鐵之狂傲

 取回密碼
 註冊
搜尋

【教學主題】 小心您的瀏覽器變成硬碟分享器!!!

[複製連結] 檢視: 9088|回覆: 10

所謂的瀏覽網頁硬碟被共享,是在瀏覽了含有有害代碼的ActiveX網頁文件後中標的。

以下是該網頁原代碼中的關鍵部分:

“Shl.RegWrite”開頭的這幾句代碼的作用是寫入瀏覽者的註冊表

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面添加鍵值“RWC$”

RWC$下又分別建立鍵值“Flags”“Type”“Path”

這樣就把C槽設為共享了,共享名為RWC$

而且你在網路屬性中還看不到硬碟被共享了!

如果把"Flags"=dword:00000302改成"Flags"=dword:00000402就可看到硬碟被共享。

害人的都很聰明,想到了Flags值改成302後就可以秘密共享...(請不要做壞事唉...)

--------------------------------------------------------------------------------------------------------

由於只要瀏覽這類網頁硬碟即被共享,因此其危害較之木馬更大(個人觀點)。

如果不小心中招,那麼給你下套的人完全可以把你的硬碟當做他的一個邏輯硬碟

他可以在你電腦中隨意拷貝文件,刪除文件,給文件改名……如果這樣還不能令他滿意

他完全可以給你再下個木馬(哦,錯了!不是一個、是一大"坨"木馬)

那樣你就生不如死了,什麼秘密都沒有了:上網賬號、密碼、信件....

如果他高興還可以格式化你的硬碟

或者是在你的電腦中運行軟體破壞你的硬碟。

總之,你的一切都在他的掌握之下了,想想夠可怕了吧?!

--------------------------------------------------------------------------------------------------------

解決辦法:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的“RWC$”刪掉。
狠一點的,也可以把windows\system\下面的Vserver.vxd(Microsoft網路上的文件與印表機共享,虛擬周邊設備驅動程式)刪掉
再把HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的Vserver鍵值刪掉,永絕這類“木馬”的後路吧。

--------------------------------------------------------------------------------------------------------

防禦防範:
1、要避免中標,關鍵是不要輕易去一些自己並不了解的站點,特別是那些看上去美麗誘人的網址更不要貿然前往,否則吃虧的往往是你。

2、執行IE,點擊“工具→Internet選項→安全→Internet區域的安全級別,把安全極別由“中”改為“高”

3、由於該類網頁是含有有害代碼的ActiveX網頁文件,因此在IE設定中將ActiveX插件和控件、Java腳本等全部禁止就可以避免中招。

具體方法是:在IE窗口中點擊“工具→Internet選項,在彈出的對話方塊中選擇“安全”標籤,再點擊“自定義級別”按鈕,就會彈出“安全設定”對話方塊,把其中所有ActiveX插件和控件以及Java相關全部選擇“禁用”即可。

不過,這樣做在以後的網頁瀏覽過程中可能會造成一些正常使用ActiveX的網站無法瀏覽。

唉,有利就有弊,您還是自己看著辦吧。  

4、既然這類網頁是透過修改註冊表來破壞我們的系統,那麼我們可以事先把註冊表加鎖:禁止修改註冊表,這樣就可以達到預防的目的。
不過,自己要使用註冊表編輯器regedit.exe該怎麼辦呢?
因此我們還要在此前事先準備一把“鑰匙”,以便打開“鎖”  

加鎖方法如下:
(1)執行註冊表編輯器regedit.exe(在開始→執行中輸入regedit)
(2)展開註冊表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
新建一個名為DisableRegistryToolsDWORD值,並將其值改為“1”,即可禁止使用註冊表編輯器regedit.exe。

解鎖方法如下:
用記事本編輯一個任意名字的.reg文件,比如unlock.reg,內容如下:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
存檔。你就有了一把解鎖的鑰匙了!如果要使用註冊表編輯器,則連續按兩下unlock.reg即可。要注意的是,在“REGEDIT4”後面一定要空一行,並且“REGEDIT4”中的“4”和“T”之間一定不能有空格,否則前功盡棄!

6、裝設網路防火牆,特別是裝了Norton2001後,進入該類網頁就會報警提示有腳本寫註冊表,國產反病毒軟體KVW3000也有此類功效,建議您也裝一個這樣的軟體。

7、雖然經過一番辛苦的勞動修改回了標題和默認連接首頁,但如果以後又不小心進入該站就又得麻煩一次。其實,你可以在IE中做一些設定以便永遠不進該站點:
打開IE,點擊“工具”→“Internet選項”→“內容”→“分級審查”,點“啟用”按鈕,會調出“分級審查”對話方塊,然後點擊“許可站點”標籤,輸入不想去的網站網址,如輸入:
http://www.sohu8.com,按“從不”

結語:透過媒體的介紹我們知道,在瀏覽一些網頁過程中,有瀏覽網頁被格式化的(WSH在其中發揮了重要作用),有瀏覽網頁系統功能受限制的,有瀏覽網頁中木馬的(利用了錯誤的MIME頭),也有本文中所說硬碟被無故共享的,其實萬變不離其宗,它們都直接或間接利用了ActiveX和java script技術,如果你能按照本文所說的預防方法去做,任他在怎麼網頁中折騰,也拿你沒辦法!


[ 本文最後由 x94fujo6 於 07-5-28 10:50 PM 編輯 ]
 

回覆 使用道具 檢舉

總評分:  聲望 + 21   檢視全部評分
rog499  我很贊同  發表於 09-1-23 01:11 聲望 + 1 枚
羽傾影滅  感謝指導ˇˇ  發表於 07-6-5 21:43 聲望 + 2 枚
........  好深澳阿(歪頭)  發表於 07-6-3 09:46 聲望 + 2 枚
Dark_Templar  內容好充實!  發表於 07-6-3 00:13 聲望 + 1 枚
迷糊小書僮    發表於 07-5-31 19:30 聲望 + 10 枚
雷斯魔  好複雜....脫窗中  發表於 07-5-29 19:20 聲望 + 3 枚
zgmfx30a    發表於 07-5-28 22:58 聲望 + 1 枚
yesterday631  辛苦了  發表於 07-5-28 22:51 聲望 + 1 枚
全世界最先進的跳動筆

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan

找不到 NETWORK

怎麼辦?
 
唉 櫻樹

花瓣飛舞

唉 各自踏上                                                           「No music,no Life」

夢想之路

               

回覆 使用道具 檢舉

原文由雷斯魔 於 2007/5/29 07:24 PM 發表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan

找不到 NETWORK

怎麼辦?

請您在仔細找找,正常來講應該會有

我是用XP的

還是說您是使用其他平台(像是ME.98....)

那我就不清楚了^^|||
 

回覆 使用道具 檢舉

Rank: 4Rank: 4Rank: 4Rank: 4

我也找不到Network,排下來在N的地方只有Nls

我也是xp的
 
請大家幫忙投票喔!!
每天可以投一票
需先取得投票密碼
傳簡訊《SNOW》到55123(免費)
http://event.snowmilk.com.tw/201409/vote_before.php?sid=924&class_type=99&search_key1=924&Submit=搜尋&vote=0
&vote=0

回覆 使用道具 檢舉

原文由冰 戀 於 2007/5/31 11:25 PM 發表
我也找不到Network,排下來在N的地方只有Nls

我也是xp的

這樣的話...我也不知道唉...Orz

那就不用管他了吧...

 

回覆 使用道具 檢舉

該不會有分"家用版"跟"專業版"吧?
我家是家用版.都找不到耶=  =|||
 
http://steamcommunity.com/id/ag-w

回覆 使用道具 檢舉

XP 系統

也是出現NIS
 

回覆 使用道具 檢舉

我是XP的呢…

也是找不到Network…

我用的是xp professional的-00-'''
 

回覆 使用道具 檢舉

我什麼都找不到

應該是沒問題吧!?
 
Do want you want, think what you like

回覆 使用道具 檢舉

  • 名望的勇者

    觀鈴本命參上!!!

    感謝教學

    不過目前是還沒有中過這類惡劣的病毒啦
     

    回覆 使用道具 檢舉

    你需要登入後才可以回覆 登入 | 註冊

    存檔|手機版|聯絡我們|新聞提供|鐵之狂傲

    GMT+8, 19-11-18 14:27 , Processed in 3.095995 second(s), 16 queries .

    回頂部