WELCOME:
姓名:吉文祥
职业:资深软件工程师、系统架构师
邮箱:jwxmail@126.com
QQ:606140
电话:13918911251
承接:信息安全软件开发、安全审计软件开发、过滤驱动开发、USB驱动开发、NDIS驱动开发、TD-SCDMA MBD、WHQL代理。
用几种最简单的方法检查电脑是否中毒
作者:KernelSword 日期:2010-07-07
摘要:电脑网络的快捷、方便已经被人们广泛认同。但是电脑病毒却是防不胜防,怎样既方便又简单的检查电脑是否中毒就显得非常重要。一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
电脑网络的快捷、方便已经被人们广泛认同。但是电脑病毒却是防不胜防,怎样既方便又简单的检查电脑是否中毒就显得非常重要。一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
一、检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
二、禁用不明服务
电脑网络的快捷、方便已经被人们广泛认同。但是电脑病毒却是防不胜防,怎样既方便又简单的检查电脑是否中毒就显得非常重要。一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
一、检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
二、禁用不明服务
Tags: 病毒
小心病毒借“艳照门”网站偷走你的账号
作者:KernelSword 日期:2008-02-14
近两天来,陈冠希、阿娇和张柏芝的激情照成为网民关注的热点。“我在论坛上看到一个‘陈冠希阿娇激情照’的帖子,点了之后就觉得电脑有点慢,后来连长途的账号都被偷了。”近日,有不少网友发帖称,浏览陈冠希所谓“激情照”网站或论坛后中毒,网游账号、QQ号等被盗。
记者从瑞星公司了解到,瑞星公司目前已检测到的带毒网站、论坛和博客有二百多个,预计带毒网站的数量在未来几天还将有大量增长。
目前已有数百个病毒利用“激情照”来传播,其中多数是针对热门网游的木马病毒和木马下载器。如果用户被木马下载器感染,它就会从网上批量下载病毒到用户电脑,这些病毒很难彻底清除。缺乏防范措施的用户只要浏览“激情照”带毒网站,就可能已经中毒,中毒用户可能被窃取网络游戏密码、QQ密码等。
记者从瑞星公司了解到,瑞星公司目前已检测到的带毒网站、论坛和博客有二百多个,预计带毒网站的数量在未来几天还将有大量增长。
目前已有数百个病毒利用“激情照”来传播,其中多数是针对热门网游的木马病毒和木马下载器。如果用户被木马下载器感染,它就会从网上批量下载病毒到用户电脑,这些病毒很难彻底清除。缺乏防范措施的用户只要浏览“激情照”带毒网站,就可能已经中毒,中毒用户可能被窃取网络游戏密码、QQ密码等。
介绍给大家一种注入到内核文件的方法,有点不人道。
作者:KernelSword 日期:2007-06-28
这种方法早在N年前我就用过的,有点难度,但是个人觉得很强,当初研究这个完全是单位产品研发的需要,今天把这种方法介绍给大家,可能大家在网上也可以到处看到.
我们知道Win32的PE文件的结构,加壳后除外,在PE文件中有个引入表,我所说的方法就是在系统文件里增加引入表,把自己的dll文件增加到系统文件的引入表中,比如增加到kernel32.dll或是advapi32.dll的引入表中,这样系统中基本所有进程的启动都会调用你的dl,你可以用工具查下所有进程都调用了你的dll,困为所有进程都调用了系统库文件Kernel32.dll,那怕是安全模式下也被调用,而且无法查出或清除,这方法有点不人道,
在实现这种方法之前,先要解决的一件事就是系统文件保护,我们大家都知道,你删除一个system32目录下的系统文件,当你一刷新的时候,马上文件就被恢复了,所以我们修改系统文件,加入引入表的时候,如果不停止系统文件保护,那么根本没用,一刷新就被恢复了,至于如何停止系统文件保护,我只简单说下,就是把系统中打开system32目录下的所有名柄全部关。怎么关,大家自己去想,网上也很多。
我们知道Win32的PE文件的结构,加壳后除外,在PE文件中有个引入表,我所说的方法就是在系统文件里增加引入表,把自己的dll文件增加到系统文件的引入表中,比如增加到kernel32.dll或是advapi32.dll的引入表中,这样系统中基本所有进程的启动都会调用你的dl,你可以用工具查下所有进程都调用了你的dll,困为所有进程都调用了系统库文件Kernel32.dll,那怕是安全模式下也被调用,而且无法查出或清除,这方法有点不人道,
在实现这种方法之前,先要解决的一件事就是系统文件保护,我们大家都知道,你删除一个system32目录下的系统文件,当你一刷新的时候,马上文件就被恢复了,所以我们修改系统文件,加入引入表的时候,如果不停止系统文件保护,那么根本没用,一刷新就被恢复了,至于如何停止系统文件保护,我只简单说下,就是把系统中打开system32目录下的所有名柄全部关。怎么关,大家自己去想,网上也很多。
