Marsha09
博客自定义分类
|
清除autorun.inf 一、 AutoRun简介: Windows95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改,并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后,随着各种可移动存储设备的普及,国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵,有时是出现在不应该出现的地方的回收站,总之,它们是系统安全的严重威胁。见图0、图1。 图0 图1 二、运行方式: A. OPEN=filename.exe 自动运行。但是对于很多XPSP2用户和Vista用户,Autorun已经变成了AutoPlay,不会自动运行它,会弹出窗口说要你干什么。 B. shellAutocommand=filename.exe shell=Auto 修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键,马上发现破绽。精明点的病毒会改默认项的名字,但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文,你会认为是什么呢? 见图2。 图2 C. shellexecute=filename.exe ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。 D. shellopen=打开(&O) shellopenCommand=filename.EXE shellopenDefault=1 shellexplore=资源管理器(&X) 这种迷惑性较大,是新出现的一种形式。右键菜单一眼也看不出问题,但是在非中文的系统下,原形毕露。突然出现的乱码、中文当然难逃法眼。 杭州学院路口电脑维修 杭州花园西村电脑维修 杭州金地大厦电脑维修 杭州西湖大厦电脑维修 杭州团校电脑维修 杭州浙江工商大学电脑维修 杭州省团校电脑维修 杭州省测绘局电脑维修 杭州下宁桥电脑维修 杭州省新华书店电脑维修 杭州枫华府第电脑维修 杭州省建设厅干部学校电脑维修 杭州年代专修学校电脑维修 杭州求是科学院电脑维修 杭州省自然博物馆电脑维修 杭州九莲新村西电脑维修 杭州花园新村电脑维修 杭州黄姑山路电脑维修 杭州省工会干部学校电脑维修 杭州学军中学电脑维修 杭州保俶北路电脑维修 杭州下宁巷电脑维修 杭州求智路电脑维修 杭州西溪公园电脑维修 杭州海洋二所电脑维修 杭州浙江教育学院电脑维修 杭州西溪数码港电脑维修 杭州文二路口电脑维修 杭州学军小学电脑维修 杭州日晖新村电脑维修 杭州东方通信大厦电脑维修 杭州绿洲宾馆电脑维修 杭州省人民检察院电脑维修 杭州市国土局电脑维修 杭州百脑汇电脑维修 杭州五鑫大酒店电脑维修 杭州教工路口电脑维修 杭州立元大厦电脑维修 杭州上宁桥电脑维修 杭州浙江大学西溪校区电脑维修 杭州文三新村电脑维修 杭州庆丰新村电脑维修 杭州玉古路口电脑维修 杭州玉古山庄电脑维修 杭州西湖体育馆电脑维修 杭州绿园电脑维修 杭州跑马场电脑维修 杭州海关电脑维修 杭州黄龙体育中心电脑维修 杭州五环娱乐城电脑维修 杭州黄龙路电脑维修 杭州黄龙洞电脑维修 杭州黄龙公交中心站电脑维修 杭州省国土资源厅电脑维修 杭州世贸中心电脑维修 杭州杭大路电脑维修 杭州杭大路口电脑维修 杭州黄龙饭店电脑维修 杭州沿山河新村电脑维修 杭州浙江图书馆电脑维修 杭州省老年大学电脑维修 杭州宝石二路电脑维修 阅读全文>> |
|
关于ARP 1. 什么是ARP? ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话,网络就肯定会出现大面积的掉线问题。ARP攻击在现今的网络中频频出现,有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。 2. ARP的原理。 我在网上找到了一段很生动的描述: 通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的mac地址。如果没有找到,该主机就发送一个ARP广播包,看起来象这样子: "我是主机xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip为xxx.xxx.xxx.xx1的主机请告之你的mac来" ip为xxx.xxx.xxx.xx1的主机响应这个广播,应答ARP广播为: "我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2" 于是,主机刷新自己的ARP缓存,然后发出该ip包。 了解这些常识后,现在就可以 |
|
手动清除磁碟机病毒木马 磁碟机木马最近成为安全领域的热门话题,据悉,进入3月以来,“磁碟机”木马作者已经更新了数次,感染率和破坏力正逐步提高。该病毒运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等安全类软件的运行,除此之外还会删除系统中含有“360”字样的文件。感染后,进程中会多出smss.exe和lsass.exe进程,使用任务管理器结束后会造成计算机重启,并自动下载大量的木马到本地机器。 据分析,该木马使用的关闭安全软件的方法和以往不同,其通过发生一堆垃圾消息,导致安全程序的崩溃,连icesword(冰刃)也未能幸免。其在运行后,会在 system32的Com 目录下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件,在关机瞬间会写一个文件到开始菜单的启动项中; 需要注意的是,该病毒使用极其恶毒的感染方式,感染除SYSTEM32 目录外其它目录下的所有可执行文件(*.exe),导致文件被感染后无法使用且部分文件无法恢复。详细症状请点击查看 (第二页)。 既然所有可执行文件(*.exe)都无法运行,那么我们就来手动查杀磁碟机木马,具体步骤如下: 1、用改名大法将system32和dllcache目录下的cmd.exe临时改名 |
