作者：碧雪   来源：第八军团       既然要打造完美的ＩＥ网页木马，首先就必须给我们的完美制定一个标准，我个人认为一个完美的ＩＥ网页木马至少应具备下列四项特征：  　　一：可以躲过杀毒软件的追杀；  　　二：可以避开网络防火墙的报警；  　　三：能够适用于多数的ＷＩＮＤＯＷＳ操作系统（主要包括ＷＩＮ９８、ＷＩＮＭＥ、ＷＩＮ２０００、ＷＩＮＸＰ、ＷＩＮ２００３）中的多数ＩＥ版本（主要包括ＩＥ５．０、ＩＥ５．５、ＩＥ６．０），最好能打...

       木马对文件关联的利用 　　我们知道，在注册表HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersionRun下可以加载程序，使之开机时自动运行，类似“Run”这样的子键在注册表中还有几处，均以“Run”开头，如RunOnce、RunServices等。除了这种方法，还有一种修改注册表的方法也可以使程序自启动。　　具体说来，就是更改文件的打开方式，这样就可以使程序跟随您打开的那种文件类型一起启动。举例来...

<%  Function GetPage(url)  dim Retrieval  Set Retrieval = createObject("Microsoft.XMLHTTP")  With Retrieval  .Open "Get", url, False ’, "", "" ...

何谓BMP网页木马?它和过去早就用臭了的MIME头漏洞的木马不同,MIME木马是把一个EXE文件用MIME编码为一个EML(OUT LOOK信件)文件,放到网页上利用IE和OE的编码漏洞实现自动下载和执行.   然而BMP木马就不同,它把一个EXE文件伪装成一个BMP图片文件,欺骗IE自动下载,再利用网页中的JAVAscript脚本查找客户端的Internet临时文件夹,找到下载后的BMP文件,把它拷贝到TEMP目录.再编写一个脚本把找到的BMP文件用DEBUG还原成EXE,并把它放到注册表启动项中,在下一次开机时执行.但是这种技术只能在9X下发挥作用,...

原发黑客x档案第8期,版权归杂志所有.利用InternetExplorerObjectData漏洞制做全新网页木马lcx今年8月20日,微软公布了一个最高严重等级的重要漏洞--InternetExplorerObject数据远程执行漏洞。这对于网页木马爱好者来说可是一件好事，我们可以用这个漏洞来制做一款全新的暂时不会被查杀的木马了。在介绍如何制做这个全新网页木马前我先给大家简单介绍一下该漏洞。一、漏洞描述该漏洞内由eEyeDigitalSecurity发现并于8月20号公布的，微软同一天也发布了相应的公告。在eEye的网站公布页面：http://www.eeye.com/html/Resear...

相信经常玩木马的朋友们都会知道一些木马的特性，也会有自己最喜爱的木马，不过，很多朋友依然不知道近年兴起的“DLL木马”为何物。什么是“DLL木马”呢?它与一般的木马有什么不同? 　　一、从DLL技术说起　　要了解DLL木马，就必须知道这个“DLL”是什么意思，所以，让我们追溯到几年前，DOS系统大行其道的日子里。在那时候，写程序是一件繁琐的事情，因为每个程序的代码都是独立的，有时候为了实现一个功能，就要为此写很多代码，后来随着编程技术发展，程序员们把很多常用的代码集合(通用代码)放进一个独立的文件里，并把这个文件称为“库”(Library)，在写程序的时候，把这个库文件加入编译器，就...

NameLessBackDoor是一款新兴的DLL型木马，这个木马出世没多久，但绝对是一匹极有潜质的千里驹。说起NameLessBackDoor的前身来，不得不提及榕哥的BITS和WinEggDrop的PortLess。这两款大名鼎鼎的木马曾经都风光一时，可以说是木马界的元老了。而NameLessBackDoor则是汇集了上面这两款木马的优点，在目标机器的进程管理器中看不到，平时没有端口，提供正向连接和反向连接两种功能。同时NameLessBackDoor又去除了各处的缺点，比如反弹的cmd.exe进程，在目标机器的进程管理中也可以隐藏无需利用BITS服务等（马儿：不开端口，无进程，看看防火墙...

说明：以VC++6的花指令为例说明 //VC++6外衣 1 OEPCODEFIVE: THEAD = ($55, $8B, $EC, $6A, $FF, $68, $00, $00, $00, $00, $68, $00, $00, $00, $00, $64,  $A1, $00, $00, $00, $00, $5...

发布原因,主要是因为国内某安全软件长期存在的引擎问题.希望本文可以让其做实质性更新.安全软件,要给用户,使用者以安全,而不是麻烦.具体引擎问题表现,是扫描文件,创建一拷贝,再扫描这个拷贝的文件.即使象AVP这种杀壳专家,见到壳也不会通通脱掉.也有很大的可能直接在壳中提取病毒定义.源代码如下,有部分删节,因本文并不是让所有的人都来写扫描器,且此引擎亦不再使用. const  cBuf_Size = 65536;var fintbuffer:pbytearray; procedure CheckInternalBuff...

昨天下载屁屁宽频。测试验证该程序有木马病毒。　　系统启动项加载mstasks.exe　　下面引自瑞星升级报告之:　　27.Trojan.SdBot.gen.p　　破坏方法:拷贝自己到系统目录，命名为MSTASKS.EXE，登记为自启动。　　病毒驻留内存，非法连接hirc.3322.org，将本地信息泄漏出去。　　http://virus.chinavnet.com/newSite/Channels/Anti_Virus/Upgrade_Report/Upgrade_Report/200308/18-170811395.htm　　servicex.exe为灰鸽子木马，进程知识库的描述如下:　　S...

Microsoft Word用户应当对下载的文件格外小心，因为黑客正在利用这种流行的文字处理软件中一个尚未修正的缺陷兴风作浪。　　据IDG报道称，美国当地时间上周四，安全厂商McAfee公司警告用户称，一种名为BackDoor-CKB!cfaae1e6的特洛伊木马病毒会秘密地在计算机上安装软件。　　但是，要使该特洛伊木马病毒感染计算机，黑客必须首先诱骗用户打开一个恶意的Word文档。一旦用户打开了恶意文件，就会产生严重的后果。　　McAfee在其网站上发表的一份声明中说，一旦该特洛伊木马病毒在用户的计算机上“安营扎寨”，它会让黑客“执行任意的外部命令、下载其它特洛伊木马病毒、获得计算...