整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
天小編打開電腦,桌面上突然彈出U盤中發現危險木馬文件的提示(如下圖所示)。定睛一看,原來是小編自己從edge瀏覽器導出的收藏夾html文件、回收站文件夾和數據庫文件。
明明都是一些正常的文件,為什么被提示是木馬呢?對于圖片中的文件類型,小編今天為大家詳細講解一下,希望您在遇到相同情況時能夠有所甄別。
html文件是以“.html”或“.htm”為擴展名,可以使用記事本和網頁編輯軟件打開,簡單說就是網頁。日常比較常見的,就是我們在瀏覽器中導入\導出收藏夾時,都會看到“從HTML文件導入\導出至HTML文件”。
html文件被提示木馬的情況有兩種:
①屬于殺毒軟件的誤報。這種情況無需處理。
②中了ramnit 病毒。這種病毒隱蔽性極高、感染性極強。如果你的電腦上很多看似正常的軟件都被報毒了,就要留心注意是否存在感染性病毒。
從Windows98開始,系統增加了圖片預覽功能,保存了圖片的文件夾下會產生一個名為“Thumbs.db”的文件。Thumbs.db文件可緩存圖像文件的格式包括:jpeg,bmp,gif,tif,pdf和htm。
Thumbs.db文件是一個數據庫,里面保存了這個目錄下所有圖像文件的縮略圖(格式為jpeg),這個文件的體積會隨著其所在文件夾的圖片的增加而增加。
Thumbs.db絕不是病毒,它其實就是一個數據庫文件,它的作用就是用來緩存緩存圖像文件的。
而Thumb.db是yuyun病毒,一種常見的U盤病毒,用來存儲病毒腳本的文件,經過簡單加密,為了讓用戶混淆,特意取名為Thumb.db,與Thumbs.db僅僅一字之差,而且一般還加了隱藏和系統屬性。
$RECYCLE.BIN文件夾是系統重要的隱藏文件,一般存在于磁盤根目錄下。是系統“回收站”在每一個磁盤上的鏈接文件夾,用于保存磁盤上刪除的文件或者文件夾信息,我們恢復誤刪除到回收站中的文件或者文件夾時大有用處。一般我們設置顯示磁盤的隱藏文件后,才能看到它。該文件夾在win7及之前系統上名稱是Recycler,win8及之后操作系統上名稱是Recycle.bin。
$RECYCLE.BIN文件夾是正常的系統文件,不是病毒,不用刪除。
還需要注意的是,顯示隱藏文件后,磁盤根目錄下還會出現一個System Volume Information文件夾。它是NTFS格式磁盤的系統文件,漢語意思是“系統卷標信息”,用于存儲系統還原的備份信息。該文件夾如果強制刪除之后,相應磁盤就打不開了。
Recycle.bin被提示木馬的情況有兩種:
①屬于殺毒軟件的誤報。這種情況無需處理,也不需要恢復顯示。
②該文件夾下存在病毒文件。此時只需對該文件夾下的病毒文件進行查殺即可,無需將整個文件夾粉碎刪除。
免責聲明:素材源于網絡,如有侵權,請聯系刪稿。
源:江西公安
緊 急 預 警
近日,南城縣公安局通過工作發現,我縣企業財會人員微信群內被詐騙分子植入木馬,電腦中了該木馬病毒后,會監控電腦內的所有內容,并且詐騙分子能遠程操控中毒電腦,通常會冒充老板要求向不明賬戶轉款。請轄區內企業人員在電腦上登入過電腦版微信且點擊過下圖的文件,立即自行下載火絨殺毒軟件進行查殺(網址:https://www.huorong.cn/person5.html),如未查殺成功的請與公安局網安大隊李警官聯系(聯系電話:13687900183)。
南城公安溫馨提示:公司財會人員在接到轉賬指令后,要嚴格執行有關財務制度,通過見面匯報、電話等多種形式確認轉款要求。
南城縣公安局
2023年9月1日
來源:南城公安
網址網頁源碼的DOM解析技術,在處理完爬取下來的短網址網頁源碼后,上次講述了短網址網頁木馬掛馬的9種方式與短網址頁面源碼《短網址網頁木馬常見9種掛馬技術》, 接下來要進行的是木馬特征值的匹配。
短網址木馬解析一、木馬特征庫建立
在創建木馬特征庫時,需要將常見的短網網頁掛馬方式寫入數據庫中。不同的網頁木馬地址數量很大,且HTML中標簽屬性的表示方式可以有多種,例如:width=“0”或者width=:“0”等。如果將每一種可能存在的網頁木馬類型都寫入數據庫,這將造成木馬庫十分龐大,并且造成檢測的效率大大降低。
因此,這里引入正則表達式來描述木馬特征庫。根據前面介紹的正則表達式的常見符號,可以提取每一類短網址網頁掛馬的特征值,寫入木馬特征表中,從而大大降低木馬特征庫的容量,提高短網址網頁代碼與特征值匹配的效率。
此外,該特征庫同時也可智能化的將用戶或管理員輸入的短網址網頁木馬特征直接轉化為正則表達式并寫入木馬特征庫數據庫。
短網址木馬解析二、木馬特征碼匹配
網頁源碼與木馬特征值的匹配就是字符串與正則表達式的匹配。正則表達式的匹配都是通過正則表達式引擎實現的。正則表達式引擎分為兩類:基于NFA (非確定型有窮狀態自動機)和基于DFA (確定型有窮狀態自動機)的引擎。DFA和NFA的區別在于,DFA對于一個狀態和一個輸入,一定會有一個唯一的后續狀態,而NFA可能有多個狀態,也可能沒有。一般來說,DFA正則在編譯的時候花的時間會多一點,但是在匹配的時候會更快一點。一般情況下,NFA引擎更多的被運用于實際使用中。
短網址木馬解析三、正則匹配時,有兩條最重要的規則:
1)優先選擇最左端的結果。
2)對標準匹配量詞’{m,n}’、‘+’、‘*’、‘?’優先使用貪婪模式。"貪婪匹配”模式是說,當解釋器將代碼中的字符解析成一個個的編譯器,在處理代碼時的最小語法單元時,編譯器會使用一種貪婪匹配算法,也就是說會盡可能讓一個單元包含更多的字符。
短網址主要基于NFA引擎,結合了 Matcher類和Pattern類進行字符串與正則表達式的匹配,一個Pattern對象是一個正則表達式經編譯后的表現模式,一個Matcher對象是一個狀態機,它依據Pattern對象作為匹配模式對字符串展開匹配檢查。
Pattern類用于創建一個正則表達式,也就是創建一個匹配模式,它的構造方法是私有的,不可以直接創建,但可以通過Pattern. complie( String regex )簡單工廠方法創建一個正則表達式。例如:
Pattern P = Pattem.complie( ‘‘\w+”); p.Pattern();//返回w+
Pattern()返回的是正則表達式的字符串形式。用于實現快速匹配字符串的方法是Pattem.matcher(CharSequence input),它返回的是一個 Matcher對象。
系統中的主要匹配過程如下:
String patt = trojan.getTrojanConteiit(); Pattern P = Pattem.Compile(patt);
Matcher m = p.matcher(detectionCoiitent);
這里從前臺獲取用戶選擇的木馬檢測類型,查詢得到數據庫中該類型的短網址網頁木馬正則表達式pattern后,將該正則表達式編譯成字符串形式,網頁源碼或是DOM解析技術提取過的源碼作為input參數傳給matcherO方法。這個Pattern對象P使用matcher()方法來生成一個Matcher實例M,接著便可以使用該Matcher實例以編譯的正則表達式為基礎對目標字符串進行匹配工作。
在進行網頁源碼中的木馬匹配查找時,用到Matcher類中的一些方法,其中boolean find()用于嘗試在目標字符串里查找下一個匹配子串;
intstart(intgrcup)方法用于計算當前查找到的指定木馬字符串的第一個字符在網頁源碼中的位置;
inteiid(int group)用于計算木馬匹配模式里指定的組相匹配的子串最盾一個字符的位置;
String group(int group)用于獲取特定查找而獲得的網頁木馬代碼的內容;
intgroupCoimt()方法則用來返回當前查找所獲得的網頁木馬的數量。
通過調用上的方法,可以獲取查找到的木馬代碼、木馬的位置以及木馬的個數。
在Matcher類和Pattern類的基礎上,本系統提供了兩個方法分別為:publicstatic void trojanDetectionByDoin(String detectionContent, String trojanType, Stringemail,String tele,String url)和 public static voi過 trojanDetectionByType(StringdetectionContent, String trojanType,Stringemail,String tele,String url),前者用于匹配經過DOM解析后的網頁源碼,后者用于匹配順序審查的網頁源碼。
這兩個方法中包含的五個參數的意義分別為:detectionContent是待匹配的網頁源碼;trojanType是匹配的網頁木馬類型;email和tele分別是用戶注冊時填寫的郵箱和電話號碼,這兩個參致用于查找到網巧木馬后,及時通知用戶網站的異常情況;url是檢測的網站網址,記錄網址便于生成檢測報表,供用戶查看詳細的檢測情況。
原文來自:短網址網頁木馬特征解析 http://980.so/article_195.html
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
