WELCOME:
姓名:吉文祥
职业:资深软件工程师、系统架构师
邮箱:jwxmail@126.com
QQ:606140
电话:13918911251
承接:信息安全软件开发、安全审计软件开发、过滤驱动开发、USB驱动开发、NDIS驱动开发、TD-SCDMA MBD、WHQL代理。
认识木马相关基础知识及如何进行木马防范
作者:KernelSword 日期:2010-07-07
摘要:木马并不是简单的病毒而已,它可能会造成很多预想不到的破坏,而且可能使您的重要文件丢失等。不过,只要我们在平时的使用过程中,多加注意防护,就基本上可以放心使用电脑了。
提起木马,大家一定会想起古希腊古老的故事,古希腊人用自己的智慧,把士兵藏在木马内进入敌方城市从而占领敌方城市的故事。虽然有点老套,但是,木马依然离不开这个故事的背景。木马的全称是“特洛伊木马(Trojan Horse)”,也和病毒一样,是一段程序,用来破坏或者干扰用户正常使用电脑。
首先我们要大概理解一下木马类型。
(1) 破坏型
这种木马是很令人讨厌的,这个病毒可以自动的删除电脑上的重要文件,例如dLL、INI、EXE文件。
(2) 密码发送型
主要是用来盗窃用户隐私信息的,他可以把隐藏的密码找出来发送到指定的信箱。也可以用来盗窃用户的敏感口令等。同时,此类病毒最重要的是会记录操作者的键盘,找到相关的有用的信息。
提起木马,大家一定会想起古希腊古老的故事,古希腊人用自己的智慧,把士兵藏在木马内进入敌方城市从而占领敌方城市的故事。虽然有点老套,但是,木马依然离不开这个故事的背景。木马的全称是“特洛伊木马(Trojan Horse)”,也和病毒一样,是一段程序,用来破坏或者干扰用户正常使用电脑。
首先我们要大概理解一下木马类型。
(1) 破坏型
这种木马是很令人讨厌的,这个病毒可以自动的删除电脑上的重要文件,例如dLL、INI、EXE文件。
(2) 密码发送型
主要是用来盗窃用户隐私信息的,他可以把隐藏的密码找出来发送到指定的信箱。也可以用来盗窃用户的敏感口令等。同时,此类病毒最重要的是会记录操作者的键盘,找到相关的有用的信息。
Tags: 木马
防止木马进入系统进程的小技巧
作者:KernelSword 日期:2010-03-10
【简 介】
我们知道,有些木马是通过修改exe的文件关联来实现随EXE程序启动的。今天我在网上看到有另外一个显为人知的方法,就是通过下面的注册表选项。
我们知道,有些木马是通过修改exe的文件关联来实现随EXE程序启动的。今天我在网上看到有另外一个显为人知的方法,就是通过下面的注册表选项。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
在上面的注册表选项中新建一个注册表项,项名为A.exe,然后在下面新建一个字符串,字符串名为Debugger,字符串值就是程序B.exe的全路径。
我们知道,有些木马是通过修改exe的文件关联来实现随EXE程序启动的。今天我在网上看到有另外一个显为人知的方法,就是通过下面的注册表选项。
我们知道,有些木马是通过修改exe的文件关联来实现随EXE程序启动的。今天我在网上看到有另外一个显为人知的方法,就是通过下面的注册表选项。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
在上面的注册表选项中新建一个注册表项,项名为A.exe,然后在下面新建一个字符串,字符串名为Debugger,字符串值就是程序B.exe的全路径。
正确安全防护 摆脱不请自来的黑客扫描与攻击
作者:KernelSword 日期:2008-07-16
检查电脑是否被安装木马三个命令
作者:KernelSword 日期:2008-07-16
一、检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
Tags: 木马
介绍给大家一种注入到内核文件的方法,有点不人道。
作者:KernelSword 日期:2007-06-28
这种方法早在N年前我就用过的,有点难度,但是个人觉得很强,当初研究这个完全是单位产品研发的需要,今天把这种方法介绍给大家,可能大家在网上也可以到处看到.
我们知道Win32的PE文件的结构,加壳后除外,在PE文件中有个引入表,我所说的方法就是在系统文件里增加引入表,把自己的dll文件增加到系统文件的引入表中,比如增加到kernel32.dll或是advapi32.dll的引入表中,这样系统中基本所有进程的启动都会调用你的dl,你可以用工具查下所有进程都调用了你的dll,困为所有进程都调用了系统库文件Kernel32.dll,那怕是安全模式下也被调用,而且无法查出或清除,这方法有点不人道,
在实现这种方法之前,先要解决的一件事就是系统文件保护,我们大家都知道,你删除一个system32目录下的系统文件,当你一刷新的时候,马上文件就被恢复了,所以我们修改系统文件,加入引入表的时候,如果不停止系统文件保护,那么根本没用,一刷新就被恢复了,至于如何停止系统文件保护,我只简单说下,就是把系统中打开system32目录下的所有名柄全部关。怎么关,大家自己去想,网上也很多。
我们知道Win32的PE文件的结构,加壳后除外,在PE文件中有个引入表,我所说的方法就是在系统文件里增加引入表,把自己的dll文件增加到系统文件的引入表中,比如增加到kernel32.dll或是advapi32.dll的引入表中,这样系统中基本所有进程的启动都会调用你的dl,你可以用工具查下所有进程都调用了你的dll,困为所有进程都调用了系统库文件Kernel32.dll,那怕是安全模式下也被调用,而且无法查出或清除,这方法有点不人道,
在实现这种方法之前,先要解决的一件事就是系统文件保护,我们大家都知道,你删除一个system32目录下的系统文件,当你一刷新的时候,马上文件就被恢复了,所以我们修改系统文件,加入引入表的时候,如果不停止系统文件保护,那么根本没用,一刷新就被恢复了,至于如何停止系统文件保护,我只简单说下,就是把系统中打开system32目录下的所有名柄全部关。怎么关,大家自己去想,网上也很多。
