网站暗藏木马能奈之我何|口- 技术交流 - 若水UEBBS.COM社区—〖石家庄经济学院论坛〗

ヾ1.嗰rёn

级别: 终身会员

发帖: 3743

铜板: 8

人品值: 493

贡献值: 9

交易币: 0

好评度: 3746

信誉值: 0

金币: 0

所在楼道

只看楼主更多操作楼层直达

0 发表于: 2006-09-17

实现在很多人说到挂马，还是比较担心自己的安全，毕竟现在太多的牛人来打造免杀木马，但是我却不把这些木马放在眼里，为什么？听我细细道来，一个木马下载到本地，运行并且关联到注册表中，前提还是一个权限问题，其实很多木马本身就不具备权限这个概念，完全是依赖你系统用户的权限来运行，调用木马的用户具备什么权限那么木马本身就具备什么权限，这个道理我想大家都明白吧。
这里牵扯到一个权限依赖的问题，举个简单的例子，一个恶意网页，用一个具有管理员权限的用户去访问马上就中，但是用一个游客用户去访问却什么事都没有，这就是所谓的权限依赖问题。

大家现在应该清楚我不怕网站挂马的原因了吧，就是利用权限来防御，我在这里建议大家上网时最好不要用具有管理员权限的用户，但是你硬要使用也可以，但是你要设置一番，设置两个具有管理员权限的用户，一个用来安装程序，一个用来上网，安装程序的那个用户不用设置什么权限，但是上网的这个用户却要好好设置一番了，Windows目录（只是windows本身的目录不包括子目录）及system和system32目录设置上网的那个用户只具备读取权限，这个用意我想大家都清楚吧，然后是注册表的权限，设置注册表权限也是一个重点，

注意：2000的注册表权限设置和XP/2003不一样。另外还有一些键值。

HKEY_CLASSES_ROOT\exefile\shell\open\command

HKEY_CLASSES_ROOT\txtfile\shell\open\command

HKEY_CLASSES_ROOT\inffile\shell\open\command

HKEY_CLASSES_ROOT\inifile\shell\open\command

以上4个键值是一些常用文件的关联。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL

这个键值是关于系统隐藏属性的。

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

这两个键值是系统默认主页的。

HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel

这个键值是关于使更改默认主页按钮为灰色不可用的。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

以上键值是关于自启动文件的。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

这个键值是关于系统服务的。以上这些键值在你对系统设置好以后再去取消用户的完全控制权限，只给予用户读取权限这只是一部分，比较常见的，当然不是全部。如果大家还有什么其他的见解请请一起来讨论下吧。

其实不知道大家注意到没有，对于一些顽固的文件也可以用权限限制来进行删除，比如在正常模式及安全模式下都无法删除的文件，但是在这些文件在DOS下却很容易就删除了，原理很简单，那就是系统在启动时是用户本身或系统去调用那个文件导致删除不成功，但是我们不允许任何用户去访问这个文件呢，先把这个文件的全部访问用户都删除，然后重起后再给予这个文件用户的完全控制权限来进行删除，有的文件在注销后就可以删除了，但是我在这里还是建议大家重起后再进行删除。