本文来自死性不改的博客 http://www.clxp.net.cn 转载请保留此申明!
好几天前就想发一篇关于机器狗防御办法的帖子,但是因为素材本站都有了 。只是看你细心与否。
不过因为我语文不好,文章标题有点模糊,所以可能有些朋友注意不到。。哎。。。以实为实就是得不到观众的喜爱,没办法。。于是今天再总结性的说一下机器狗防御办法~
中心思想,断绝机器狗的来源。
机器狗是从哪感染到机器上的呢?
说白了一点,是从网页感染的多,下载感染的少,也就是说把网页自动下载的漏洞给搞定,也就没什么大问题了~为什么说火狐浏览器安全?因为他可以杜绝大部分网马的下载。因为我记得我看过关于火狐浏览器的防马办法。印象最深的就是对IE管用的ifram框架挂马方式,在火狐浏览器下无效。恰恰在那个时候MS06-014漏洞很火爆。所以有了火狐浏览器不中网马的说法~~
但是如今不一样了 。随着网民的安全认识提高。大家都知道打补丁了。病毒不限于只用MS的漏洞来传播病毒了~
他们对第三方软件开始感兴趣,发觉他们的漏洞。
什么是第三方软件?我自己的理解哈,不一定正确,所谓第三方软件,就是使用微软原版系统装好后,你又往上安装的软件,都可以叫做第三方软件吧,我是这么理解了 。
比如播放器。聊天软件,游戏。等等,都可以叫做第三方软件。那么以前病毒利用微软漏洞,我们给系统打微软的补丁,如今第三方软件有漏洞了。我们顺其自然的就该去搞第三方软件漏洞的屏蔽。可是个人用户好办。因为就一台机器,怎么搞都容易,可是网吧不同。机器多。通常是一个人搞定几百,甚至几千台机器,埃台机器打第三方软件漏洞补丁,不死人才怪。所以,今天我就针对目前网马利用比较频繁的第三方软件漏洞来说以说,最简单的防御办法!
1、最好用,最灵光的Real Player播放器溢出漏洞。
很多人都在用Real Player播放器,版本比较普及的就是10.5和10.6吧,新出的11用的人应该不多,我不用是因为界面看上去实在是很恶心。。。不习惯,于是一直用10.5,包括我的CLXP里装的也都是10.5版本。
可是这个版本是存在溢出漏洞的。网马可以使用它的漏洞来下载病毒,木马程序。当然也可以下载机器狗。
尽管REAL官方提供补丁了 。但是我测试的是不灵光。。。访问网马页面,REAL一样弹。。。
那么最有效的办法是什么?哈哈。墨迹了半天,该出真货了。
有开机通道的朋友有福了,防real player10.x版本的溢出漏洞方法:
 程序代码
taskkill /f /im realsched.exe
ren "C:\Program Files\Real\RealPlayer\rpplugins\ierpplug.dll" ierpplug.dlxxx
哈哈,一样代码就搞定,原理就是把存在溢出漏洞的文件给改名,同时不影响real使用。
详细的发现过程,请参见本站:
 引用内容
2、经久不衰的MS06-014漏洞。
有人打过微软补丁的就没事了。不过有人不一定打补丁,,比如我。。。那怎么办呢?
当然有办法了,要是没办法早去打微软补丁了。
利用开机通道。把下面批处理代码加到开机脚本中。。。此功劳要归功于LZ-MyST,MS06-014利用最疯狂的死后,似乎是用来传播ARP病毒的时候。。。用了这个办法。。ARP才得以制止。。
程序代码
regsvr32 /u /s "C:\Program Files\Common Files\System\msadc\msadco.dll"
ren "C:\Program Files\Common Files\System\msadc\msadco.dll" msadco.dlxxx
原理就是解除MS06-014漏洞存在文件的系统注册。然后将其改名。。经过N人N台机器的测试,没有影响系统正常使用。同时能搞定MS06-014漏洞。。
详细的发现过程,请参见本站
引用内容
对于其他一些流行漏洞,比如暴风2.他的漏洞组件是mps.dll文件。。因为我不用暴风2,不知道重命名mps.dll文件是否可行,建议大家测试。。
百度搜霸ActiveX控件远程代码执行漏洞,似乎网吧很少装这些垃圾插件。忽略不计。。如果装了。临时解决办法。把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时,很多人都是用这个办法进制他网页自动下载安装的。。
程序代码
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{A7F05EE4-0426-454F-8013-C41E3596E9E9}]
"Compatibility Flags"=dword:00000400
PPStream 堆栈溢出漏洞,反正俺网吧没装这个,,同时禁止下载。。所以我不用担心它。。
如果你的网吧安装了。怎么办呢?
把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时,很多人都是用这个办法进制他网页自动下载安装的。。
程序代码
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{5EC7C511-CD0F-42E6-830C-1BD9882F3458}]
"Compatibility Flags"=dword:00000400
迅雷ActiveX控件DownURL2方式远程缓冲区溢出漏洞,靠靠的,我都进制下载了。迅雷和我网吧就更无缘了。
如果你的网吧装了。。。咋办?同上。
把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时,很多人都是用这个办法进制他网页自动下载安装的。。
程序代码
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EEDD6FF9-13DE-496B-9A1C-D78B3215E266}]
"Compatibility Flags"=dword:00000400
联众也有漏洞哈。。。我网吧装了。。从做系统太累,也用上面的方法搞一下吧。。
把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时,很多人都是用这个办法进制他网页自动下载安装的。。
程序代码
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{AE93C5DF-A990-11D1-AEBD-5254ABDD2B69}]
"Compatibility Flags"=dword:00000400
超星阅读器,用都没用过的。。。。如果你安装了。。用上面的方法禁止。。
把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时,很多人都是用这个办法进制他网页自动下载安装的。。
程序代码
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7F5E27CE-4A5C-11D3-9232-0000B48A05B2}]
"Compatibility Flags"=dword:00000400
迅雷看看
把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。
程序代码
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F3E70CEA-956E-49CC-B444-73AFE593AD7F}]
"Compatibility Flags"=dword:00000400
Qvod漏洞
把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。
程序代码
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F3D0D36F-23F8-4682-A195-74C92B03D4AF}]
"Compatibility Flags"=dword:00000400
红色的部分叫做CLSID。。具体作用请百度。。。漏洞软件的CLSID收集请见本站。
引用内容
漏洞详情,请参见本站。原文是NEEAO写的。。我只是转了一下。。
程序代码
行了。墨墨迹迹说了半天,也不知道大家能看懂不,看不懂我也没辙了..文学功底有限..说的不对的地方大家尽管批评,老楚认真接受。努力改正!
另外推荐本站的HOSTS防御办法...
『会杀毒不如少中毒HOSTS反黑文件,每天不定时更新.』 - 死性不改's Blog~
http://www.clxp.net.cn/article.asp?id=385
系统安全检测...
来自国外的IE漏洞检测网站Browser Security Test ,感觉效果不错.. - 死性不改's Blog~
http://www.clxp.net.cn/article.asp?id=936
| 