常见木马技术和手动检测方法精编版
常见木马技术和手动检测方法
所有病毒case, Symantec用户抱怨的无非两项,一是查不到病毒,二是不断的查到相同的病毒(绝大多数是木马downloader, backdoor.trojan)。木马是什么?是一个有恶意行为程序。杀毒软件怎么查杀它?特征码和行为分析。如果一个木马在技术上或者创意上做的稍微好些,我觉得杀毒软件对于已经中毒的电脑很难起到作用,经常是查到了一部分,落掉一部分,而落掉的部分又会监控、恢复被查杀的部分,造成上面所说的第二种情况,而这又一定会包含第一种情况。
木马既然是程序,恶意程序,那它运行也不免会露出蛛丝马迹,程序运行的两个必要条件—进程(模块,线程)和加载(自启动和触发)。那我们查找木马也从这两个大的方向入手,理论上可以找出所有木马,但是这跟做数学题一样,大方法是有的,但是操作过程千变万化的。
工欲善其事,必先利其器。首先要找几个适合自己的工具:主工具我个人喜欢用冰刃,它能干大部分的检查启动项和进程监控。兵刃功能上的不足,利用其他的软件补充。FileMon和RegMon可以查找针对特定文件和注册表的进程信息;ProceXP可以模块反向查找进程,也可以看出进程之间的调用关系;SSDT—Hook修复,SSDT—Inline—Hook修复工具(兵刃可以看到SSDT,但没有修复功能),但是冰刃也可以看到绝大多数的使用隐藏技术的进程和线程;SRENG可以显示进程、模块、驱动的签名(可以提高我们的效率),以及强大的自启动项检测;Symantec Process Viewer会hook住ntcreateprocess, ntcreateprocessxp, ntopenkey, ntterminateprocess四个SSDT服务函数,会监控开机到当前所有运行过的进程,能起到参考作用;TCPView可以实时查看创建连接和已经连接的端口和相应的进程;MD5计算工具;Mr.Google和百度。
具体方法:
第一部分看进程(模块,线程)。
最笨的木马都有自己的进程,还不隐藏,还起个大家都知道的名字。这个太简单了,简单google一下,用任务管理器都能发现。
有些木马本身是修改了或替换了的原有的正常的exe文件,或者系统文件,因此不要完全依赖于进程名字,MD5值还是有必要看下的;有些是隐藏进程的(Rootkit技术,比如Hook在WIN32API或者SSDT的ntquerysysteminfomation),所幸冰刃可以看得到大部分隐藏进程。除此之外,如果木马没有技术来修改文件修改时间,
有的木马唯恐别人不认识它,占用内存,CPU很高,向外发包,这些是更笨的木马,任务管理器以及TCPview(发包的)很容易确定进程。
高级的木马首先是隐藏自己做的很好的,这些木马只干该干的事情,并且最大程度上减少对系统的影响。我相信用户如果真的中了这个级别的木马,SAV又发现不了,用户就不会找我们,因为他自己也不知道。就怕SAV能发现它(毕竟SAV是自动的,特征码加行为检测),但是又不彻底。因为此类木马很多都会有个影子程序在监控,并恢复被删除的恶意程序。
影子程序怎么做?无非是恢复文件,恢复注册表,创建进程,动态注入dll或者线程。如果影子程序本身是一个进程,那我们的目的还是查出这个进程。分别用FileMon;RegMon;冰刃的监控进程创建;动态注入dll首先需要创建被删除的恶意dll文件,用FileMon;线程动态注入我还没找到一个直接根据这个线索找到可疑进程的方法(不清楚冰刃监控进程创建是否可行),不过也可以用稍微笨一点的方法比如枚举所有进程等方法;另外第二部分查看加载项也是可行的,因为影子程序本身也是需要启动的。由于影子程序本身基本上不做恶意行为,本身不包含恶意代码,而应子程序释放的木马文件在影子
程序处肯定以加密后的资源形势存在,因此就很难被SAV自动查到了(除非其他用户提交了样本,SRC又加到病毒定义里面,不过把影子程序都加到病毒定义,那病毒定义文件得多大?),因此经常会发生SAV总是在相同的位置发现相同的病毒文件的情况了。
如果每个病毒都有自己独立的进程,查木马就是查找进程,那我们就太好做了,但是没有这个么好的事情。相当一部分的木马没有自己独立的进程,只是以模块(绝大多数情况下是dll文件,偶尔有ocx插件)形势注入到系统进程,比如iexplore.exe, explorer.exe, svchost.exe, winlogon.exe, smss.exe, csrss.exe等等。此时做可疑动作的进程就是这些系统进程了,找到这些进程病毒代表我们找到了木马。此时在找到宿主进程文件的前提下,用冰刃查找该进程所调用的模块,可以发现一般有上百个之多,头大了;用symantec process viewer比兵刃强点,能查到这些模块对应文件的创建时间;有的杀毒软件的进程读取器(例如KV2007)还可以过滤掉所有microsoft签名的dll文件,这样会方便一些。
但是万幸任何一个dll不可能自动注入到某一个进程,或者需要静态加载,或者需要动态加载,或者替换加载。静态加载需要在系统自启动项中有加载的语句(例如
rundll32.exe加载, winlogon.exe加载,以服务的形式被svchost.exe加载等等),这些项的查找利用Sreng.exe应该都不难找到。如果是动态加载,那么肯定会有一个进程(模块、线程)运行,做这个dll注入的动作,可以尝试(不能保证)用FileMon或者冰刃的监控进程创建去监控动态加载过程;但是更多的情况下需要从观察进程(模块)以及自启动项来查找,毕竟这个动态加载的命令不是系统给的,一定是有特定的进程(模块,线程)做这个事情,而这个进程本身也是需要加载的,因此也可以使用查找加载项的方法。
替换加载通常是把正常的dll改名,然后木马文件本身再改名为原来的正常的dll文件名,这样进程按照规定正常加载就会加载到木马dll文件,而这个木马dll会在宿主进程需要调用该dll的正常功能的时候,会进行函数转发到原来的dll文件,这样也不会影响原来程序的功能,对于此类的注入,手动方法也许能用的也就剩下MD5验证了。
提到模块,那就需要提到线程,进程注入型的木马注入到进程中的是一个模块,也就是说,必须有一个模块文件的存在,这样我们可以找到这个模块并通过对其文件进行签名验证来找出注入木马;而线程注入型的木马,注入到进程中的却只是一段代码,是没有文件存在的,虽然可以利用冰刃的查看线程查看每个进程的各个线程,但通过这个想发现并找出哪一个线程是木马的,我估计全世界没多少人。好在线程加载自己本身不能完成,需要加载程序去做这个事情,我们找不到可疑线程,找到可疑的加载程序(进程、模块、线程)也是一样的。
记得中学的时候说到的解题方法,在我们TS部门经常会用到两个不同方向的思路,穷举排除法和逆推分析法。就说一个Rtvscan.exe占用CPU高的问题,如果根据经验,查KB,查资料把可能的原因都列出来,然后和用户的情况作比较,最终找到符合情况的一种,这就是穷举排除法;如果对Rtvscan.exe
第二部分看加载
这个部分我想看过上面的dll注入部分的话会受到一定的启发。任何一种木马不是系统生来就有的,肯定是后天装上的。那这个木马不管是进程还是模块,也是需要启动的,这个启动(也就是加载)过程,想一想也就两种:随着系统启动自己启动,触发某个动作启动。
随着系统启动自己启动,大部分的木马会有这种方式,但是路径就五花八门了。
最常见的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
有很多的初级木马都会在这里有体现,除此之外此前总结过以下的有可能的系统自启动项加载位置
1.Run键
Run键是最常见的病毒自启动之处,该键位置是
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run],其下的所有程序在每次启动登录时都会按顺序自动执行。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explore r\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run],也会自动执行。
2.RunOnce键
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce],与Run不同的是,RunOnce下的程序仅会被自动执行一次。
3.RunServicesOnce键
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnc e]和
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesO nce],其中的程序会在系统加载时自动启动执行一次。
4.RunServices键
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices],RunServices继RunServicesOnce之后启动。
5.RunOnceEx键
[HKEY_CURRENT_USER\\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceE x]和
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Ex],该键是Windows XP/2003特有的自启动注册表项,
6.windows键
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows],该键下有load键值,一般情况下其值为空,如果这里有加载自启动程序,则有可能是可疑文件。
7.Winlogon键
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]和
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon],下面的Notify、Userinit、Shell键值也会有自启动的程序,而且其键值可以用逗号分隔,从而实现登录的时候启动多个程序。其中Notify一般为空,Shell一般为Explorer.exe,Userinit一般为C:\WINDOWS\system32\userinit.exe。
8.其他注册表位置
还有一些其他键值,经常会有一些程序在这里自动运行,如:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell ],
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceOb jectDelayLoad],
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts],
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts] 。
Symantec的KB中也有检查注册表,查找可疑文件的方法:
Title: 'Common loading points for viruses, worms, and Trojan horse programs on Windows NT/2000/XP/2003'
Document ID: 2001060517115206
Web URL: https://www.360docs.net/doc/db11634913.html,/support/ent-
security.nsf/docid/2001060517115206?Open&src=ent_gold_nam
Title: 'Common loading points for viruses, worms, and Trojan horse programs on Windows 98/95/3.1x'
Document ID: 1999052415383948
Web URL: https://www.360docs.net/doc/db11634913.html,/support/ent-
security.nsf/docid/1999052415383948?Open&src=ent_gold_nam
Title: 'Possible loading points for viruses and security risks on computers that run Red Hat Enterprise Linux and SuSE Linux'
Document ID: 2005101812364548
Web URL: https://www.360docs.net/doc/db11634913.html,/support/ent-
security.nsf/docid/2005101812364548?Open&src=ent_gold_nam
3)检查win.ini文件和system.ini文件。
Win.ini位于C:\Windows下,其[windows]字段中有启动命令“load=”和“run=”,通常“=”后面是空白的,如果后面跟着程序,很可能就是病毒程序。
System.ini位于C:\Windows下,其[boot]字段一般为shell=Explorer.exe如果后面跟着程序,很可能就是木马程序;其[386Enh]字段内的“driver=路径\程序名”,也有可能有病毒程序加载项;其[mic]、[drivers]、[drivers32]三个字段,也有可能有病毒程序加载项。
4)其他方法:可以通过查找msconfig,以及查看服务中的automatic的服务的方法,有时也可以找出可疑文件。
其实从实际当中的例子来看,除了上面的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
之外,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon 也是最近很多木马自启动加载的地方。
除此之外,很重要的自启动方式服务启动。
所有的服务启动项都会在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service下面列出来,但是基本上看起来没什么头绪。
这些服务自启动又会分为win32服务应用程序和驱动程序,用SRENG可以很清楚的看出这两部分。
Win32服务应用程序就是系统当中管理工具—服务里面的内容,包括Symantec Antivirus 服务。其主文件可以是单独的exe文件,例如rtvscan.exe;也可以是一个dll文件,会被svchost.exe进程调用而自动启动(svchost.exe的作用就是用同一个进程提供不同的系统或者非系统的服务,从而节省系统资源;而这恰好也成了很多木马很好的自启动加载点,很多时候我们看到svchost.exe做一些异常的事情,或者从冰刃的创建进程查看看到svchost.exe创建木马进程,肯定就是有恶意的dll以win32服务的形势被svchost.exe加载)。
驱动程序启动也是很多木马(驱动级木马)自启动加载的地方。首先自启动加载首先需要一个sys文件,通常位置是C:\windows\system32\drivers目录里面;另外会在控制面板—设备管理器—非即插即用设备里面会有该设备驱动的信息。SAV的SAVRT驱动,SEP的sysplant驱动都是此类。对于此类的木马,我们往往需要在先关掉保护进程的前提下,卸载该设备,删除注册表,在删除sys文件。
以上是自启动木马,除此之外是触发式木马。触发式木马是当你进行某一操作时会触发木马的启动机制,使得木马启动,如果你永远不进行这一操作,而木马则永远不会启动。这样,事实上对于自启动木马,我们仔细查找各个启动项,总能找到蛛丝马迹;不过触发是木马就可以充分发挥作者的想象空间了,对我们来说也是更大的挑战。
最常见的也是我们首先要检查的当然就是Autorun.inf了,这个臭名昭著,一般都会关联到同一个目录下的一个exe文件。
通常此文件会以隐藏文件的形式出现,更有些恶毒的会加上“注册表监控并回写”来为文件隐藏护航,你一旦更改系统为“显示所有文件”,它马上会再次改为“不显示隐藏文件”。更有甚者,很多最新的木马对这个autorun.inf和关联的exe文件使用
rootkit技术,隐藏的更为隐蔽。
处理方法:使用冰刃,它可以显示所有的隐藏文件大部分的使用的rootkit保护的文件,由于autorun.inf和关联的exe文件通常都是木马的安装文件,大可直接删除。删除后,隐藏文件恢复到注册表
HKLM\Software\Microsoft\Windows\CurrentVersion\Exporler\Advanced\Folder\Hidden \ShowAll下的checkvalue值改为1。另外autorun.inf修改了硬盘的打开属性,删除后盘附打不开,在注册表中搜索该exe文件名称,找到后删除。
另一种常见的触发方式是修改文件关联。文件关联就是某一类型的文件与某一程序的对应关系,我们的系统中有无数种文件格式,比如:图片文件(以.bmp .jpg .gif等为扩展名)、音乐文件(mp3 mp4等)......当你双击一个图片时,系统会调用看图程序来打开并显示图片,而不是调用播放器来播放图片,系统为什么会知道要调用看图程序而不是调用播放器呢?这就是因为文件关联的存在,在注册表中,图片文件已经与看图程序关联在了一起,相应的,音乐文件与播放器关联在了一起,大多数类型的文件都与某一特定程序有关联。这样,系统才知道,打开什么样的文件需要调用什么程序。
木马就是把某一特定类型文件的关联改为了与它自己关联,这时你一旦打开这一类型的文件就会触发木马的启动。由于木马启动后,会由它再调用正常的关联程序,所以,文件仍然会正常打开,而你也就不知道其实你的操作已经将木马启动了起来。木马会改哪种文件的关联呢?这只有木马的作者才知道。系统中又有多少文件关联可供它改呢?
HKEY_CLASSIS_ROOT下的子项全部都是,怎么也得上千个吧。
这样,只要你打开被关联格式的文件,就会触发木马,一般该木马还会指向到原来的关联进程,这个文件也可以正常打开,因此用户是注意不到的。如果这个木马的关联文件是一个影子程序的话,那由于影子程序不具备病毒特征,所以SAV全面扫描也不会将它找出来,你找到并清除的都是影子程序的释放体,这就又会造成总是在相同的位置发现相同的病毒了。
常见木马病毒清除的方法
常见木马病毒清除的方法 来源:互联网 | 2009年09月23日 | [字体:小大] | 网站首页 由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。 “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan 木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表 “HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。 当然在注册表中还有很多地方都可以隐藏“木马”程序, 如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,最好的办法就是在
木马攻击常用名词解释
目录 1. IPS IDS IRS (2) 2.攻击 (3) 3. 80端口 (3) 4. 404 (4) 5. Application Firewall (4) 6. SHELL (5) 8. ISP/ICP (8) 9. IIS (9) 10.SQL注入 (9) 11.XSS攻击 (10) 12.DDOS攻击 (11) .
1.IPS IDS IRS 入侵预防系统(IPS: Intrusion Prevention System)是电脑网路安全设施,是对防病毒软体(Antivirus Programs)和防火墙(Packet Filter, Application Gatew ay)的补充。入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 在ISO/OSI网路层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软体主要在第五到第七层起作用。为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。 入侵预防系统类型 投入使用的入侵预防系统按其用途进一步可以划分为 (HIPS: Hostbased Intrusion Prevension System) 单机入侵预防系统和 (NIPS: Network Intrusion Prevension System)网路入侵预防系统 网路入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。 根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如Internet Explorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网路中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。
常见的几种系统维护和木马查杀工具的介绍
超级兔子的功能 系统体检能够及时的发现系统存在的问题,从而提醒用户及时的查看并优化自己的系统。超级兔子是一个完整的系统维护工具,可能清理你大多数的文件、注册表里面的垃圾,同时还有强力的软件卸载功能,专业的卸载可以清理一个软件在电脑内的所有记录。 超级兔子共有8大组件,可以优化、设置系统大多数的选项,打造一个属于自己的Windows。超级兔子上网精灵具有IE修复、IE保护、恶意程序检测及清除工能,还能防止其它人浏览网站,阻挡色情网站,以及端口的过滤。 超级兔子系统检测可以诊断一台电脑系统的CPU、显卡、硬盘的速度,由此检测电脑的稳定性及速度,还有磁盘修复及键盘检测功能。超级兔子进程管理器具有网络、进程、窗口查看方式,同时超级兔子网站提供大多数进程的详细信息,是国内最大的进程库。 超级兔子安全助手可能隐藏磁盘、加密文件,超级兔子系统备份是国内唯一能完整保存Windows XP注册表的软件,彻底解决系统上的问题。 超级兔子魔法设置软件是一个系统设置软件,能够以修改系统注册表等操作来达到大家的要求。完整的超级兔子软件包括以下4个软件:超级兔子魔法设置:常用的Windows设置软件,清晰的分类让你迅速找到相关功能,提供几乎所有Windows的隐藏参数调整。超级兔子注册表优化:维护注册表的工具,经常备份可以保护你的Windows,最神奇的是还有注册表的加速功能。超级兔子终极加速:简单易用的系统加速软件,10秒即可完成Windows的所有设置,并且还能对常用的其它软件进行设置。 超级兔子的魔法软件主要有以下作用: 1. 自动运行:在这里,你可以随意添加或者删除任务栏中自动运行的程序。(但是奉劝各位,还是不要随意改动的好哦,要不然,启动不了可别说是我教的哦!) 2. 删除反安装:里面罗列了所有本地应用软件的目录(比控制面板中添加/删除程序项的内容丰富多了!甚至连在Inerter上查找都有),你可以按你的需要对这些软件进行删除或是运行,需要注意的是,当不能修改命令行被选中时,你是无法修改命令的。和自动运行一样,尽量不要去乱改它! 3. 输入法:你可以按照你的习惯重新排列输入法的顺序(也不要随意地去添加或是删除输入法,以免引起混乱)。 4. 开始菜单:你可以选择禁止显示程序/文档/收藏夹/查找/运行/注销/关闭系统中的任何一项,同时还可以在其中添加回收站/网络邻居/信箱/控制面板/打印机/历史记录/我的公文包等内容,并且你能对这些快捷方式重新命名,比如将我的电脑改为xxx的电脑,嘿,这个很不错吧!但是修改开始菜单的项目名字比较
网页木马制作全过程(详细)
如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页,经检查,我确实中了灰鸽子。怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。 以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。 一、网页木马的攻击原理 首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。 有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。 ⒈自动下载程序 小提示:代码说明 a. 代码中“src”的属性为程序的网络地址,本例中 “https://www.360docs.net/doc/db11634913.html,/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。 b. 也可以把木马程序上传到免费的主页空间上去,但免费空间出于安全的考虑,多数不允许上传exe文件,黑客可能变通一下把扩展名exe改为bat或com,这样他们就可以把这些程序上传到服务器上了。 把这段代码插入到网页源代码的