| 作者:Snailsor http://club.it.sohu.com/ 呵呵,晚上好无聊,没事发帖子玩玩.正好心里打算做一系列活动,让网络安全版振作一下,从这里开始走出第一步吧!(玩传奇的注意了). 现在的木马是怎么进入你的电脑的?难道是FBI操作你的机器给你下的?计算机被入侵而中的木马?错!大多数的原因是你的浏览器.没错,就是IE.黑客往往利用IE的漏洞,让你上网浏览的时候中木马! 先来看看我的IE的情况,如下图:  相信你的IE也就是这样了,版本6.0,打了SP1补丁.其实打了SP1不是最安全的,还有N个小漏洞的补丁没有打,需要升级一下.另外内部资料,IE还有新的漏洞没有公布. 让我们继续,先来看看我系统的进程,一般人总是用"Alt Ctrl Delete"查看进程.其实这样做是不会让你得到最真实的进程信息的,这里推荐一款叫"柳叶擦眼"的软件.来看看我现在的进程,如下图:  看好了,一共有19个进程,都是正常的进程.我们现在继续. 现在我们登陆www.xxxx.com.为了完成本文,首先我给这个网页配置了木马.好,现在已经访问完毕了,再来看看我的进程,如下图:  看到了吧?我找到了一个可疑的程序!就是那个C:WINDOWSSYSTEMEXP10RER.EXE,问我为什么看它可疑呢.我的解释是:一般system目录下是不会有这样名字的文件的,看它就生疑,另外普通的exe文件的图标也不会是那样的吧?其实这个木马是我的. 现在我上我自己的传奇号. 上完了传奇号,我去那个木马发送密码信息的电子信箱看看,如下图:  呵呵,我的装备还不错吧?这个木马太狠了,居然连装备信息都发送了.怕怕~幸亏我有盛大密宝.(广告嫌疑,不过根据盗号经验看,盛大密宝无敌,盗号者顶多能知道你当前的密宝) 现在我们再来看看那个C:WINDOWSSYSTEMEXP10RER.EXE,入下图:  呵呵,不用说了!它就是木马,图片显示它的创建日期是我现在的日期,并且属性是"隐藏",呵呵,典型的"木马"特性! 现在我们来看看www.xxxx.com的网页源代码.(查看网页源代码的方法是:例如你要查www.sohu.com主页的源代码,则先打开IE到www.sohu.com,然后点"查看"-"源文件") 这个有木马的网站代码片段如下图:  呵呵,我找到了一段可疑的代码,就是用红线圈起来的,它的作用是打开http://www.ganzhou.info/bbs/emot/top.htm在该网页中显示,高度和宽度都是0.因为高度和宽度都是0,所以你看不到http://www.ganzhou.info/bbs/emot/top.htm的内容,但是实际上你已经浏览了它! 现在我们看看http://www.ganzhou.info/bbs/emot/top.htm,居然是空空的,我们查看它的源代码,如下图:  看懂这个还需要点计算机技术,我来解释一下吧,这个代码的意思就是自动下载与自己当前目录下的icyfox.js到你的计算机,并且释放出在icyfox.js中的木马程序,然后运行.(这个也就是那个C:WINDOWSSYSTEMEXP10RER.EXE的形成过程了!) 现在上肉鸡(肉鸡就是被控制的计算机)查一下那个icyfox.js,结果入下图:  嘿嘿,无奈了吧?居然查不出病毒! 你的宝贝装备就是这么丢的!来说说对策吧,或许你已经听了N次了,这里再重复一次,关注最新的漏洞,在微软的网站上可以查到,用一款有效的杀毒软件,什么X星啦,X霸了,还是放弃吧!建议用卡巴斯基和麦咖啡. 行文仓促,难免有不足之处.欢迎到搜狐社区IT频道网络安全(http://club.it.sohu.com/list-hack-0-0.html)和我讨论,我是Snailsor. |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-30 19:29 , Processed in 0.361182 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
