夜火博客 个人的碎碎念收集箱

如何杜绝iframe挂马

来源:Secker's BLog因为FF(Firefox)不怕IFRAME,于是就拿IE开刀,不知道比尔有没有奖发。我只写了一句代码,就搞定了,哈,痛快。就是IE only(特有的)的CSS中的属性e-xpression,插进去试试,果然那些IFRAME不起作用了。代码如下:.............................

标签: 安全技术类

作者:夜火 分类:技术文章 浏览:796 评论:0

穿透还原的工作原理分析(逆向工程)--机器狗

本来是在龙组论坛上看到了这个名为机器狗的病毒,但是因为是江民的病毒报告,明显的公式化,所以并没多关注,但是刚刚在鬼仔的blog上看到了相关的分析,就转来了

鬼仔注:文章末尾所添加的机器狗、IGM、写穿还原的工具(已可以被卡巴检测到是病毒)是在无敌小龙那里看到的,我加了个备用地址。
样本脱壳
OD加载样本explorer.exe,。.......................

autorun.inf完全操作手册

夜火:总结的比较全,有用的几乎都写上了,对比以前收集的《病毒的Autorun.inf新写法与应用以及防御》和《彻底杜绝autorun.inf自动运行》对自己写写autorun.inf,或修改,杀毒等颇有帮助

笔者按:鉴于现在网上完全介绍autorun.inf功能的文章不多,笔者在微软官网的一个犄角旮旯找到了一篇autorun.inf的英文使用说明,在翻译和笔者的亲自试验下写出此篇文章。======我是分隔线======一、autorun.inf是windows下操纵光盘行为的一个文件,需要放在光盘根目录下,部分操作对于硬盘也适用。二、autorun.inf是可以被禁止的。方法如下:点击开始->运行,在文本框中输入regedit或者regedt32。依次展开

卡巴斯基 Kaspersky KAV/KIS v8.0.0.56(含key)

Kaspersky v8 的特性如下: ·防火墙的性能增加,采用多重隐身模式,还增加了许多新内容; ·杀毒系统采用了DNA基因式查杀手法,能100%扫描出病毒并且清除之; ·主动防御系统增加了宏防护和组策略防护系统,更加提高系统的安全性; ·为了普及正版,Kaspersky8.0取消了授权文件激活的模式,只能靠激活码激活,企业用户会拥有一个可以激活多台计算机的激活码; ·家长控制系统将在Kaspersky8.0中全面体现出来,能达到80%的反黄拦截,强大的不良信息库随时驻守在计算机后台; .........................................

ARP概念及攻击与防护的原理

最近在论坛上经常看到关于ARP病毒的问题,于是在Google上搜索ARP关键字,结果出来很多关于这类问题的讨论。呵呵,俺的求知欲很强,想再学习ARP下相关知识,所以对目前网络中常见的ARP问题进行了一个总结。 1. ARP概念 咱们谈ARP之前,还是先要知道ARP的概念和工作原理,理解了原理知识,才能更好去面对和分析处理问题。 1.1 ARP概念知识 ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。

卡巴斯基Kaspersky Internet Security v8.0.0.45 Alpha 3

雅诗:测试期间,谨慎使用。

夜火:毕竟只是alpha版的,难免有许多bug,谨慎点好啊~

·防火墙的性能增加,采用多重隐身模式,还增加了许多新内容; ·杀毒系统采用了DNA基因式查杀手法,能100%扫描出病毒并且清除之; ·主动防御系统增加了宏防护和组策略防护系统,更加提高系统的安全性;

由“U盘寄生虫变种gr被截获”想到的一些杀软厂商的问题

夜火:在网上看到的这个文章,感觉这个病毒很“神奇”,或者说这是杀软厂商共有的毛病?蓄意蒙蔽网民,暗中夸大病毒危害,以证明自己的软件很NB?也许我这样说有点不妥,但是各大杀软厂商似乎都利用了大多网民对计算机知识了解不多的“漏洞”,对病毒用一些用户不清楚的专业术语进行描述,导致用户看到后会认为:“这个病毒好厉害啊,有XXX功能什么的,能劫持XX镜像(用户只知道名,而不知道其本质),但是这个杀软厂商出的杀软更厉害啊,连这样的病毒都查的出。”最终导致杀软厂商的杀软销售量直线上升,个人认为,说这些东西P用没有,不如教大家一些常见病毒的防范杀毒常识了,难道他们怕丢了自己的饭碗?授之鱼不如授之以渔。

病毒网络“卫道” 专门删除色情视频

在目前大多数病毒木马都是以获取经济利益为目的趋势下,其中仍然还是不乏一些“另类”的病毒.前不久曾出现一个“爱国”病毒,该病毒会在使用台湾语言操作 系统的目标电脑中弹出一个呼吁“阿扁下台”的消息框.而近日,又出现一个另类病毒“色情终结者”,此病毒发作过程中,会搜索各磁盘里的avi、 mpg、rm、rmvb格式视频文件,如发现其文件名与色情有关,便会将其全部删除,俨然一个网络“卫道士”.据介绍,此病毒通过U盘等储存器和网络传播.病毒运行后,在 %SystemRoot% 目录和 %SystemRoot%System32 目录下生成以当前用户名命名的vbs脚本文件和ini文件,还会在各磁盘根目录下生成同样的vbs脚本文件和,autorun.inf文件.这些vbs文件都是病毒的复制品,病毒将其设置为当用户双击打开盘符或点右键选择资源管理器时运行.同时病毒将自己设置为txt、hlp、chm、reg等类型文件的关联程序,当用户双击打开这些类型的文件时,都会执行病毒程序.

高级恶意软件技术新挑战——突破主动防御

文章作者:xyzreg
作者网站:http://www.xyzreg.net
信息来源:邪恶八进制信息安全团队(forum.eviloctal.com)

这是今年我在XCON2007(安全焦点信息安全技术峰会)所演讲的议题,现在提供ppt资料下载
议题介绍:

主动防御技术已被杀毒软件、软件防火墙、HIPS等安全软件广泛采用,现有的后门木马、Rootkit等恶意软件面临严峻考验。无论传统的恶意软件功能有多强大隐蔽性有多高,初次安装以及工作时都会被主动防御功能拦截并提示用户,使其无法正常安装和工作。本议题阐述了主动防御技术的应用现状和原理,并深入 Windows系统内核详细讲解突破主动防御的各种方法和思路。

下载地址: xcon2007_xyzreg.rar

彻底杜绝autorun.inf自动运行

  通过注册表编辑器与权限控制结合的办法,可以彻底杜绝双击盘符情况下的autorun.inf调用。  具体的办法如下:   1.开始——运行——regedit;   2.定位到  HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Explorer / MountPoints2

关于“IGM.EXE”病毒紧急公告及解决方案[zz]

夜火:最近的病毒很多,五花八门,无奇不有~在教程吧剑心'Blog看到其在研究IGM病毒,还是个穿还原的,解决不易,转来处理方法,给大家借鉴借鉴: 此病毒可以穿透市面上所有的还原软件。本人曾在虚拟机上安装最新冰点6.3 (单击版本)用病毒样本测试。。都被病毒成功穿透。。可见起危害性如此大。。发上本人的 处理办法。欢迎网友留言以及讨论。。。 在这病毒横行的年代,网络没有绝对的安全;因为总是先有“魔”后有“道”,安全一定是“适度的”。但是,我们并不能因此放任自流,维持“适度”安全离不开建立一套完整的管理和技术保障体系。

Windows自启动方式完全总结[zz]

职业欠钱&zj1244那看到的,转来做收藏之用,以后碰到了难缠的病毒木马等可以查查看~

一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
路径:C:Documents and SettingsOwner「开始」菜单程序启动

二. 第二自启动项目: