第一招：使用Sniffer抓包　　在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。　

      第二招：使用arp -a命令　任意选两台不能上网的主机，在DOS命令窗口下运行arp -a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。　　

      第三招：使用tracert命令　　在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert 61.135.179.148。　假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。

黑客基地  逐渐变黑

在网络安全平民化的今天，病毒的使用已经不再是一个什么新鲜的话题。 而随着病毒的不断增多和变种。杀毒软件的病毒搜索引擎。也不断的更新换代。从最开始的判断PE。文件大小。到现在的特征码查杀。主动防御。等等。可谓是层出不穷，但上有政策，下必然有新的对策。杀毒软件更新，病毒免杀技术也随之接受新的挑战。今天。我们就从杀毒软件的几种杀毒模式中，给大家讲解木马免杀技术。

特征码查杀+虚拟机脱壳技术

特征码查杀技术仍然是现在多数杀毒软件所采用的。主流的杀毒技术。这种技术的主要原理是。通过大量的病毒采集，不断的更新病毒库，在病毒文件中提取一句或者多句代码。这样无疑是最准确的。不会出现病毒的错误报告。导致系统出问题。但随着各种加密壳以及压缩壳的开发出来。很多木马加壳以后就无法被杀毒软件调试，所以就出现了。找不到正确的代码。来判断不出是否是病毒文件。虚拟机脱壳技术就诞生了。最开始。杀毒软件采用硬脱壳的技术来实现对文件进行脱壳调试，加入很多以知壳的类别，但由于收集类别有限，很多壳无法脱壳调试。所以就有了现在的虚拟机脱壳技术，因为病毒不论加载什么壳。最终还是需要在电脑里面去脱壳执行，虚拟机脱壳技术是让病毒在杀毒软件特殊构造的一个虚拟环境中运行后，对其进行查杀，这样大大提高了脱壳调试效率。提高了工作水平，但不能不说的是，特征码杀毒。必须建立在有病毒样本以后。杀毒软件更新了病毒库后。才能对新的病毒进行杀毒。这也就出现了。一个很大的隐患，一旦出现传播技术很广的未知病毒。用户还是不能及时杀毒。但很多情况下。这种不及时是毁灭性的。这种比病毒慢一拍的杀毒方式。逐渐已经显出不足的地方。提高病毒库收集样本。提高病毒文件采集，将是一个非常巨大的工程。在这种情况下。杀毒软件厂商纷纷开发出自己的新型辅助反病毒技术。主动防御体系。

主动防御技术

我们通过瑞星官方为瑞星做的广告。来了解下。他们所讲的主动防御是什么概念
主动防御是一种阻止恶意程序执行的技术。它比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点，可以在病毒发作时进行主动而有效的全面防范，从技术层面上有效应对未知病毒的肆虐。
    瑞星杀毒软件2008中采用的主动防御技术包含三个层次，资源访问规则控制；资源访问扫描；程序活动行为分析引擎，其中尤其以行为分析引擎技术最为关键。



    第一层：资源访问控制层（即HIPS）
    它通过对系统资源（注册表、文件、特定系统API的调用、进程启动）等进行规则化控制，阻止病毒、木马等恶意程序对这些资源的使用，从而达到抵御未知病毒、木马攻击的目的。
    第二层：资源访问扫描层（即传统的文件监控、邮件监控等）
    通过监控对一些资源，如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内容（文件内存、引导区内容等）进行威胁扫描识别的方式，来处理已经经过分析的恶意代码。
    第三层：进程活动行为判定层（危险行为判定、DNA识别）
    进程活动行为判定层自动收集从前两层传上来的进程动作及特征信息，并对其进行加工判断。瑞星专家经过对数十万病毒的危险行为进行分析，提炼，设计出全新的主动防御智能恶意行为判定引擎。无需用户参与，该层可以自动识别出具有有害动作的未知病毒、木马、后门等恶意程序。
    目前，市面上的一些主动防御软件只做了三层结构中的部分功能，瑞星认为，只有全面实现三个层级的主动防御，才是真正意义上的“主动防御功能”，如果用户使用不完全的主动防御，将给自己带来严重的安全风险。
我们通过上面的讲解。可以看出来。主动防御确实在弥补特征码杀毒方面。有了一定的进步，但我们不能只相信广告的片面之词。难道有了主动防御。就真的安全了么？答案是否定的。有关主动防御的研究。不在于本教程的探讨之内。大家有兴趣。可以去网上搜索相关的文章了解破解方法。我在这里仅仅给大家举几个简单的例子来证明。当前的主动防御。是不健全的主动防御。远远没有广告中的那么效果夸张。
我们都知道
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
是注册表启动项目里最敏感的部分，在这里建立新的字符串值是可以影响系统的启动进程的。我们现在尝试在这里面建立一个新的启动项目看看。。瑞星的主动防御报警了。但注册表的启动项目有很多。它真的都能监视的过来么？我们用xyzreg的工具来测试下瑞星在其他位置的检测是否和这里一样到位 。

我们可以得出。主动防御也有防御不到的地方。并不是所有的规则都已经设置的完美。而且主动防御有一个最关键的弱点。就是如果病毒强行结束了杀毒软件。那么主动防御将成为一纸空谈。没有任何防御可言。病毒依然可以肆虐传播。

也许你会认为。连icesword都结束不了瑞星的进程。难道其他工具可以做到吗？我现在这里的这个小工具。他采用了一些驱动级的技术。可以轻易的结束任何杀毒软件的进程。不论是否开启杀毒软件本身的自我保护。

通过上面分析。大家不难看出。不论是特征码扫描。还是主动防御。虽然已经显示出他们的优越性，但随之而来的是木马技术的新挑战。在这个矛与盾的世界中。寻求一种更好的杀毒方式将成为今后发展的必然趋势。


启发式扫描技术

关于启发式扫描技术。恐怕很多朋友还很陌生。启发扫描技术。说简单点。又可以叫做是人工智能技术。他的原理是。通过对病毒的行为来进行判断。比如。这个文件是否对启动项目进行修改。是否隐藏自己进程。是否有控制硬盘和其他控制功能。等等。当很多条件具备的时候。判断它为病毒。这不仅仅是杀毒技术的飞跃。更是开发技术的挑战。因为人工智能在一款工具里。将是一个很恐怖的过程。试想。电脑虽然已经发展到今天了。但真正实现人工智能还早的很。让杀毒软件根据人工智能去杀毒。虽然看上去遥不可及。但在国外的杀毒引擎中。已经逐渐的被开发出来。比较著名的就是 Nod32 以及小红帽。卡巴7.0以后的版本中。也有了新的启发式扫描的技术。（但还不成熟）

由于启发扫描的判断规则较多。对行为判断较复杂。不可能像特征码查杀那样准确无误。所以会出现一些误杀现象。加之杀毒软件的商业化。一个误杀，将会被其他媒体大肆炒作。往往是用户和专家都不了解内幕。只有公司才知道自己的赚钱目的。
这样仅仅依靠启发扫描的 Nod32 和其他杀毒软件所占有的市场并不是很高。但这种人工智能的杀毒技术。必然会通过时代的不断进步。被大家所采用。因为拥有了人工只能扫描以后。用户将不必每天都更新杀毒引擎。只要固定的更新一些新的智能判断规则。将可抵御大部分的病毒来袭。

后门原理：小章 blog http://blog.csdn.net/scz123/archive/2007/03/14/1528695.aspx

其实没那么麻烦。

我们用WinRAR 自解压。直接替换文件就可以了

在自解压高级选项中，解压后运行输入 %SystemRoot%\explorer.exe



模式，选择全部全部隐藏，跳过已经存在的文件



这个个密码就可以。在把这个文件命名为sethc.exe

替换
c:\windows\system32\sethc.exe
c:\windows\system32\dllcache\sethc.exe

以后登入3389。按五次shift，输入密码就以system用户进入桌面了，在增加管理员帐号

解决方法

在控制面板-辅助功能选项-粘贴键设置

取消 shift 键按五次



方法以公布，就不好用了

重大病毒预警：

磁碟机病毒又名dummycom病毒，是近一个月来传播最迅速，变种最快，破坏力最强的病毒。据360安全中心统计每日感染磁碟机病毒人数已逾100,1000用户！

立即下载360磁碟机病毒专杀工具: 下载

感染该病毒后主要有如下症状：

1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象；

2、进程中出现两个lsass.exe和两个smss.exe，且病毒进程的用户名是当前登陆用户名；

3、杀毒软件被破坏，多种安全软件无法打开，安全站点无法访问；

4、系统时间被篡改，无法进入安全模式，隐藏文件无法显示；

5、病毒感染.exe文件导致其图标发生变化；

6、会对局域网发起ARP攻击，并篡改下载链接为病毒链接；

7、弹出钓鱼网站

磁碟机病毒的主要传播渠道是：

1、U盘/移动硬盘/数码存储卡

2、局域网ARP攻击

3、感染文件

4、恶意网站下载

5、其它木马下载器下载

如何免疫磁碟机病毒：

【免疫方法】：

1、使用360安全卫士“清理恶评插件”功能先进行检测，在弹出的免疫提示框中选择确定

2、下载360磁碟机病毒专杀工具，选择“开启免疫”

【免疫原理】：

1、通过host表屏蔽磁碟机病毒升级及下载站点

2、通过免疫文件保护防止磁碟机病毒文件创建

作者:冰的原点[L.S.T]

说明下:现在看来,这篇文章很没有意思,不过当时的我的思路没有现在开阔,所以拿出来看看!见笑了!我是菜鸟咯!


某日下课后，无聊，不想做作业。打开电脑，上Q，打开酷狗，哎，先听下歌解解闷。小风同学不是在么？和他先扯几句说先，哎，还是无聊，他丢了个站点过来，说“干掉它”。哎，反正没事干，就看下啦。
一：初探碰壁。
打开一看，我傻了，原来是传奇的站呀，大家看图1.还好，不是我想像中的静态的页面，找啊找，找到了这样的一个连接http://www.xxx.com/newlist.asp?id=66(真实地址已隐去！),呵呵，在后面加个单引号试试，哇，暴错了，如图2。这还不好办么，我很懒，这体力活还是交给工具跑吧。于是打开啊D，汗，跑了半天都找不到表段，哎。此路不通。不过，话说回来，这么容易搞，小风同学怎么会丢来呢？呵呵。。。。。
二：再探又受阻。
还是先在站上转转，随便打开一个图片的连接，看是不是EWEBEDITOR之类的，找了半天也没有找到。汗，我不行，就用GOOGLE试试，于是在GOOGLE里输入site:xxx.com inurl:../uploadfile/这个命令大家熟悉吧(不熟悉的可真要努力哦！)。汗，GOOGLE竟然也无能为力。如图3.不甘心，用工具试下上传呀，暴库呀，一个都没有成功。难道要用旁注么。哎，看看时间，还早，于是，操起明小子，对它进行狂注。哇，这么多站点，你死定了！如图4.又是体力活，哎，真麻烦呀！没办法，一个一个的来。等我把所有简单的上传啊，数据库啊都试完了以后，得到一个结论：这是个虚拟机，而且好多域名都过期了。也就是说我这趟功夫也白费了。P个图给大家看。图5,基本上每个连接不是这样，就是找不到网页。感叹中......
三：三探现杀机。
不能干这样的体力活呀。不知道怎么回事。想到了一个工具wwwscan扫它的WEB试试。操起工具，说干就干。呵呵，这回收获不少。如图6.发现了edit这个目录.试着在网站后面加上edit，回车，哇，竟然有遍历目录的漏洞。如图7.于是又在网站后面试着加些images,upfiles等目录，看能不能找点有用的.可是事与愿违呀！全是些没用的东西。看时间，不早了，吃饭去。
四：完成任务。
小风同学也忍不住了（当我把图7发给他时）。一个劲的找我要后台。哎，后台，又是后台。怎么找它呢？边吃饭边看着我的迅雷下着东西，咦，这里不是有个迅雷么。我们鼠标右键不是有个“用迅雷下载全部连接”的功能么？恩，放下饭碗，右键，用迅雷下载全部连接，弹出个对话框，如图8.这里大家要注意了，不同的页面，迅雷下载的连接就不同，写文章的时候，我点到“网站首页”这个版面去了，结果老是找不到开始要的效果。当我点到“装备购买”这个版块时，才出现我要的效果。从连接中很容易看出存在sxadmin这个目录，马上在网站后面加上这个目录，回车，如图9.呵呵，关键信息全暴出来了。然后很轻易的从得到的信息中再在sxadmin后加上login.asp，后台就这样摆在我面前了。还要我密码？哎，先试试'or'='or'吧，暴汗，就这样让我进去了。如图10.于是，把后台路径丢了过去，终于完成了任务。

这个网站在隐藏性方面做的还不错，存在注入，却在表段上下了功夫。只是太过于自信了，以为GOOGLE找不到的就一定很安全，大家都看到了，迅雷一下子就将它的防线突破了。后台我看了下，虽然有EWEBEDITOR，但是管理员把些危险的页面都删了，我搞了半天都没拿到SHELL。因为是帮小风同学，我也没有继续下去，觉得找后台的过程很有偶然性，倒是这个过程让我感觉很踏实，很有感觉。如有什么不对的地方，欢迎大家到论坛上来和我交流，我的ID是冰的原点。（ps:，我的饭还没吃完..........）