-
为杀毒软件善后 打扫杀毒后的战场
【IT专家网独家】杀毒软件根据其定义的特征码,查杀了系统中的病毒***就万事大吉功成身退了。却把一个千疮百孔的系统留给了我们,杀毒后遗症成了我们心中永远的痛!杀软不过就是个软件,打扫杀毒后的战场,做好善后工作还得靠我们自己。
一. 启动相关
案例1:开机后桌面每次都弹出“加载xx文件时出错,找不到指定文件”的提示框。(图1)
&n
-
手工杀毒之“三十六计”
电脑用户与病毒、***的斗争不亚于一场战争,而且旷日持久!战争中,杀毒软件或存妇人之仁,不能除恶务尽,或悄无声息地倒下了。伟大的孙子兵法,不仅被应用于人类社会的战争,而且适用于这场战争。在与病毒、***的赤膊大战中灵活运用孙子兵法,你就会取得最后的胜利。下面看我手工杀毒之“三十六计”......
一、声东击西
说明:在平常的操作中,一些病毒因为正被调用而无法删除,我们常常要到DOS环境下查
-
手工清理病毒原来可以如此简单(图)
编者按:当大家看到这个题目的时候一定会觉得手工杀毒真的很简单吗?笔者写这个文章的目的就是让所有菜鸟在面对病毒的时候能轻而易举的狙杀掉它,而不是重装系统,或者在重装N次系统以后无奈的选择格式化,结果却依然无法将讨厌的病毒驱逐出你可怜的电脑。 今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒(
-
***工具hijack使用及下载
来源:精灵's blog找了两天终于找到这个工具了,郁闷的很.想要的都来下吧.需要winpcap支持.07年的工具,到现在市面上都没有,可见此工具内部人员把握的够狠,前几个月AK偶然得到,看了看也没太用过,今天听sink说网络上连个说明都没有,所以我就发出来份吧!-Amxking(今天听某小组成员说此工具是他们开发的,证实了是07年工具,而非06年,特此修正.)usage: hijack <
-
你到底遭受了多大的SYN Flood***?
Team: [url]http://www.ph4nt0m.org[/url]Author: 云舒([url]http://www.icylife.net[/url])Date: 2007-12-07这是一篇好玩的文章,它并不是讲SYN Flood的***原理的,也不描述防御***的解决方案。在这里,我会随便说说几个通常被设备厂商或无意,或有意隐藏的几个细节。如果你在考虑买防御***的设备,希望这个文章
-
网络分析软件应用实例:ARP病毒爆发了 谁干的?
【IT专家网独家】这篇文章源于一个案例:笔者所在地某学校现有机器约310台,其中110台是教师用机,其它的机器为学生用机。一般情况下,只有教师机器上网,学生机只有在上计算机课时,才会开机上网,网络运行一直顺畅。半个月以前,局域网频繁断网,文件共享、网络打印速、网络传输度突然变得缓慢,甚至失去响应。估计是ARP病毒在局域网爆发了,由于ARP病毒的隐蔽性和欺骗性,于是决定通过网络分析软件进行分析,最终
-
全面剖析慢速扫描***
现在网络上有众多的安全工具可以实现扫描一个范围的端口和IP地址。不过,一个***监测系统(IDS)一般将能够捕获这种明显的扫描行为,然后它可以通过阻挡源IP地址来实现关闭这个扫描,或者自动向安全管理员告警:一个针对开放端口进行的大范围快速扫描产生了多条日志条目!
图1、扫描行为是******的前奏
但是,多数认真的***者一般不会通过执行这种扫描来暴露自己的意图。相反,他们将会放慢
-
Arp反欺骗策略
Arp反欺骗策略
近来与Arp相关恶意软件越来越猖獗,受害者的也不少,国内的各大杀毒厂商也纷纷推出Arp防火墙。但大部分防火墙虚有其表,原因下面会具体介绍。这篇文章不是科普,主要是思路,更想起到抛砖引玉的作用。让世界清静一点。此外,末学接触并熟悉Arp协议到写出Arp欺骗和反欺骗的test code,前前后后也不过一个星期多一点的时间。经验有限,疏漏之处,再所难免,各位见谅。Arp协议和Arp欺
-
数字签名和加密的基本原理及其区别
数字签名主要经过以下几个过程:
信息发送者使用一单向散列函数(HASH函数)对信息生成信息摘要;
信息发送者使用自己的私钥签名信息摘要; 信息发送者把信息本身和已签名的信息摘要一起发送出去;
&nb
-
高级恶意软件技术新挑战——突破主动防御
文章作者:xyzreg作者网站:[url]http://www.xyzreg.net[/url]信息来源:邪恶八进制信息安全团队(forum.eviloctal.com)这是今年我在XCON2007(安全焦点信息安全技术峰会)所演讲的议题,现在提供ppt资料下载地址: [url]http://www.xyzreg.net/down/xcon2007_xyzreg.rar[/url]议题介绍: 主动
-
ARP协议的缺陷及ARP欺骗的防范
一、ARP协议工作原理
在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址(物理地址)寻址的。因此,必须建立IP地址与MAC地址之间的对应(映射)关系,ARP协议就是为完成这个工作而设计的。
TCP/IP协议栈维护着一个ARP cache表,在构造网络数据包时,首先从ARP表中找目标IP对应的MAC地址,如果找不到,就发一个A
-
网页恶意代码防疫与硬盘数据安全
有些时候呢,浏览网页的时候会中***,甚至更严重是硬盘的数据被病毒格式化,这是什么原因呢?这是因为网页中被植入了恶意的代码,导致你打开运行的时候恶意代码强制在你的电脑上执行的原因。对于这种现象我们应该采取什么样的办法来防范呢,我建议设置一下IE浏览器的安全选项,升级IE版本,打上系统补丁,还有本人现在都不使用IE浏览器来浏览网页,因为很多病毒***的设计都是利用IE浏览器的漏洞和缺陷。在这里向大家推荐
-
简单认识Anti-RootKit
简单认识Anti-RootKit作者:single现在RK(rootkit)和ARK(anti-rootkit)的斗争已经进行了很久,在印象中最早出来的ARK工具是冰刃(IceSword),从冰刃开始出来到现在RK和ARK的斗争一直在继续,目前冰刃还是在流行当中,自己感觉也正是冰刃的出来才带动了当前流行的RK和ARK的斗争 呵呵,现在很多病毒***已经广泛的带有驱动,使用一些RK的技术和方法使自己更
-
GinaBackDoor简单实现
GinaBackDoor简单实现 WriteBy: LionD8
首先要介绍Gina的在windows中的作用。NT,2K等都是多用户的系统,在进入用户shell前都有一个身份验证的过程。这个验证的过程就是由我们的Gina完成的。Gina除了验证用户身份以外还要提供图形登陆界面。系统默认的Gina
-
汇编代码对应的高级语言分析
该程序使用c++编写0053C9C0是一个对象指针0053C9C4也是一个对象指针mov ecx, xxxxxxxxcall xxxxxxx 这种形式一般都是调用成员函数,没有重载的非虚函数mov ecx,aaaaaaaaaamov eax,[ecx]call [eax+xxxxx] 一般是调用重载过的函数,因为要取虚函数表如果发现call [reg+xxxx] 前面的那个ecx不等于对象地址,
-
Maxthon2(遨游2) mxsafe.dll对网页***的防护以及绕过
author: void#ph4nt0m.orgpublish: 2007-09-27maxthon2(遨游2) mxsafe.dll对网页***的防护以及绕过-----------------------------------------------------------------------maxthon2启动的时候装载mxsafe.dll对一些api进行了hook.在浏览器里运行程序,如
-
IceSword&Rootkit Unhooker驱动简析
IceSword版本:1.20cn 修订号:061022 ----------------------------------------------------0. 进程 (略) 1. 端口 IS调用IoBuildDeviceIoControlRequest分别向Tcpip.sys所创建的TCP设备对象和UDP设备对象发送IRP,在输出缓冲区中将返回端口/IP/状态/
-
请注意隐藏击键记录设备的威胁
Be aware of the threat of hidden keystroke-logging devices请注意隐藏击键记录设备的威胁
Date: September 20th, 2007日期: 2007-09-20
Blogger: Mike Mullins博客:Mike Mullins翻译:endurer 2007-09-27 第1版Category: Spyware, Malw
-
不要被假象迷惑 网络安全的七大误区
许多人对于自己的数据和网络目前有一种虚假的安全感;在边界安装了防火墙、在桌面上安装了防病毒和防间谍软件工具、使用加密技术发送和保存数据;此外,微软及各大安全公司不断增强安全工具和补丁程序……似乎可以松口气了,但果真如此吗?以下是有关安全的七大误解,不妨看看你的数据是否有你想象中的那么安全.
误解一、加密确保了数据得到保护 对数据进行加密是保护数据的一个重要环节,但不是绝无差错.Jon Or
-
用dos命令破解网吧限制的方法和dos命令全集
一:就是网吧限制本地硬盘的访问。 一般情况下这有两种可能,一种就是简单的隐藏掉,另外一种是不但隐藏而且还禁止访问。而根据操作系统的不同,我发现一般98的系统都只是简单的隐藏,而XP或者2K的系统会做禁止访问限制。 对简单的隐藏,要破解很简单。利用批处理文件来: 新建(或者打开)一个记事本文件,输入: start c:\ &n
