《2021年机器狗防御方案WEB安全电脑资料》由会员分享,可在线阅读,更多相关《2021年机器狗防御方案WEB安全电脑资料(12页珍藏版)》请在金锄头文库上搜索。
1、机器狗防御方案WEB安全电脑资料 好几天前就想发一篇关于机器狗防御办法的帖子,但是因为素材都有了 , 不过因为我语文不好,文章标题有点模糊,所以可能有些朋友注意不到。哎。以实为实就是得不到观众的喜爱,没办法。于是今天再性的说一下机器狗防御办法 中心思想,断绝机器狗的。 机器狗是从哪感染到机器上的呢? 说白了一点,是从网页感染的多,下载感染的少,也就是说把网页自动下载的漏洞给搞定,也就没什么大问题了为什么说火狐浏览器安全?因为他可以杜绝大部分网马的下载。因为我记得我看过关于火狐浏览器的防马办法。印象最深的就是对IE管用的ifram框架挂马方式,在火狐浏览器下无效。恰恰在那个时候MS06-014漏
2、洞很火爆。所以有了火狐浏览器不中网马的说法 但是如今不一样了 。随着网民的安全认识提高。大家都知道打补丁了。病毒不限于只用MS的漏洞来传播病毒了 他们对第三方软件开始感兴趣,发觉他们的漏洞。 什么是第三方软件?我自己的理解哈,不一定正确,所谓第三方软件,就是使用微软原版系统装好后,你又往上安装的软件,都可以叫做第三方软件吧,我是这么理解了 。 比如播放器。聊天软件,游戏。等等,都可以叫做第三方软件。那么以前病毒利用微软漏洞,我们给系统打微软的补丁,如今第三方软件有漏洞了。我们顺其自然的就该去搞第三方软件漏洞的屏蔽。可是个人用户好办。因为就一台机器,怎么搞都容易,可是网吧不同。机器多。通常是一个
3、人搞定几百,甚至几千台机器,埃台机器打第三方软件漏洞补丁,不死人才怪。所以,今天我就针对目前网马利用比较频繁的第三方软件漏洞来说以说,最简单的防御办法! 1、最好用,最灵光的Real Player播放器溢出漏洞。 很多人都在用Real Player播放器,版本比较普及的就是10.5和10.6吧,新出的11用的人应该不多,我不用是因为界面看上去实在是很恶心。不习惯,于是一直用10.5,包括我的CLXP里装的也都是10.5版本。 可是这个版本是存在溢出漏洞的。网马可以使用它的漏洞来下载病毒,木马程序。当然也可以下载机器狗。 尽管REAL官方提供补丁了 。但是我测试的是不灵光。访问网马页面,REAL
4、一样弹。 那么最有效的办法是什么?哈哈。墨迹了半天,该出真货了。 有开机通道的朋友有福了,防real player10.x版本的溢出漏洞方法: 程序代码 taskkill /f /im realsched.exe ren C:Program FilesRealRealPlayerrppluginsierpplug.dll ierpplug.dlxxx 哈哈,一样代码就搞定,原理就是把存在溢出漏洞的文件给改名,同时不影响real使用。 详细的发现过程,请参见: 引用内容 realplay溢出漏洞绝对有效的解决办法 - 死性不改s Blog .clxp./article.asp?id=609 2、
5、经久不衰的MS06-014漏洞。 有人打过微软补丁的就没事了。不过有人不一定打补丁,比如我。那怎么办呢? 当然有办法了,要是没办法早去打微软补丁了。 利用开机通道。把下面批处理代码加到开机脚本中。此功劳要归功于LZ-MyST,MS06-014利用最疯狂的死后,似乎是用来传播ARP病毒的时候。用了这个办法。ARP才得以制止。 程序代码 regsvr32 /u /s C:Program FilesCommon FilesSystemmsadcmsadco.dll ren C:Program FilesCommon FilesSystemmsadcmsadco.dll msadco.dlxxx 原理
6、就是解除MS06-014漏洞存在文件的系统。然后将其改名。经过N人N台机器的测试,没有影响系统正常使用。同时能搞定MS06-014漏洞。 详细的发现过程,请参见 引用内容 关于IE自动下载漏洞 - 死性不改s Blog .clxp./article.asp?id=3 对于其他一些流行漏洞,比如暴风2.他的漏洞组件是mps.dll文件。因为我不用暴风2,不知道重命名mps.dll文件是否可行,建议大家测试。 百度搜霸ActiveX控件远程代码执行漏洞,似乎网吧很少装这些垃圾插件。忽略不计。如果装了。临时解决办法。把下面代码框内容保存为表。导入。原理就是进制ActiveX。记得3721流行时,很多
7、人都是用这个办法进制他网页自动下载安装的。 程序代码 Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREMicrosoftInter ExplorerActiveX CompatibilityA7F05EE4-0426-454F-8013-C41E3596E9E9 Compatibility Flags=dword:00000400 PPStream 堆栈溢出漏洞,反正俺网吧没装这个,同时禁止下载, 如果你的网吧安装了。怎么办呢? 把下面代码框内容保存为表。导入。原理就是进制ActiveX。记得3721流行时,很多人都
8、是用这个办法进制他网页自动下载安装的。 程序代码 Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREMicrosoftInter ExplorerActiveX Compatibility5EC7C511-CD0F-42E6-830C-1BD9882F3458 Compatibility Flags=dword:00000400 迅雷ActiveX控件DownURL2方式远程缓冲区溢出漏洞,靠靠的,我都进制下载了。迅雷和我网吧就更无缘了。 如果你的网吧装了。咋办?同上。 把下面代码框内容保存为表。导入。原理就是进制Ac
9、tiveX。记得3721流行时,很多人都是用这个办法进制他网页自动下载安装的。 程序代码 Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREMicrosoftInter ExplorerActiveX CompatibilityEEDD6FF9-13DE-496B-9A1C-D78B3215E266 Compatibility Flags=dword:00000400 联众也有漏洞哈。我网吧装了。从做系统太累,也用上面的方法搞一下吧。 把下面代码框内容保存为表。导入。原理就是进制ActiveX。记得3721流行时,很多
10、人都是用这个办法进制他网页自动下载安装的。 程序代码 Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREMicrosoftInter ExplorerActiveX CompatibilityAE93C5DF-A990-11D1-AEBD-5254ABDD2B69 Compatibility Flags=dword:00000400 超星阅读器,用都没用过的。如果你安装了。用上面的方法禁止。 把下面代码框内容保存为表。导入。原理就是进制ActiveX。记得3721流行时,很多人都是用这个办法进制他网页自动下载安装的。
11、程序代码 Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREMicrosoftInter ExplorerActiveX Compatibility7F5E27CE-4A5C-11D3-9232-0000B48A05B2 Compatibility Flags=dword:00000400 迅雷看看 把下面代码框内容保存为表。导入。原理就是进制ActiveX。 程序代码 Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREMicrosoftInt
12、er ExplorerActiveX CompatibilityF3E70CEA-956E-49CC-B444-73AFE593AD7F Compatibility Flags=dword:00000400 Qvod漏洞 把下面代码框内容保存为表。导入。原理就是进制ActiveX。 程序代码 Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREMicrosoftInter ExplorerActiveX CompatibilityF3D0D36F-23F8-4682-A195-74C92B03D4AF Compatibility Flags=dword:00000400 红色的部分叫做CLSID。具体作用请百度。漏洞软件的CLSID收集请见。 引用内容 xx流行漏洞的对应插件CLSID及其介绍 - 死性不改s Blog .clxp./article.asp?id=728 漏洞详情,请参见。原文是NEEAO写的。我只是转了一下。 程序代码 xx年度网马漏洞不完全总结 - 死性不改s Blog .clxp./article.asp?id=690 行了。墨墨迹迹说了半天,也不知道大家能看懂不,看不懂我也没辙了.文学功底有限.说的不对的地方大家尽管批评,老楚认真接受。努力改正! 模板,内容仅供参考
