安全瀏覽網(wǎng)頁(yè) 巧妙防范網(wǎng)頁(yè)木馬侵?jǐn)_設(shè)置方法
更新時(shí)間:2007年11月05日 22:29:47 作者:
教大家防木馬的辦法,只針對(duì)網(wǎng)頁(yè)木馬,有效率90%以上??梢苑乐?0%以上木馬在你的機(jī)器上被執(zhí)行,甚至殺毒軟件發(fā)現(xiàn)不了的木馬都可以禁止執(zhí)行,先說(shuō)一下原理。
現(xiàn)在網(wǎng)頁(yè)木馬無(wú)非有以下幾種方式中到你的機(jī)器里:
1、把木馬文件改成BMP文件,然后配合你機(jī)器里的DEBUG來(lái)還原成EXE,網(wǎng)上存在該木馬20% ;
2、下載一個(gè)TXT文件到你機(jī)器,然后里面有具體的FTP連接,F(xiàn)TP連上他們有木馬的機(jī)器下載木馬,網(wǎng)上存在該木馬20%;
3、也是最常用的方式,下載一個(gè)HTA文件,然后用網(wǎng)頁(yè)控件解釋器來(lái)還原木馬,該木馬在網(wǎng)上存在50%以上;
4、采用JS腳本,用VBS腳本來(lái)執(zhí)行木馬文件,該型木馬偷QQ的比較多,偷傳奇的少,大概占10%左右;
5、其他方式未知。
現(xiàn)在我們來(lái)說(shuō)防范的方法,就是把 windows\system\mshta.exe文件改名,改成什么自己決定 (注意Windows2000和WindowsXp是在system32下)。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\下為Active Setup controls創(chuàng)建一個(gè)基于CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新鍵值下創(chuàng)建一個(gè)REG_DWORD 類(lèi)型的鍵Compatibility,并設(shè)定鍵值為0x00000400即可。
還有windows\command\debug.exe和windows\ftp.exe都給改個(gè)名字 (或者刪除) 。
一些最新流行的木馬最有效果的防御
比如網(wǎng)絡(luò)上流行的木馬 smss.exe,這個(gè)是其中一種木馬的主體,潛伏在 Windows98/WindowsMe/
WindowsXp的c:\windows目錄下,Windows2000的c:\winnt目錄下。
假如你中了這個(gè)木馬,首先我們用進(jìn)程管理器結(jié)束正在運(yùn)行的木馬smss.exe,,然后在c:\windows 或 c:\winnt\目錄下創(chuàng)建一個(gè)smss.exe,并設(shè)置為只讀屬性(2000/XP NTFS的磁盤(pán)格式的話(huà)那就更好,可以用“安全設(shè)置”設(shè)置為讀取)。這樣木馬沒(méi)了,以后也不會(huì)再感染了。這個(gè)辦法本人測(cè)試過(guò)對(duì)很多木馬,都很有效果。
經(jīng)過(guò)這樣的修改后,我現(xiàn)在專(zhuān)門(mén)找別人發(fā)的木馬網(wǎng)址去測(cè)試。實(shí)驗(yàn)結(jié)果是上了大概20個(gè)木馬網(wǎng)站,有大概15個(gè)瑞星會(huì)報(bào)警,另外5個(gè)瑞星沒(méi)有反映。而我的機(jī)器沒(méi)有添加出來(lái)新的EXE文件,也沒(méi)有新的進(jìn)程出現(xiàn)。只不過(guò)有些木馬的殘骸留在了IE的臨時(shí)文件夾里,他們沒(méi)有被執(zhí)行起來(lái),沒(méi)有危險(xiǎn)性,所以建議大家經(jīng)常清理臨時(shí)文件夾和IE。
現(xiàn)在網(wǎng)頁(yè)木馬無(wú)非有以下幾種方式中到你的機(jī)器里:
1、把木馬文件改成BMP文件,然后配合你機(jī)器里的DEBUG來(lái)還原成EXE,網(wǎng)上存在該木馬20% ;
2、下載一個(gè)TXT文件到你機(jī)器,然后里面有具體的FTP連接,F(xiàn)TP連上他們有木馬的機(jī)器下載木馬,網(wǎng)上存在該木馬20%;
3、也是最常用的方式,下載一個(gè)HTA文件,然后用網(wǎng)頁(yè)控件解釋器來(lái)還原木馬,該木馬在網(wǎng)上存在50%以上;
4、采用JS腳本,用VBS腳本來(lái)執(zhí)行木馬文件,該型木馬偷QQ的比較多,偷傳奇的少,大概占10%左右;
5、其他方式未知。
現(xiàn)在我們來(lái)說(shuō)防范的方法,就是把 windows\system\mshta.exe文件改名,改成什么自己決定 (注意Windows2000和WindowsXp是在system32下)。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\下為Active Setup controls創(chuàng)建一個(gè)基于CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新鍵值下創(chuàng)建一個(gè)REG_DWORD 類(lèi)型的鍵Compatibility,并設(shè)定鍵值為0x00000400即可。
還有windows\command\debug.exe和windows\ftp.exe都給改個(gè)名字 (或者刪除) 。
一些最新流行的木馬最有效果的防御
比如網(wǎng)絡(luò)上流行的木馬 smss.exe,這個(gè)是其中一種木馬的主體,潛伏在 Windows98/WindowsMe/
WindowsXp的c:\windows目錄下,Windows2000的c:\winnt目錄下。
假如你中了這個(gè)木馬,首先我們用進(jìn)程管理器結(jié)束正在運(yùn)行的木馬smss.exe,,然后在c:\windows 或 c:\winnt\目錄下創(chuàng)建一個(gè)smss.exe,并設(shè)置為只讀屬性(2000/XP NTFS的磁盤(pán)格式的話(huà)那就更好,可以用“安全設(shè)置”設(shè)置為讀取)。這樣木馬沒(méi)了,以后也不會(huì)再感染了。這個(gè)辦法本人測(cè)試過(guò)對(duì)很多木馬,都很有效果。
經(jīng)過(guò)這樣的修改后,我現(xiàn)在專(zhuān)門(mén)找別人發(fā)的木馬網(wǎng)址去測(cè)試。實(shí)驗(yàn)結(jié)果是上了大概20個(gè)木馬網(wǎng)站,有大概15個(gè)瑞星會(huì)報(bào)警,另外5個(gè)瑞星沒(méi)有反映。而我的機(jī)器沒(méi)有添加出來(lái)新的EXE文件,也沒(méi)有新的進(jìn)程出現(xiàn)。只不過(guò)有些木馬的殘骸留在了IE的臨時(shí)文件夾里,他們沒(méi)有被執(zhí)行起來(lái),沒(méi)有危險(xiǎn)性,所以建議大家經(jīng)常清理臨時(shí)文件夾和IE。
相關(guān)文章
黑客攻防實(shí)戰(zhàn) Windows系統(tǒng)克隆攻擊與防范
下面就由我給大家介紹一些常見(jiàn)的克隆用戶(hù)和檢查是否存在克隆用戶(hù)及清除的方法。2011-04-04華眾虛擬主機(jī)管理系統(tǒng) 6.0全能破解版+教程
下面介紹一下大致的安裝步驟(強(qiáng)烈申明,本軟件大家下載后作為個(gè)人測(cè)試使用,不要用商業(yè)用途,不然后果自負(fù)2006-07-07