南京李伟 小弟这里有一问题百思不得其解,望各位大侠能为小弟答疑解惑。偶在学习溢出的时候,用到了Webdav3溢出程序,但是每次运行后都出现以下E文提示“This application has been generated with an evaluation license of the per!App utility.The evaluation license has expired now.Please contact the author of this application for a non-expiring version of the program:yan xue",不知道是啥意民?还有就是Webdav溢出到底属于什么漏洞,因何产生?
ibicp;这段E文的大致意思是表示你正在使用的此版本程序已经被认为过期,请和作者(isnoQhacker.com.cn)联系获得一个末过期版本。我想这个问题很多读者都会在使用过程中碰到,解决方法其实很简单,大部分这类软件只要把系统时间调到过期时间以前就可以了,当然也有特例,调整系统时间并不能解决问题,这就需要破解该软件了。Wehdav是Microsoft Windows 2000ntdil.dllWebdav接口远程缓冲区溢出漏洞的简称,漏洞本身并不是IIS造成的,而是ntd11.d11里面的一个APT函数造成的。也就是说,很多调用这个API的应用程序都存在这个漏洞。整个漏洞的引用关系如下:
IIS-Webdav-kernel32!getfileattri
butesexw-ntdiirtidospathnametontpathname_u(溢出)。其中getfileattributesexw是一个很常用的用来得到文件属性的APT函数,它的第一个参数是文件名,并且随后调用ntdil.dll中的rtidospathnametontpa thname_u函数,来处理这个文件名。如果给出一个超长的文件名,就会导致rtidospathnametontpa thname__u函数中发生溢出。溢出从本质上来说是一个短整型数据溢出,而后导致了堆栈溢出。当我们对IIS发送如下请求就会触发溢出:search/[buffer(65513bytes)]http/l.0,其中IIS把buffer前面加上几个字节的路径,作为文件名参数传给了getfileattri butesexw,然后getfileattributesexw又把这个长字符串作为参数传给r t l d o s a t h n a m e tontpathname_u,最终溢出。成功利用这个漏洞后可以获得localsystem权限。其意义当然就是入侵者获得主机的完全控制能力了。
论坛Ix198727:黑防的大编们,救命呀!我的计算机自从运行了一个程序后就不能开机了, 一开机就出现 "送我一个千年之吻"的对话框,然后出现1分钟的系统倒记时,最后就关机了,请问这是为什么呀?我怎么才能救活我的系统呀?里面有很多重要的东西呀!
F-king:这是千年老妖的“妖之吻”,是一个恶意程序,玩笑成分居多,虽然地驻没有破坏作用,但如果不幸中了以后,会使整个系弘无法运行,而且使计算机无法启动,形成一个死循环,如果你不会破解方法的话,可能就要重装Windows或者是要格式化硬盘了,这样就会有很大的损失,使一些宝贵的资料丢失。
该文件实际上是一个蠕虫程序,运行后会出现一个“亲爱的,送你一个关机之吻……”对话框,然后开始倒计时,一分钟后系统重新启动,自动运行妖之吻,如此重复,使你无法进入系统,。
该程序运行后会在system.ini文件中加入一条命令“shell=",当你再次开机时,你中的”妖之吻“会被自动运行,如果用户运行的是普通模式,那么,会提示"?载X:\文件目录**.exe失败,必须重装windows”之类的话,然后停止启动,此时Windows尚未启动。如果是在安全模式下,则出现该提示后直接关机。
破解这个程序其实简单,只要在开机时按住F8键,使计算机进入MS-DOS方式,输入edit进入后编辑c:\windows\system.ini文件,把第一行的“shell=***”那些东西清除就可以了!
还有个比较笨但操作很方便的方法是用A盘启动系统,然后拷贝explorer.exe覆盖yzw.exe就可以了,另外,在出现倒记时的时候,打开命令提示符,输入“shoutdown -a"回车也可以取消系统关机。
论坛
馒头:我最近中了一个WELCHIA病毒,其最大的危就是不断的往新的地址里作大量ICMP操作,就算是不存在的地址也照样操作,致使网络堵塞,杀毒自然是个方法,但是由于防毒不利,病毒在几百台机器里上窜下跳,到处传染。请问有什么方法或者什么工具可以阻隔这种ICMP操作?
Guojpeng:利用微软RPC漏洞传播的“冲击波”里虫病毒及变种有10多种,该病毒就是最新截获的国内影响最大的“冲击波”(Worm.Blaster)病毒杀掉后,就在系统内植入预防冲击波病毒的疫苗。但这种蠕虫跟其它蠕虫没有两样,它造成的麻烦要比它提供的帮助大得多。Welchia不仅是针对DCOMRPC接口远程缓冲溢出进行攻击的,而且还是针对Windows 200 WebDAV远程缓冲溢出漏洞进行攻击的蠕虫,所以很多原来没有打过Web DAV漏洞补丁,只是因为“冲击波”病毒肆虐而临时仅仅打了DCOM RPC接口远程缓冲溢出漏洞补丁的计算机系统纷纷又重新中招。由于该病毒有自清除的特性,所以最简单的清除方法是修改系统时间年份至2004年,并重新启动系统,病毒即可清除,然后安装漏洞补丁后再矫正系统时间。从该病毒传播范围可以看出,大多数用户并没有同时打好两个补丁,看来如何加强用户的安全意识还是解决蠕虫问题的重中之重
