夜火博客 个人的碎碎念收集箱

检查电脑是否被安装木马三个小命令(转)

一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
一、检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
二、禁用不明服务
.............................................................................

标签: 安全木马

作者:夜火 分类:技术文章 浏览:10732 评论:0

一行代码解决iframe挂马(服务器端注入、客户端ARP注入等)

一行代码解决iframe挂马(包含服务器端注入、客户端ARP注入等)本文原创:linr@cncert.net 请转载时保留版权信息相信大多数朋友都是iframe木马的受害者,有朋友的网站被注入了N回iframe,心情可想而知。而且现在ARP攻击,注入iframe也是轻而易举的事,仅局域网里都时刻面临威胁,哎,什么世道。灵儿曾经在经典论坛上发过贴子:《一行代码解决网站防挂IFRAME木马方案》http://bbs.blueidea.com/thread-2785512-1-1.html ,有不少朋友都联系了灵儿,有的表示感谢,不过更多的是疑问了,今天把原理细细地讲一下吧:

超级巡警病毒分析工具(File Format Identifier) v1.1

超级巡警病毒分析工具(File Format Identifier) v1.1 新增虚拟脱壳功能 本工具是一款辅助进行病毒分析的工具,它包括各种文件格式识别功能,使用超级巡警的格式识别引擎部分代码,集查壳、PE文件编辑、MD5计算以及快捷的第三方工具利用等功能,适合病毒分析中对一些病毒木马样本进行系统处理。 本软件产品为免费软件,用户可以非商业性地下载、安装、复制和散发本软件产品。如果需要进行商业性的销售、复制和散发,例如反病毒公司用来批量分析木马,必须获得DSWLAB的授权和许可,商业公司及团队使用本软件必须获得DSWLAB的授权和许可。

各种网页木马挂马的代码

1、嵌入网页 以下是引用片段: 2、PHP网页挂马 以下是引用片段:..........................................................................

JavaScript加密解密7种方法

本文一共介绍了七种javascript加密方法:  在做网页时(其实是网页木马呵呵),最让人烦恼的是自己辛辛苦苦写出来的客户端IE运行的javascript代码常常被别人轻易的拷贝,实在让自己的心里有点不是滋味,要知道自己写点东西也挺累的......^*^  但我们也应该清楚地认识到因为javascript代码是在IE中解释执行,要想绝对的保密是不可能的,我们要做的就是尽可能的增大拷贝者复制的难度,让他知难而退(但愿~!~),下面我结合自己这几年来的实践,及个人研究的心得,和大家一起来探讨一下网页中javascript代码的加密解密技术。

穿透还原的工作原理分析(逆向工程)--机器狗

本来是在龙组论坛上看到了这个名为机器狗的病毒,但是因为是江民的病毒报告,明显的公式化,所以并没多关注,但是刚刚在鬼仔的blog上看到了相关的分析,就转来了

鬼仔注:文章末尾所添加的机器狗、IGM、写穿还原的工具(已可以被卡巴检测到是病毒)是在无敌小龙那里看到的,我加了个备用地址。
样本脱壳
OD加载样本explorer.exe,。.......................

灰鸽子归来!

        夜火:灰鸽子经过3月份的事件后,就一直没有消息了,以为以后再也见不到灰鸽子了,“灰鸽子”也和“冰河”一样,成为一个时代的标志,但是灰鸽子前2天又回来了,让我等广大小菜着实高兴了一下,不过灰鸽子远控好像只定制开发了,不过总比消失掉的要好。

        话说金山,杀毒软件做的不行就职责别人,灰鸽子怎么了,人家做的是远程控制,属于正规软件,而且有技术专利,只是这个软件太过强大,强大到可以被用来当木马使用,这并不是他们的错,就像枪一样,制作出他们的动机是为了更好的保护自己,而被歹徒拿去杀人,这能说是发明枪的人的错吗,唉~~,就算没有枪还有炮,没有灰鸽子还有其他的N多木马供伪黑客选择,奉劝金山,还是从自身的方面着手吧~

关于“IGM.EXE”病毒紧急公告及解决方案[zz]

夜火:最近的病毒很多,五花八门,无奇不有~在教程吧剑心'Blog看到其在研究IGM病毒,还是个穿还原的,解决不易,转来处理方法,给大家借鉴借鉴: 此病毒可以穿透市面上所有的还原软件。本人曾在虚拟机上安装最新冰点6.3 (单击版本)用病毒样本测试。。都被病毒成功穿透。。可见起危害性如此大。。发上本人的 处理办法。欢迎网友留言以及讨论。。。 在这病毒横行的年代,网络没有绝对的安全;因为总是先有“魔”后有“道”,安全一定是“适度的”。但是,我们并不能因此放任自流,维持“适度”安全离不开建立一套完整的管理和技术保障体系。

电子书木马及防范方法

  电子书木马(以下所指的电子书均指CHM格式的电子书)?其实这种方式的木马传播方法很早就有出现,但好象是多以网页木马的形式存在的,也就是把所谓的一个网页木马加入电子书里,这种效果和一般的网页木马的效果一样受到漏洞范围的限制,因此一直没引起人们的太大关注,也许大家觉得这样还不如直接的网页木马来得方便,其实不然,因为电子书相对与网页而言有许多“优点”,当然这里所谓的“优点”是指在传播木马方面而言的!   在正式打造我们的电子书木马前,我们先分析一下它的“优点”吧!......