佳礼资讯网

 找回密码
 注册

ADVERTISEMENT

楼主: jangancari

[原创]长假后的挑战(全文完)

[复制链接]
DragonRoar 该用户已被删除
发表于 10-1-2005 03:24 PM | 显示全部楼层
jangancari 于 7-1-2005 01:37 PM  说 :
怪不得啦。。。幸好它没有执行 Format C: 。


即使被Hack,也不能Format C Drive。

Windows 是会不让你Format。

不信你可以去试试看Format你的 C Drive,肯定不可以。
回复

使用道具 举报


ADVERTISEMENT

发表于 10-1-2005 03:32 PM | 显示全部楼层
第三集???
好慢啊......infinate loop了?.....还是buffer overflow.... restarting?
回复

使用道具 举报

 楼主| 发表于 14-1-2005 12:10 PM | 显示全部楼层
johe07 于 9-1-2005 05:30 PM  说 :
jangancari, 你对registry好像很熟悉哦。。。。

不敢当, 我从DOS时代就改autoexec.bat 和 config.sys 来玩Game, 设定CDROM drive, UMB , EMS,XMS .这种古老的Term你们就不需要了解了。
过后用Win3.11 也有修改win.ini 和 system.ini 来设定中文之星 之类的东西 。。
到了win95时代, registry 一定不会放过啦


还是如果中了病毒或被hack, 都会在Run service 跑的?

Sirius 已经答了你。

Sirius 于 9-1-2005 09:57 PM  说 :
HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Window > CurrentVersion > Run

这个地方可以控制每当系统启动时自动开跑的program,对照一下你在这里的list与你的system tray就明白的了. 当 ...


比较仔细的讲法,
Virus 有几种
1. Boot Sector Virus
  
2.  Worm

3.  Macro Virus

4.  Trojan Horse

5.  BackDoor


BootSector Virus 是古老的Virus , 也是最难写的, 它不会在Run /RunService出现, 因为它在Windows/Dos 刚刚Boot 上来就开动了。

Macro Virus 则是针对MS office 的文件来攻击的, 用的是VBA .

2,4,5 就通常会在Run / RunService

以前Internet 不流行, Virus又难写, 所以很少见到新virus。
曾经对写病毒有兴趣, DOS 时代曾读过书研究(当时的是Bootsector病毒), 不过还是没写出, 太麻烦了,要用汇编语言写, 而且要转成机器码来验证, 又要对DOS 的bootsector 要有认识, 又要对DOS INT 的应用很熟悉。

看过CIH 的源代码后(虽然不是很明白), 非常佩服那个作者。 竟然想出和做出那种IDEA , 简直是天才(或者称为神)!

DragonRoar 于 10-1-2005 01:24 AM  说 :
即使被Hack,也不能Format C Drive。
Windows 是会不让你Format。
不信你可以去试试看Format你的 C Drive,肯定不可以。


在Windows 上或许不能直接作, 但是只要Hack 进了, 取得Administrator 权利, 我就可以让那个server 被format.我只要改autoexec.bat , 再restart 那架电脑, 就bye bye 了。

AquaMax 于 10-1-2005 01:32 AM  说 :
第三集???
好慢啊......infinate loop了?.....还是buffer overflow.... restarting?

很忙啊 。。 还在收拾残局 。。 改用Linux 作Router/Proxy 又设定了NAT 和透明代理, 很多奇怪的状况出来 。。 (这个是后话)
回复

使用道具 举报

发表于 14-1-2005 11:26 PM | 显示全部楼层
據我所知﹐win2000 server sp1的port還有很多是開放的。加上你沒有防火牆﹐一定很容易中招的。

我的學校也是因為安全的問題﹐改用了linux 為 web mail server。之前使用win 2000 server的。
回复

使用道具 举报

 楼主| 发表于 15-1-2005 03:06 PM | 显示全部楼层
五. 不死神话
话说jangancari以为一切问题解决了, 加上功课昨完后, 就开开心心打算去旅行了。
接近900km 的路程, jangancari 从早上6.30出发, 晚上7点才到目的地。
驾了差不多12小时的车, 踩油的狗腿都像是要起泡似的。 这是题外话, 暂且不表。

三天的旅行其实有两天是在驾车, 这趟旅行回来jangancari累倒了。 休息了2天, 开始上班了!开始了长假后的挑战。

一月二日 星期一 晴  早上 摄氏6度

长假后第一天上班。 我就知道网络会有些问题, 太久没有重启“窗口”了嘛。
网络问题一直到了放工都还是有点不稳定。 看到同事进进出出主机室, 问了问他发生什么事, 他说有virus 和spyware 攻击主机。
这时候, 公司第三号人物说他的Outlook Express 的Inbox 的Mail 看不到, 我心里猜想一定又是Inbox 太多信件, 最讨厌这种自己不要housekeep 信件等到有问题后才麻烦IS 部门。我帮他一看, 岂有此理, Inbox 到了 2G 限制, 哇老, 第一看到这么严重的Inbox corrupted Case.
他说一定要救里面的mail , 因为里面有一个开给新顾客的quotation 的Draft, 顶头上司非常重视这个问题。
我就头疼了 。。  网络有问题我也要负责解决, 这个东西我也有责任。全部都是棘手的问题。。

放工时,我告诉同事,开工前电邮主机发生的事, 他听了也觉得不太对劲。



一月三日 星期二 晴  早上 摄氏8度

一早来到, 网络又不稳定。 同事都没在办公室, 我猜想一定在主机室。 我也到主机室看有什么可以帮忙的吗。
主机室内, 我看到看他忙碌紧张的样子,就知道又是同样的问题。

我看到他在电邮主机扫描病毒, 又在搜寻文件。 咦, 怎么他还找到那Dame Control 的文件, 我都已经改名了。。
我就叫他查看进程里有什么奇怪的东西吗, 天啊, 那个Back Door 又进来了 ?! 不死神话?

我们就开始怀疑窗口又有新的漏洞了。。 , 同事当下决定安装Norton Personal Firewall.

未完待续
------------
p/s : M$已经在11/1/2005 发布了最新的补丁(Critical update),我相信大家的windows 2000
有点问题就是因为这个漏洞。

[ Last edited by jangancari on 12-6-2005 at 12:03 AM ]
回复

使用道具 举报

发表于 16-1-2005 09:07 AM | 显示全部楼层
jangancari 于 14-1-2005 12:10  说 :

不敢当, 我从DOS时代就改autoexec.bat 和 config.sys 来玩Game, 设定CDROM drive, UMB , EMS,XMS .这种古老的Term你们就不需要了解了。
过后用Win3.11 也有修改win.ini 和 system.ini 来设定中文之星 之类的 ...



改autoexec.bat和 config.sys我有弄过, 也玩过 batch file,但是呢,都是三脚猫而已啦。
其实对于OS内部的情况,我都很好奇,很想学Assembly language呢。。。

对了,提起CIH, 我知道当时的严重性,请问大家谁还有有关这个病毒的资料?因为当时还不懂事,也没有去注意所有有关这个病毒的报道。听jangancari说得那么佩服那个病毒作者, 现在我很想知道到底为什么他这么令人佩服。。。
回复

使用道具 举报

Follow Us
发表于 16-1-2005 12:10 PM | 显示全部楼层
johe07 于 16-1-2005 09:07 AM  说 :
对了,提起CIH, 我知道当时的严重性,请 ...


1998-1999,我的主機板掛了﹐BIOS 也掛了﹐就是因為CIH。。。。
病毒作者﹕台灣陳英豪 ==CIH
用俄羅斯/烏克蘭核電廠爆炸事件日作為引發日﹐好像是26號﹐然後變種成為每個26號都爆發一次。
回复

使用道具 举报

 楼主| 发表于 17-1-2005 05:41 AM | 显示全部楼层
六. 解决了?

安装了Norton Personal Firewall, monitor 了一阵。 果然好了, 查看log , 发现很多人入侵的纪录。

我们都暂时松了一口气。 大家就收拾残局, 删掉那些spyware 的文件和残留的DLL。
我就开始帮三老板打救他那个corrupted的2G 的Inbox里重要的电邮, 因为公司今年吃饭吃粥,
这封电邮关系重大。。 ..

下午, 大老板投诉不能用email. 当时,大老板的电脑有点问题, 没用outlook express下载信件,只用Webmail 来查信件。

我就告诉同事, 他解决了。 我当时不知道他竟然是disable Norton Personal Firewall 来解决!
过后, 电邮主机又开始有问题,我只好放下救Inbox 的工作,亲自到主机室查看。
赫然发现, Norton Personal Firewall 被Disable 了, 又有spyware 入侵, 昏 。。。

我只好再activate 它, 然后作些设定,开放webmail 的端口(port) , 幸好有点网络的基础, 虽然第一次用这种东西, 还会解决这种东西 。

终于真正松了一口气, 虽然还有那个十万火急的Inbox打救任务。

[ Last edited by jangancari on 16-1-2005 at 03:47 PM ]
回复

使用道具 举报


ADVERTISEMENT

 楼主| 发表于 17-1-2005 06:09 AM | 显示全部楼层
johe07 于 15-1-2005 07:07 PM  说 :



改autoexec.bat和 config.sys我有弄过, 也玩过 batch file,但是呢,都是三脚猫而已啦。
其实对于OS内部的情况,我都很好奇,很想学Assembly language呢。。。

对了,提起CIH, 我知道当时的严重性,请 ...


这类低级(不是low grade,而是low level) 的病毒, 通常会感染你的现有文件。
以前的病毒通常都是这样, 感染了你的文件, 你的文件的长度就会增加, 因为病毒的机器码加在了后面。 防毒软件就根据这情况来揣测你是否感染了这类病毒。

但是, 你们是否知道, 一个文件的大小是如何决定的呢? 你可以尝试开Notepad , 随便打一个字然后储存起来, 看看多大。
然后再开Notepad , 随便多打几个字然后储存起来, 看看多大。
你会发现到, 你多打几个字的文件大小, 竟然和之前的一样?
那是因为Windows 文件的大小的最小单位不是1btyte , 而是1 个cluster .一个cluster 多少byte 则取决于你的partition 是FAT16 还是FAT32 还是 其它。。

而CIH 病毒则是利用这种漏洞, 把病毒自己分别藏在几个文件后面, 不影响文件长度。 到了发作天, 就把那些分散的机器码读出来, 合并起来执行, 选择清掉硬碟的FAT(quick format)  或写入random 资料进入CMOS的可写入区(包括CMOS 程式)。
CIH 病毒分散机器码技术是第一次出现的病毒史上。
低级病毒是一种很难写的程序, 试想想你做一个程序, 自己复制自己, 你做得到吗?
加上你不可以写到太大, 因为容易被发现。 CIH 竟然可以把自己的程序分别藏在不同的文件后面, 这个技术就是不简单了。 而且, 它是史上第一支立即破坏硬件的病毒(严格来说不是硬件, 而是firmware) , 打翻了病毒不能破坏硬件的理论。


中了CIH 病毒的电脑 。。
运气好的restart 后出现“non system disk”, 资料全部不见。
运气不好的restart 后, 什么都没有, 根本进不到。
当年我的公司就有10多台电脑这样子 。。

[ Last edited by jangancari on 16-1-2005 at 04:16 PM ]
回复

使用道具 举报

kingcobra 该用户已被删除
发表于 17-1-2005 10:03 AM | 显示全部楼层
改bios. CMOS坏是间接于资料破坏所导致,特别是针对phoenix bios

它写自己的编码不是只在档案后面,而是在档案里任何空间,例如数据跟数据的空位之间都行.

reference: http://www.symantec.com/avcenter/venc/data/cih.html

[ Last edited by kingcobra on 17-1-2005 at 10:05 AM ]
回复

使用道具 举报

发表于 17-1-2005 10:15 AM | 显示全部楼层
哦,谢谢大家提供的资料。。。我知道了。。。

没记错的话,CIH应该是在1999年4月26日爆发。

“CIH” 的头脑果然厉害。当年我的朋友就是整架机坏了,当时还真不明白它是怎样破坏的。。
记得当年,我电脑学院里的人竟然全不知道这个消息,好多电脑中招。我当年知道有病毒,所以当天没开电脑,逃过了一劫。记得当时新闻报纸之前都有公布消息,为什么他们都不知道呢?
想起来还真惭愧,因为没有及时告诉那些technician。

[ Last edited by johe07 on 17-1-2005 at 10:29 AM ]
回复

使用道具 举报

 楼主| 发表于 17-1-2005 10:19 AM | 显示全部楼层
kingcobra 于 16-1-2005 08:03 PM  说 :
改bios. CMOS坏是间接于资料破坏所导致,特别是针对phoenix bios

它写自己的编码不是只在档案后面,而是在档案里任何空间,例如数据跟数据的空位之间都行.

reference: [url]http://www.symantec.com/avcenter/ ...

应该不太可能在档案里任何空间, 因为这样会破坏文件的Integrity 。 这样做, 病毒就很容易被发现。
symantec 网站的解释也只是说在unused 和empty space。
我记得读过的源代码里面有一段查看文件真正长度是不是1 cluster 的倍数, 如果不是而空间又够, 它就会在尾端加片断码。可能是我不太明白吧 。。
你指的数据跟数据的空位之间, 是不是指 DS 里的空间?

[ Last edited by jangancari on 16-1-2005 at 10:09 PM ]
回复

使用道具 举报

kingcobra 该用户已被删除
发表于 17-1-2005 12:31 PM | 显示全部楼层
不过CIH有几个种类,各个种类有点不同所以我们说的可能是不一样的种类

我们被玩过的种类是会写在空间里,所以会corrupt掉某些档案.当时为了能够修复它破坏过的档案(因为NAV修不了)我们有细细的分析过它的行为然后写简单的工具来修复..最痛恨这类人了
回复

使用道具 举报

 楼主| 发表于 18-1-2005 11:40 AM | 显示全部楼层
七. 一波未平,一波又起
一月四日 星期三 晴  早上 摄氏?度
我今天一醒来就准备要打救那2G 的Inbox, 之前搜寻互联网, 都找不到Tools, 找到了却要收钱的。只好找点Outlook Express 文件格式的网页及资料, 准备挑战自己, 尝试编写recovery 程序,死马当活马医(其实自己根本没信心做出, 太难了, 加上很久没有碰C 语言), 因为我相信信件还在里面, 只是文件的Header 或尾部 坏了 .

一早来到, 网络又不稳定。 同事都没在办公室
在自己的位子搜寻互联网, 又一直上不到网。

没办法, 只好打电话问同事。
我道:“今天又有问题?ISP vendor 的问题?(因为内部网络没问题)”
同事紧张地道:“是, 不过不是vendor 的问题, 是Proxy 主机出了问题。”
我道:“噢 。。 酱你们专注抢救吧, 电话我帮你们接。”, 每次网络一有问题, 电话就一大堆, 简直阻碍抢救工作。

到了午餐时间, 网络问题竟然还没弄好。 我也开始奇怪了, 心道:“第一次那么久都还没好。”
吃完午餐, 我看到同事, 就问道:“是什么问题?”
同事道:“Proxy server HDD 硬件bad sector问题,用了backup 主机, 但backup 主机却有OS 问题。。”
我心道:“哇, 那么大单!有问题的话, 我也跑不了要负责”
那proxy 主机是身兼Proxy, router, FTP , Web 主机的重要机器, 加上FTP里的资料太大, 我们一向没有作备份。
连website 的网页都没有备份, 要如何交待???。

[ Last edited by jangancari on 17-1-2005 at 09:44 PM ]
回复

使用道具 举报

发表于 19-1-2005 12:27 PM | 显示全部楼层
jangancari 于 18-1-2005 11:40 AM  说 :
七. 一波未平,一波又起
一月四日 星期三 晴  早上 摄氏?度
我今天一醒来就准备要打救那2G 的Inbox, 之前搜寻互联网, 都找不到Tools, 找到了却要收钱的。只好找点 ...

通常 BAD SECTOR 的 HDD 裡面的資料還有一些是還可以搶救的吧..
回复

使用道具 举报

发表于 19-1-2005 12:51 PM | 显示全部楼层
JR86 于 19-1-2005 12:27  说 :

通常 BAD SECTOR 的 HDD 裡面的資料還有一些是還可以搶救的吧..


怎么救?传授两招嘛。。。。
回复

使用道具 举报


ADVERTISEMENT

发表于 19-1-2005 09:12 PM | 显示全部楼层
这个到底是故事还是真人真事。
回复

使用道具 举报

发表于 19-1-2005 10:22 PM | 显示全部楼层
jangancari 于 17-1-2005 10:19 AM  说 :

应该不太可能在档案里任何空间, 因为这样会破坏文件的Integrity 。 这样做, 病毒就很容易被发现。
symantec 网站的解释也只是说在unused 和empty space。
我记得读过的源代码里面有一段查看文件真正长度是 ...


我没看过它的source,不过我猜它可能是这样:

因为我们的file是以cluster为单位来store的,因此它是有可能有多出来的空间让我们store其他东西...

eg:
假设一个cluster = 4KB
file_A 是 29KB
所以OS会配置4KB * 8个cluster = 32KB来 store 一个29KB的file...
那么我们就会有32KB - 29KB = extral 3KB的space来store其他东西...

大致上应该是这样吧
回复

使用道具 举报

发表于 19-1-2005 11:30 PM | 显示全部楼层
tat83 于 19-1-2005 21:12  说 :
这个到底是故事还是真人真事。


真的啊。。。
回复

使用道具 举报

发表于 20-1-2005 12:36 AM | 显示全部楼层
astral 于 19-1-2005 10:22 PM  说 :


我没看过它的source,不过我猜它可能是这样:

因为我们的file是以cluster为单位来store的,因此它是有可能有多出来的空间让我们store其他东西...

eg:
假设一个cluster = 4KB
file_A 是 29KB
所以OS会配 ...

沒錯。。
我之前有學過。。也記得大概也是這樣的。。

一般當你看一個FILE的PROPERTIES是你會看到兩個SIZE。。
就比如說﹕
Size 232KB (237,724) bytes, 238,080 bytes used
或者是﹕
Size = .....
Size on disk = .....
之類的。。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

 

ADVERTISEMENT



ADVERTISEMENT



ADVERTISEMENT

ADVERTISEMENT


版权所有 © 1996-2023 Cari Internet Sdn Bhd (483575-W)|IPSERVERONE 提供云主机|广告刊登|关于我们|私隐权|免控|投诉|联络|脸书|佳礼资讯网

GMT+8, 29-3-2024 12:36 AM , Processed in 0.065873 second(s), 24 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表