网页木马防御

蓝图湾


	博客首页
	博客主人
	聚合订阅
	标签列表
	引用列表
	控制面板

博客日历

« July 2025 »
日	一	二	三	四	五	六
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

日志分类

[RSS] 默认分类 [6]
[RSS] 原创文章 [51]
[RSS] 随笔涂鸦 [4]
[RSS] 网文采撷 [58]
[RSS] 典藏软件 [21]
[RSS] 自编程序 [3]
[RSS] 学习笔记 [54]
[RSS] 内部资料 [5]
[RSS] 非技术类 [2]

日志排序

时间

点击

引用

日志归档

三月, 2006
四月, 2006
五月, 2006
六月, 2006
七月, 2006
十月, 2006
十一月, 2006
十二月, 2006
一月, 2007
二月, 2007
三月, 2007
四月, 2007

全部...

搜索文章


高级搜索

搜索评论

最新评论

目前无任何评论

07-17 - System

更多...

博客统计

分类: 9
文章: 204
评论: 0
标签: 3
附件: 103
引用: 0
今日访问: 20962
总访问量: 24990492

友情连接

安全天使
天下网盟
河北电信测速
河北网通测速
世界网络
网世界
TT购物
sysinternals
analogx
LinuxTOY
中国站长站
中国网管论坛
mikrotik官网
鬼仔的Blog
可疑文件检测
异次元の世界
水晶泡泡淘宝店
够趣堂
死性不改
可疑文件检测2
Go Daddy
一人游走
一个空间
可疑文件检测3
腾讯哈勃分析系统
软件缘
微步云沙箱
安芯网盾
在线工具
网吧维护工具

程序版权



冀ICP备05030027号

浏览模式

标准模式

列表模式

所有时间均为 GMT +8:00 北京时间

网页木马防御

网络上面危险多多，很多网页上面都被放置木马，且不说是网站站长所为，更是有很多耗子在行卑劣的行径。
教大家防木马的办法，只针对网页木马，有效率90%以上。可以防止90%以上木马在你的机器上被执行，甚至杀毒软件发现不了的木马都可以禁止执行，先说一下原理。

　　现在网页木马无非有以下几种方式中到你的机器里：

　　1、把木马文件改成BMP文件，然后配合你机器里的DEBUG来还原成EXE，网上存在该木马20% ;

　　2、下载一个TXT文件到你机器，然后里面有具体的FTP连接，FTP连上他们有木马的机器下载木马，网上存在该木马20%;

　　3、也是最常用的方式，下载一个HTA文件，然后用网页控件解释器来还原木马，该木马在网上存在50%以上;

　　4、采用JS脚本，用VBS脚本来执行木马文件，该型木马偷QQ的比较多，偷传奇的少，大概占10%左右;

　　5、其他方式未知。

　　现在我们来说防范的方法，就是把 windows\system\mshta.exe文件改名，改成什么自己决定 (注意Windows2000和WindowsXp是在system32下)。

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C}，然后在新键值下创建一个REG_DWORD 类型的键Compatibility，并设定键值为0x00000400即可。

　　还有windows\command\debug.exe和windows\ftp.exe都给改个名字 (或者删除) 。

　　一些最新流行的木马最有效果的防御

　　比如网络上流行的木马 smss.exe，这个是其中一种木马的主体，潜伏在 Windows98/WindowsMe/

　　WindowsXp的c:\windows目录下，Windows2000的c:\winnt目录下。

　　假如你中了这个木马，首先我们用进程管理器结束正在运行的木马smss.exe,，然后在c:\windows 或 c:\winnt\目录下创建一个smss.exe，并设置为只读属性(2000/XP NTFS的磁盘格式的话那就更好，可以用“安全设置”设置为读取)。这样木马没了，以后也不会再感染了。这个办法本人测试过对很多木马，都很有效果。

　　经过这样的修改后，我现在专门找别人发的木马网址去测试。实验结果是上了大概20个木马网站，有大概15个瑞星会报警，另外5个瑞星没有反映。而我的机器没有添加出来新的EXE文件，也没有新的进程出现。只不过有些木马的残骸留在了IE的临时文件夹里，他们没有被执行起来，没有危险性，所以建议大家经常清理临时文件夹和IE。

操作环境：windows xp sp1+IE SP1

21世纪随着网络的飞速发展,人们的生活越来越和网络紧密联系在一起,人们已经不可能离开网络,很难想象假如有一天全世界断网,这个世界会变成什么样.网络给我们带来拉很多乐趣,同时也给我们带来拉烦恼甚至灾难,人们在享受上网冲浪快感的同时却不得不面对可能被病毒,木马, 及黑客攻击的尴尬境况.可能你会说我有**防火墙,***杀毒软件,我只觉得好笑,要是你认为有这两样东西就万事大吉的话,那你就大错特错,凡是接触过木马的人都知道现在的主流木马几乎是清一色的反弹+dll注射型.可以很轻易的穿越防火墙,即使防火墙有所报警,假如没有丰富网络安全知识的话,普通人很难辨别到底是不是木马,到底该不该放行.杀毒软件我就更不用多讲拉,众所周知，反病毒软件使用的是基于特征码的静态扫描技术，即在文件中寻找特定十六进制串，如果找到，就可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了.只要稍微懂得汇编的人反汇编一下,修改一下杀毒软件的特征码(怎么修改特征码,《黑客防线》及其他黑客杂志，黑客网站都有详细的介绍），杀毒软件只能哑巴吃黄连，有苦说不出拉，再加上杀毒软件的先天不足，只能够杀已知、在网上公开的和杀毒网站拦截到的木马或者病毒，对于那些未知、没有公开的私人版木马则没有任何作用。再加上微软的windows漏洞不断，小洞1，3，5、大洞2，4，6星期天大小洞一起上，给原本就水生火热的网络，无疑是狠狠的添加拉一把火。尤其是ie漏洞，只要ie一出漏洞，那么网上又是一场腥风血雨，网页木
马肆虐，无数网民遭殃，自己的电脑被人控制不说，可能还会遭受经济损失。那么有什么办法不中任何网页木马或者任何网页病毒吗？答案是有的。我常常听到别人说防火墙和杀毒软件是上网的第一道防线，在下不敢苟同,我个人认为注册表才是第一道防线,防火墙和杀毒软件最多也只能算是底线,呵呵，是不是感到有点意外呢，没错只要我们配置好注册表，我敢说你任何脚本病毒也好，网页木马也好都不会中.好我们现在开始配置注册表之旅.应为本文是面对菜鸟的文章,我有必要在开始之前给大家讲讲注册表的概念. Windows注册表是帮助Windows控制硬件、软件、用户环境和Windows界面的一套数据文件，注册表包含在Windows目录下两个文件system.dat和user.dat里，还有它们的备份system.da0和user.da0。通过Windows目录下的regedit.exe程序可以存取注册表数据库.

在系统中注册表是一个记录32位驱动的设置和位置的数据库。当操作系统需要存取硬件设备，它使用驱动程序，甚至设备是一个BIOS支持的设备。无BIOS支持设备安装时必须需要驱动，这个驱动是独立于操作系统的，但是操作系统需要知道从哪里找到它们，文件名、版本号、其他设置和信息，没有注册表对设备的记录，它们就不能被使用。当一个用户准备运行一个应用程序，注册表提供应用程序信息给操作系统，这样应用程序可以被找到，正确数据文件的位置被规定，其他设置也都可以被使用。

　　注册表保存关于缺省数据和辅助文件的位置信息、菜单、按钮条、窗口状态和其他可选项。它同样也保存了安装信息（比如说日期），安装软件的用户，软件版本号和日期，序列号等。根据安装软件的不同，它包括的信息也不同。

　　然而，一般来说，注册表控制所有32位应用程序和驱动，控制的方法是基于用户和计算机的，而不依赖于应用程序或驱动，每个注册表的
参数项控制了一个用户的功能或者计算机功能。用户功能可能包括了桌面外观和用户目录。所以，计算机功能和安装的硬件和软件有关，对所
以用户来说项都是公用的.

大家现在应该了解注册表的的重要性拉吧,可以说注册表是各种对抗势力的兵家必争之地,要是被敌人控制拉注册表,你只有任人宰割的份.

网页木马及网页病毒,基本上都是利用拉各种最新的脚本漏洞或者ie漏洞而编写出来的,但漏洞出来,成功率的高低就要看编写网页木马作者的脚本的功力如何拉,脚本功力高者成功率相对也会比较高.我觉得一个作的好的网页木马2分漏洞,8分脚本.

前面说拉一大堆的理论,下面我们利用注册表开始手动配置一个任何网页木马,网页病毒都不怕的电脑.

     我们在注册表里依次找到下面的clsid和typelib及Interface的健值并且全部删除,这些东西对于普通的上网族及网络游戏玩家来说是丝毫没有用处的:
ADODB.Command                       {00000507-0000-0010-8000-00AA006D2EA4}
ADODB.Command1                      {0000022C-0000-0010-8000-00AA006D2EA4}
ADODB.Connection                    {00000514-0000-0010-8000-00AA006D2EA4}
ADODB.Connection1                   {00000293-0000-0010-8000-00AA006D2EA4}
ADODB.Parameter                     {0000050B-0000-0010-8000-00AA006D2EA4}
ADODB.Parameter1                    {00000231-0000-0010-8000-00AA006D2EA4}
ADODB.Stream                        {00000566-0000-0010-8000-00AA006D2EA4}
ADODB.Record                        {00000560-0000-0010-8000-00AA006D2EA4}
ADODB.Recordset                     {00000535-0000-0010-8000-00AA006D2EA4}
ADODB.Recordset.1                   {00000281-0000-0010-8000-00AA006D2EA4}
Internet.HHCtrl                     {ADB880A6-D8FF-11CF-9377-00AA003B7A11}
                                    {ADB880A1-D8FF-11CF-9377-00AA003B7A11}
                                    {ADB880A2-D8FF-11CF-9377-00AA003B7A11}
                                    {ADB880A3-D8FF-11CF-9377-00AA003B7A11}
HHCtrl.FileFinder                   {ADB880A4-D8FF-11CF-9377-00AA003B7A11}
HHCtrl.SystemSort                   {4662DAB0-D393-11D0-9A56-00C04FB68B66}
JavaScript                          {f414c260-6ac0-11cf-b6d1-00aa00bbbb58}
JavaScript Author                   {f414c261-6ac0-11cf-b6d1-00aa00bbbb58}
JScript.Encode                      {f414c262-6ac0-11cf-b6d1-00aa00bbbb58}
Microsoft.XMLHTTP                   {ED8C108E-4349-11D2-91A4-00C04F7969E8}
script                              {06290BD3-48AA-11D2-8432-006008C3FBFC}
Scripting.Dictionary                {EE09B103-97E0-11CF-978F-00A02463E06F}
Scripting.Encoder                   {32DA2B15-CFED-11D1-B747-00C04FC2B085}
                                    {420B2830-E718-11CF-893D-00A0C9054228}
Scripting.FileSystemObject          {0D43FE01-F093-11CF-8940-00A0C9054228}
                                    {420B2830-E718-11CF-893D-00A0C9054228}
Scripting.Signer                    {7E48C5CF-72F6-4C84-9F43-B04B87B31243}
Shell.Application                   {13709620-C279-11CE-A49E-444553540000}
                                    {50a7e9b0-70ef-11d1-b75a-00a0c90564fe}
Shell.LocalMachine                  {60664caf-af0d-0005-a300-5c7d25ff22a0}
Shell.User                          {60664caf-af0d-0003-a300-5c7d25ff22a0}
Shell.Users                         {60664caf-af0d-0004-a300-5c7d25ff22a0}
ShellNameSpace.ShellNameSpace       {55136805-B2DE-11D1-B9F2-00A0C98BC547}
                                    {EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}
SignedJavaScript                    {FC7D9F01-3F9E-11D3-93C0-00C04F72DAF7}
SignedVBScript                      {FC7D9F02-3F9E-11D3-93C0-00C04F72DAF7}
VBScript                            {B54F3741-5B07-11cf-A4B0-00AA004A55E8}
VBScript Author                     {B54F3742-5B07-11cf-A4B0-00AA004A55E8}
VBScript.Encode                     {B54F3743-5B07-11cf-A4B0-00AA004A55E8}
VBScript.RegExp                     {3F4DACA4-160D-11D2-A8E9-00104B365C9F}
WinHttp.WinHttpRequest.5.1          {2087c2f4-2cef-4953-a8ab-66779b670495}
WINMGMTS                            {172BDDF8-CEEA-11D1-8B05-00600806D9B6}
                                    {565783C6-CB41-11D1-8B02-00600806D9B6}
WScript.Network                     {093FF999-1EA0-4079-9525-9614C3504B74}
WScript.Shell                       {72C24DD5-D70A-438B-8A42-98424B88AFB8}
                                    {F935DC2B-1CF0-11D0-ADB9-00C04FD58A0B}
                                    {F935DC29-1CF0-11D0-ADB9-00C04FD58A0B}
                                    {F935DC28-1CF0-11D0-ADB9-00C04FD58A0B}
                                    {F935DC27-1CF0-11D0-ADB9-00C04FD58A0B}
                                    {F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}
                                    {F935DC25-1CF0-11D0-ADB9-00C04FD58A0B}
                                    {F935DC24-1CF0-11D0-ADB9-00C04FD58A0B}
                                    {F935DC23-1CF0-11D0-ADB9-00C04FD58A0B}
                                    {F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
                                    {F935DC21-1CF0-11D0-ADB9-00C04FD58A0B}
                                    {F935DC20-1CF0-11D0-ADB9-00C04FD58A0B}
                                    {24BE5A30-EDFE-11D2-B933-00104B365C9F}
                                    {24BE5A31-EDFE-11D2-B933-00104B365C9F}
                                    {563DC061-B09A-11D2-A24D-00104BD35090}
                                    {563DC060-B09A-11D2-A24D-00104BD35090}
                                    {41904400-BE18-11D3-A28B-00104BD35090}
这些做好以后,我们还不能完全松口气,还没有完呢,还记得电子书木马(也就是chm木马)么?这个木马可是在2003-2004年着实疯狂拉一把哦,解决
之到很容易,修改本地安全属性，相应的注册表键值为：

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0下的1004项的值由原来的0改为十六进制的
3,flags则改为1,再到IE里面好好的配置一下吧。也可以把HKEY_CLASSES_ROOT/PROTOCOLS/Handler,下面的“mhtml”、“mk”、“its"、"ms-
its"、"msitss"、“vbscript”、“ms-help”、“javascript”、“FILE”、“local",删掉或改名，你也可以不删，不过为拉安全，我是全
部删拉，大家可以放心删除上面这些我讲的所有键值，基本上对于我们系统没有什么影响，经我3个多月的测试，上网没有任何问题,除拉文件搜索及登陆时要采用win2000的登陆方式，其他还没发现问题，可以放心的删掉。在这里我想做个提醒，关于网页木马中的下载欺骗漏洞，我给出解决的办法，其实

很容易只要在IE安全“我的电脑里”禁止下载就可以，最好是INTERNET也是禁止下载，不采用IE下载，用FLASHGET或者其他下载工具。

到此为止，我们的配置注册表算是基本结束拉，第一道防线我已经帮你建好拉,现在你可以放心的上任何网站拉，不必再为怕中网页木马而担惊受怕拉，我们可以竟情的享受上网而带来的乐趣拉。不必担心再会受到网页木马或者网页病毒的攻击拉(假如你按照我说的做,甚至可以在不打IE补丁的情况下,也可以防止利用最新或者未知IE漏洞作出的网页木马)。

声明：本文没有任何技术，只是一点最基础的东西，但往往最简单的也是最有效的防范措施.以上只是自己上网时的一点心得,方便向我一样的使用盗版操作系统不好或者懒得打补丁的用户

唠叨:一些看起来很神秘的黑客技术,只要一揭穿原理也就不神奇拉,其实都是一些最基本的东西,比如上传漏洞,暴库,注射等等,最近看到bbsxp
的漏洞,其实原理还是利用拉sql injection,和《动网有史以来最大的漏洞》采用的都是同一手法。解决之道有两种：一种就是避免注射漏洞，
把代码写的严谨点、第二种就是不要给master和论坛数据库db_owner以上的权限，只给public权限，即使存在注射点，他也无法更改数据库(记
住千万不要给master，db_owner的权限，给拉，论坛数据库即使是public角色，还是可以照样拿到webshell,原因可以看我写的《PUBLIC也能拿
到WEBSHELL甚至系统权限》一文）

Submitted by 多情浪子 on 2007, February 28, 3:58 AM

引用(0)

引用地址: http://www.lantowan.org/trackback.php?id=55
只支持GB2312和UTF-8两种编码的Trackback

访客评论

已经有 10 人参与评论

添加评论