<script LANGUAGE="j avascript">
<!--
var cpAD=new Array();
var cpADlink=new Array();
var cpADmsg=new Array();
//定义了5个数组
var adNum=5;
var coll=0;
//ad/1.html 那时你链接的广告地址
cpAD[0]="banners/mba.gif";
cpADlink[0]="ad/1.html";
cpADmsg[0]="1";
cpAD[1]="banners/google.gif";
cpADlink[1]="ad/2.html"
cpADmsg[1]="2";
cpAD[2]="banners/2005.gif";
cpADlink[2]="ad/3.html";
cpADmsg[2]="3";
cpAD[3]="banners/cz8y.gif";
cpADlink[3]="ad/4.html";
cpADmsg[3]="4";
cpAD[4]="banners/JG_YUEDU.gif";
cpADlink[4]="ad/5.html";
cpADmsg[4]="5";
var preloadedimages=new Array();
for (i=1;i<cpAD.length;i++){
preloadedimages[i]=new Image();
preloadedimages[i].src=cpAD[i];
}
//跳转的URL地址
function jump2url()
{
jumpUrl=cpADlink[adNum];
jumpTarget='_blank';
if (jumpUrl != '')
{
if (jumpTarget != '')
window.open(jumpUrl,jumpTarget);
else location.href=jumpUrl;
}
}
//图片变化的函数
function changeimg(n)
{
adNum=n;
switch(adNum)
{
case 0:
{
window.img1.src="banners/1-2.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5.gif";
break;
}
case 1:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2-2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5.gif";
break;
}
case 2:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3-2.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5.gif";
break;
}
case 3:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4-2.gif";
window.img5.src="banners/5.gif";
break;
}
case 4:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5-2.gif";
break;
}
}
window.clearInterval(theTimer);
adNum=adNum-1;
nextAd();
}
//当点击时直接跳转
function nextAd(){
coll++;
if(coll>1)
{
switch(adNum+1)
{
case 5:
{
window.img1.src="banners/1-2.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5.gif";
break;
}
case 1:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2-2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5.gif";
break;
}
case 2:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3-2.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5.gif";
break;
}
case 3:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4-2.gif";
window.img5.src="banners/5.gif";
break;
}
case 4:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5-2.gif";
break;
}
}
}
if(adNum<cpAD.length-1)adNum++ ;
else adNum=0;
setTransition();
document.images.cpADrush.src=cpAD[adNum];
playTransition();
displayStatusMsg();
//定义了轮换时间 5s
theTimer=setTimeout("nextAd()", 5000);
}
function setTransition(){
if (document.all){
cpADrush.filters.revealTrans.Transition=23;
cpADrush.filters.revealTrans.apply();
}
}
function playTransition(){
if (document.all)
cpADrush.filters.revealTrans.play()
}
function displayStatusMsg() {
status=cpADmsg[adNum];
document.returnValue = true;
}
//结束
// -->
</script>
<table height="148" cellspacing="0" cellpadding="0">
<tr>
<td> <a href="j avascript:jump2url()"> <img style="FILTER: revealTrans(duration=2,transition=23)" height="150" src width="575" border="0" name="cpADrush"></a></td>
<script language="JavaScript">nextAd()</script>
</tr>
<tr>
<td>
<table width="575" name="T1" id="T1" border="0" cellspacing="1" cellpadding="0">
<tr>
<td align="right"><img src="banners/dh_bg.gif" width="178" height="16"></td>
<td width="20"><a href="#" onMouseOver="changeimg(0)"><img name="Image2" id="img1" border="0" src="banners/1.gif" width="20" height="16" onClick="changeimg(0)"></a></td>
<td width="20"><a href="#" onMouseOver="changeimg(1)"><img name="Image3" id="img2" border="0" src="banners/2.gif" width="20" height="16" onClick="changeimg(1)"></a></td>
<td width="20"><a href="#" onMouseOver="changeimg(2)"><img name="Image4" id="img3" border="0" src="banners/3.gif" width="20" height="16" onClick="changeimg(2)"></a></td>
<td width="20"><a href="#" onMouseOver="changeimg(3)"><img name="Image5" id="img4" border="0" src="banners/4.gif" width="20" height="16" onClick="changeimg(3)"></a></td>
<td width="20"><a href="#" onMouseOver="changeimg(4)"><img name="Image6" id="img5" border="0" src="banners/5.gif" width="20" height="16" onClick="changeimg(4)"></a></td>
</tr>
</table>
</td>
</tr>
</table>
<!--
var cpAD=new Array();
var cpADlink=new Array();
var cpADmsg=new Array();
//定义了5个数组
var adNum=5;
var coll=0;
//ad/1.html 那时你链接的广告地址
cpAD[0]="banners/mba.gif";
cpADlink[0]="ad/1.html";
cpADmsg[0]="1";
cpAD[1]="banners/google.gif";
cpADlink[1]="ad/2.html"
cpADmsg[1]="2";
cpAD[2]="banners/2005.gif";
cpADlink[2]="ad/3.html";
cpADmsg[2]="3";
cpAD[3]="banners/cz8y.gif";
cpADlink[3]="ad/4.html";
cpADmsg[3]="4";
cpAD[4]="banners/JG_YUEDU.gif";
cpADlink[4]="ad/5.html";
cpADmsg[4]="5";
var preloadedimages=new Array();
for (i=1;i<cpAD.length;i++){
preloadedimages[i]=new Image();
preloadedimages[i].src=cpAD[i];
}
//跳转的URL地址
function jump2url()
{
jumpUrl=cpADlink[adNum];
jumpTarget='_blank';
if (jumpUrl != '')
{
if (jumpTarget != '')
window.open(jumpUrl,jumpTarget);
else location.href=jumpUrl;
}
}
//图片变化的函数
function changeimg(n)
{
adNum=n;
switch(adNum)
{
case 0:
{
window.img1.src="banners/1-2.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5.gif";
break;
}
case 1:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2-2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5.gif";
break;
}
case 2:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3-2.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5.gif";
break;
}
case 3:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4-2.gif";
window.img5.src="banners/5.gif";
break;
}
case 4:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5-2.gif";
break;
}
}
window.clearInterval(theTimer);
adNum=adNum-1;
nextAd();
}
//当点击时直接跳转
function nextAd(){
coll++;
if(coll>1)
{
switch(adNum+1)
{
case 5:
{
window.img1.src="banners/1-2.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5.gif";
break;
}
case 1:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2-2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5.gif";
break;
}
case 2:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3-2.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5.gif";
break;
}
case 3:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4-2.gif";
window.img5.src="banners/5.gif";
break;
}
case 4:
{
window.img1.src="banners/1.gif";
window.img2.src="banners/2.gif";
window.img3.src="banners/3.gif";
window.img4.src="banners/4.gif";
window.img5.src="banners/5-2.gif";
break;
}
}
}
if(adNum<cpAD.length-1)adNum++ ;
else adNum=0;
setTransition();
document.images.cpADrush.src=cpAD[adNum];
playTransition();
displayStatusMsg();
//定义了轮换时间 5s
theTimer=setTimeout("nextAd()", 5000);
}
function setTransition(){
if (document.all){
cpADrush.filters.revealTrans.Transition=23;
cpADrush.filters.revealTrans.apply();
}
}
function playTransition(){
if (document.all)
cpADrush.filters.revealTrans.play()
}
function displayStatusMsg() {
status=cpADmsg[adNum];
document.returnValue = true;
}
//结束
// -->
</script>
<table height="148" cellspacing="0" cellpadding="0">
<tr>
<td> <a href="j avascript:jump2url()"> <img style="FILTER: revealTrans(duration=2,transition=23)" height="150" src width="575" border="0" name="cpADrush"></a></td>
<script language="JavaScript">nextAd()</script>
</tr>
<tr>
<td>
<table width="575" name="T1" id="T1" border="0" cellspacing="1" cellpadding="0">
<tr>
<td align="right"><img src="banners/dh_bg.gif" width="178" height="16"></td>
<td width="20"><a href="#" onMouseOver="changeimg(0)"><img name="Image2" id="img1" border="0" src="banners/1.gif" width="20" height="16" onClick="changeimg(0)"></a></td>
<td width="20"><a href="#" onMouseOver="changeimg(1)"><img name="Image3" id="img2" border="0" src="banners/2.gif" width="20" height="16" onClick="changeimg(1)"></a></td>
<td width="20"><a href="#" onMouseOver="changeimg(2)"><img name="Image4" id="img3" border="0" src="banners/3.gif" width="20" height="16" onClick="changeimg(2)"></a></td>
<td width="20"><a href="#" onMouseOver="changeimg(3)"><img name="Image5" id="img4" border="0" src="banners/4.gif" width="20" height="16" onClick="changeimg(3)"></a></td>
<td width="20"><a href="#" onMouseOver="changeimg(4)"><img name="Image6" id="img5" border="0" src="banners/5.gif" width="20" height="16" onClick="changeimg(4)"></a></td>
</tr>
</table>
</td>
</tr>
</table>
随机显示广告的代码
下面是一个随机显示五条Banner的代码,你可以自己定义的。
代码:
如果一些如广告类的图片上需要加入相应的连接呢?那么代码仍然大同小异:
代码:
下面是一个随机显示五条Banner的代码,你可以自己定义的。
代码:
<script language=j avascript>
var m=5; //共几个Banner随机显示
var n=Math.floor(Math.random()*m+1)
switch(n)
{
case 1:
document.write('Banner1的HTML');
break;
case 2:
document.write('Banner2的HTML');
break;
case 3:
document.write('Banner3的HTML');
break;
case 4:
document.write('Banner4的HTML');
break;
case 5:
document.write('Banner5的HTML');
break;
}
</script>
var m=5; //共几个Banner随机显示
var n=Math.floor(Math.random()*m+1)
switch(n)
{
case 1:
document.write('Banner1的HTML');
break;
case 2:
document.write('Banner2的HTML');
break;
case 3:
document.write('Banner3的HTML');
break;
case 4:
document.write('Banner4的HTML');
break;
case 5:
document.write('Banner5的HTML');
break;
}
</script>
如果一些如广告类的图片上需要加入相应的连接呢?那么代码仍然大同小异:
代码:
<SCRIPT LANGUAGE="j avascript">
<!-- Begin
var how_many_ads = 3;
var now = new Date()
var sec = now.getSeconds()
var ad = sec % how_many_ads;
ad +=1;
if (ad==1) {
txt="banner01";
url="http://blog.net.ru";
alt="banner01";
banner="http://blog.net.ru/images/banner/webbanner1.jpg";
width="778";
height="160";
}
if (ad==2) {
txt="banner02";
url="http://blog.net.ru";
alt="banner02";
banner="http://blog.net.ru/images/banner/webbanner2.jpg";
width="778";
height="160";
}
if (ad==3) {
txt="banner03";
url="http://blog.net.ru";
alt="banner03";
banner="http://blog.net.ru/images/banner/webbanner3.jpg";
width="778";
height="160";
}
document.write('<center>');
document.write('<a href="' + url + '" target="_top">');
document.write('<img src="' + banner + '" width=')
document.write(width + ' height=' + height + ' ');
document.write('alt="' + alt + '" border=0><br>');
document.write('<small>' + txt + '</small></a>');
document.write('</center>');
// End -->
</SCRIPT>
<!-- Begin
var how_many_ads = 3;
var now = new Date()
var sec = now.getSeconds()
var ad = sec % how_many_ads;
ad +=1;
if (ad==1) {
txt="banner01";
url="http://blog.net.ru";
alt="banner01";
banner="http://blog.net.ru/images/banner/webbanner1.jpg";
width="778";
height="160";
}
if (ad==2) {
txt="banner02";
url="http://blog.net.ru";
alt="banner02";
banner="http://blog.net.ru/images/banner/webbanner2.jpg";
width="778";
height="160";
}
if (ad==3) {
txt="banner03";
url="http://blog.net.ru";
alt="banner03";
banner="http://blog.net.ru/images/banner/webbanner3.jpg";
width="778";
height="160";
}
document.write('<center>');
document.write('<a href="' + url + '" target="_top">');
document.write('<img src="' + banner + '" width=')
document.write(width + ' height=' + height + ' ');
document.write('alt="' + alt + '" border=0><br>');
document.write('<small>' + txt + '</small></a>');
document.write('</center>');
// End -->
</SCRIPT>
自动延时关闭的广告窗口制作
这个广告窗口是没有关闭按扭的,有点类似oicq的弹出广告,有点意思。
这个广告窗口是没有关闭按扭的,有点类似oicq的弹出广告,有点意思。
<style type="text/css">
<!--
#sponsorAdDiv {position:absolute; height:1; width:1; top:0; left:0;}
-->
</style>
<SCRIPT LANGUAGE="JavaScript1.2">
adTime=10; // seconds ad reminder is shown
chanceAd=1; // ad will be shown 1 in X times (put 1 for everytime)
var ns=(document.layers);
var ie=(document.all);
var w3=(document.getElementById && !ie);
adCount=0;
function initAd(){
if(!ns && !ie && !w3) return;
if(ie) adDiv=eval('document.all.sponsorAdDiv.style');
else if(ns) adDiv=eval('document.layers["sponsorAdDiv"]');
else if(w3) adDiv=eval('document.getElementById("sponsorAdDiv").style');
randAd=Math.ceil(Math.random()*chanceAd);
if (ie||w3)
adDiv.visibility="visible";
else
adDiv.visibility ="show";
if(randAd==1) showAd();
}
function showAd(){
if(adCount<adTime*10){adCount+=1;
if (ie){documentWidth =document.body.offsetWidth/2+document.body.scrollLeft-20;
documentHeight =document.body.offsetHeight/2+document.body.scrollTop-20;}
else if (ns){documentWidth=window.innerWidth/2+window.pageXOffset-20;
documentHeight=window.innerHeight/2+window.pageYOffset-20;}
else if (w3){documentWidth=self.innerWidth/2+window.pageXOffset-20;
documentHeight=self.innerHeight/2+window.pageYOffset-20;}
adDiv.left=documentWidth-200;adDiv.top =documentHeight-200;
setTimeout("showAd()",100);}else closeAd();
}
function closeAd(){
if (ie||w3)
adDiv.display="none";
else
adDiv.visibility ="hide";
}
onload=initAd;
//End-->
</script>
<body>
<div id="sponsorAdDiv" style="visibility:hidden">
<table width="450" height="350" bgcolor="#008000">
<tr><td>
<table width="445" height="345" bgcolor="#F0FFF0">
<tr><td align="center" valign="middle">
<!--*****EDIT THIS MESSAGE*****-->
<p><b>请把广告内容放在这里.</b>
</p>
<p>(在设置的延时内将自动关闭)
<br>
<!--*****EDIT THE ABOVE MESSAGE*****-->
</td></tr></table></td></tr></table>
</div>
</body>
自动延时关闭的广告窗口制作
这个广告窗口是没有关闭按扭的,有点类似oicq的弹出广告,有点意思。
<style type="text/css">
<!--
#sponsorAdDiv {position:absolute; height:1; width:1; top:0; left:0;}
-->
</style>
<SCRIPT LANGUAGE="JavaScript1.2">
adTime=10; // seconds ad reminder is shown
chanceAd=1; // ad will be shown 1 in X times (put 1 for everytime)
var ns=(document.layers);
var ie=(document.all);
var w3=(document.getElementById && !ie);
adCount=0;
function initAd(){
if(!ns && !ie && !w3) return;
if(ie) adDiv=eval('document.all.sponsorAdDiv.style');
else if(ns) adDiv=eval('document.layers["sponsorAdDiv"]');
else if(w3) adDiv=eval('document.getElementById("sponsorAdDiv").style');
randAd=Math.ceil(Math.random()*chanceAd);
if (ie||w3)
adDiv.visibility="visible";
else
adDiv.visibility ="show";
if(randAd==1) showAd();
}
function showAd(){
if(adCount<adTime*10){adCount+=1;
if (ie){documentWidth =document.body.offsetWidth/2+document.body.scrollLeft-20;
documentHeight =document.body.offsetHeight/2+document.body.scrollTop-20;}
else if (ns){documentWidth=window.innerWidth/2+window.pageXOffset-20;
documentHeight=window.innerHeight/2+window.pageYOffset-20;}
else if (w3){documentWidth=self.innerWidth/2+window.pageXOffset-20;
documentHeight=self.innerHeight/2+window.pageYOffset-20;}
adDiv.left=documentWidth-200;adDiv.top =documentHeight-200;
setTimeout("showAd()",100);}else closeAd();
}
function closeAd(){
if (ie||w3)
adDiv.display="none";
else
adDiv.visibility ="hide";
}
onload=initAd;
//End-->
</script>
<body>
<div id="sponsorAdDiv" style="visibility:hidden">
<table width="450" height="350" bgcolor="#008000">
<tr><td>
<table width="445" height="345" bgcolor="#F0FFF0">
<tr><td align="center" valign="middle">
<!--*****EDIT THIS MESSAGE*****-->
<p><b>请把广告内容放在这里.</b>
</p>
<p>(在设置的延时内将自动关闭)
<br>
<!--*****EDIT THE ABOVE MESSAGE*****-->
</td></tr></table></td></tr></table>
</div>
</body>
<!--
#sponsorAdDiv {position:absolute; height:1; width:1; top:0; left:0;}
-->
</style>
<SCRIPT LANGUAGE="JavaScript1.2">
adTime=10; // seconds ad reminder is shown
chanceAd=1; // ad will be shown 1 in X times (put 1 for everytime)
var ns=(document.layers);
var ie=(document.all);
var w3=(document.getElementById && !ie);
adCount=0;
function initAd(){
if(!ns && !ie && !w3) return;
if(ie) adDiv=eval('document.all.sponsorAdDiv.style');
else if(ns) adDiv=eval('document.layers["sponsorAdDiv"]');
else if(w3) adDiv=eval('document.getElementById("sponsorAdDiv").style');
randAd=Math.ceil(Math.random()*chanceAd);
if (ie||w3)
adDiv.visibility="visible";
else
adDiv.visibility ="show";
if(randAd==1) showAd();
}
function showAd(){
if(adCount<adTime*10){adCount+=1;
if (ie){documentWidth =document.body.offsetWidth/2+document.body.scrollLeft-20;
documentHeight =document.body.offsetHeight/2+document.body.scrollTop-20;}
else if (ns){documentWidth=window.innerWidth/2+window.pageXOffset-20;
documentHeight=window.innerHeight/2+window.pageYOffset-20;}
else if (w3){documentWidth=self.innerWidth/2+window.pageXOffset-20;
documentHeight=self.innerHeight/2+window.pageYOffset-20;}
adDiv.left=documentWidth-200;adDiv.top =documentHeight-200;
setTimeout("showAd()",100);}else closeAd();
}
function closeAd(){
if (ie||w3)
adDiv.display="none";
else
adDiv.visibility ="hide";
}
onload=initAd;
//End-->
</script>
<body>
<div id="sponsorAdDiv" style="visibility:hidden">
<table width="450" height="350" bgcolor="#008000">
<tr><td>
<table width="445" height="345" bgcolor="#F0FFF0">
<tr><td align="center" valign="middle">
<!--*****EDIT THIS MESSAGE*****-->
<p><b>请把广告内容放在这里.</b>
</p>
<p>(在设置的延时内将自动关闭)
<br>
<!--*****EDIT THE ABOVE MESSAGE*****-->
</td></tr></table></td></tr></table>
</div>
</body>
自动延时关闭的广告窗口制作
这个广告窗口是没有关闭按扭的,有点类似oicq的弹出广告,有点意思。
<style type="text/css">
<!--
#sponsorAdDiv {position:absolute; height:1; width:1; top:0; left:0;}
-->
</style>
<SCRIPT LANGUAGE="JavaScript1.2">
adTime=10; // seconds ad reminder is shown
chanceAd=1; // ad will be shown 1 in X times (put 1 for everytime)
var ns=(document.layers);
var ie=(document.all);
var w3=(document.getElementById && !ie);
adCount=0;
function initAd(){
if(!ns && !ie && !w3) return;
if(ie) adDiv=eval('document.all.sponsorAdDiv.style');
else if(ns) adDiv=eval('document.layers["sponsorAdDiv"]');
else if(w3) adDiv=eval('document.getElementById("sponsorAdDiv").style');
randAd=Math.ceil(Math.random()*chanceAd);
if (ie||w3)
adDiv.visibility="visible";
else
adDiv.visibility ="show";
if(randAd==1) showAd();
}
function showAd(){
if(adCount<adTime*10){adCount+=1;
if (ie){documentWidth =document.body.offsetWidth/2+document.body.scrollLeft-20;
documentHeight =document.body.offsetHeight/2+document.body.scrollTop-20;}
else if (ns){documentWidth=window.innerWidth/2+window.pageXOffset-20;
documentHeight=window.innerHeight/2+window.pageYOffset-20;}
else if (w3){documentWidth=self.innerWidth/2+window.pageXOffset-20;
documentHeight=self.innerHeight/2+window.pageYOffset-20;}
adDiv.left=documentWidth-200;adDiv.top =documentHeight-200;
setTimeout("showAd()",100);}else closeAd();
}
function closeAd(){
if (ie||w3)
adDiv.display="none";
else
adDiv.visibility ="hide";
}
onload=initAd;
//End-->
</script>
<body>
<div id="sponsorAdDiv" style="visibility:hidden">
<table width="450" height="350" bgcolor="#008000">
<tr><td>
<table width="445" height="345" bgcolor="#F0FFF0">
<tr><td align="center" valign="middle">
<!--*****EDIT THIS MESSAGE*****-->
<p><b>请把广告内容放在这里.</b>
</p>
<p>(在设置的延时内将自动关闭)
<br>
<!--*****EDIT THE ABOVE MESSAGE*****-->
</td></tr></table></td></tr></table>
</div>
</body>
<SCRIPT language="JavaScript">
<!--
function openpopup(){
url="blog.net.ru"
window.open(url,"blog.net.ru","width=300,height=150,left=400,top=50")
}
function get_cookie(Name) {
var search = Name + "="
var returnvalue = "";
if (document.cookie.length > 0) {
offset = document.cookie.indexOf(search)
if (offset != -1) {
offset += search.length
end = document.cookie.indexOf(";", offset);
if (end == -1)
end = document.cookie.length;
returnvalue=unescape(document.cookie.substring(offset, end))
}
}
return returnvalue;
}
function helpor_net(){
if (get_cookie('popped')==''){
openpopup()
document.cookie="popped=yes"
}
}
helpor_net()
//-->
</SCRIPT>
<!--
function openpopup(){
url="blog.net.ru"
window.open(url,"blog.net.ru","width=300,height=150,left=400,top=50")
}
function get_cookie(Name) {
var search = Name + "="
var returnvalue = "";
if (document.cookie.length > 0) {
offset = document.cookie.indexOf(search)
if (offset != -1) {
offset += search.length
end = document.cookie.indexOf(";", offset);
if (end == -1)
end = document.cookie.length;
returnvalue=unescape(document.cookie.substring(offset, end))
}
}
return returnvalue;
}
function helpor_net(){
if (get_cookie('popped')==''){
openpopup()
document.cookie="popped=yes"
}
}
helpor_net()
//-->
</SCRIPT>
allow_url_fopen与安全以及PHP libcurl
allow_url_fopen=ON常常会给服务器和管理员带来麻烦,但是经常性(至少我这样认为)的我们需要远程读取某个东西,如果设置allow_url_fopen=OFF将其关闭,我们就没有办法远程读取。
幸好我们有一个很好的PHP模块--curl。下面我就以一个例子说说我用curl远程读取的方法:
第一,allow_url_fopen=ON的情况下:
<?php
$str = file_get_contents("http://www.csdn.net/");
if ($str !== false) {
// do something with the content
echo $str;
}
?>
第二,allow_url_fopen = Off的情况下:
<?php
$ch = curl_init("http://www.csdn.net/");
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$str = curl_exec($ch);
if ($str !== false) {
// do something with the content
echo $str;
}
curl_close($ch);
?>
备注:关于allow_url_fopen=ON带来的危害请看如何对PHP程序中的常见漏洞进行攻击(下)
allow_url_fopen=ON常常会给服务器和管理员带来麻烦,但是经常性(至少我这样认为)的我们需要远程读取某个东西,如果设置allow_url_fopen=OFF将其关闭,我们就没有办法远程读取。
幸好我们有一个很好的PHP模块--curl。下面我就以一个例子说说我用curl远程读取的方法:
第一,allow_url_fopen=ON的情况下:
<?php
$str = file_get_contents("http://www.csdn.net/");
if ($str !== false) {
// do something with the content
echo $str;
}
?>
第二,allow_url_fopen = Off的情况下:
<?php
$ch = curl_init("http://www.csdn.net/");
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$str = curl_exec($ch);
if ($str !== false) {
// do something with the content
echo $str;
}
curl_close($ch);
?>
备注:关于allow_url_fopen=ON带来的危害请看如何对PHP程序中的常见漏洞进行攻击(下)
Default NTFS Permissions in Windows NT
WindowsNT 默认的NTFS权限
View products that this article applies to.
Article ID : 148437
Last Review : May 7, 2003 Revision : 2.0
This article was previously published under Q148437
SUMMARY
概要
This article lists default permissions of an drive that has been formatted to NTFS for the first time.
本文列出了驱动器被第一次格式化成NTFS后的默认权限
MORE INFORMATION
The following lists default NTFS permissions on common Windows NT directories on drive C:
下面列出了正常情况下Windows NT中C盘的默认NTFS权限:
重复的太多,直接写权限了:
full control 完全控制
change 修改
read 读取
write 写入
special 特别
C:-
administrators- full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%-
administrators - full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%msapps and <subdirectories>-
administrators- full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%repair-
everyone - full control
C:%SystemRoot%system-
administrators - full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%system32-
administrators- full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%system32config-
administrators - full control
creator/owner - full control
everyone - List (rx)
system - full control
C:%SystemRoot%system32dhcp-
administrators - full control
creator/owner - full control
everyone - read (rx)
server operators - full control
system - full control
C:%SystemRoot%system32drivers and <subdirectories>-
administrators - full control
creator/owner - full control
everyone - read (rx)
server operators - full control
system - full control
C:%SystemRoot%system32lls-
administrators - full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%system32os2 and <subdirectories>-
administrators - full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%system32ras
administrators - full control
creator/owner - full control
everyone - change (rwxd)
server operators - full control
system - full control
C:%SystemRoot%system32repl
administrators - full control
creator/owner - full control
everyone - read (rx)
server operators - full control
system - full control
C:%SystemRoot%system32replexport
administrators - full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%system32replexportscripts-
administrators - full control
creator/owner - full control
everyone - read (rx)
replicator - change (rwxd)
server operators - change (rwxd)
system - full control
C:%SystemRoot%system32replimport and <subdirectories>-
administrators - full control
creator/owner - full control
everyone - read (rx)
replicator - change (rwxd)
server operators - change (rwxd)
system - full control
C:%SystemRoot%system32spool-
administrators - full control
creator/owner - full control
everyone- change (rwxd)
print operators - full control
server operators - full control
system - full control
C:%SystemRoot%system32spooldrivers-
administrators - full control
creator/owner - full control
everyone - read (rx)
print operators - full control
server operators - full control
system - full control
C:%SystemRoot%system32spooldriversw32x86-
administrators - full control
creator/owner - full control
everyone- read (rx)
print operators - full control
server operators - full control
system - full control
C:%SystemRoot%system32spooldriversw32x861-
everyone - full control
C:%SystemRoot%system32spoolprinters-
administrators - full control
creator/owner - full control
everyone- read (rx)
print operators - full control
server operators - full control
system - full control
C:%SystemRoot%system32spoolprtprocs and <subdirectories>-
administrators - full control
creator/owner - full control
everyone - read (rx)
print operators - full control
server operators - full control
system - full control
C:%SystemRoot%system32wins-
everyone - full control
C:win32app-
administrators - full control
creator/owner - full control
everyone - read (rx)
server operators - full control
system - full control
C:users-
account operators - special (rwxd)
administrators - special (rwxd)
everyone - list (rx)
system - full control
C:usersdefault-
creator/owner - full control
everyone - special (rwx)
system - full control
C:temp-
administrators - full control
creator/owner - full control
everyone - change
server operators - change
system - full control
Any other directories-
administrators - full control
creator/owner - full control
everyone - change
server operators - change
system - full control
NOTE: These permissions do not apply to a drive that is converted to NTFS using the CONVERT utility. A converted NTFS drive consists of all files and directories with Everyone- Full Control as the default permission.
For additional information, click the article number below to view the article in the Microsoft Knowledge Base:
244600 (http://support.microsoft.com/kb/244600/EN-US/) Default NTFS Permissions in Windows 2000
--------------------------------------------------------------------------------
APPLIES TO
• Microsoft Windows NT Workstation 3.5
• Microsoft Windows NT Workstation 3.51
• Microsoft Windows NT Workstation 4.0 Developer Edition
• Microsoft Windows NT Server 3.5
• Microsoft Windows NT Server 3.51
• Microsoft Windows NT Server 4.0 Standard Edition
Keywords: KB148437
需要指出的是,一般目录格式化成NTFS之后,管理员组、创建者、system是拥有全部权限的,而everyone、server operators是可修改
WindowsNT 默认的NTFS权限
View products that this article applies to.
Article ID : 148437
Last Review : May 7, 2003 Revision : 2.0
This article was previously published under Q148437
SUMMARY
概要
This article lists default permissions of an drive that has been formatted to NTFS for the first time.
本文列出了驱动器被第一次格式化成NTFS后的默认权限
MORE INFORMATION
The following lists default NTFS permissions on common Windows NT directories on drive C:
下面列出了正常情况下Windows NT中C盘的默认NTFS权限:
重复的太多,直接写权限了:
full control 完全控制
change 修改
read 读取
write 写入
special 特别
C:-
administrators- full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%-
administrators - full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%msapps and <subdirectories>-
administrators- full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%repair-
everyone - full control
C:%SystemRoot%system-
administrators - full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%system32-
administrators- full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%system32config-
administrators - full control
creator/owner - full control
everyone - List (rx)
system - full control
C:%SystemRoot%system32dhcp-
administrators - full control
creator/owner - full control
everyone - read (rx)
server operators - full control
system - full control
C:%SystemRoot%system32drivers and <subdirectories>-
administrators - full control
creator/owner - full control
everyone - read (rx)
server operators - full control
system - full control
C:%SystemRoot%system32lls-
administrators - full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%system32os2 and <subdirectories>-
administrators - full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%system32ras
administrators - full control
creator/owner - full control
everyone - change (rwxd)
server operators - full control
system - full control
C:%SystemRoot%system32repl
administrators - full control
creator/owner - full control
everyone - read (rx)
server operators - full control
system - full control
C:%SystemRoot%system32replexport
administrators - full control
creator/owner - full control
everyone - change
server operators - change
system - full control
C:%SystemRoot%system32replexportscripts-
administrators - full control
creator/owner - full control
everyone - read (rx)
replicator - change (rwxd)
server operators - change (rwxd)
system - full control
C:%SystemRoot%system32replimport and <subdirectories>-
administrators - full control
creator/owner - full control
everyone - read (rx)
replicator - change (rwxd)
server operators - change (rwxd)
system - full control
C:%SystemRoot%system32spool-
administrators - full control
creator/owner - full control
everyone- change (rwxd)
print operators - full control
server operators - full control
system - full control
C:%SystemRoot%system32spooldrivers-
administrators - full control
creator/owner - full control
everyone - read (rx)
print operators - full control
server operators - full control
system - full control
C:%SystemRoot%system32spooldriversw32x86-
administrators - full control
creator/owner - full control
everyone- read (rx)
print operators - full control
server operators - full control
system - full control
C:%SystemRoot%system32spooldriversw32x861-
everyone - full control
C:%SystemRoot%system32spoolprinters-
administrators - full control
creator/owner - full control
everyone- read (rx)
print operators - full control
server operators - full control
system - full control
C:%SystemRoot%system32spoolprtprocs and <subdirectories>-
administrators - full control
creator/owner - full control
everyone - read (rx)
print operators - full control
server operators - full control
system - full control
C:%SystemRoot%system32wins-
everyone - full control
C:win32app-
administrators - full control
creator/owner - full control
everyone - read (rx)
server operators - full control
system - full control
C:users-
account operators - special (rwxd)
administrators - special (rwxd)
everyone - list (rx)
system - full control
C:usersdefault-
creator/owner - full control
everyone - special (rwx)
system - full control
C:temp-
administrators - full control
creator/owner - full control
everyone - change
server operators - change
system - full control
Any other directories-
administrators - full control
creator/owner - full control
everyone - change
server operators - change
system - full control
NOTE: These permissions do not apply to a drive that is converted to NTFS using the CONVERT utility. A converted NTFS drive consists of all files and directories with Everyone- Full Control as the default permission.
For additional information, click the article number below to view the article in the Microsoft Knowledge Base:
244600 (http://support.microsoft.com/kb/244600/EN-US/) Default NTFS Permissions in Windows 2000
--------------------------------------------------------------------------------
APPLIES TO
• Microsoft Windows NT Workstation 3.5
• Microsoft Windows NT Workstation 3.51
• Microsoft Windows NT Workstation 4.0 Developer Edition
• Microsoft Windows NT Server 3.5
• Microsoft Windows NT Server 3.51
• Microsoft Windows NT Server 4.0 Standard Edition
Keywords: KB148437
需要指出的是,一般目录格式化成NTFS之后,管理员组、创建者、system是拥有全部权限的,而everyone、server operators是可修改
获取星空极流氓软件拨号密码
各地区中国电信现今正在极力推广星空极速这个他们自行开发的广告软件。仔细观察一下,他对提高用户安全性好无用处!
为什么这么说,因为他根本就没有脱离xp下的PPPoE拨号程序,用户可以发现,在安装好软件的同时,会在xp拨号连接下新建两个连接。只是他们都没有被设置成储存密码,流氓客户端的主要作用就是生成加密后的用户拨号信息,填入xp下的拨号程序使之建立拨号。
所以,我们也就由此入手,来得到流氓软件加密后的用户拨号信息。
鉴于流氓软件还是最终使用PPPoE协议,我们可以采用,在拨号端使用抓包软件的方法,截取通过机器网卡送出的PPPoE的信息。
主要用到软件:
WildPackets OmniPeek
启动软件
选择 New Capture
选择adsl路由器连接的网卡
启动星空急速 注意这个时候先不要使用它去拨号
启动软件 点击 Start Capture
这时使用星空急速拨号
待跳拨号成功以后
停止软件抓包
得到一下画面
选择第一个 protocol 值为 password authentication 的数据包
双击打开
察看其中
Peer-Id 和 Passwd 的两个值 ,他们相对应的就是 拨号时的用户名和密码
用这两个值建立新的拨号,丢弃星空软件。
注
猜想,本人现在上海用户,还未发现不使用此拨号软件不能上网的情况。
现在无法证明其他已采用mac绑定的用户使用此方法是否能顺利用路由器拨号成功。从原理上来看,电信局只会核对他们局端绑定的mac地址和用户信息经过算法后得到的值和软件每次采集用户mac地址后通过算法得到的值是否相符。所以说只要这个值不变,那么mac地址是否是原来的就无关紧要了,因为电信局认为通过PPPoE送过来的是软件算好的值。
各地用户,已可以给个反馈。
本次得到密码并没有使用任何非法手段,只是采用了网络分析中经常是使用的抓包手段。作者只希望电信局多为用户想想,不要为了提高自己的收入而强加到用户身上;使用广告加载(这和报纸夹广告有什么区别),为了减少带宽的损耗,采用 一户一网卡的手段。上海IPTV都快实行了,这对电信又是一个挑战,看他们怎么保证每用户的带宽。(具非官方反映,上海部分地区2M等高速线路用户在高峰时间已经达不到额定速度了)
SZ
2006-8-24
哈哈 问候一下中国电信
关键字:中国电信 陕西 西安 星空极速 2.5 破解 crack keygen 流氓软件
希望上面的关键字可以帮助更多的星空极速的受害者搜到这个程序。
具体这个软件有多流氓我就不详细说明了,但是可以查看下面的链接:
http://post-mp3js.baidu.com/f?kz=92364004
http://www.315ts.net/viewtousu.asp?id=18902&ti...
http://www.google.com/search?hl=zh-CN&q=%E6%98...
程序的链接如下:
http://mephistophilis.googlepages.com/md5.7z
感谢:neogeo64帮我把md5的算法弄出来。
更新:
修正了以前版本对VC8的动态库的依赖关系,现在程序应该可以在windows xp上正常运行了。
注意:
这是免费软件,也就意味着如果使用这个软件造成什么问题软件的作者是不会负责的;
7z是用7-zip压缩的;
程序算出来密码不确保正确,但是这个程序在我这里确实运行的十分正常(西安),并且得到了正确的密码;
程序保证不是不是什么盗号软件,黑客程序之类的东西,如果不是在我这里下载的我可不保证程序没有问题;
有什么问题欢迎大家提问和讨论;
但是如果您说话的语气跟谁欠你什么一样最好请早早的滚远。
http://mephistophilis.spaces.live.com/blog/
mephistophilis的中国电信星空极速MD5密码算法破解
被星空极速锁定了MAC地址的朋友实际上是被变相修改了密码,这个密码是通过一定算法得出的,我们可以通过嗅探等方式获取这个密码,有一位强人Misanthropic设计出了一款KeyGen,这个KeyGen出来已经有一些时间了,针对星空极速旧版本效果还是相当好的.以下是作者提供的汇编技术说明:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
我分析了KeyGen中的MD5代码,发现它在填充信息后插入了一段处理(代码位置
0x00402ccd)
我把一个网上的Javascript MD5按其汇编代码修改后,就能生成电信用的MD5了。
00402CCD /$ 8B4424 04 mov eax,dword ptr ss:[esp+4]
00402CD1 |. 8B10 mov edx,dword ptr ds:[eax]
00402CD3 |. 83C0 04 add eax,4
00402CD6 |. 8BCA mov ecx,edx
00402CD8 |. 83C0 04 add eax,4
00402CDB |. C1E2 10 shl edx,10
00402CDE |. C1E9 10 shr ecx,10
00402CE1 |. 0BCA or ecx,edx
00402CE3 |. 83C0 04 add eax,4
00402CE6 |. 8BD1 mov edx,ecx
00402CE8 |. 83C0 04 add eax,4
00402CEB |. 80E6 00 and dh,0
00402CEE |. 83C0 04 add eax,4
00402CF1 |. C1E9 08 shr ecx,8
00402CF4 |. C1E2 08 shl edx,8
00402CF7 |. 81E1 FF00FF00 and ecx,FF00FF
00402CFD |. 0BD1 or edx,ecx
00402CFF |. 8950 EC mov dword ptr ds:[eax-14],edx
下载地址: attach.ikunlun.net/000/010/274/076.rar
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (MingW32)
iQEVAwUBROwrs1g65rQihvPdAQLJNgf/VE6Ehz1w94aBK9aG66+r5xRlV/uQ9sye
sVT0XEhdXrTHmUumyVK+NY4YMK/TtB5oUw2t/8FBfrmjU8l9mVSaOB2VFdjs5vx4
pzK7v9WQa2Tgt9K0GJJT7/iPa3Ov2bhj/Hn9bhcm7toXnoXsGMSu7PFrgVAvOEJQ
BULt0rELCW3PflzLatDeadlyf4u4XctASVZaF4QIi4pBoAN6zTut1QA3BcQfCG3X
CBdKKMChmmnIRtMM8ZcU+VgLuw1wix4Llq/Ar27AR5zwm5qbRByYj9ktUhiKI9Jy
tQpwY1FOkvzynHm9j4EH/YX/FLb80/1YO4DdcJTV/Ip307Xj6lvxcw==
=Jw+k
-----END PGP SIGNATURE-----
闲来无事又仔细分析了一下我们的星空急速,发现拨号的时候程序应该会生成三种类型的密码.
第一种就是用户名是gXXXXXXXX,然后密码就是aXXXXXXX(md5(gXXXXXXXXgXXXXXXXX))这样算出来的.也就是我先前keygen计算出来的那种.
第二种就是用户名是gXXXXXXXX,密码是aXXXXXXX.
最后一种就是用户名是gXXXXXXXX,然后密码就是aXXXXXXX(md5(mac+gXXXXXXXX))这样滴.似乎这种就是传说中的绑定MAC地址的那种,不过这个mac地址我很好奇为啥跟我跟踪程序时候得到的不一样?一个虚拟拨号也能产生一个mac地址么?我感觉这个mac地址是程序拨号时候建立的虚拟拨号产生的.
似乎这个程序再也没有什么玄机了.
感谢:neogeo64帮我把md5的算法弄出来.
更新:
修正了以前版本对VC8的动态库的依赖关系,现在程序应该可以在windows xp上正常运行了.
各地区中国电信现今正在极力推广星空极速这个他们自行开发的广告软件。仔细观察一下,他对提高用户安全性好无用处!
为什么这么说,因为他根本就没有脱离xp下的PPPoE拨号程序,用户可以发现,在安装好软件的同时,会在xp拨号连接下新建两个连接。只是他们都没有被设置成储存密码,流氓客户端的主要作用就是生成加密后的用户拨号信息,填入xp下的拨号程序使之建立拨号。
所以,我们也就由此入手,来得到流氓软件加密后的用户拨号信息。
鉴于流氓软件还是最终使用PPPoE协议,我们可以采用,在拨号端使用抓包软件的方法,截取通过机器网卡送出的PPPoE的信息。
主要用到软件:
WildPackets OmniPeek
启动软件
选择 New Capture
选择adsl路由器连接的网卡
启动星空急速 注意这个时候先不要使用它去拨号
启动软件 点击 Start Capture
这时使用星空急速拨号
待跳拨号成功以后
停止软件抓包
得到一下画面
选择第一个 protocol 值为 password authentication 的数据包
双击打开
察看其中
Peer-Id 和 Passwd 的两个值 ,他们相对应的就是 拨号时的用户名和密码
用这两个值建立新的拨号,丢弃星空软件。
注
猜想,本人现在上海用户,还未发现不使用此拨号软件不能上网的情况。
现在无法证明其他已采用mac绑定的用户使用此方法是否能顺利用路由器拨号成功。从原理上来看,电信局只会核对他们局端绑定的mac地址和用户信息经过算法后得到的值和软件每次采集用户mac地址后通过算法得到的值是否相符。所以说只要这个值不变,那么mac地址是否是原来的就无关紧要了,因为电信局认为通过PPPoE送过来的是软件算好的值。
各地用户,已可以给个反馈。
本次得到密码并没有使用任何非法手段,只是采用了网络分析中经常是使用的抓包手段。作者只希望电信局多为用户想想,不要为了提高自己的收入而强加到用户身上;使用广告加载(这和报纸夹广告有什么区别),为了减少带宽的损耗,采用 一户一网卡的手段。上海IPTV都快实行了,这对电信又是一个挑战,看他们怎么保证每用户的带宽。(具非官方反映,上海部分地区2M等高速线路用户在高峰时间已经达不到额定速度了)
SZ
2006-8-24
哈哈 问候一下中国电信
关键字:中国电信 陕西 西安 星空极速 2.5 破解 crack keygen 流氓软件
希望上面的关键字可以帮助更多的星空极速的受害者搜到这个程序。
具体这个软件有多流氓我就不详细说明了,但是可以查看下面的链接:
http://post-mp3js.baidu.com/f?kz=92364004
http://www.315ts.net/viewtousu.asp?id=18902&ti...
http://www.google.com/search?hl=zh-CN&q=%E6%98...
程序的链接如下:
http://mephistophilis.googlepages.com/md5.7z
感谢:neogeo64帮我把md5的算法弄出来。
更新:
修正了以前版本对VC8的动态库的依赖关系,现在程序应该可以在windows xp上正常运行了。
注意:
这是免费软件,也就意味着如果使用这个软件造成什么问题软件的作者是不会负责的;
7z是用7-zip压缩的;
程序算出来密码不确保正确,但是这个程序在我这里确实运行的十分正常(西安),并且得到了正确的密码;
程序保证不是不是什么盗号软件,黑客程序之类的东西,如果不是在我这里下载的我可不保证程序没有问题;
有什么问题欢迎大家提问和讨论;
但是如果您说话的语气跟谁欠你什么一样最好请早早的滚远。
http://mephistophilis.spaces.live.com/blog/
mephistophilis的中国电信星空极速MD5密码算法破解
被星空极速锁定了MAC地址的朋友实际上是被变相修改了密码,这个密码是通过一定算法得出的,我们可以通过嗅探等方式获取这个密码,有一位强人Misanthropic设计出了一款KeyGen,这个KeyGen出来已经有一些时间了,针对星空极速旧版本效果还是相当好的.以下是作者提供的汇编技术说明:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
我分析了KeyGen中的MD5代码,发现它在填充信息后插入了一段处理(代码位置
0x00402ccd)
我把一个网上的Javascript MD5按其汇编代码修改后,就能生成电信用的MD5了。
00402CCD /$ 8B4424 04 mov eax,dword ptr ss:[esp+4]
00402CD1 |. 8B10 mov edx,dword ptr ds:[eax]
00402CD3 |. 83C0 04 add eax,4
00402CD6 |. 8BCA mov ecx,edx
00402CD8 |. 83C0 04 add eax,4
00402CDB |. C1E2 10 shl edx,10
00402CDE |. C1E9 10 shr ecx,10
00402CE1 |. 0BCA or ecx,edx
00402CE3 |. 83C0 04 add eax,4
00402CE6 |. 8BD1 mov edx,ecx
00402CE8 |. 83C0 04 add eax,4
00402CEB |. 80E6 00 and dh,0
00402CEE |. 83C0 04 add eax,4
00402CF1 |. C1E9 08 shr ecx,8
00402CF4 |. C1E2 08 shl edx,8
00402CF7 |. 81E1 FF00FF00 and ecx,FF00FF
00402CFD |. 0BD1 or edx,ecx
00402CFF |. 8950 EC mov dword ptr ds:[eax-14],edx
下载地址: attach.ikunlun.net/000/010/274/076.rar
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (MingW32)
iQEVAwUBROwrs1g65rQihvPdAQLJNgf/VE6Ehz1w94aBK9aG66+r5xRlV/uQ9sye
sVT0XEhdXrTHmUumyVK+NY4YMK/TtB5oUw2t/8FBfrmjU8l9mVSaOB2VFdjs5vx4
pzK7v9WQa2Tgt9K0GJJT7/iPa3Ov2bhj/Hn9bhcm7toXnoXsGMSu7PFrgVAvOEJQ
BULt0rELCW3PflzLatDeadlyf4u4XctASVZaF4QIi4pBoAN6zTut1QA3BcQfCG3X
CBdKKMChmmnIRtMM8ZcU+VgLuw1wix4Llq/Ar27AR5zwm5qbRByYj9ktUhiKI9Jy
tQpwY1FOkvzynHm9j4EH/YX/FLb80/1YO4DdcJTV/Ip307Xj6lvxcw==
=Jw+k
-----END PGP SIGNATURE-----
闲来无事又仔细分析了一下我们的星空急速,发现拨号的时候程序应该会生成三种类型的密码.
第一种就是用户名是gXXXXXXXX,然后密码就是aXXXXXXX(md5(gXXXXXXXXgXXXXXXXX))这样算出来的.也就是我先前keygen计算出来的那种.
第二种就是用户名是gXXXXXXXX,密码是aXXXXXXX.
最后一种就是用户名是gXXXXXXXX,然后密码就是aXXXXXXX(md5(mac+gXXXXXXXX))这样滴.似乎这种就是传说中的绑定MAC地址的那种,不过这个mac地址我很好奇为啥跟我跟踪程序时候得到的不一样?一个虚拟拨号也能产生一个mac地址么?我感觉这个mac地址是程序拨号时候建立的虚拟拨号产生的.
似乎这个程序再也没有什么玄机了.
感谢:neogeo64帮我把md5的算法弄出来.
更新:
修正了以前版本对VC8的动态库的依赖关系,现在程序应该可以在windows xp上正常运行了.
现在已经破解中国电信星空极速的网络限制. 直接可以使用路由器上网.
目前已测试范围为西安电信.
如果有需要的话,可以与我联系.
http://www.cnbeta.com/zt/060901/archive/000001.htm
http://www.cnbeta.com/modules.php?name=News&fi...
经济观察报:转型路上的中国电信
cnBeta制作的星空极速系列报道已经被本期《经济观察报》作为报料,请大家购买参阅.
在中国互联网关于流氓软件的新一轮讨伐如火如荼之际,上海电信推出一款涉嫌广告推送的拨号软件引发了网民激烈的反应.上海电信力推“星空极速”软件属于中国电信集团代号为“星火燎原”计划的一部分,最早开始于广东电信,由于很好的契合了中国电信业务的整体转型,开始在中国电信各省业务中迅速流行;作为“后来者”的上海电信则在近期刚刚启动了这个计划,在本月中旬一场所谓“魔波病毒导致电信用户大规模断网”事件之后加快脚步.
中国电信集团公司内部人士对本报称:“向ADSL用户推荐安装涉嫌广告推送的拨号软件,最早是广东电信搞出来的,期间电信集团公司曾经声明不准这么搞.不过后来四川电信或重庆电信那边也来广东学习,到现在这种做法已经蔚然成风,因为各省分公司发现,集团总公司提出的'向互联网转型,向全面信息服务提供商转型'的目标,用这个手段实现起来效果很好.”
谁在“做局”?
上海《新闻晨报》17日称,“从本月13日开始,申城宽带用户断网故障集中出现.最近三天里,市计算机病毒防范中心接到有关求助电话已超过800个.”
而就在报道的前一天的8月16日,上海电信公司发布了《致广大ADSL用户紧急公告》,称“自8月13日开始,我公司受理部门陆续接到不少ADSL用户报障,反映使用ADSL上网一段时间后会发生网络中断,拨号工具同时会处于锁死,无法响应状态的故障现象……”最后“建议ADSL用户在发生上述断网时,可通过重启XP操作系统,或更换其他的PPPoE拨号软件”.
非常蹊跷的是这个公告的落款时间竟然也是8月13日——这意味上海电信早在病毒爆发前就已“预料”到会出现大规模断网.这引发了网友质疑,是不是运营商人为制造了所谓“断网危机”,然后诱导用户更新拨号软件.
在公告当天,上海电信更是“极其迅速”地开始在各区大规模上门为用户更新“星空极速”拨号软件.在本报获得的《上海电信公司南区分公司电信局的通知书》中,上海电信以“宽带拨号软件来源多样,有可能存在病毒和安全漏洞”等为由,声称将在其预约后上门安装.
在出现装机高潮的这一周,很多未安装新拨号软件的上海ADSL用户反映上网困难.
微软在例行的每个月第二周周二发布补丁软件(8月8日),在病毒爆发前提前发布了对于攻击WINDOWS的“魔波”病毒的补丁.
上海计算机病毒防范服务中心技术部副主任吴恩平在接受媒体采访时称微软已提前发布补丁程序,只要安装该补丁程序,就不会受到“魔波”侵害.
上海电信综合管理部郑建平先生则对本报强调,“此次用户更新拨号软件属于自愿行为,我们不强制要求.”
上海市汇业律师事务所律师吴冬对本报称:“从目前掌握的初步证据显示,上海电信以及工作人员在具体执行中已经具备欺诈嫌疑.”
“拨号门”快速蔓延
浙江的大二学生张越是国内人气新闻站点cnBeta.com的站长,他在网上率先发起的“星空极速事件专题”迅速引发了网友的共鸣.
“我们从全国各地接到了大量有关中国电信星空极速或http劫持的异常报告,在简单整理后让我们大跌眼镜的是,全国各地的电信流氓手段均不相同,大有一切从实际出发,为受害者定做的味道.”张越对本报说.
上海使用MSN的白领们则在近期纷纷把后缀改为了“友情提醒,千万别更新上海电信ADSL客户端软件”,而在一些热门论坛上类似的贴子更是屡见不鲜,一致反击电信“拨号门”事件.
8月29日,上海电信不再沉默.在当天发布的一份名为《关于向电信宽带上网用户推送“欢迎页面”的说明》中,上海电信承认,近期更新的星空极速客户端存在“推送广告”,但称其为“欢迎页面”.
上海电信综合管理部郑建平先生对本报称:“上海并不是特例,这是中国电信在全国开展的活动,我们已经比广东省等其他地方晚了一到两年.”他同时认为“欢迎页面”的推送方式“只在拨号成功,第一次访问IE时弹出一次”,不能称为所谓的广告推送功能.
中国电信集团公司内部人士对本报称,上海电信并不是最早开始此项业务的,只是因为在近期做推广而过于被瞩目,其业务相对广州等地已经非常“温和”.
在本报获得的数份中国电信内部资料中,广东电信的模式被“包装”成了推广的典型,早在2003年,VnetClient客户端(星空极速是其升级版)在广东电信得以广泛使用,新装用户渗透率达到90%,总用户渗透率达到35%,截至 2004年12月13日,全省VnetClient用户超过宽带总用户数的50%.
中国电信集团公司转发的《广东互联星空“星火燎原”培训材料(终稿)》已在各省广为流传,在这份长达67页的文件中,广州电信详细讲解了该项目的操作细节.
据本报了解,在某些采取这种做法的省份,终端软件被修改的机器比例已经超过50%.在广州、深圳等地的电信ADSL用户,在上网的时候会自动给用户弹出“富媒体”的广告内容.
这份资料中称,“业务营销管理人员可以通过('星空极速')客户端的增值服务管理平台,向客户端推送各类业务信息和应用功能.”这正是业内所公认的“流氓软件”.
“广告及推送”、“插件加载及推送”、“占领终端用户的桌面”等更为直接的表述,更是频繁出现在其他数份来自中国电信以及旗下研究与开发中心的内部资料中.
控制终端
在中国移动、中国联通的步步紧逼之下,中国电信正在积极谋求转型——从传统基础网络运营商向现代综合信息服务提供商转变.
未来五六年,中国电信战略转型的主要目标为:非话音业务收入占企业收入(含移动通信)比例达到45%左右;传统固网及宽带接入投资占其收入比控制在25%左右.其“星火燎原”计划显然是这个巨人转身的一个关键.
本报在其内部文件中发现,中国电信认为推广“星空极速”的意义是:解决PPPoE拨号软件版权问题,解决应用推送渠道问题,最终实现“占领用户端的桌面”.
这意味着每台电脑都将像手机一样成为电信运营商真正意义上的终端.
本报获悉,众多受到中移动打压的SP公司已经对电信的新业务跃跃欲试,甚至一些广告投放主也看好这种投放,这显然再度激发了中国电信的热情.
中国电信的做法已经开始在市场上体现出其“独特”的商业价值,一家名为fsjoy.com的网站在利用了中国电信的推广后,访问量大幅跃升.
而越来越多的以所谓“中国电信合作——定向网络信息管理平台”为主营业务的公司开始涌现,他们代理的正是中国电信“星空极速”推送广告.
浙江大学计算机博士毛郁欣分析认为:“除了用星空极速拨打,会带来大量强制性播放的广告,而且很可能用户将无法使用Linux和路由器拨号(目前比较普遍的家庭'一拖二'上网可以在技术上被控制),这帮助电信解决了一号多机的问题,可以快速扩大用户装机量.”
业内人士指出,中国电信转型的急切心情可以理解,但采取如此做法似乎有拔苗助长之嫌,因为在这样一个时代,消费者的选择正日趋理性和成熟.
目前已测试范围为西安电信.
如果有需要的话,可以与我联系.
http://www.cnbeta.com/zt/060901/archive/000001.htm
http://www.cnbeta.com/modules.php?name=News&fi...
经济观察报:转型路上的中国电信
cnBeta制作的星空极速系列报道已经被本期《经济观察报》作为报料,请大家购买参阅.
在中国互联网关于流氓软件的新一轮讨伐如火如荼之际,上海电信推出一款涉嫌广告推送的拨号软件引发了网民激烈的反应.上海电信力推“星空极速”软件属于中国电信集团代号为“星火燎原”计划的一部分,最早开始于广东电信,由于很好的契合了中国电信业务的整体转型,开始在中国电信各省业务中迅速流行;作为“后来者”的上海电信则在近期刚刚启动了这个计划,在本月中旬一场所谓“魔波病毒导致电信用户大规模断网”事件之后加快脚步.
中国电信集团公司内部人士对本报称:“向ADSL用户推荐安装涉嫌广告推送的拨号软件,最早是广东电信搞出来的,期间电信集团公司曾经声明不准这么搞.不过后来四川电信或重庆电信那边也来广东学习,到现在这种做法已经蔚然成风,因为各省分公司发现,集团总公司提出的'向互联网转型,向全面信息服务提供商转型'的目标,用这个手段实现起来效果很好.”
谁在“做局”?
上海《新闻晨报》17日称,“从本月13日开始,申城宽带用户断网故障集中出现.最近三天里,市计算机病毒防范中心接到有关求助电话已超过800个.”
而就在报道的前一天的8月16日,上海电信公司发布了《致广大ADSL用户紧急公告》,称“自8月13日开始,我公司受理部门陆续接到不少ADSL用户报障,反映使用ADSL上网一段时间后会发生网络中断,拨号工具同时会处于锁死,无法响应状态的故障现象……”最后“建议ADSL用户在发生上述断网时,可通过重启XP操作系统,或更换其他的PPPoE拨号软件”.
非常蹊跷的是这个公告的落款时间竟然也是8月13日——这意味上海电信早在病毒爆发前就已“预料”到会出现大规模断网.这引发了网友质疑,是不是运营商人为制造了所谓“断网危机”,然后诱导用户更新拨号软件.
在公告当天,上海电信更是“极其迅速”地开始在各区大规模上门为用户更新“星空极速”拨号软件.在本报获得的《上海电信公司南区分公司电信局的通知书》中,上海电信以“宽带拨号软件来源多样,有可能存在病毒和安全漏洞”等为由,声称将在其预约后上门安装.
在出现装机高潮的这一周,很多未安装新拨号软件的上海ADSL用户反映上网困难.
微软在例行的每个月第二周周二发布补丁软件(8月8日),在病毒爆发前提前发布了对于攻击WINDOWS的“魔波”病毒的补丁.
上海计算机病毒防范服务中心技术部副主任吴恩平在接受媒体采访时称微软已提前发布补丁程序,只要安装该补丁程序,就不会受到“魔波”侵害.
上海电信综合管理部郑建平先生则对本报强调,“此次用户更新拨号软件属于自愿行为,我们不强制要求.”
上海市汇业律师事务所律师吴冬对本报称:“从目前掌握的初步证据显示,上海电信以及工作人员在具体执行中已经具备欺诈嫌疑.”
“拨号门”快速蔓延
浙江的大二学生张越是国内人气新闻站点cnBeta.com的站长,他在网上率先发起的“星空极速事件专题”迅速引发了网友的共鸣.
“我们从全国各地接到了大量有关中国电信星空极速或http劫持的异常报告,在简单整理后让我们大跌眼镜的是,全国各地的电信流氓手段均不相同,大有一切从实际出发,为受害者定做的味道.”张越对本报说.
上海使用MSN的白领们则在近期纷纷把后缀改为了“友情提醒,千万别更新上海电信ADSL客户端软件”,而在一些热门论坛上类似的贴子更是屡见不鲜,一致反击电信“拨号门”事件.
8月29日,上海电信不再沉默.在当天发布的一份名为《关于向电信宽带上网用户推送“欢迎页面”的说明》中,上海电信承认,近期更新的星空极速客户端存在“推送广告”,但称其为“欢迎页面”.
上海电信综合管理部郑建平先生对本报称:“上海并不是特例,这是中国电信在全国开展的活动,我们已经比广东省等其他地方晚了一到两年.”他同时认为“欢迎页面”的推送方式“只在拨号成功,第一次访问IE时弹出一次”,不能称为所谓的广告推送功能.
中国电信集团公司内部人士对本报称,上海电信并不是最早开始此项业务的,只是因为在近期做推广而过于被瞩目,其业务相对广州等地已经非常“温和”.
在本报获得的数份中国电信内部资料中,广东电信的模式被“包装”成了推广的典型,早在2003年,VnetClient客户端(星空极速是其升级版)在广东电信得以广泛使用,新装用户渗透率达到90%,总用户渗透率达到35%,截至 2004年12月13日,全省VnetClient用户超过宽带总用户数的50%.
中国电信集团公司转发的《广东互联星空“星火燎原”培训材料(终稿)》已在各省广为流传,在这份长达67页的文件中,广州电信详细讲解了该项目的操作细节.
据本报了解,在某些采取这种做法的省份,终端软件被修改的机器比例已经超过50%.在广州、深圳等地的电信ADSL用户,在上网的时候会自动给用户弹出“富媒体”的广告内容.
这份资料中称,“业务营销管理人员可以通过('星空极速')客户端的增值服务管理平台,向客户端推送各类业务信息和应用功能.”这正是业内所公认的“流氓软件”.
“广告及推送”、“插件加载及推送”、“占领终端用户的桌面”等更为直接的表述,更是频繁出现在其他数份来自中国电信以及旗下研究与开发中心的内部资料中.
控制终端
在中国移动、中国联通的步步紧逼之下,中国电信正在积极谋求转型——从传统基础网络运营商向现代综合信息服务提供商转变.
未来五六年,中国电信战略转型的主要目标为:非话音业务收入占企业收入(含移动通信)比例达到45%左右;传统固网及宽带接入投资占其收入比控制在25%左右.其“星火燎原”计划显然是这个巨人转身的一个关键.
本报在其内部文件中发现,中国电信认为推广“星空极速”的意义是:解决PPPoE拨号软件版权问题,解决应用推送渠道问题,最终实现“占领用户端的桌面”.
这意味着每台电脑都将像手机一样成为电信运营商真正意义上的终端.
本报获悉,众多受到中移动打压的SP公司已经对电信的新业务跃跃欲试,甚至一些广告投放主也看好这种投放,这显然再度激发了中国电信的热情.
中国电信的做法已经开始在市场上体现出其“独特”的商业价值,一家名为fsjoy.com的网站在利用了中国电信的推广后,访问量大幅跃升.
而越来越多的以所谓“中国电信合作——定向网络信息管理平台”为主营业务的公司开始涌现,他们代理的正是中国电信“星空极速”推送广告.
浙江大学计算机博士毛郁欣分析认为:“除了用星空极速拨打,会带来大量强制性播放的广告,而且很可能用户将无法使用Linux和路由器拨号(目前比较普遍的家庭'一拖二'上网可以在技术上被控制),这帮助电信解决了一号多机的问题,可以快速扩大用户装机量.”
业内人士指出,中国电信转型的急切心情可以理解,但采取如此做法似乎有拔苗助长之嫌,因为在这样一个时代,消费者的选择正日趋理性和成熟.
目的:
有两台MySQL数据库服务器A和B,使A为主服务器,B为从服务器,初始状态时,A和B中的数据信息相同,当A中的数据发生变化时,B也跟着发生相应的变化,使得A和B的数据信息同步,达到备份的目的。
原理:
负责在主、从服务器传输各种修改动作的媒介是主服务器的二进制变更日志,这个日志记载着需要传输给从服务器的各种修改动作。因此,主服务器必须激活二进制日志功能。从服务器必须具备足以让它连接主服务器并请求主服务器把二进制变更日志传输给它的权限。
环境:
A、B的MySQL数据库版本同为5.0.18
A:
操作系统:Windows 2003
IP地址:10.100.0.100
B:
操作系统:Windows 2000 server
的IP地址:10.100.0.200
配置过程:
1、在A的数据库中建立一个备份帐户,命令如下:
GRANT REPLICATION SLAVE,RELOAD,SUPER ON *.*
TO backup@’10.100.0.200’
IDENTIFIED BY ‘1234’;
建立一个帐户backup,并且只能允许从10.100.0.200这个地址上来登陆,密码是1234。
2、关停A服务器,将A中的数据拷贝到B服务器中,使得A和B中的数据同步,并且确保在全部设置操作结束前,禁止在A和B服务器中进行写操作,使得两数据库中的数据一定要相同!
3、对A服务器的配置进行修改,打开mysql/my.ini文件,在[mysqld]下面添加如下内容:
server-id=1
log-bin=c:log-bin.log
server-id:为主服务器A的ID值
log-bin:二进制变更日值
4、重启A服务器,从现在起,它将把客户堆有关数据库的修改记载到二进制变更日志里去。
5、关停B服务器,对B服务器锦熙配置,以便让它知道自己的镜像ID、到哪里去找主服务器以及如何去连接服务器。最简单的情况是主、从服务器分别运行在不同的主机上并都使用着默认的TCP/IP端口,只要在从服务器启动时去读取的mysql/my.ini文件里添加以下几行指令就行了。
[mysqld]
server-id=2
master-host=10.100.0.100
master-user=backup
master-password=1234
//以下内容为可选
replicate-do-db=backup
server-id:从服务器B的ID值。注意不能和主服务器的ID值相同。
master-host:主服务器的IP地址。
master-user:从服务器连接主服务器的帐号。
master-password:从服务器连接主服务器的帐号密码。
replicate-do-db:告诉主服务器只对指定的数据库进行同步镜像。
6、重启从服务器B。至此所有设置全部完成。更新A中的数据,B中也会立刻进行同步更新。如果从服务器没有进行同步更新,你可以通过查看从服务器中的mysql_error.log日志文件进行排错。如果大家对文章有什么问题,可以到我的网站和我交流.
http://bbs.chinaunix.net/viewthread.php?tid=728248
有两台MySQL数据库服务器A和B,使A为主服务器,B为从服务器,初始状态时,A和B中的数据信息相同,当A中的数据发生变化时,B也跟着发生相应的变化,使得A和B的数据信息同步,达到备份的目的。
原理:
负责在主、从服务器传输各种修改动作的媒介是主服务器的二进制变更日志,这个日志记载着需要传输给从服务器的各种修改动作。因此,主服务器必须激活二进制日志功能。从服务器必须具备足以让它连接主服务器并请求主服务器把二进制变更日志传输给它的权限。
环境:
A、B的MySQL数据库版本同为5.0.18
A:
操作系统:Windows 2003
IP地址:10.100.0.100
B:
操作系统:Windows 2000 server
的IP地址:10.100.0.200
配置过程:
1、在A的数据库中建立一个备份帐户,命令如下:
GRANT REPLICATION SLAVE,RELOAD,SUPER ON *.*
TO backup@’10.100.0.200’
IDENTIFIED BY ‘1234’;
建立一个帐户backup,并且只能允许从10.100.0.200这个地址上来登陆,密码是1234。
2、关停A服务器,将A中的数据拷贝到B服务器中,使得A和B中的数据同步,并且确保在全部设置操作结束前,禁止在A和B服务器中进行写操作,使得两数据库中的数据一定要相同!
3、对A服务器的配置进行修改,打开mysql/my.ini文件,在[mysqld]下面添加如下内容:
server-id=1
log-bin=c:log-bin.log
server-id:为主服务器A的ID值
log-bin:二进制变更日值
4、重启A服务器,从现在起,它将把客户堆有关数据库的修改记载到二进制变更日志里去。
5、关停B服务器,对B服务器锦熙配置,以便让它知道自己的镜像ID、到哪里去找主服务器以及如何去连接服务器。最简单的情况是主、从服务器分别运行在不同的主机上并都使用着默认的TCP/IP端口,只要在从服务器启动时去读取的mysql/my.ini文件里添加以下几行指令就行了。
[mysqld]
server-id=2
master-host=10.100.0.100
master-user=backup
master-password=1234
//以下内容为可选
replicate-do-db=backup
server-id:从服务器B的ID值。注意不能和主服务器的ID值相同。
master-host:主服务器的IP地址。
master-user:从服务器连接主服务器的帐号。
master-password:从服务器连接主服务器的帐号密码。
replicate-do-db:告诉主服务器只对指定的数据库进行同步镜像。
6、重启从服务器B。至此所有设置全部完成。更新A中的数据,B中也会立刻进行同步更新。如果从服务器没有进行同步更新,你可以通过查看从服务器中的mysql_error.log日志文件进行排错。如果大家对文章有什么问题,可以到我的网站和我交流.
http://bbs.chinaunix.net/viewthread.php?tid=728248
防止黑客入侵:DLL后门完全清除方法(1)
前言
后门!相信这个词语对您来说一定不会陌生,它的危害不然而欲,但随着人们的安全意识逐步增强,又加上杀毒软件的"大力支持",使传统的后门无法在隐藏自己,任何稍微有点计算机知识的人,都知道"查端口""看进程",以便发现一些"蛛丝马迹"。所以,后门的编写者及时调整了思路,把目光放到了动态链接程序库上,也就是说,把后门做成DLL文件,然后由某一个EXE做为载体,或者使用Rundll32.exe来启动,这样就不会有进程,不开端口等特点,也就实现了进程、端口的隐藏。本文以"DLL的原理""DLL的清除""DLL的防范"为主题,并展开论述,旨在能让大家对DLL后门"快速上手",不在恐惧DLL后门。好了,进入我们的主题。
一、DLL的原理
1,动态链接程序库
动态链接程序库,全称:Dynamic Link Library,简称:DLL,作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件,需要跟其进行"动态链接";从编程的角度,应用程序需要知道DLL文件导出的API函数方可调用。由此可见,DLL文件本身并不可以运行,需要应用程序调用。正因为DLL文件运行时必须插入到应用程序的内存模块当中,这就说明了:DLL文件无法删除。这是由于Windows内部机制造成的:正在运行的程序不能关闭。所以,DLL后门由此而生!
2,DLL后门原理及特点
把一个实现了后门功能的代码写成一个DLL文件,然后插入到一个EXE文件当中,使其可以执行,这样就不需要占用进程,也就没有相对应的PID号,也就可以在任务管理器中隐藏。DLL文件本身和EXE文件相差不大,但必须使用程序(EXE)调用才能执行DLL文件。DLL文件的执行,需要EXE文件加载,但EXE想要加载DLL文件,需要知道一个DLL文件的入口函数(既DLL文件的导出函数),所以,根据DLL文件的编写标准:EXE必须执行DLL文件中的DLLMain()作为加载的条件(如同EXE的mian())。做DLL后门基本分为两种:1)把所有功能都在DLL文件中实现;2)把DLL做成一个启动文件,在需要的时候启动一个普通的EXE后门。
常见的编写方法:
(1),只有一个DLL文件
这类后门很简单,只把自己做成一个DLL文件,在注册表Run键值或其他可以被系统自动加载的地方,使用Rundll32.exe来自动启动。Rundll32.exe是什么?顾名思意,"执行32位的DLL文件"。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用Rundll32.exe启动了多少个的DLL文件。当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找到。
现在,我来介绍一下Rundll32.exe这个文件,意思上边已经说过,功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件,他的意思是"执行16位的DLL文件",这里要注意一下。在来看看Rundll32.exe使用的函数原型:
·防止黑客入侵:DLL后门完全清除方法(2)
其命令行下的使用方法为:Rundll32.exe DLLname,Functionname [Arguments]
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);
DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;[Arguments]为引出函数的具体参数。
(2),替换系统中的DLL文件
这类后门就比上边的先进了一些,它把实现了后门功能的代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时, DLL后门就启一个转发的作用,把"参数"传递给原来的DLL文件;如果遇到特殊的请求时(比如客户端),DLL后门就开始,启动并运行了。对于这类后门,把所有操作都在DLL文件中实现最为安全,但需要的编程知识也非常多,也非常不容易编写。所以,这类后门一般都是把DLL文件做成一个"启动"文件,在遇到特殊的情况下(比如客户端的请求),就启动一个普通的EXE后门;在客户端结束连接之后,把EXE后门停止,然后DLL文件进入"休息"状态,在下次客户端连接之前,都不会启动。但随着微软的"数字签名"和"文件恢复"的功能出台,这种后门已经逐步衰落。
提示:
在WINNT\system32目录下,有一个dllcache文件夹,里边存放着众多DLL文件(也包括一些重要的EXE文件),在DLL文件被非法修改之后,系统就从这里来恢复被修改的DLL文件。如果要修改某个DLL文件,首先应该把dllcache目录下的同名DLL文件删除或更名,否则系统会自动恢复。
(3),动态嵌入式
这才是DLL后门最常用的方法。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中,每个进程都有自己的私有内存空间,但还是有种种方法来进入其进程的私有内存空间,来实现动态嵌入式。由于系统的关键进程是不能终止的,所以这类后门非常隐蔽,查杀也非常困难。常见的动态嵌入式有:"挂接API""全局钩子(HOOK)""远程线程"等。
远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。当EXE载体(或Rundll32.exe)在那个被插入的进程里创建了远程线程,并命令它执行某个DLL文件时,我们的DLL后门就挂上去执行了,这里不会产生新的进程,要想让DLL后门停止,只有让这个链接DLL后门的进程终止。但如果和某些系统的关键进程链接,那就不能终止了,如果你终止了系统进程,那Windows也随即被终止!!!
·防止黑客入侵:DLL后门完全清除方法(3)
3,DLL后门的启动特性
启动DLL后门的载体EXE是不可缺少的,也是非常重要的,它被称为:Loader。如果没有Loader,那我们的DLL后门如何启动呢?因此,一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多,可以是为我们的DLL后门而专门编写的一个EXE文件;也可以是系统自带的Rundll32.exe,即使停止了Rundll32.exe,DLL后门的主体还是存在的。3721网络实名就是一个例子,虽然它并不是"真正"的后门。
二、DLL的清除
本节以三款比较有名的DLL后门例,分别为"SvchostDLL.dll""BITS.dll""QoServer.dll"。详细讲解其手工清除方法。希望大家在看过这三款DLL后门的清除方法之后,能够举一反三,灵活运用,在不惧怕DLL后门。其实,手工清除DLL后门还是比较简单的,无非就是在注册表中做文章。具体怎么做,请看下文。
1,PortLess BackDoor
这是一款功能非常强大的DLL后门程序,除了可以获得Local System权限的Shell之外,还支持如"检测克隆帐户""安装终端服务"等一系列功能(具体可以参见程序帮助),适用Windows2000/xp/2003等系统。程序使用svchost.exe来启动,平常不开端口,可以进行反向连接(最大的特点哦),对于有防火墙的主机来说,这个功能在好不过了。
在介绍清除方法之前,我们先来简单的介绍一下svchost.exe这个系统的关键服务:
Svchost只是做为服务的宿主,本身并不实现什么功能,如果需要使用Svchost来启动服务,则某个服务是以DLL形式实现的,该DLL的载体Loader指向svchost,所以,在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的,在需要启动服务的下边都有一个Parameters子键,其中的ServiceDll表明该服务由哪个DLL文件负责,并且这个DLL文件必须导出一个ServiceMain()函数,为处理服务任务提供支持。
呵呵!看了上边的理论,是不是有点蒙(我都快睡着了),别着急,我们来看看具体的内容。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs下的Parameters子键,其键值为%SystemRoot%\system32\rpcss.dll。这就说明:启动RpcSs服务时。Svchost调用WINNT\system32目录下的rpcss.dll。
注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost,里边存放着Svchost启动的组和组内的各个服务,其中netsvcs组的服务最多。要使用Svchost启动某个服务,则该服务名就会出现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下。这里有四种方法来实现:
1, 添加一个新的组,在组里添加服务名
2, 在现有组里添加服务名
3, 直接使用现有组里的一个服务名,但是本机没有安装的服务
4, 修改现有组里的现有服务,把它的ServiceDll指向自己的DLL后门
我测试的PortLess BackDoor使用的第三种方法。
好了,我想大家看完了上边的原理,一定可以想到我们清除PortLess BackDoor的方法了,对,就是在注册表的Svchost键下做文章。好,我们现在开始。
注:由于本文只是介绍清除方法,使用方法在此略过。
·防止黑客入侵:DLL后门完全清除方法(4)
后门的Loader把SvchostDLL.dll插入Svchost进程当中,所以,我们先打开Windows优化大师中的Windows进程管理2.5,查看Svchost进程中的模块信息,SvchostDLL.dll已经插入到Svchost进程中了,在根据"直接使用现有组里的一个服务名,但是本机没有安装的服务"的提示,我们可以断定,在"管理工具"—"服务"中会有一项新的服务。此服务名称为:IPRIP,由Svchost启动,-k netsvcs表示此服务包含在netsvcs服务组中。
我们把该服务停掉,然后打开注册表编辑器(开始—运行--regedit),来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP下,查看其Parameters子键。Program键的键值SvcHostDLL.exe为后门的Loader;ServiceDll的键值C:\WINNT\system32\svchostdll.dll为调用的DLL文件,这正是后门的DLL文件。现在我们删除IPRIP子键(或者用SC来删除),然后在来到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下,编辑netsvcs服务组,把49 00 70 00 72 00 69 00 70 00 00 00删除,这里对应的就是IPRIP的服务名,具体如图6所示。然后退出,重启。重启之后删除WINNT\system32目录下的后门文件即可。
2,BITS.dll
这是榕哥的作品,也是DLL后门,和SvchostDLL.dll原理基本一样,不过这里使用的是上边介绍的第四种方法,即"修改现有组里的现有服务,把它的ServiceDll指向自己的DLL后门"。换句话说,该后门修改现有的某一个服务,把其原有服务的DLL指向自己(也就是BITS.dll),这样就达到了自动加载的目的;其次,该后门没有自己的Loader,而是使用系统自带的Rundll32.exe来加载。我们还是用Windows 进程管理2.5来查看,从图7中,我们可以看到bits.dll已经插入到Svchost进程当中。
好,现在我们来看看具体的清除方法,由于该后门是修改现有服务,而我们并不知道具体是修改了哪个服务,所以,在注册表中搜索bits.dll,最后在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto下搜索到了bits.dll,查看Parameters子键下的ServiceDll,其键值为C:\WINNT\system32\bits.dll。原来,该后门把RasAuto服务原来的DLL文件替换为bits.dll了,这样来实现自动加载。知道了原因就好办了,现在我们把ServiceDll的键值修改为RasAuto服务原有的DLL文件,即%SystemRoot%\System32\rasauto.dll,退出,重启。之后删除WINNT\system32目录下的bits.dll即可。
3,NOIR--QUEEN
NOIR--QUEEN(守护者)是一个DLL后门&木马程序,服务端以DLL文件的形式插入到系统的Lsass.exe进程里,由于Lsass.exe是系统的关键进程,所以不能终止。在来介绍清除方法之前,我先介绍一下Lsass.exe进程:
这是一个本地的安全授权服务,并且它会为使用Winlogon服务的授权用户生成一个进程,如果授权是成功的,Lsass就会产生用户的进入令牌,令牌使用启动初始 的Shell。其他的由用户初始化的进程会继承这个令牌。
从上边的介绍我们就可以看出Lsass对系统的重要性,那具体怎么清除呢?请看下文。
后门在安装成功后,会在服务中添加一个名为QoSserver的服务,并把QoSserver.dll后门文件插入到Lsass进程当中,使其可以隐藏进程并自动启动。现在我们打开注册表,来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver,直接删除QoSserver键,然后重启。重启之后,我们在来到服务列表中,会看到QoSserver服务还在,但没有启动,类别是自动,我们把他修改为"已禁用";然后往上看,会发现一个服务名为AppCPI的服务,其可执行程序指向QoSserver.exe(原因后边我会说到)。我们再次打开注册表,来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppCPI,删除AppCPI键,重启,再删除QoSserver,最后删除WINNT\system32目录下的后门文件。
·防止黑客入侵:DLL后门完全清除方法(5)
本人和这个后门"搏斗"了3个多小时,重启N次。原因在于即使删除了QoSserver服务,后门还是在运行,而且服务列表中的QoSserver服务又"死灰复燃"。后来才知道原因:在我删除了QoSserver服务并重启之后,插入到Lsass进程当中的QoSserver.dll文件又恢复了QoSserver服务,并且生成了另外一个服务,即AppCPI,所以我们必须在到注册表中删除AppCPI服务才算是把该后门清除。由此可以看出,现在的后门的保护措施,真是一环扣环。
注意:在删除QoSserver服务并重启之后,恢复的QoSserver的启动类别要修改为"已禁用",否则即便删除了AppCPI服务,QoSserver服务又运行了。
三、DLL的防范
看了上边的例子,我想大家对清除DLL后门的方法有了一定的了解,但在现实中,DLL后门并不会使用默认的文件名,所以你也就不能肯定是否中了DLL后门。对于DLL后门,system32目录下是个好地方,大多数后门也是如此,所以这里要非常注意。下面我来具体介绍一下怎么发现DLL后门,希望对大家有所帮助。
1,安装好系统和所有的应用程序之后,备份system32目录下的EXE和DLL文件:打开CMD,来到WINNT\system32目录下,执行:dir *.exe>exe.txt & dir *.dll>dll.txt,这样,就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中;日后,如发现异常,可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt,其意思为使用FC命令比较两次的EXE文件和DLL文件,并将比较结果保存到exedll.txt文件中。通过这种方法,我们就可以发现多出来的EXE和DLL文件,并通过文件大小,创建时间来判断是否是DLL后门。
2,使用内存/模块工具来查看进程调用的DLL文件,比如Windows优化大师中的Windows 进程管理 2.5。这样,可以发现进程到底调用了什么DLL文件,在结合上边用FC命令比较出来的结果,又能进一步来确定是否中了DLL后门。如果没有优化大师,可以使用TaskList,这个小工具也可以显示进程调用的DLL文件,而且还有源代码,方便修改。
3,普通后门连接需要打开特定的端口,DLL后门也不例外,不管它怎么隐藏,连接的时候都需要打开端口。我们可以用netstat -an来查看所有TCP/UDP端口的连接,以发现非法连接。大家平时要对自己打开的端口心中有数,并对netstat -an中的state属性有所了解。当然,也可以使用Fport来显示端口对应的进程,这样,系统有什么不明的连接和端口,都可以尽收眼底。
4,定期检查系统自动加载的地方,比如:注册表,Winstart.bat,Autoexec.bat,win.ini,system.ini,wininit.ini,Autorun.inf,Config.sys等。其次是对服务进行管理,对系统默认的服务要有所了解,在发现有问题的服务时,可以使用Windows 2000 Server Resource Kit中的SC来删除。以上这些地方都可以用来加载DLL后门的Loader,如果我们把DLL后门Loader删除了,试问?DLL后门还怎么运行?!
通过使用上边的方法,我想大多数DLL后门都可以"现形",如果我们平时多做一些备份,那对查找DLL后门会启到事半功倍的效果。
前言
后门!相信这个词语对您来说一定不会陌生,它的危害不然而欲,但随着人们的安全意识逐步增强,又加上杀毒软件的"大力支持",使传统的后门无法在隐藏自己,任何稍微有点计算机知识的人,都知道"查端口""看进程",以便发现一些"蛛丝马迹"。所以,后门的编写者及时调整了思路,把目光放到了动态链接程序库上,也就是说,把后门做成DLL文件,然后由某一个EXE做为载体,或者使用Rundll32.exe来启动,这样就不会有进程,不开端口等特点,也就实现了进程、端口的隐藏。本文以"DLL的原理""DLL的清除""DLL的防范"为主题,并展开论述,旨在能让大家对DLL后门"快速上手",不在恐惧DLL后门。好了,进入我们的主题。
一、DLL的原理
1,动态链接程序库
动态链接程序库,全称:Dynamic Link Library,简称:DLL,作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件,需要跟其进行"动态链接";从编程的角度,应用程序需要知道DLL文件导出的API函数方可调用。由此可见,DLL文件本身并不可以运行,需要应用程序调用。正因为DLL文件运行时必须插入到应用程序的内存模块当中,这就说明了:DLL文件无法删除。这是由于Windows内部机制造成的:正在运行的程序不能关闭。所以,DLL后门由此而生!
2,DLL后门原理及特点
把一个实现了后门功能的代码写成一个DLL文件,然后插入到一个EXE文件当中,使其可以执行,这样就不需要占用进程,也就没有相对应的PID号,也就可以在任务管理器中隐藏。DLL文件本身和EXE文件相差不大,但必须使用程序(EXE)调用才能执行DLL文件。DLL文件的执行,需要EXE文件加载,但EXE想要加载DLL文件,需要知道一个DLL文件的入口函数(既DLL文件的导出函数),所以,根据DLL文件的编写标准:EXE必须执行DLL文件中的DLLMain()作为加载的条件(如同EXE的mian())。做DLL后门基本分为两种:1)把所有功能都在DLL文件中实现;2)把DLL做成一个启动文件,在需要的时候启动一个普通的EXE后门。
常见的编写方法:
(1),只有一个DLL文件
这类后门很简单,只把自己做成一个DLL文件,在注册表Run键值或其他可以被系统自动加载的地方,使用Rundll32.exe来自动启动。Rundll32.exe是什么?顾名思意,"执行32位的DLL文件"。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用Rundll32.exe启动了多少个的DLL文件。当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找到。
现在,我来介绍一下Rundll32.exe这个文件,意思上边已经说过,功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件,他的意思是"执行16位的DLL文件",这里要注意一下。在来看看Rundll32.exe使用的函数原型:
·防止黑客入侵:DLL后门完全清除方法(2)
其命令行下的使用方法为:Rundll32.exe DLLname,Functionname [Arguments]
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);
DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;[Arguments]为引出函数的具体参数。
(2),替换系统中的DLL文件
这类后门就比上边的先进了一些,它把实现了后门功能的代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时, DLL后门就启一个转发的作用,把"参数"传递给原来的DLL文件;如果遇到特殊的请求时(比如客户端),DLL后门就开始,启动并运行了。对于这类后门,把所有操作都在DLL文件中实现最为安全,但需要的编程知识也非常多,也非常不容易编写。所以,这类后门一般都是把DLL文件做成一个"启动"文件,在遇到特殊的情况下(比如客户端的请求),就启动一个普通的EXE后门;在客户端结束连接之后,把EXE后门停止,然后DLL文件进入"休息"状态,在下次客户端连接之前,都不会启动。但随着微软的"数字签名"和"文件恢复"的功能出台,这种后门已经逐步衰落。
提示:
在WINNT\system32目录下,有一个dllcache文件夹,里边存放着众多DLL文件(也包括一些重要的EXE文件),在DLL文件被非法修改之后,系统就从这里来恢复被修改的DLL文件。如果要修改某个DLL文件,首先应该把dllcache目录下的同名DLL文件删除或更名,否则系统会自动恢复。
(3),动态嵌入式
这才是DLL后门最常用的方法。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中,每个进程都有自己的私有内存空间,但还是有种种方法来进入其进程的私有内存空间,来实现动态嵌入式。由于系统的关键进程是不能终止的,所以这类后门非常隐蔽,查杀也非常困难。常见的动态嵌入式有:"挂接API""全局钩子(HOOK)""远程线程"等。
远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。当EXE载体(或Rundll32.exe)在那个被插入的进程里创建了远程线程,并命令它执行某个DLL文件时,我们的DLL后门就挂上去执行了,这里不会产生新的进程,要想让DLL后门停止,只有让这个链接DLL后门的进程终止。但如果和某些系统的关键进程链接,那就不能终止了,如果你终止了系统进程,那Windows也随即被终止!!!
·防止黑客入侵:DLL后门完全清除方法(3)
3,DLL后门的启动特性
启动DLL后门的载体EXE是不可缺少的,也是非常重要的,它被称为:Loader。如果没有Loader,那我们的DLL后门如何启动呢?因此,一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多,可以是为我们的DLL后门而专门编写的一个EXE文件;也可以是系统自带的Rundll32.exe,即使停止了Rundll32.exe,DLL后门的主体还是存在的。3721网络实名就是一个例子,虽然它并不是"真正"的后门。
二、DLL的清除
本节以三款比较有名的DLL后门例,分别为"SvchostDLL.dll""BITS.dll""QoServer.dll"。详细讲解其手工清除方法。希望大家在看过这三款DLL后门的清除方法之后,能够举一反三,灵活运用,在不惧怕DLL后门。其实,手工清除DLL后门还是比较简单的,无非就是在注册表中做文章。具体怎么做,请看下文。
1,PortLess BackDoor
这是一款功能非常强大的DLL后门程序,除了可以获得Local System权限的Shell之外,还支持如"检测克隆帐户""安装终端服务"等一系列功能(具体可以参见程序帮助),适用Windows2000/xp/2003等系统。程序使用svchost.exe来启动,平常不开端口,可以进行反向连接(最大的特点哦),对于有防火墙的主机来说,这个功能在好不过了。
在介绍清除方法之前,我们先来简单的介绍一下svchost.exe这个系统的关键服务:
Svchost只是做为服务的宿主,本身并不实现什么功能,如果需要使用Svchost来启动服务,则某个服务是以DLL形式实现的,该DLL的载体Loader指向svchost,所以,在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的,在需要启动服务的下边都有一个Parameters子键,其中的ServiceDll表明该服务由哪个DLL文件负责,并且这个DLL文件必须导出一个ServiceMain()函数,为处理服务任务提供支持。
呵呵!看了上边的理论,是不是有点蒙(我都快睡着了),别着急,我们来看看具体的内容。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs下的Parameters子键,其键值为%SystemRoot%\system32\rpcss.dll。这就说明:启动RpcSs服务时。Svchost调用WINNT\system32目录下的rpcss.dll。
注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost,里边存放着Svchost启动的组和组内的各个服务,其中netsvcs组的服务最多。要使用Svchost启动某个服务,则该服务名就会出现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下。这里有四种方法来实现:
1, 添加一个新的组,在组里添加服务名
2, 在现有组里添加服务名
3, 直接使用现有组里的一个服务名,但是本机没有安装的服务
4, 修改现有组里的现有服务,把它的ServiceDll指向自己的DLL后门
我测试的PortLess BackDoor使用的第三种方法。
好了,我想大家看完了上边的原理,一定可以想到我们清除PortLess BackDoor的方法了,对,就是在注册表的Svchost键下做文章。好,我们现在开始。
注:由于本文只是介绍清除方法,使用方法在此略过。
·防止黑客入侵:DLL后门完全清除方法(4)
后门的Loader把SvchostDLL.dll插入Svchost进程当中,所以,我们先打开Windows优化大师中的Windows进程管理2.5,查看Svchost进程中的模块信息,SvchostDLL.dll已经插入到Svchost进程中了,在根据"直接使用现有组里的一个服务名,但是本机没有安装的服务"的提示,我们可以断定,在"管理工具"—"服务"中会有一项新的服务。此服务名称为:IPRIP,由Svchost启动,-k netsvcs表示此服务包含在netsvcs服务组中。
我们把该服务停掉,然后打开注册表编辑器(开始—运行--regedit),来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP下,查看其Parameters子键。Program键的键值SvcHostDLL.exe为后门的Loader;ServiceDll的键值C:\WINNT\system32\svchostdll.dll为调用的DLL文件,这正是后门的DLL文件。现在我们删除IPRIP子键(或者用SC来删除),然后在来到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下,编辑netsvcs服务组,把49 00 70 00 72 00 69 00 70 00 00 00删除,这里对应的就是IPRIP的服务名,具体如图6所示。然后退出,重启。重启之后删除WINNT\system32目录下的后门文件即可。
2,BITS.dll
这是榕哥的作品,也是DLL后门,和SvchostDLL.dll原理基本一样,不过这里使用的是上边介绍的第四种方法,即"修改现有组里的现有服务,把它的ServiceDll指向自己的DLL后门"。换句话说,该后门修改现有的某一个服务,把其原有服务的DLL指向自己(也就是BITS.dll),这样就达到了自动加载的目的;其次,该后门没有自己的Loader,而是使用系统自带的Rundll32.exe来加载。我们还是用Windows 进程管理2.5来查看,从图7中,我们可以看到bits.dll已经插入到Svchost进程当中。
好,现在我们来看看具体的清除方法,由于该后门是修改现有服务,而我们并不知道具体是修改了哪个服务,所以,在注册表中搜索bits.dll,最后在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto下搜索到了bits.dll,查看Parameters子键下的ServiceDll,其键值为C:\WINNT\system32\bits.dll。原来,该后门把RasAuto服务原来的DLL文件替换为bits.dll了,这样来实现自动加载。知道了原因就好办了,现在我们把ServiceDll的键值修改为RasAuto服务原有的DLL文件,即%SystemRoot%\System32\rasauto.dll,退出,重启。之后删除WINNT\system32目录下的bits.dll即可。
3,NOIR--QUEEN
NOIR--QUEEN(守护者)是一个DLL后门&木马程序,服务端以DLL文件的形式插入到系统的Lsass.exe进程里,由于Lsass.exe是系统的关键进程,所以不能终止。在来介绍清除方法之前,我先介绍一下Lsass.exe进程:
这是一个本地的安全授权服务,并且它会为使用Winlogon服务的授权用户生成一个进程,如果授权是成功的,Lsass就会产生用户的进入令牌,令牌使用启动初始 的Shell。其他的由用户初始化的进程会继承这个令牌。
从上边的介绍我们就可以看出Lsass对系统的重要性,那具体怎么清除呢?请看下文。
后门在安装成功后,会在服务中添加一个名为QoSserver的服务,并把QoSserver.dll后门文件插入到Lsass进程当中,使其可以隐藏进程并自动启动。现在我们打开注册表,来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver,直接删除QoSserver键,然后重启。重启之后,我们在来到服务列表中,会看到QoSserver服务还在,但没有启动,类别是自动,我们把他修改为"已禁用";然后往上看,会发现一个服务名为AppCPI的服务,其可执行程序指向QoSserver.exe(原因后边我会说到)。我们再次打开注册表,来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppCPI,删除AppCPI键,重启,再删除QoSserver,最后删除WINNT\system32目录下的后门文件。
·防止黑客入侵:DLL后门完全清除方法(5)
本人和这个后门"搏斗"了3个多小时,重启N次。原因在于即使删除了QoSserver服务,后门还是在运行,而且服务列表中的QoSserver服务又"死灰复燃"。后来才知道原因:在我删除了QoSserver服务并重启之后,插入到Lsass进程当中的QoSserver.dll文件又恢复了QoSserver服务,并且生成了另外一个服务,即AppCPI,所以我们必须在到注册表中删除AppCPI服务才算是把该后门清除。由此可以看出,现在的后门的保护措施,真是一环扣环。
注意:在删除QoSserver服务并重启之后,恢复的QoSserver的启动类别要修改为"已禁用",否则即便删除了AppCPI服务,QoSserver服务又运行了。
三、DLL的防范
看了上边的例子,我想大家对清除DLL后门的方法有了一定的了解,但在现实中,DLL后门并不会使用默认的文件名,所以你也就不能肯定是否中了DLL后门。对于DLL后门,system32目录下是个好地方,大多数后门也是如此,所以这里要非常注意。下面我来具体介绍一下怎么发现DLL后门,希望对大家有所帮助。
1,安装好系统和所有的应用程序之后,备份system32目录下的EXE和DLL文件:打开CMD,来到WINNT\system32目录下,执行:dir *.exe>exe.txt & dir *.dll>dll.txt,这样,就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中;日后,如发现异常,可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt,其意思为使用FC命令比较两次的EXE文件和DLL文件,并将比较结果保存到exedll.txt文件中。通过这种方法,我们就可以发现多出来的EXE和DLL文件,并通过文件大小,创建时间来判断是否是DLL后门。
2,使用内存/模块工具来查看进程调用的DLL文件,比如Windows优化大师中的Windows 进程管理 2.5。这样,可以发现进程到底调用了什么DLL文件,在结合上边用FC命令比较出来的结果,又能进一步来确定是否中了DLL后门。如果没有优化大师,可以使用TaskList,这个小工具也可以显示进程调用的DLL文件,而且还有源代码,方便修改。
3,普通后门连接需要打开特定的端口,DLL后门也不例外,不管它怎么隐藏,连接的时候都需要打开端口。我们可以用netstat -an来查看所有TCP/UDP端口的连接,以发现非法连接。大家平时要对自己打开的端口心中有数,并对netstat -an中的state属性有所了解。当然,也可以使用Fport来显示端口对应的进程,这样,系统有什么不明的连接和端口,都可以尽收眼底。
4,定期检查系统自动加载的地方,比如:注册表,Winstart.bat,Autoexec.bat,win.ini,system.ini,wininit.ini,Autorun.inf,Config.sys等。其次是对服务进行管理,对系统默认的服务要有所了解,在发现有问题的服务时,可以使用Windows 2000 Server Resource Kit中的SC来删除。以上这些地方都可以用来加载DLL后门的Loader,如果我们把DLL后门Loader删除了,试问?DLL后门还怎么运行?!
通过使用上边的方法,我想大多数DLL后门都可以"现形",如果我们平时多做一些备份,那对查找DLL后门会启到事半功倍的效果。
