>症状:所有浏览器快捷方式,都被加上尾巴,例如IE的:"C:\Program Files\Internet Explorer\iexplore.exe" http://hao643.com/?r=ggggg&m=c104手工去掉尾巴后,每隔一定时间(网友说是30分钟)后,尾巴重新被加上.PS:这病毒仅修改快捷方式,应该没有其它病毒特征. >解决方案:1.安装WMITools(点击下载)2.管理员身份打开 C:\Program Files (x86)\WMI Tool

>症状:所有浏览器快捷方式,都被加上尾巴,例如IE的:"C:\Program Files\Internet Explorer\iexplore.exe" http://hao643.com/?r=ggggg&m=c104手工去掉尾巴后,每隔一定时间(网友说是30分钟)后,尾巴重新被加上.PS:这病毒仅修改快捷方式,应该没有其它病毒特征. >解决方案:1.安装WMITools(点击下载)2.管理员身份打开 C:\Program Files (x86)\WMI Tool

前言 HSTS 的出现,对 HTTPS 劫持带来莫大的挑战. 不过,HSTS 也不是万能的,它只能解决 SSLStrip 这类劫持方式.但仔细想想,SSLStrip 这种算劫持吗? 劫持 vs 钓鱼 从本质上讲,SSLStrip 这类工具的技术含量是很低的.它既没破解什么算法,也没找到协议漏洞,只是修改和代理了明文的封包而已. 如果说劫持,要保持源站点不变才算的话,那 SSLStrip 并没做到.根据同源的定义,<协议, 主机名, 端口> 三者必须相同.显然它修改了协议,因此并非在源站点上劫持

Chrome出了个小bug:论如何在Chrome下劫持原生只读对象 概述 众所周知,虽然JavaScript是个很灵活的语言,浏览器里很多原生的方法都可以随意覆盖或者重写,比如alert.但是为了保证网页的安全性和网页制作者的一定控制权,有些浏览器对象是无法更改的,比如"window.location"对象,或者对它们的更改是无效的,比如"window.navigator"对象.然而,最近我发现Chrome出现了一个小"bug",在Chrome

今天安装了一个PDF阅读器,免费的,你懂的,结果自己安装的时候没有将默认的选项取消,就被hao123流氓网站劫持啦. 说实话某免费PDF阅读器还算好的,有一个可以供你选择的项.不想某些软件直接就默认选择. 结果在网上捞了很久才把hao123流氓网给去掉. 下面是一个举报网址:http://www.cyberpolice.cn/wfjb/frame/impeach/chooseImpeachAnonymous.jsp 类似的流氓软件一定要举报. 方法也算是很简单的. 自己做了个批处理,方便大家来对

前言 在之前介绍的流量劫持文章里,曾提到一种『HTTPS 向下降级』的方案 -- 将页面中的 HTTPS 超链接全都替换成 HTTP 版本,让用户始终以明文的形式进行通信. 看到这,也许大家都会想到一个经典的中间人攻击工具 -- SSLStrip,通过它确实能实现这个效果. 不过今天讲解的,则是完全不同的思路,一种更有效.更先进的解决方案 -- HTTPS 前端劫持. 后端的缺陷 在过去,流量劫持基本通过后端来实现,SSLStrip 就是个典型的例子. 类似其他中间人工具,纯后端的实现只能操控最

前言 之前介绍了 HTTPS 前端劫持 的方案,虽然很有趣,然而现实却并不理想.其唯一.也是最大的缺陷,就是无法阻止脚本跳转.若是没有这个缺陷,那就非常完美了 -- 当然也就没有必要写这篇文章了. 说到底,还是因为无法重写 location 这个对象 -- 它是脚本跳转的唯一渠道.尽管也流传一些 Hack 能勉强实现,但终究是不靠谱的. 事实上,在最近封稿的 HTML5 标准里,已非常明确了 location 的地位 -- Unforgeable. 这是个不幸的消息.不过也是件好事,让我们彻底打

精简版:http://www.cnblogs.com/index-html/p/mitm-cookie-crack.html 前言 上一篇文章 讲解了如何借助前端技术,打造一个比 SSLStrip 更高大上的工具. 今天我们再次使用这套战术,通过前后端的里应外合,实现一个杀手锏级的攻击方案 -- Cookie 数据大喷发. 传统嗅探 在过去,Cookie 的窃取大多通过嗅探流量来实现. 这种方法具有很强的隐蔽性,让人几乎难以察觉.然而,正因为如此,也面临一个巨大的缺陷:速度太过缓慢. 中间人只能

作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting).CSRF跨站请求伪造(Cross-site request forgery).但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块很感兴趣,便深入研究了一番. 最近用 JavaScript 写了一个组件,可以在前端层面防御部分 HTTP 劫持与 XSS. 当然,防御这些劫持最好的方法还是从后端入手,前端能做的实在太少.而且由于源码的暴露,攻击者很容易绕过我们的防御手段.但是这不代表我

附上另一个人的解决方法:http://www.discuz.net/thread-3549930-3-1.html 问题如下: 快照被劫持,无论怎么申诉,怎么更新快照,都无法消除此问题,第一次打开网站的时候会定位到博彩网站. 现在提供一种解决方法: 1.首先用文件校验工具,查询哪些文件不是自己改动过的. 2.对比文件. 上图可以显示不同点,删掉多余的代码即可. 结语:黑客技术变化莫测,但是我们可以最大限度限制黑客: 1.FTP或者云服务器登录密码尽量复杂且不重复于其他网站,避免撞库攻击. 2.关

首先在目标A机器上运行Wireshark并开启浏览器,开启前关闭其他占用网络的软件,这里我拿51CTO.com做测试. 正常登陆51CTO用户中心,此时使用 http.cookie and http.request.method==POST 语法对Wireshark捕获的数据包进行过滤. 如图所示,展开Hypertext Transfer Protocol项查看捕获到的Cookie信息并将其复制为纯文本. 下面登陆B机器,使用Firefox或Chrome插件对捕获到的Cookie信息进行利用.

声明:本文具有一定攻击性,仅作为技术交流和安全教学之用,不要用在除了搭建环境之外的环境. 0×01 题记 又是一年十月一,想到小伙伴们都纷纷出门旅游,皆有美酒佳人相伴,想到这里,不禁潸然泪下.子曰:"长得丑就要多读书!"于是有了这篇文章. 0×02 简要介绍 这篇文章的主要目的是介绍一下一个最新的中间人攻击测试框架 – MITMf.工具的作者是byt3bl33d3r,是基于代理工具sergio-proxy修改而来.这里是工具的地址: https://github.com/byt3bl3

在上一篇<WiFi流量劫持—— 浏览任意页面即可中毒>构思了一个时光机原型,让我们的脚本通过HTTP缓存机制,在未来的某个时刻被执行,因此我们可以实现超大范围的入侵了. 基于此原理,我们用NodeJS来实现一个简单的样例.得益于node强大的IO管理,以及各种封装好的网络模块,我们可以很容易实现这个想法: 开启一个特殊的DNS服务:所有域名都解析到我们的电脑上.并把Wifi的DHCP-DNS设置为我们的电脑IP. 之后连上Wifi的用户打开任何网站,请求都将被我们的node服务收到.我们根据h

一.App劫持病毒介绍 App劫持是指执行流程被重定向,又可分为Activity劫持.安装劫持.流量劫持.函数执行劫持等.本文将对近期利用Acticity劫持和安装劫持的病毒进行分析. 二.Activity劫持病毒分析 2.1 Activity劫持病毒介绍 Activity劫持是指当启动某个窗口组件时,被恶意应用探知,若该窗口界面是恶意程序预设的攻击对象,恶意应用将启动自己仿冒的界面覆盖原界面,用户在毫无察觉的情况下输入登录信息,恶意程序在把获取的数据返回给服务端. 以MazarBOT间谍木马为

这周开始发现一个很让人抓狂的现象,QQ音乐网页(http://y.qq.com)与QQ视频(http://v.qq.com/)网页打开超慢,甚至是无法打开,严重影响了业余的音乐视频生活. 以QQ视频为例,截个事故现场图: 开始以为是电脑中毒了,结果用QQ电脑管家(http://guanjia.qq.com/)查杀,无中毒症状,用广东电信提供的测速平台,20M的网络宽带也是表现正常.直到浏览拍拍网(http://www.paipai.com/)的某个页面时,发现页面任意地方点击都是新窗口打开游戏广

近期大量网友出现chrome浏览器被劫持的情况,表现如下:           ·  点击(访问)任意网站任意链接均有概率弹出www.tradeadexchange.com.           ·  360.QQ管家.avast等防护软件扫描均未发现病毒. 小菜也不幸遇到了这个问题,开始还以为网站上原本就有广告呢,后来发现每个网站都会弹出来,又开始怀疑操作系统,但小菜平时很小心,几乎没有中毒的可能,最终只能定位到chrome浏览器扩展插件了. 于是小菜挨个删除扩展插件,每天删一个,删了半个月,

1.对于DIV注入的,可以初始化时检查全部html代码. 检测是否被劫持比较简单,但对抗就略麻烦,这个在说完第2点之后再解释. 2.对于js注入,可以在window监听DOMNodeInserted事件. 事件有srcElement,可以获取到刚插入的dom节点. 这里开始简单粗暴的做正则匹配,匹配所有url. 再逐个比较是否白名单域名,如果不是,则判定为劫持.可以上报,同时可以移除dom.parentNode.removeChild(dom); 但这样容易造成误伤,因为正常页面中可能有外部链接

看是否有文件上传操作(POST方法), IPREMOVED--[01/Mar/2013:06:16:48-0600]"POST/uploads/monthly_10_2012/view.php HTTP/1.1"20036"-""Mozilla/5.0" IPREMOVED--[01/Mar/2013:06:12:58-0600]"POST/public/style_images/master/profile/blog.php HTTP

缘由 我们公司最近手机端H5 经常受到商户和用户的投诉,说有广告并且导致不能正常进行操作,我们商户自己当然不会加广告了,但是商户和用户可不管这些了,就认为是我们的问题 探索发现根本 目前我们用的很多浏览器,都提供插件功能,在Chrome浏览器体系下有个 广告终结者插件:可以用来屏蔽网页中的广告部分.受到这个插件的影响,我先探索下 广告劫持是怎么做的?我就想到通过获取网页html代码过来分析,如下JS代码 setTimeout(function(){     $.ajax({         ur

有时候给网站做流量,免不了要做一些网站劫持的JS跳转,这里贴上一段劫持来源网站的JS跳转方法,很简单 <script> // 获取来源网站 var slyar = document.referrer; if(slyar.indexOf("qq")>0)// 判断网站是否来自腾讯网 // 劫持源网址跳转(这个就是让腾讯网跳转到指定的网站) window.opener.location.href = "http://www.我的域名.com"; //