整合營銷服務(wù)商
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
天小編打開電腦,桌面上突然彈出U盤中發(fā)現(xiàn)危險(xiǎn)木馬文件的提示(如下圖所示)。定睛一看,原來是小編自己從edge瀏覽器導(dǎo)出的收藏夾html文件、回收站文件夾和數(shù)據(jù)庫文件。
明明都是一些正常的文件,為什么被提示是木馬呢?對(duì)于圖片中的文件類型,小編今天為大家詳細(xì)講解一下,希望您在遇到相同情況時(shí)能夠有所甄別。
html文件是以“.html”或“.htm”為擴(kuò)展名,可以使用記事本和網(wǎng)頁編輯軟件打開,簡單說就是網(wǎng)頁。日常比較常見的,就是我們?cè)跒g覽器中導(dǎo)入\導(dǎo)出收藏夾時(shí),都會(huì)看到“從HTML文件導(dǎo)入\導(dǎo)出至HTML文件”。
html文件被提示木馬的情況有兩種:
①屬于殺毒軟件的誤報(bào)。這種情況無需處理。
②中了ramnit 病毒。這種病毒隱蔽性極高、感染性極強(qiáng)。如果你的電腦上很多看似正常的軟件都被報(bào)毒了,就要留心注意是否存在感染性病毒。
從Windows98開始,系統(tǒng)增加了圖片預(yù)覽功能,保存了圖片的文件夾下會(huì)產(chǎn)生一個(gè)名為“Thumbs.db”的文件。Thumbs.db文件可緩存圖像文件的格式包括:jpeg,bmp,gif,tif,pdf和htm。
Thumbs.db文件是一個(gè)數(shù)據(jù)庫,里面保存了這個(gè)目錄下所有圖像文件的縮略圖(格式為jpeg),這個(gè)文件的體積會(huì)隨著其所在文件夾的圖片的增加而增加。
Thumbs.db絕不是病毒,它其實(shí)就是一個(gè)數(shù)據(jù)庫文件,它的作用就是用來緩存緩存圖像文件的。
而Thumb.db是yuyun病毒,一種常見的U盤病毒,用來存儲(chǔ)病毒腳本的文件,經(jīng)過簡單加密,為了讓用戶混淆,特意取名為Thumb.db,與Thumbs.db僅僅一字之差,而且一般還加了隱藏和系統(tǒng)屬性。
$RECYCLE.BIN文件夾是系統(tǒng)重要的隱藏文件,一般存在于磁盤根目錄下。是系統(tǒng)“回收站”在每一個(gè)磁盤上的鏈接文件夾,用于保存磁盤上刪除的文件或者文件夾信息,我們恢復(fù)誤刪除到回收站中的文件或者文件夾時(shí)大有用處。一般我們?cè)O(shè)置顯示磁盤的隱藏文件后,才能看到它。該文件夾在win7及之前系統(tǒng)上名稱是Recycler,win8及之后操作系統(tǒng)上名稱是Recycle.bin。
$RECYCLE.BIN文件夾是正常的系統(tǒng)文件,不是病毒,不用刪除。
還需要注意的是,顯示隱藏文件后,磁盤根目錄下還會(huì)出現(xiàn)一個(gè)System Volume Information文件夾。它是NTFS格式磁盤的系統(tǒng)文件,漢語意思是“系統(tǒng)卷標(biāo)信息”,用于存儲(chǔ)系統(tǒng)還原的備份信息。該文件夾如果強(qiáng)制刪除之后,相應(yīng)磁盤就打不開了。
Recycle.bin被提示木馬的情況有兩種:
①屬于殺毒軟件的誤報(bào)。這種情況無需處理,也不需要恢復(fù)顯示。
②該文件夾下存在病毒文件。此時(shí)只需對(duì)該文件夾下的病毒文件進(jìn)行查殺即可,無需將整個(gè)文件夾粉碎刪除。
免責(zé)聲明:素材源于網(wǎng)絡(luò),如有侵權(quán),請(qǐng)聯(lián)系刪稿。
源:江西公安
緊 急 預(yù) 警
近日,南城縣公安局通過工作發(fā)現(xiàn),我縣企業(yè)財(cái)會(huì)人員微信群內(nèi)被詐騙分子植入木馬,電腦中了該木馬病毒后,會(huì)監(jiān)控電腦內(nèi)的所有內(nèi)容,并且詐騙分子能遠(yuǎn)程操控中毒電腦,通常會(huì)冒充老板要求向不明賬戶轉(zhuǎn)款。請(qǐng)轄區(qū)內(nèi)企業(yè)人員在電腦上登入過電腦版微信且點(diǎn)擊過下圖的文件,立即自行下載火絨殺毒軟件進(jìn)行查殺(網(wǎng)址:https://www.huorong.cn/person5.html),如未查殺成功的請(qǐng)與公安局網(wǎng)安大隊(duì)李警官聯(lián)系(聯(lián)系電話:13687900183)。
南城公安溫馨提示:公司財(cái)會(huì)人員在接到轉(zhuǎn)賬指令后,要嚴(yán)格執(zhí)行有關(guān)財(cái)務(wù)制度,通過見面匯報(bào)、電話等多種形式確認(rèn)轉(zhuǎn)款要求。
南城縣公安局
2023年9月1日
來源:南城公安
網(wǎng)址網(wǎng)頁源碼的DOM解析技術(shù),在處理完爬取下來的短網(wǎng)址網(wǎng)頁源碼后,上次講述了短網(wǎng)址網(wǎng)頁木馬掛馬的9種方式與短網(wǎng)址頁面源碼《短網(wǎng)址網(wǎng)頁木馬常見9種掛馬技術(shù)》, 接下來要進(jìn)行的是木馬特征值的匹配。
短網(wǎng)址木馬解析一、木馬特征庫建立
在創(chuàng)建木馬特征庫時(shí),需要將常見的短網(wǎng)網(wǎng)頁掛馬方式寫入數(shù)據(jù)庫中。不同的網(wǎng)頁木馬地址數(shù)量很大,且HTML中標(biāo)簽屬性的表示方式可以有多種,例如:width=“0”或者width=:“0”等。如果將每一種可能存在的網(wǎng)頁木馬類型都寫入數(shù)據(jù)庫,這將造成木馬庫十分龐大,并且造成檢測(cè)的效率大大降低。
因此,這里引入正則表達(dá)式來描述木馬特征庫。根據(jù)前面介紹的正則表達(dá)式的常見符號(hào),可以提取每一類短網(wǎng)址網(wǎng)頁掛馬的特征值,寫入木馬特征表中,從而大大降低木馬特征庫的容量,提高短網(wǎng)址網(wǎng)頁代碼與特征值匹配的效率。
此外,該特征庫同時(shí)也可智能化的將用戶或管理員輸入的短網(wǎng)址網(wǎng)頁木馬特征直接轉(zhuǎn)化為正則表達(dá)式并寫入木馬特征庫數(shù)據(jù)庫。
短網(wǎng)址木馬解析二、木馬特征碼匹配
網(wǎng)頁源碼與木馬特征值的匹配就是字符串與正則表達(dá)式的匹配。正則表達(dá)式的匹配都是通過正則表達(dá)式引擎實(shí)現(xiàn)的。正則表達(dá)式引擎分為兩類:基于NFA (非確定型有窮狀態(tài)自動(dòng)機(jī))和基于DFA (確定型有窮狀態(tài)自動(dòng)機(jī))的引擎。DFA和NFA的區(qū)別在于,DFA對(duì)于一個(gè)狀態(tài)和一個(gè)輸入,一定會(huì)有一個(gè)唯一的后續(xù)狀態(tài),而NFA可能有多個(gè)狀態(tài),也可能沒有。一般來說,DFA正則在編譯的時(shí)候花的時(shí)間會(huì)多一點(diǎn),但是在匹配的時(shí)候會(huì)更快一點(diǎn)。一般情況下,NFA引擎更多的被運(yùn)用于實(shí)際使用中。
短網(wǎng)址木馬解析三、正則匹配時(shí),有兩條最重要的規(guī)則:
1)優(yōu)先選擇最左端的結(jié)果。
2)對(duì)標(biāo)準(zhǔn)匹配量詞’{m,n}’、‘+’、‘*’、‘?’優(yōu)先使用貪婪模式。"貪婪匹配”模式是說,當(dāng)解釋器將代碼中的字符解析成一個(gè)個(gè)的編譯器,在處理代碼時(shí)的最小語法單元時(shí),編譯器會(huì)使用一種貪婪匹配算法,也就是說會(huì)盡可能讓一個(gè)單元包含更多的字符。
短網(wǎng)址主要基于NFA引擎,結(jié)合了 Matcher類和Pattern類進(jìn)行字符串與正則表達(dá)式的匹配,一個(gè)Pattern對(duì)象是一個(gè)正則表達(dá)式經(jīng)編譯后的表現(xiàn)模式,一個(gè)Matcher對(duì)象是一個(gè)狀態(tài)機(jī),它依據(jù)Pattern對(duì)象作為匹配模式對(duì)字符串展開匹配檢查。
Pattern類用于創(chuàng)建一個(gè)正則表達(dá)式,也就是創(chuàng)建一個(gè)匹配模式,它的構(gòu)造方法是私有的,不可以直接創(chuàng)建,但可以通過Pattern. complie( String regex )簡單工廠方法創(chuàng)建一個(gè)正則表達(dá)式。例如:
Pattern P = Pattem.complie( ‘‘\w+”); p.Pattern();//返回w+
Pattern()返回的是正則表達(dá)式的字符串形式。用于實(shí)現(xiàn)快速匹配字符串的方法是Pattem.matcher(CharSequence input),它返回的是一個(gè) Matcher對(duì)象。
系統(tǒng)中的主要匹配過程如下:
String patt = trojan.getTrojanConteiit(); Pattern P = Pattem.Compile(patt);
Matcher m = p.matcher(detectionCoiitent);
這里從前臺(tái)獲取用戶選擇的木馬檢測(cè)類型,查詢得到數(shù)據(jù)庫中該類型的短網(wǎng)址網(wǎng)頁木馬正則表達(dá)式pattern后,將該正則表達(dá)式編譯成字符串形式,網(wǎng)頁源碼或是DOM解析技術(shù)提取過的源碼作為input參數(shù)傳給matcherO方法。這個(gè)Pattern對(duì)象P使用matcher()方法來生成一個(gè)Matcher實(shí)例M,接著便可以使用該Matcher實(shí)例以編譯的正則表達(dá)式為基礎(chǔ)對(duì)目標(biāo)字符串進(jìn)行匹配工作。
在進(jìn)行網(wǎng)頁源碼中的木馬匹配查找時(shí),用到Matcher類中的一些方法,其中boolean find()用于嘗試在目標(biāo)字符串里查找下一個(gè)匹配子串;
intstart(intgrcup)方法用于計(jì)算當(dāng)前查找到的指定木馬字符串的第一個(gè)字符在網(wǎng)頁源碼中的位置;
inteiid(int group)用于計(jì)算木馬匹配模式里指定的組相匹配的子串最盾一個(gè)字符的位置;
String group(int group)用于獲取特定查找而獲得的網(wǎng)頁木馬代碼的內(nèi)容;
intgroupCoimt()方法則用來返回當(dāng)前查找所獲得的網(wǎng)頁木馬的數(shù)量。
通過調(diào)用上的方法,可以獲取查找到的木馬代碼、木馬的位置以及木馬的個(gè)數(shù)。
在Matcher類和Pattern類的基礎(chǔ)上,本系統(tǒng)提供了兩個(gè)方法分別為:publicstatic void trojanDetectionByDoin(String detectionContent, String trojanType, Stringemail,String tele,String url)和 public static voi過 trojanDetectionByType(StringdetectionContent, String trojanType,Stringemail,String tele,String url),前者用于匹配經(jīng)過DOM解析后的網(wǎng)頁源碼,后者用于匹配順序?qū)彶榈木W(wǎng)頁源碼。
這兩個(gè)方法中包含的五個(gè)參數(shù)的意義分別為:detectionContent是待匹配的網(wǎng)頁源碼;trojanType是匹配的網(wǎng)頁木馬類型;email和tele分別是用戶注冊(cè)時(shí)填寫的郵箱和電話號(hào)碼,這兩個(gè)參致用于查找到網(wǎng)巧木馬后,及時(shí)通知用戶網(wǎng)站的異常情況;url是檢測(cè)的網(wǎng)站網(wǎng)址,記錄網(wǎng)址便于生成檢測(cè)報(bào)表,供用戶查看詳細(xì)的檢測(cè)情況。
原文來自:短網(wǎng)址網(wǎng)頁木馬特征解析 http://980.so/article_195.html
*請(qǐng)認(rèn)真填寫需求信息,我們會(huì)在24小時(shí)內(nèi)與您取得聯(lián)系。
