网页启动后直接打开www.6655.com,改默认打开主页,杀木马都没用啊
五步清除内核级木马程序Byshell2008年04月27日 星期日 19:42
Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。它是内核级的木马程序,主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。
黑客通常用Byshell木马程序远程控制安装了Windows NT/2000/XP/2003操作系统的机器。当Byshell被安装在一台远程计算机上后,黑客就拥有完全控制该机器的能力,并且不会被已控制机器所安装的杀毒和防火墙等软件及管理员手工检测出来。
如何绕过主动防御
Byshell利用Rootkit技术,可以绕过严格的防火墙或者边界路由器访问控制,无论从内网或者外网的被控端,都可以轻松连接到外网的控制端。该技术所建立的连接也会被隐藏,被安装该后门程序的机器都不能看到该后门使用的连接。
同时,它没有自己的独立进程,也不会在任务管理器或者绝大部分第三方进程管理工具中出现新进程。它使用一个隐藏的iexplore.exe进行对外连接,可以绕过防火墙的应用程序访问网络地址。在注册表中找不到由它建立的启动项,无任何RUN键值,避免了被Msconfig之类程序检测到。
ByShell木马通过对当前系统的SSDT表进行搜索,接着再搜索系统原来的使用的SSDT表,然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行,这样就最终让主动防御功能彻底的失效。
五步清除Byshell
1.安装一个具备进程管理功能的安全工具软件,查看系统进程,可以看到很多被明显标识出的进程。这些进程都是可疑进程,很有可能有些进程已被植入木马病毒。点击其中的IE浏览器进程,发现其中包括了一个可疑的木马模块hack.dll。
2.找出来该安全工具软件中与服务管理相关的选项,同样可以看到多个被明显标识出的系统服务,说明这些服务都不是系统自身的服务。经过查看发现一个名为Hack的服务较为可疑,因为它的名称和木马模块的名称相同。
3.找出工具软件中与文件管理相关的标签,在模拟的资源管理器窗口中,按照可疑模块的路径指引,很快发现了那个可疑的木马模块文件hack.dll,与此同时还发现一个和模块文件同名的可执行文件,看来这个木马主要还是由这两个文件组成的。
4.现在我们就开始进行木马的清除工作。在进程管理选项中首先找到被明显标识的IE浏览器进程,选中它后通过鼠标右键中的“结束这个进程”命令清除它。接着点击服务管理选项,选择名为Hack的服务后,点击右键菜单中的“删除选中的服务”命令来删除。
再选择程序中的文件管理选项,对木马文件进行最后的清除操作。在系统的system32目录找到hack.dll和hack.exe文件后,点击右键菜单中的“直接删除文件”命令,完成对木马的最后一击。然后重新启动系统再进行查看,确认木马是否被清除干净。
5.由于木马程序破坏了杀毒软件在SSDT表中的内容,因此大家最好利用软件自带的主动修复功能来进行修复,或者重新将杀毒软件安装一次即可。
以前木马种植前,黑客最重要的工作就是对其进行免杀操作,这样就可躲过杀毒软件的特征码检测。现在ByShell已经有木马可以突破主动防御,以后这类木马也会越来越多,因此大家一定要加强自己的安全意识。
我把百度设为主页,但是为什么打开IE浏览器的时候会变成其它的网页?
我把百度设为主页,但是为什么打开IE浏览器的时候会变成其它的网页? 安装软件的时候要注意,有的软件会把主页自动更改,只要安装的时候不要一直NEXT,多看看就能避免 没见过百度做成病毒放进人家机子,应该不是病毒 如果怎么弄都不行,就试试用注册表修改 通过修改注册表恢复IE设置的方法 1.对于一开机就登录某些网站情况,一般是注册表的启动选项被加了一项,运行regedit命令,打开HKEY_LOCAL_MACHINE\sofare\Microsoft\windows\current version\run,这时在右边窗口看到的就是windows启动时加载的选项了,从数据中找到那个网址,按右键删除该键值,重新开机,一切就正常了。 2.对于一打开IE就上某些网站的情况,只要把"IE/Inter选项/主页"中的默认主页改回你想要的地址就行了,或者运行regedit命令,打开HKEY_LOCAL_MACHINE\Sofare\Microsoft\Inter Explorer\Main"Windows Title",修改"start page"后的数据项也可以改变IE浏览器的默认主页。 3.对于IE标题栏被改情况,要想去掉IE标题后面的尾巴,同样也得修改注册表,运行regedit,打开HKEY_CURRENT_USER\Sofare\Microsoft\Inter explorer\main"Window Title"以及HKEY_LOCAL_MACHINE\Sofare\Microsoft\Inter Explorer\Main"Windows Title",在这儿就可以修改IE标题的默认设置了,当然也可以任意输入自己想要的标题。 4.对于IE修改默认主页选项变灰同时注册表被锁定的情况,是最麻烦的,我们可以先为注册表解锁,再修改注册表解除默认主页设置的不可用。 为注册表解锁方法: (1)点击"开始"菜单,从"程序" "附件"中找到"记事本"命令并执行; (2)在记事本窗口中输入以下内容: REGEDIT4 (这儿一定要空一行) HKEY_CURRENT_USER\Sofare\Microsoft\Windows\CurrentVersion\Policies\System"DisableRegistryTools"=dword:00000000 HKEY_USERS\.Default\Sofare\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools"=dword:00000000 (3)从"文件"菜单上选择"保存"命令,以"C:\unlock1.reg"名称存盘; (4)双点"unlock1.reg"文件; (5)这时系统弹出"是否确认要将 C:\ unlock1.reg 中的信息添加进注册表?"的对话框,点"是"。随后弹出对话框"C:\ unlock1.reg 里的信息已被成功地输入注册表",表明导入成功。点按"确定"关闭对话框,这时注册表就已被成功地解锁了。 解除默认主页设置的不可用的方法: 运行regedit命令,打开HKEY_CURRENT_USER\Sofare\Policies\Microsoft\Inter Explorer\Control Panel ,按鼠标右键"新建""双字节值",在名称"新值"处输入HomePage,"数据"项值为0,退出注册表编辑器,重新启动IE可以看到已经可以进行IE默认主页的设置了。 当然,也可以在不解除注册表锁定的情况下解除默认主页设置的不可用,方法如下: (1)点击"开始"菜单,从"程序" "附件"中找到"记事本"命令并执行; (2)在记事本窗口中输入以下内容: REGEDIT4 HKEY_CURRENT_USER\Sofare\Policies\Microsoft\Inter Explorer\Control Panel HomePage=dword:00000000 (3)从"文件"菜单上选择"保存"命令,以"C: \unlock 2.reg"名称存盘 (4)打开"资源管理器",切换到 C 盘,双点"unlock2.reg"文件 ,这时系统弹出"是否确认要将 C: \unlock 2.reg 中的信息添加进注册表?"的对话框,点按"是"。 (5)随后弹出对话框"C: \unlock 2.reg 里的信息已被成功地输入注册表。"表明导入成功。点按"确定"关闭对话框。再次进入浏览器里打开"Inter 选项"对话框,可以看到主页设置已变亮。在地址栏里重新输入自己喜欢的主页地址即可。这样就既可以更改默认主页,又能防止别人乱改字节的注册表了。 我在浏览网页的时候,为什么我已经设置了主页为百度,但是在打开浏览器的时候还是其它的主页呢? 有可能你桌面上的IE只是某个网址的快捷(直接删除),打开桌面属性进入自定义桌面勾选IE。 我用的ie浏览器 我把百度设为主页 为什么每次开机主页就变为搜搜呢! 你用360修复主页,然后再设置试试。。 我的ie浏览器打开时为什么总是空白网页,且不能把其他网页设为主页。 你的安全卫士,可能锁定了网页的主页!所以,你无法更改主页设置! 怎么把IE浏览器主页设为百度首页? 打开百度首页,然后在页面找,有个“把百度设为首页”,点击即可 我把hao123设为主页后,打开IE浏览器,怎么出来的还是先前的网页? 被限制了 由病毒等 多种因素引起 解决方法 是用超级兔子 IE修复 一下搞定! 防修改 无后患 为什么把百度设为主页上浏览器还是变成QQ导航 QQ是不是升级为2012版了,我也是今天升级被改的,用360插件清理,有两个腾讯的IE动态加载项,清理后就可以随意设置主页了。 为什么我把163设为主页但打开INTERNET跳出的是其它的网站? 你改看一下电脑里的hosts文件有没有被改动,在c:/WINDOWS/system32/drivers/etc/里面一个叫hosts的文件,看看里面有没有含有163的条 然后就是杀下毒 我的IE浏览器主页被换成haha1234,的网站 也无法将其它网站设为主页 为什么 因为有恶意软件或者病毒。 你用360修复IE和清除系统中的恶意插件。 360——高级——修复IE,修复一下你的IE。 360——清理恶评插件,扫描完成后,清除扫描到的恶意插件。 我的IE浏览器为什么一重新启动空白网页就被改成其它的网页 这是因为一些恶性不良网站搞的鬼,你下载些上网助手,如百度伴侣,能够设置你的浏览器的首页!或者是用Windows优化大师把IE给设置为原始状态!这样那些网站就算是彼时能改你的首页,重新启动之后还是恢复为空白的!里面自己的收藏还是在的!
网址导航让6655霸占了怎么办?有什么办法?
修复下,如果还不可以,请参照下面文章: 前段时间网络上出现了一个更流氓的修改IE主页的方法,出现的现象:每次点击桌面上的IE图标,打开的都是一个网址导航站。即使把IE选项设置成其他主页,还是会打开这个网站。我尝试超级兔子修复,没有任何效 果。最后想来来可能利用了IE浏览器的命令行参数来实现的。IE安装路径一般是"C:\Program Files\Internet Explorer\iexplore.exe",如果我们在启动IE时候写成下面的形式,"iexplore.exe g.cn"则会自动打开g.cn(大家可以把这条命令复制到 开始-》运行 里面试试效果)。如果是这样的话,就好办了。只要在注册表里面搜索那个流氓导航站的网址,删除这个网址就可以了。后来果然在注册表里面找到了相关的信息。 正常情况下,注册表信息应该是这样的: [HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe \"" 而被流氓软件修改之后,就变成了下面的形式: [HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command] @="\"C:\\Program Files\\Internet Explorer\\ iexplore.exe eyiwangzhi.com\ "" 一旦被修改,那么点击桌面IE图标,就会打开 eyiwangzhi.com ,无论我们把IE选项设置成什么网站。如果您也遇到过这种情况,可以试试这个方法。文章来源:感恩的心 http://ganendexin.blogbus.com
关于HTTP 你不能不知道的
HTTP:Hyper Text Transfer Protocol(超文本传输协议),是用于服务器向浏览器传输超文本的协议,其建立在TCP/IP之上,由于其简单、快速的特点,得到广泛应用。小采风同学,自作主张选取部分方面,粗略的聊一聊我们不能不知道的常识。
HTTP协议定义web客户端(通常为浏览器,以下统称为浏览器)向服务器发送请求报文,服务器读取请求报文内容,定位URL中相应资源,以响应报文的方式传送给浏览器,浏览器解析响应报文中的实体数据,呈现出静态和动态页面。其工作原理如下所示:
1)浏览器建立连接
浏览器根据DNS返回的域名的IP地址和服务器端口号(默认为80),建立基于TCP的套接字连接,具体参考 TCP之连接的建立与终止
2)发送HTTP请求
以请求报文的形式,包括请求行、请求头部、空行和实体数据部分
3)服务器解析请求并发送HTTP响应
服务器解析请求报文,定位请求资源位置,以响应报文的方式返回,包括响应行、响应头部、空行和实体数据,具体分析见下文
4)浏览器解析实体数据
将静态页面和动态页面显示在浏览器窗口
在HTTP/1.0版本中,其连接建立一次,断开一次。为解决此问题,HTTP/1.1中提出持久化连接方式,只要任意一端没有提出断开连接,则保持TCP连接状态。在持久连接基础上,管线化发送成为可能。管线化方式,无需等待上次请求响应,直接发送下一次请求,如图一所示:
双方在传送数据时,在不同的业务场景下,可选择不同方式来提高效率。常见的有压缩传输、分割传输的分块传输、多部分对象结合传输和部分内容的范围请求传输。
需要注意的是,HTTP只被用来发布客户端和服务端的应用层命令。当进行数据传输时,除了在数据流的开始和结束部分,是看不到应用层的控制信息的,如图2所示:
HTTP报文分为请求报文和响应报文,其组成包括请求首部(响应首部)、空白行和实体数据组成。空白行,即使没有数据也不能省略。而请求首部由请求行(响应首部由响应行)、请求头部(响应头部)、通用首部、实体首部和其他项组成,如图3所示:
上图中请求行和状态行,是需要特别注意的。而首部的类型和种类之多,需要参考《HTTP权威指南》查阅学习。
1)请求行:方法名、路径名和版本号组成
HTTP/1.1中有八种方法,下面一一介绍方法的使用情况:
GET:用来请求访问已被标示的资源,资源是文本,直接返回;资源是程序,返回执行的结果
POST : 用来传输实体主体,与GET类似,但是主要目的并不是为获取响应的主体内容
PUT : 用来传输文件,因自身不具备验证机制,存在安全问题,通常不使用
DELETE : 用来删除文件,与PUT方法相反,同样因自身不具备验证机制,通常不使用
HEADER: 与GET方法相同,只是不返回报文实体数据,主要用于确认URL的有效性及资源的 日期时间等
OPTIONS: 用来查询针对请求URI指定的资源支持的方法
TRACE: 用来确认连接过程中发生的一系列操作,因容易产生跨站追踪攻击,通常不使用
CONNECT:基于SSL和TLS实现通信内容加密传输,主要在HTTPS中使用,下文介绍
而上面的八种方法中,通常是GET和POST方法,介绍一下二者的不同,如图4和图5所示:
a)GET参数包含在URL中,以?与路径区分,多个参数用&连接;POST参数包含在请求报文的实体数据中
b)URL的数据有长度限制,所以GET方式有限制;通常POST方式没有长度限制
c)GET的数据在URL中,使用明文传送,容易被获取;POST数据也是基于明文传送,安全性比GET好一些
2)响应行:版本号、状态码
状态码由表示状态的数字和原因短语组成,状态码分类如下图6:
状态码种类繁多,有60多种,具体参考 状态码查询 ,常见的有12种,介绍如下:
200 OK : 表示浏览器发来的请求在服务器端被正常处理了
204 No Content : 表示浏览器发来的请求被服务器正常处理了,但是返回的响应报文中不包含实体数据,及浏览器的页面不更新
206 Partial Content : 服务器仅返回指定范文中的数据,即上文中的部分内容范围传输方式
301 Moved Peramanently : 永久性重定向,即该请求资源被重新分配了URI
302 Found : 暂时性重定向,即该请求的资源被被分配新的URI,希望本次使用新的URI
304 Not Found : 浏览器发送带有附带条件的请求,但因发生条件不满足的情况,服务器端不返回
400 Bad Request : 表示请求报文中存在语法错误
401 Unauthorized : 第一次请求,表示需要通过HTTP认证;若经过第一次请求,仍然出现表示认证失败
403 Forbidden : 表示请求的资源被服务器拒绝了
404 Not Found : 表示服务器无法找到相应的资源,也可以表示服务端拒绝请求且不想说明原因
500 Internal Server Error : 表示服务器在执行请求时发生错误
503 Service Unavailable : 表示服务器暂时处于超负载或正在进行停机维护
事务具有两面性,HTTP的简单也带来了相应的问题,其是一种无状态的不安全的协议,针对这两种劣势,小采风和大家一起继续往下看:
HTTP是一种无状态协议,不能管理之前的请求和响应间的状态。为解决此问题,引入Cookie机制,通过在请求和响应报文中增加Cookie信息来管理状态,cookie字段就是上文报文结构中的其他项里,如下图7所示:
Session是服务器为浏览器请求建立的程序。服务器根据请求报文中sid来标示该访问的Session,如果没有,则重新生成,并在响应报文中重新添加sid,cookie与session的区别如下:
a)cookie在浏览器端,session在服务器端
b)cookie不安全,容易被利用进行cookie欺骗
c)session可以设置超时时间,一旦超时,重新建立
关于其具体的工作机制,参考 cookie和session的区别详解
HTTP存在的不足有:
a)浏览器和服务器互相不认证,可能遭遇伪装
b)通信的传输数据使用明文传输,容易被截获修改
c)数据的完整性无法保证,中途被人篡改也不知道
HTTPS是如何弥补HTTP在安全方面的不足呢?HTTPS不是应用层新的协议,而是通过SSL和TSL代替HTTP的通信协议接口。通常,HTTP直接与TCP进行通信,而HTTPS中,HTTP先与SSL进行通信,后与TCP进行通信。SSL是目前应用最广泛的网络安全技术。
在介绍SSL解决HTTP安全性问题之前,我们先来了解一下加密方法。
通常,加密算法是大家都知道的,但是加密和解密的密钥是不知道的。一旦加密和解密密钥泄露,存在安全性问题。共享密钥加密方式,也称为对称密钥加密方式,浏览器和服务器加密和解密使用相同的密钥。可是,密钥该如何传输呢?传输中间被攻击,则安全性没有保证。
人类似乎天生就是来解决问题的。公开密钥加密方式,也称为非对称加密方式。服务器,拥有一对存在一定关系的公开密钥和私有密钥。服务器将公开密钥传送给浏览器,浏览器使用收到的公开密钥进行加密,即使中间收到攻击,也因为没有解密密钥,即私有密钥,无法解密。服务器收到加密数据后,使用私有密钥成功解密。
公开密钥加密方式,处理速度相比于共享密钥加密方式比较慢。
HTTPS中,SSL充分结合两者优势,利用公开密钥加密方式传输后面使用的共享密钥加密解密的密钥,然后浏览器和服务器使用共享密钥进行加密解密处理,如图8所示:
HTTPS相比于HTTP,处理速度要慢2到200倍。主要速度影响在,
a)通信处理:HTTP与TCP之间加上SSL之后,通信量会增加很多
b)加密解密:消耗服务器和浏览器端硬件资源,造成较大负载
所以,并不是所有的均使用HTTPS,敏感信息使用HTTPS,非敏感信息使用HTTP。
近日来,小采风沉迷在协议的迷乱中不能自拔,未来,会近一步推出协议类系列文章,欢迎各位看官关注哦!
HTTP是...?
更新1: Benny Tse : 是什么?? 1) HTTP是HyperText Trfer Protocol 是网际网路上应用最为广泛的一种网路传输协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。 2) COM是Commerical的简写 即商用 是一个Top Level Domain 顶级域(TLD)是域名的最后一个部份,即是域名最后一点之后的字母。例如在 *** 这和域名中,顶级域是(或ORG),大小写视为相同。
ie浏览器被6655.com修改怎么办?
先用桌面清理向导删了它在添加 方法: 右键左面--排列图标--清理向导--要删的打勾勾--确定 在按照下面的方法添加新IE 点击“开始”菜单→“运行”命令,在弹出的“运行”对话框中输入cmd 确定 把下面代码复制在黑筐里--回车 reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{871C5380-42A0-1069-A2EA-08002B30309D}" /d 0 /t REG_DWORD /f reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu" /v "{871C5380-42A0-1069-A2EA-08002B30309D}" /d 0 /t REG_DWORD /f reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoInternetIcon" /d 0 /t REG_DWORD /f reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\nonenum" /v "{871C5380-42A0-1069-A2EA-08002B30309D}" /d 0 /t REG_DWORD /f cmd /c taskkill /f /im explorer.exe&&explorer.exe
手机用的网络属于互联网吗?
属于
WAP(Wireless Application Protocol)为无线应用协议,是一项全球性的网络通信协议。WAP使移动Internet 有了一个通行的标准,其目标是将Internet的丰富信息及先进的业务引入到移动电话等无线终端之中。WAP定义可通用的平台,把目前Internet网上HTML语言的信息转换成用WML(Wireless Markup Language)描述的信息,显示在移动电话的显示屏上。WAP只要求移动电话和WAP代理服务器的支持,而不要求现有的移动通信网络协议做任何的改动,因而可以广泛地应用于GSM、CDMA、TDMA、3G等多种网络。
HTML文件 里面的图片 如何在没连接互联网的时候能够打开
HTML网页中图片不联网时要能够打开,需要将连网时找到互联网的资源网页或图片,保存在本地电脑。
保存网页到电脑上,操作步骤为:文件----另存为-----保存类型为(网页,全部)。
保存网页中的图片到电脑上,操作步骤为:鼠标放到图片上----右键----图片另存为。
这样网页或图片就可以保存自己电脑中,下次不能连网时,可以将电脑保存网页内容或图片发布到内部网上。
为什么我的http
HTTP 错误 403
403.1 禁止:禁止执行访问
如果从并不允许执行程序的目录中执行 CGI、ISAPI或其他执行程序就可能引起此错误。
如果问题依然存在,请与 Web 服务器的管理员联系。
403.2 禁止:禁止读取访问
如果没有可用的默认网页或未启用此目录的目录浏览,或者试图显示驻留在只标记为执行或脚本权限的目录中的HTML 页时就会导致此错误。
如果问题依然存在,请与 Web 服务器的管理员联系。
403.3 禁止:禁止写访问
如果试图上载或修改不允许写访问的目录中的文件,就会导致此问题。
如果问题依然存在,请与 Web服务器的管理员联系。
403.4 禁止:需要 SSL
此错误表明试图访问的网页受安全套接字层(SSL)的保护。要查看,必须在试图访问的地址前输入https:// 以启用 SSL。
如果问题依然存在,请与 Web服务器的管理员联系。
403.5 禁止:需要 SSL 128
此错误消息表明您试图访问的资源受 128位的安全套接字层(SSL)保护。要查看此资源,需要有支持此SSL 层的浏览器。
请确认浏览器是否支持 128 位 SSL安全性。如果支持,就与 Web服务器的管理员联系,并报告问题。
403.6 禁止:拒绝 IP 地址
如果服务器含有不允许访问此站点的 IP地址列表,并且您正使用的 IP地址在此列表中,就会导致此问题。
如果问题依然存在,请与 Web服务器的管理员联系。
403.7 禁止:需要用户证书
当试图访问的资源要求浏览器具有服务器可识别的用户安全套接字层(SSL)证书时就会导致此问题。可用来验证您是否为此资源的合法用户。
请与 Web服务器的管理员联系以获取有效的用户证书。
403.8 禁止:禁止站点访问
如果 Web服务器不为请求提供服务,或您没有连接到此站点的权限时,就会导致此问题。
请与 Web 服务器的管理员联系。
403.9 禁止访问:所连接的用户太多
如果 Web太忙并且由于流量过大而无法处理您的请求时就会导致此问题。请稍后再次连接。
如果问题依然存在,请与 Web 服务器的管理员联系。
403.10 禁止访问:配置无效
此时 Web 服务器的配置存在问题。
如果问题依然存在,请与 Web服务器的管理员联系。
403.11 禁止访问:密码已更改
在身份验证的过程中如果用户输入错误的密码,就会导致此错误。请刷新网页并重试。
如果问题依然存在,请与 Web服务器的管理员联系。
403.12 禁止访问:映射程序拒绝访问
拒绝用户证书试图访问此 Web 站点。
请与站点管理员联系以建立用户证书权限。如果必要,也可以更改用户证书并重试。
