廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2311 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 安全瀏覽網頁 巧妙防範網頁木馬侵擾
安全瀏覽網頁 巧妙防範網頁木馬侵擾  
教大家防木馬的辦法,只針對網頁木馬,有效率90%以上。可以防止90%以上木馬在你的機器上被執行,甚至殺毒軟體發現不了的木馬都可以禁止執行,先說一下原理。

現在網頁木馬無非有以下幾種方式中到你的機器裏:

1、把木馬文件改成BMP文件,然後配合你機器裏的DEBUG來還原成EXE,網上存在該木馬20% ;

2、下載一個TXT文件到你機器,然後裏面有具體的FTP連接,FTP連上他們有木馬的機器下載木馬,網上存在該木馬20%;

3、也是最常用的方式,下載一個HTA文件,然後用網頁控件解釋器來還原木馬,該木馬在網上存在50%以上;

4、採用JS腳本,用VBS腳本來執行木馬文件,該型木馬偷QQ的比較多,偷傳奇的少,大概佔10%左右;

5、其他方式未知。

現在我們來說防範的方法,就是把 windows\system\mshta.exe文件改名,改成什麼自己決定 (注意Windows2000和WindowsXp是在system32下)。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\下為Active Setup controls創建一個基於CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然後在新鍵值下創建一個REG_DWORD 類型的鍵Compatibility,並設定鍵值為0x00000400即可。

還有windows\command\debug.exe和windows\ftp.exe都給改個名字 (或者刪除) 。

一些最新流行的木馬最有效果的防禦

比如網路上流行的木馬 smss.exe,這個是其中一種木馬的主體,潛伏在 Windows98/WindowsMe/
WindowsXp的c:\windows目錄下,Windows2000的c:\winnt目錄下。

假如你中了這個木馬,首先我們用進程管理器結束正在運行的木馬smss.exe,,然後在c:\windows 或 c:\winnt\目錄下創建一個smss.exe,並設置為只讀屬性(2000/XP NTFS的磁片格式的話那就更好,可以用“安全設置”設置為讀取)。這樣木馬沒了,以後也不會再感染了。這個辦法本人測試過對很多木馬,都很有效果。

經過這樣的修改後,我現在專門找別人發的木馬網址去測試。實驗結果是上了大概20個木馬網站,有大概15個瑞星會報警,另外5個瑞星沒有反映。而我的機器沒有添加出來新的EXE文件,也沒有新的進程出現。只不過有些木馬的殘骸留在了IE的臨時文件夾裏,他們沒有被執行起來,沒有危險性,所以建議大家經常清理臨時文件夾和IE。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣 | Posted:2007-01-03 16:07 |
aoti
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x0
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

我查看了登錄檔 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\項下並無
Active Setup controls子機碼 但在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\下可以找到兩個{6E449683_C509_11CF_AAFA_00AA00 B6015C},只差別在英文字母~一個全為大寫 一個全為小寫 其REG_DWORD 鍵名均為CompatibilityFlags 值均為0x00000400沒錯 這是不是做某次IE安全更新安裝後所產生的相類似設置 您以為如何 表情


獻花 x0 回到頂端 [1 樓] From:臺灣中華電信HINET | Posted:2007-01-05 01:01 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用aoti於2007-01-5 01:01發表的 :
我查看了登錄檔 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\項下並無
Active Setup controls子機碼 但在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\下可以找到兩個{6E449683_C509_11CF_AAFA_00AA00 B6015C},只差別在英文字母~一個全為大寫 一個全為小寫 其REG_DWORD 鍵名均為CompatibilityFlags 值均為0x00000400沒錯 這是不是做某次IE安全更新安裝後所產生的相類似設置 您以為如何 表情
沒錯 值 設為 0x00000400 的意思就會讓該功能無法載入


爸爸 你一路好走
獻花 x0 回到頂端 [2 樓] From:臺灣和信超媒體寬帶網 | Posted:2007-01-05 01:09 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.054070 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言