博文

ati2avxx.exe 病毒清除(2008-04-19 09:00:00)

摘要:
今天帮一同学解决电脑故障, 之后知道是中了 ati2avxx.exe 病毒
以下是自己总结的一些资料, 为中了该毒的网友提供参考, 不保证
适合于所有版本的 ati2avxx.exe.
ati2avxx.exe 病毒是我所见比较厉害的病毒 症状: 中毒后隐藏文件完全不可见, 软件无法安装, 另外还有可能无法打开网页
      杀毒软件无法运行, 系统缓慢, 无法进入安全模式等等. 以上症状不敢确定有没有,因为我自己没有中过该病毒,但是如果在进程管理器里
可以看到该病毒进程而且无法删除的话基本就是中了该病毒. 中过之后,即使重装系统
如果没有全盘格式化磁盘(估计谁都不想发这么大的代价)只要打开磁盘,在进程管理器
里就又会出现该病毒. 的确是一顽固的生命力强大的病毒, 目前的杀毒软件好像无法对付. 解决方法: 一, 全盘格式化后重装系统 (不推荐) 二, 这个方法是自己无意中发现的,不保证适合所有版本的 ati2avxx.exe
   a, 打开任务管理器, 结束 explorer.exe 进程
   b, 结束 ati2avxx.exe, 如果还没结束而 explorer.exe 进程又运行的话
      转到 a, 总之先结束 explorer.exe 进程, 之后结束 ati2avxx.exe
   c, 经过 a,b后 ati2avxx.exe 应该不会再运行了, 在任务管理器里点
      文件->(新建任务)运行, 输入 cmd 打开命令提示符, 进入 system32 目录
      输入 attrib -h -s -r -a ati2avxx.exe
   d, 切换到任务管理器, 点 文件->(新建任务)运行, 点浏览进入 system32
     这时我们可以看到 ati2avxx.exe 文件, ......

阅读全文(7607) | 评论:1

灰鸽子使用方法(2007-11-04 12:15:00)

摘要:[[[[[ 本文系网络转载 ]]]]] 灰鸽子第二章:好马配好鞍,服务端正确配置。
灰鸽子是一款要交钱的软件,也就是说,你使用VIP版的话是要交给作者每年几十
块钱的使用费(不作任何评论)
因此网上也就有很多高手破解灰鸽子,让灰鸽子可以不用到灰鸽子的官方网站进
行验证,从而可以不用交钱就可以使用,
相关版本有:影子鹰破解专用版,爱儿破解版,以及华夏黑客联盟的灰鸽子
sunray破解版。
今天我们就用"灰鸽子sunray破解版"来向大家详细解析这款木马的服务端配置方
式,只可实验,不可做坏事,大家不喜欢请跳过这一章。
第一节:未雨绸缪,实验准备。
第一,关闭杀毒软件,这点不用我说了吧~~~因为是木马,下载了之后如
果杀毒软件监控开着的话肯定会被删除的。
第二,当然是下载灰鸽子的软件啦~~~上网找,有很多~~~

第三,申请一个免费的主页空间,为什么要呢?因为灰鸽子是可以反弹
式链接的,也就是说,服务端通过登陆你的主页的特定文件就可以主动连接到你
的电脑让你控制了。(这一点,等一下会详细解说)
第二节:实战开始。
把我们刚才下来的文件解压到某个文件夹,记住,不要改文件夹的名字,后面会
用到。
解压的文件里面有以下几个文件:
H_Client.exe 这个是客户端的主要文件,可以配置文件,生成服务端,可以远
程控制客户端。
http.exe 这个是本地http服务器,因为我们的灰鸽子是破解版的,通常正式版
的灰鸽子会到官方的服务器上去验证你的软件是否正版,所以这个软件就是用来
在本机子上建一个服务器,骗过软件的,从而达到破解的目的。
sunray.exe 这个里面其实也就只是一个host,它把http://www.huigezi.com这
个网站的域名本地解析到本机,而不是解析到官方网站。
vip_2005_0113.rar 这个是验证的软件,当我们的软件解析到本机的时候它就会
下载这一个到客户端,用来验证用的。
其它的文件还有config2005.asp,Operate.ini 还有四个文件夹,他们分别是
(dat images login sound)我也不知道什么用的。应该是配置用......

阅读全文(3371) | 评论:0

缓冲区溢出攻击演示程序(2007-11-02 21:27:00)

摘要:
缓冲区溢出攻击演示程序   缓冲区溢出攻击是一种常见的攻击其攻击原理和相关知识见: http://blog.programfan.com/article.asp?id=30692   下面是小型的攻击演示程序,程序源代码如下: #include <stdio.h>
#include <stdlib.h>
#include <string.h> void callCmd(){
    printf("welcome admin !\n");
    system("cmd");
} void test(char p){
    char buf[10];
    printf("Enter passport:");
    gets(buf);
    if(!strcmp(buf,"admin"))
        callCmd();
    printf("Access deny !\n");
} int main(){
    char buf='A';
    test(buf);
    return 0;
}   上面的程序在正常执行时只有输入正确的"通行证"  "admin" 才有权调用callCmd() 函数,但是由于使用了 gets() 函数,可以在输入时通过缓冲区溢出,将test()的返回地址直接改为callCmd() 函数的调用地址绕过验证,方法如下: 一 : 反汇编该程序生成的可执行文件,找到 callCmd() 的调用地址 : 00401030   二: 查看堆栈内容 { 调出堆栈,后面将会用到 }   三: 运行函数调用指令,同时查看堆栈以......

阅读全文(9089) | 评论:2

缓冲区溢出攻击(2007-11-02 20:08:00)

摘要:黑客中级技术--缓冲区溢出攻击  [ 转自网络] 缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统当机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。缓冲区溢出攻击有多种英文名称:buffer overflow,buffer overrun,smash the stack,trash the stack,scribble the stack, mangle the stack, memory leak,overrun screw;它们指的都是同一种攻击手段。第一个缓冲区溢出攻击--Morris蠕虫,发生在十年前,它曾造成了全世界6000多台网络服务器瘫痪。
  
  本文将分析缓冲区溢出的原理;研究各种类型的缓冲区溢出漏洞和攻击手段;最后,还将着重研究各种防御手段,用来消除这些漏洞所造成的影响。
  
  一、 缓冲区溢出的原理
  通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序:
  
  void function(char *str) {
  
  char buffer[16];
  
  strcpy(buffer,str);
  
  }
  
  上面的strcpy()将直接吧str中的内容copy到buffer中。这样只要str的长度大于16,就会造成buffer的溢出,使程序运行出错。存在象strcpy这样的问题的标准函数还有strcat(),sprintf(),vsprintf(),gets(),scanf()等。
  
  当然,随便往缓冲区中填东西造成它溢出一般只会出现“分段错误”(Segmentation fault),而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell,再通过shell执行其它命令。如果该程序属于root且有suid权限的话,攻击者就获得了一个有root权限的shell,可以对系统进行任意操作了。
  

阅读全文(3515) | 评论:0