楼主: yager
收起左侧

[求助] 关于网页木马

[复制链接]
yager 该用户已被删除
 楼主| 发表于 2007-12-16 20:58:03 | 显示全部楼层
只要防止木马被下载和执行

首先下载回来的木马是多种形式啊

被执行的文件也是多种形式

怎么防 啊
gxd
发表于 2007-12-16 20:59:02 | 显示全部楼层

回复 7楼 rappar 的帖子

地球还是比较安全的
毕竟木马也不都是浏览网页来的
干这行的整天琢磨怎么自启动呢
今天你肉鸡了么。。
xqiafl
发表于 2007-12-16 21:12:20 | 显示全部楼层

回复 1楼 yager 的帖子

可以禁止IE 创建特定的文件.

比如: VBS, BAT ,EXE, COM ,PIF 等等.

一般,危险目录为,temp(06014) , system32 (07004)  ,还有根目录,这个为下载者特点.

其实,对于网马,无需太过于担心, 只要打了补丁了, 再禁止创建以上特殊文件.

当然,你可以把桌面,这个目录排除掉. 有很少的脚步马,或者06014 是往桌面写程

序的. 只要其它目录 , 比如: 系统,程序, 用户目录的规则设置好了,
 
就不必太担心!
yager 该用户已被删除
 楼主| 发表于 2007-12-16 21:18:12 | 显示全部楼层
原帖由 <i>xqiafl</i> 于 2007-12-16 21:12 发表 <a href="http://bbs.kafan.cn/redirect.php?goto=findpost&pid=2289946&ptid=172188" target="_blank"><img src="http://bbs.kafan.cn/images/common/back.gif" border="0" onclick="zoom(this)" onload="attachimg(this, 'load')" alt="" /></a><br />
可以禁止IE 创建特定的文件.<br />
<br />
比如: VBS, BAT ,EXE, COM ,PIF 等等.<br />
<br />
一般,危险目录为,temp(06014) , system32 (07004)  ,还有根目录,这个为下载者特点.<br />
<br />
其实,对于网马 ...
<br />


哎呀 好麻烦啊

而且咖啡的控制感觉没真正的hips好控制

我现在就想知道具体那个精简的规则是否安全
yager 该用户已被删除
 楼主| 发表于 2007-12-16 21:25:26 | 显示全部楼层
感觉跟spbic的规则有点类似了
深红的雪
发表于 2007-12-16 21:34:38 | 显示全部楼层
若要用我的规则,建议你重新下载一次,因为我15号作了比较大的更新。

关于我的那个规则,可以明确告诉你,是可以防的,而且是多重防御。
第一重:防止IE在后台下载木马。这个是通过禁止IE调用系统组件来实现的。有些网页代码可以绕过这层防御
第二重:禁止IE新建、读取exe、dll等文件,禁止cmd、com、bat文件的新建。
第三重:禁止脚本宿主工具的调用,这样就可以防住vbs、js、vbe、wsh、wsf等脚本。
第四重:禁止IE调用cmd.exe,debug.exe,regsvc32.exe等重要系统工具。可以防住伪装型木马。
第五重:防止木马在IE缓存文件夹中运行并感染系统,即管制IE缓存文件夹。
第六重:防止除了Windows,Temp,Program Flies,等重要目录以外的文件对本地文件进行操作。即C盘跟目录下的文件都无法对系统进行感染。
第七重:禁止共用程序从Windows、Temp目录下运行可执行文件,这个是咖啡的默认规则啦。好好利用此规则是可以有很大作为的。

一般的网页木马在第二重面前就过不了
以后再想到新的方法还会再增加几重防御....

[ 本帖最后由 rappar 于 2007-12-16 21:36 编辑 ]
xqiafl
发表于 2007-12-16 21:35:19 | 显示全部楼层
呵呵!! 这个精简规则,我没用.也没看.做不了说明.

, 就我用网马的经验来看, 那篇,只要四步即可防马的文章(只谈文章).

本人并不是太赞同. 

 如果上IE 想不中毒. 可以考虑,直接打补丁.

 如果,程序出现问题, 可以考虑,限制IE 运行某个有漏洞的程序.

 程序漏洞,一般为溢出型的(特点就是电脑超卡). 目录一般SYSTEM32 当然,本人

  没中过,也没用过. 所以,并不是太清楚.但,一般,就三个目录,

  系统根目录,TEMP, SYSTEM32 目录.

 而网马的文件,一般为: exe, com, bat, pif, vbs , 这五种文件.

  就本人的一点经验来讲,以前,虽然上网,总是中毒. 但现在,就算是裸奔,

  也照上毒网. 打上全补丁就OK. 如果打补丁还出现问题,

  这种情况一般表现为: 360的06014这个漏洞.看上去好像打了.
  
  但,往往一个06014的马,就可以过了它的补丁. 本人一般是用QQ医生打的

  补丁. 

  这里又出现了过全补丁马.其实,这种马,在不同时期,表现不同.

  比如: 没漏洞时,那一般,就为控件马,06014占多.

   现在的过全补丁马,那就具体表现为 realone player  exploit

     一般,打全系统补丁,再用MCAFEE .基本上没什么问题!

[ 本帖最后由 xqiafl 于 2007-12-16 21:36 编辑 ]
yager 该用户已被删除
 楼主| 发表于 2007-12-16 21:38:54 | 显示全部楼层
打全系统补丁,再用MCAFEE

补丁不难,就说mcafee的规则的问题了。。。

而且补丁都是事后药。。。

规则更重要了
xqiafl
发表于 2007-12-16 21:40:19 | 显示全部楼层
就我玩了这长时间的网马, 只总结了一句话: 有漏洞,打补丁!
xqiafl
发表于 2007-12-16 21:41:11 | 显示全部楼层

回复 18楼 yager 的帖子

呵呵!! 居然会有这种想法!! 第一次听说!! 

外面的一些,吹虚,可以防止网页木马的工具. 比如: 卡卡上网助手.

如果,你只是为了防止网页木马,那么,补丁是 最绿色,最简单,最有效.最安全.最环保的一种方式! 

[ 本帖最后由 xqiafl 于 2007-12-16 21:43 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 03:13 , Processed in 0.102001 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表