文章目录
关闭防火墙
HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile","EnableFirewall",0x00010001,1- EnableFirewall = 0
(0表示关闭 , 1表示打开度, 缺省是打开的)
HKLM,"System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile","DoNotAllowExceptions",0x00010001,0
网页挂马关键字
iframe
window.open
工作簿对象事件一览表
当工作簿更改、工作簿中的任何工作表更改、加载宏更改或数据透视表更改时,将引发工作簿事件。工作簿上的事件在默认情况下是可用的。
| 事件 | 说明 |
|---|---|
| Activate | 激活工作薄时 |
| AddinInstall | 当工作簿作为加载宏安装时 |
| AddinUninstall | 工作簿作为加载宏卸载时 |
| BeforeClose | 关闭工作薄前 |
| BeforePrint | 打印工作薄(或其中任何内容)之前 |
| BeforeSave | 保存工作薄前 |
| Deactivate | 工作簿从活动状态转为非活动状态时 |
| NewSheet在 | 工作簿中新建工作表时 |
| Open | 打开工作簿时 |
| PivotTableCloseConnection | 在数据透视表关闭与其数据源的连接之后 |
| PivotTableOpenConnection | 在数据透视表打开与其数据源的连接之后 |
| SheetActivate | 激活任何一张表时 |
| SheetBeforeDoubleClick | 双击任何工作表时 |
| SheetBeforeRightClick | 鼠标右键单击任一工作表时 |
| SheetCalculate | 工作表重新计算时 |
| SheetChange | 更改工作表中的单元格时 |
| SheetDeactivate | 任一工作表由活动状态转为非活动状态时 |
| SheetFollowHyperlink | 单击 Microsoft Excel 中的任意超链接时 |
| SheetPivotTableUpdate | 数据透视表的工作表更新之后 |
| SheetSelectionChange | 工作簿中的数据透视表更新之后 |
| WindowActivate | 工作簿的窗口激活时 |
| WindowDeactivate | 工作簿的窗口变为非活动状态时 |
| WindowResize | 工作簿窗口调整大小时 |
工作表(Worksheet) 对象事件一览表
| 事件 | 说明 |
|---|---|
| Activate | 激活工作表时 |
| Deactivate | 工作表从活动状态转为非活动状态时 |
| BeforeDoubleClick | 双击工作表前 |
| BeforeRightClick | 右键单击工作表时 |
| Calculate | 对工作表进行重新计算之后 |
| Change | 更改工作表中的单元格,或外部链接引起单元格时 |
| FollowHyperlink | 单击工作表上的任意超链接时 |
| PivotTableUpdate | 在工作簿中的数据透视表更新之后 |
| SelectionChange | 工作表上的选定区域发生改变时 |
通信方式
匿名管道通信
匿名管道是一种未命名的、单向管道,通常用来在一个父进程和一个子进程之间传输数据。匿名的管道只能实现本地机器上两个进程间的通信,而不能实现跨网络的通信。
匿名管道是在父进程和子进程之间,或同一父进程的两个子进程之间传输数据的无名字的单向管道。通常由父进程创建管道,然后由要通信的子进程继承通道的读端点句柄或写端点句柄,然后实现通信。父进程还可以建立两个或更多个继承匿名管道读和写句柄的子进程。这些子进程可以使用管道直接通信,不需要通过父进程。
匿名管道是单机上实现子进程标准I/O重定向的有效方法,它不能在网上使用,也不能用于两个不相关的进程之间。
创建匿名管道的函数为CreatePipe,对管道进行读写的操作是ReadFile和WriteFile函数。
常见木马病毒删除方法
1.BO2000
查看注册表[HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunServicse]中是否存在Umgr32.exe的键值。有则将其删除。重新启动计算机,并将\Windows\System中的Umgr32.exe 删除。
2.NetSpy(网络静灵)
国产木马,默认连接端口为7306,服务端程序被执行后,会在C:\Windows\System目录下生成netspy.exe文件。同时在注册表[HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\Current Version\Run]下建立键值C:\windows\system\netspy.exe,用于在系统启动时自动加载运行。
清除方法:
(1)进入DOS,在C:\Windows\System\目录下输入命令“del netspy.exe”并按Enter键。
(2)进入注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run,删除Netspy.exe和Spynotify.exe的键值即可安全清除NetSpy。
3.NetBus(网络公牛)
国产木马,默认连接端口2344,服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽,危害很大。同时,服务端运行后会自动捆绑以下文件。
(1)Windows 9x下:捆绑notepad.exe、write.exe、regedit.exe、winmine.exe、winhelp.exe。
(2)Windows NT/Windows 2000下:捆绑notepad.exe、regedit.exe、reged32.exe、drwtsn32.exe、winmine.exe。
注册表扎根:
服务端运行后还会捆绑在开机时自动运行的第三方软件,如QQ等。
清除方法:
(1)删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。
(2)把网络公牛在注册表中所建立的键值全部删除(上面所列出的那些键值全部删除)。
(3)检查上面列出的文件,如果发现文件长度发生变化(增加了40KB左右,可以通过与其他计算机上的正常文件比较而知),就删除它们。然后选择“开始”→“附件”一“系统工具”一“系统信息”一“工具”一“系统文件检查器”命令,在弹出的对话框中选中“从安装软盘提取一个文件”,在文本框中输入要提取的文件(前面删除的文件),单击“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件,如realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些软件卸载,再重新安装。
4.Asylum
该木马修改了system.ini和win.ini文件,通过查看system.ini文件下的[BOOT]是否存在"shell=explorer.exe",如不是,则删除它,改回上面的设置
查看win.ini的[windows]项下的run=,如果有,则删除
5.冰河
标准版的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。
一旦运行G-server,那么该程序就会在C:\Windows\system目录下生成kernel32.exe和sysexplr.exe并删除自身。kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联,即使删除了kernel32.exe,但只要打开TXT文件,sysexplr.exe就会被激活,它将再次生成kernel32.exe,于是“冰河”又回来了。这就是“冰河”屡删不止的原因。
清除方法:
用纯DOS启动系统(以防木马的自动恢复)删除安装的
Windows下的system\kernel32.exe和system\sysexplr.exe两个木马文件,注意如果系统提示不能删除它们,是因为木马程序自动设置了这两个文件的属性,只需先改掉它们的隐藏、只读属性,就可以将其删除。
删除后,进入Windows系统的注册表中,找到[HKEY_LOCAL_MACHINE\SOFT WARE\Microsoft\Windows\CurrentVersion\Run]和[HKEY LOCAL MACHINE\ SOFTWARE\Microsoft\Windows\Current Version\RunServices]两项,然后查找kernel32.exe和sysexplr.exe两个键值并删除。再找到[HKEY_CLASSES_ROOT\txfile\open\command],看键值是不是已改为“sysexplr.exe%1”,如果是则改回“notepad.exe%1”。
文件后缀
| 后缀名 | 说明 |
|---|---|
| vbs | Visual Basic Script,微软脚本语言 |
| bat | 批处理 |
安全术语
HTTP:超文本传输协议,基于TCP/IP协议之上的应用层协议,允许将HTML文档从Web服务器传送到Web浏览器,默认端口为80
HTTPS:在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性,加入了SSL层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要SSL。HTTPS 存在不同于HTTP的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)
响应码如下:
| 状态代码 | 说明 |
|---|---|
| 200 | 请求成功 |
| 400 | 语法错误,服务器无法理解 |
WAF:Web应用防护系统(Web Application Firewall,简称 WAF)也称为:=网站应用级入侵防御系统。
Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
端口分类:端口共1-65535号,知名端口范围从0到1023,这些端口号一般固定分配给一些服务
比如21端口分配给FTP服务,25端号分配给SMTP邮件传输协议服务,80端口分配给HTTP服务,135端口分配给RPC远程过程调用服务等等。
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序,在关闭程序进程后,就会释放所占用的端口号。注意,端口冲突就不能正常工作。
同时,动态端口号也常常被病毒木马程序所利用,如冰河默认连接端口号是7626、WAY 2.4连接端口号是8011、Netspy 3.0连接端口号是7306、YAI病毒连接端口号是1024等等。
常见的端口:
| 端口号 | 含义 |
|---|---|
| 21 | FTP文件传输协议代理服务器常用端口号 |
| 22 | SSH安全登录、SCP文件传输、端口重定向端口号 |
| 23 | Telnet远程登录协议代理服务器常用端口号 |
| 25 | SMTP Simple Mail Transfer Protocol (E-mail) |
| 53 | DNS域名解析服务端口号 |
| 80/8080/3128/8081/9080 | HTTP协议代理服务器常用端口号 |
| 110 | POP3“邮局协议版本3”使用的端口号 |
| 443 | HTTPS加密的超文本传输服务端口号 |
| 1080 | SOCKS代理协议服务器常用端口号 |
| 1433 | MSSQL SERVER数据库默认端口号 |
| 1521 | Oracle数据库服务端口号 |
| 1863 | MSN Messenger的文件传输功能所使用的端口号 |
| 3306 | MYSQL默认端口号 |
| 3389 | Microsoft RDP微软远程桌面使用的端口号 |
| 5631 | Symantec pcAnywhere远程控制数据传输时使用的端口号 |
| 5632 | Symantec pcAnywhere 主控端扫描被控端时使用的端口号 |
| 4000/8000 | 腾讯QQ端口号 |
已知木马端口
| 木马名称 | 端口 | 木马名称 | 端口 |
|---|---|---|---|
| BO jammerkillahV | 121 | Deep Throat | 2140 |
| NukeNabber | 139 | Ther Invasor | 2140 |
| Hackers Paradise | 456 | RVL Rat5 | 2283 |
| Stealth Spy | 555 | Striker | 2565 |
| Pha |
最低0.47元/天 解锁文章
1547
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
