Ⅰ asp伺服器每個文件被加了代碼。請問原理以及解決辦法
第一步 首先你先進行批量刪除木馬 或者從新上傳一份 並且修改後台地址 帳號和密碼
第二步 檢測你網站 是不是有過濾不嚴格的現象 如果有在網上找個SQL防注入的代碼
第三步 檢測你的程序上傳 資料庫備份 以及論壇的資料庫備份 如果站上有資料庫備份的話 刪除就可以 要備份資料庫完全可以使用FTP來備份 其次就是上傳了 上傳入侵很多種 你用的什麼程序 你就在里找一下你的上傳漏洞分析解決方法就可以
第四步 如果站點還出現被掛馬現象 那就是伺服器問題了 你要是SQL的話 你要資料庫做分離了 不要在同一個伺服器就可以了
我在網上給你找了點材料 你看一下 希望對你有幫助
防範ASP木馬的十大基本原則 [來源:jit8 BLOG]
本文章地址:http://tech.163.com/05/1107/11/21V0IUDU000917GF.html
由於ASP它本身是伺服器提供的一貢服務功能,特別是最近由dvbbs的upfile文件出現漏洞以來,其高度的隱蔽性和難查殺性,對網站的安全造成了嚴重的威脅。因此針對ASP木馬的防範和清除,為網管人員提出了更高的技術要求.
幾個大的程序全部被發現存在上傳漏洞,小程序更是不計其數,讓asp木馬一下占據了主流,得到廣泛的使用,想必如果你是做伺服器的話,一定為此頭疼不止吧,特別是虛擬主機的用戶都遇到過網頁被篡改、數據被刪除的經歷,事後除了對這種行徑深惡痛絕外,許多客戶又苦於沒有行之有效的防範措施。鑒於大部分網站入侵都是利用asp木馬完成的,特寫此文章以使普通虛擬主機用戶能更好地了解、防範asp木馬。也只有空間商和虛擬主機用戶共同做好防範措施才可以有效防範asp木馬!
我們首先來說一下怎麼樣防範好了,說到防範我們自然要對asp木馬的原理了,大道理我也不講了,網上的文章有的是,簡單的說asp木馬其實就是用asp編寫的網站程序,甚至有些asp木馬就是由asp網站管理程序修改而來的。就比如說我們常見的asp站長助手,等等
它和其他asp程序沒有本質區別,只要是能運行asp的空間就能運行它,這種性質使得asp木馬非常不易被發覺。它和其他asp程序的區別只在於asp木馬是入侵者上傳到目標空間,並幫助入侵者控制目標空間的asp程序。嚴重的從而獲取伺服器管理員的許可權,要想禁止asp木馬運行就等於禁止asp的運行,顯然這是行不通的,這也是為什麼asp木馬猖獗的原因!有人要問了,是不是就沒有辦法了呢,不,有辦法的:
第一:從源頭入手,入侵者是怎麼樣上傳asp木馬的呢?一般喲幾種方法,通過sql注射手段,獲取管理員許可權,通過備份資料庫的功能將asp木馬寫入伺服器。或者進入後台通過asp程序的上傳功能的漏洞,上傳木馬等等,當然正常情況下,這些可以上傳文件的asp程序都是有許可權限制的,大多也限制了asp文件的上傳。(比如:可以上傳圖片的新聞發布、圖片管理程序,及可以上傳更多類型文件的論壇程序等),如果我們直接上傳asp木馬的話,我們會發現,程序會有提示,是不能直接上傳的,但由於存在人為的asp設置錯誤及asp程序本身的漏洞,給了入侵者可乘之機,實現上傳asp木馬。
因此,防範asp木馬的重點就在於虛擬主機用戶如何確保自己空間中asp上傳程序的安全上,如果你是用別人的程序的話,盡量用出名一點的大型一點的程序,這樣漏洞自然就少一些,而且盡量使用最新的版本,並且要經常去官方網站查看新版本或者是最新補丁,還有就是那些資料庫默認路徑呀,管理員密碼默認呀,一定要改,形成習慣保證程序的安全性。
那麼如果你是程序員的話,我還想說的一點就是我們在網站程序上也應該盡量從安全的角度上編寫涉及用戶名與口令的程序最好封裝在伺服器端,盡量少的在ASP文件里出現,涉及到與資料庫連接地用戶名與口令應給予最小的許可權; 需要經過驗證的ASP頁面,可跟蹤上一個頁面的文件名,只有從上一頁面轉進來的會話才能讀取這個頁面。防止ASP主頁.inc文件泄露問題; 防止UE等編輯器生成some.asp.bak文件泄露問題等等特別是上傳功能一定要特別注意
上面的只是對客戶的一些要求,但是空間商由於無法預見虛擬主機用戶會在自己站點中上傳什麼樣的程序,以及每個程序是否存在漏洞,因此無法防止入侵者利用站點中客戶程序本身漏洞上傳asp木馬的行為。空間商只能防止入侵者利用已被入侵的站點再次入侵同一伺服器上其他站點的行為。這也更加說明要防範asp木馬,虛擬主機用戶就要對自己的程序嚴格把關! 為此我總結了ASP木馬防範的十大原則供大家參考:
1、建議用戶通過ftp來上傳、維護網頁,盡量不安裝asp的上傳程序。
2、對asp上傳程序的調用一定要進行身份認證,並只允許信任的人使用上傳程序。
這其中包括各種新聞發布、商城及論壇程序,只要可以上傳文件的asp都要進行身份認證!
3、asp程序管理員的用戶名和密碼要有一定復雜性,不能過於簡單,還要注意定期更換。
4、到正規網站下載asp程序,下載後要對其資料庫名稱和存放路徑進行修改,資料庫文件名稱也要有一定復雜性。
5、要盡量保持程序是最新版本。
6、不要在網頁上加註後台管理程序登陸頁面的鏈接。
7、為防止程序有未知漏洞,可以在維護後刪除後台管理程序的登陸頁面,下次維護時再通過ftp上傳即可。
8、要時常備份資料庫等重要文件。
9、日常要多維護,並注意空間中是否有來歷不明的asp文件。記住:一分汗水,換一分安全!
10、一旦發現被入侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。
重新上傳文件前,所有asp程序用戶名和密碼都要重置,並要重新修改程序資料庫名稱和存放路徑以及後台管理程序的路徑。
做好以上防範措施,您的網站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恆的戰爭
Ⅱ 有誰可以詳細說說在任務管理器打開後裡面顯示的運行進程么
「木馬」程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也並不「刻意」地去感染其他文件,它通過將自身偽裝吸引用戶下載執行,向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種者的電腦。「木馬」與計算機網路中常常要用到的遠程式控制制軟體有些相似,但由於遠程式控制制軟體是「善意」的控制,因此通常不具有隱蔽性;「木馬」則完全相反,木馬要達到的是「偷竊」性的遠程式控制制,如果沒有很強的隱蔽性的話,那就是「毫無價值」的。
一個完整的「木馬」程序包含了兩部分:「伺服器」和「控制器」。植入被種者電腦的是「伺服器」部分,而所謂的「黑客」正是利用「控制器」進入運行了「伺服器」的電腦。運行了木馬程序的「伺服器」以後,被種者的電腦就會有一個或幾個埠被打開,使黑客可以利用這些打開的埠進入電腦系統,安全和個人隱私也就全無保障了!
病毒是附著於程序或文件中的一段計算機代碼,它可在計算機之間傳播。它一邊傳播一邊感染計算機。病毒可損壞軟體、硬體和文件。
病毒 (n.):以自我復制為明確目的編寫的代碼。病毒附著於宿主程序,然後試圖在計算機之間傳播。它可能損壞硬體、軟體和信息。
與人體病毒按嚴重性分類(從 Ebola 病毒到普通的流感病毒)一樣,計算機病毒也有輕重之分,輕者僅產生一些干擾,重者徹底摧毀設備。令人欣慰的是,在沒有人員操作的情況下,真正的病毒不會傳播。必須通過某個人共享文件和發送電子郵件來將它一起移動。
「木馬」全稱是「特洛伊木馬(TrojanHorse)」,原指古希臘士兵藏在木馬內進入敵方城市從而佔領敵方城市的故事。在Internet上,「特洛伊木馬」指一些程序設計人員(或居心不良的馬夫)在其可從網路上下載(Download)的應用程序或游戲外掛、或網頁中,包含了可以控制用戶的計算機系統或通過郵件盜取用戶信息的惡意程序,可能造成用戶的系統被破壞、信息丟失甚至令系統癱瘓。
一、木馬的特性
特洛伊木馬屬於客戶/服務模式。它分為兩大部分,既客戶端和服務端。其原理是一台主機提供服務(伺服器端),另一台主機接受服務(客戶端),作為伺服器的主機一般會打開一個默認的埠進行監聽。如果有客戶機向伺服器的這一埠提出連接請求,伺服器上的相應程序就會自動運行,來答應客戶機的請求。這個程序被稱為進程。
木馬一般以尋找後門、竊取密碼為主。統計表明,現在木馬在病毒中所佔的比例已經超過了四分之一,而在近年湧起的病毒潮中,木馬類病毒占絕對優勢,並將在未來的若干年內愈演愈烈。木馬是一類特殊的病毒,如果不小心把它當成一個軟體來使用,該木馬就會被「種」到電腦上,以後上網時,電腦控制權就完全交給了「黑客」,他便能通過跟蹤擊鍵輸入等方式,竊取密碼、信用卡號碼等機密資料,而且還可以對電腦進行跟蹤監視、控制、查看、修改資料等操作。
二、木馬發作特性
在使用計算機的過程中如果您發現:計算機反應速度發生了明顯變化,硬碟在不停地讀寫,滑鼠不聽使喚,鍵盤無效,自己的一些窗口在被關閉,新的窗口被莫名其妙地打開,網路傳輸指示燈一直在閃爍,沒有運行大的程序,而系統卻越來越慢,系統資源站用很多,或運行了某個程序沒有反映(此類程序一般不大,從十幾k到幾百k都有)或在關閉某個程序時防火牆探測到有郵件發出……這些不正常現象表明:您的計算機中了木馬病毒。
三、木馬的工作原理以及手動查殺介紹
由於大多玩家對安全問題了解不多,所以並不知道自己的計算機中了「木馬」該怎麼樣清除。因此最關鍵的還是要知道「木馬」的工作原理,這樣就會很容易發現「木馬」。相信你看了這篇文章之後,就會成為一名查殺「木馬」的高手了。(如果成不了高手建議大家用皮筋打斑竹家玻璃,嘿嘿)
「木馬」程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的只要把Form的Visible屬性設為False。ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為「系統服務」可以很輕松地偽裝自己。
A、啟動組類(就是機器啟動時運行的文件組)
當然木馬也會悄無聲息地啟動,你當然不會指望用戶每次啟動後點擊「木馬」圖標來運行服務端,(沒有人會這么傻吧??)。「木馬」會在每次用戶啟動時自動裝載服務端,Windows系統啟動時自動載入應用程序的方法,「木馬」都會用上,如:啟動組、win.ini、system.ini、注冊表等等都是「木馬」藏身的好地方。通過win.ini和system.ini來載入木馬。在Windows系統中,win.ini和system.ini這兩個系統配置文件都存放在C:windows目錄下,你可以直接用記事本打開。可以通過修改win.ini文件中windows節的「load=file.exe,run=file.exe」語句來達到木馬自動載入的目的。此外在system.ini中的boot節,正常的情況下是「Shell=Explorer.exe」(Windows系統的圖形界面命令解釋器)。下面具體談談「木馬」是怎樣自動載入的。
1、在win.ini文件中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上「木馬」了。當然你也得看清楚,因為好多「木馬」,如「AOLTrojan木馬」,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件。
通過c:windowswininit.ini文件。很多木馬程序在這里做一些小動作,這種方法往往是在文件的安裝過程中被使用,程序安裝完成之後文件就立即執行,與此同時安裝的原文件被Windows刪除干凈,因此隱蔽性非常強,例如在wininit.ini中如果Rename節有如下內容:NUL=c:windowspicture.exe,該語句將c:windowspicture.exe發往NUL,這就意味著原來的文件pictrue.exe已經被刪除,因此它運行起來就格外隱蔽。
2、在system.ini文件中,在[BOOT]下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell=explorer.exe程序名」,那麼後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。
win.ini、system.ini文件可以通過「開始」菜單里的「運行」來查看。只要在「運行」對話框中輸入「msconfig」,後點擊「確定」按鈕就行了。(這里大家一定要注意,如果你對計算機不是很了解,請不要輸入此命令或刪除里邊的文件,否則一切後果和損失自己負責。斑竹和本人不承擔任何責任。)
3、對於下面所列的文件也要勤加檢查,木馬們也可能隱藏在
C:windowswinstart.bat和C:windowswinnint.ini,還有Autoexec.bat
B、注冊表(注冊表就是注冊表,懂電腦的人一看就知道了)
1、從菜單中載入。如果自動載入的文件是直接通過在Windows菜單上自定義添加的,一般都會放在主菜單的「開始->程序->啟動」處,在Win98資源管理器里的位置是「C:windowsstartmenuprograms啟動」處。通過這種方式使文件自動載入時,一般都會將其存放在注冊表中下述4個位置上:
HKEY_CURRENT_
HKEY_CURRENT_!hellFolders
HKEY_LOCAL_
HKEY_LOCAL_
2、在注冊表中的情況最復雜,在點擊至:「HKEY-LOCAL-」目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這里切記:有的「木馬」程序生成的文件很像系統自身文件,想通過偽裝矇混過關,如「AcidBatteryv1.0木馬」,它將注冊表「HKEY-LOCAL-」下的Explorer鍵值改為Explorer=「C:WINDOWSexpiorer.exe」,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在注冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENT-」、「HKEY-USERS****」的目錄下都有可能,最好的辦法就是在「HKEY-LOCAL-」下找到「木馬」程序的文件名,再在整個注冊表中搜索即可。
3、此外在注冊表中的HKEY_CLASSES_ROOTexefileshellopencommand=
「1」「*」處,如果其中的「1」被修改為木馬,那麼每次啟動一個該可執行文件時木馬就會啟動一次,例如著名的冰河木馬就是將TXT文件的Notepad.exe改成!了它自己的啟動文件,每次打開記事本時就會自動啟動冰河木馬,做得非常隱蔽。
注冊表可以通過在「運行」對話框中輸入「regedit」來查看。需要說明的是,對系統注冊表進行刪除修改操作前一定要將注冊表備份,因為對注冊表操作有一定的危險性,加上木馬的隱藏較隱蔽,可能會有一些誤操作,如果發現錯誤,可以將備份的注冊表文件導入到系統中進行恢復。(次命令同樣很危險,如不懂計算機請不要嘗試。切記)
C、埠(埠,其實就是網路數據通過操作系統進入計算機的入口)
1、萬變不離其宗,木馬啟動都有一個方式,它只是在一個特定的情況下啟動。所以平常多注意你的埠。一般的木馬默認埠有
BO31337,YAL1999,Deep2140,Throat3150,冰河7636,Sub71243
那麼如何查看本機開放哪些埠呢?
在dos里輸入以下命令:netstat-an,就能看到自己的埠了,一般網路常用埠有:21,23,25,53,80,110,139,如果你的埠還有其他的,你可要注意了,因為現在有許多木馬可以自己設定埠。(上面這些木馬的埠是以前的,由於時間和安全的關系現在好多新木馬的埠我不知道,也不敢去試,因為技術更新的太快了,我跟不上了。55555555555555)
2、由於木馬的運行常通過網路的連接來實現的,因此如果發現可疑的網路連接就可以推測木馬的存在,最簡單的辦法是利用Windows自帶的Netstat命令來查看。一般情況下,如果沒有進行任何上網操作,在MS-DOS窗口中用Netstat命令將看不到什麼信息,此時可以使用「netstat-a」,「-a」選項用以顯示計算機中目前所有處於監聽狀態的埠。如果出現不明埠處於監聽狀態,而目前又沒有進行任何網路服務的操作,那麼在監聽該埠的很可能是木馬。
3、系統進程:
在Win2000/XP中按下「CTL+ALT+DEL」,進入任務管理器,就可看到系統正在運行的全部進程,一一清查即可發現木馬的活動進程。
在Win98下,查找進程的方法不那麼方便,但有一些查找進程的工具可供使用。通過查看系統進程這種方法來檢測木馬非常簡便易行,但是對系統必須熟悉,因為Windows系統在運行時本身就有一些我們不是很熟悉的進程在運行著,因此這個時候一定要小心操作,木馬還是可以通過這種方法被檢測出來的。
四、軟體查殺木馬介紹
上面所介紹的都是以手工方式來檢測或者清除木馬,但一般情況下木馬沒有那麼容易就能發現,木馬是很會隱藏的哦。幸好在已經有了不少的反木馬軟體。下面介紹幾款軟體,
1、瑞星殺毒軟體。
2、個人版天網防火牆。根據反彈式木馬的原理,就算你中了別人的木馬,但由於防火牆把你的計算機和外界隔開,木馬的客戶端也連接不上你。防火牆啟動之後,一旦有可疑的網路連接或者木馬對電腦進行控制,防火牆就會報警,同時顯示出對方的IP地址、接入埠等提示信息,通過手工設置之後即可使對方無法進行攻擊。不過對於一些個別機器來說,運行天網會影響機器的運行速度。
3、木馬剋星。目前具我所知,是只查殺木馬的軟體,也是能查殺木馬種類最多的軟體。顧名思義,木馬剋星不克乾坤無敵槌也不克北冥槌法,專克各種木馬。但也不是絕對哦,好象「灰鴿子」能屏蔽掉木馬剋星。(聽說而已沒試過哦。「灰鴿子」也是一種木馬,和冰河差不多。)(現在木馬剋星大多是沒注冊的版本。用木馬剋星查木馬時,要是提示你發現木馬只有注冊用戶才能清除,這只是作者的一個小手段,其實他的意思是如果發現木馬,那麼只有注冊用戶才能清楚,要是真的發現了木馬,軟體會告訴你木馬的具體位置和名字是什麼。我們用其他的軟體和手段清除不就行了)
4。綠鷹PC萬能精靈。他會實時監控你的計算機,看著「系統安全」心理舒服多了。
有了類似的這些防護軟體,你的計算機基本上是安全了。但道高一尺,魔高一丈。最近又出現了一種可以把木馬偽裝易容的程序(不知道是哪個高手搞的,很是厲害),就是把木馬本體根據排列組合生成多個木馬,而殺毒軟體只能查殺他們的母體。而後生成的木馬就不能查到了,所以手動人工的清除木馬我們還是要掌握一些地。
軟體查殺其他病毒很有效,對木馬的檢查也是蠻成功地,但徹底地清除不很理想,因為一般情況下木馬在電腦每次啟動時都會自動載入,而殺病毒軟體卻不能完全清除木馬文件,總的說來,殺病毒軟體作為防止木馬的入侵來說更有效。
五、木馬的防禦
隨著網路的普及和網路游戲裝備可以換人民幣的浪潮,木馬的傳播越來越快,而且新的變種層出不窮,我們在檢測清除它的同時,更要注意採取措施來預防它,下面列舉幾種預防木馬的方法。(大家的意見,我借用而已)
1、不要下載、接收、執行任何來歷不明的軟體或文件
很多木馬病毒都是通過綁定在其他的軟體或文件中來實現傳播的,一旦運行了這個被綁定的軟體或文件就會被感染,因此在下載的時候需要特別注意,一般推薦去一些信譽比較高的站點。在軟體安裝之前一定要用反病毒軟體檢查一下,建議用專門查殺木馬的軟體來進行檢查,確定無毒和無馬後再使用。
2、不要隨意打開郵件的附件,也不要點擊郵件中的可疑圖片。(後邊另外介紹一個關於郵件的例子,大家注意收看。)
3、將資源管理器配置成始終顯示擴展名。將Windows資源管理器配置成始終顯示擴展名,一些文件擴展名為vbs、shs、pif的文件多為木馬病毒的特徵文件,如果碰到這些可疑的文件擴展名時就應該引起注意。
4、盡量少用共享文件夾。如果因工作等原因必須將電腦設置成共享,則最好單獨開一個共享文!件夾,把所有需共享的文件都放在這個共享文件夾中,注意千萬不要將系統目錄設置成共享。
5、運行反木馬實時監控程序。木馬防範重要的一點就是在上網時最好運行反木馬實時監控程序,PC萬用精靈等軟體一般都能實時顯示當前所有運行程序並有詳細的描述信息。此外如加上一些專業的最新殺毒軟體、個人防火牆等進行監控基本就可以放心了。
6、經常升級系統。很多木馬都是通過系統漏洞來進行攻擊的,微軟公司發現這些漏洞之後都會在第一時間內發布補丁,很多時候打過補丁之後的系統本身就是一種最好的木馬防範辦法。
六、木馬傳播的個別範例(給大家介紹一個郵件類的)
1、來自網路的攻擊手段越來越多了,一些帶木馬的惡意網頁會利用軟體或系統操作平台等的安全漏洞,通過執行嵌入在網頁HTML超文本標記語言內的javaApplet小應用程序、javascript腳本語言程序、ActiveX軟體部件交互技術支持可自動執行的代碼程序,強行修改用戶操作系統的注冊表及系統實用配置程序,從而達到非法控制系統資源、破壞數據、格式化硬碟、感染木馬程序、盜取用戶數據資料等目的。
目前來自網頁的攻擊分為兩種:一種是通過編輯的腳本程序修改IE瀏覽器;另外一種是直接破壞Windows系統。前者一般會修改IE瀏覽器的標題欄、默認主頁或直接將木馬「種」在你的機器里等等;後者是直接鎖定你的鍵盤、滑鼠等輸入設備然後對系統進行破壞。
(作者插言):還好目前盜取千年用戶名和密碼的「木馬」功能還僅僅是偷盜行為,沒有發展成破壞行為。要不然號被盜了,在順便把硬碟被格式化了。那樣想第一時間找回密碼就都沒可能。希望這種情況不要發生。(啊門我彌佗佛)
下邊是正題了,大家看仔細了!
假如您收到的郵件附件中有一個看起來是這樣的文件(或者貌似這類文件,總之是特別誘人的文件,而且格式還很安全。):QQ靚號放送.txt,您是不是認為它肯定是純文本文件?我要告訴您,不一定!它的實際文件名可以是QQ靚號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。
{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊表裡是HTML文件關聯的意思。但是存成文件名的時候它並不會顯現出來,您看到的就是個.txt文件,這個文件實際上等同於QQ靚號放送.txt.html。那麼直接打開這個文件為什麼有危險呢?請看如果這個文件的內容如下:
您可能以為它會調用記事本來運行,可是如果您雙擊它,結果它卻調用了HTML來運行,並且自動在後台開始通過網頁載入木馬文件。同時顯示「正在打開文件」之類的這樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧?
欺騙實現原理:當您雙擊這個偽裝起來的.txt時候,由於真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,於是就會以html文件的形式運行,這是它能運行起來的先決條件。
在某些惡意網頁木馬中還會調用「WScript」。
WScript全稱WindowsScriptingHost,它是Win98新加進的功能,是一種批次語言/自動執行工具——它所對應的程序「WScript.exe」是一個腳本語言解釋器,位於c:WINDOWS下,正是它使得腳本可以被執行,就象執行批處理一樣。在WindowsScriptingHost腳本環境里,預定義了一些對象,通過它自帶的幾個內置對象,可以實現獲取環境變數、創建快捷方式、載入程序、讀寫注冊表等功能。
最近聽不少玩家反映,許多馬夫通過冒充千年官方網站的辦法給玩家發名字類似「您的千年密碼確認函」、「您的千年資料保護建議」等的郵件,來騙取玩家的信任,來點擊運行該木馬郵件。希望廣大玩家在點擊這類郵件時一定要看清郵件是否來自於千年官方網站。如是來自其他什麼網站或個人郵箱的,馬上刪除,記得一定要馬上刪除,別抱任何僥幸心理。
七、關於「木馬」的防禦(純屬個人意見,不付法律責任)
防止木馬對在家上網來說是很簡單的事,無非就是裝一大堆殺毒軟體,並及時升級。(再新的木馬只要傳播速度快的話很快就會成為各種殺毒軟體的戰利品,除非此人專門定做個人木馬)在加上天網防火牆(很多黑客就是利用口令和漏洞進行遠程式控制制,該防火牆可以防止口令和漏洞入侵)基本上就可以解決問題啦,除非是自己好奇或是不小心打開了木馬服務端,我想這種情況還是佔一定的比例!
但是對網吧上網的來說,再好的防禦也是白撤。
據我所知,現在的網吧安全系數幾乎等於00000000,現在最厲害的應該就是裝個還「原精靈吧」,但是......我個人認為那東西用處不是很大,說是保護用戶密碼還不如說它是網吧保護系統的一種軟體。現在的木馬一般都是通過郵件方式傳送密碼的,也就是說,你只要在輸入框內輸入你的密碼之後,木馬控制方就已經得到你的ID和密碼了(一般不會超過三分鍾)!對網吧上網的朋友來說,靠復制方法輸入ID和密碼算最安全的了,很多木馬程序實際上就是一個鍵盤記錄工具,在你不知情的情況下把你的鍵盤輸入情況全部記錄了下來,然後通過網路發送出去!(好可怕哦,不過具我所知現在公安部和文化部已經明令禁止網吧安裝還原精靈了,說是為了保留歷史記錄雲雲。唉~~就這么點防禦手段也給封殺了,哭哦)
總之,家庭上網用戶記得隨時更新自己的病毒庫,隨時檢查計算機進程,發現不明進程馬上格殺,不瀏覽一些不明站點(我通常是靠域名來分析站點的可靠程度,一般一級域名都不會出現惡意代碼和網頁木馬),更別隨意接收別人給你發送的文件和郵件!
網吧防盜真的很困難了,什麼人都有,復雜了,就算老闆花錢去注冊一個木馬剋星,呵呵。。。都沒用,想做壞事的人同樣能把他幹掉~~~~我個人認為,網吧上網除了復制ID密碼粘貼到輸入框,其他的就得聽天由命了~~~~~
八、關於大家都用的醉翁巷1.1G的說明
用了人家的軟體,就總要替人家說句公道話。前些時候,有人說醉翁1.1G軟體運行後,沒什麼反映。當關閉軟體的一剎那,一些防護類軟體提示:此軟體正在監視本機鍵盤!!
其實就是醉翁巷中的hook.dll文件在作怪。下面給大家說說「勾子」的我問題。
什麼是勾子
在Windows系統中,勾子(hook)是一種特殊的消息處理機制。勾子可以監視系統或進程中的各種事件消息,截獲發往目標窗口的消息並進行處理。這樣,我們就可以在系統中安裝自定義的勾子,監視系統中特定事件的發生,完成特定的功能,比如截獲鍵盤、滑鼠的輸入,屏幕取詞,日誌監視等等。可見,利用勾子可以實現許多特殊而有用的功能。因此,對於高級編程人員來說,掌握勾子的編程方法是很有必要的。
勾子的類型
按使用范圍分類,主要有線程勾子和系統勾子
(1)線程勾子監視指定線程的事件消息。
(2)系統勾子監視系統中的所有線程的事件消息。因為系統勾子會影響系統中所有的應用程序,所以勾子函數必須放在獨立的動態鏈接庫(DLL)中。這是系統勾子和線程勾子很大的不同之處。
醉翁巷中的hook.dll就是完成以上功能的程序,由於勾子對程序的特殊性,所以會有部分軟體報告發現他在記錄鍵盤動作,不過不會報告說他是木馬。(呵呵搞的確實挺嚇人的。不過就算它記錄鍵盤動作,只要不發送就沒太大危險了)
九、大總結(就是對上邊的大總結啦)
大家知道了「木馬」的工作原理,查殺「木馬」就變得很容易,如果發現有「木馬」存在,最安全也是最有效的方法就是馬上將計算機與網路斷開,防止黑客通過網路對你進行攻擊。然後在根據實際情況進行處理。
下面給大家說一下我機器的防護裝備:(一共就5樣)
XFILTER個人防火牆:這個防火牆沒什麼防病毒的功能,它只監視所有未經過我個人許可的程序連接網路。任何程序連接網路它都會通告並詢問。比如安裝完該軟體「第一次」運行千年,它會提示你C:ProgramFiles1000yClient.exe要連接網路,是否放行。它就是這樣來防範的。
瑞星殺毒軟體:以殺各種惡意病毒和木馬為主,2004版專門提供游戲保護。
還原精靈:記錄當前硬碟和系統信息。不管以後對硬碟和系統進行什麼操作都能還原成初始模樣。比如我們2003年11月1日對當前C硬碟和系統進行備份保存,2003年12月1日由於感染木馬,對系統進行還原,還原後所有東西都會回到2003年11月1日備份是的樣子。不論你在C盤上進行了什麼操作,都會變回備份時的樣子。這個軟體就有一個缺點,會影響機器的啟動速度。但不影響機器的運行。最近還有朋友反映新版本和某些游戲有沖突。
木馬剋星:這個我就不多說了,網路游戲玩家必備的東東。
十六進制編譯器:具體名字我就不說了,有興趣的朋友隨便找一個用就行了。主要是對一些可疑程序進行掃描和檢測。
以上各個軟體在各大門戶網站和各大下載專業網站都可以找到,在這里小女子就不提供網址了,避免不必要的麻煩。