设为首页
收藏本站
开启辅助访问
切换到窄版
登录
立即注册
中问网首页
我的收藏
站长博客
搜索
搜索
本版
帖子
用户
第一问答网
»
论坛
›
中问网
›
问答
›
Backdoor(YAI)病毒怎么是新浪的IP啊?
返回列表
发新帖
Backdoor(YAI)病毒怎么是新浪的IP啊?
[复制链接]
11
|
0
|
2009-1-30 06:28:38
|
显示全部楼层
|
阅读模式
我的天网防火墙显示 一个病毒在应答本机的Backdoor (YAI)[1999]端口,它的IP地址是:60.215.128.252但这个IP应当是新浪的新闻网的IP啊!
后门木马的中毒现象木马后门一般有三种:第一种,收到游戏账号后同时发信到两个不同的地址。其中一个地址是你的,另一个地址就是后门了。第二种,收到游戏账号同时发信到两个地址,而且还做了一些过滤。这种就比较狠了,比如某款游戏做了72级大号过滤,那你收到的信不但同样会发到别人的收信地址,而且72级以上的号你一个也收不到。郁闷吧……第三种,只做过滤后门,比如做等级过滤。他的后门信只会收到XX级以上的号,别的号他不会收,也不会跟你抢信。当然,用马的人肯定就收不到大号了。这里第一种后门比较通用,收费木马和免费木马都惯用这种后门;而第二种和很三种后门则一般出现在免费的木马中,因为你测试木马时,很少直接用大号去测试,别人就抓住这个心理,做了个大号过滤。他拿一个号,顶你N个……木马的效果和体积很容易判断,难就难在很多朋友还不会找木马后门,这里说到了今天这篇贴子的主题,我教大家用最简单的方法来检测木马是否有后门。检测木马是否有后门的方法很多,这里容易掌握的方法有两种。第一种方法比较老大,就是生成小马后,脱壳反编译,在汇编代码里和十六进制编码里面找寻收信地址,除了自己设置的收信地址外的另一个收信地址就一定是后门了!汇编很难懂,也很难上手,我们就直接说从十六进制编码里面找后门吧。这里用到的工具有三个种类:1、
查壳工具(我常用的是PEiD它能够侦测出几乎所有的壳,操作简单)2、
脱壳工具(常用的脱壳工具有Unpack、UPX通用解压器、WinUpack通用脱壳机等等。)3、
反编译工具(我常用的是UltraEdit 操作简单)测试木马后门时,我们首先要查小马的壳,然后用相应的脱壳工具把壳脱掉,再用反编译工具对其进行反编译。查壳和脱壳就不多说了,工具都是傻瓜式的,上手就会!反编译时,我们选择十六进制编缉模式,然后查找四个关键词:“http” 、“.com” 、“.net” 、“.txt”查找http 和 .txt 的目的主要是为了找到空间收信后门和空间文档备份后门。 .com和.net是针对邮箱收信后门的查找,当然也可以把关键词设为 @163.com ,@126.com , @sohu.com 等等。查找这些关键词时,如果发现如:http://www.xxxx.com/muma/mail.asp?xxx= 这些之类的,连接,而又不是你的空间收信地址,那它很可能就是后门了。找到这个后门要利用的话,就要看你极别了,高难点的就是破解他的空间,直接去看信,这种技术含量高啊,不提。另一种方法就是用WEB扫描器扫了,因为空间看信方式的不同,我们可以扫三种文件之一, .txt
.asp
.mdb。推荐用臭要饭的WEB路径猜解。字典工具推荐用易优的超级字典生成器,这是我所见过生成字典最快的软件之一。如果他看信地址的文件名很简单,比如六个字符以内,那就很容易扫到,若别人看信地址的文件名是字母加数字十多位的话,那你只能自认倒霉了,就算扫描器能加载字典去扫,而你的硬盘又真装得下那么大个字典的话,也得扫个一年半载才有收获。比如你找到的后门收信地址是:http://www.xxxx.com/muma/mail.asp 那你扫描时,设定路径为http://www.xxxx.com/muma/ 然后扫文件名。若他后门看信地址是http://www.xxxx.com/muma/pass.asp这样简单的话,你就笑吧,可以轻易扫出来并慢慢看去。邮箱地址就不用说了,一眼就看出来,只要不是你的邮箱,那就一定是别人的邮箱了。如果别人后门发信邮箱和收信邮箱是同一个,那恭喜你,还可以在同一个地方找到他邮箱登陆密码,可以去他后门信箱看信了。空间备份文档一般格式为一个空间目录地址,如: http://www.xxxx.com/muma/然后在下一段或后面出现 xxxx.txt这样就是别人的后门备份了。这种后门文档备份,自己也可以利用,比如上面说的,查找到一个空间目录和一个txt文档是分开的,但只要你打入 http://www.xxxx.com/muma/xxxx.txt 就能看他后门备份了。如果txt文档太大,浏览器无法打开,那就用迅雷下载来慢慢看吧。现在不少做马放后门的人都精了,他们对后门收信相关的语句和字段都进行了加密处理,这样用先前直接破解的方法就很难找出他们的后门来。这时我们要用到第二个万能的方法了——抓包!
这里提到的抓包是指抓取本地计算机和网络通讯时的数据封包,抓包很容易,难就难在分析。你必需要从庞大的数据包中分析哪一段是木马发出到别人后门收信地址的。抓包找后门,也有很多人会,但大多数却找不到原本存在的后门,为什么呢?这原因有两个,一个是抓包的方法错了,他可能是指字对木马进程进行抓包,这样抓包有可能抓到后门也有可能抓不到,因为这个进程有可能是假的,也有可能是写马人的障眼法。所以要真正全面的检测后门,必需抓取通过本地机发出的所有数据包进行分析。这样若木马有后门的话,绝对无所遁形。抓包找不到存在后门的第二个原因是发信延时,这也是让很多自以为查找后门很有一套,发现没有后门后大胆用马,却仍然中招的关键。遇到这种情况,就不是你技术上的原因了,而是写后门马的人给你玩了一招心理战。那就是发信延时。正常信发了数分钟,甚至十多分钟后才发后门信,这是很多人都想不到的。一般人抓包都是进游戏后两三分钟,然后退出来取包分析。这样后门根本就没有发信,你又怎么能抓到包呢?言归正传,我直接说一下抓包方法,用到的工具,除木马外就只需一个数据包监听软件,监听本地数据包的软有很多,我常使用的是 ipTicker 这款工具。抓包之前,你最好先进游戏,把游戏里的角色跑到一个隐蔽点的地方,比如一个少有人去的屋子里,然后关闭各种聊天功能,和一切可能吸收到外部数据的功能。这样做的目的是把数据流量减到最低,便于分析包。然后退出游戏,关了如QQ、IE 之类可能与外部通讯的软件,然后运行木马,运行IP数据包监听程序,进入游戏,进入游戏画吧后不要动,完全不要动,这样避免不必要的数据包产生。过个二十分钟甚至半个小时后再退出游戏,关掉IP数据包监听程序,并将监听到的数据包导出进行分析。。(最好用个大号,这样才能判断别人是不是只过滤大号发信)分析数据包时,查找80端口 发出到网络地址的字段,找寻有没有别人的后门收信地址,还有查找有没发出邮件到某个邮箱的包。只要你抓包和分析没有遗漏,那便可以肯定的判断出这个木马是否有后门了。最近测试了许多木马,有些是朋友测试的收费马,有些是从网上找来的免费生成器,发现木马被发后门的情况还真是严重,特别是网站上发布的那些所谓免费生成器,惨不忍睹啊!离谱的是包括华夏在内的一些大型的黑客网站,上面发布出来的生成器,居然也是同样有后门,而且还是比较狠的那种,真不知道这些木马是怎么通过审核的。这话说出来可就有些得罪人了……最近找了许多后门地址,本来打算要公布的,想想还是算了,得罪的人太多了可不好!昨天在华夏的FTP空间里闲逛,这里面放着别人已经发布过,或是等着通过审核让发布的一些教程和软件,我在里面找了几个木马生成器来测试,发现其中有一个江湖生成器不错,我指的不错是说他没有后门,抓了四十分钟的包也没有后门发信。这事就有点怪了,这款江湖的生成器应该是无所门的,最少以我的功力是找不出后门。但华夏让一款垃圾江湖马发布,却把这款生成器给扔在了一边。不得其解啊……那款找不到后门的江湖生成器被我下载了回来放到了自己的空间里,大家可以去下载来试试,哪位高手要是能破解出后门,还望指教一下。木马查壳工具下载地址:
http://www.wj53.com/tool/pe.rar几种脱壳工具包下载地址: http://www.wj53.com/tool/tk.rar反编译工具下载地址:
http://www.wj53.com/tool/by.rar抓包工具下载地址:
http://www.wj53.com/tool/ip.rarWEB扫描器和字典下载地址: http://www.wj53.com/tool/sm.rar“引用”
提问者对答案的评价:
对方用了代理``````````
建议下载安装最强木马专杀软件ewido,下载地址:http://www.sdday.com/Software/Catalog27/76.html下载后先注册升级到最新版 ,然后到安全模式下杀毒一定解决问题,注册码和升级方法在下载页面有说明。
回复
使用道具
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
千问
主题
0
回帖
4882万
积分
论坛元老
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
积分
48824836
加好友
发消息
回复楼主
返回列表
问答
热门排行
1
有多少人会后悔
2
保险赔款能直接打给4S店或修理店吗?
3
安徽有人能组织起来像山东的价格吗?
4
探享版全款优惠3万1,这价格怎么样?
5
马三两厢版问题多吗
6
四方融资华晨宝马二厂几成定局或牵动人事变动
7
没人近来解答问题??????????
8
19款1.4T活力款胎压监测问题
9
请教各位DX买什么车型
10
17改款卡罗拉加全合成机油哪款好
11
发动机的故障灯亮了一般是哪里的问题?
12
座套安装方法
13
上海国庆这个价格怎么样,四驱落地35
14
奥迪A6 2.8CVT“加油不走”故障的简单解决
15
新虎八明天首保~用什么牌子的机油好?
16
定了卡卡1.8,北京的朋友看看贵吗
17
请问大家哪有放智能钥匙的皮套卖?
18
电瓶亏电?
19
2.0MT是不是只有黄色的?
20
自由舰油耗问题!!!
21
关于自适应远光灯问题。
22
福美来F5标配的是几个气囊?
23
买车降价退费问题
24
请教******
25
请教各位大侠:EPC问题。
26
新款油耗怎么样?
27
16款智跑DLX加什么型号汽油
28
请教几个问题,谢谢
29
请问18汉兰达无磨合期吗?
30
哪位高人把M2的7种颜色的图片都贴出来让大家欣赏一下~~~
31
新款ALS,最新的价钱有变化吗?又降价的机会吗?
32
10款C5中控屏蓝牙只能连接电话吗?
33
近几日明锐车门渗水成了主题了,难道说没有别的问题
34
用什么牌子的机油比比较好?
35
DS5LS MRN导航问题
36
卡卡的漆膜真的哪么薄啊?!
37
补胎的时候把我的轮毂刮花了可以要求赔偿吗?
38
上海2.0MT裸车价多少?
39
19款别克威朗打开后备箱的方法只有钥匙,车内没有按钮吗?
40
最新求助卡带坏了
41
请问后排隐私玻璃和后挡风玻璃需要贴膜吗?
42
关于火花塞问题,想要问问各位
43
请教:首保到底是7500公里还是9000公里啊?
44
远景天窗使用情况如何?
45
问一下,新雷凌日间日间行车灯的问题
46
防冻液少了能否用水补充,我来给大家支招!!!!!!!
47
我的转速表有时动有时不动请问那位大哥知道是什么原因
48
如何消除车厢里的“吱嘎”噪声
49
名图三保问题
50
求问西安近期价格如何?
51
锋范方向盘发热怎么回事
52
油价又要攀升???????
53
19款的领动大灯怎么改?灯泡是什么型号的?想换个LED的。
54
问个改轮毂问题
55
H2抖动解决。。。
56
紧急求助----高手请进,帮帮忙!
57
新车油耗、一档起步肉、关于棒球锁的安全问题
58
新宝来用什么牌子的机油好?
59
小白求教,求大神推荐雷达,影像,行车记录仪牌子!
60
方向盘中间偏上有点发热怎么回事
61
问问保险多少钱一年
62
小波空挡滑行到底省不省油啊?!!
63
提丝锻银的人多不?反正我提的丝锻银!
64
内循环和外循环有啥区别?
65
自动变速箱油多少公里更换?
66
北京万吉祥的客户有多少去更换油管了?
67
不看转速按照速度换挡有问题吗?
68
3.2和2.0卖哪个比较好呢~
69
深圳530Li领先运动的价格?
70
请问你们宝马X5这个车汽油滤芯用的是什么型号???
71
各位豹友同志们请进?????
72
你的奔奔还在漏雨吗?(运动版,五副条新车,08款
73
智跑收音机怎么关闭?急
74
有没有去深圳车展的咯?
75
太原的乐乐多少钱啊?
76
19款雷凌后座怎么拆啊,在线等。打算装座套。
77
刚买的35蓝鲸锁车后!后备箱门怎么锁不起
78
宝沃BX6请问你们这个车机油滤芯用的是什么型号???
79
请教:MT2.0手豪车族 噪音如何?
80
车辆玻璃膜去哪里里换比比较好?去4S还是去洗车店?
81
这个纯电续航里程是多少?
82
什么时候A1也能改成这样
83
16年的408,空调压缩机多少钱
84
天窗有必要贴膜吗?
85
历历受了划伤????????????
86
“中国红”金刚第一次作业附新车问题!
87
风骏5拉2000斤水果下高速免不免费?
88
如何去除粘胶
89
请问宝马X3轮胎一般多久换一次?
90
1.6自动舒适三保的问题
91
晕那,有没有保定的车友会啊?FKS
92
08款骏捷北京用车多少可以提车
93
今天定的帕萨特330豪华价格如何?
94
发现三厢马2一个有趣的地方
95
300 动感427800无任何强加,这个价格怎么样。
96
快第2次保养了,该注意啥?附上几张TT近照!
97
各位车友,我新入530领先,请指教临时停车和启停问题
98
请教一个Q6的问题!
99
Es200后轮避震问题
100
人生的第一次决定购买卡卡了??