Win10 商店
https://www.microsoft.com/store/productId/9WZDNCRDNG8C
-
原价 68 的 ABBYY 光学字符识别系统限免
下载后记得安装后到—软件的帮助选项—里面-点击注册在线激活,激活今天截止
我已经在电脑和笔记本上安装激活了,文字识别效果很不错
这是针对德文用户的活动页面
https://promo.abbyy.com/screenshot-reader-promo-advent-calendar-2019-de.html
我提取出来的下载链接
https://downloads.abbyy.com/event/heise/ABBYY_Screenshot_Reader_heise_Adventskalender_2019.exe
文字识别效果还不错!
这就是我识别出图 1 的效果
图片转成文字了“注册向导w将帮助您注册该程序。
注册己成功完成,
感谢您注册 ABBYY Screenshot Reader 11 <
作为注册用户,您可享受以下优惠:
•免费技术支持
•新版本ABBYY产品的电子邮件通知
ABBYY Screenshot Reader 是一款易于使用的智能型应用程序,它可以从屏幕上的任何区域抓取图像和文本这两类屏幕截图。
不仅仅是屏幕截屏工具
你可以在打开文件的文本,图片,文件菜单,网页,简报,PDF文件里只需几个点击你就可以创建自己的快照截屏。
Screenshot Reader创建的图像,您可以轻松地从你的剪贴板剪切并粘贴到Microsoft PowerPoint,Word,Excel或图形文件。它已经不仅仅是一个简单的截屏工具,你可以使用Screenshot Reader在图像、flash文件、PDF和其他基于图像的文件中选中区域,进行识别并转换成真正的可编辑文本,或将其插入到另一个文件。使用权限: 该版本可终身使用;
不支持重装;无技术支持;
不支持升级,若升级该限免版本,将不再是免费版本;
不得商用,不得转售!
请在活动结束之前下载安装激活使用!
-
原价 550 的视频编辑 VideoProc 限免
领取地址
https://www.videoproc.com/event/pcwelt.htm
VideoProc 是一款简单实用,功能强大的影片处理软件,它是WinX HD Video Converter Deluxe的进阶版本,在功能上更上一层。软件集影片转档、影片压缩、(YouTube)影片下载、影片剪辑等功能为一体,是你在Windows上管理不同的多轨道、SD、HD、4K影片的绝佳方案。同时,VideoProc还支持Level-3硬体加速效能,搭配Intel QSV、NVIDIA CUDA/NVENC以及AMD晶片加速单元,以实时播放的64倍速度快速执行各种影片作业!
-
深圳电信领 65 G流量
65GB通用流量从办理当月开始,分13个月领取,每月5G
说是仅限收到的短信用户,大家可以试试
https://shop.sz189.cn/huodong/llgj.shtml?action=toIndexTy
-
提醒:驱动精灵有后门,使用者请注意 !
限时提醒:电脑里面安装了驱动精灵的用户注意啦 !驱动精灵向用户投放后门病毒操纵和劫持流量等被火绒查杀有趣的是该程序部分云控指令会主动规避火绒等主流安全软件以及一些主要省会城市(北京、上海、深圳、广州)是不是北上广深,各个层面的领导多,怕把领导惹烦了 ?可真够 。。。驱动精灵是国内比较知名的驱动程序安装软件,不过在多年前被某资本收购后也开始越来越流氓不断地侵扰用户。
例如该软件会利用各种方式向用户捆绑安装金山毒霸和猎豹浏览器以及毒霸网址导航等猎豹移动系列的软件服务。
然而比捆绑更可恶的是驱动精灵竟然还会向用户投放后门病毒,即便在用户卸载驱动精灵后也可以继续劫持用户。
注:驱动精灵系列现在就属于猎豹移动,金山软件此前已更名为猎豹移动、猎豹移动为纽约证券交易所上市公司。
双十一期间,火绒对金山系部分软件仿冒其它安全软件,进行广告推广的行为开启拦截查杀(报告见链接1)。随后,火绒接到不少用户反馈,称在已经卸载金山毒霸、驱动精灵等软件的情况下,火绒依然出现相关报毒。火绒工程师与用户沟通和远程查看分析后,发现是驱动精灵在卸载时故意留下一个名为“kbasesrv”的后门程序,包含广告模块被火绒报毒。
经过深入分析发现,驱动精灵在卸载时会投放”kbasesrv”后门程序,在用户电脑中执行软件推广、流量劫持、云控锁定浏览器首页等恶意行为。不仅如此,该后门程序还可云控在用户电脑中执行任意文件、拷贝或删除文件、结束进程、修改注册表、向指定窗体发送消息等,这就意味着用户电脑随时面临被远程执行任意操作的风险。上述种种行为已经满足安全厂商对后门程序的定义,因此火绒对该程序进行查杀。未安装火绒的用户也可以选择火绒专杀工具彻底清除后门程序“kbasesrv”。(专杀地址见链接2)“kbasesrv”后门程序的投放方式除驱动精灵服务项、特殊版本的金山系软件安装包以外,最主要是在驱动精灵被用户卸载时投放。并且该程序部分云控指令会主动规避火绒等主流安全软件以及一些主要省会城市(北京、上海、深圳、广州)。此外,因为”kbasesrv”后门程序组件与金山毒霸、猎豹浏览器、猎豹Wifi等众多金山系软件组件有重叠关系,如果金山向这些软件下发云控命令后,它们同样可以实施”kbasesrv”后门程序执行的恶意行为,所以火绒也会相应的对其进行拦截报毒。由于金山系软件用户量较大,导致该后门程序的影响也较为广泛。事实上,数年前就有用户曝光过金山系软件相关的劫持行为(见链接3),我们也曾报道过金山利用病毒推广安装、仿冒其它安全软件推广广告等行为(报告见链接1、4)。火绒并非有意针对某个厂商,确实是这一系列程序行为触及到我们的原则和底线,不加以制止的话,受到损害的将是广大用户的权益。在火绒看来,如果这些软件厂商继续作恶,盘剥用户利益,火绒也将持续拦截、查杀这类危险程序。在对“浏览器主页劫持”现象曝光后,近日人民日报再次对“弹窗广告”等损害用户体验的商业软件恶劣行为进行批评,指出相关平台厂商应该“优化行业生态、加强业界自律”。在此,火绒也呼吁广大厂商理性逐利,让用户不再受到恶意侵扰,享受应有的权益。注:文中所述后门程序“kbasesrv”曾用名“主页安全防护”、“金山安全基础服务”。相关链接:1、双十一成流氓推广狂欢节 单日侵扰千万量级电脑2、专杀地址3、用户曝光金山劫持4、金山毒霸”不请自来” 背后竟有黑产推波助澜附:【分析报告】目录一、 溯源分析二、 投放渠道驱动精灵推广kbasesrv金山系软件渠道包投放kbasesrv三、 云控后门四、 篡改浏览器内存数据五、 流量劫持推广号劫持浏览器劫持六、 云控锁首首页锁定锁定新建标签页添加外链七、 同源分析八、 附录一、 溯源分析火绒在近期报告《双十一成流氓推广狂欢节 单日侵扰千万量级电脑》中,揭露了金山系广告模块带有伪装安全软件进程名、监听用户剪切板、检测安全分析工具等流氓广告推广行为。在我们对金山系相关广告模块进行查杀后,我们又收到了大量用户的相关反馈。我们奇怪的发现,在很多被植入流氓推广模块的电脑中,用户从未主动安装过任何金山系软件或已经卸载。通过分析,我们最终定位到是带有金山签名的后门服务kbasesrv在下发流氓推广模块,该服务被安装时不会产生任何界面提示,且可以通过云控服务器控制该服务在用户终端的程序行为,包括但不限于在用户计算机执行广告投放、流量劫持、软件推广等,该服务行为符合火绒对后门程序的定义。
kbasesrv后门程序文件签名信息通过溯源,我们定位有多个渠道在推广kbasesrv后门程序,如:驱动精灵服务项、驱动精灵卸载程序、金山软件特殊版本渠道包等。经过我们确认,上述推广渠道中用户无法通过手动设置阻止kbasesrv服务被安装,即在用户不知情的情况下就会被该后门程序控制。后门程序安装包在投放时,会主动规避主流安全软件(火绒、360)。 后门程序暂时主要会执行软件推广、流量劫持(包括劫持推广计费号、劫持浏览器等)、云控锁定浏览器首页。除此之外,我们还发现该后门程序还带有执行任意可执行文件、命令行,释放推广快捷方式,结束进程,向指定窗体发送消息,拷贝文件,修改删除注册表等后门功能。后门云控配置下发时会主动规避主要省会城市(北京、上海、深圳、广州),并且也会躲避主流安全软件。上述恶意行为完全符合我们对后门程序的定义,直接影响到了用户对个人电脑的正常使用。后门程序执行流程,如下图所示:
后门程序执行流程图二、 投放渠道驱动精灵推广kbasesrv驱动精灵卸载程序投放kbasesrv时,为避免重复安装,会检测kbasesrv或金山毒霸是否已经安装(金山毒霸包含kbasesrv相关组件,具体后文同源性分析会有相关说明),同时还会规避安全软件(火绒、360安全卫士),防止其恶意投放行为被安全软件捕获。相关代码,如下图所示:
驱动精灵卸载程序投放kbasesrv逻辑规避火绒相关代码,如下图所示:
规避火绒相关代码驱动精灵服务和卸载程序中均存在有kbasesrv服务投放逻辑。相关代码逻辑,如下图所示:
驱动精灵服务投放kbasesrv相关代码逻辑金山系软件渠道包投放kbasesrv通过我们溯源分析,我们还找到了一个特殊版本的猎豹浏览器安装包,kbasesrv安装包与猎豹浏览器安装包都以二进制数据形式被存放在安装包资源中。安装包运行后,会弹出猎豹浏览器安装界面,但猎豹浏览器与kbasesrv后门程序的安装互不影响,即使用户不安装猎豹浏览器也不会影响kbasesrv后门程序的安装。相关动作截图,如下图所示:
投放kbasesrv动作截图该特殊版本猎豹浏览器安装文件数字签名信息,如下图所示:
特殊版本猎豹浏览器安装文件数字签名信息三、 云控后门kbasesrv后门程序会调用指定后门模块(infocenter.exe、phoenix.exe、kwhcommonpop.exe)根据云控配置执行后门指令。其中kwhcommonpop.exe由kcmppinvoker.dll调用,现行的云控配置主要用来进行软件推广;kpolicy.dll可以根据kpctrl.dll加载的云控配置调用infocenter.exe、phoenix.exe执行后门命令。以phoenix.exe为例,该后门模块可以执行的部分主要后门指令,如下图所示:
phoenix.exe可以执行的后门指令kpctrl.dll会首先会从通过本地同步的fnsign.dat(该文件被加密,该文件同步地址为:hxxp://pc001.update.lbmini.cmcm.com/cmcm/kprotect/bin/2001/kprotect/data/d8d04a39237358e3125162fe1f1641b0,最后部分为文件内容哈希值)配置中解析出执行后门模块的相关策略数据。解密后的配置数据,如下图所示:
推广配置kbasesrv会根据kpctrl中加载的配置数据调用kpolicy.dll,创建推广软件控制线程,每隔5秒检测一次云控数据列表,如果该列表不为空,则会调用指定的后门模块根据同步到本地的云控配置执行后门逻辑。相关代码,如下图所示:
软件推广相关代码如果云控数据中设置了拷贝路径,则会将后门模块拷贝到指定目录执行。相关代码,如下图所示:
调用后门模块相关代码由于infocenter.exe、phoenix.exe和kwhcommonpop.exe三个模块关键代码基本相同,所以报告中仅以phoenix.exe进行分析说明。phoenix.exe执行后会解析同步到本地的云控配置(云控下发地址:hxxp://config.i.duba.net/rcmdsoft/6/7/generalizecfg.dat)文件generalizecfg.dat(文件在软件目录中的phoenix/6/7目录下,其中6代表当前软件名称,如kbasesrv、金山毒霸、驱动精灵等;7为模块中的给定数值)。云控配置文件解密后,如下图所示:
generalizecfg.dat配置内容我们所请求到的相关云控配置主要用来进行软件推广,根据现有配置后门模块会执行诱导软件推广。上图配置中resinfo标签下的url字段用来拼接资源文件下载地址(下载地址如:hxxp://config.i.duba.net/rcmdsoft/6/7/db/kp_music_push_db.zip),资源文件为诱导弹窗页面资源。用户再点击“一键清理”后,则会推广安装金山毒霸。弹窗界面,如下图所示:
诱导推广弹窗界面在另一份generalizecfg.dat配置中,我们又找到了很多规则安全软件的策略,根据注释我们推测此配置为金山毒霸卸载时所执行的推广行为。相关配置,如下图所示:
generalizecfg.dat配置内容除此之外,我们还在phoenix.exe后门模块中找到了其他后门指令功能(执行任意可执行程序、命令行,拷贝文件、修改注册表等)。我们还通过对金山系软件历史文件的筛查,找到了利用后门指令的相关配置文件。我们从配置内容中发现,部分软件功能与后门功能都存在与同一配置文件中,即。配置文件内容,如下图所示:
后门指令配置解析执行云控命令相关代码,如下图所示:
解析执行云控命令相关代码后门指令功能仅以个别功能为例。相关代码,如下图所示:
执行指定命令行
结束指定进程
调用kinst.dll动态库推广安装软件kinst.dll为金山系通用软件推广模块,可以通过根据云端推广配置推广安装指定软件。在我们下载到的推广配置中,推广策略可以静默推广金山毒霸。该推广软件安装程序为一个特殊构造的动态库,运行InstallEx导出函数后即可静默安装金山毒霸。相关配置文件,如下图所示:
推广软件相关云端配置下载解析云端推广配置(服务器地址:http://config.i.duba.net/lminstall3/[config_number].json?time=[time_tickcount])相关代码,如下图所示:
下载解析云端推广配置代码执行软件推广相关代码,如下图所示:
执行软件推广相关代码四、 篡改浏览器内存数据注入到浏览器中的knb3rdhmpg.dll模块会篡改浏览器内存数据,破坏浏览器首页防篡改的功能。受到影响的浏览器,如下图所示:
受影响的浏览器以360安全浏览器为例,在sesafe.dll模块中会检测360安全浏览器启动参数,如果发现首页的启动参数中存在 “duba”字符串,则会开启首页修复功能模块。相关代码,如下图所示:
sesafe.dll首页劫持防护当360安全浏览器检测到首页被毒霸劫持后会进行首页修复。相关现象,如下图所示:
360安全浏览器首页修复为了成功劫持浏览器首页,注入到浏览器中的knb3rdhmpg.dll模块会通过hook LdrLoadDll函数,在浏览器dll模块加载时,对相应模块数据进行篡改,破坏原有的恶意篡改主页拦截功能。该模块不仅会固定的篡改一部分内容,而且会根据配置文件进行篡改。相关的配置文件为safepatch.dat文件,可以通过云控下发,其中包含了要篡改的浏览器模块和内容。相关代码,如下图所示:
Hook LdrLoadDll
篡改sesafe.dll内存数据
safepatch.dat文件五、 流量劫持推广号劫持注入到浏览器中的knb3rdhmpg.dll模块会对百度搜索,搜狗搜索以及hao123的导航页进行推广号劫持。当用户使用浏览器访问这些站点时,该模块便会劫持这些链接的推广号。劫持推广号的配置文件有两个,kbasesrv目录下使用简单异或的se_redirect_ex2.dat和uredirect.dat文件。配置文件均可以通过云控下发更新,其中包括了劫持的url前缀,劫持白名单,劫持到的推广号和劫持的概率等信息。se_redirect_ex2.dat文件现在为主动更新派发,uredirect.dat文件目前不会更新下来,但是从金山毒霸目录下找到同名文件,且文件中的字段信息与程序逻辑相吻合。劫持配置文件,如下图所示:
se_redirect_ex2.dat文件
uredirect.dat文件对于不同的浏览器,实现推广号劫持的方法有所不同,主要有三种方法。1) 调用SetWinEventHook,对EVENT_OBJECT_NAMECHANGE事件进行过滤,并针对浏览器标签页窗体做劫持处理。当标签页的窗口标题发生改变时,便会触发事件钩子的回调函数,进入劫持流程。knb3rdhmpg.dll模块会根据标签页的窗口标题查询得到劫持链接,并将其保存到粘贴板中。然后以模拟键盘输入的方式,将劫持的链接粘贴到地址栏中并访问,完成劫持。相关代码,如下图所示:
调用SetWinEventHook过滤EVENT_OBJECT_NAMECHANGE事件
模拟键盘输入进行推广号劫持2) Hook NtDeviceIoControlFile对浏览器传输的流量进行分析,解析其中的域名和请求的url,匹配对应的劫持链接,并将传回的数据替换为302重定向返回数据,跳转到劫持的链接上。相关代码,如下图所示:
使用302重定向劫持推广号3) 通过Hook SetWindowTextW对设置浏览器标题栏内容的调用进行过滤。当浏览器将要访问搜索工具链接(百度,搜狗,hao123)时,标题栏被设置为搜索工具名称,就会触发劫持流程。knb3rdhmpg.dll模块根据原有链接得到劫持链接,并调用SetWindowTextW设置地址栏链接,最后模拟键盘输入回车进行访问。
Hook SetWindowText劫持推广号浏览器劫持受到劫持影响的浏览器有:2345浏览器、搜狗浏览器、QQ浏览器kbasesrv.exe会根据当前系统版本将kbasesrv模块下的“knbhmpg.dll“和“knb3rdhmpg.dll”或“knbhmpg64.dll“和“knb3rdhmpg64.dll”注入到系统进程explorer.exe中。注入后的explorer.exe进程如下图所示:
被注入后的explorer.exe进程模块列表成功注入到explorer.exe 后,knbhmpg.dll会对IcontextMenu接口下的InvokeCommand方法进行hook。InvokeCommand方法主要是用于执行与快捷菜单项关联 的命令。也就是说当我们双击快捷方式等操作时,就会触发hook函数。Hook InvokeCommand方法代码如下图所示:
Hook InvokeCommand方法当成功触发hook代码后,程序便会载入knb3rdhmpg.dll,获取其导出函数“F1”的地址,相关代码如下图所示:
获取knb3rdhmpg.dll中导出函数F1的地址在获取到knb3rdhmpg.dll中导出函数F1的地址后,程序便会进入F1的代码逻辑中运行, 首先会根据所获取的快捷方式路径获取到其所指向的可执行文件路径,相关代码如下图所示:
获取快捷方式所指向的文件路径之后解密自身路径下的safeurl.dat配置文件,并得到所需配置内容。解密safeurl.dat,相关代码如下图所示:
解密safeurl.dat解密出的Safeurl.dat文件中所对应的配置及字段解释如下图所示:
解密出的Safeurl.dat内容及字段解释然后检测代表触发次数的times字段是否大于0,如果大于0功能正常继续往下运行,否则功能失败,相关代码如下图所示:
检测times字段值当触发次数值满足条件时,会获取一个随机数除以100,将所得余数与配置文件中的数值进行比较,从而实现控制触发的概率,相关代码如下图所示:
检测概率概率被成功触发后,该模块会根据注册表键值来获取自身所在路径,拼接出启动参数”C:\\Program Files\\kbasesrv\\knbhm.exe -url SogouExplorer.exe https://www.duba.com/?f=lnkjks”,创建新的进程。相关代码如下图所示:
拼接启动参数并创建进程knbhm.exe实际上相当于一个启动器,根据其它模块启动它的不同参数来处理不同的逻辑,knbhm.exe可接收的参数如下图所示:
knbhm.exe接收参数当knbhm.exe以“-url”参数启动时,会根据safeurl.dat配置,创建新的进程,劫持用户点击的浏览器,如果用户电脑存在猎豹浏览器,则会以猎豹浏览器启动用户点击的浏览器, 下面以搜狗高速浏览器为例,双击后被猎豹浏览器劫持现象如下图所示:
劫持用户浏览器六、 云控锁首注入到浏览器中的knb3rdhmpg.dll模块会通过进程间通信的方式获取锁首配置内容,锁首功能可以通过配置文件进行控制。此配置文件可以通过云控下发更新,其中包含了不同推广渠道的锁首策略。多数的锁定策略都对北京、上海、深圳和广州大城市地区进行规避。受影响的浏览器和推广策略,如下图所示:
受影响的浏览器
首页锁定策略首页锁定在Hook InvokeCommand方法后,如果未触发上述劫持浏览器的条件时,该模块会根据浏览器名称获取内置的字段名,以搜狗高速浏览器为例,获取内置字段“BROWSER_SOGOU”,通过进程间通信发送到“kbasesrv.exe”,从而得到锁首网址。之后便会拼接出新的启动参数,其中hash字段后面接的是浏览器路径及启动参数的hash值。创建knbhm.exe进程相关代码如下图所示:
拼接启动参数并创建knbhm.exe进程下面以搜狗高速浏览器为例,双击后首页被毒霸导航锁定现象如下图所示:
毒霸锁定搜狗导航页锁定新建标签页注入浏览器中的knb3rdhmpg.dll通过Hook SetWindowTextW对设置浏览器标题栏内容的调用进行过滤。当用户打开特定浏览器的新标签页时,便会进入锁定流程。该模块通过进程间通信获得新标签页锁定功能是否开启的标记和锁定链接,然后调用knbhm模块启动浏览器打开锁定链接,产生一个锁定的新标签页。相关代码,如下所示:
Hook SetWindowTextW函数
锁定新建标签页添加外链注入到浏览器中的knb3rdhmpg.dll模块会在命令行上添加外链。knb3rdhmpg.dll模块对某些浏览器hook GetCommandLineW函数对命令行参数进行处理,在原有链接基础上添加额外的链接。当用户浏览器带有网址参数启动时,该模块便会在后面添加额外的链接。在打开原有页面的同时,打开一个额外的链接页面。相关代码,如下图所示:
Hook GetCommandLineW
在原有的命令行参数后添加外链七、 同源分析除了在驱动精灵投放的kbasesrv目录中发现上述恶意模块,我们还在金山旗下其它软件中(例如:金山毒霸、驱动精灵、猎豹浏览器、猎豹WiFi)发现存在类似的恶意模块。以含有同名文件kwhcommonpop.exe为例,解析执行后门指令相似代码如下图所示:
同源代码分析 -
原价 63 的探险游戏《Jotun》限免
https://www.epicgames.com/store/zh-CN/product/jotun/home
《Jotun》是一款基于北欧神话的手绘风格动作探险游戏。在《Jotun》中,你将扮演Thora,一位死得毫无尊严的维京战士,她必须再次向诸神证明自己才能进入英灵殿。折服众神!
-
京东酸奶双重优惠
两件打八折
加上满 160-20
这是我买的
分享给大家参考
买两件:
蒙牛 纯甄 常温风味酸牛奶 200g*24 礼盒装
买一件:
蒙牛 纯甄 常温风味酸牛奶 芒果百香果口味 200g*16 礼盒装
