史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-03-28, 05:08 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 防止木馬入侵最有效果的辦法

防止木馬入侵最有效果的辦法(強)

  教大家防木馬的辦法,只針對網頁木馬,有效率90%以上,可以防止90%以上木馬在你的電腦上被執行,甚至殺毒軟體發現不了的木馬都可以禁止執行。先說一下原理。

  現在網頁木馬無非有以下幾種方式中到你的機器裡

  1:把木馬文件改成BMP文件,然後配合你機器裡的DEBUG來還原成EXE,網上存在該木馬20%

  2:下載一個TXT文件到你機器,然後裡面有具體的FTP^-^作,FTP連上他們有木馬的機器下載木馬,網上存在該木馬20%

  3:也是最常用的方式,下載一個HTA文件,然後用網頁控件解釋器來還原木馬。該木馬在網上存在50%以上

  4:採用JS指令碼,用VBS指令碼來執行木馬文件,該型木馬偷QQ的比較多,偷傳奇的少,大概占10%左右

  5:其他方式未知。。。。。。。。。。。。。

  現在我們來說防範的方法。。。。。。。。。不要丟金磚

  那就是把 windows\system\mshta.exe文件改名,

  改成什麼自己隨便 (s個屁和瘟2000是在system32下) 

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下為Active Setup controls新增一個關於CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然後在新鍵值下新增一個REG_DWORD 檔案類型的鍵Compatibility,並設定鍵值為0x00000400即可。

  還有windows\command\debug.exe和windows\ftp.exe都給改個名字 (或者移除) 

  一些最新流行的木馬 最有效果的防禦~~

  比如網路上流行 的木馬 smss.exe 這個是其中一種木馬的主體 潛伏在 98/winme/xp c:\windows目錄下 2000 c:\winnt .....

  假如你中了這個木馬 首先我們用工作管理器結束 正在執行的木馬smss.exe 然後在C:\windows 或 c:\winnt\目錄下 新增一個 價的 smss.exe 並設定為唯讀內容~ (2000/XP NTFS的磁牒格式 的話那就更好 可以用「安全性設定」 設定為讀取) 這樣木馬沒了~ 以後也不會在感染了 這個辦法本人測試過對很多木馬

  都很有效果的  

  經過這樣的修改後,我現在專門找別人發的木馬網址去測試,實驗結果是上了大概20個木馬網站,有大概15個瑞星會報警,另外5個瑞星沒有反映,而我的機器沒有增加出來新的EXE文件,也沒有新的工作出現,只不過有些木馬的殘骸留在了IE的臨時資料夾裡,他們沒有被執行起來,沒有危險性,所以建議大家經常清理 臨時資料夾和IE
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-04-22, 07:16 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

木馬的檢測、清除及其預防
在使用電腦的程序中您可能遇到過如下情況: 電腦反應速度發生了明顯變化,硬碟在不停地讀寫,滑鼠不聽使喚,鍵盤無效,自己的一些視窗在被關閉,新的視窗被莫名其妙地開啟,網路傳輸指示燈一直在閃爍……這些不正常現象表明: 您的電腦中了木馬病毒。
``  
``木馬的全稱是「特洛依木馬」,它們一般以尋找後門、竊取密碼為主。統計表明,現在木馬在病毒中所佔的比例已經超過了四分之一,而在去年湧起的病毒潮中,木馬類病毒佔絕對優勢,並將在未來的若干年內愈演愈烈。木馬是一類特殊的病毒,如果不小心把它當成一個軟體來使用,該木馬就會被「種」到電腦上,以後上網時,電腦控制權就完全交給了「黑客」,他便能通過跟蹤擊鍵輸入等方式,竊取密碼、信用卡號碼等機密資料,而且還可以對電腦進行跟蹤監視、控制、檢視、修改資料等操作。著名的「紅色程式碼」和前不久出現的「壞透了」病毒都屬於木馬病毒。木馬是一種破壞力十分強的黑客工具,那麼如何檢測木馬的存在,並徹底清除它們呢?下面介紹幾種防範和清除手段。
``  
``方法 通過啟動方式
``  
``由於木馬的隱蔽性非常強,在電腦開機的時候一般都會自動載入,在啟動之後大部分還會更改檔案名,因此從Windows系統自動載入文件的方式入手來分析木馬的存在並清除就很有意義。木馬自動載入的方法和存放的位置比較多,下面結合具體的實例來分析木馬的啟動並提出一般的木馬清除方法。
``  
``1.從表單中載入。如果自動載入的文件是直接通過在Windows表單上自訂增加的,一般都會放在主表單的「開始->程序->啟動」處,在Win98檔案總管裡的位置是「C:windowsstart menuprograms啟動」處。通過這種方式使文件自動載入時,一般都會將其存放在註冊表中下述4個位置上:
``  
``HKEY_CURRENT_USERSoftwareMicrosoft
``  
``WindowsCurrentVersionExplorerShell Folders
``  
``HKEY_CURRENT_USERSoftwareMicrosoft
``  
``WindowsCurrentVersionExplorerUser Shell Folders
``  
``HKEY_LOCAL_MACHINESoftwareMicrosoft
``  
``WindowsCurrentVersionexplorerUser Shell Folders
``  
``HKEY_LOCAL_MACHINESoftwareMicrosoft
``  
``WindowsCurrentVersionexplorerShell Folders
`` 
``通過這種方式實現木馬自動載入時,如果是在Win98系統下還可以直接執行Msconfig指令在「啟動」處檢視,下邊將要涉及的system.ini、win.ini、autoexec.bat等文件也都可以用這個指令來檢視。  
``通過表單啟動最典型的木馬例子是「求職信」 (W97M_Resume.A)病毒,這種新病毒除了試圖自動發出郵件實現連環感染之外,還會移除磁牒中的全部文件,帶這種病毒的郵件標題為:Resume-Janet Simons,帶有附件Explorer.doc,用戶一旦執行附加文件,即會遭到病毒傳染。如果將其手動式清除,除了需要移除該病毒文件之外,還需要做以下工作:
`(1)檢查cATAnormal.dot,直接移除該檔案。
``  
``(2)如果 C:windowsstartmenuprograms
``  
``startup目錄下有explorer.doc這個文件,移除它。
``  
``2. 通過win.ini和system.ini來載入木馬。在Windows系統中,win.ini和system.ini這兩個系統組態文件都存放在C:windows目錄下,你可以直接用記事本開啟。可以通過修改win.ini文件中windows節 的「load=file.exe ,run=file.exe」語句來達到木馬自動載入的目的。此外在system.ini中的boot節,正常的情況下是「Shell=Explorer.exe」(Windows系統的圖形介面指令解釋器)。如果此處修改成其他的可執行文件就可以實現木馬的載入,例如「妖之吻」病毒,電腦每次啟動後就自動執行程序yzw.exe,修改的方法是編輯 system.ini,將「shell=yzw.exe」還原為「shell=explorer.exe」就可以了。
``  
``前不久發生的TROJ_BADTRANS.A病毒,也是通過E-mail傳送的,它能將木馬種到用戶的電腦中以竊取用戶的資料,會更新win.ini以便在下一次重新開機時執行。執行清除的步驟如下:
``  
``(1)在DOS指令行中輸入win.ini並執行。
``  
``(2)將win.ini文本文件中:RUN=「C:%WINDIR%INETD.EXE」這行移除,僅保留「run=」。
``  
``(3)啟動病毒查殺毒軟體件,將搜尋出的帶有TROJ_BADTRANS.A病毒的文件移除 。
``  
``3. 通過在註冊表中實現。木馬只要被載入,儘管有可能會隱藏得比較好,但一般都會在註冊表中留下痕跡。一般來說,木馬在註冊表中自動載入的實現是在HKEY_LOCAL_MACHINESoftware
``  
``MicrosoftWindowsCurrentVersion下的RunServices、RunServicesOnce、Run、RunOnce等子鍵,以及 HKEY_CURRENT_USERSoftware
``  
``MicrosoftWindowsCurrentVersion下的Run、RunOnce、RunServices等子鍵處。
``  
``此外在註冊表中的HKEY_CLASSES_ROOT
``  
``exefileshellopencommand=「「%1」 %*」處,如果其中的「%1」被修改為木馬,那麼每次啟動一個該可執行文件時木馬就會啟動一次,例如著名的冰河木馬就是將TXT文件的Notepad.exe改成了它自己的啟動檔案,每次開啟記事本時就會自動啟動冰河木馬,做得非常隱蔽。  
``TROJ_NAVIDAD.A就是通過上述方式啟動的,它以E-mail夾帶附件「NAVIDAD.EXE」進行散播。如果執行該附件,電腦就會中毒,該病毒會將自己轉發給電腦通訊錄裡所有的好友名單,並修改Windows的註冊表。這種方式的木馬如果手動式清除,步驟如下:
``  
``(1)按鍵輸入DOS指令以重新命名regedit.exe為 regedit.com(本步驟可選)。

`(2)執行註冊表程序,找到下列鍵值 :
``  
``  HKEY_CLASSES_ROOT exefileshellopencommand。
``  
``(3)在這個鍵值中將Default的值「% windir%SYSTEMWINSVRC.EXE「「%1」%*」 where %windir%」中「「%1」%*」以外部分移除。
``  
``(4)同步驟 2,進入以下註冊表的值:
``  
``  HKEY_LOCAL_MACHINESoftwareMicrosoft
``  
``  WindowsCurrentVersionRun。
``  
``(5)選項Win32BaseServiceMOD = %windir%SYSTEMWINSVRC.EXE ,並移除。
``  
``(6)進入DOS模式,重新命名regedit.com為 regedit.exe。
``  
``(7)用查毒軟體在硬碟上搜尋所有含TROJ_
``  
``NAVIDAD.A病毒的文件,不管是否為隱含文件,一律移除。
``  
``4. 通過c:windowswininit.ini文件。很多木馬程序在這裡做一些小動作,這種方法往往是在文件的安裝程序中被使用,程序安裝完成之後文件就立即執行,與此同時安裝的原文件被Windows移除乾淨,因此隱蔽性非常強,例如在wininit.ini中如果Rename節有如下內容: NUL=c:windowspicture.exe,該語句將 c:windowspicture.exe發往 NUL, 這就意味著原來的文件pictrue.exe已經被移除,因此它執行起來就格外隱蔽。
``  
``5. Autoexec.bat。這是木馬在DOS模式下每次自動載入的方法,例如戀愛配對病毒轉寄的郵件主題為「Matcher」,而附件檔案名則為「matcher.EXE」。手動式清除該木馬可以按照如下步驟進行:
``  
``  (1)執行regedit指令並將HKEY_LOCAL_
``  
``  MACHINESoftwareMicrosoftWindows
``  
``  CurrentVersionRun的值「C:%winsys%matcher.exe」移除。
``  
``  (2)開啟autoexec.bat文件 ,將下列內容移除並儲存碟:
``  
``  echo off
``  
``  echo from: Bugger
``  
``  pause
``  
``(3)在電腦上用查毒軟體搜尋帶有troj_macher.a病毒的文件並將其移除。
``  
``6. 利用Explorer來載入文件。在Windows 95/98和Windows ME系統中,Explorer作為Windows圖形介面的指令解釋器,每次在系統啟動時載入,Explorer.exe的載入是通過system.ini文件來進行的。system.ini文件在組態中本身沒有提供路徑訊息,因此如果 c:explorer.exe存在,那麼將直接執行它,否則就會去執行 c:$winpathexplorer.exe。而對於Windows NT/2000系統來說,首先要「請示」Windows的註冊表 HKEY_LOCAL_MACHINE
``  
``SOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell來決定Windows管理系統必須載入的檔案名,在預設情況下 ,這個載入的文件就是 Explorer.exe。
``  
``一般情況下,如果木馬安裝在 c:explorer下,就不需要任何的鍵值和開始程序。如果c:explorer.exe是一個被綁定或者異常的文件,由於系統開始就會首先載入這個文件,因此用戶就可能被感染。
``  
``7. 隱藏文件後面名。在Windows系統註冊表中的HKEY_LOCAL_MACHINESoftware
``  
``CLASSESShellScrap下有一個鍵的名稱是「NeverShowExt」,此處NeverShowExt鍵的主要功能就是隱藏真正的文件後面名。一個檔案名為「Girl.jpg.shs」的文件,很可能在所有的程序中顯示為「Girl.jpg」,甚至包括在explorer中。如果註冊表中包含NeverShowExt這樣的鍵值,簡單的方法就是移除這個鍵值以便顯示所有真正的文件後面名,這樣就防止了木馬改名的可能性。
``  
``需要說明的是,對系統註冊表進行移除修改操作前一定要將註冊表制作備份,因為對註冊表操作有一定的危險性,加上木馬的隱藏較隱蔽,可能會有一些誤操作,如果發現錯誤,可以將制作備份的註冊表文件匯入到系統中進行恢復。

``方法 通過網路連接或者系統工作
``  
``1.通過網路連接
``  
``由於木馬的執行常通過網路的連接來實現的,因此如果發現可疑的網路連接就可以推測木馬的存在,最簡單的辦法是利用Windows原有的的Netstat指令來檢視。
``  
``一般情況下,如果沒有進行任何上網操作,在MS-DOS視窗中用Netstat指令將看不到什麼訊息,此時可以使用「netstat -a」,「-a」選項用以顯示電腦中目前所有處於監聽狀態的連接阜。如果出現不明連接阜處於監聽狀態,而目前又沒有進行任何網路服務的操作,那麼在監聽該連接阜的很可能是木馬。
``  
``2.通過系統工作
``  
``木馬即使再狡猾,它也是一個活動著的應用程式,一經執行,它就時刻駐停留在電腦系統的記憶體中,通過檢視系統工作可發現可疑工作,並以此來推斷木馬的存在。
``  
``在Win2000/XP中按下「CTL+ALT+DEL」,進入工作管理器,就可看到系統正在執行的全部工作,一一清查即可發現木馬的活動工作。
``  
``在Win98下,搜尋工作的方法不那麼方便,但有一些搜尋工作的工具可供使用,下面是比較著名的兩款工具,一個是Prcview,它非常小巧,不到90KB,功能卻很強大,是一個免費的綠色軟體,它的下載位址為http://www.onlinedown.net/down/PrcVi...細介紹。
``  
``通過檢視系統工作這種方法來檢測木馬非常簡便易行,但是對系統必須熟悉,因為Windows系統在執行時本身就有一些我們不是很熟悉的工作在執行著,因此這個時候眼睛一定要擦亮,不過木馬總是可以通過這種方法被檢測出來的。

``方法 直接使用殺毒軟體
``  
``上面介紹的方法都是手動式方式來檢測或者清除木馬,但一般情況下木馬沒有那麼容易就能發現,好在已經有了不少的反木馬軟體。查殺木馬比較有效的軟體主要有以下幾類,簡單介紹如下:
``  
``1. 常用的殺病毒工具軟體。木馬從某種意義上來說也是一種病毒,我們常用的病毒防護軟體也都可以實現對木馬的查殺,這些病毒防護軟體包括KV3000,Kill3000、瑞星等,這類軟體查殺其他病毒很有效,對木馬的檢查也比較成功,但徹底地清除不很理想,因為一般情況下木馬在電腦每次啟動時都會自動載入,而殺病毒軟體卻不能完全清除木馬文件,總的說來,殺病毒軟體作為防止木馬的入侵來說更有效。
``  
``2. 常用的網路防火牆軟體。現在的網路防火牆軟體比較多,一般的如國外的Lockdown,國內的天網、金山網鏢等。以「天網防火牆個人版」為例,防火牆啟動之後,一旦有可疑的網路連接或者木馬對電腦進行控制,防火牆就會報警,同時顯示出對方的IP位址、接入連接阜等提示訊息,通過手動式設定之後即可使對方無法進行攻擊。
``  
``利用防火牆來實現對木馬的查殺,只能檢測發現木馬並加以預防攻擊,但不能徹底清除它。
``  
``3. 專用的木馬查殺毒軟體件。我們對木馬不能只採用防範手段,還要將其斬草除根、徹底地清除,專用的木馬查殺毒軟體件一般都帶有這些特性,這類軟體目前也比較多,比如:The Cleaner、木馬剋星、木馬終結者等。

``方法 預防
``  
``隨著網路的普及,木馬的傳播越來越快,而且新的變種層出不窮,我們在檢測清除它的同時,更要注意採取措施來預防它,下面列舉幾種預防木馬的方法。
``  
``1. 不要執行任何來歷不明的軟體
``  
``很多木馬病毒都是通過綁定在其他的軟體中來實現傳播的,一旦執行了這個被綁定的軟體就會被感染,因此在下載軟體的時候需要特別注意,一般推薦去一些信譽比較高的站點。在軟體安裝之前一定要用反病毒軟體檢查一下,建議用專門查殺木馬的軟體來進行檢查,確定無毒後再使用。
``  
``2. 不要隨意開啟郵件附件
``  
``現在絕大部分木馬病毒都是通過郵件來傳送的,而且有的還會連環擴散,因此對郵件附件的執行尤其需要注意。
``  
``3. 重新選項新的客戶端軟體
``  
``很多木馬病毒主要感染的是Microsoft的OutLook和OutLook Express的郵件客戶端軟體,因為這兩款軟體全球使用量最大,黑客們對它們的漏洞已經洞察得比較透徹。如果選用其他的郵件軟體,例如Foxmail等,收到木馬病毒攻擊的可能性就將減小,至少不會反覆感染給通訊錄中的好友。 此外也可以直接通過Web方式來訪問信箱,這樣就能大大降低木馬病毒的感染概率。
``  
``4. 將檔案總管組態成始終顯示副檔名
``  
``將Windows檔案總管組態成始終顯示副檔名,一些文件副檔名為vbs、shs、pif的文件多為木馬病毒的特徵文件,如果碰到這些可疑的文件副檔名時就應該引起注意。
`` 
``5. 盡量少用共用資料夾
``  
``如果因工作等原因必須將電腦設定成共享,則最好單獨開一個共用資料夾,把所有需共享的文件都放在這個共用資料夾中,注意千萬不要將系統目錄設定成共享。
``  
``6. 執行反木馬既時監控程序
``  
``木馬防範重要的一點就是在上網時最好執行反木馬既時監控程序,The Cleaner等軟體一般都能既時顯示當前所有執行程序並有詳細的描述訊息。此外如加上一些專業的最新殺毒軟體、個人防火牆等進行監控基本就可以放心了。
``  
``7. 經常昇級系統
``  
``很多木馬都是通過系統漏洞來進行攻擊的,微軟公司發現這些漏洞之後都會在第一時間內發怖修正檔,很多時候打過修正檔之後的系統本身就是一種最好的木馬防範辦法。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 12:59 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1