廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 44532 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
阿豆仙 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x10 鮮花 x66
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 揭開木馬冰河的神秘面紗
真抱歉.....忘記說明是轉貼的....此文件由....那ㄍ那個 忘記那個論壇了
剛好看到此文章....對於常被駭入的有所幫助...所以就貼貼貼了 表情 表情
-------------------------------------------------
多謝分享.但日後轉貼文章請註明出處 BY mn1212
-------------------------------------------------
前 言

在網上,大家最關心的事情之一就是木馬:最近出了新的木馬嗎?木馬究竟能實現哪? \能?木馬如何防治?木馬究竟是如何工作的?本文試圖以我國最著名的木馬之一 冰河為例,向大家剖析木馬的基本原理,為大家揭開木馬的神秘面紗。

木馬冰河是用C++Builder寫的,為了便于大家理解,我將用相對比較簡單的VB來說明? 式A其中涉及到一些WinSock編程和Windows API的知識,如果你不是很了解的話,請去查閱相關的資料。

一、基礎篇(揭開木馬的神秘面紗)

無論大家把木馬看得多神秘,也無論木馬能實現多么強大的功能,木馬,其實質只是一個網絡客戶/服務程序。那么,就讓我們從網絡客戶/服務程序的編寫開始。
1.基本概念:
網絡客戶/服務模式的原理是一臺主機提供服務(服務器),另一臺主機接受服務(客戶機)。作為? A務器的主機一般會打開一個默認的端口并進行監聽(Listen), 如果有客戶機向服務器的這一端口提出連接請求(Connect Request), 服務器上的相應程序就會自動運行,來應答客戶機的請求,這個程序我們稱為守護進? {(UNIX的朮語,不過已經被移植到了MS系統上)。對于冰河,被控制端就成為一臺服務? 飽A控制端則是一臺客戶機,G_server.exe是守護進程, G_client是客戶端應用程序。(這一點經常有人混淆,而且往往會給自己種了木馬!甚? 僋晹酗H跟我爭得面紅耳赤,昏倒!!)

2.程序實現:
在VB中,可以使用Winsock控件來編寫網絡客戶/服務程序, 實現方法如下:
(其中,G_Server和G_Client均為Winsock控件)
服務端:
G_Server.LocalPort=7626(冰河的默認端口,可以改為別的值)
G_Server.Listen(等待連接)

客戶端:
G_Client.RemoteHost=ServerIP(設遠端地址為服務器地址)
G_Client.RemotePort=7626 (設遠程端口為冰河的默認端口,呵呵,知道嗎?這是冰河的生日哦)
(在這里可以分配一個本地端口給G_Client, 如果不分配, 計算機將會自動分配一個, 建議讓計算機自動分配)
G_Client.Connect (調用Winsock控件的連接方法)

一旦服務端接到客戶端的連接請求ConnectionRequest,就接受連接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub

客戶機端用G_Client.SendData發送命令,而服務器在G_Server_DateArrive事件中接受 并執行命令(幾乎所有的木馬功能都在這個事件處理程序中實現)

如果客戶斷開連接,則關閉連接并重新監聽端口
Private Sub G_Server_Close()
G_Server.Close (關閉連接)
G_Server.Listen (再次監聽)
End Sub

其他的部分可以用命令傳遞來進行,客戶端上傳一個命令,服務端解釋并執行命令... ...


二、控制篇(木馬控制了這個世界!)

由于Win98開放了所有的權限給用戶,因此,以用戶權限運行的木馬程序幾乎可以控制一切,讓我們來看看冰河究竟能做些什? \(看了后,你會認同我的觀點:稱冰河為木馬是不恰當的,冰河實現的功能之多,足以成為一個成功的遠程控制軟件 )
因為冰河實現的功能實在太多,我不可能在這里一一詳細地說明,所以下面僅對冰河的主? n功能進行簡單的概述, 主要是使用Windows API函數, 如果你想知道這些函數的具體定義和參數, 請查詢WinAPI手冊。
1.遠程監控(控制對方鼠標、鍵盤,并監視對方屏幕)
keybd_event 模擬一個鍵盤動作(這個函數支持屏幕截圖哦)。
mouse_event 模擬一次鼠標事件(這個函數的參數太復雜,我要全寫在這里會被編輯罵死的,只能寫一 點主要的,其他的自己查WinAPI吧)
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)

dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠標坐標系統中的一個絕對位置。
MOUSEEVENTF_MOVE 移動鼠標
MOUSEEVENTF_LEFTDOWN 模擬鼠標左鍵按下
MOUSEEVENTF_LEFTUP 模擬鼠標左鍵抬起
MOUSEEVENTF_RIGHTDOWN 模擬鼠標右鍵按下
MOUSEEVENTF_RIGHTUP 模擬鼠標右鍵按下
MOUSEEVENTF_MIDDLEDOWN 模擬鼠標中鍵按下
MOUSEEVENTF_MIDDLEUP 模擬鼠標中鍵按下
dx,dy:
MOUSEEVENTF_ABSOLUTE中的鼠標坐標


2.記錄各種口令信息(出于安全角度考慮,本文不探討這方面的問題,也請不要給我來信詢問)

3.獲取系統信息
a.取得計算機名 GetComputerName
b.更改計算機名 SetComputerName
c.當前用戶 GetUserName函數
d.系統路徑
Set FileSystem0bject = CreateObject("Scripting.FileSystemObject") (建立文件系統對象)
Set SystemDir = FileSystem0bject.getspecialfolder(1)
(取系統目錄)
Set SystemDir = FileSystem0bject.getspecialfolder(0)
(取Windows安裝目錄)

(友情提醒: FileSystemObject是一個很有用的對象,你可以用它來完成很多有用的文件操作)

e.取得系統版本 GetVersionEx(還有一個GetVersion,不過在32位windows下可能會有問題,所以建議用G etVersionEx

f.當前顯示分辨率
Width = screen.Width \ screen.TwipsPerPixelX
Height= screen.Height \ screen.TwipsPerPixelY


其實如果不用Windows API我們也能很容易的取到系統的各類信息,那就是Winodws的"垃圾站"-注冊表
比如計算機名和計算機標識吧:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP
中的Comment,ComputerName和WorkGroup
注冊公司和用戶名:
HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo
至于如何取得注冊表鍵值請看第6部分

4.限制系統功能
a.遠程關機或重啟計算機,使用WinAPI中的如下函數可以實現:
ExitWindowsEx(ByVal uFlags,0)
當uFlags=0 EWX_LOGOFF 中止進程,然后注銷
=1 EWX_SHUTDOWN 關掉系統電源
=2 EWX_REBOOT 重新引導系統
=4 EWX_FORCE 強迫中止沒有響應的進程

b.鎖定鼠標
ClipCursor(lpRect As RECT)可以將指針限制到指定區域,或者用ShowCursor(FALSE)把鼠標隱藏起來也可以

注:RECT是一個矩形,定義如下:
Type RECT
Left As Long
Top As Long
Right As Long
Bottom As Long
End Type

c.鎖定系統 這個有太多的辦法了,嘿嘿,想Windows不死機都困難呀,比如,搞個死循環吧,當然,要想 系統徹底崩潰還需要一點技巧,比如設備漏洞或者耗盡資源什么的......

d.讓對方掉線 RasHangUp......

e.終止進程 ExitProcess......

f.關閉窗口 利用FindWindow函數找到窗口并利用SendMessage函數關閉窗口



5.遠程文件操作
無論在哪種編程語言里, 文件操作功能都是比較簡單的, 在此就不贅述了,你也可以用上面提到的FileSystemObject對象來實現

6.注冊表操作
在VB中只要Set RegEdit=CreateObject("WScript.Shell")
就可以使用以下的注冊表功能:
刪除鍵值:RegEdit.RegDelete RegKey
增加鍵值:RegEdit.Write RegKey,Regvalue
獲取鍵值:RegEdit.RegRead (value)
記住,注冊表的鍵值要寫全路徑,否則會出錯的。

7.發送信息
很簡單,只是一個彈出式消息框而已,VB中用MsgBox("")就可以實現,其他程序也不太難的。

8.點對點通訊
呵呵,這個嘛隨便去看看什么聊天軟件就行了
(因為比較簡單但是比較煩,所以我就不寫了,呵呵。又:我始終沒有搞懂冰河為什么要在木 馬里搞這個東東,困惑......)

9.換牆紙
Call SystemParametersInfo(20,0,"BMP路徑名稱",&H1)
值得注意的是,如果使用了Active Desktop,換牆紙有可能會失敗,遇到這種問題,請不要找冰河和我,去找比爾蓋子吧? C

三、潛行篇(Windows,一個捉迷藏的大森林)

木馬并不是合法的網絡服務程序(即使你是把木馬裝在女朋友的機子上,也是不合法的,當然,這種行為我可以理解,呵呵),因此,它必須想盡一切辦法隱藏自己,好在,Windows是一個捉迷藏的大森林!
1、在任務欄中隱藏自己:
這是最基本的了,如果連這個都做不到......(想象一下,如果Windows的任務欄里出現一個國際象棋中木馬的圖標...@#$%!#@$...也太囂張了吧!)
在VB中,只要把FORM的Visible屬性設為False, ShowInTaskBar設為False, 程序就不會出現在任務欄中了。

2、在任務管理器中隱形:(就是按下Ctrl+Alt+Del時看不見那個名字叫做“木馬”的進程)
這個有點難度,不過還是難不倒我們,將程序設為“系統服務”可以很輕松的偽裝成比爾蓋子的嫡系部隊(Windows,我們和你是一家的 ,不要告訴別人我藏在哪兒...)。
在VB中如下的代碼可以實現這一功能:
Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long
Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long
(以上為聲明)
Private Sub FORM_Load()
RegisterServiceProcess GetCurrentProcessId, 1 (注冊系統服務)
End Sub
Private Sub FORM_Unload()
RegisterServiceProcess GetCurrentProcessId, 0 (取消系統服務)
End Sub

3、如何悄沒聲息地啟動:
你當然不會指望用戶每次啟動后點擊木馬圖標來運行服務端,木馬要做到的第二重要? 漕N是如何在每次用戶啟動時自動裝載服務端(第一重要的是如何讓對方中木馬,嘿嘿,這部分的內容將在后面提到)
Windows支持多種在系統啟動時自動加載應用程序的方法(簡直就像是為木馬特別定做的)啟動組、win.ini、system.ini、注 冊表等等都是木馬藏身的好地方。冰河采用了多種方法確保你不能擺脫它(怎么聽起來 有點死纏爛打呀....哎呦,誰呀誰呀,那什么黃鑫,不要拿雞蛋扔我!)首先,冰河會在注? U表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNS ERVICE鍵值中加上了<system>\kernl32.exe(<system>是系統目錄), 其次如果你刪除了這個鍵值,自以為得意地喝著茶的時候,冰河又陰魂不散地出現了... 怎么回事?原來冰河的服務端會在c:\windows(這個會隨你windows的安裝目錄變化而變 化)下生成一個叫sysexplr.exe文件(太象超級解霸了,好毒呀,冰河!),這個文件是與文本文件相關聯的,只要你打開文? ?哪天不打開幾次文本?), sysexplr.exe文件就會重新生成krnel32.exe, 然后你還是被冰河控制著。(冰河就是這樣長期霸占著窮苦勞動人民寶貴的系統資源的,555555)

4、端口
木馬都會很注意自己的端口(你呢?你關心你的6萬多個端口嗎?),如果你留意的話,你就 會發現,木馬端口一般都在1000以上,而且呈越來越大的趨勢(netspy是1243....)這是? ]為,1000以下的端口是常用端口,占用這些端口可能會造成系統不正常,這樣木馬就會很 容易暴露; 而由于端口掃描是需要時間的(一個很快的端口掃描器在遠程也需要大約二十分鐘才能掃完所有的端口),故而使用諸如54321的端口會讓你很難發現它 。在文章的末尾我給大家轉貼了一個常見木馬的端口表,你就對著這個表去查吧(不過, 值得提醒的是,冰河及很多比較新的木馬都提供端口修改功能,所以,實際上木馬能以任 意端口出現)

5.最新的隱身技朮
目前,除了冰河使用的隱身技朮外,更新、更隱蔽的方法已經出現,那就是-驅動程序及動態鏈接庫技朮(冰河3.0會采用這種方法嗎?)。
驅動程序及動態鏈接庫技朮和一般的木馬不同,它基本上擺脫了原有的木馬模式-監聽端口,而采用替代系統功能的方法(改寫驅動程序或動態鏈接庫)。這樣做的結果是:系統中沒有增加新的文件(所以不能用掃描的方法查殺)、不需要打開新的端口(所以不能用端口監視的方法查殺)、沒有新的進程(所以使用進程查看的方法發現不了它,也不能用kill進程的方法終止它的運行)。在正常運行時木馬幾乎沒有任何的癥狀,而一 旦木馬的控制端向被控端發出特定的信息后,隱藏的程序就立即開始運作......
事實上,我已經看到過幾個這樣類型的木馬,其中就有通過改寫vxd文件建立隱藏共享 的木馬...(江湖上又將掀起新的波浪)
冰河淺析 - 揭開木馬的神秘面紗(下)
作者:﹒ shotgun﹒yesky

四、破解篇(魔高一尺、道高一丈)

本文主要是探討木馬的基本原理, 木馬的破解并非是本文的重點(也不是我的長處),具體的破解請大家期待yagami的《特洛伊木馬看過來》(我都期待一年了,大家和我一起繼續期待吧,嘿嘿),本文只是對通用的木馬防御、? 籪隤k做一個小小的總結:
1.端口掃描
端口掃描是檢查遠程機器有無木馬的最好辦法, 端口掃描的原理非常簡單, 掃描程序嘗試連接某個端口, 如果成功, 則說明端口開放, 如果失敗或超過某個特定的時間(超時), 則說明端口關閉。(關于端口掃描,Oliver有一篇關于“半連接掃描”的文章,很精彩,那種掃描的原理? ㄓ茪@樣,不過不在本文討論的范圍之中)

但是值得說明的是, 對于驅動程序/動態鏈接木馬, 掃描端口是不起作用的。

2.查看連接
查看連接和端口掃描的原理基本相同,不過是在本地機上通過netstat -a(或某個第三方的程序)查看所有的TCP/UDP連接,查看連接要比端口掃描快,缺點同樣是無法查出驅動程序/動態鏈接木馬,而且僅僅能在本地使用。

3.檢查注冊表
上面在討論木馬的啟動方式時已經提到,木馬可以通過注冊表啟動(好像現在大部分的木馬都是通過注冊表啟動的,至少也把注冊表作為一個自我保護的方式),那么,我們同樣可以通過檢查注冊表來發現"馬蹄印",冰河在注冊表里留下的痕跡請參照《潛行篇》。

4.查找文件
查找木馬特定的文件也是一個常用的方法(這個我知道,冰河的特征文件是G_Server.exe吧? 笨蛋!哪會這么簡單,冰河是狡猾狡猾的......)冰河的一個特征文件是kernl32.exe(? a,偽裝成Windows的內核呀),另一個更隱蔽,是sysexlpr.exe(什么什么,不是超級解霸? ?)對!冰河之所以給這兩個文件取這樣的名字就是為了更好的偽裝自己, 只要刪除了這兩個文件,冰河就已經不起作用了。其他的木馬也是一樣(廢話,Server端程序都沒了,還能干嘛?)
黃鑫:"咳咳,不是那么簡單哦......"(狡猾地笑)
是的, 如果你只是刪除了sysexlpr.exe而沒有做掃尾工作的話,可能會遇到一些麻煩-就是你的文本文件打不開了,因為前面說了,sysexplr.exe是和文本文件關聯的,你還必須把文本文件跟notepad關聯上 ,方法有三種:
a.更改注冊表(我就不說了,有能力自己改的想來也不要我說,否則還是不要亂動的好)
b.在<我的電腦>-查看-文件夾選項-文件類型中編輯
c.按住SHIFT鍵的同時鼠標右擊任何一個TXT文件,選擇打開方式,選中<始終用該程序打開......>,然后找到notepad,點一下就OK了。(這個最簡單,推薦使用)
黃鑫:"我...我笑不起來了 "
提醒一下,對于木馬這種狡猾的東西,一定要小心又小心,冰河是和txt文件關聯的, txt打不開沒什么大不了,如果木馬是和exe文件關聯而你貿然地刪了它......你苦了? I連regedit都不能運行了!

5.殺病毒軟件
之所以把殺病毒軟件放在最后是因為它實在沒有太大的用,包括一些號稱專殺木馬的軟件也同樣是如此, 不過對于過時的木馬以及菜鳥安裝的木馬(沒有配置服務端)還是有點用處的, 值得一提的是最近新出來的ip armor在這一方面可以稱得上是比較領先的,它采用了監視動態鏈接庫的技朮,可以監視 所有調用Winsock的程序,并可以動態殺除進程,是一個個人防御的好工具(雖然我對傳說中“該軟件可以查殺未來十年木馬”的說法表示懷疑,嘿嘿,兩年后的? ˙﹞ㄡM,誰知道十年后木馬會“進化”到什么程度?甚至十年后的操作系統是什么 樣的我都想象不出來)

另外,對于驅動程序/動態鏈接庫木馬,有一種方法可以試試,使用Windows的"系統文件檢查器",通過"開始菜單"-"程序"-"附件"-"系統工具"-"系統信息"-"工具"可以運行"系統文件檢查器"(這么詳細,不會找不到吧? 什么,你找不到! 吐血! 找一張98安裝盤補裝一下吧), 用“系統文件檢查器”可檢測操作系統文件的完整性,如果這些文件損壞,檢查器可? H將其還原,檢查器還可以從安裝盤中解壓縮已壓縮的文件(如驅動程序)。如果你的驅動程序或動態鏈接庫在你沒有升級它們的情況下被改動了, 就有可能是木馬(或者損壞了),提取改動過的文件可以保証你的系統安全和穩定。(注? N,這個操作需要熟悉系統的操作者完成,由于安裝某些程序可能會自動升級驅動程序或 動態鏈接庫,在這種情況下恢復"損壞的"文件可能會導致系統崩潰或程序不可用!)


五、狡詐篇(只要你的一點點疏忽......)

只要你有一點點的疏忽,就有可能被人安裝了木馬,知道一些給人種植木馬的常見伎? 鴾_保証自己的安全不無裨益。
1.網上“幫”人種植木馬的伎倆主要有以下的幾條
a.軟哄硬騙法﹔
這個方法很多啦, 而且跟技朮無關的, 有的是裝成大蝦, 有的是裝成PLMM, 有的態度謙恭, 有的......反正目的都一樣,就是讓你去運行一個木馬的服務端。
b.組裝合成法
就是所謂的221(Two To One二合一)把一個合法的程序和一個木馬綁定,合法程序的功能不受影響,但當你運行? X法程序時,木馬就自動加載了,同時,由于綁定后程序的代碼發生了變化,根據特征碼掃描的殺毒軟件很難查找出 來。
c.改名換姓法
這個方法出現的比較晚,不過現在很流行,對于不熟練的windows操作者,很容易上當。 具體方法是把可執行文件偽裝成圖片或文本----在程序中把圖標改成Windows的默認圖片圖標, 再把文件名改為*.jpg.exe, 由于Win98默認設置是"不顯示已知的文件后綴名",文件將會顯示為*.jpg, 不注意的人一點這個圖標就中木馬了(如果你在程序中嵌一張圖片就更完美了)
d.愿者上鉤法
木馬的主人在網頁上放置惡意代碼,引誘用戶點擊,用戶點擊的結果不言而喻:開門? 扔s;奉勸:不要隨便點擊網頁上的鏈接,除非你了解它,信任它,為它死了也愿意...(什么亂七八糟呀)

2. 幾點注意(一些陳詞濫調)
a.不要隨便從網站上下載軟件,要下也要到比較有名、比較有信譽的站點,這些站點一般都有專人殺馬殺毒﹔
b.不要過于相信別人,不能隨便運行別人給的軟件﹔
(特別是認識的,不要以為認識了就安全了,就是認識的人才會給你裝木馬,哈哈,挑撥? 鰶?.....)
c.經常檢查自己的系統文件、注冊表、端口什么的,經常去安全站點查看最新的木馬 公告﹔
d.改掉windows關于隱藏文件后綴名的默認設置(我是只有看見文件的后綴名才會放心地點它的)
e.如果上網時發現莫名奇妙地硬盤亂響或貓上的數據燈亂閃,要小心﹔
(我常常會突然關掉所有連接,然后盯著我的貓,你也可以試試,要是這時數據傳送燈還在拼命閃,恭喜,你中木馬了,快逃吧!)

六、后 記

這篇文章的問世首先要感謝冰河的作者-黃鑫,我對他說:“我要寫篇關于冰河的文章”,他說:“寫唄”,然后就有了這篇? 撜鼓漯儠Z(黃鑫:“不是吧,你答應要用稿費請我吃飯的,不要賴哦”),隨后,黃鑫給我提了? 雃h建議并提供了不少資料,謝謝冰河。
其次是西祠的yagami,他是公認的木馬專家,在我寫作期間,他不僅在木馬的檢測、? ㄓ霅探ㄔX了不少自己的看法,還給我找來了幾個木馬的源代碼作為參考,不過這個 家伙實在太忙,所以想看《特洛伊木馬看過來》的朋友就只有耐心地等待了。
第三個值得一提的家伙是武漢人,我的初稿一出來,他就忙不迭地貼出去了,當時我? 鳦T狽,只能加緊寫,爭取早日完成,趕快把漏洞百出的初稿換下來,要不然,嘿嘿,估計大家也要等個一年半載的才能看到這篇文章了。
這篇文章的初稿出來以后,有很多朋友問:為什么不用C++,而要用VB來寫木馬的源碼 說明呢?呵呵,其一是我很懶,VB比 VC要容易多了,還不會把windows搞死機(我用VC寫程序曾經把系統搞崩潰過的:P);其二 ,本文中能用API的,我基本上都用了,VB只是很小的一塊, WINAPI嘛,移植起來是很容易的;其三,正如我前面強調的,本文只是對木馬的結構和原? z進行一番討論,并非教人如何編寫木馬程序,要知道,公安部已經正式下文:在他人計算 機內下毒的要處以刑事處分。相比而言,VB代碼的危害性要小很多的(如果完全用VB做一個冰河,大概要一兆多,還不連那些控件和動態鏈接庫文件,呵呵? A這么龐大的程序,能 悄 悄 地在別人的機子里搗鬼嗎?)
最后,作為冰河的朋友,我希望大家能抱著學朮的態度來看這篇文章,同樣能抱著學? 漯犖A度來看待冰河木馬,不要用冰河做壞事,我替黃鑫先謝謝你了!(監視自己的女? B友不算,不過冰河不會對因為使用冰河導致和女友吵架直至分手負任何責任. 表情


[ 此文章被mn1212在2005-03-14 00:38重新編輯 ]



獻花 x0 回到頂端 [樓 主] From:廣東省 | Posted:2005-03-11 23:23 |
lukkkkk
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x1
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

好文章,畢竟知己知彼,才能永保安康.thank.


獻花 x0 回到頂端 [1 樓] From:台灣數位聯合 | Posted:2005-11-25 12:38 |
barry7603 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x30
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

冰河...
就小弟的淺見...他已經成為所有防毒軟體、防火牆的黑名單木馬
大部分只要冰河推出更新
許多防毒軟體更新的病毒碼都有算在內
不過看文章應該只是用兵冰河當範本吧...
最近比較火熱的應該是大陸製的灰鴿子
不知道是否大大有沒有對他的說明.....
謝謝大大阿...


獻花 x0 回到頂端 [2 樓] From:台灣中華電信 | Posted:2005-12-15 01:06 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

剛好晚了一年365天 回答樓主的問題 不知道來不來的及
主要是想把這篇文章推上來 表情


爸爸 你一路好走
獻花 x0 回到頂端 [3 樓] From:臺灣和信超媒體寬帶網 | Posted:2006-12-15 19:59 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.057957 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言