让网页木马滚开
作者:西马 日期:2005-06-02
适合对象:普通的上网一族及网络游戏玩家们(高手就不要见笑拉)
操作环境:windows xp sp1+IE SP1
21世纪随着网络的飞速发展,人们的生活越来越和网络紧密联系在一起,人们已经不可能离开网络,很难想象假如有一天全世界断网,这个世界
会变成什么样.网络给我们带来拉很多乐趣,同时也给我们带来拉烦恼甚至灾难,人们在享受上网冲浪快感的同时却不得不面对可能被病毒,木马,
及黑客攻击的尴尬境况.可能你会说我有**防火墙,***杀毒软件,我只觉得好笑,要是你认为有这两样东西就万事大吉的话,那你就大错特错,凡是
接触过木马的人都知道现在的主流木马几乎是清一色的反弹+dll注射型.可以很轻易的穿越防火墙,即使防火墙有所报警,假如没有丰富网络安全
知识的话,普通人很难辨别到底是不是木马,到底该不该放行.杀毒软件我就更不用多讲拉,众所周知,反病毒软件使用的是基于特征码的静态扫
描技术,即在文件中寻找特定十六进制串,如果找到,就可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不
到很好的作用了.只要稍微懂得汇编的人反汇编一下,修改一下杀毒软件的特征码(怎么修改特征码,《黑客防线》及其他黑客杂志,黑客网站都
有详细的介绍),杀毒软件只能哑巴吃黄连,有苦说不出拉,再加上杀毒软件的先天不足,只能够杀已知、在网上公开的和杀毒网站拦截到的
木马或者病毒,对于那些未知、没有公开的私人版木马则没有任何作用。再加上微软的windows漏洞不断,小洞1,3,5、大洞2,4,6星期天大
小洞一起上,给原本就水生火热的网络,无疑是狠狠的添加拉一把火。尤其是ie漏洞,只要ie一出漏洞,那么网上又是一场腥风血雨,网页木
马肆虐,无数网民遭殃,自己的电脑被人控制不说,可能还会遭受经济损失。那么有什么办法不中任何网页木马或者任何网页病毒吗?答案是
有的。我常常听到别人说防火墙和杀毒软件是上网的第一道防线,在下不敢苟同,我个人认为注册表才是第一道防线,防火墙和杀毒软件最多也
只能算是底线,呵呵,是不是感到有点意外呢,没错只要我们配置好注册表,我敢说你任何脚本病毒也好,网页木马也好都不会中.好我们现在开始配置注册表之旅.
应为本文是面对菜鸟的文章,我有必要在开始之前给大家讲讲注册表的概念. Windows注册表是帮助Windows控制硬件、软件、用户环境和
Windows界面的一套数据文件,注册表包含在Windows目录下两个文件system.dat和user.dat里,还有它们的备份system.da0和user.da0。通过
Windows目录下的regedit.exe程序可以存取注册表数据库.
在系统中注册表是一个记录32位驱动的设置和位置的数据库。当操作系统需要存取硬件设备,它使用驱动程序,甚至设备是一个BIOS支持
的设备。无BIOS支持设备安装时必须需要驱动,这个驱动是独立于操作系统的,但是操作系统需要知道从哪里找到它们,文件名、版本号、其
他设置和信息,没有注册表对设备的记录,它们就不能被使用。当一个用户准备运行一个应用程序,注册表提供应用程序信息给操作系统,这样应用程序可以被找到,正确数据文件的位置被规定,其他设置也都可以被使用。
注册表保存关于缺省数据和辅助文件的位置信息、菜单、按钮条、窗口状态和其他可选项。它同样也保存了安装信息(比如说日期),安装软件的用户,软件版本号和日期,序列号等。根据安装软件的不同,它包括的信息也不同。
然而,一般来说,注册表控制所有32位应用程序和驱动,控制的方法是基于用户和计算机的,而不依赖于应用程序或驱动,每个注册表的
参数项控制了一个用户的功能或者计算机功能。用户功能可能包括了桌面外观和用户目录。所以,计算机功能和安装的硬件和软件有关,对所
以用户来说项都是公用的.
大家现在应该了解注册表的的重要性拉吧,可以说注册表是各种对抗势力的兵家必争之地,要是被敌人控制拉注册表,你只有任人宰割的份.
网页木马及网页病毒,基本上都是利用拉各种最新的脚本漏洞或者ie漏洞而编写出来的,但漏洞出来,成功率的高低就要看编写网页木马作者的脚
本的功力如何拉,脚本功力高者成功率相对也会比较高.我觉得一个作的好的网页木马2分漏洞,8分脚本.
前面说拉一大堆的理论,下面我们利用注册表开始手动配置一个任何网页木马,网页病毒都不怕的电脑.
我们在注册表里依次找到下面的clsid和typelib及Interface的健值并且全部删除,这些东西对于普通的上网族及网络游戏玩家来说是丝毫没有用处的:
ADODB.Command {00000507-0000-0010-8000-00AA006D2EA4}
ADODB.Command1 {0000022C-0000-0010-8000-00AA006D2EA4}
ADODB.Connection {00000514-0000-0010-8000-00AA006D2EA4}
ADODB.Connection1 {00000293-0000-0010-8000-00AA006D2EA4}
ADODB.Parameter {0000050B-0000-0010-8000-00AA006D2EA4}
ADODB.Parameter1 {00000231-0000-0010-8000-00AA006D2EA4}
ADODB.Stream {00000566-0000-0010-8000-00AA006D2EA4}
ADODB.Record {00000560-0000-0010-8000-00AA006D2EA4}
ADODB.Recordset {00000535-0000-0010-8000-00AA006D2EA4}
ADODB.Recordset.1 {00000281-0000-0010-8000-00AA006D2EA4}
Internet.HHCtrl {ADB880A6-D8FF-11CF-9377-00AA003B7A11}
{ADB880A1-D8FF-11CF-9377-00AA003B7A11}
{ADB880A2-D8FF-11CF-9377-00AA003B7A11}
{ADB880A3-D8FF-11CF-9377-00AA003B7A11}
HHCtrl.FileFinder {ADB880A4-D8FF-11CF-9377-00AA003B7A11}
HHCtrl.SystemSort {4662DAB0-D393-11D0-9A56-00C04FB68B66}
JavaScript {f414c260-6ac0-11cf-b6d1-00aa00bbbb58}
JavaScript Author {f414c261-6ac0-11cf-b6d1-00aa00bbbb58}
JScript.Encode {f414c262-6ac0-11cf-b6d1-00aa00bbbb58}
Microsoft.XMLHTTP {ED8C108E-4349-11D2-91A4-00C04F7969E8}
script {06290BD3-48AA-11D2-8432-006008C3FBFC}
Scripting.Dictionary {EE09B103-97E0-11CF-978F-00A02463E06F}
Scripting.Encoder {32DA2B15-CFED-11D1-B747-00C04FC2B085}
{420B2830-E718-11CF-893D-00A0C9054228}
Scripting.FileSystemObject {0D43FE01-F093-11CF-8940-00A0C9054228}
{420B2830-E718-11CF-893D-00A0C9054228}
Scripting.Signer {7E48C5CF-72F6-4C84-9F43-B04B87B31243}
Shell.Application {13709620-C279-11CE-A49E-444553540000}
{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}
Shell.LocalMachine {60664caf-af0d-0005-a300-5c7d25ff22a0}
Shell.User {60664caf-af0d-0003-a300-5c7d25ff22a0}
Shell.Users {60664caf-af0d-0004-a300-5c7d25ff22a0}
ShellNameSpace.ShellNameSpace {55136805-B2DE-11D1-B9F2-00A0C98BC547}
{EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}
SignedJavaScript {FC7D9F01-3F9E-11D3-93C0-00C04F72DAF7}
SignedVBScript {FC7D9F02-3F9E-11D3-93C0-00C04F72DAF7}
VBScript {B54F3741-5B07-11cf-A4B0-00AA004A55E8}
VBScript Author {B54F3742-5B07-11cf-A4B0-00AA004A55E8}
VBScript.Encode {B54F3743-5B07-11cf-A4B0-00AA004A55E8}
VBScript.RegExp {3F4DACA4-160D-11D2-A8E9-00104B365C9F}
WinHttp.WinHttpRequest.5.1 {2087c2f4-2cef-4953-a8ab-66779b670495}
WINMGMTS {172BDDF8-CEEA-11D1-8B05-00600806D9B6}
{565783C6-CB41-11D1-8B02-00600806D9B6}
WScript.Network {093FF999-1EA0-4079-9525-9614C3504B74}
WScript.Shell {72C24DD5-D70A-438B-8A42-98424B88AFB8}
{F935DC2B-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC29-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC28-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC27-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC25-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC24-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC23-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC21-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC20-1CF0-11D0-ADB9-00C04FD58A0B}
{24BE5A30-EDFE-11D2-B933-00104B365C9F}
{24BE5A31-EDFE-11D2-B933-00104B365C9F}
{563DC061-B09A-11D2-A24D-00104BD35090}
{563DC060-B09A-11D2-A24D-00104BD35090}
{41904400-BE18-11D3-A28B-00104BD35090}
这些做好以后,我们还不能完全松口气,还没有完呢,还记得电子书木马(也就是chm木马)么?这个木马可是在2003-2004年着实疯狂拉一把哦,解决
之到很容易,修改本地安全属性,相应的注册表键值为:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0下的1004项的值由原来的0改为十六进制的
3,flags则改为1,再到IE里面好好的配置一下吧。也可以把HKEY_CLASSES_ROOT\PROTOCOLS\Handler,下面的“mhtml”、“mk”、“its"、"ms-
its"、"msitss"、“vbscript”、“ms-help”、“javascript”、“FILE”、“local",删掉或改名,你也可以不删,不过为拉安全,我是全
部删拉,大家可以放心删除上面这些我讲的所有键值,基本上对于我们系统没有什么影响,经我3个多月的测试,上网没有任何问题,除拉文件搜索及登陆时要采用win2000的登陆方式,其他还没发现问题,可以放心的删掉。在这里我想做个提醒,关于网页木马中的下载欺骗漏洞,我给出解决的办法,其实
很容易只要在IE安全“我的电脑里”禁止下载就可以,最好是INTERNET也是禁止下载,不采用IE下载,用FLASHGET或者其他下载工具。
到此为止,我们的配置注册表算是基本结束拉,第一道防线我已经帮你建好拉,现在你可以放心的上任何网站拉,不必再为怕中网页木马而担惊受怕拉,我们可以竟情的享受上网而带来的乐趣拉。不必担心再会受到网页木马或者网页病毒的攻击拉(假如你按照我说的做,甚至可以在不打IE补丁的情况下,也可以防止利用最新或者未知IE漏洞作出的网页木马)。
评论: 0 | 引用: 0 | 查看次数: 2987
发表评论