整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
天小编打开电脑,桌面上突然弹出U盘中发现危险木马文件的提示(如下图所示)。定睛一看,原来是小编自己从edge浏览器导出的收藏夹html文件、回收站文件夹和数据库文件。
明明都是一些正常的文件,为什么被提示是木马呢?对于图片中的文件类型,小编今天为大家详细讲解一下,希望您在遇到相同情况时能够有所甄别。
html文件是以“.html”或“.htm”为扩展名,可以使用记事本和网页编辑软件打开,简单说就是网页。日常比较常见的,就是我们在浏览器中导入\导出收藏夹时,都会看到“从HTML文件导入\导出至HTML文件”。
html文件被提示木马的情况有两种:
①属于杀毒软件的误报。这种情况无需处理。
②中了ramnit 病毒。这种病毒隐蔽性极高、感染性极强。如果你的电脑上很多看似正常的软件都被报毒了,就要留心注意是否存在感染性病毒。
从Windows98开始,系统增加了图片预览功能,保存了图片的文件夹下会产生一个名为“Thumbs.db”的文件。Thumbs.db文件可缓存图像文件的格式包括:jpeg,bmp,gif,tif,pdf和htm。
Thumbs.db文件是一个数据库,里面保存了这个目录下所有图像文件的缩略图(格式为jpeg),这个文件的体积会随着其所在文件夹的图片的增加而增加。
Thumbs.db绝不是病毒,它其实就是一个数据库文件,它的作用就是用来缓存缓存图像文件的。
而Thumb.db是yuyun病毒,一种常见的U盘病毒,用来存储病毒脚本的文件,经过简单加密,为了让用户混淆,特意取名为Thumb.db,与Thumbs.db仅仅一字之差,而且一般还加了隐藏和系统属性。
$RECYCLE.BIN文件夹是系统重要的隐藏文件,一般存在于磁盘根目录下。是系统“回收站”在每一个磁盘上的链接文件夹,用于保存磁盘上删除的文件或者文件夹信息,我们恢复误删除到回收站中的文件或者文件夹时大有用处。一般我们设置显示磁盘的隐藏文件后,才能看到它。该文件夹在win7及之前系统上名称是Recycler,win8及之后操作系统上名称是Recycle.bin。
$RECYCLE.BIN文件夹是正常的系统文件,不是病毒,不用删除。
还需要注意的是,显示隐藏文件后,磁盘根目录下还会出现一个System Volume Information文件夹。它是NTFS格式磁盘的系统文件,汉语意思是“系统卷标信息”,用于存储系统还原的备份信息。该文件夹如果强制删除之后,相应磁盘就打不开了。
Recycle.bin被提示木马的情况有两种:
①属于杀毒软件的误报。这种情况无需处理,也不需要恢复显示。
②该文件夹下存在病毒文件。此时只需对该文件夹下的病毒文件进行查杀即可,无需将整个文件夹粉碎删除。
免责声明:素材源于网络,如有侵权,请联系删稿。
源:江西公安
紧 急 预 警
近日,南城县公安局通过工作发现,我县企业财会人员微信群内被诈骗分子植入木马,电脑中了该木马病毒后,会监控电脑内的所有内容,并且诈骗分子能远程操控中毒电脑,通常会冒充老板要求向不明账户转款。请辖区内企业人员在电脑上登入过电脑版微信且点击过下图的文件,立即自行下载火绒杀毒软件进行查杀(网址:https://www.huorong.cn/person5.html),如未查杀成功的请与公安局网安大队李警官联系(联系电话:13687900183)。
南城公安温馨提示:公司财会人员在接到转账指令后,要严格执行有关财务制度,通过见面汇报、电话等多种形式确认转款要求。
南城县公安局
2023年9月1日
来源:南城公安
网址网页源码的DOM解析技术,在处理完爬取下来的短网址网页源码后,上次讲述了短网址网页木马挂马的9种方式与短网址页面源码《短网址网页木马常见9种挂马技术》, 接下来要进行的是木马特征值的匹配。
短网址木马解析一、木马特征库建立
在创建木马特征库时,需要将常见的短网网页挂马方式写入数据库中。不同的网页木马地址数量很大,且HTML中标签属性的表示方式可以有多种,例如:width=“0”或者width=:“0”等。如果将每一种可能存在的网页木马类型都写入数据库,这将造成木马库十分庞大,并且造成检测的效率大大降低。
因此,这里引入正则表达式来描述木马特征库。根据前面介绍的正则表达式的常见符号,可以提取每一类短网址网页挂马的特征值,写入木马特征表中,从而大大降低木马特征库的容量,提高短网址网页代码与特征值匹配的效率。
此外,该特征库同时也可智能化的将用户或管理员输入的短网址网页木马特征直接转化为正则表达式并写入木马特征库数据库。
短网址木马解析二、木马特征码匹配
网页源码与木马特征值的匹配就是字符串与正则表达式的匹配。正则表达式的匹配都是通过正则表达式引擎实现的。正则表达式引擎分为两类:基于NFA (非确定型有穷状态自动机)和基于DFA (确定型有穷状态自动机)的引擎。DFA和NFA的区别在于,DFA对于一个状态和一个输入,一定会有一个唯一的后续状态,而NFA可能有多个状态,也可能没有。一般来说,DFA正则在编译的时候花的时间会多一点,但是在匹配的时候会更快一点。一般情况下,NFA引擎更多的被运用于实际使用中。
短网址木马解析三、正则匹配时,有两条最重要的规则:
1)优先选择最左端的结果。
2)对标准匹配量词’{m,n}’、‘+’、‘*’、‘?’优先使用贪婪模式。"贪婪匹配”模式是说,当解释器将代码中的字符解析成一个个的编译器,在处理代码时的最小语法单元时,编译器会使用一种贪婪匹配算法,也就是说会尽可能让一个单元包含更多的字符。
短网址主要基于NFA引擎,结合了 Matcher类和Pattern类进行字符串与正则表达式的匹配,一个Pattern对象是一个正则表达式经编译后的表现模式,一个Matcher对象是一个状态机,它依据Pattern对象作为匹配模式对字符串展开匹配检查。
Pattern类用于创建一个正则表达式,也就是创建一个匹配模式,它的构造方法是私有的,不可以直接创建,但可以通过Pattern. complie( String regex )简单工厂方法创建一个正则表达式。例如:
Pattern P = Pattem.complie( ‘‘\w+”); p.Pattern();//返回w+
Pattern()返回的是正则表达式的字符串形式。用于实现快速匹配字符串的方法是Pattem.matcher(CharSequence input),它返回的是一个 Matcher对象。
系统中的主要匹配过程如下:
String patt = trojan.getTrojanConteiit(); Pattern P = Pattem.Compile(patt);
Matcher m = p.matcher(detectionCoiitent);
这里从前台获取用户选择的木马检测类型,查询得到数据库中该类型的短网址网页木马正则表达式pattern后,将该正则表达式编译成字符串形式,网页源码或是DOM解析技术提取过的源码作为input参数传给matcherO方法。这个Pattern对象P使用matcher()方法来生成一个Matcher实例M,接着便可以使用该Matcher实例以编译的正则表达式为基础对目标字符串进行匹配工作。
在进行网页源码中的木马匹配查找时,用到Matcher类中的一些方法,其中boolean find()用于尝试在目标字符串里查找下一个匹配子串;
intstart(intgrcup)方法用于计算当前查找到的指定木马字符串的第一个字符在网页源码中的位置;
inteiid(int group)用于计算木马匹配模式里指定的组相匹配的子串最盾一个字符的位置;
String group(int group)用于获取特定查找而获得的网页木马代码的内容;
intgroupCoimt()方法则用来返回当前查找所获得的网页木马的数量。
通过调用上的方法,可以获取查找到的木马代码、木马的位置以及木马的个数。
在Matcher类和Pattern类的基础上,本系统提供了两个方法分别为:publicstatic void trojanDetectionByDoin(String detectionContent, String trojanType, Stringemail,String tele,String url)和 public static voi过 trojanDetectionByType(StringdetectionContent, String trojanType,Stringemail,String tele,String url),前者用于匹配经过DOM解析后的网页源码,后者用于匹配顺序审查的网页源码。
这两个方法中包含的五个参数的意义分别为:detectionContent是待匹配的网页源码;trojanType是匹配的网页木马类型;email和tele分别是用户注册时填写的邮箱和电话号码,这两个参致用于查找到网巧木马后,及时通知用户网站的异常情况;url是检测的网站网址,记录网址便于生成检测报表,供用户查看详细的检测情况。
原文来自:短网址网页木马特征解析 http://980.so/article_195.html
*请认真填写需求信息,我们会在24小时内与您取得联系。
