闹鬼灵异电脑里的那些怪事
    当你回忆这段时间发生的事的时候,你是否觉得近来电脑有一点怪?其实你并不是唯一的一个。近来,一些人碰到了更为奇怪的事情:“正在上网,突然处于关闭状态的摄像头自动开启了;安装软件过程中突然装起了另一软件,鼠标、键盘一起动都阻止不了;凌晨,电脑自动开机,传来张震讲故事的声音……”这些近似“灵异”的事情都在不断发生,它们的背后到底隐藏着怎样的故事呢?
 
  自动“睁眼”的摄像头
  场景回放:
  一天,小琳在玩网页游戏,杀毒软件无报警,360防火墙也无危险提示的情况下,自己玩游戏用的摄像头忽然自动开启了。启动杀毒软件,全盘扫描后,发现并没有木马程序,小琳愈发感到奇怪和紧张。
 
  技术揭秘:
  要说这个事情,还要从小琳的动作说起,当小琳点击一个按钮的时候,本来点击的是“1”,但是在后台,这个数据被修改成“2”后再传给电脑,这也就是大家现在在网站上常看到的Clickjacking(点击劫持)。这是浏览器工作原理中的一个缺陷,一个恶意FLASH就能让小琳在毫不知情的情况下点击任意链接、任意按钮或网站上的任意东西。小琳所做的任何点击都可以被引导到恶意链接上。黑客利用Clickjacking漏洞构造一个恶意网页,例如Flash小游戏,当用户不慎访问该网页时,正常鼠标点击操作就会触发这一漏洞。黑客可以在用户毫不知情的情况下,强制启动并完全控制摄像头和麦克风。
 
  实例分析:
  这种劫持的发生,一般经历了以下的步骤。
  第一步:黑客在第三方站点的网页先在可控制的页面A内设置一个iFrame(见图1),iFrame的src链接指向另一个域的页面B。设置这个iFrame的CSS样式的透明度为0,并设置
其CSS样式的z-index比页面A的其他元素的z-index大(z-index属性指定元素的堆叠顺序,拥有更高堆叠顺序的元素总是会处于堆叠顺序较低的元素的前面)。
 
  (1)
  第二步:将这个iFrame的Width(宽)与Height(高)值被设置为足以保证用户点击到其中内容(页面B的内容)的大小,然后在页面A上放置一些按钮、链接用于欺骗用户点击的元素,这些元素在iFrame之下,并恰好与iFrame的页面B内的关键元素在同一个位置。
  这样,当用户被欺骗去点击页面A内的这些元素时,实际上点击了页面B内的关键元素。通过Clickjacking漏洞,攻击者可以控制用户的浏览器,诱骗用户点击任意链接、按钮或者网上任意的东西。
 
  防御技巧:
settings电脑里什么意思
  1.在浏览器中打开www.adobe/support/documentation/en/flashplayer/help/settings_manager02.html,进入全球个人Adobe Flash Player设置管理模板页面。单击设置管理器界面的“始终拒绝”按钮,并在随后弹出的结果对话框中选择“确认”(见图2)。
 
  (2)
  2.我们可以到Adobe下载Flash Player的最新版本,但在安装之前必须先从系统中将已经安装的Adobe Flash Player全部删除。另外,还有一些第三方的工具可以方便使用。
 
  开机后响起的“鬼故事”
  场景回放:凌晨2点,小正忽然发现自己床头的计算机自动开启了,在开机后操作鼠标、键盘不能动,音响里缓缓传来张震讲故事的声音。小正被吓得一下子蹦离了电脑,回过神来,
小正感觉一定是中了木马,但检查启动项、进程、system32目录都未发现异常,再次重启电脑后发现居然自动开始播放张震鬼故事第二部,恐怖的气息围绕在小正的身边。
 
  技术揭秘:
  小正遇到的现象其实是某些恶作剧软件造成的,这类软件大多会利用主板的网卡自动开机功能启动,并在进入操作系统后进行恶作剧。由于软件采用DLL插入系统服务中,修改系统时间开机时间并将自身隐藏在中作案,因此很难被发现。
 
  (3)
  小提示:进程运行原理
  以Windows XP为例,在“开始”菜单的“运行”窗口中输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径
为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
 
  实例分析:
  恶作剧软件也可以利用上述过程构造一个合法的svchost服务(见图3),程序利用服务调整网卡的自动开机设置(常见的TP-LINK8139网卡需要主板支持),并调用需要播放的MP3播放列表实现开机自动播放。我们来拿一个rpcss服务调用做演示:
  第一步:首先在运行对话框中输入“”后回车,打开注册表编辑器,到[hkey_local_machine /system/currentcontrolset/services/rpcss]项,到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令)。
  第二步:在“parameters”子项中有个名为“servicedll”的键,其值为“%systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文
件。这样svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
  我们将张震讲故事的MP3列表利用16进制编辑器写入到“rpcss.dll”中(注意对rpcss.dll备份)。这里经过修改的“rpcss.dll”就可以实现开机自动调用MP3文件了。完成操作后,svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务并自动讲鬼故事了。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。