篇一:病毒木马的基本防御和解决
病毒木马的基本防御和解决
关于病毒木马网上的资料实在是太多,怎么说都很难说是自己原创的文章,所以在此说明,凡是网上已经很详细的资料就不再多写了,主要是说明一个思路。这个文章本来是写给我的一位上海的朋友的,是很简单的东西。
说明:
1.因为我的朋友不大会用工具,所以这篇文章说的是不用任何工具的简单的对病毒木马的防御和解决.
2.解决的也是简单的木马病毒,一般使用电脑的用户。中了复杂的病毒木马我干脆重装。
3.针对的是我朋友的Windows XP 专业版本系统。
4.关于网上已经很详细的一些方法,不再做过多阐述。可自己搜索。
一.基本防御思想:备份胜于补救。
1.备份,装好机器之后,首先备份c盘(系统盘)windows里面,和C:\WINDOWS\system32下的文件目录。
运行,cmd命令如下;
dir/a C:\WINDOWS\system32 >c:\1.txt
dir/a c:\windows >c:\2.txt
这样就备份了windows和system32下面的文件列表,如果有一天觉得电脑有问题,同样命令列出文件,然后cmd下面,fc命令比较一下,格式为,假如你出问题那一天system32列表为3.txt,那么fc 1.txt 3.txt >c:/4.txt
(说明: dir/a是为了察看隐藏文件,备份位置放在c根目录是为了好找)
因为木马病毒大多要调用动态连接库,可以对system32进行更详细的列表备份,如下
cd C:\WINDOWS\system32
dir/a >c:\1.txt
dir/a *.dll >c:\>2.txt
dir/a *. >c:\>3.txt
然后把这些备份保存在一个地方,除了问题对比一下列表便于察看多出了哪些DLL或者文件,虽然有一些是安装软件的时候产生的,并不是病毒木马,但是还是可以提共很好的参考的。
2.备份进程中的DLL, CMD下面命令
tasklist/m >c:/dll.txt
这样正在运行的进程的DLL列表就会出现在c根目录下面。以后可以对照一下,比较方法如上不多说,对于DLL木马,一个一个检查DLL太麻烦了。直接比较方便一些。
3.备份注册表,
运行REGEDIT,文件——导出——全部,然后随便找一个地方保存。
4.备份C盘,(硬盘大的朋友使用,金州注释)
开始菜单,所有程序,附件,系统工具,备份,然后按这说明下一步,选择我自己选择备份的内容,然后把系统备份在一个你选定的位置。
出了问题,同样打开,选择还原,然后找到你的备份,还原过去就是了。
(金州说明,这个方法比系统还原好用,而且省心,只备份才安装时候的系统就
好,是最终解决方案。)
二,基本防御思想,防病胜于治病。
1.关闭共享,这个网上说得很多,可以自己搜索,金州不再详细说明。关闭139.445端口,终止xp默认共享。
2.关闭服务server,telnet, Task Scheduler, Remote Registry这四个。防止一般小黑客常用的at命令等等。其他的服务可以搜索相关资料自己看着办。(注意关闭以后定时杀毒定时升级之类的计划任务就不能执行了。)
3.控制面板,管理工具,本地安全策略,安全策略,本地策略,安全选项给管理员和guest用户从新命名,最好是起一个中文名字的,如果修改了管理员的默认空命令更好。不过一般改一个名字对于一般游戏心态的黑客就足够了对付了。高手一般不对个人电脑感兴趣。
4.网络连接属性里面除了tcp/ip协议全部其他的全部停用,或者干脆卸载。
5.关闭远程连接,桌面,我的电脑,属性,远程,里面取消就是了。也可以关闭Terminal Services服务,不过关闭了以后,任务管理器中就看不到用户名字了。 (金州注释,注意如果你是一个喜欢黑客技术的人并且准备学习研究黑客技术,以上设置不适合你,呵呵,另外相关安全细节网上资料很多,不再啰嗦。自己可以搜索看看。)
三,基本解决方法,进程服务注册表。
1. 首先应该对进程服务注册表有一个简单的了解,大约需要3个小时看看网上的相关知识应该就会懂得了。
2.检查启动项目,不建议使用运行msconfig命令,而要好好察看注册表的run项目,和文件关联,还有userinit,还有shell后面的explorer.是不是被改动。相关的不在多说,网上资料很多,有详尽的启动项目相关的文章。我只是说出思路。以下列出简单的35个常见的启动关联项目,(金州声明,不是我自己找出来的,只是觉得这个最全面一点。)
1. HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\.
4. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
5. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
6. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
7. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\up\
8. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
9. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
10. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
11. HKEY_LOCAL_MACHINE\Software\Microsoft\Active up\Installed
Components\
12. HKEY_LOCAL_MACHINE\System\CurrentControl\Servic es\VxD\
13. HKEY_CURRENT_USER\Control Panel\Desktop
14. HKEY_LOCAL_MACHINE\System\CurrentControl\Contro l\Session Manager
15. HKEY_CLASSES_ROOT\vbsfile\shell\open\command\
16. HKEY_CLASSES_ROOT\vbefile\shell\open\command\
17. HKEY_CLASSES_ROOT\jsfile\shell\open\command\
18. HKEY_CLASSES_ROOT\jsefile\shell\open\command\
19. HKEY_CLASSES_ROOT\wshfile\shell\open\command\
20. HKEY_CLASSES_ROOT\wsffile\shell\open\command\
21. HKEY_CLASSES_ROOT\file\shell\open\command\
22. HKEY_CLASSES_ROOT\comfile\shell\open\command\
23. HKEY_CLASSES_ROOT\batfile\shell\open\command\
24. HKEY_CLASSES_ROOT\scrfile\shell\open\command\
25. HKEY_CLASSES_ROOT\piffile\shell\open\command\
26. HKEY_LOCAL_MACHINE\System\CurrentControl\Services\
27. HKEY_LOCAL_MACHINE\System\CurrentControl\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\
28. HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline
29. HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline
30. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
31. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectayLoad\
32. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
33. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
34. HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\
35. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\
(金州注释,凡是木马,必须要启动,所以这些简单的启动项目还是应该好好看一下的。)
3.检查服务,最简单的吧,服务列表太长,我估计你也不一定能全部记住。说一个简单的,运行msconfig,服务,把“隐藏所有的microsoft服务”选中,然后就看到了不是系统自带的服务,要看清楚啊,最后在服务里面找找看看属性,看看关联的文件。现在一般杀毒都要添加服务,我其实讨厌杀毒添加服务,不过好像是为了反病毒。
4.进程,这个网上资料更多,只说明两点,1.打开任务管理器,在“查看”,“选项列”中把“pid”选中,这样可以看到pid,所谓pid金州简单理解为就是进程的身份证,这样便于很多相关的处理。2.点一个进程的时候右键有一个选项,“打开所在目录”,这个很明显的,但是很多哥们都忽略了,这个可以看到进程文件所在的文件夹,便于诊断。
5.cmd下会使用,netstat –ano命令,觉得这一个命令对于简单的使用就可以了,可以查看协议端口连接和远程ip.
6.删除注册表{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
{0D43FE01-F093-11CF-8940-00A0C9054228}
两个项目,搜索到以后你会看到是两个和脚本相关的,备份以后删除,主要是防止一下网上的恶意代码
(金州注释:如果对脚本感兴趣,自己准备学习相关知识并且测试的朋友不要删除)
四,举一个简单的清除例子。
1.对象是包含在一个流行BT绿色软件里面的木马,杀毒可以杀出,但是错误判断为灰鸽子。有的杀毒杀不出来。以下说的是不用任何工具的判断和清除,当然任何工具中包括杀毒。
2.中毒判断:使用时候,忽然硬盘灯无故猛烈闪烁。系统有短暂速度变慢。有程序不正常的反映,怀疑有问题。
3.检查,服务发现多了一个不明服务,文件指向C:\Program Files\Internet Explorer下面的server.文件,明显的这不是系统自带的文件,命令行下察看端口,有一个平常没有得端口连接。进程发现不明进程。启动项目添加server..确定是木马。
4.清除:打开注册表,关闭进程,删除启动项目,注册表搜索相关服务名字,删除,删除源文件。同时检查temp文件夹,发现有一个新的文件夹,里面有一个“免杀.”文件,删除,清理缓存。当然最好是安全模式下进行。
5.对照原来备份的system32下面的dll列表,发现可疑dll文件,删除,也可以在查看选择“选择详细信息”选择上“创建日期”(这个系统默认是没有添加的),然后查看详细信息,按创建日期显示,可以发现新创建的文件。这个木马比较简单,没有修改文件日期。
(注释,这是一个简单的病毒,时间长了,记不住具体病毒开启的服务的名字和开启的端口了,只是说明一下思路。提醒的就是一定不要忘记了清理缓存,因为很多文件安装或者下载的时候是存在那里的,有时候忘记了清理,病毒如果关联在这个文件上,删除后还会出现的。)
篇二:WIN10系统开机出现脚本发生错误的解决方法
电脑中毒后被强制安装了未知脚本,每次开机都执行一次JS脚本,估计是要求联网然后让你电脑的病毒或者流氓程序保持最新版本,方便劫持。
而Win10也有估计是这个脚本的作者的程序作怪,发现硬盘里面有类似WINDOWS的系统文件夹都会自动拷贝一份病毒进去,这样就能保证用户一定能中招了。
传统的解决方法是进入安全模式然后找到对应的项目删除,但是这需要电脑高手分析才行。
你试试用360安全卫士,扫描一下你电脑中的流氓软件,还有检查一下开机启动项,启动的服务,把可以禁止的或者它推荐你禁止的统统禁止掉,估计就没事吧。
你还是安装一个比较厉害的杀毒软件,比方说卡巴斯基或者是NOD32这些东西,一个好的杀毒软件能够帮你自动解决这些问题。
篇三:漫谈流量劫持
漫谈流量劫持
一 、本地劫持
在鼠标点击的一刹那,流量在用户系统中流过层层节点,在路由的指引下奔向远程服务器。这段路程中短兵相接的战斗往往是最激烈的,在所有流量可能路过的节点往往都埋伏着劫持者,流量劫持的手段也层出不穷,从主页配置篡改、hosts劫持、进程Hook、启动劫持、LSP注入、浏览器插件劫持、http代理过滤、内核数据包劫持、bootkit等等不断花样翻新。或许从开机的一瞬间,流量劫持的故事就已经开始。
1.道貌岸然的流氓软件
“网址导航”堪称国内互联网最独特的一道风景线,从hao123开始发扬光大,各大导航站开始成为互联网流量最主要的一个入口点,伴随着的是围绕导航主页链接的小尾巴(推广ID),展开的一场场惊心动魄的攻防狙击战。一方面国内安全软件对传统IE浏览器的主页防护越来越严密, 另一方面用户体验更好的第三方浏览器开始占据主流地位,国内的流氓木马为了谋求导航量也开始“另辟蹊径”。
下面讲到的案例是我们曾经捕获到的一批导航主页劫持样本,历史活跃期最早可以追溯到2014年,主要通过多类流氓软件捆绑传播,其劫持功能模块通过联网更新获取,经过多层的内存解密后再动态加载。其中的主页劫持插件模块通过修改浏览器配置文件实现主页篡改,对国内外的chrome、火狐、safari、傲游、qq、360、搜狗等20余款主流浏览器做到了全部覆盖。实现这些功能显然需要对这批浏览器的配置文件格式和加密算法做逆向分析,在样本分析过程中我们甚至发现其利用某
漏洞绕过了其中2
款浏览器的主页保护功能,流氓作者可谓非常“走心”,可惜是剑走偏锋。
[1] 某软件下拉加载主页劫持插件
上图就是我们在其中一款软件中抓取到的主页劫持模块文件和更新数据包,可能你对数据包里这个域名不是很熟悉,但是提到“音速启动”这款软件相信安全圈内很多人都会有所了解,当年各大安全论坛的工具包基本上都是用它来管理配置的,伴随了很多像本文作者这样的三流小黑客的学习成长,所以分析这个样本过程中还是有很多感触的,当然这些木马劫持行为可能和原作者没有太大关系,听说这款软件
在停止更新几年后卖给了上海某科技公司,其旗下多款软件产品都曾被发现过流氓劫持行为,感兴趣的读者可以自行百度,这里不再进行更多的披露。
正如前面的案例,一部分曾经的老牌软件开始慢慢变质,离用户渐行渐远;另一方面,随着最近几年国内安全环境的转变,之前流行的盗号、下载者、远控等传统木马日渐式微,另外一大批披着正规软件外衣的流氓也开始兴起,他们的运作方式有以下几个特点:
1.冒充正规软件,但实际功能单一简陋,有些甚至是空壳软件,常见的诸如某某日历、天气预报、色播、输入法等五花八门的伪装形式,企图借助这些正常功能的外衣逃避安全软件的拦截,实现常驻用户系统的目的。
2.背后行为与木马病毒无异,其目的还是为了获取推广流量,如主页锁定,网页劫持、广告弹窗、流量暗刷、静默安装等等。而且其中很大一部分流氓软件的恶意模块和配置都通过云端进行下拉控制,可以做到分时段、分地区、分场景进行投放触发。
[2] 某流氓软件的云端控制后台
3.变种速度比较快,屡杀不止,被安全软件拦截清理后很快就会更换数字签名,甚至换个软件外壳包装后卷土重来。这些数字签名注册的企业信息很多都是流氓软件作者从其他渠道专门收购的。
[3]某流氓软件1
个月内多次更换数字签名证书逃避安全软件查杀
下面可以通过几个典型案例了解下这些流氓软件进行流量劫持的技术手法:
1)通过浏览器插件进行流量劫持的QTV系列变种,该样本针对IE浏览器通过BHO插件在用户网页中注入JS脚本,针对chrome内核的浏览器利用漏洞绕过了部分浏览器插件的正常安装步骤,通过篡改配置文件添加浏览器插件实现动态劫持。
《js脚本病毒》
由:免费论文网互联网用户整理提供,链接地址:
http://m.csmayi.cn/meiwen/24309.html
转载请保留,谢谢!
- 上一篇:胜利油田职代会
- 下一篇:微信哲理签名