机器狗防御方案

好几天前就想发一篇关于机器狗防御办法的帖子，但是因为素材本站都有了 。只是看你细心与否。
不过因为我语文不好，文章标题有点模糊，所以可能有些朋友注意不到。。哎。。。以实为实就是得不到观众的喜爱，没办法。。于是今天再总结性的说一下机器狗防御办法~

中心思想，断绝机器狗的来源。 www.zixunz.cn

机器狗是从哪感染到机器上的呢？

zixunz.cn

说白了一点，是从网页感染的多，下载感染的少，也就是说把网页自动下载的漏洞给搞定，也就没什么大问题了~为什么说火狐浏览器安全？因为他可以杜绝大部分网马的下载。因为我记得我看过关于火狐浏览器的防马办法。印象最深的就是对IE管用的ifram框架挂马方式，在火狐浏览器下无效。恰恰在那个时候MS06-014漏洞很火爆。所以有了火狐浏览器不中网马的说法~~

zixunz.com

但是如今不一样了 。随着网民的安全认识提高。大家都知道打补丁了。病毒不限于只用MS的漏洞来传播病毒了~
他们对第三方软件开始感兴趣，发觉他们的漏洞。 www.zixunz.com

什么是第三方软件？我自己的理解哈，不一定正确，所谓第三方软件，就是使用微软原版系统装好后，你又往上安装的软件，都可以叫做第三方软件吧，我是这么理解了 。 www.zixunz.com

比如播放器。聊天软件，游戏。等等，都可以叫做第三方软件。那么以前病毒利用微软漏洞，我们给系统打微软的补丁，如今第三方软件有漏洞了。我们顺其自然的就该去搞第三方软件漏洞的屏蔽。可是个人用户好办。因为就一台机器，怎么搞都容易，可是网吧不同。机器多。通常是一个人搞定几百，甚至几千台机器，埃台机器打第三方软件漏洞补丁，不死人才怪。所以，今天我就针对目前网马利用比较频繁的第三方软件漏洞来说以说，最简单的防御办法！

1、最好用，最灵光的Real Player播放器溢出漏洞。

www@zixunz@com

很多人都在用Real Player播放器，版本比较普及的就是10.5和10.6吧，新出的11用的人应该不多，我不用是因为界面看上去实在是很恶心。。。不习惯，于是一直用10.5，包括我的CLXP里装的也都是10.5版本。
可是这个版本是存在溢出漏洞的。网马可以使用它的漏洞来下载病毒，木马程序。当然也可以下载机器狗。
尽管REAL官方提供补丁了 。但是我测试的是不灵光。。。访问网马页面，REAL一样弹。。。
那么最有效的办法是什么？哈哈。墨迹了半天，该出真货了。 zixunz.com

有开机通道的朋友有福了，防real player10.x版本的溢出漏洞方法：

zixunz.com

 程序代码
taskkill /f /im realsched.exe
ren "C:\Program Files\Real\RealPlayer\rpplugins\ierpplug.dll" ierpplug.dlxxx

哈哈，一样代码就搞定，原理就是把存在溢出漏洞的文件给改名，同时不影响real使用。
详细的发现过程，请参见本站：
 引用内容
realplay溢出漏洞绝对有效的解决办法~ - 死性不改's Blog~
http://www.clxp.net.cn/article.asp?id=609

www@zixunz@com

2、经久不衰的MS06-014漏洞。
有人打过微软补丁的就没事了。不过有人不一定打补丁，，比如我。。。那怎么办呢？
当然有办法了，要是没办法早去打微软补丁了。 资讯站

利用开机通道。把下面批处理代码加到开机脚本中。。。此功劳要归功于LZ-MyST，MS06-014利用最疯狂的死后，似乎是用来传播ARP病毒的时候。。。用了这个办法。。ARP才得以制止。。 zixunz.com

 程序代码
regsvr32 /u /s "C:\Program Files\Common Files\System\msadc\msadco.dll"
ren "C:\Program Files\Common Files\System\msadc\msadco.dll" msadco.dlxxx zixunz.com

原理就是解除MS06-014漏洞存在文件的系统注册。然后将其改名。。经过N人N台机器的测试，没有影响系统正常使用。同时能搞定MS06-014漏洞。。 www~zixunz~cn

详细的发现过程，请参见本站
 引用内容
关于IE自动下载漏洞 - 死性不改's Blog~
http://www.clxp.net.cn/article.asp?id=3

对于其他一些流行漏洞，比如暴风2.他的漏洞组件是mps.dll文件。。因为我不用暴风2，不知道重命名mps.dll文件是否可行，建议大家测试。。 zixunz@com

百度搜霸ActiveX控件远程代码执行漏洞，似乎网吧很少装这些垃圾插件。忽略不计。。如果装了。临时解决办法。把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时，很多人都是用这个办法进制他网页自动下载安装的。。

 程序代码
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{A7F05EE4-0426-454F-8013-C41E3596E9E9}]
"Compatibility Flags"=dword:00000400

PPStream 堆栈溢出漏洞，反正俺网吧没装这个，，同时禁止下载。。所以我不用担心它。。
如果你的网吧安装了。怎么办呢？ zixunz.cn

把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时，很多人都是用这个办法进制他网页自动下载安装的。。 zixunz@com

 程序代码
Windows Registry Editor Version 5.00

资讯站

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{5EC7C511-CD0F-42E6-830C-1BD9882F3458}]
"Compatibility Flags"=dword:00000400
迅雷ActiveX控件DownURL2方式远程缓冲区溢出漏洞，靠靠的，我都进制下载了。迅雷和我网吧就更无缘了。
如果你的网吧装了。。。咋办？同上。
把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时，很多人都是用这个办法进制他网页自动下载安装的。。 zixunz#cn

 程序代码
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EEDD6FF9-13DE-496B-9A1C-D78B3215E266}]
"Compatibility Flags"=dword:00000400 zixunz#cn

联众也有漏洞哈。。。我网吧装了。。从做系统太累，也用上面的方法搞一下吧。。

把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时，很多人都是用这个办法进制他网页自动下载安装的。。 www.zixunz.cn

 程序代码
Windows Registry Editor Version 5.00

zixunz@com

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{AE93C5DF-A990-11D1-AEBD-5254ABDD2B69}]
"Compatibility Flags"=dword:00000400

zixunz.com

超星阅读器，用都没用过的。。。。如果你安装了。。用上面的方法禁止。。 www~zixunz~cn

把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。记得3721流行时，很多人都是用这个办法进制他网页自动下载安装的。。 zixunz@com

 程序代码
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7F5E27CE-4A5C-11D3-9232-0000B48A05B2}]
"Compatibility Flags"=dword:00000400

迅雷看看 www.zixunz.cn

把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。 www@zixunz@com

 程序代码
Windows Registry Editor Version 5.00 zixunz.com

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F3E70CEA-956E-49CC-B444-73AFE593AD7F}]
"Compatibility Flags"=dword:00000400 zixunz.com

Qvod漏洞 www~zixunz~cn

把下面代码框内容保存为注册表。。。导入。。原理就是进制ActiveX。。 www.zixunz.cn

 程序代码
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F3D0D36F-23F8-4682-A195-74C92B03D4AF}]
"Compatibility Flags"=dword:00000400 www.zixunz.com

红色的部分叫做CLSID。。具体作用请百度。。。漏洞软件的CLSID收集请见本站。
 引用内容
2007流行漏洞的对应插件CLSID及其介绍 - 死性不改's Blog~
http://www.clxp.net.cn/article.asp?id=728

www.zixunz.com

漏洞详情，请参见本站。原文是NEEAO写的。。我只是转了一下。。
 程序代码
2007年度网马漏洞不完全总结 - 死性不改's Blog~
http://www.clxp.net.cn/article.asp?id=690

zixunz#cn

行了。墨墨迹迹说了半天，也不知道大家能看懂不，看不懂我也没辙了..文学功底有限..说的不对的地方大家尽管批评，老楚认真接受。努力改正！
本文来源于[捌度空间]，原文链接：http://8-du.net/Article/2008/0807/article_42086.html ^资讯站^