Archive for the ‘安全’ Category
Wednesday, April 2nd, 2008
有时候不方便到界面下边或者为啦方便自己定制查杀病毒任务,这时命令行下的杀毒方式就显得很灵活实用啦(金山毒霸的屏保杀毒就是使用的命令行杀毒任务)。好啦下边看下金山毒霸查杀病毒命令格式。
C:\Program Files\Kingsoft\Kingsoft Internet Security 2008>kavdx /help
Kingsoft AntiVirus Scan V3.0 Copyright (c) 1998, 2003 Kingsoft Co., Ltd
Usage:
KAVDX [drive:][path][filename] [{/|-}<switch>[+|-] ...]
Switch: (+|-: Enable|Disable switch)
?|H|Help - For help
D - Display default settings
M - Scan Memory
B - Scan Boot area
All - Scan All files
Z - Scan archived file
S - Scan Sub directory
HA - Heuristic ...
Posted in 今日一点, 安全 | No Comments »
Tuesday, March 11th, 2008
1:使用netstat -naob查看开启的服务,然后配置防火墙,然后启用。
2:services.msc检查服务启动情况。
Error Reporting Service
Microsoft Search
Wireless Configuration
3:设置组策略gpedit.msc
4:
Documents and Settings
Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有
完全控制权。
5:
at.exe
attrib.exe
cacls.exe
cmd.exe
debug.exe
format.com
ftp.exe
net.exe
net1.exe
netstat.exe
regedt32.exe
telnet.exe
scrrun.dll
shell.dll
拒绝guest用户组访问
iis网站全局配置
。。。
不安全组件:
regsvr32/u C:\WINDOWS\System32\wshom.ocx
rename C:\WINDOWS\System32\wshom.ocx ws.bak.hom.ocx.bak
regsvr32/u C:\WINDOWS\system32\shell32.dll
rename C:\WINDOWS\system32\shell32.dll shell.bak.32.dll
sql扩展存储,php模块
Posted in 今日一点, 安全 | No Comments »
Tuesday, March 11th, 2008
说明:需要winPcap 基于arp欺骗,
具体功能看下面的使用说明
基于ARP欺骗的东东,可网页插马,DNS欺骗,自定义关键字嗅探等
网络地址信息:
0. Realtek RTL8139
IP Address. . . . . : 192.168.1.101
Physical Address. . : 00-11-D8-6B-5E-19
Default Gateway . . : 192.168.1.1
1. WAN (PPP/SLIP) Interface
IP Address. . . . . : xx.xx.xx.xx
Physical Address. . : 00-52-00-00-00-00
Default Gateway . . : xx.xx.xx.xx
options(参数说明):
-idx [index] 网卡索引号
-ip [ip] 欺骗的IP,用'-'指定范围,','隔开
-sethost [ip] 默认是网关,可以指定别的IP
-port [port] 关注的端口,用'-'指定范围,','隔开,没指定默认关注所有端口
-reset 恢复目标机的ARP表
-hostname 探测主机时获取主机名信息
-logfilter [string]设置保存数据的条件,必须+-_做前缀,后跟关键字,
','隔开关键字,多个条件'|'隔开
所有带+前缀的关键字都出现的包则写入文件
带-前缀的关键字出现的包不写入文件
带_前缀的关键字一个符合则写入文件(如有+-条件也要符合)
-save_a ...
Posted in 代码调试, 安全 | No Comments »
Sunday, March 2nd, 2008
先是看到国内的gsm服务商并没有加密数据通讯,又看到手机短信被嗅探窃看的截图(不是我抓得厄)
中国的GSM到底是不是加密的:http://hi.baidu.com/tombkeeper/blog/item/534571d9edcef22811df9bd2.html
手机打电话是可以窃听的?短信也同样?http://hi.baidu.com/tombkeeper/blog/item/49ac4043a14b15159213c636.html
人家移动老总不是说过嘛:“你是谁,你在哪里,我们都知道”。
。。。
Posted in 安全 | No Comments »
Tuesday, January 15th, 2008
usrinit.exe
应该是最近闹得很火的机器狗病毒产生的假冒系统文件.可以直接中止,感染正常的系统文件userinit.exe不修改时间和大小只改文件内容。
usrinit.exe档案
W32.Kedebe.E@mm的一个组件
病毒名称:W32.Kedebe.E@mm
病毒类型:蠕虫
发现日期:2005年7月12日
危害程度:蠕虫复制自身为系统文件夹下的[一个不可打印字符][文件名],不可打印字符表示为0xA0,在不同操作系统下的显示不同,文件名为如下之一: nbtstat.exe、usrinit.exe、user.exe、winhlp32.exe、telnet.exe、locator.exe、 recover.exe、logman.exe、dlhost.exe、logonui.exe、winspol.exe、services.exe、 svchost.exe、lsas.exe、rundl32.exe、regedt32.exe、winlogon.exe、wuauclt.exe。在 记事本中打开临时文件夹下的[初始文件名].txt文件并显示如下文本:This document cannot be run under older versions. Please install latest version of Notepad. [随机文本]。从带有特定扩展名的文件中收集邮件地址,向收集到的地址发送自身副本。。试图终止带有某些文本的进程并删除相关文件以降低安全设置。向 hosts文件增加条目以阻止对一些与安全相关网站的访问。删除一些安全程序的文件!
阻止usrinit.exe
可以使用机器狗病毒的专杀工具(目前还没发现好用的专杀工具)建议是用免疫工具(超级巡警有个机器狗免疫程序),然后可以建立个开机运行脚本检查进程中是否有usrinit.exe进程,如果有就立即中止。
脚本类似:
wmic process where name=”userinit.exe” call terminate
wmic process where name=”usrinit.exe” call terminate
该代码的的意思是:当发现进程里有userinit.exe时,即关闭;当发现进程里有usrinit.exe时,也关闭。因为批处理在winlogon后运行,所以病毒刚启动,就被杀掉了。这样也就失去了下载其它病毒的机会。不过,缺点是它只运行一次。这两代批处理的基础上,加入了每秒检查进程,一发现即终止的vbs脚本:
do while(1)
strComputer ...
Posted in 安全, 病毒学习, 网吧经验谈 | No Comments »