博文

ati2avxx.exe 病毒清除(2008-04-19 09:00:00)

摘要:今天帮一同学解决电脑故障, 之后知道是中了 ati2avxx.exe 病毒以下是自己总结的一些资料, 为中了该毒的网友提供参考, 不保证适合于所有版本的 ati2avxx.exe. ati2avxx.exe 病毒是我所见比较厉害的病毒 症状: 中毒后隐藏文件完全不可见, 软件无法安装, 另外还有可能无法打开网页      杀毒软件无法运行, 系统缓慢, 无法进入安全模式等等. 以上症状不敢确定有没有,因为我自己没有中过该病毒,但是如果在进程管理器里可以看到该病毒进程而且无法删除的话基本就是中了该病毒. 中过之后,即使重装系统如果没有全盘格式化磁盘(估计谁都不想发这么大的代价)只要打开磁盘,在进程管理器里就又会出现该病毒. 的确是一顽固的生命力强大的病毒, 目前的杀毒软件好像无法对付. 解决方法: 一, 全盘格式化后重装系统 (不推荐) 二, 这个方法是自己无意中发现的,不保证适合所有版本的 ati2avxx.exe   a, 打开任务管理器, 结束 explorer.exe 进程   b, 结束 ati2avxx.exe, 如果还没结束而 explorer.exe 进程又运行的话      转到 a, 总之先结束 explorer.exe 进程, 之后结束 ati2avxx.exe   c, 经过 a,b后 ati2avxx.exe 应该不会再运行了, 在任务管理器里点      文件->(新建任务)运行, 输入 cmd 打开命令提示符, 进入 system32 目录      输入 attrib -h -s -r -a ati2avxx.exe    d, 切换到任务管理器, 点 文件->(新建任务)运行, 点浏览进入 system32     这时我们可以看到 ati2avxx.exe 文件, 彻底删除该文件(shift+delete)     新建一目录取名为 ati2avxx.......

阅读全文(8683) | 评论:1

灰鸽子使用方法(2007-11-04 12:15:00)

摘要:[[[[[ 本文系网络转载 ]]]]] 灰鸽子第二章:好马配好鞍,服务端正确配置。灰鸽子是一款要交钱的软件,也就是说,你使用VIP版的话是要交给作者每年几十块钱的使用费(不作任何评论)因此网上也就有很多高手破解灰鸽子,让灰鸽子可以不用到灰鸽子的官方网站进行验证,从而可以不用交钱就可以使用,相关版本有:影子鹰破解专用版,爱儿破解版,以及华夏黑客联盟的灰鸽子sunray破解版。今天我们就用"灰鸽子sunray破解版"来向大家详细解析这款木马的服务端配置方式,只可实验,不可做坏事,大家不喜欢请跳过这一章。第一节:未雨绸缪,实验准备。第一,关闭杀毒软件,这点不用我说了吧~~~因为是木马,下载了之后如果杀毒软件监控开着的话肯定会被删除的。第二,当然是下载灰鸽子的软件啦~~~上网找,有很多~~~第三,申请一个免费的主页空间,为什么要呢?因为灰鸽子是可以反弹式链接的,也就是说,服务端通过登陆你的主页的特定文件就可以主动连接到你的电脑让你控制了。(这一点,等一下会详细解说)第二节:实战开始。把我们刚才下来的文件解压到某个文件夹,记住,不要改文件夹的名字,后面会用到。解压的文件里面有以下几个文件:H_Client.exe 这个是客户端的主要文件,可以配置文件,生成服务端,可以远程控制客户端。http.exe 这个是本地http服务器,因为我们的灰鸽子是破解版的,通常正式版的灰鸽子会到官方的服务器上去验证你的软件是否正版,所以这个软件就是用来在本机子上建一个服务器,骗过软件的,从而达到破解的目的。sunray.exe 这个里面其实也就只是一个host,它把http://www.huigezi.com这个网站的域名本地解析到本机,而不是解析到官方网站。vip_2005_0113.rar 这个是验证的软件,当我们的软件解析到本机的时候它就会下载这一个到客户端,用来验证用的。其它的文件还有config2005.asp,Operate.ini 还有四个文件夹,他们分别是(dat images login sound)我也不知道什么用的。应该是配置用的。第一步:在你的电脑上新建一个ip.txt的文本文件,内容如下:http://huigezi212.126.131.43:8000end其中212.126.131.43这个是我的电脑IP地址,8000是连接的端口,你可以把它写成你自己的IP地址,......

阅读全文(3483) | 评论:0

缓冲区溢出攻击演示程序(2007-11-02 21:27:00)

摘要:缓冲区溢出攻击演示程序   缓冲区溢出攻击是一种常见的攻击其攻击原理和相关知识见: http://blog.programfan.com/article.asp?id=30692   下面是小型的攻击演示程序,程序源代码如下: #include <stdio.h>#include <stdlib.h>#include <string.h> void callCmd(){    printf("welcome admin !\n");    system("cmd");} void test(char p){    char buf[10];    printf("Enter passport:");    gets(buf);    if(!strcmp(buf,"admin"))        callCmd();    printf("Access deny !\n");} int main(){    char buf='A';    test(buf);    return 0;}   上面的程序在正常执行时只有输入正确的"通行证"  "admin" 才有权调用callCmd() 函数,但是由于使用了 gets() 函数,可以在输入时通过缓冲区溢出,将test()的返回地址直接改为callCmd() 函数的调用地址绕过验证,方法如下: 一 : 反汇编该程序生成的可执行文件,找到 callCmd() 的调用地址 : 00401030   二: 查看堆栈内容 { 调出堆栈,后面将会用到 }   三: 运行函数调用指令,同时查看堆栈以找到堆栈的返回地址位置   四:正常输入,并查看堆栈得出缓冲区距离堆栈的距离 [ 16 字节]   ......

阅读全文(9263) | 评论:2

缓冲区溢出攻击(2007-11-02 20:08:00)

摘要:黑客中级技术--缓冲区溢出攻击  [ 转自网络] 缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统当机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。缓冲区溢出攻击有多种英文名称:buffer overflow,buffer overrun,smash the stack,trash the stack,scribble the stack, mangle the stack, memory leak,overrun screw;它们指的都是同一种攻击手段。第一个缓冲区溢出攻击--Morris蠕虫,发生在十年前,它曾造成了全世界6000多台网络服务器瘫痪。    本文将分析缓冲区溢出的原理;研究各种类型的缓冲区溢出漏洞和攻击手段;最后,还将着重研究各种防御手段,用来消除这些漏洞所造成的影响。    一、 缓冲区溢出的原理  通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序:    void function(char *str) {    char buffer[16];    strcpy(buffer,str);    }    上面的strcpy()将直接吧str中的内容copy到buffer中。这样只要str的长度大于16,就会造成buffer的溢出,使程序运行出错。存在象strcpy这样的问题的标准函数还有strcat(),sprintf(),vsprintf(),gets(),scanf()等。    当然,随便往缓冲区中填东西造成它溢出一般只会出现“分段错误”(Segmentation fault),而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell,再通过shell执行其它命令。如果该程序属于root且有suid权限的话,攻击者就获得了一个有root权限的shell,可以对系统进行任意操作了。    缓冲区溢出攻击之所以成为一种常见安全攻击手段其原因在于缓冲区溢出漏洞太普遍了,并且易于实现。而且,缓冲区溢出成为远程攻击的主要手段其原因在于缓冲区......

阅读全文(3711) | 评论:0