问题,恩恩,MS又扯得有点不着边际了哈:)
    扯回来,贴一小段在军事历史研究论坛看到的网友说卫青:
    无心人的发言:“单从某个方面,有很多超过卫青的,但综合:创立新战术、先战略、带兵练兵、驾御下属、破敌杀获几个方面来说,中国历史上没有几个与其并肩,但结合到他杀的的都是不断侵犯我边境凶蛮外族,是数百年来困扰中华民族发展的当时世界数一数二最次也是地球老三匈奴。可以说,5000年中华历史的将帅中来无出其右!……”
    ---------
    在那还再次看到了关于卫李公案的争论,HOHO,即使是非亲卫队,有些话说得对李老将军也很8HD了。。。俺就不转了,大家有兴趣可以去看看,有的真是说得相~~`当~~`高啊,效果,也很爆笑了:)
 回复日期:2006-4-26 13:00:14
    作者:井下的石头 回复日期:2006-4-26 07:52:14 
    领导做了广告了,那俺把青青子衿卫青特色新等级的方案搬过来啦:)让人很有HC动力的新等级们啊……
    
    升级到 小卒·公士 需要 0 的文章
    升级到 什长·上造 需要10 的文章
    升级到 五百将·大夫 需要 50 的文章
    升级到 千人·官大夫 需要 100 的文章
    升级到 校尉· 公大夫 需要 200 的文章
    升级到 都尉·公乘 需要 300 的文章
    升级到 卫尉·五大夫需要 400的文章
    升级到 游击将军·左庶长 需要 500 的文章
    升级到 骑将军·右庶长 需要 700的文章
    升级到 轻车将军·左更 需要 1000 的文章
    升级到 材官将军·中更 需要 1500的文章
    升级到 骁骑将军·右更 需要 2000的文章
    升级到 冠军将军·少上造 需要 3000 的文章
    升级到 中将军·大良造 需要 4000 的文章
    升级到 卫将军·驷车庶长 需要 5000 的文章
    升级到 车骑将军·大庶长 需要 6000的文章
    升级到 骠骑将军·关内侯 需要 7000 的文章
    升级到 大将军·长平侯 需要7777777的文章
  ————————————————————————————————————————
  已经开始使用了咩?
 回复日期:2006-4-26 13:08:07
    报告草草:目前还米,计划是4月28日正式启用。
 回复日期:2006-4-26 13:52:43
    我我我,我一直最赞那两个看将军两口子打架的丫头,OMG,那个表情特写啊,两个鬼丫头猫腻得要死,就是她们的表情让全长安的观众都知道接下来将军两口子进门要干什么了。
 回复日期:2006-4-26 14:12:16
    这是下午两点。。。。
 回复日期:2006-4-26 14:12:48
    作者:井下的石头 回复日期:2006-4-26 11:20:17 
       某人果然专业。
  ——————————————————————————
  “青青军校”的事,我一直没忘记,只是实在实在没时间。分析卫青的作战风格,以及汉匈战争包含的军事谋略,是非常诱人的事情,但又是非常浩大的工程。等我能安定下来了,我会着手的。
 回复日期:2006-4-26 14:15:58
    作者:兵书宝剑骏马 回复日期:2006-4-26 13:52:43 
    我我我,我一直最赞那两个看将军两口子打架的丫头,OMG,那个表情特写啊,两个鬼丫头猫腻得要死,就是她们的表情让全长安的观众都知道接下来将军两口子进门要干什么了。
  作者:子啊 回复日期:2006-4-26 14:12:16 
    这是下午两点。。。。
  ——————————————————————————————
  刚起来的某人果然BH,直把午后两点当午夜两点啊。
 回复日期:2006-4-26 14:35:23
    某人果然刚起....
 回复日期:2006-4-26 14:37:23
    分析卫青的作战风格,以及汉匈战争包含的军事谋略,是非常诱人的事情,但又是非常浩大的工程。等我能安定下来了,我会着手的。
  ---------------
  强烈口水ING…………
 回复日期:2006-4-26 15:52:30
    值班人员转些汉朝的歌舞给大家助兴。
  被画像砖定格的汉代歌舞
  稿件来源:成都日报
2006-4-24 3:29:40
  四川新闻网-成都日报讯:卢升弟/文
  中国人历来有喜爱歌舞的传统。到了汉代,宴饮之风盛行,席间必有舞乐助兴。从上流社会到民间,从京城长安到外省,轻歌妙舞既是人们娱乐享受的方式,也是社交场合的必要工具。
  四川汉代画像砖中,涉及歌舞的题材甚多,“舞乐百戏”、“丸剑起舞”、“宴饮起舞”……等,让我们得以一窥汉代四川人在长袖舞、公莫舞、七盘舞中繁复华丽的舞姿。
  一个歌舞喧阗的时代
  自古以来中国人就有喜爱歌舞的传统。汉代时,人们对歌舞的热情丝毫不减,尤其是上流社会。汉代的开国皇帝刘邦不仅是一代枭雄,也是一个歌舞爱好者,史书记载他在称帝后曾回到家乡,召集故人及父老子弟喝酒庆贺。席间,他一边击筑(当时的一种乐器)一边唱起了自创的《大风歌》:“大风起兮云飞扬,威加海内兮归故乡,安得猛士兮守四方。”还让大家一起歌舞狂欢。刘邦的宠姬戚夫人也能歌善舞,史料记载她“善为翘袖折腰之舞,唱出塞入塞望归之曲”。汉成帝的皇后赵飞燕更是舞伎出身,因舞艺高超,舞姿轻盈,人称“飞燕”。此外,汉文帝慎夫人因善歌舞而入宫;汉武帝的皇后卫子夫曾是平阳公主家的歌女、宠姬李夫人也是生在伎人世家。公元前108年,武帝征调天下舞乐百戏在京城长安进行大汇演,“三百里内皆观”,可谓空前绝后。当时,朝廷还设有专门收集歌谣、管理乐曲、训练乐工的机构“乐府”,皇宫里也养有大量歌舞伎人。皇帝、皇后、嫔妃们如此这般热衷于歌舞,自然也会影响到他们的臣民。民间本来就有歌舞的传统,加上汉代政治经济的发展,国泰民安,歌舞的兴盛与繁荣也就是自然而然的事了。
  而对豪门贵族来说,歌舞既是他们娱乐享受的工具,亦是他们迎来送往、相互交际结纳、巴结上司的常用手段。他们家里大都养有不少倡优伎人、歌舞奴隶,所谓“妖童美妾,填乎绮室,倡讴妓乐,列乎深堂”。他们不仅以倡优待客,自己也常常参与其中。当时,宴饮之风盛极一时,凡有宴饮则必有舞乐助兴。主宾一边吃喝,一边欣赏。待到酒酣兴浓时,往往会出现主人离席自歌自舞,宾客随之应和的情景。“吉日良辰,置酒高堂,以御佳宾。金罍(lei古代盛酒的器皿)中坐,肴烟四陈。殇以清酉票,鲜以紫鳞。羽爵执竞,丝竹乃发。巴姬弹弦,汉女击节。起西音于促柱……纡长袖而屡舞,翩跹跹以裔裔。合樽促席,引满相罚。乐饮今夕,一醉累月。”晋代文学家左思在《蜀都赋》中的描述也是汉代豪宴歌舞的写照。
 回复日期:2006-4-26 15:53:46
    轻歌曼妙
长袖善舞
  在四川汉代画像砖中,涉及歌舞题材的主要有“舞乐百戏”、“丸剑起舞”、“宴饮起舞”以及“舞乐”等画像砖。
  “舞乐百戏”画像正中是一女伎正在跳“七盘舞”,她高环双髻,宽服束腰。一臂上举,一臂向下弯曲。双手持长巾,两腿作跨步状。脚下有两鼓,鼓的四周有六盘。“七盘舞”,又称“盘舞”。原是流行于民间的舞蹈,后来被广泛用于宴饮时的表演。其特点是在地上排列数量不等的盘和鼓,舞伎便在这些盘鼓上或盘鼓之间舞蹈。有诗人这样写到:“七盘陈于广庭,畴人俨其齐俟,揄皓袖以振策,竦并足而轩跱。邪睨鼓下,伉音赴节。安翘足以徐击,驳顿身而倾听。”“振华足以却蹈,若将绝而复连。鼓振动而不乱,足相续而不并。婉转鼓侧……兴七盘其递奏,观轻捷之翩翾(xuan飞翔)。”从这些诗句和画像砖上的图案看:“七盘舞”是一种技艺要求很高的舞蹈,舞者必须“翘足”在盘和鼓上有节奏地“徐击”,不停地在它们之间穿梭、“婉转”。双足踏出的盘鼓之声时缓时急,随着节奏的起伏变化,舞者时而轻歌曼舞如清风,时而急舞狂歌似惊鸿。
  “宴饮起舞”画像中央有樽、盂、杯、杓等饮用器皿。上方左侧一男一女席地而坐,右侧一伎正在演奏古筝,后面一伎似在伴唱。下面左边一人左手击节,右手敲鼓。右边为一束发戴冠、宽袍曳地的舞者。他一臂高举,一臂低垂。长袖轻展,舞姿翩翩。这位舞者所表演的便是著名的“长袖舞”,跳这种舞时,伎人都要身穿长袖舞衣,伴随着音乐的节拍,挥动长袖作出各种或舒展飘逸或轻盈柔婉的舞姿。正如古人所描写的那样:“罗衣从风,长袖交横”、“修袖连娟,长裾缤纷”。从画像砖上看,当时长袖舞通常都有歌伎伴唱,乐伎伴奏。以长袖为舞是我国古代很早就流行的,《韩非子》中就曾讲过“长袖善舞,多钱善贾。”时至今日我们仍然可以在舞台上看到长袖舞的影子。
  “丸剑起舞”画像上男女主人席地而坐,座下有席,席上有器皿和食物。男的头戴冠,着长袖深衣;女的也是广袖宽衣,双髻束发。画面下方有两伎跪于席上,手捧排箫,正在伴奏。画面另一侧有三男伎在表演“百戏”。舞者为一云鬟高耸、束腰宽袖的女伎,在她举手投足间,“裙似飞鸾,袖如回雪”,手中的长巾在空中缓缓飘扬,划出一道优美的弧线。“巾舞”又称“公莫舞”。传说取意于“鸿门宴”的故事:项羽的部下项庄在宴会上以舞剑为名,欲借机刺杀刘邦。项伯为保护刘邦,起舞“以袖相隔”,使其无法下手,他还劝项庄说“公莫害沛公也”。后人遂以巾舞来模拟项伯舞袖的姿态,因称“公莫舞”。表演时,长巾慢如飘雪,快似狂飙。在令人眼花缭乱的舞动中,巾袖相连,长巾看起来就像长袖一般。因此在古代文学作品中,人们很难看到有关巾舞的词句,赞颂长袖舞的倒是屡见不鲜:“振飞毂以舞长袖,袅细腰以务抑扬”,“奋长袖以飚回,擢纤腰以烟起”,“抗修袖以翳面,展清声而长歌”。这些诗句咏唱的是“巾舞”还是“长袖舞”?恐怕难以分清。
  作者为成都博物院馆员
 回复日期:2006-4-26 18:53:55
    hoho,期待子衿的新等级~~~~
 回复日期:2006-4-26 22:19:05
    TEST。
 回复日期:2006-4-26 22:22:05
    上来水一下,6马甲。。。
 回复日期:2006-4-26 22:35:44
    偶也来6,好久没出来逛荡了又。。。
 回复日期:2006-4-26 23:11:36
    睡前顶一下。。。
 回复日期:2006-4-26 23:47:24
    某人去那个军事论坛了,看到一位仁兄的等级素华丽丽的大将军·列侯……
 回复日期:2006-4-27 05:38:55
    某人晕啊晕。。。偶爬墙混的另外一个论坛,居然等级里有亲卫队……偶无语ing~~~~
 回复日期:2006-4-27 06:02:35
    起床~~~盖楼~~~~~~
  只要有心没抢不到的起床号~~~
  满意的走了。。。大家继续盖楼啊~~~~~
 回复日期:2006-4-27 08:17:28
    起床号的楼下。
  先水一贴再说。
 回复日期:2006-4-27 08:29:17
    天涯好难上
  做个记号。。。
  吧唧全楼
 回复日期:2006-4-27 08:32:40
    作者:anuanly  回复日期:2006-4-27 08:29:17 
    天涯好难上
    做个记号。。。
    吧唧全楼
  ---------------------------
  一看吧唧的这么专业就知道是自家人了,可是吧!没看出是哪位JM呀!先自拍一顿,谁好心告诉我一下吧!!!
 回复日期:2006-4-27 08:49:57
    汗。。。。小友。。。。。
  虽然偶是有好一阵子没上了
  但是也不要明说嘛
  这让欧可怎么办好呢
  左思右想 羞愧而下
   主id因天涯不让上所以没法进来
 回复日期:2006-4-27 08:56:04
    顶一个~~~~~
 回复日期:2006-4-27 09:06:16
    主ID上来赔罪,不过糊涂人难免糊涂事,现在想明白。
 回复日期:2006-4-27 09:48:30
    天,著名的某中文马甲的英文主ID,小友竟然忘了……糊涂友的师门再摸摸anuanly 筒子。。。
 回复日期:2006-4-27 09:50:51
    作者:水军E 回复日期:2006-4-26 23:47:24 
    某人去那个军事论坛了,看到一位仁兄的等级素华丽丽的大将军·列侯……
  -----------------------------
  偶们的论坛最高等级也粉不错啊,表达一种敬意,更多是让大家虽不能至,心向往之吧。。。
 回复日期:2006-4-27 09:53:22
    嘿嘿嘿!不好意思师叔,又给你和我师傅办了件不长脸的事,俺愧下。
 回复日期:2006-4-27 09:56:27
    说到等级,版版们要是不显示的话,那么某人的可是最高的泥。。。
 回复日期:2006-4-27 09:57:09
    没事,摸摸小友。。再吧唧下某英文ID。。。
  小友啊小友,你的那什么,糊涂门全体已经习惯了:)
 回复日期:2006-4-27 12:39:19
    新等级。。。某的级别。。。先显摆下。。。
 回复日期:2006-4-27 12:48:00
    接着来搬某E的贴:昨天,有人反映说前面这个的表情感觉很像咱们蔷薇……
 回复日期:2006-4-27 12:48:58
    下面转某E随之的反映:
  嘿嘿,前面介位像蔷薇???
  hoho,介位后来又出现了。。。
  哇赛,青春永驻了么。。。没变老的说,但偶木找到另外一个搭档。。。
 回复日期:2006-4-27 12:49:56
    介位素蔷薇的搭档么???脸都挺圆。。。
  唉,其实我应该悲伤的说。。。悲伤的偶都木有言语了……
 回复日期:2006-4-27 12:50:47
    介位很著名。。。其实本来偶可以用某技术人员的大作给他截个清晰版大图的。。。但素,大家本来就都素绿叶了,也就别在分大小了。。。。偶还素很平等的说……
  狂羡慕他啊~~~~~据偶估计他肯定抓了n秒大将军的手……他旁边那位也8错~~~~~
 回复日期:2006-4-27 12:53:34
    针对上面那张照片,某全能晴提出:
  换个镜头有一个比较帅的帅哥,不想介个介末ws
  某E就又换了一个:
  敢问说的素介个么???
  当然偶说的素中间那个。。。8过介位帅哥左边那位,年龄……偶觉得他参加漠北大战都得算老兵--还有他右边介个,一直在笑。。。……群众演员也素要求职业道德的。。。8然遇到偶介等无聊之人就会被发现--
 回复日期:2006-4-27 12:54:54
    但上面那个还素被某技术晴否定掉了:
  不是,在老卫的右手边的,一个快速的镜头转动后面,也在镜头前晃了一阵子的,刚刚截了半天也截不出清晰的图来-__-||||
  -----------
  技术晴都截不出。。偶们这种技术小白当然更素米办法。。。
 回复日期:2006-4-27 14:39:25
    前面提到了歌舞,偶就贴几张在西安拍的仿唐乐舞
  偶相机相素有限,前面又坐了一大排人高马大的老外,所以拍的不咋样,将就看吧
 回复日期:2006-4-27 14:41:08
    龟兹乐舞,当年张骞看的准的这不一样
 回复日期:2006-4-27 14:43:37
    这段舞蹈是看上去颇有汉代遗韵的踏歌
 回复日期:2006-4-27 14:47:32
    霓裳羽衣舞,个人认为不怎么样
 回复日期:2006-4-27 1 腾讯网络安全技术峰会专题_科技频道_腾讯网
(一蓑烟雨论坛)
当前在线
『 我为壳狂 』版主
28870 主题
4691 积分
20835 坛币
1243 UB 热心
215 UF 邀请
6 yQ Team
[UpK] 阅读权限
200 性别
男 来自
UpK软件安全社区 在线时间
12665 小时 注册时间
2004-10-9 最后登录
2011-8-1 UID
28870 主题
4691 坛币
1243 UB 热心
215 UF 在线时间
12665 小时 注册时间
2004-10-9 最后登录
2011-8-1 跳转到
字体大小:
发表于 2008-3-18 18:39
腾讯网络安全技术峰会专题_科技频道_腾讯网
本文来自:
2008-3-18 18:39
[quote]网络安全专家呼吁互联网企业成立安全联盟
http://tech.qq.com/zt/2008/wlanfh/index.htm 
2008年03月18日12:00  
腾讯科技讯
3月18日,由中国最大的互联网综合服务提供商腾讯发起和组织的互联网安全峰会在深圳
召开。包括微软、盛大、新浪等互联网界各大巨头的技术专家,学者和专业人士参与了此次的交流。此次峰会是今年以来首场由中国互联网各顶尖企业共同参与的大型网络安全专业盛会。
互联网面临安全危机
据介绍,随着2007年底中国网络用户突破2.1亿,中国互联网的普及达到了新高,然而网络安全问题也层出不穷,据国家计算机网络应急技术处理协调中心统计显示,仅2007年上半年,中国大陆地区被植入木马的主机IP就比上一年增加了21倍,被篡改的网站数量也比上年同期增加4倍。据称,
“工业化”在2007年度就形成数亿元的产业链。去年“熊猫烧香”病毒案告破时,主犯牟利曾超过千万。
本次峰会的组织者
也告诉记者,腾讯作为中国互联网领域用户数最庞大、应用服务最广泛的企业,所面临的网络安全问题基本是中国网络环境安全现状的缩影,如用户安全意识薄弱;盗号产业链化;并且法律在盗号,盗取虚拟财产等方面没有明确的规定……这些都是当前中国互联网企业所集体面临的问题。日益猖獗的木马、蠕虫以及外挂等产业毒瘤严重影响到了中国新一轮互联网产业的升级以及健康发展。
专家呼吁互联网企业成立联盟
针对目前严峻的网络安全形势,本次安全峰会涉及主题包括了WEB 2.0 安全研究、网游木马防御以及反外挂研究、中国本土安全技术团队建设、软件缺陷以及还原系统防范等等当前国内互联网安全热门议题。
出席本次安全峰会上的专家和学者表示,面对病毒、盗号产业化的趋势,中国的互联网企业有必要联合起来组织网络安全联盟,在网络安全攻防的实战经验和安全技术研究方面实现行业内的共享,并集体促进国家立法的加快。在这次安全峰会上,很多互联网企业都向业界分享了自有知识创新的安全技术以及策略,促进大会在互联网安全技术上获得更多的共识以及突破。其中腾讯公司透露,未来在适当的时候将会推出用户参与的帐户安全查询系统,让QQ用户清楚明白的了解自己帐户的变化和异常行为。
同时,网络安全专家张翼也表示,中国的网络环境复杂,所面临的网络安全形势越来越严峻,各厂商的安全工作存在诸多困难,尤其是网民的安全意识薄弱成为了安全的瓶颈。因此根据我国的实际情况,首先要加强和提高对网络安全的认识和重视,其次是业界要深入研究黑客战争的艺术,要有足够的技术手段才能防范制止黑客犯罪。
[/quote]
大会议程
3月18日
3月19日
8:00-8:45
于旸 绿盟科技
《缓冲区溢出:历史、八卦和娱乐》
9:35-10:35
吴鲁加 内网数据安全专家
《企业数据安全》
11:15-12:20
方兴 微软安全服务提供专家
《WEB 2.0安全研究》
10:50-11:50
吴石 IM安全研究专家
《几种软件缺陷的可能利用方法》
14:30-15:30
张翼 游戏安全专家
《网游木马防御技术漫谈》
14:30-15:30
褚诚云 微软中国
《软件安全漏洞与软件安全开发》
15:45-16:45
郑歆炜 盛大科技
《运维,安全,技术随想》
15:30-16:30
郑文彬 奇虎 反木马专家
《还原系统保护攻防》
17:00-18:00
牛博威 游戏安全专家
《反外挂技术》
16:45-17:45
李旬保 腾讯
《WASL-Web应用安全的思考》 ', 'info', '收录查询')" href="javascript:;">
(WwW.XPi386.CoM)
当前离线
33480 帖子
717 主题
31 积分
397 坛币
797 UB 热心
1 UF 邀请
0 yQ Team 阅读权限
20 性别
男 来自
广东 在线时间
840 小时 注册时间
2007-11-17 最后登录
2011-4-11 UID
33480 帖子
717 主题
31 坛币
797 UB 热心
1 UF 在线时间
840 小时 注册时间
2007-11-17 最后登录
2011-4-11 发表于 2008-3-18 18:57
主讲人的来头都不小哦....
蚊香小栈 → 当前离线
40819 帖子
17 主题
13 坛币
103 UB 热心
0 UF 邀请
0 yQ Team 阅读权限
10 在线时间
5 小时 注册时间
2008-3-17 最后登录
2009-10-27 UID
40819 帖子
17 主题
103 UB 热心
0 UF 在线时间
5 小时 注册时间
2008-3-17 最后登录
2009-10-27 发表于 2008-3-19 00:42
有没有人收集到演讲者的PPT发上来Share一下,看看这次会说到那些技术点?
当前离线
37009 帖子
1140 主题
55 积分
357 坛币
1886 UB 热心
10 UF 邀请
0 yQ Team
[UpK] 阅读权限
20 性别
男 来自
江苏 在线时间
2304 小时 注册时间
2008-1-11 最后登录
2011-7-29 UID
37009 帖子
1140 主题
55 坛币
1886 UB 热心
10 UF 在线时间
2304 小时 注册时间
2008-1-11 最后登录
2011-7-29 发表于 2008-3-19 02:52
来头是都不小,谁去录象啊,回来大家看看。
(一蓑烟雨论坛)
当前在线
『 我为壳狂 』版主
28870 主题
4691 积分
20835 坛币
1243 UB 热心
215 UF 邀请
6 yQ Team
[UpK] 阅读权限
200 性别
男 来自
UpK软件安全社区 在线时间
12665 小时 注册时间
2004-10-9 最后登录
2011-8-1 UID
28870 主题
4691 坛币
1243 UB 热心
215 UF 在线时间
12665 小时 注册时间
2004-10-9 最后登录
2011-8-1 发表于 2008-3-19 09:11
牛博威:成熟的反外挂系统一般企业未必能承受
游戏安全和反外挂专家牛博威(腾讯科技摄)
腾讯科技讯
3月18日消息,在今日举行的
络安全技术峰会上,游戏安全和反外挂方面的专家牛博威表示,反外挂系统并非越成熟越好,成熟的反外挂系统会让一般公司很难承受,大大增加了运营成本。同时,越是成熟出名的反外挂系统越被人研究得多,反而增加了被攻破的几率。
牛博威说游戏本身就是一个堡垒,或许把这个门做得很好,用金装门或者用铁门,把锁加得特别重,把门做得再先进,却没有发现别人已经从窗户里跳进来了。所以越成熟的反外挂系统不一定最好,最重要的是要适合自己,要做到运营和成本的平衡。
以下为牛博威讲演实录:
牛博威:我今天主要讲的是反外挂技术,如果有时间的话我再讲一下游戏漏洞。我叫牛博威,主要是研究
、反病毒;木马,反木马。外挂,反外挂。
我们今天讲反外挂技术,我根据我自己的总结,把当前国内包括韩国、日本、美国、台湾和一些经常被使用的反外挂技术,包括其他方面的策略给大家稍微谈一点。
这是大体的提纲(图),外挂的种类。我们先知道外挂有什么种类、什么类型然后才能去反外挂,然后是策略的选择,有一些常见手段和方法的分类,当然这个分类是我大体的分类,因为方法之间往往是有重叠的,我只是大体分类。对于一些技术方面的误解决,最后我再做一个比较简单有效的反外挂系统,最后有时间的话把游戏漏洞方面说一下,怎么防范游戏漏洞稍微谈一下。
外挂的种类一般来说是分为内挂。首先它依附游戏,首先你开内挂的时候得开游戏,游戏开起来以后再把内挂开起来,是在同一个进程上的,或者是互相配合运行的。它的注入方式,有的是注入到游戏本身,有的不是同一个进程,但是也是有相互的牵连。还有一种它是模拟按键的,它跟游戏本身不是同一个进程,但它们也是互相配合的。
脱机,第一个特点是脱离游戏,像很多做得好的脱机可以在一台机器上跑很多,多的可以达到上百个。当然,它运行的时候根本与游戏无关。这是一个脱机的地图编辑(图),编码很复杂,相对内挂来说,开发时间要长一些。这是一个脱机的功能(图),它有自动补血等等。再就是开发时间长,它比较难做,开发的时间长,所以开发的时候需要考虑到这一点。对反外挂来说如果不知道外挂是怎么做的,这是比较飘渺的。最好对自己的反外挂对象,对这个外挂要了解,然后才能去反外挂。然后是策略的选择,我们今天主要讲的是反外挂技术,但是反外挂本身不仅仅是技术方面,还有法律方面,可以对外挂做分类,包括散播外挂和制作外挂对他们进行法律制裁,再就是人工识别,包括一些非技术方面的,比如GM、玩家去查,还有就是技术检测,我们虽然讲的是技术,但是不应该仅仅立足于技术,应该考虑到配合,要对他们提供震慑。不应该只立足于外挂产品本身,常见的反外挂手段很多,包括早期常用的,常见的反外挂手段,外挂窗口。还有就是查外挂进程的名称,比如内存特征码,还有外挂的模块大小。虽然开发很简单,但是对外挂来说基本也不算什么,查一下窗口,查一下乱码更新一下就可以了。还有就是采用安全产品,比如安博士,MP等一些比较成熟的系统,用它们来做也可以达到比较好的效果。
我们今天主要讲的是自主开发反外挂系统。自主研发反外挂系统,国内包括盛大、网易、完美世界,韩国的一些很出名的,他们也有自己的反外挂系统,像金山。每个公司都希望有他自己的系统,然后利用自己的系统进行反外挂、保护、杀毒。
反外挂方法的分类大概有这么几种,当然这不是很严格,但是对我们今天来讲,大体分了一下,包括暗桩,还有不定时检测、验证码检测、数据加密等等。
下说一下暗桩,是指隐蔽的检测方法,比如走路、攻击、捡物品、保护等相关封包数据被特殊处理,像这些封包被单独处理,这个单独处理有什么好处呢?对所有的封包都进行特殊处理的话,网络负担率比较大。例如我只对攻击进行相关的保护,网络负担就可以降低。另外我做得比较隐蔽,这个外挂看上去注意不到,他发出去以后,玩家一旦使用了攻击就会被查到。
另外一种是不定时改变暗桩,虽然它很隐蔽,但是如果总在那里使同一种暗桩肯定会被发现,一旦发现你这个暗桩就没用了,所以应该不定期的改变,改变之后会增加外挂的心理负担。因为外挂开发也是人脑,他们有自己各方面的压力。
暗桩的技术不一定复杂,比如可以在某一个封包对某一个字符进行加密,但是可以保障它很隐蔽,再就是不定期的改变。
不定时检测,跟上面的差不多,比如同一种检测手段我不连续使用,比如七种反外挂封包,但不同时出现,我一天只用一套,比如我今天用这一套,星期一用一套,星期二用一套,一共有七套,来回换,从外挂开发人员来讲,他就很难同时把这七套东西全搞出来,他的外挂产品一旦被用出来或者一旦发出去之后,他星期二、三没事,但到星期五、星期六可能就被查处来了,所以我们的检测手段最好轮换使用,最好不要采用同一种手段。比如网易,据说他有一套自己的协议生成器,用生成器把脚本改一下,整个游戏的协议全部变了,当然这只是传说,我没有看过,大体是这样的思想。还有就是检测周期长,比如我这个服务器查外挂的时间,一般来讲比如我半分钟查一次,查外挂的封包半分钟查一次的话很容易把问题看出来。但是我一天看一次,对外挂开发人员来说就很难做到。还有天晴数码他们搞反外挂检测周期特别长,每检测一次,检测完以后当场不采用什么反应,但是过一周以后,我对查出来的使用外挂的人进行封号也好,进行处理也好,我虽然进行处理了,但是我这个反外挂封包不发了,这样的话可能就找不到,就很难查到在一星期内到底采用了什么服务措施查到的,因为时间已经过去了。像网易也是采用此类方法。
还有是验证码现在比较流行,例如图形、数字验证,这里是一个汉字识别的,你得打这个鸟字,从里面挑出来(图)。还有是与游戏相关的,比如梦幻的(图),你要挑出来与你相同的角色,说实话我就没找出来,我都查不出来,外挂就很难处理了。目前图样识别技术非常完善,比如汉字包括一些英文字母就更不用说了,对图象进行一定程度的扭曲都可以转换过来。还有一种是影响游戏的正常操作,比如这个他要找出跟这个角色一样的,我就不找出来了,这是我最后一次不换人物。还有一种是如果处理不当会造成漏洞,比如以前有一个游戏,它会弹出码,弹出码的时候正在跟人家PK,这时候你一弹他就死了,所以一旦出现乱码就成无敌,就被外挂制造者利用了,就一直保持无敌状态。所以尽量不要做那种很容易被识别的,还要尽量保证你这个系统不要被人家恶意利用。验证码可以作为辅助检测手段,比如你发现游戏不正常以后再发,用其它手段发现不正常。我给整个游戏里面做一个外挂炸弹,我这个服务器不主动给外人发,但是你周围的人,他如果发现我就同时在什么地方,我发现你的动作很不连贯,或者我作为一个玩家我可以给另外一个玩家发送炸弹,这时候就会出现验证码之类的。
下面是敏感数据加密,这不是指协议上的加密,不是封包里面的加密,而是内部的数据加密系统。比如我加密的是游戏内部一些很敏感的东西,比如游戏帐号、密码、血量、金钱、坐标,我对这些东西进行加密有什么好处呢?比如就可以进行防盗号,我对密码进行加密之后,你用金山游侠之类的就查不出来。它的缺点是如果加密做得不好的话可能会被人家利用,比如游戏里面所有的敏感数据,像里面的关键数据都采用了同一套,因为不可能帐号采用一套,所有的这些敏感数据采用同一套数据,这样的话根据返回地就很容易找出各种敏感数据,包括HP、MP、密码。这些东西看起来虽然跟外挂关系不大,但是对游戏分析来说很重要。因为做外挂少不了对游戏分析,你如果要对这个游戏分析的话就需要分析各种数据的漏洞,如果把解密机制给瓦解的话,等于你需要被保护的数据全部正好被拿下来的,基本就把你里面的内部信息拿出来了。像这种内部加密系统主要是保护内码、防盗号码。
剩下的是服务器下发代码,反外挂的编码、代码是通过服务员动态下发的,跟服务器连接,这时候服务器才会把反外挂代码发下来。这是Server(图),这是客户端(图),Server发一些代码给客户端运行,它这个编码是用笼统的概念,首先它可以是可执行代码,服务端发下来一些可行的代码直接对接,或者是发送脚本代码,客户端有一个脚本引擎,拿这个脚本引擎服务器发的脚本必须解释,客户端必须把服务器发的脚本解释完以后进行必要的反馈。还有就是可执行文件,服务端发一个可执行文件让服务器执行。客户端一旦执行以后,就与客户端进行配合,如果执行不了的话,就无法进入游戏。这种东西可以说是比较流行或者说比较高级的技术。
我主要是讲一下服务器下发代码,它涉及到一些内容,包括很多技术,它下发的编码,你肯定要下发一些很重要的编码,我这个编码每次都处理过了,每次都是不一样的,客户端必须给我执行,不执行的话就不让进游戏。然后还有一些环境校验,一查内存代码不一样就反馈为错误信息,环境校验比较有用,可能查出类型也可以查出游戏的相关环境,有没有外挂,游戏本身是不是跑起来了。还有就是代码被放入动态内存,每次代码发下来以后不是放在固定的局部变量,而是动态内存,这是一个技巧,对分析人员来说很麻烦,因为每次分析这种编码就需要重新定位它的内存地址,当然也可以采用一些方法来避过,但也算是一种技巧,我这里讲的就是技巧。还有就是加入一些反调试、多线程、多进程等外壳技术,还有一些多线程,里面有两个线程代码,把这种代码发过来以后让客户端运行。尤其是脱机,这样的代码正确执行的话是很困难的。
下面是外挂的对应策略,这种东西听起来很高级,其实也很高级。一般来说,第一是使用虚拟机,你给我发来的编码,外挂里面自带虚拟机,把结果正确地计算,然后再反馈,这种虚拟机可以说是做得很高级的,首先它可以执行汇编语言,这也是虚拟机必备的功能。在编码里面如果加入对这个游戏的内存校验,脱机就不需要游戏内存,因为脱机是跟游戏无关的,在虚拟机里面必须得模拟出来游戏的环境,包括一些SAH,还有一些高端代码、高端内存全部模拟,像这个体系最出名的是盛大,像国内从技术来讲最强的是盛大。盛大的反外挂系统做得也是比较早,人也比较多。像他们开发的这种系统,加入了编码,不会是那种很简单的。包括一些APR统统可以模拟。这种东西有它的好处,但是开发比较复杂。
另外一种外挂应对策略是的直接调用。外挂可以以一些很特殊的方式让游戏去执行这种代码,然后他把反馈结果接收回来,我指的是脱机而不是内挂。外挂可以采用一些技巧,比如我发一个脚本,让游戏只是把这个脚本给我解释出来,其他的统统不要,解释出来以后把内容发给我,然后我脱机直接发给你。像这种反外挂系统的好处是反外挂的代码是动态下发的,比如今天我这个代码是这样的,明天我觉得不爽就改成另外一张,就不需要每次更新反外挂系统的时候还需要给其它系统,我需要先停一下服务器之类的,任何外挂出来以后我可以两小时之内搞定,主要一个特点,我搞定你之后服务器不需要重启,否认外挂每次一更新,反外挂一更新,就要重新换服务器。但是这种动态下发代码又不存在这种问题,因为它中间不需要关闭服务器。另外很重要一点,外挂就很难正确的执行。国内像盛大这种系统一发布就能跑起来的就有两家,现在应该还是有外挂的。像韩国的新游戏他们也是采用这样的系统,他们的下发代码的思路跟盛大是一样的,但是它的特点很容易被外挂执行,很容易被外挂给干掉。
这种系统的缺点是它的开发特别复杂,加大服务器、网络负担。像具体开发这种系统来说要考虑很多东西,它的代码是动态下发的,就需要保证一定的代码量,你的代码写得再精巧,再隐蔽、再高级,你只要是在五十或者一百以内,可能对一些简单的搞不定,但是对有些人来说五十台代码不算什么,五十台的代码到我这里差不多一个上午就完了,你必须得花大量的五百台、六百台。这也是反外挂的优点,外挂很难分析,但是有一点是加大了服务器的负担,每次一登录都要发五、六百台东西下来,对网络负担来说很严重。
这种技术目前来说盛大等都采用这种,它虽然没有完全杜绝但效果很好,至少可以打下来大部分外挂。你做外挂时间长了以后,或者你做病毒时间长了以后,做杀毒时间长了以后,比如你做反外挂时间长了以后肯定就知道我这套系统发出去以后有谁可以搞定,谁搞不定,然后你就很有针对性。
这个地方可以稍微说一下策略,像盛大采用的在国内来讲技术是比较先进的,但是国内另外一家网易,他的反外挂也做得很好,其实它主要是云峰网,云峰主要的能力是写代码,但是网易的产品,像梦幻西游、大话西游,做反外挂做得很不错,主要是策略而不是技术。同样是反外挂,如果策略做得好的话,虽然技术不好,但是我可以采用一些策略,让你的外挂没法放。举个例子,像云峰采用封号,它的封号也是有一定的行为的,它采用一些开发特别简单的技术,成本也很低,却达到了盛大这种开发很复杂,但效果也不一定见得非常好的效果。它打击外挂的策略成本很低,而达到了比较好的效果,虽然没有完全杜绝,但是从技术上来讲技术成本是很低的。
下面是一些非常规手段反外挂。可以把它理解为一些很猥琐的,也可以理解为策略。比如可以采用非常规的语言编程,举例来说,游戏里面的反关机,脱机的一个重点是登录,如果你做脱机连登录都进不去的话就很难跑起来。但是我登录这部分就可以采用一些非常规的编程语言,比如用Flash、java,搞这方面的人很少,韩国的游戏的登录是采用网页登录的,它从事实上进行了反外挂,网页登录脱机不会落。像java用的人比较少的,一般的人都是搞驱动,很少搞外挂的人是写java的,像Flash搞外挂的人也没有专门去搞Flash的。如果用这种非常规语言编程的话,对这种外挂开发人员来说他就无从下手,虽然技术本身很简单,但是他们没有碰到过,对他们来说是一种挑战。
另外一种是服务器检测数据库异常。这种检测手段在韩国用得比较多,它主要是直接查出漏洞,比如韩国很多游戏是直接查出用户里面哪个人,我发现你每天的收入,比如你正常情况下从一级可以升到四级,但是你使外挂的话我一看一天就从一级搞到三级去了你就不正常,我就直接停掉你,不管你是不是用外挂。另外一点,它的异常数据检测很多情况,比如可以检测经验,经验每天涨得过多,获得的游戏币过多,也可以认定你用外挂。然后在同一个数据库里面、同一个服务器或者同一个网吧、同一台电脑挂了一百个帐号,你这一百个帐号是同一个IP我认为你不正常,就可以把你IP停掉。这些是属于策略,这种策略虽然做起来很简单,但是很有效。
还有一种是策略限制,比如有些游戏的系统可以被外挂利用,比如有一些任务,做完之后给你奖励,这种任务很枯燥,比如送信任务,每天送信送十回,就很累,但是外挂的时候可以一天二十四小时送信,我为了防止你用外挂就直接把你送信次数减到十次,每天达到十次就不能送了。像这种情况在梦幻西游就体现得很敏感。在游戏里面一些策略、一些任务,包括一些经验来进行修正。这是属于策略性的。像QQ打击木马也是这样,除了在技术上进行打击之外,还采用一些其它的模型,效果还是比较好的。
下面是反外挂技术误解。加密算法越复杂越好?很多人认为加密做得越强就好,或者用一些比较隐蔽的算法,他认为算法用得越复杂越好,但其实不是这样。并不是说算法越复杂越好,自己开发一套是不现实的,凡是复杂的算法都是公开的。你用这种算法以后,虽然加密很复杂,但是去网上一搜就搞下来了。你用这种复杂的加密算法降低了游戏的可玩性。
还有一个问题是越是强保护性壳越好?我们做外挂,做游戏,游戏之后中木马病毒,对一个做木马的来说它是没有办法采用强保护性壳,这是受木马本身的特征所限制的,但是对游戏就不是这样,游戏可以采用一些比较高级的私家壳,越是强的壳研究的人越多,拿到脚本一跑就脱掉了。
另外,壳越强稳定性越差,比如加了驱动以后稳定性很差,对游戏本身的玩家是一种限制。但是壳用得好,像定做的并且用得比较稳定,壳的选择,一方面要选择一些很强的,这是肯定的。另外,要保证它的稳定。
另外,越是成熟的反外挂系统越好吗?其实它有它自己的好处,但是成熟的反外挂系统对公司来说,一般的公司承受不起,比如每年要给多少钱,运营都受它的控制,反外挂增加了你的运营成本,另外,越是成熟出名的反外挂系统越被人研究得多。例如NP,但是NP本身有很多漏洞。因为它里面有500道串口,包括一些别的漏洞,像外挂,我经常说游戏本身就是一个堡垒,不管是把这个门做得再好,用金装门或者用铁门,把锁加得特别重,但是你把门搞得再先进,却没有发现别人已经从窗户里跳进来了,比如像NP对游戏进行保护,比如内挂,完全可以做得让你查不出来,你这个NP可以对内存进行校验,对简单的外挂开发人员很难做到,但是在不修改程序的情况下做代码也是很正常的,你对游戏进行保护我就不破代码。然后你查我进程、查我的窗口,我也可以采用一些操作系统的漏洞让你没有权限。比如二围空间的虫子永远看不见上围空间的虫子在干什么。我虽然存在,但是你没那个权限查我,对你来说我是隐蔽的。所以这种情况下用NP,对这种外挂就没有办法。所以越成熟的反外挂系统不一定最好,比如你是一个项目经理要选择反外挂系统,让你去选IPO的、选NP的或者自己研发的,你不能说看到人家都选择NP你也上NP的,上了NP之后没过几天就被人家搞定了,那你就白投入了。
我这里讲一道很简单的反外挂系统,它的目标一是防止游戏明文被截获;因为做外挂的人截获不了的话就没办法做外挂。还有就是实现简单、占用资源少,不会产生任何负担。再就是系统独立,与游戏低耦合。另外一点是可以防脱机、查内挂。这套系统实现,我只是把思路说一下,首先实现服务端下发代码,每次玩家登录服务器,加密算法都是由服务器动态下发下来的。另外,加密算法每次更换,这个很简单。另外我这个服务器代码里面有内存校验,我要随机对内存进行抽查。另外,客户端无解密函数。这几点都很容易做到。
做这么几点就可以达到我上面说的目的,首先纺织游戏明文被截获。我说的加密代码只是针对加密算法而不是减密算法。比如我要对算法那部分进行Hook掉,我动态代码有一个内存验证,如果是hook的话我就查出来。另外一点,我这个系统代码是从下发来的,我每次更新,这个游戏不需要更新。另外一点,不存在减密算法,这样的好处是加密和减密算法不是同一个,一两句话我也解释不清,但如果是加密算法和减密算法采用不同的算法的话,在配合某些手段,它的效果会非常好,比如加密算法,他就没法利用减密函数进行减密。这只是一种思路,不是说拿出去以后没人搞得定,但是会很有效。
下面我说一下游戏漏洞。有几个比较常见的漏洞,比如QQ飞车为什么会产生穿墙呢,是因为服务端没有对角色所在的位置进行障碍判断。我对客户端直接发了一个穿墙的信息,服务器不进行判断而直接认可,那就穿墙了。像攻击加速这些都是很简单的。还有复制,主要是利用对物品处理的时间延迟,服务器对物品的操作有一个时间延迟,我说我是快速对某一种物品进行操作,如果网络不好的话就会造成延迟,而且这个延迟如果处理不好的话就会对物品产生一些复制或者其它的不可测的事情。刷墙漏洞有很多方式,外挂不停地给攻击发送任务,某个任务成功地封装就刷墙了。
漏洞的防御,比如我这里写了服务端代码(图),服务端接受玩家的请求。这个脚本存在什么问题呢?你可以先判断一下,给他宝珠以前判断一下这个任务是不是完成了,如果这个任务在进行中,你才给他宝珠,其他情况下你不要给他,这样他每次在发送接收宝珠的时候就不用去管它了。但它还存在一个什么问题?在检测任务的时候首先要接触这个任务,如果玩家的请求是接收任务,直接把任务就给他了。这种出现什么问题呢?它如果不断给服务端发请求,告诉服务端我要接收任务,客户端每次说我要接收任务,客户端就把任务给他,就会产生上面的接收宝珠的情况,你看看它是不是做过这个任务,如果没有做过才给他,如果做了就不要给他。这种逻辑除了任务的产生,首先是服务器产生的,其次像服务器很多这种逻辑,你要有一个处理不对就可能全盘被利用了。比如说游戏服务器一般不是一个人选,有很多人选,就不能保证每个人写代码都很优秀,只要一个人写代码不对,游戏BUG就会被利用。
现场问答:
问:请问你对ACG游戏和迷你游戏这种休闲类的小游戏有什么看法,如果长时间的话肯定是检测不到的,比如描杀怪物?
牛博威:是因为你把描杀怪物的任务权给他了。把好几套算法都加上,虽然你可以做,但就很难去做。你只要把这个怪物控制权给客户端,就等于给了外挂。
问:就是说对动态代码没有什么效果了?
牛博威:很难避免。
问:QQ游戏里面的小游戏,我模拟按键我截图,根据图样判断?
牛博威:一般来说做这种外挂的人要散发出去,不可以说做了这种东西自己应用,他既然要散发出去你可以把它的外挂拿出来,查它的进程、特征码。像这种外挂是很好对付的,我可以不客气地说做这种外挂的人他们水平很低。
问:就是因为他们水平低所以很难对付?
牛博威:他们做很多。比如对截屏进行一些处理,进行一些Hook,例如验证码之类的。
问:你好,刚才听到牛博士谈到天晴的反外挂,能不能介绍一下?天晴是如何做这一块的,刚才你说它做得比较成功。
牛博威:它的技术含量其实很低,但是它每次检测很隐蔽,比如星期一检测一次,检测以后发现谁用了外挂放到数据库里面先不动,一星期之后把游戏代码去掉,把谁使用了外挂全部封掉,这种情况下做外挂的人就发现不出才一个星期就被人家封了,做外挂的人不可能只用一个数据,他把策略靠后。
问:如果真想解决外挂,如果所有的东西都通过服务器来运行怎么解决?魔兽世界你有没有分析过?
牛博威:没有分析过。
问:我对它的了解,它的结构包括所有的运算是全部在服务器端?这种可以防止漏洞,真的有外挂也是那种案件经营形式的,因为没办法控制语言的东西。玩家是必须得登录到页面进行点击的。但外挂只能模拟成玩家的点击。虽然可以模拟出一个外挂的,但是你在服务器端的运行依然要符合规则,我相信外挂能快速做一些事情。
牛博威:不是,像韩国的游戏机市场特别火爆,他们的要求是外挂要跟人一样,我用你们的外挂就是跟人一样,你啥都跟人的一样,就是你游戏干什么我也做什么,打怪兽的时候你打一个怪,人工打的时候可以三分钟发一次,怪物少,那你的外挂也是三分钟发一次,全部跟游戏一样。
问:那等于是机械上面的控制了,对游戏公司来说没有大的损失?我们看来对游戏公司来说,点卡什么的都还是在消耗状态。因为我主要在想这个问题,因为你没有分析过魔兽世界,我想问问它在这方面的亮点,因为我看他他所有的运算都在服务器端,包括技能的释放都在服务器端进行运算。
牛博威:这可以防止漏洞但无法防止外挂,像魔兽它也是往客户端发。
问:我知道有外挂,但没有你说的那种很夸张的外挂。谢谢。
(一蓑烟雨论坛)
当前在线
『 我为壳狂 』版主
28870 主题
4691 积分
20835 坛币
1243 UB 热心
215 UF 邀请
6 yQ Team
[UpK] 阅读权限
200 性别
男 来自
UpK软件安全社区 在线时间
12665 小时 注册时间
2004-10-9 最后登录
2011-8-1 UID
28870 主题
4691 坛币
1243 UB 热心
215 UF 在线时间
12665 小时 注册时间
2004-10-9 最后登录
2011-8-1 发表于 2008-3-19 09:12
独家对话反盗号专家:做高级的木马得有天赋
腾讯科技讯
3月18日消息,在今日举行的
络安全技术峰会上,Windows底层和反木马方面专家张翼与腾讯科技展开独家对话,张翼表示,木马与反木马的斗争永远不会停止,除了企业要做好防木马工作外,用户个人也要加强防护意识。
张翼同时指出,随着信息在互联网上的公开,黑客已经不再像以前那么高深,大众化的木马制造已经非常简单,没有任何技术含量,人人都可以制作,但要做上层次的木马还是要有天赋。
以下为张冀对腾讯科技对话实录:
问:现在网游盗号情况有多严重?
张冀:很普遍,到处都有。
问:现在很多大公司都花很多力气投入防御为什么还是防不住?
张冀:从两个角度,一是用户,比如刚才盛大的朋友也讲到,原来在魔兽世界措施也是非常好的,但是发现动态Token卡,有些用户用手机把动态Token卡拍成照片放到电脑,因为一张卡不愿意随时带在身上,所以人家找到那个图片,就等于动态Token卡没有了。另外一个因素,世界上没有绝对的安全,安全系数在提升,但是没有到绝对的。比如所谓的黑客,他对这些东西比较了解,他就能针对这个东西专门研究。其实从理论上可以做到非常安全,比如通过交互式的。但是毕竟是做产品,而且安全是游戏厂商设计的,它并不是第三方的安全,他可能不太方便做成一个很全面的独立出来的安全产品,从而也限制了他的安全防御的利用。
问:如果他和第三方综合起来做呢?
张冀:从安全软件的角度,从目前的角度来看,99%肯定能找得到,因为加入系统运营的话,我这个恶意程序和安全软件属于同一个权益商,我就可以进行破坏,或者比你更底层。我刚才讲的换一个角度,找一个脱离性能的系统,去找一个第三方途径,例如手机。因为木马都是到电脑上的,所以密码到了电脑上,电脑就变成非口径基,再怎么样提高安全,只能提高它的系数。
问:要防止木马就要找出一个脱离电脑的系统?
张冀:对,找一个可信的机器,电脑本身就是不可信的,现在有涉及到其它的挂马,例如U盘感染,文件格式的溢出,涉及的面很广,这种攻击措施比较新,所以平常的用户可能并不了解,所以他的机器上就很容易中
,他的电脑就非可信。
问:将来的防治会到什么程度?有没有可能真正防住木马?
张冀:比如
非常大,公司大他重视安全,投入产出比就比较高。如果小公司很注重安全,他没有那么大的投入。比如原来盛大也很重视,推出盛大密宝,这个东西没有一个绝对的概念,还是有人破译它。所以我们实时关注,一旦发现问题,有新的东西我们就立马跟上,对于安全很重视,较大地投入,应该能做得比较好。
问:有没有木马与反木马之间的较量有意思的故事,在一个木马程序上制造方和反制造方的故事你经历过吗?比如在一个木马上双方经过好多的较量、对峙。
张冀:攻和防是时刻存在的。
问:要造木马是不是还要也点灵感?
张冀:如果大众化的、现有资料已经很充足的,这个层次上的木马谁都可以做。但是有创新性,做上层次的木马还是要有天赋。(文/王恩斌)
(一蓑烟雨论坛)
当前在线
『 我为壳狂 』版主
28870 主题
4691 积分
20835 坛币
1243 UB 热心
215 UF 邀请
6 yQ Team
[UpK] 阅读权限
200 性别
男 来自
UpK软件安全社区 在线时间
12665 小时 注册时间
2004-10-9 最后登录
2011-8-1 UID
28870 主题
4691 坛币
1243 UB 热心
215 UF 在线时间
12665 小时 注册时间
2004-10-9 最后登录
2011-8-1 发表于 2008-3-19 09:13
郑歆炜:企业网络安全维护要减少人的因素
游戏领域安全专家郑歆炜(腾讯科技摄)
腾讯科技讯
3月18日消息,在今日举行的
络安全技术峰会上,游戏领域安全专家郑歆炜指出,如果企业网络安全完全依赖人员个人的高素质,会有风险过大。企业不能依靠人,要建立起结构体系和规范制度。
以下为郑歆炜讲演实录:
郑歆炜:运维和安全可能是两个分开的话题,我想就这两个技术做一个随想,也是和大家探讨,探讨这几年我在运维当中我的想法和困惑。
我先讲一个故事,有一个服务***网通知到无法访问,系统管理员确认是由于拒绝服务攻击导致服务器无法提供服务。于是系统管理员联系了IDC负责人,通报了情况后,要求IDC负责人和电信进行协调,共同防御进攻。这个在大家看来是一个很正常的流程,应该没有任何问题。但我们再看下面的,系统管理员也没有闲着,他在等待的时候对数据包进行了分析,发现了是对域名发起的攻击,系统管理员把公司里面所有可以用的应用补丁
中的服务器选出来,大概选了三十台,然后把官方网站同步到这三十台服务器上,同时将只有两台服务器的域名解析到分布在全国各地的补丁服务器上。攻击虽然还在持续,但是网站已经可以访问。
这个系统管理员做了一件非常了不起的事情,他不但分析了攻击,而且做出了正确的响应。这件事情发生在我刚入公司的时候我的同事做的。我在想可能拿到现在,如果系统管理员能做到这样的响应情况是一个非常优秀的系统管理员。但那时候就已经做到了。现在看来这件事情做得非常漂亮,包括防御的过程和选择,还有应对措施都非常好。因为当时的系统是非常标准的,是完全一样的系统,优秀的个人素质,导致这件事情处置得非常迅速和果断。对于公司来说,这么快的响应解决,非常好,可以讲这个人是公司难得的人在。
我们再讲第二个故事,是另外一个管理员,这也是一个比较早期的故事,可能当时Windows管理员没有干什么事情,他每天也就是开关游戏,他只负责最简单的游戏服务开关,每天看服务状况,他从来不知道Windows服务器甚至还要打补丁或者干别的事情,但是过了几年之后他换了一件工作,同样是做Windows管理员但却发现了很多问题,Windows系统要打补丁了,他觉得很奇怪,为什么以前不需要打补丁而现在需要打补丁。因为原来公司是做整体安全保护的,他们所有的服务器都是通过一个整体来保护,就算没有补丁也可以保证服务器的安全,而且服务器是做内网管理,外网连接全部中断,所以他在管理的时候根本没有遇见过任何网络中断或者外网访问混乱的问题。
这个故事告诉我们什么呢?优秀的基础体系结果设计,配合整体安全策略,实现基础安全。让维护和安全更容易,更有效。
来看第三个故事,就像第一个人一样,他不仅擅长系统管理、擅长网络安全,而且它的部门里面同样都是拥有各自专长的擅长网络管理和网络安全,当然他们的领导也是技术专家,运营部门撑起了公司数千台服务器,大概四个人,效率高,而且没有出现过任何网络问题,因为三个人都是网络安全高手,系统管理员对网络的解决比网络部可能更有效,他们更快地解决问题。所以公司也没必要设立安全部门了,运维部门就解决了所有的问题。过了几年以后,他的领导走了又招了一位领导,但是其他三个会觉得环境变了也觉得没什么意思就走了,其中有个人就离职了,他们发现接手的人在各种方面都不如自己,也跟自己配合不如原来那么默契了,于是大家相继离职了,这时候公司反而出现一个问题,就是没有人能做以前工作的事情,整个部门全部重新设定,包括重新设计了系统管理部、网络安全部。当然,这个故事说明了什么问题呢?这个公司过度依赖人,把所有事情都集中于人,最后导致出现了致命的问题,带来一个非常致命的问题是人和整体之间没有处理好,最后人离开了没办法要解决剩下的问题只能重新招人,但重新招的人没办法满足需求,只好重建系统。
这三个故事,系统维护人员高素质对运维安全体系帮助非常大。一个优秀的系统管理员,大家看到开始的那位系统管理员他解决问题非常快,而且非常有效,这样的话在一个公司里面如果都是这样的精兵强将的话也许安全问题就解决了,不会也这么多黑客。
故事二就说明一个良好的基础结构体系设计,对整个公司安全风险和维护人员的工作难度都会带来很多好处,而且能让整个公司的运作更良好。
故事三说明一个过于依赖人员素质的运维体系是不可取的。
我们现在面临的三个问题。运维体系,因为我把运维和安全体系是分开的两个部分,这个部分运维体系面临的问题,一个是系统的多样化和应用的多样化,人员的更替频繁。像我们讲的Windows、Linux系统等更多系统,但这些多样的问题带来管理上更麻烦,应用上也是。第三个问题是人员更替,因为现在信息流通了,所有的人员想换工作很容易,公司要不停地招人,接替。我这几年发现我的同事换得很快,经常有人离职有人接手。我想应该是个普遍现象。
网络部分,我们看现在的系统网络,首先应用的多样化就带来网络部分的复杂,因为各种各样的应用,开各种各样的端口让管理更麻烦。还有就是各种协议的问题,早上说了Web方面,那可见其它部分的问题就更多了,现在网络部分如何开放这些协议都带来了很严重的问题。
现在我们看安全体系所面临的问题,一是太多的应用所带来的安全问题。因为公司越大,各种各样的运营东西也就越来越多,做得多错得多,不是说都错了,但是错的概率大了很多。很多公司过快发展,很多公司因为过多注重业务的发展,导致了安全出现断层,很多时候很多公司做了很大的业务,但是没有安全部门或者安全部门刚刚开始筹建,就带来了安全的断层。还有就是重实现忽视安全,在我的职业生涯中,很多时候遇见问题是安全提出的问题被业务部门所拒绝,因为业务部门要求我们的业务是给公司带来盈利的,你必须得保证业务先行,而忽视了安全。这样的话很多时候安全都退到后面一步。
人员安全意识不足。我对这几年的看法,我觉得现在计算机越来越容易用了,是人都可以用计算机,是一个必备的资源,但是这些人的安全意识并没有达到一定程度,反而不是去追求高度,而是一些最基础的安全,这反而是我们现在面临的最大问题。
攻击方式多样。现在只要翻几个网页就可以攻击,而且攻击多样化对防守的一方要求更高。各种各样的攻击,安全人员首先要熟悉这些攻击才可以防御这些攻击,但是这样的话对安全人员的要求就比以前提高很多,也许以前只要补补漏洞,现在还要熟悉各种各样的安全技能。
现在我提几个我对运维体系的看法。第一、标准化。有三个解释:***、系统配置、应用编译。标准化为什么好?为什么我把这个放在第一条呢?因为我认为标准化可以给公司带来很多好处。因为所有的系统让你管起来方便,而且可以保证配置的安全,这样也避免了误配置导致的安全问题。还有就是应用编译,我们都知道现在是受动编译的,各有各的爱好,很多系统管理员喜欢编译一套自己的东西,但是这样过多地个人发挥导致管理上的麻烦,这些如果能规范起来,保证系统和运营的迁移都有很多好处,我觉得是值得推广的事情。
网络划分,我在这里分为两块,一是网络横向划分,就是保证网络纵深的问题,我们在后台中间件的这些地方保证向后发起连接的内网,就是我们向服务器后面看,所要保证的安全,如果一个黑客攻击了前台的服务器,他需要时间渗透到后边的服务器,我们的纵深如果太浅的话,他直接获得了后台DB地址,可能留给我们响应的时间就很短,如果能很好地横向划分就会给我们带来很好的防守时间,在预警上我们可以有更多时间去检查入侵。
一是网络纵向划分,任何一台服务器肯定都有网段,肯定很多服务器在一个网段。根据应用划分这些网络,可能游戏服务器都在一个网段里面,Web服务器都在一个网段里,这样就会带来一个好处,一台服务器在防火墙做策略的时候可以做到统一化,必然的话很多应用稀奇古怪的防火墙开到最后跟没上是一个样。
我对此做的一点解释,标准化系统可以让快速部署,让我们所有的系统都更具有弹性,在第一个故事里我们就可以看到,如果没有标准化的部署,这个系统管理员不可能快速地利用这些服务器进行部署,这样让一个快速迁移和应用合并或后续管理员的接手都有好处,如果实现了标准化就可以实现这些好处。
还有就是网络划分,我对内外网分离这件事情很难说,虽然我在这里写了,但每个公司都有每个公司的应用,不可能把内外网完全分离,但我觉得这是一个好的方式,如果有可能的话这样做可以让系统使用方面有更多的灵活性,而且根据应用划分网络,让网络有了层次,可以直接提高安全系数,可以讲我们不做任何事情,但是安全已经能上一个很高的水平。
安全体系方面我列了两点,要讲安全这里都是专家,我就不班门弄斧,说了两点。包括我对一些公司的检查和情况的发现,包括一些交流,我发现人员的确是安全的根本,但是安全实现必须得依靠这些人,假如每个公司里面每个人都知道自己系统应该怎么做就安全,这样的话公司就会实现很好的安全。但是现在问题是我们希望安全成为每个人的自觉意识,如果每个人都自觉地遵守就会很安全,不然的话就会带来很多问题,安全部每天累得半死最后说不定哪天还被黑了。
再就是制度和自觉结合,我觉得有的时候安全单靠个人的自觉不能实现绝对的问题,如果所有人都自觉但就不需要法律了,我们还有法律就说明有些人还不自觉。唯一就是制度上面让这些不自觉的人遵守自觉人遵守的东西。所以制度保证了,每个人都明确自己的职责和他们所需要做的事情,这样他们也明白自己该做什么、不该做什么。制度和自觉配合起来,我觉得才能实现最好的安全体系,不然的话,一些人光是自己在实现安全,但是一帮人在那里做破坏安全的事情,最后这个体系也是崩溃的,哪怕做得再多,可能最终一个小损失就会带来很大的问题。
最后我们再来看一个案例,这是一个很简单的结构,用户在这里访问Internet,有一些应用服务器、一些DB,还有Web系统,通过互联网访问,管理这些机器。这个结构是一个非常普通的结构,也是很多公司最开始都是这样的结构,这个体系的实现也非常简单,通过应用上的程序开发来保证传输的安全。通过一套统一系统,部署更简单,我们更规范地部署,因为毕竟简单,系统也能快速地检查。
这里面的安全上的特点,它们是依靠每台机器来管理这些,通过一套管理系统来部署这些安全策略。安全操作就是通过管理系统来规范这些策略和做法来规范这些体系。安全因为毕竟是互联网上服务器全是没有防火墙保护的,就通过安全制度的执行检查,去检查安全制度的执行,形成一个循环,这是一个最简单的安全案例。
这个案例的成功点,简单的有效安全体系,当然就实现简单,使用简单,和承担风险相比,代价较低也容易实现和维护。简单有时候也是一种优点,实现这么简单的体系,使用起来简单,不用招很多很高级别的管理员,不用担很大的风险,因为相对来说实现的简单,承担的风险也相对可以接受,因为代价的低要承担的风险也会多一点,但是对比起来也是比较简单的。系统建立成本低,基本上没有什么特别的东西,都是最基本的,必须采购。人员培养简单,基本的培训就能胜任系统维护管理员。
这个案例的失败点,安全被分割,每个部分都是独立,造成安全过于孤立,容易造成单个部分的损失。一旦扩大到几千台服务器,承担的代价就非常大,安全部门对这些问题的保护经常会有单个部分的损失。
我们来看第二个案例,这个案例比较复杂(图)。首先,用户访问互联网,但是他前面这条曲线我用虚线表示了,这个地方其实有一道防火墙,但不是真正意义上的防火墙,所有的访问都通过这条策略过滤后再访问游戏服务器和Web Sever,在这道服务器背后也有一套安全策略才能访问到后台的DB和主机,这时候这些管理人员是通过一台防火墙拨通***之后,登录直接访问内网然后来实现管理这些服务器的,可以讲管理员不通过外网来管理服务器。
我们看看这个体系的特点,网络部分采用了大内网结构,所有的机器都在一个内网里面,逻辑上都在一个内网里面,但是可能有些地方被隔断。ACL保护外网服务器,节约了宝贵的防火墙资源,保护范围广,几乎所有机器都可以实现ACL保护。再就是VLAN策略,这些中间的曲线就是VLAN(图)的划分,这中间可能也有各自的安全策略来保护是否能访问。这样的话VLAN就严格了各个运营体系的区域划分。这样就相当于船的隔仓,破了一个仓也不会进入水而危及到边上。
系统部分特点,***配置标准化,良好的系统配置规范,标准化所有系统。系统通用化,系统标准化带来系统应用的通用化,因为标准化的系统能让迁移更安全。
我们来看一下安全部分,这个系统就是整体安全,所有服务器受到统一策略保护,这些安全策略检查也非常方便,因为这些策略都是交换机上的。再就是实现安全策略代价小,不需要在每台机上有策略。还有就是内网的划分非常细致,每个内网都是经过严格划分的,保证两个应用之间没有应用需求的话两个区域之间是不会连通的。内网间的通讯流量,保证了不需要的工具不可能通过VLAN。
管理网络部署,登录管理网络入口唯一,登录严格管理,人员权限划分,有了登录入口的唯一性,登录就可以严格检查,也可以划分人员的权限,因为有了VLAN的划分,完全可以做一套策略,不同的人有不同区域的访问。这个案例就是第一个系统管理员的故事,他们的人员素质非常好,有非常高的安全素质。这套系统的成功点可能就在于它的优秀的基础结构体系设计,因为一套系统如果设计成这样的体系的话,他首先考虑到所有的Windows服务器,所有的Windows服务器都没有补丁,没有安全策略依然可以很稳定,没有被入侵过,就是因为有了这套体系的保护,让安全有了良好的基础,他们可以很容易地实现安全。一开始就让整体安全有很高的层次、很高的门槛,大家跨过这个门槛时就已经保护了所有的服务器,实现起来也很简单,运维体系架构在这样的结构上,管理服务器去检查服务器,还有一些对服务器的操作方面都可以放宽很大的要求,不像以前的服务器可能要注意很多操作,但是有这些基础的保护的话,让很多操作都更简单了。
维护人员的高素质保障了体系思路的实现和执行,让这个体系发挥比较好的作用。但是这个体系的失败点就是内网实现代价太高,因为以这种模式的大内网,中国比较大的互联网公司实现内网,首先设备的成本就非常高,特别是跨机房之间的内网接通需要的设备成本非常高,还有就是南北问题解决困难,还有管理点的选择,在北方管理南方,就算是南北连通起来,访问起来也会非常慢。还有就是对人员的依赖度过高,因为所有的VLAN划分都是以人为基础,培养人的代价非常高。
这个失败点是我们以前团队当中遇到的问题,前期人员促进了发展,但是中后期过度依赖人员导致出现人员断层。虽然优秀的架构设计可以保留下来,但是人员造成的问题,对团队的继续发展造成了严重的问题。
我们做一些总结,从以上介绍两套系统中寻找成功点,剔除失败点。来构成一套较为理想的体系,大家仁者见仁,智者见智。
整体基础安全保护,重点在于ACL策略的保护,我个人对ACL策略也不是很清楚,但是我觉得这样的系统能让大家有个很好的门槛,我发现很多公司使用交换机的时候都是把它当做普通的路游设备,有这些功能往往起到事半功倍的效果,能用起来当然最好。
前期的架构和网络规划很重要,因为前期设计起来那么一套体系,我也待过很多公司,我遇到的很多问题是我们到一家公司发现很多问题,问题是我们怎么改造这套网络,我们有很多好想法、很多好计划,但是没办法实施,因为公司在运营,你不可能推倒这个架构建一个让自己觉得满意的系统,没有公司可以接受这样的体系。因为如果前期第一次设计得好的话能给后期代理很好的帮助。粮食的设计让系统拥有可以持续发展能力,因为现在机器已经是一个廉价的设备,已经不在乎多少台服务器。以前我记得我们在一起聊天的时候就讲了一个很好玩的故事,一个论坛一万人,另外一个论坛两万人,但是一万人的不可以实现,两万人的可以实现,我们就用两万人的。结构设计出来,对网络进行划分/分隔应用,可以保证应用部署的规范,如果能一直遵守这个策略,保证应用能很好地部署,这样的话也是非常好的,其实这也属于架构范畴。最后一条就是安全纵深,我觉得这里恐怕有很多渗透高手,没有纵深保护这些东西就很难实现,让黑客需要更多的时间去搜索我们的后台,这样的话我们才能让我们有足够的预警时间去阻断这个攻击。当然有些公司可能有更好的应用。
完善的规范制度。我觉得这对很多业务的促进是非常好的,因为体系的设计,技术员实现了,最终还是要检查修复的,不可能上去以后第二天就不管,这样的话需要系统自我修复和自我完善的能力,这必须得要求制度来做。
严格的检查完善机制。所有的事情必须得有力的执行,并且根据反馈不断完善。而这一条就需要管理层,运营层的理解和支持,因为很多时候是很多人对安全部门不理解、不支持,最后导致很多问题的出现。这就需要管理层对运维人员做一些制度或者规范上的支持,因为管理上的支持很多时候能让很多人理解。
下面开始讲我的主要想法,我觉得这个话的确说得很对(图),人员是一切的基础,没有一个好的人员什么事情都不用谈。同样,一个好的人员也可以让事情事半功倍。都是非常优秀的人才这样的话可能这个团队去干什么事情都很简单。每个团队的个人素质是最关键的,因为这个团队既然都优秀,就像木桶一样,最后一块短板可能是制约它发展的,所以每个人的素质是最关键的。就像我们需要建立一个非常优秀的团队,每个人都拥有高素质,这样这个团队一定能干出很多事情。
再往后面看,我们团队如果完全依赖人员个人的高素质,这显得风险过大,因为人是最不可靠的东西,因为毕竟服务器给它一加一肯定得出二,找个人的话可能不等于二了。我们不能依靠人,我们的团队需要依靠结构体系来规范制度,有人离开我们可以欢送他离开,再补充我们所需要的人,整个团队对人员的需求也不会很高。
对付黑客最好的办法也许就是所有人都成为黑客,这样世界上全是黑客的话,我相信就没有黑客了。所有人素质都非常好,整个团队整体能力得到成倍提高,并且个人能力让问题解决更快捷和安全,这同样也是一个团队最终的目标。
作为一个反方,过于依靠个人的能力的团队,存在很多问题,而且很容易存在人员断层,现在培养一个人非常难,我在跟我以前一个同事聊天的时候他现在是一个公司的CEO,他说他现在最大的问题就是每天在招人,每天培养成他所需要的,但他突然发现他把人员培养好之后已经没力气做事情。我们不如反过来想想,我们只要有一套好的架构体系和完善制度规范,我们这个团队里面就不需要人员,也不需要人员的素质,我们只需要一些普通人员就能支撑公司的运转。当然这是正反两方的意见,不知道大家看到这个观点怎么想,我觉得有的时候我自己也很矛盾,因为毕竟一个高素质的团队大家都是好手自己在一起交流、工作环境都会好。但是这样又带来问题,公司不希望完全依赖人,把鸡蛋全部放在一个篮子里,这样太危险了。这是相对矛盾的问题。
大家都希望自己团队的团员都很好,就像打篮球一样,都希望每个队员是乔丹。但我们又会存在另外一个问题,我们也不愿意建立起来今天走了一个人我们公司就要损失很多的地步,我们更希望是比较完整的体系,我们有一套体系随便找一个人来,我们公司的系统就可以正常运营。
如何平衡这两方?如何建立起一个不依赖高素质人员组成的优秀运维和安全体系,案例一就能满足我们的需求,简单的系统,简单的人,找个网吧管理员就能做好,他们每天只需要检查这些服务器在不在。当然这个体系运维起来让问题分布了,相对来说,损失一个区域对公司来说打击不是很大,在我们能承受的范围内还是可以承受的,虽然安全事件会很多。这的确降低了人员要求,也许招一个人就可以管理这套系统。
案例二是一个优秀体系、优秀团队,体系建立起来要花很大的代价,要花很多人的努力才能建立起这个完善的体系,但是这样的话让后面的人很轻松,这个体系建立起来之后,从2000年到后面几年,就只有一次被入侵的事件,而且那时候所有的Windows机器都是不打补丁,居然能保证这样的成绩,还是比较骄傲的一件事情。
我说一下我自己的感受,我在这样的一个团队里,我每天在想的事情就是我的周围的人为什么安全素质不能更提高一点,每天想的就是这个问题。然后我在这个团队也待过,我想的问题就是每天能不走人,因为走一个人损失非常大,而且阵痛要很长一段时间才能消失。跟大家看到前面的问题也有点相似,大家如果在这中间找一个很好的平衡,既有良好的安全素质又有良好的安全体系,也许这是个问题吧,我不知道是不是哲学问题,反正我是无法解释的。
(一蓑烟雨论坛)
当前在线
『 我为壳狂 』版主
28870 主题
4691 积分
20835 坛币
1243 UB 热心
215 UF 邀请
6 yQ Team
[UpK] 阅读权限
200 性别
男 来自
UpK软件安全社区 在线时间
12665 小时 注册时间
2004-10-9 最后登录
2011-8-1 UID
28870 主题
4691 坛币
1243 UB 热心
215 UF 在线时间
12665 小时 注册时间
2004-10-9 最后登录
2011-8-1 发表于 2008-3-19 09:15
张冀:跳出PC局限用手机授权防御木马
Windows底层和反木马专家张冀(腾讯科技摄)
腾讯科技讯
3月18日消息,在今日举行的
络安全技术峰会上,Windows底层和反木马方面专家张冀指出,随着信息的公开,木马的生成越加容易,越加泛滥,尽管企业做出最大努力还是很难保证系统不被攻克。如果企业可以跳出不安全的PC端上的研发,通过更安全的手机进行授权防御,或将可以解决木马泛滥的问题。
以下是文字实录:
张冀:大家好!首先讲讲网游木马常用攻击技术。第二,讲讲从开发商的角度,以较地的成本实现防御网游木马的策略。首先是键盘记录,所谓的键盘记录是在在键盘输入的时候木马会把你的键盘输入的信息记录下来,网上流传最广、最通俗的方法就是***全局消息钩子,从而窃取密码。但是从2006年起主动防御的游行,原来消息钩子这种进入密码的方法用得比较多,比如卡巴斯基这种主动防御就仿用这个。后来逐步地有一些黑客发掘出以前使用的比较少的被厂商所忽视的一种方法,例如图片上举到的这些(图)。
前面几个常见的全局消息钩子及后面几种方法,是从用户态实现的。原始输出设备用它来窃取密码,这也是属于用户端的。后面我提到的所谓的Inline Hook是广义的,就是我进行挂机的时候可以在Win3上挂,也可以在Win0下挂。我的hook可以挂在自己的游戏程序里面,从而获取密码,也可以深入到回叫函数。
第二部分是内存读取。用户输入密码后,通常情况下密码没有经过处理的话,有一段时间用户输入的密码会以明文的形式存放在内存中,包括登录游戏后,有一个游戏的人物信息,基本上这些信息都可以从游戏进程的内存中读取。
第三是星号密码获取以及缓存密码,比如在QQ或MSN上输入密码的时候,可以选择记录密码的情况。
下面讲到浏览器插件,是主要用于获取和IE相关的,突破HTPS,在你输入之后,就可以获取在IE里面的输入方的密码信息。
来看张图片,小区域精确截图(图),这种方法可以应对许多种网游的保护措施,先***一个全局鼠标,对你鼠标点击的时候,比如鼠标点击这边,事先算一下你的按纽的像素,把边长除以二,以鼠标点击的点为正方形的中心,从而以这个点截取一个正方形,面积最大的就是我们所要的密码信息。小区域精确截图的方法和图象识别,从而可以把图象信息直接转化为字符。如果说比较复杂,图象识别不了的话,黑客们常使用的方法就是发邮件,因为发邮件是可以以AHTTMAIL的方式,从而可以把图片嵌在里面,黑客收到信的时候,看密码就一目了然。虽然是截取的图,但是也能很清楚地看到。
除了刚才讲的这些,下面还有应用得比较广的,例如封包截取或者协议分析,从协议的角度分析人物信息、用户名、密码。现在还是有一些比较厉害的人可以通过调试,逆向工程,结合ARP欺骗,因为对于非对称信息加密的话,传统的破解方法比较困难。但是在局域网里面可以结合ARP欺骗、伪造,实现相应的效果。基本上现在的木马在对付非对称信息的时候基本上是采用欺骗的方法。
还有一些其他技术,比如一些猥琐方法,谈技术含量比较低,但还是有效果。举一个例子,很久之前人家想到QQ密码,他自己写一个界面和QQ基本上差不多的,然后输入之后,再把真正的QQ进程运营起来。这是被人鄙视的方法,要钻空子的话还是比较多的。几年前盛大对安全很重视,那时候推出的盛大密宝,但它那种对于真正想窃取的人也是形同虚设,但是那个可能比较困难,或者还需要入侵它的服务器,把相应的算法搞清楚。这是比较困难的,但是用得比较多的,现在很容易实现的就比如这张图(图),我们后面讲的解决方案也会碰到类似的问题,对于盛大密宝使用的这些方法,我先简单地把盛大密宝的使用过程讲一下。
在输入用户名、密码后,它会又出现一个对话框,盛大密宝是以一分钟为间隔,当然我这说是的是几年前,最近的我没看,当然也是大同
小异。以一分钟为单位,有一个函数,那个函数有两个变量,盛大密宝的序列号做了变量增量,还有就是限制了时间,以一分钟为单位,会随机生成六位数,但是登录之后游戏里面就会随机抽取三位,请你输入盛大密宝,所谓盛大密宝就像电脑,中间有一个写字屏,以一分钟为单位,按照它的算法随机生成六位数,游戏的程序比如说请输入第一位、第三位、第四位,从六位数里面选三位数,让你输入第几,这是游戏随机的。以我们常人的角度看来就很安全,安全性很高。但是所谓的黑客他也很猥琐,他就是钻空子,原理就是这样(图)。
比如这里有两台机器,但是这台机器上面已经定了相关的网游密码,已经知道它的初次登录及常规的用户名、密码,假设这个人是黑客,黑客就是以他的用户名、密码登录,但是他在输入他自己用户名和密码的时候已经被木马程序点确定的时候在输入框里面替换掉的,把这个用户名、密码替换成他的另外一个号,这个号肯定是新申请的号,因为两个号是不能同时上的。他在输入自己的用户名、密码的时候其实已经变成另外一个人的帐号了。他进去之后会出现一个框,就是请输入比如第一位、第三位、第四位的六位数。从六位里面选三位的数字是随机的,肯定两个位都是不一样的,游戏程序比如说请输入六位数里面的第四位、五位、六位,我要求输出的密宝里面输入四、五、六,点完发送,正常看来是一、四、五,但是如果我现在想到达的话,我把四、五、六的消息通过相当于我们控制的木马在他机器上,我们的木马收到四、五、六位数字的时候,当他进入要输入密宝信息框子的时候,不管它是提示一、四、五,我们木马都会把要求输入的位数换成四、五、六,他所输入的密报信息的位置就是四、五、六,他输入之后木马就会把这个信息传到控制端,从而黑客就获得了他进入游戏所需要的密宝随机生成信息,从而进入游戏。
因为黑客进入游戏之后防止他再重新进入,发现帐号正在使用,可以在我们的木马端做一些手脚,比如说在两、三分钟之内让他上不了网,等他看看是否有一些值钱的装备或者游戏币,等处理完之后再让他上线,或者说有一些木马程序写得很暴力,就是把人家禁止,直接终止掉。
从内存读取的方法在木马里面也是使用得非常广泛的。在QQ稍微老一点的版本也是同样存在内存里面。现在有一些网上银行及游戏,他可能采用软键盘,我刚才说的对付软件盘通常有两种,一种是截图的方法,还有就是字符,类似于金山词霸的技术,是屏幕取词的,他要点密码的时候已经被屏幕取词获得密码的字符信息。我这里讲的是一些主流的,还有针对特定的情况有一些比较猥琐的方法。
刚才是稍微浅层次地分析了从功能的角度。现在开始讲怎样防御。我们做防御看的角度不一样,比如游戏开发商是从自己写游戏的角度。从第三方,比如卫星、卡巴斯基这种角度,或者从使用者、网络管理员,比如网络管理员怎么样从边界防火墙角度怎样进行相应的配置。现在我讲的主要侧重于游戏开发者的角度。从游戏开发商的角度和第三方***软件的防御角度还是有区别的。因为如果是游戏开发商的话,他做防御是要小型化,主要针对我自身的特性。但是从第三方安全的角度,例如卡巴7,最新的卡巴8版,用得比较频繁,从游戏开发商的角度是怎样做最少的事情取得自身游戏的安全性。
我们先从基于主机的角度谈一谈。因为我们刚才已经粗略地了解了网游木马的密码获取常用手段,然后把星号缓存密码通过加密,可以自定义窗口,从而使它用传统的方法获取不到密码。第二是防范按键记录,虽然这只是简简单单几个字,我是把涉及到的面讲一讲,同样是一个防范按键进入,可以做得很浅,但同样也可以做得很深。域网下面公开的资料越少,操作的系统提供的已有的接口比较少,需要自己做的比较多,所以可能难度系数比较大,从而写的人就比较少,安全性就提高了。但是随着防御越往底层做,虽然安全性提高了,但是稳定性也下降了。从理论上说,原理是正确的,也是可以做到的。但是因为这些东西是人开发的,由于水平、经验,尤其是开发时间的限制,没有那么多时间去测试,没有时间经过客户环境的考验,所以想推出一个产品级的、比较稳定的,时间会比较漫长。现在防范键盘记录的一个稍微比较底层的比较稳健的方法是挂一个回调,对兼容性是同时兼容USB的。
原来QQ采用的是虚拟键盘,当然虚拟键盘其实也是属于成本比较低从而也实现比较好的效果的一种方法。但我刚才说的类似于金山词霸屏幕取词,还有就是一定要随机,还有就是软键盘在屏幕上出现的位置最好也要随机,如果大键盘位置固定的话还是很容易被盗取。还有就是最好不用字符,用比较复杂的图片,图象解析就比较困难,一般只能用截屏。我们现在已经知道的键盘截取的方法挂个函数就可以防止截取。再就是从产品可用性的角度。比如QQ或者网游输入密码的时候,在他输入密码的一分钟之内对截屏禁用,这样对可用性也没有什么影响,如果像卡巴那种普通防御的话,普通用户可能反而选允许,从而没有效果。
还有一种是在网吧里比较盛行的,现在网吧基本上都是交换机的,基本上都是通过ARP欺骗的方法,就可以破取局域网里面其它机器的分包,如果通过定向格式能把网游的协议给轰击出的话,就可以破解获取整个局域网里所有使用游戏用户的信息。但是现在很多都是加个密的,尤其有一些MD比较好的,就采用类似于RIRS。对于网吧和局域网用户,防范ARP欺骗是很有必要的。按键记录、行为监控都会应用到相关的函数,行为监控对它所要应用到的函数进行限固。要建立一个可信机械,所谓的可信机就是在确保网络没有欺骗的情况下,确保其他机器尤其是网关和其它的对应关系,先把它存起来,然后进行判断。还有一个是比较简单的,就是用系统自带命令实现IP/MAC绑定的,但是对于Windows2000应该是没有用的,因为Windows2000没有检查数据包的属性是静态的还是动态的,虽然进行了绑定,但ARP的绑定功能在Windows2000里面形同虚设。所以比较好的还是类似于金山ARP防火墙及360ARP防火墙。但这已经作为第三方的产品。
去年用得比较多的是驱动,尤其是在挂SSDT的时候自身处理函数的判断有问题。在Ring0下也很严重,所以在行为监控的时候我们自己的处理函数也要写得很郑重。
这是属于轻量级的,与刚才说的互补的,也是比较有效的。比如用户已经装了卡巴斯基7.0或者卡巴斯基8.0,但是仿造常规的dll的注入,因为有些情况下要获取游戏信息的话,最好到它的进程空间里面去,所以有很多木马就把自己的dll先注入到你的游戏进程里面。现在其它的第三种安全软件也做得比较好了,定义了目录的优先级,Windows系统有一个系统是这样的,如果当没有写绝对路径只是相对路径,静态就用dll的话,优先的是在同目录下。比如在网游目录下释放一个dll,只要你的游戏程序起来了,木马的dll就注入到了进程里面。
还有就是保护自身程序不被修改,因为当安全软件越来越严格,可能盗号木马就修改你自身的程序,所以对游戏自身的保护也很重要。
刚才说的主动防御行为监控的方法可以在不需要特征码的情况下实现通用的防护,但是和传统的特征码的方法相结合的话,就可以取得更好的效果。而且自动更新有很重要,万一出现一个从来没有出现过的比较强的破解方法的话,应急小组知道这个情况,就立马对程序进行更新。所以Office的文件格式为什么比PDF的效果好,因为PDF强势自动更新,Office的是自己更新。
我们刚才是从游戏开发商的角度讲,所以他不可能就像卡巴那样面面俱到,无论你怎么防,哪怕限时,虽然说能够很大程度地防御,但是还是有漏过的地方。安全防护和黑客技术没有谁最厉害,你这个安全方案出现的话他可以钻你的空子,反正总会找到方法,所以我们看这些方法很难做到百分之百的安全,所以我们要换一角度,找一个可信度的。比如现在因为手机的普及,我任务绑定的话最好绑定PC以外的,因为木马程序是在机器当中,主要运用广义的Hook的强大思想,它都能搞定。所以我们从另外一个角度,脱离它,比如和手机绑定,如果修改密码的话,它就会收到一条短消息,如果确认修改密码请回复Y等类似途径。因为我是从来不玩网络游戏的,对虚拟物品的情形不是太清楚。但是印象中的应该是类似于基金。
再就是动态口令卡,就像工商银行的网上银行。还有类似的移动***,它有破解方案,就是我们刚才的这种方法(盛大密宝)。了解了这个方法就可以和刚才基于主机的方法相结合,动态口令卡它的算法健壮性和验证服务器安全性也很重要。
后面一种方法是类似于360,从主机层面讲,它总能钻空子,因为是从游戏开发商的角度,而且这个实现成本比较高。其实绑定手机对于游戏可以实现上线提醒,还有就是修改密码确认,手机的授权是最高的。
(一蓑烟雨论坛)
当前在线
『 我为壳狂 』版主
28870 主题
4691 积分
20835 坛币
1243 UB 热心
215 UF 邀请
6 yQ Team
[UpK] 阅读权限
200 性别
男 来自
UpK软件安全社区 在线时间
12665 小时 注册时间
2004-10-9 最后登录
2011-8-1 UID
28870 主题
4691 坛币
1243 UB 热心
215 UF 在线时间
12665 小时 注册时间
2004-10-9 最后登录
2011-8-1 发表于 2008-3-19 09:16
微软安全服务提供专家方兴:Web2.0安全研究
微软安全服务提供专家方兴发表演讲(腾讯科技摄)
腾讯科技讯
3月18日,由中国最大的互联网综合服务提供商腾讯发起和组织的互联网安全峰会在深圳召开。包括微软、盛大、新浪等互联网界各大巨头的技术专家,学者和专业人士参与了此次的交流。此次峰会是今年以来首场由中国互联网各顶尖企业共同参与的大型网络安全专业盛会。
微软安全服务提供专家方兴,在现场发表演讲。以下为文字实录:
先做个自我介绍,我叫方兴,以前主要关注的领域是操作系统安全漏洞的挖掘,但是现在我给大家做Web2.0的演讲,实际我是抱着学习的态度,因为
作为一个网络,在WEB方面的研究应该比我更多一些。首先我们来预览一下今天讲的主要内容。今天WEB时代的安全与发展风险,相对于以前WEB1.0的时代增加了哪些问题。其次我们来看待它的新的安全需求。最后我们来看它的整个安全发展情况。
为什么我这个题目叫新WEB时代而不用Web2.0呢?因为Web2.0只是一个开始,只是个时代发展的序幕,它最终的目的是要发展成为取代现代客户端计算的模式。以Web2.0为主要的运用成为了一种趋势。WEB运用逐渐向传统的应用领域渗透,比如我们经常去Google这种工具。它最终的发展目标要把INTERNET成为数据处理和储存中心,网络取代传统的OS成为应用的中心:网络既计算机。
在当前,安全是WEB发展的主要障碍之一,因为成为数据和存储处理中心,将会带来很大的安全风险。这里是一些统计数据(图),关于Web2.0目前的发展趋势。80%以上的基于网络的公司都投资在Web2.0当中来进行开发。在2007年,30%的客户都基于商业上的应用技术。预计到2008年,基于服务器服务构架的SOA会逐步朝着这种模式发展。
在新的WEB时代存在一些什么样的主要特征呢?这些特征又会给我们带来什么样的安全风险?首先,它跟传统的我们以前的WEB时代存在的区别:第一、处理和数据控制集中化,因为它最终目的是把所有的网络计算核心从客户端拿到网络端上。而以后客户机只扮演纯粹的浏览界面的角色,所有的核心数据、核心的处理全部都在网络端。第二、它的内容来源控制分散化,这是当前我们在Web2.0当中看到的最大趋势,以前的WEB1.0是以我为主,比如新浪作为一个新闻中心,我发布了,作为受众来说是被动接受,以前WEB1.0是核心控制的,但是在Web2.0我们发现草根阶级的应用上来了,它的各种内容不再依赖于核心端来发送,而是依赖于用户主动提供,比如你的博客,你的各种响应,更多的在内容上。从数据来源上它是分散化的。第三、应用网络化。它要蚕食掉现在桌面的应用,都用网络的方式来实现。在这一点上面,以前Google在这方面的表现是最具竞争性的,它想取代微软作为IT行业的霸主,这是它的策略,因为作为微软来说它核心的Windows操作系统已经占有了不可动摇的地位,想要动摇它的地位,只有把所有的应用逐步往网络上搬,用户就不再需要你的OS,不再需要你的操作系统,他就能真正地从微软的手上取代它的霸主地位。第四、内容聚合化,因为以前是单一的站点,但是随着未来的发展,信息是逐步交叉的,在Web2.0上更多地要对内容进行聚合,对不同内容信息来丰富页面,提供更强大的功能。这些特征都将带来新的安全风险。
在处理和数据控制集中化,比如我们的Gmail,随着Gmail,网络硬盘提供的数据越来越多,都是直接存在网络上,你的操作全部都是放在上面,它处理和数据控制形成了集中化。从需求因素来考虑,首先是数据和处理要集中化,成为计算中心。但是这样会导致一些问题,第一是敏感和隐私数据集中存在,比如以前大家上mail,商务信件都放在本机。但是现在用Gmail都懒得删除,反正用10G的硬盘,但是你会发现越来越多的敏感信息都放在网络,一旦你相关的邮件信息被黑客攻破,他们就会获得你的很敏感的商业信息。第二是应用越来越依赖网络,一旦网络出现故障,比如台海地震,中国很多的靠进出口加以贸易就会出现损失。再就是大量的海量数据会导致WEB服务器端构架复杂化。
从内容来源控制的分散化,它主要表现在博客观、ViKi上,需求性因素是给用户提供个性化的工作、用户分散化的需求。它会导致用户和内容是海量膨胀,比如新浪有几千万的博客,有几千万用户在上面,每天更新的博客文章数据都是海量增长的。但是,因为它开放了这种平台,导致用户可以在受信的平台上面导致用户在上面恶性钓鱼、放木马。新浪的Blog,新浪一个很好的公司肯定不会做,根本就不会想到它上面可能会存在木马,因为从域名上来看,是Blog.sina。
从应用网络化的表现,主要表现在WEBOS,WEB OFFICE,还有更多的相互串联,比如将翻译提交,有一些网上专门做子都应用的界面。它需求性的因素是因为网络要逐步取代传统的桌面,它要提供越来越多的应用。网络最后要取代传统的OS,成为计算中心的话,我们去观察一下以前Windows操作系统为什么能程度一代霸主,因为它承担的很多接口,用户可以去编写自己需要的程序,未来相信网络要逐步取代的话也会出现这种开发的平台,允许你在网络平台上编写应用,最后再组合起来。这样会导致比如引入新的技术,比如AJAX技术,它的会话状态,以前WEB1.0对会话状态并不是很依赖。但是网络的应用就要求你本身具备这些会话状态的跟踪和管理,未来实现这样的需求,自然就会对各种突发状态的依赖性增加。
再就是WEB的应用逻辑会复杂化。无论是服务器还是客户端这种原来的代码都会复杂化,它对模式持续和状态的依赖都会增强。另外我们看到浏览器的功能越来越复杂,互相嵌入性操作越来越多。另外是WEB服务器构架也复杂化。因为网络的后台需要包括数据库等相关所依赖的技术来支持,它会变得很复杂。
内容的聚合化表现最多的就是搜索引擎以及RSS,需求性的因素是网络需要更多的互动,使其关联与边界。比如搜索引擎会自动搜集网络上的很多内容。另一个为了保证访问性还采用了一些CACHE方式引入,这就导致攻击者可以采用内容聚合来推广他的页面,使得数据感染性增强。
我们来着重看一下这四点导致的安全风险。数据保密要求增高之后,敏感隐私数据泄露途径增多,以前可能只存在你的机器上,现在存在服务器上,可以在你的通讯途中被窃取,你保存数据的服务器被攻击,或者是其它的各种方式,都可能导致你的数据损失。另外,你无法保证服务的提供商不利用你的敏感和和隐私数据。这当中最常见的就是朋友圈、MSN朋友圈、QQ朋友圈,他要求你提交用户和口令向你的好友发广告,实际上就利用了里的敏感信息来做非法的事情。
数据依赖会导致安全风险放大,可能影响海量用户,比如信用卡的泄露,信用卡一被泄露都是几百万、上千万的客户受到损害。另外就是DOS攻击和意外事件也会导致大量损失,因为越来越依赖网络的时候,它的拒绝服务攻击的厉害程度,包括整个商务、商业上面的应用影响都会增加。
从内容来源控制分散化带来的安全风险主要是内容不可控性增加,因为恶意客户可以方便的借助受信平台发起攻击,而你没办法进行前侧。再就是众多的用户提交内容检测困难。另外就是用户不可控性增加,虽然在你上面注册的ID,但是对海量用户的存在进行追查是非常困难的。
应用网络化带来的安全风险。因为应用网络本身就会带来数据的集中化,在WEB应用逻辑的复杂化,它可能会导致互操作性增加,多域应用,外部内容来源增加,比如BASECAMP是帮助企业做调度,做任务管理的Web2.0,现在微软都用BASECAMP来进行项目,但是我们就发现它上面存在不过滤上传内容,你直接可以在里面加脚本代码。再一个,用户间的互影响性增加,大家都知道使MYSPACE蠕虫,通过一个用户的版本可以瞬间传递给所有的平台上的用户。再就是程序复杂度增加,整个应用逻辑大家都知道相对简单,但是随着未来的发展,它肯定要增加越来越多的复杂程序逻辑,才能满足把网络中心变成网络及计算的理念。它根本存在的原因是为什么?第一,WEB网络应用会得到广泛的安全测试,因为它大多都是小的,相对来说像微软这种巨无霸是不存在的。比如我们以前说微软的安全很差,但是微软很庞大,所有的技术都是用它,一旦它有决定来改正这个问题,它可以判决。Vista用了几年时间就把安全级别提到很高。但是对于WEB来说不存在这样的,应用的厂商太多。再就是它的开发缺乏安全过程,都是小团队开发,做得好一点的也都是应用安全编程的规则去检查。另外,Web2.0还是在不断发展的技术,它为了满足前面提到的把计算到网络化,它要不断地采用新技术,引入各种动态性的增加。这种新技术会带来新的安全弱点。另外,动态性的增加代码,也会引入很多新的安全弱点。包括对你的检测,增加了时间的动态性、应用的动态性。比如以前的杀
检测,它没办法实时跟踪动态检测,大多根据页面的内容进行检测,在这种新的动态性增加的情况下,会对检测保护提出很大的挑战。
再一个是浏览器的安全模型会越来越复杂,它涉及到众多的插件,像Flash的as脚本,未来攻击只可以编辑Flash,然后把恶意脚本放在Flash上。跨站和域的问题,包括特定的像URL欺骗的问题,这都是我们常规的现在难以解决的安全性问题。另外,WEB服务器端构架会越来越复杂。引进的新的技术带来的复杂度,会增加安全检测的复杂度,大家都知道,AJAX在页面当中是不用刷新页面,通过另一个通道去获得后台的刷新。在运行当中通过AJAX获得恶意内容,然后再对你进行攻击。我们现在有的各种检测技术,特征方面的检测方法都无法检测到这种方式。
这是基于Web2.0复杂的架构(图),在这个图中我们可以看到,包括在前端的这些应用上面增加的AJAX,包括一些相关的技术插件内容。在这里面增加了应用A lication Sever。
在浏览器端增加了AJAX、RIA、FLASH,在结构的数据传递上,现在可以做出更加复杂的数据进行传递。在结构上面以前是普通的传递,现在可以支持各种RPC的调用。
从内容聚合带来的安全风险,第一、恶意叶面扩散能力增加,可以利用搜索和RSS的排名嵌入到一个非常有名的RSS,增加它的传播能力。攻击者还可以利用关键字或者一些恶意技术来获得排名提升能力,比如大家都知道最近的“艳照门”。它可能利用敏感的热点信息来增加它的排名度,使得更多的被攻击者受到感染。有些RSS或其他直接应用直接聚合内容,这个RSS自身就带了攻击能力,访问这个RSS的用户就受到攻击。
它的复杂性是资源来自多个不同域,控制和检测都存在比较大的困难。它的影响性是比较多的,包括百度的推广我们就经常发现有挂马的现象,它对百度影响是非常大的,因为它推广的情况被挂马之后对他的商业模式会造成影响。还有是它的感染性和隐蔽性变得很强,大家知道搜索引擎和RSS里的CACHE的功能,一个恶意页面被CACHE,采取一些敏感的关键字,它这个站点可能会发现被别人处理掉了,但是CACHE的页面依然会受到攻击,很多时候大家都会发现页面访问不到,但是感兴趣的时候还是会打开。另一个,说不定攻击者可以用这个方式来隐藏,用一些比较敏感的、比较受欢迎的关键字,被百度搜索之后又把自己蔽掉,用快照就很难抓捕到这种攻击者是谁。
还有一些其它的问题,第一是流氓越来越多,恶意软件越来越基于WEB进行传播,恶意站点,钓鱼站点越来越多。说到钓鱼站点前几天还看了一个新闻就有一个骗子,他就给很多手机上发一条信息我叫王伟,我的帐号是XX,给我汇钱,结果一个月不到还有人给他汇了八十多万,这就说明就有这么傻的人在,这是没有办法解决的。所以他一钓鱼还能骗到很多钱。基于网络的这种钓鱼方式成本越来越低,并且越来越容易操作,总有上当受骗的。
第二是流氓成本越来越低,收入越来越高,这是没有办法的,道德的水准跟收入水准成反比。再一个,WEB的经济模式带来的流氓同流化非常严重,也就是说我在另一个群里做站点,他们就谈到,现在你要做战略的推广,你不做恶意软件,不去跟软件进行绑定,根本就没办法获得比较高的流量。所以未来WEB的模式很多站点的推广全部选择了流氓,这也是我们现在整个安全行业里很大的问题。另一个是社会工程越来越多,鉴别这种社会工程的欺骗比较困难。
前面第一章谈到了目前Web2.0的发展和需求上我们面临的很多问题。接下来我们来看一下它的安全需求。分析安全需求之前我们应该对体系与技术的变化进行一些了解,才能从中看到一些变化。
第一,我们在旧的WEB时代和新的WEB时代进行技术体系与技术结构的比较。在协议上的变化,旧时只使用HTTP/HTTPS来识别。在新的里面我们增加了SOAP、RPC等等,在未来可能会增加无限的这样的协议。在信息传递的结构上面,以前是靠HTML,放提交的数据。在现在,随着发展,XML及各种新的数据都会发生变化。通讯以前都是同步提交,刷新重定向,现在都是异步跨域,实时通讯。会话通讯能力以前是比较弱的,但是现在由于关联性加强,应用要求对会话的以来越来越高。在信息交互上以前是单点的信息,现在是多点信息聚合,在一个页面上可能存在着很多的信息流、数据流,交给服务器进行沟通。
威胁模型变化。它主要依赖的三个点是分子进入点、资产以及受信级别。我们来对比新旧WEB时代。在进入点上,以前是数据入口,首先要看你的入口点存在的问题,在以前的时代基本上是很简单的入口点,很容易发现。在新的时代下面存在多种分散入口点,因为它已经不再是用POSS的传递方式,而是在线的实时通讯去传递,一个页面上可能存在六、七个数据通道。并且由于网络复杂性,依赖数据度会增加,也就是说它的相关性,一个数据跟另一个数据的入口会增加。另外是退出接口信息写落风险变高,以前我们根本不可能,当整个程序退出之后可能有些关键的敏感信息没有对称,在这上面大家看到最多的,用Gmail登录之后,可能换到其它页面之后还没有消除,攻击者直接用这个页面就可以返回到你的邮箱。
从资产的情况来看,对于安全威胁来说不存在资产,哪怕都是一百个可以利用的也没有风险,因为上面没有什么东西值得你关心的。攻击者把你的乱七八糟的东西偷走了你还感谢他偷走了垃圾。也就是说当你存着有价值的资产的时候安全才是重要的。随着新WEB时代的应用,商议上的应用会越来越多,它的业务资产中了和价值是在增加的,也就是说风险是在增加的。受信级别来说,以前的受信级别是比较简单的,现在是更加复杂。
从安全威胁的变化来看,从进入点上以前是结构数据入口,现在是多种分散入口,用户场景更复杂,涉及到各种各样要考虑的问题,从依赖上面来看,外部一个WEB的服务器对外部的依赖度、关联度是很有限的,最多是跟数据服务器有关,现在随着新的技术体系结果的变化,它是多信息元的、多协议、多技术体系结构、多种外部相关服务于配置越来越复杂,这种越来越复杂会带来相关的对外界的依赖,你本身可以做到很安全,但是你外界的东西不安全的话一样会影响到你的整个安全度。
从漏洞来看更多在服务器端,在新的时代既要关心服务器端,还要关心客户端的影响,还要关心第三方内容。利用也是一样。
从方法学的变化,以前的通道是DNS,现在直接可以用搜索引擎进入到你的后台页面。从漏洞发现上面,你作为一个防守方去发现米的漏洞,以前很容易,把结构化的数据匹配一下,但是现在通过AJAX,它是隐藏在多个调用里,发现困难。整个数据流非常的多。以前做扫描器扫描这些漏洞结构化是非常简单的事情,但是现在就要分析AJAX,包括以前内部的各种依赖,然后再去自动地扫描和发现。包括逆向代码的分析,以前只关心服务器,现在更关心到客户的安全,包括你的跨站可能会对你的客户用URL欺骗。
这里说明了在新的WEB时代是越来越复杂(图),安全性越来越复杂,需要考虑的东西越来越多。我们前面对比了这些发展,我们可以总结出一些服务器端安全需求的变化。在WEB旧时代只关心恶意攻击服务器的安全,很少关心用户的安全以及聚合的第三方的安全。但是在新的时代要关心服务器端,首先要关心恶意攻击,还要关心用户提交的内容是不是安全的,还要关心WEB的应用代

参考资料

 

随机推荐