手机随时阅读
新人专享大礼包¥24
【IT专家网独家】杀毒软件根据其定义的特征码,查杀了系统中的病毒木马就万事大吉功成身退了。却把一个千疮百孔的系统留给了我们,杀毒后遗症成了我们心中永远的痛!杀软不过就是个软件,打扫杀毒后的战场,做好善后工作还得靠我们自己。 一. 启动相关 案例1:开机后桌面每次都弹出“加载xx文件时出错,找不到指定文件”的提示框。(图1) &n
电脑用户与病毒、木马的斗争不亚于一场战争,而且旷日持久!战争中,杀毒软件或存妇人之仁,不能除恶务尽,或悄无声息地倒下了。伟大的孙子兵法,不仅被应用于人类社会的战争,而且适用于这场战争。在与病毒、木马的赤膊大战中灵活运用孙子兵法,你就会取得最后的胜利。下面看我手工杀毒之“三十六计”...... 一、声东击西 说明:在平常的操作中,一些病毒因为正被调用而无法删除,我们常常要到DOS环境下查
编者按:当大家看到这个题目的时候一定会觉得手工杀毒真的很简单吗?笔者写这个文章的目的就是让所有菜鸟在面对病毒的时候能轻而易举的狙杀掉它,而不是重装系统,或者在重装N次系统以后无奈的选择格式化,结果却依然无法将讨厌的病毒驱逐出你可怜的电脑。 今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒(
来源:精灵's blog找了两天终于找到这个工具了,郁闷的很.想要的都来下吧.需要winpcap支持.07年的工具,到现在市面上都没有,可见此工具内部人员把握的够狠,前几个月AK偶然得到,看了看也没太用过,今天听sink说网络上连个说明都没有,所以我就发出来份吧!-Amxking(今天听某小组成员说此工具是他们开发的,证实了是07年工具,而非06年,特此修正.)usage: hijack <
Team: [url]http://www.ph4nt0m.org[/url]Author: 云舒([url]http://www.icylife.net[/url])Date: 2007-12-07这是一篇好玩的文章,它并不是讲SYN Flood的攻击原理的,也不描述防御攻击的解决方案。在这里,我会随便说说几个通常被设备厂商或无意,或有意隐藏的几个细节。如果你在考虑买防御攻击的设备,希望这个文章
【IT专家网独家】这篇文章源于一个案例:笔者所在地某学校现有机器约310台,其中110台是教师用机,其它的机器为学生用机。一般情况下,只有教师机器上网,学生机只有在上计算机课时,才会开机上网,网络运行一直顺畅。半个月以前,局域网频繁断网,文件共享、网络打印速、网络传输度突然变得缓慢,甚至失去响应。估计是ARP病毒在局域网爆发了,由于ARP病毒的隐蔽性和欺骗性,于是决定通过网络分析软件进行分析,最终
现在网络上有众多的安全工具可以实现扫描一个范围的端口和IP地址。不过,一个入侵监测系统(IDS)一般将能够捕获这种明显的扫描行为,然后它可以通过阻挡源IP地址来实现关闭这个扫描,或者自动向安全管理员告警:一个针对开放端口进行的大范围快速扫描产生了多条日志条目! 图1、扫描行为是黑客攻击的前奏 但是,多数认真的攻击者一般不会通过执行这种扫描来暴露自己的意图。相反,他们将会放慢
Arp反欺骗策略 近来与Arp相关恶意软件越来越猖獗,受害者的也不少,国内的各大杀毒厂商也纷纷推出Arp防火墙。但大部分防火墙虚有其表,原因下面会具体介绍。这篇文章不是科普,主要是思路,更想起到抛砖引玉的作用。让世界清静一点。此外,末学接触并熟悉Arp协议到写出Arp欺骗和反欺骗的test code,前前后后也不过一个星期多一点的时间。经验有限,疏漏之处,再所难免,各位见谅。Arp协议和Arp欺
数字签名主要经过以下几个过程: 信息发送者使用一单向散列函数(HASH函数)对信息生成信息摘要; 信息发送者使用自己的私钥签名信息摘要; 信息发送者把信息本身和已签名的信息摘要一起发送出去; &nb
文章作者:xyzreg作者网站:[url]http://www.xyzreg.net[/url]信息来源:邪恶八进制信息安全团队(forum.eviloctal.com)这是今年我在XCON2007(安全焦点信息安全技术峰会)所演讲的议题,现在提供ppt资料下载地址: [url]http://www.xyzreg.net/down/xcon2007_xyzreg.rar[/url]议题介绍: 主动
一、ARP协议工作原理 在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址(物理地址)寻址的。因此,必须建立IP地址与MAC地址之间的对应(映射)关系,ARP协议就是为完成这个工作而设计的。 TCP/IP协议栈维护着一个ARP cache表,在构造网络数据包时,首先从ARP表中找目标IP对应的MAC地址,如果找不到,就发一个A
有些时候呢,浏览网页的时候会中木马,甚至更严重是硬盘的数据被病毒格式化,这是什么原因呢?这是因为网页中被植入了恶意的代码,导致你打开运行的时候恶意代码强制在你的电脑上执行的原因。对于这种现象我们应该采取什么样的办法来防范呢,我建议设置一下IE浏览器的安全选项,升级IE版本,打上系统补丁,还有本人现在都不使用IE浏览器来浏览网页,因为很多病毒木马的设计都是利用IE浏览器的漏洞和缺陷。在这里向大家推荐
简单认识Anti-RootKit作者:single现在RK(rootkit)和ARK(anti-rootkit)的斗争已经进行了很久,在印象中最早出来的ARK工具是冰刃(IceSword),从冰刃开始出来到现在RK和ARK的斗争一直在继续,目前冰刃还是在流行当中,自己感觉也正是冰刃的出来才带动了当前流行的RK和ARK的斗争 呵呵,现在很多病毒木马已经广泛的带有驱动,使用一些RK的技术和方法使自己更
GinaBackDoor简单实现 WriteBy: LionD8 首先要介绍Gina的在windows中的作用。NT,2K等都是多用户的系统,在进入用户shell前都有一个身份验证的过程。这个验证的过程就是由我们的Gina完成的。Gina除了验证用户身份以外还要提供图形登陆界面。系统默认的Gina
该程序使用c++编写0053C9C0是一个对象指针0053C9C4也是一个对象指针mov ecx, xxxxxxxxcall xxxxxxx 这种形式一般都是调用成员函数,没有重载的非虚函数mov ecx,aaaaaaaaaamov eax,[ecx]call [eax+xxxxx] 一般是调用重载过的函数,因为要取虚函数表如果发现call [reg+xxxx] 前面的那个ecx不等于对象地址,
author: void#ph4nt0m.orgpublish: 2007-09-27maxthon2(遨游2) mxsafe.dll对网页木马的防护以及绕过-----------------------------------------------------------------------maxthon2启动的时候装载mxsafe.dll对一些api进行了hook.在浏览器里运行程序,如
IceSword版本:1.20cn 修订号:061022 ----------------------------------------------------0. 进程 (略) 1. 端口 IS调用IoBuildDeviceIoControlRequest分别向Tcpip.sys所创建的TCP设备对象和UDP设备对象发送IRP,在输出缓冲区中将返回端口/IP/状态/
Be aware of the threat of hidden keystroke-logging devices请注意隐藏击键记录设备的威胁 Date: September 20th, 2007日期: 2007-09-20 Blogger: Mike Mullins博客:Mike Mullins翻译:endurer 2007-09-27 第1版Category: Spyware, Malw
许多人对于自己的数据和网络目前有一种虚假的安全感;在边界安装了防火墙、在桌面上安装了防病毒和防间谍软件工具、使用加密技术发送和保存数据;此外,微软及各大安全公司不断增强安全工具和补丁程序……似乎可以松口气了,但果真如此吗?以下是有关安全的七大误解,不妨看看你的数据是否有你想象中的那么安全. 误解一、加密确保了数据得到保护 对数据进行加密是保护数据的一个重要环节,但不是绝无差错.Jon Or
纵观大千网络世界,网站被挂马比比皆是。这正应了那句老话“常在河边走,哪有不湿鞋?”黑客技术的日益发展,倒是在一定程度上加强了国内的安全性。但是,安全又是相对的。网络的无约束性导致了黑客技术的泛滥使用。细看一些大站点,亦或多或少被黑客植入了网页木马,让许多没有意识到危险的人们一如既往、前赴后继浏览网页中,直到中招倒下••• &
喜欢Q妹的Q友得注意了,小心中招 今天想在网上下载一些QQ表情头像来丰富一下自己的QQ表情内容,便来到一个叫QQ妹([url]http://www.qqmei.net[/url])的网站,可当我打开此网站的首页时,终截者抗病毒软件弹出IE保护提示信息(如图1所示),我点击“显示更多的详细信息”,发现该网站正试图下载一个以数字命名的E
被病毒蹂躏得不能打开杀毒网站或杀毒软件后的有效措施 前几天有个朋友打电话告诉我,他的电脑被感染病毒,且无法查杀,叫我过去帮帮忙修理那可恶的病毒,于是我便过去了。 过去后,发现只要是想打开杀毒软件或带有“病毒”、“杀毒”字样的网站,便会自动关闭,但能正常访问其它网站;进入安全模式时,便总是重启机器,让你永
HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻译软件,就是靠HOOK TextOut()或ExtTextOut()这两个函数实现的,在操作系统用这两个函数输出文本之前,就把相应的英文替换成中文而达到即时翻译;IFS和N
前言Cmd Shell(命令行交互)是黑客永恒的话题,它历史悠久并且长盛不衰。本文旨在介绍和总结一些在命令行下控制Windows系统的方法。这些方法都是尽可能地利用系统自带的工具实现的。文件传输对于溢出漏洞获得的cmd shell,最大的问题就是如何上传文件。由于蠕虫病毒流行,连接ipc$所需要的139或445端口被路由封锁。再加上WinXP系统加强了对ipc$的保护,通过ipc$及默认共享上传文
很多朋友都碰到过这样的现象:打开一个网站,结果页面还没显示,杀毒软件就开始报警,提示检测到木马病毒。有经验的朋友会知道这是网页病毒,但是自己打开的明明是正规网站,没有哪家正规网站会将病毒放在自己的网页上吧?那么是什么导致了这种现象的发生呢?其中最有可能的一个原因就是:这个网站被挂马了。 挂马这个词目前我们似乎经常能听到,那么什么是挂马呢?挂马就
现在局域网中感染ARP病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料。 ARP病毒的症状 有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对
实现在很多人说到挂马,还是比较担心自己的安全,毕竟现在太多的牛人来打造免杀木马,但是我却不把这些木马放在眼里,为什么?听我细细道来,一个木马下载到本地,运行并且关联到注册表中,前提还是一个权限问题,其实很多木马本身就不具备权限这个概念,完全是依赖你系统用户的权限来运行,调用木马的用户具备什么权限那么木马本身就具备什么权限,这个道理我想大家都明白吧。 这里牵扯到一个权限依赖的问题,举个简单的例子,一
一。 隐藏HTML扩展名的TXT文件 假如您收到的邮件附件中有一个看起来是这样的文件:QQ 放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的实际文件名可以是QQ 放送.txt{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文
文章作者:冷月孤枫 备注:QQ:89224874 &n
一. 无处可寻的病毒大学生毕业后在一家公司担任计算机维护员的工作,这天主任把他找去维修一台出现异常的计算机,这台计算机上什么程序都未运行,可是机内安装的卡巴斯基杀毒软件却在不停的提示在系统目录发现特洛伊木马程序,而后自动进行查杀,可是刚查杀完毕就又跳出了同样的提示,一旦断开网络连接,这个现象立刻终止,再连接网络,立即再次提示发现特洛伊木马程序……如此反复循环,最终导致任何正常工作都无法进行。由
Copyright © 2005-2022 51CTO.COM 版权所有 京ICP证060544号
