关于内网木马
之所以我叫它内网木马是因为这种木马是可以绕过放火墙的,既然能绕过防火墙是因为它的边接方式不同。
我估计是利用了IP掩码吧!!!
通过一段时间的观察自以为当本机连接网页时因防火墙处于计算机最外层首先对网址进行过滤,过滤后将正常网址转化成计算机内部地址大概是以127.
0.0.1出现。通常防火对内部IP是放行的
我所认为的内部地址为0.0.0.0 或127.0.0.1 、255.255.255.255
对127.0.0.1来说大多通向此处的连接是无效的,通过防火墙观察连接可知其实不然。(原理不明)
这种木马多是DLL注入型,既将自身注入DLL文件中空白地址处。注入后无进程、无DLL、无端口。既使是有经验的管理员也难发现其藏身处(只有通过跟踪分析指令发现)
我的防御方法:1.删除感染文件(识别感染文件用防火墙可办到被感染文件通常在防火墙中为红色),使用SFC命令恢复系统文件。
2.把防火墙访问控制-选项-功能选项中除“启用瑞星信任程序智能识别模式”-项取消其它两项选中。将“不在访问规则中的程序访问网络的默认动作”全部选则拒绝。
3.防火墙-访问控制-程序规则中将SvcHost.exe选为自定义规则并点选防篡改加入以下规则:拒绝所有0.0.0.0到本机连接
可将此规则加入其它程序中(.此规则设置不当可能会导致网络连接故障)
4.对防火墙进行密码控制。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)
