1. Trojan/win32.Agent.dbr[Rootkit]的行為分析-本地行為
1、動態載入系統DLL文件msvcrt.dll,該DLL是標準的微軟C運行庫文件,創建線程、遍歷進程查找avp.exe找到之後退出線程,如沒發現avp.exe進程則提升進程操作許可權。
2、文件運行後會釋放以下文件
%System32%driversetchosts 刪除本地hosts文件,並重新釋放劫持大量域名
%System32%driverskvsys.sys 該驅動文件恢復SSDT躲避部分安全軟體主動防禦
%System32%drivers esafe.sys 該驅動文件刪除部分安全軟體服務結束賣散部分安全軟體前慶進程
%Windir%FontsSystem32.exe
%Documents and Settings%當前所在用戶Local SettingsTempfsrtdfyyvuu.exe
3、添加註冊表
HKEY_LOCAL_ esafeDisplayName
值: 字元串: 騰訊驅動
HKEY_LOCAL_ esafeImagePath
值: 字元串: ??\%System32%drivers esafe.sys.
HKEY_LOCAL_ esafeStart
值: DWORD: 3 (0x3)
HKEY_LOCAL_ esafeType
值: DWORD: 1 (0x1)
HKEY_LOCAL_kvsysDisplayName
值: 字元串: windows啟動必須的系統文件
HKEY_LOCAL_kvsysImagePath
值: 字元串: ??\%System32%driverskvsys.sys.
HKEY_LOCAL_kvsysStart
值: DWORD: 3 (0x3)
HKEY_LOCAL_kvsysType
值: DWORD: 1 (0x1)
描述:添加病毒注冊表服務
4、刪除部分安全軟體服務、終止中悔氏部分安全軟體進程、恢復SSDT躲避殺軟主動查殺,創建病毒驅動設備名為:\.kvsys、\. esafe,刪除本地hosts文件、並重新創建一個hosts文件,劫持大量域名地址,獲取磁碟啟動器類型,遍歷目錄查找所有後綴是EXE的目錄並卻是非系統盤的可執行文件中釋放大量usp10.dll文件,被劫持的域名有:
127.0.0.** c0mo**.com
127.0.0.** gxgxy**.net
127.0.0.** 444.gmwo07**.com
127.0.0.** 333.gmwo07**.com
127.0.0.** 222.gmwo07**.com
127.0.0.** 111.gmwo07**.com
127.0.0.** haha.yaoyao09**.com
127.0.0.** www.noseqing**.cn
127.0.0.** fg.pvs360**.com
127.0.0.** cw.pvs360**.com
127.0.0.** ta.pvs360**.com
127.0.0.** dl.pvs360**.com
127.0.0.** ok .sl8cjs**.cn
127.0.0.** nc.mskess**.com
127.0.0.** idc.windowsupdeta**.cn
127.0.0.** pvs360**.com
127.0.0.** sl8cjs**.cn
127.0.0.** windowsupdeta**.cn
127.0.0.** up.22x44**.com
127.0.0.** my.531jx**.cn
127.0.0.** nx.51ylb**.cn
127.0.0.** llboss**.com
127.0.0.** down.malasc**.cn
127.0.0.** d2.llsging**.com
127.0.0.** 171817.171817**.com
127.0.0.** wg.47255**.com
127.0.0.** www.tomwg**.com
127.0.0.** tp.shpzhan**.cn
127.0.0.** 1.joppnqq**.com
127.0.0.** xx.exiao01**.com
127.0.0.** www.22aaa**.com
127.0.0.** ilove**.com
127.0.0.** xxx.mmma**.biz
127.0.0.** www.868wg**.com
127.0.0.** 2.joppnqq**.com
127.0.0.** 1.jopanqc**.com
127.0.0.** yu.8s7**.net
127.0.0.** 1.jopmmqq**.com
127.0.0.** cao.kv8**.info
127.0.0.** xtx.kv8**.info
127.0.0.** new.749571**.com
127.0.0.** xxx.vh7**.biz
127.0.0.** 1.jopenkk**.com
127.0.0.** d.93se**.com
127.0.0.** 3.joppnqq**.com
127.0.0.** xxx.j41m**.com
127.0.0.** 1.jopenqc**.com
127.0.0.** xxx.m111**.biz
127.0.0.** down.18dd**.net
127.0.0.** www.333292**.com
127.0.0.** qqq.hao1658**.com
127.0.0.** qqq.dzydhx**.com
127.0.0.** www.exiao01**.com
127.0.0.** www.cike007**.cn
127.0.0.** v.onondown**.com. cn
127.0.0.** ymsdasdw1**.cn
127.0.0.** h96b**.info
127.0.0.** fuck.zttwp**.cn
127.0.0.** www.hackerbf**.cn
127.0.0.** geekbyfeng**.cn
127.0.0.** 121.14.101.**
127.0.0.** ppp.etimes888**.com
127.0.0.** www.bypk**.com
127.0.0.** CSC3-2004-crl.verisign**.com
127.0.0.** va9sdhun23**.cn
127.0.0.** udp.hjob123**.com
127.0.0.** bnasnd83nd**.cn
127.0.0.** www.gamehacker**.com .cn
127.0.0.** gamehacker**.com. cn
127.0.0.** adlaji**.cn
127.0.0.** 858656**.com
127.1.1.1 bnasnd83nd**.cn
127.0.0.** my123**.com
127.0.0.** user1.12-27**.net
127.0.0.** 8749**.com
127.0.0.** fengent**.cn
127.0.0.** 4199**.com
127.0.0.** user1.16-22**.net
127.0.0.** 7379**.com
127.0.0.** 2be37c5f.3f6e2cc5f0b**.com
127.0.0.** 7255**.com
127.0.0.** user1.23-12**.net
127.0.0.** 3448**.com
127.0.0.** www.guccia**.net
127.0.0.** 7939**.com
127.0.0.** a.o1o1o1**.nEt
127.0.0.** 8009**.com
127.0.0.** user1.12-73**.cn
127.0.0.** piaoxue**.com
127.0.0.** 3n8nlasd**.cn
127.0.0.** kzdh**.com
127.0.0.** www.sony888**.cn
127.0.0.** about.blank**.la
127.0.0.** user1.asp-33**.cn
127.0.0.** 6781**.com
127.0.0.** www.netkwek**.cn
127.0.0.** 7322**.com
127.0.0.** ymsdkad6**.cn
127.0.0.** localhost**
127.0.0.** www.lkwueir**.cn
127.0.0.** 06.jacai**.com
127.0.1.** user1.23-17**.net
127.0.0.** 1.jopenkk**.com
127.0.0.** upa.luai**.net
127.0.0.** 1.jopenqc**.com
127.0.0.** www.guccia**.net
127.0.0.** 1.joppnqq**.com
127.0.0.** 4m9mnlmi**.cn
127.0.0.** 1.xqhgm**.com
127.0.0.** mm119mkssd**.cn
127.0.0.** 100.332233**.com
127.0.0.** 61.128.171.***:8080
127.0.0.** 121.11.90. **
127.0.0.** www.1119111**.com
127.0.0.** 121565**.net
127.0.0.** win.nihao69**.cn
127.0.0.** 125.90.88. **
127.0.0.** 16888.6to23**.com
127.0.0.** 2.joppnqq**.com
127.0.0.** puc.lianxiac. **net
127.0.0.** 204.177.92.**
127.0.0.** pud.lianxiac**.net
127.0.0.** 210.74.145.***
127.0.0.** 210.76.0.***
127.0.0.** 219.129.239.***
127.0.0.** 61.166.32. **
127.0.0.** 219.153.40.***
127.0.0.** 218.92.186. **
127.0.0.** 219.153.46. **
127.0.0.** www.fsfsfag**.cn
127.0.0.** 219.153.52. ***
127.0.0.** ovo.ovovov**.cn
127.0.0.** 221.195.42. **
127.0.0.** dw**.com. com
127.0.0.** 222.73.218.***
127.0.0.** 203.110.168.***:80
127.0.0.** 3.joppnqq**.com
127.0.0.** 203.110.168.***:80
127.0.0.** 363xx**.com
127.0.0.** www1.ip10086**.com. cm
127.0.0.** 4199**.com
127.0.0.** blog.ip10086**.com. cn
127.0.0.** 43242**.com
127.0.0.** www.ccji68**.cn
127.0.0.** 5.xqhgm**.com
127.0.0.** t.myblank**.cn
127.0.0.** 520. mm5208**.com
127.0.0.** x.myblank**.cn
127.0.0.** 59.34.131. **
127.0.0.** 210.51.45. **
127.0.0.** 59.34.198. ***
127.0.0.** www.ew1q**.cn
127.0.0.** 59.34.198. **
127.0.0.** 59.34.198. **
127.0.0.** 60.190.114. ***
127.0.0.** 60.190.218. **
127.0.0.** qq-xing**.com. cn
127.0.0.** 60.191.124.***
127.0.0.** 61.145.117. ***
127.0.0.** 61.157.109. ***
127.0.0.** 75.126.3. ***
127.0.0.** 75.126.3. ***
127.0.0.** 75.126.3. ***
127.0.0.** 59.125.231. ***:17777
127.0.0.** 75.126.3. ***
127.0.0.** 75.126.3. ***
127.0.0.** 75.126.3. ***
127.0.0.** 772630**.com
127.0.0.** 832823**.cn
127.0.0.** 8749**.com
127.0.0.** 888.jopenqc**.com
127.0.0.** 89382**.cn
127.0.0.** 8v8**.biz
127.0.0.** 97725**.com
127.0.0.** 9gg**.biz
127.0.0.** www.9000music**.com
127.0.0.** test.591jx**.com
127.0.0.** a.topxxxx**.cn
127.0.0.** picon.chinaren**.com
127.0.0.** www.5566**.net
127.0.0.** p.qqkx**.com
127.0.0.** news.netandtv**.com
127.0.0.** z.neter888**.cn
127.0.0.** b.myblank**.cn
127.0.0.** wvw.wokutu**.com
127.0.0.** unionch.qyule**.com
127.0.0.** www.qyule**.com
127.0.0.** it.itjc**.cn
127.0.0.** www.linkwww**.com
127.0.0.** vod.kaicn**.com
127.0.0.** www.tx8688**.com
127.0.0.** b.neter888**.cn
127.0.0.** promote.huanqiu**.com
127.0.0.** www.huanqiu**.com
127.0.0.** www.haokanla**.com
127.0.0.** play.unionsky**.cn
127.0.0.** www.52v**.com
127.0.0.** www.gghka**.cn
127.0.0.** icon.ajiang**.net
127.0.0.** new.ete**.cn
127.0.0.** www.stiae**.cn
127.0.0.** o.neter888**.cn
127.0.0.** comm.jinti**.com
127.0.0.** www.google-analytics**.com
127.0.0.** hz.mmstat**.com
127.0.0.** www.game175**.cn
127.0.0.** x.neter888**.cn
127.0.0.** z.neter888**.cn
127.0.0.** p.etimes888**.com
127.0.0.** hx.etimes888**.com
127.0.0.** abc.qqkx**.com
127.0.0.** dm.popdm**.cn
127.0.0.** www.yl9999**.com
127.0.0.** www.dajiadoushe**.cn
127.0.0.** v.onondown**.com. cn
127.0.0.** www.interoo**.net
127.0.0.** bally1.bally-bally**.net
127.0.0.** www.bao5605509**.cn
127.0.0.** www.rty456**.cn
127.0.0.** www.werqwer**.cn
127.0.0.** 1.360-1**.cn
127.0.0.** user1.23-16**.net
127.0.0.** www.guccia**.net
127.0.0.** www.interoo**.net
127.0.0.** upa.netsool**.net
127.0.0.** js.users.51**.la
127.0.0.** vip2.51**.la
127.0.0.** web.51**.la
127.0.0.** qq.gong2008**.com
127.0.0.** 2008tl.ip**.com
127.0.0.** tla.laozihuolaile**.cn
127.0.0.** www.tx6868**.cn
127.0.0.** p001.tiloaiai**.com
127.0.0.** s1. tl8tl**.com
127.0.0.** s1.gong2008**.com
127.0.0.** 4b3ce56f9g.3f6e2cc5f0b**.com
127.0.0.** 2be37c5f.3f6e2cc5f0b**.com
#360
127.0.0.** 59.53.87.101
127.0.0.** 125.46.1.226
127.0.0.** www.360. cn
127.0.0.** www.360safe. com
127.0.0.** sd.360. cn
127.0.0.** bbs.360safe. com
5、獲取磁碟啟動器類型,遍歷目錄查找所有後綴是EXE的目錄並卻是非系統盤的可執行文件中釋放大量usp10.dll文件,終止部分安全軟體進程,如發現進程中存在以下進程則調用內核函數強行終止其進程:
360Tray.exe、360Safe.exe、safeboxTray.exe、360realpro.exe、360upp.exe、RavMonD.exe、CCenter.exe、Ravtask.exe、rsnetsvr.exe、rsTray.exe、kissvc.exe、kwatch.exe、kpfwsvc.exe、
kavstart.exe、kmailmon.exe、kpfw32.exe、kasmain.exe、ksamain.exe、kaccore.exe、egui.exe、ekrn.exe、mainpro.exe、annexpro.exe、KVSrvXP.exe、KVSysCheck.exe、KVMonXP.kxp、KVPreScan.kxp
註:%System32%是一個可變路徑。病毒通過查詢操作系統來決定當前System文件夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程序默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% Documents and Settings當前用戶Local SettingsTemp
%System32% 系統的 System32文件夾
Windows2000/NT中默認的安裝路徑是C:WinntSystem32
windows95/98/me中默認的安裝路徑是%WINDOWS%System
windowsXP中默認的安裝路徑是%system32%
2. 主頁劫持咋辦,瀏覽器總是被主頁劫持該怎麼解決
方法/步驟:
步驟一:如果網頁被篡改成了你不喜歡的網站,首先你要做的就是把主頁再改過來。先打開瀏覽器,在此我以IE9瀏覽器為例。點擊瀏覽器右上角的設置按鈕。
步驟二:在彈出的菜單中點擊internet選項,進入瀏覽器設衫咐鬧置。其他版本的瀏覽器的方法也類似,總之找到internet選項打開即可。
步驟十一:最後點擊關閉按鈕關閉組策略編輯器。這時,我們所要進行的設置都已經完成了。其實現在,你已經擁有一個堅不可摧簡塵的瀏覽器主頁了。為什麼這么說呢?請接著看。
步驟十二:再次打開瀏覽器設置頁,你現在會發現與以前有所不同,因為填寫瀏覽器主頁的輸入框已經處於不可輸入狀態,下或罩面的設置按鈕也已經處於灰色不可用的狀態。想想,有什麼惡意程序能再次修改呢?在本頁最下方也會有些提示,如果你想還原,可以進行同樣操作。
關閉這個瀏覽器設置頁,以後不管再上什麼網站,再遇到什麼樣惡意的軟體,你都不會再被篡改主頁而困擾了,因為現在除了你,誰也無法更改你的瀏覽器主頁了。
3. 同樣的UPP文件,為什麼分兩次轉成同樣的ISO,大小會不一樣
BHD是暴風影音自亮正己製作的視頻編碼格式,享有專利權,並不是常見的視頻格式。因此,許多視頻編輯軟體無法編輯,許多視頻轉換工具也無法轉換,就是暴風影音自帶的轉碼工具也不給轉換,而且據我所知,目前拍哪只有暴風影音才能播放。但轉換成BHD格式敬賀悔的視頻在相同設置下,視頻文件小一些,也蠻清楚的。
4. 查出有update.exe病毒,但殺不了,怎麼辦
關於「貝革熱」(Worm_Bbeagle.J)的情況報告
國家計算機病毒應急處理中心通過監測,於2004年3月2日發現「貝革熱」 病毒一個新變種Worm_Bbeagle.J,該變種已經在美國、加拿大等地傳播,並且已經在我國出現。
國家計算機病毒應急處理中心提醒廣大計算機用戶升級殺毒軟體,啟動「實時監控」,做好病毒的預防工作。
有關該病毒的詳細信息如下。
病毒名稱:「貝革熱」變種(Worm_Bbeagle.J)
其它中文命名:「惡鷹」變種I(金山)、「惡鷹」(瑞星)
其它英文命名:W32/Bagle.j@MM (McAfee)
WORM_BAGLE.J (Trend Micro)
I-Worm.Netsky.d (Kaspersky)
Win32.Bagle.J (Computer Associates)
W32/Bagle-J (Sophos)
病毒類型:蠕蟲
感染系統:Windows 95/98/Me/NT/2000/XP
病毒長度:位元組
病毒特徵:12,288位元組
病毒通過電子郵件進行傳播,運行後,在系統目錄下生成自身的拷貝,修改注冊表鍵值。病毒同時具有圓敬後門能力。
1、生成病毒文件
病毒運行後,在%System%文件夾下生成自身的拷貝,名稱為irun4.exe。
病毒還在%system%文件夾下生成irun4.exeopen,該文件是一個加過密的.zip文件包,其內容為病毒代碼,密碼是隨機生成的。
(其中,%System%在橘純慎Windows 95/98/Me 下為C:,在Windows NT/2000下為C:,
在Windows XP下為 C:)
2、修改注褲搏冊表項
病毒添加註冊表項,使得自身能夠在系統啟動時自動運行,在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下添加"ssate.exe"="%System%.exe"
3、通過電子郵件進行傳播
病毒在被感染用戶的系統內搜索以下擴展名的文件,尋找電子郵件地址,並使用的自帶的SMTP向這些地址發送帶毒的電子郵件。
.wab、.txt、.msg、.htm、.xml、.dbx、.mdx、.eml、.nch、.mmf、
.ods、.cfg、.asp、.php、.pl、.adb、.tbb、.sht、.uin、.cgi
同時,病毒會避免發送病毒郵件到包含下列字元串的郵件地址:
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@
病毒發送的帶毒電子郵件格式如下:
發件人:(為下列之一),其中< recipient domain> 為郵件接收者郵件伺服器的域,例如,如果郵件接收者的電子郵件地址為[email protected],< recipient domain>就為163.net。
management@<recipient domain>
administration@<recipient domain>
staff@<recipient domain>
noreply@<recipient domain>
support@<recipient domain>
主題:(為下列之一)
E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Important notify about your e-mail account.
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Warning about your e-mail account.
內容:相對於同期出現的病毒,該變種的內容較多,可能為下列幾部分字元串的任意組合。
第一部分:
(1)Dear user of <domain>,
(2)Dear user of <domain> gateway e-mail server,
(3)Dear user of e-mail server "<domain>",
(4)Hello user of <domain> e-mail server,
(5)Dear user of "<domain>" mailing system,
(6)Dear user, the management of <domain> mailing system wants to let you know that,
第二部分:
(1)Your e-mail account has been temporary disabled because of unauthorized access.
(2)Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
(3)Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
(4)We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
(5)Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
(6)Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.
第三部分:
(1)For more information see the attached file.
(2)Further details can be obtained from attached file.
(3)Advanced details can be found in attached file.
(4)For details see the attach.
(5)For details see the attached file.
(6)For further details see the attach.
(7)Please, read the attach for further details.
(8)Pay attention on attached file.
第四部分:<domain> 為郵件伺服器的域,如163.net
The <domain> team http://www.<domain>
第五部分:
(1)The Management,
(2)Sincerely,
(3)Best wishes,
(4)Have a good day,
(5)Cheers,
(6)Kind regards,
第六部分:如果病毒郵件的附件為.zip文件,病毒郵件還包含下列字元串之一。其中"<password>"是五位隨機數字,為病毒郵件.zip附件的密碼。
(1)For security reasons attached file is password protected. The password is "<password>".
(2)For security purposes the attached file is password protected. Password is "<password>".
(3)Attached file protected with the password for security reasons. Password is <password>.
(4)In order to read the attach you have to use the following password: <password>.
附件:附件名稱為下列之一,擴展名位.zip或.pif
Attach
Information
Readme
Document
Info
TextDocument
TextFile
MoreInfo
Message
4、通過網路共享進行傳播
病毒搜索包含字元串「shar」 的文件夾中,在找到的文件夾下生成病毒文件的副本,並通過網路共享進行傳播,病毒文件名字如下:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
5、後門能力
病毒在被感染的系統中打開TCP埠2745進行監聽,以允行攻擊者向該埠發送信息,並自動下載新的程序到受感染系統的%Windir%目錄中,名字為iuplda<x>.exe,其中<x>為隨機字元。
這有可能成為新病毒傳播的一個途徑。
病毒通過TCP埠80,發送HTTP GET 請求到下列網址,並通過此種方式來獲得受感染系統的IP地址和打開的埠號。
postertog.de
www.gfotxt.net
www.maiklibis.de
7、終止進程
病毒會終止以下進程,來阻止和擾亂反病毒軟體的升級,是用戶的反病毒軟體無法處理最新病毒。
Atupdater.exe
Aupdate.exe
Autodown.exe
Autotrace.exe
Autoupdate.exe
Avltmain.exe
Avpupd.exe
Avwupd32.exe
Avxquar.exe
Cfiaudit.exe
Drwebupw.exe
Icssuppnt.exe
Icsupp95.exe
Luall.exe
Mcupdate.exe
Nupgrade.exe
Outpost.exe
Update.exe
手工清除該病毒的相關操作:
1、終止病毒進程
在Windows 9x/ME系統,同時按下CTRL+ALT+DELETE,在Windows NT/2000/XP系統中,同時按下CTRL+SHIFT+ESC,選擇「任務管理器--〉進程」,選中正在運行的進程「irun4.exe」,並終止其運行。
2、注冊表的恢復
點擊「開始--〉運行」,輸入regedit,運行注冊表編輯器,依次雙擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,並刪除面板右側的"ssate.exe"="%System%.exe"
3、刪除病毒釋放的文件
點擊「開始--〉查找--〉文件和文件夾」,查找文件「irun4.exe」和「irun4.exeopen」,並將找到的文件刪除。
4、運行殺毒軟體,對系統進行全面的病毒查殺
用戶一定要了解該病毒的主要特徵,遇到此類郵件立即刪除,千萬不要打開郵件的附件,避免病毒的感染和進一步的傳播。
目前,金山、瑞星公司已經上報解決方案,並對產品進行了升級,都可以有效的清除該病毒。
國家計算機病毒應急處理中心
計算機病毒防治產品檢驗中心
網 址:http://www.antivirus-China.org.cn
電 話:022-66211488/66211489/66211490
傳 真:022-66211487
電子郵件:[email protected]
5. 誰能告訴我Guiden Rensa Upp Skrivbordet是什麼東西 啊它是電腦自動彈出的文件。
你的操作系統是 瑞典語?
這個是 自動橘枝世清理桌圓肢面向搭野導
中文簡介:
http://ke..com/view/4091390.htm
關閉方法:
http://support.microsoft.com/kb/320154/zh-cn
關閉方法:【瑞典語】
http://support.microsoft.com/kb/320154/sv
6. 誰有oracle所有函數的功能說明中文版的
SQL中的單記錄函數
1.ASCII
返回與指定的字元對應的十進制數;
SQL> select ascii('A') A,ascii('a') a,ascii('0') zero,ascii(' ') space from al;
A A ZERO SPACE
--------- --------- --------- ---------
65 97 48 32
2.CHR
給出整數,返回對應的字元;
SQL> select chr(54740) zhao,chr(65) chr65 from al;
ZH C
-- -
趙叢銷滾 A
3.CONCAT
連接兩個字元串;
SQL> select concat('010-','88888888')||'轉23' 高乾競電話 from al;
高滲余乾競電話
----------------
010-88888888轉23
4.INITCAP
返回字元串並將字元串的第一個字母變為大寫;
SQL> select initcap('smith') upp from al;
UPP
-----
Smith
5.INSTR(C1,C2,I,J)
在一個字元串中搜索指定的字元,返回發現指定的字元的位置;
C1 被搜索的字元串
C2 希望搜索的字元串
I 搜索的開始位置,默認為1
J 出現斗滾的位置,默認為1
SQL> select instr('oracle traning','ra',1,2) instring from al;
INSTRING
---------
9
6.LENGTH
返回字元串的長度;
SQL> select name,length(name),addr,length(addr),sal,length(to_char(sal)) from gao.nchar_tst;
NAME LENGTH(NAME) ADDR LENGTH(ADDR) SAL LENGTH(TO_CHAR(SAL))
------ ------------ ---------------- ------------ --------- --------------------
高乾競 3 北京市海錠區 6 9999.99 7
7.LOWER
返回字元串,並將所有的字元小寫
SQL> select lower('AaBbCcDd')AaBbCcDd from al;
AABBCCDD
--------
aabbccdd
8.UPPER
返回字元串,並將所有的字元大寫
SQL> select upper('AaBbCcDd') upper from al;
UPPER
--------
AABBCCDD
9.RPAD和LPAD(粘貼字元)
RPAD 在列的右邊粘貼字元
LPAD 在列的左邊粘貼字元
SQL> select lpad(rpad('gao',10,'*'),17,'*')from al;
LPAD(RPAD('GAO',1
-----------------
*******gao*******
不夠字元則用*來填滿
10.LTRIM和RTRIM
LTRIM 刪除左邊出現的字元串
RTRIM 刪除右邊出現的字元串
SQL> select ltrim(rtrim(' gao qian jing ',' '),' ') from al;
LTRIM(RTRIM('
-------------
gao qian jing
11.SUBSTR(string,start,count)
取子字元串,從start開始,取count個
SQL> select substr('13088888888',3,8) from al;
SUBSTR('
--------
08888888
12.REPLACE('string','s1','s2')
string 希望被替換的字元或變數
s1 被替換的字元串
s2 要替換的字元串
SQL> select replace('he love you','he','i') from al;
REPLACE('H
----------
i love you
13.SOUNDEX
返回一個與給定的字元串讀音相同的字元串
SQL> create table table1(xm varchar(8));
SQL> insert into table1 values('weather');
SQL> insert into table1 values('wether');
SQL> insert into table1 values('gao');
SQL> select xm from table1 where soundex(xm)=soundex('weather');
XM
--------
weather
wether
14.TRIM('s' from 'string')
LEADING 剪掉前面的字元
TRAILING 剪掉後面的字元
如果不指定,默認為空格符
15.ABS
返回指定值的絕對值
SQL> select abs(100),abs(-100) from al;
ABS(100) ABS(-100)
--------- ---------
100 100
16.ACOS
給出反餘弦的值
SQL> select acos(-1) from al;
ACOS(-1)
---------
3.1415927
17.ASIN
給出反正弦的值
SQL> select asin(0.5) from al;
ASIN(0.5)
---------
.52359878
18.ATAN
返回一個數字的反正切值
SQL> select atan(1) from al;
ATAN(1)
---------
.78539816
19.CEIL
返回大於或等於給出數字的最小整數
SQL> select ceil(3.1415927) from al;
CEIL(3.1415927)
---------------
4
20.COS
返回一個給定數字的餘弦
SQL> select cos(-3.1415927) from al;
COS(-3.1415927)
---------------
-1
21.COSH
返回一個數字反餘弦值
SQL> select cosh(20) from al;
COSH(20)
---------
242582598
22.EXP
返回一個數字e的n次方根
SQL> select exp(2),exp(1) from al;
EXP(2) EXP(1)
--------- ---------
7.3890561 2.7182818
23.FLOOR
對給定的數字取整數
SQL> select floor(2345.67) from al;
FLOOR(2345.67)
--------------
2345
24.LN
返回一個數字的對數值
SQL> select ln(1),ln(2),ln(2.7182818) from al;
LN(1) LN(2) LN(2.7182818)
--------- --------- -------------
0 .69314718 .99999999
25.LOG(n1,n2)
返回一個以n1為底n2的對數
SQL> select log(2,1),log(2,4) from al;
LOG(2,1) LOG(2,4)
--------- ---------
0 2
26.MOD(n1,n2)
返回一個n1除以n2的余數
SQL> select mod(10,3),mod(3,3),mod(2,3) from al;
MOD(10,3) MOD(3,3) MOD(2,3)
--------- --------- ---------
1 0 2
27.POWER
返回n1的n2次方根
SQL> select power(2,10),power(3,3) from al;
POWER(2,10) POWER(3,3)
----------- ----------
1024 27
28.ROUND和TRUNC
按照指定的精度進行舍入
SQL> select round(55.5),round(-55.4),trunc(55.5),trunc(-55.5) from al;
ROUND(55.5) ROUND(-55.4) TRUNC(55.5) TRUNC(-55.5)
----------- ------------ ----------- ------------
56 -55 55 -55
29.SIGN
取數字n的符號,大於0返回1,小於0返回-1,等於0返回0
SQL> select sign(123),sign(-100),sign(0) from al;
SIGN(123) SIGN(-100) SIGN(0)
--------- ---------- ---------
1 -1 0
30.SIN
返回一個數字的正弦值
SQL> select sin(1.57079) from al;
SIN(1.57079)
------------
1
31.SIGH
返回雙曲正弦的值
SQL> select sin(20),sinh(20) from al;
SIN(20) SINH(20)
--------- ---------
.91294525 242582598
32.SQRT
返回數字n的根
SQL> select sqrt(64),sqrt(10) from al;
SQRT(64) SQRT(10)
--------- ---------
8 3.1622777
33.TAN
返回數字的正切值
SQL> select tan(20),tan(10) from al;
TAN(20) TAN(10)
--------- ---------
2.2371609 .64836083
34.TANH
返回數字n的雙曲正切值
SQL> select tanh(20),tan(20) from al;
TANH(20) TAN(20)
--------- ---------
1 2.2371609
35.TRUNC
按照指定的精度截取一個數
SQL> select trunc(124.1666,-2) trunc1,trunc(124.16666,2) from al;
TRUNC1 TRUNC(124.16666,2)
--------- ------------------
100 124.16
36.ADD_MONTHS
增加或減去月份
SQL> select to_char(add_months(to_date('199912','yyyymm'),2),'yyyymm') from al;
TO_CHA
------
200002
SQL> select to_char(add_months(to_date('199912','yyyymm'),-2),'yyyymm') from al;
TO_CHA
------
199910
37.LAST_DAY
返回日期的最後一天
SQL> select to_char(sysdate,'yyyy.mm.dd'),to_char((sysdate)+1,'yyyy.mm.dd') from al;
TO_CHAR(SY TO_CHAR((S
---------- ----------
2004.05.09 2004.05.10
SQL> select last_day(sysdate) from al;
LAST_DAY(S
----------
31-5月 -04
38.MONTHS_BETWEEN(date2,date1)
給出date2-date1的月份
SQL> select months_between('19-12月-1999','19-3月-1999') mon_between from al;
MON_BETWEEN
-----------
9
SQL>selectmonths_between(to_date('2000.05.20','yyyy.mm.dd'),to_date('2005.05.20','yyyy.mm.dd')) mon_betw from al;
MON_BETW
---------
-60
39.NEW_TIME(date,'this','that')
給出在this時區=other時區的日期和時間
SQL> select to_char(sysdate,'yyyy.mm.dd hh24:mi:ss') bj_time,to_char(new_time
2 (sysdate,'PDT','GMT'),'yyyy.mm.dd hh24:mi:ss') los_angles from al;
BJ_TIME LOS_ANGLES
------------------- -------------------
2004.05.09 11:05:32 2004.05.09 18:05:32
40.NEXT_DAY(date,'day')
給出日期date和星期x之後計算下一個星期的日期
SQL> select next_day('18-5月-2001','星期五') next_day from al;
NEXT_DAY
----------
25-5月 -01
41.SYSDATE
用來得到系統的當前日期
SQL> select to_char(sysdate,'dd-mm-yyyy day') from al;
TO_CHAR(SYSDATE,'
-----------------
09-05-2004 星期日
trunc(date,fmt)按照給出的要求將日期截斷,如果fmt='mi'表示保留分,截斷秒
SQL> select to_char(trunc(sysdate,'hh'),'yyyy.mm.dd hh24:mi:ss') hh,
2 to_char(trunc(sysdate,'mi'),'yyyy.mm.dd hh24:mi:ss') hhmm from al;
HH HHMM
------------------- -------------------
2004.05.09 11:00:00 2004.05.09 11:17:00
42.CHARTOROWID
將字元數據類型轉換為ROWID類型
SQL> select rowid,rowidtochar(rowid),ename from scott.emp;
ROWID ROWIDTOCHAR(ROWID) ENAME
------------------ ------------------ ----------
AAAAfKAACAAAAEqAAA AAAAfKAACAAAAEqAAA SMITH
AAAAfKAACAAAAEqAAB AAAAfKAACAAAAEqAAB ALLEN
AAAAfKAACAAAAEqAAC AAAAfKAACAAAAEqAAC WARD
AAAAfKAACAAAAEqAAD AAAAfKAACAAAAEqAAD JONES
43.CONVERT(c,dset,sset)
將源字元串 sset從一個語言字元集轉換到另一個目的dset字元集
SQL> select convert('strutz','we8hp','f7dec') "conversion" from al;
conver
------
strutz
44.HEXTORAW
將一個十六進制構成的字元串轉換為二進制
45.RAWTOHEXT
將一個二進制構成的字元串轉換為十六進制
46.ROWIDTOCHAR
將ROWID數據類型轉換為字元類型
47.TO_CHAR(date,'format')
SQL> select to_char(sysdate,'yyyy/mm/dd hh24:mi:ss') from al;
TO_CHAR(SYSDATE,'YY
-------------------
2004/05/09 21:14:41
48.TO_DATE(string,'format')
將字元串轉化為ORACLE中的一個日期
49.TO_MULTI_BYTE
將字元串中的單位元組字元轉化為多位元組字元
SQL> select to_multi_byte('高') from al;
TO
--
高
50.TO_NUMBER
將給出的字元轉換為數字
SQL> select to_number('1999') year from al;
YEAR
---------
1999
51.BFILENAME(dir,file)
指定一個外部二進制文件
SQL>insert into file_tb1 values(bfilename('lob_dir1','image1.gif'));
52.CONVERT('x','desc','source')
將x欄位或變數的源source轉換為desc
SQL> select sid,serial#,username,decode(command,
2 0,'none',
3 2,'insert',
4 3,
5 'select',
6 6,'update',
7 7,'delete',
8 8,'drop',
9 'other') cmd from v$session where type!='background';
SID SERIAL# USERNAME CMD
--------- --------- ------------------------------ ------
1 1 none
2 1 none
3 1 none
4 1 none
5 1 none
6 1 none
7 1275 none
8 1275 none
9 20 GAO select
10 40 GAO none
53.DUMP(s,fmt,start,length)
DUMP函數以fmt指定的內部數字格式返回一個VARCHAR2類型的值
SQL> col global_name for a30
SQL> col mp_string for a50
SQL> set lin 200
SQL> select global_name,mp(global_name,1017,8,5) mp_string from global_name;
GLOBAL_NAME DUMP_STRING
------------------------------ --------------------------------------------------
ORACLE.WORLD Typ=1 Len=12 CharacterSet=ZHS16GBK: W,O,R,L,D
54.EMPTY_BLOB()和EMPTY_CLOB()
這兩個函數都是用來對大數據類型欄位進行初始化操作的函數
55.GREATEST
返回一組表達式中的最大值,即比較字元的編碼大小.
SQL> select greatest('AA','AB','AC') from al;
GR
--
AC
SQL> select greatest('啊','安','天') from al;
GR
--
天
56.LEAST
返回一組表達式中的最小值
SQL> select least('啊','安','天') from al;
LE
--
啊
57.UID
返回標識當前用戶的唯一整數
SQL> show user
USER 為"GAO"
SQL> select username,user_id from dba_users where user_id=uid;
USERNAME USER_ID
------------------------------ ---------
GAO 25
58.USER
返回當前用戶的名字
SQL> select user from al;
USER
------------------------------
GAO
59.USEREVN
返回當前用戶環境的信息,opt可以是:
ENTRYID,SESSIONID,TERMINAL,ISDBA,LABLE,LANGUAGE,CLIENT_INFO,LANG,VSIZE
ISDBA 查看當前用戶是否是DBA如果是則返回true
SQL> select userenv('isdba') from al;
USEREN
------
FALSE
SQL> select userenv('isdba') from al;
USEREN
------
TRUE
SESSION
返回會話標志
SQL> select userenv('sessionid') from al;
USERENV('SESSIONID')
--------------------
152
ENTRYID
返回會話人口標志
SQL> select userenv('entryid') from al;
USERENV('ENTRYID')
------------------
0
INSTANCE
返回當前INSTANCE的標志
SQL> select userenv('instance') from al;
USERENV('INSTANCE')
-------------------
1
LANGUAGE
返回當前環境變數
SQL> select userenv('language') from al;
USERENV('LANGUAGE')
----------------------------------------------------
SIMPLIFIED CHINESE_CHINA.ZHS16GBK
LANG
返回當前環境的語言的縮寫
SQL> select userenv('lang') from al;
USERENV('LANG')
----------------------------------------------------
ZHS
TERMINAL
返回用戶的終端或機器的標志
SQL> select userenv('terminal') from al;
USERENV('TERMINA
----------------
GAO
VSIZE(X)
返回X的大小(位元組)數
SQL> select vsize(user),user from al;
VSIZE(USER) USER
----------- ------------------------------
6 SYSTEM
60.AVG(DISTINCT|ALL)
all表示對所有的值求平均值,distinct只對不同的值求平均值
SQLWKS> create table table3(xm varchar(8),sal number(7,2));
語句已處理。
SQLWKS> insert into table3 values('gao',1111.11);
SQLWKS> insert into table3 values('gao',1111.11);
SQLWKS> insert into table3 values('zhu',5555.55);
SQLWKS> commit;
SQL> select avg(distinct sal) from gao.table3;
AVG(DISTINCTSAL)
----------------
3333.33
SQL> select avg(all sal) from gao.table3;
AVG(ALLSAL)
-----------
2592.59
61.MAX(DISTINCT|ALL)
求最大值,ALL表示對所有的值求最大值,DISTINCT表示對不同的值求最大值,相同的只取一次
SQL> select max(distinct sal) from scott.emp;
MAX(DISTINCTSAL)
----------------
5000
62.MIN(DISTINCT|ALL)
求最小值,ALL表示對所有的值求最小值,DISTINCT表示對不同的值求最小值,相同的只取一次
SQL> select min(all sal) from gao.table3;
MIN(ALLSAL)
-----------
1111.11
63.STDDEV(distinct|all)
求標准差,ALL表示對所有的值求標准差,DISTINCT表示只對不同的值求標准差
SQL> select stddev(sal) from scott.emp;
STDDEV(SAL)
-----------
1182.5032
SQL> select stddev(distinct sal) from scott.emp;
STDDEV(DISTINCTSAL)
-------------------
1229.951
64.VARIANCE(DISTINCT|ALL)
求協方差
SQL> select variance(sal) from scott.emp;
VARIANCE(SAL)
-------------
1398313.9
65.GROUP BY
主要用來對一組數進行統計
SQL> select deptno,count(*),sum(sal) from scott.emp group by deptno;
DEPTNO COUNT(*) SUM(SAL)
--------- --------- ---------
10 3 8750
20 5 10875
30 6 9400
66.HAVING
對分組統計再加限制條件
SQL> select deptno,count(*),sum(sal) from scott.emp group by deptno having count(*)>=5;
DEPTNO COUNT(*) SUM(SAL)
--------- --------- ---------
20 5 10875
30 6 9400
SQL> select deptno,count(*),sum(sal) from scott.emp having count(*)>=5 group by deptno ;
DEPTNO COUNT(*) SUM(SAL)
--------- --------- ---------
20 5 10875
30 6 9400
67.ORDER BY
用於對查詢到的結果進行排序輸出
SQL> select deptno,ename,sal from scott.emp order by deptno,sal desc;
DEPTNO ENAME SAL
--------- ---------- ---------
10 KING 5000
10 CLARK 2450
10 MILLER 1300
20 SCOTT 3000
20 FORD 3000
20 JONES 2975
20 ADAMS 1100
20 SMITH 800
30 BLAKE 2850
30 ALLEN 1600
30 TURNER 1500
30 WARD 1250
30 MARTIN 1250
30 JAMES 950