1   1  /  1  页   跳转

机器狗防御方案 [转]

收藏
武林无双
头像
初生襁褓狮
  • 帖子:37
  • 注册: 2008-07-31
  • 来自:
发表于: 2008-08-07 08:18 | 只看楼主 短消息 资料
字号: 1楼

机器狗防御方案 [转]

机器狗防御方案
作者:佚名  来源:转载  发布时间:2008-8-7 0:50:40  发布人:武林无双

[url=]减小字体[/url] [url=]增大字体[/url]

好几天前就想发一篇关于机器狗防御办法的帖子,但是因为素材本站都有了 。只是看你细心与否。
不过因为我语文不好,文章标题有点模糊,所以可能有些朋友注意不到。。哎。。。以实为实就是得不到观众的喜爱,没办法。。于是今天再总结性的说一下机器狗防御办法~

中心思想,断绝机器狗的来源。

机器狗是从哪感染到机器上的呢?

说白了一点,是从网页感染的多,下载感染的少,也就是说把网页自动下载的漏洞给搞定,也就没什么大问题了~为什么说火狐浏览器安全?因为他可以杜绝大部分网马的下载。因为我记得我看过关于火狐浏览器的防马办法。印象最深的就是对IE管用的ifram框架挂马方式,在火狐浏览器下无效。恰恰在那个时候MS06-014漏洞很火爆。所以有了火狐浏览器不中网马的说法~~

但是如今不一样了 。随着网民的安全认识提高。大家都知道打补丁了。病毒不限于只用MS的漏洞来传播病毒了~
他们对第三方软件开始感兴趣,发觉他们的漏洞。

什么是第三方软件?我自己的理解哈,不一定正确,所谓第三方软件,就是使用微软原版系统装好后,你又往上安装的软件,都可以叫做第三方软件吧,我是这么理解了 。

比如播放器。聊天软件,游戏。等等,都可以叫做第三方软件。那么以前病毒利用微软漏洞,我们给系统打微软的补丁,如今第三方软件有漏洞了。我们顺其自然的就该去搞第三方软件漏洞的屏蔽。可是个人用户好办。因为就一台机器,怎么搞都容易,可是网吧不同。机器多。通常是一个人搞定几百,甚至几千台机器,埃台机器打第三方软件漏洞补丁,不死人才怪。所以,今天我就针对目前网马利用比较频繁的第三方软件漏洞来说以说,最简单的防御办法!

1、最好用,最灵光的Real Player播放器溢出漏洞。

很多人都在用Real Player播放器,版本比较普及的就是10.5和10.6吧,新出的11用的人应该不多,我不用是因为界面看上去实在是很恶心。。。不习惯,于是一直用10.5,包括我的CLXP里装的也都是10.5版本。
可是这个版本是存在溢出漏洞的。网马可以使用它的漏洞来下载病毒,木马程序。当然也可以下载机器狗。
尽管REAL官方提供补丁了 。但是我测试的是不灵光。。。访问网马页面,REAL一样弹。。。
那么最有效的办法是什么?哈哈。墨迹了半天,该出真货了。

有开机通道的朋友有福了,防real player10.x版本的溢出漏洞方法:

程序代码

taskkill /f /im realsched.exe
ren "C:\Program Files\Real\RealPlayer\rpplugins\ierpplug.dll" ierpplug.dlxxx




哈哈,一样代码就搞定,原理就是把存在溢出漏洞的文件给改名,同时不影响real使用。
详细的发现过程,请参见本站:
引用内容

realplay溢出漏洞绝对有效的解决办法~ - 死性不改's Blog~
http://www.clxp.net.cn/article.asp?id=609




2、经久不衰的MS06-014漏洞。
有人打过微软补丁的就没事了。不过有人不一定打补丁,,比如我。。。那怎么办呢?
当然有办法了,要是没办法早去打微软补丁了。

利用开机通道。把下面批处理代码加到开机脚本中。。。此功劳要归功于LZ-MyST,MS06-014利用最疯狂的死后,似乎是用来传播ARP病毒的时候。。。用了这个办法。。ARP才得以制止。。

程序代码

regsvr32 /u /s "C:\Program Files\Common Files\System\msadc\msadco.dll"
ren "C:\Program Files\Common Files\System\msadc\msadco.dll" msadco.dlxxx




原理就是解除MS06-014漏洞存在文件的系统注册。然后将其改名。。经过N人N台机器的测试,没有影响系统正常使用。同时能搞定MS06-014漏洞。。

详细的发现过程,请参见本站
引用内容

关于IE自动下载漏洞 - 死性不改's Blog~
http://www.clxp.net.cn/article.asp?id=3




对于其他一些流行漏洞,比如暴风2.他的漏洞组件是mps.dll文件。。因为我不用暴风2,不知道重命名mps.dll文件是否可行,建议大家测试。。

百度搜霸ActiveX控件远程代码执行漏洞,似乎网吧很少装这些垃圾插件。忽略不计。。如果装了。临时解决办法。把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时,很多人都是用这个办法进制他网页自动下载安装的。。

程序代码

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{A7F05EE4-0426-454F-8013-C41E3596E9E9}]
"Compatibility Flags"=dword:00000400




PPStream 堆栈溢出漏洞,反正俺网吧没装这个,,同时禁止下载。。所以我不用担心它。。
如果你的网吧安装了。怎么办呢?

把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时,很多人都是用这个办法进制他网页自动下载安装的。。

程序代码

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{5EC7C511-CD0F-42E6-830C-1BD9882F3458}]
"Compatibility Flags"=dword:00000400
迅雷ActiveX控件DownURL2方式远程缓冲区溢出漏洞,靠靠的,我都进制下载了。迅雷和我网吧就更无缘了。
如果你的网吧装了。。。咋办?同上。
把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时,很多人都是用这个办法进制他网页自动下载安装的。。

程序代码

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EEDD6FF9-13DE-496B-9A1C-D78B3215E266}]
"Compatibility Flags"=dword:00000400




联众也有漏洞哈。。。我网吧装了。。从做系统太累,也用上面的方法搞一下吧。。

把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时,很多人都是用这个办法进制他网页自动下载安装的。。

程序代码

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{AE93C5DF-A990-11D1-AEBD-5254ABDD2B69}]
"Compatibility Flags"=dword:00000400




超星阅读器,用都没用过的。。。。如果你安装了。。用上面的方法禁止。。

把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时,很多人都是用这个办法进制他网页自动下载安装的。。

程序代码

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7F5E27CE-4A5C-11D3-9232-0000B48A05B2}]
"Compatibility Flags"=dword:00000400




迅雷看看

把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。

程序代码

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F3E70CEA-956E-49CC-B444-73AFE593AD7F}]
"Compatibility Flags"=dword:00000400




Qvod漏洞

把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。


程序代码

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F3D0D36F-23F8-4682-A195-74C92B03D4AF}]
"Compatibility Flags"=dword:00000400




红色的部分叫做CLSID。。具体作用请百度。。。漏洞软件的CLSID收集请见本站。
引用内容

2007流行漏洞的对应插件CLSID及其介绍 - 死性不改's Blog~
http://www.clxp.net.cn/article.asp?id=728




漏洞详情,请参见本站。原文是NEEAO写的。。我只是转了一下。。
程序代码

2007年度网马漏洞不完全总结 - 死性不改's Blog~
http://www.clxp.net.cn/article.asp?id=690




行了。墨墨迹迹说了半天,也不知道大家能看懂不,看不懂我也没辙了..文学功底有限..说的不对的地方大家尽管批评,老楚认真接受。努力改正




用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; cafe8)
分享到:
gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2008-08-07 23:19 | 短消息 资料
字号: 2楼

回复:机器狗防御方案 [转]

这个不是机器狗解决方案!而是第三方软件漏洞列表
gototop
 
叶陵君
头像
锋芒艾服狮
  • 帖子:1561
  • 注册: 2008-02-07
  • 来自:
发表于: 2008-08-08 04:21 | 短消息 资料
字号: 3楼

回复:机器狗防御方案 [转]

通过解决第三方软件漏洞,从而断绝机器狗的来源,我想作者是这个意思。
gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2008-08-09 02:19 | 短消息 资料
字号: 4楼

回复:机器狗防御方案 [转]

通过解决第三方软件漏洞,就可以断绝机器狗的来源?就可以作为解决方案?

不上网,不用移动存储设备是防止任何病毒的万能方案,可以这样说吗?
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2008-08-10 18:43 | 短消息 资料
字号: 5楼

回复:机器狗防御方案 [转]

典型的挂羊头卖狗肉。如果照这样的逻辑,我也可以把这个标成“盗号木马防御方案”“灰鸽子防御方案”……
病毒样本请发到可疑文件交流区
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-08-10 19:15 | 短消息 资料
字号: 6楼

回复:机器狗防御方案 [转]

应当改为“一般性病毒防御的一些措施”
gototop
 
happysunday2003
头像
叱咤花甲狮
  • 帖子:4313
  • 注册: 2007-08-15
  • 来自:358团
论坛8周年活动礼物
发表于: 2008-08-10 23:19 | 短消息 资料
字号: 7楼

回复:机器狗防御方案 [转]

都不要这样说啦。人家写这些也挺不容易的。不要冷嘲热讽的好不好。最起码的思路嘛。对吧!
gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2008-08-11 23:04 | 短消息 资料
字号: 8楼

回复: 机器狗防御方案 [转]



引用:
原帖由 happysunday2003 于 2008-8-10 23:19:00 发表
都不要这样说啦。人家写这些也挺不容易的。不要冷嘲热讽的好不好。最起码的思路嘛。对吧! 

你那里看到冷嘲热讽了?错了不指出才是应该的?

难道实习生需要一味的夸奖?那我真要夸您一句:您每帖都跑进去灌水真是辛苦了!(这个才叫冷嘲热讽吧)
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT