https://wiki.cc.ncu.edu.tw/wikicc/api.php?action=feedcontributions&feedformat=atom&user=Center25
NCUCCWiki - 使用者貢獻 [zh-tw]
2026-06-09T21:44:10Z
使用者貢獻
MediaWiki 1.30.0
https://wiki.cc.ncu.edu.tw/wikicc/index.php?title=Lsass_%E6%9C%A8%E9%A6%AC&diff=530
Lsass 木馬
2008-01-08T01:48:22Z
<p>Center25:</p>
<hr />
<div>:1.問題描述 : <br />
::*近日宿網及校網流行一種 Usb 隨身碟木馬病毒,中毒者會擴及本機所有硬碟磁區,開啟autorun.inf,會汙染該網段所有電腦的ARP table,將所有client 瀏覽的網頁封包透過中毒者的機器出去,意在增加網路廣告瀏覽率以獲利。<br />
::*LSASS 中毒 會假冒gateway 攔截對外網頁瀏覽的封包,將網頁導向廣告色情站,同一區 subdomain 內的其他電腦會發生,對外的網頁連結 會亂跑,出現色情網站<br />
::*中毒者會出現的現象<br />
:::*命令提示字元下執行「dir /a」,顯示 C 槽、 D 槽或任何攜帶型儲存設備的根目錄下隱藏檔會出現的檔案<br />
::::1.「ntdeIet」型--大部分防毒軟體可以偵測的到<br />
:::::*有毒的檔案為 '''auto.exe'''、'''autorun.inf'''、'''ntdeIect.com'''<br />
::::2.「pagefile」型--截至 2007/12/20 為止,目前防毒軟體還偵測不到<br />
:::::*有毒的檔案為 '''autorun.inf'''、'''pagefile.pif'''<br />
:::::*pagefile.pif 檔有幾個特徵:<br />
::::::(1)檔案大小是 102400bytes 或 106496bytes,其中 102400bytes 是比較舊的病毒。<br />
::::::(2)檔案大小雖然都是 106496bytes,但 MD5 值仍有差異:<br />
:::::::*Type01:102400bytes MD5為 '''6d8280c2b3a8265efe330a50c7db8312'''<br />
:::::::*Type02:106496bytes MD5為 '''9f379c72192284ae6f94a5c7eb7f7891'''<br />
:::::::*Type03:106496bytes MD5為 '''d9224094e962f66f0822b20439ca12dd'''<br />
:::*ARP TABLE 表異常--中毒的電腦會學習整個網段的 ARP Table,以下是執行「arp -a」的結果<br />
:::[[Image:arp.jpg.png]]<br />
:::*mrtg流量圖異常--中毒者的 Inbound 與 Outbound 量"幾乎"一致<br />
:::[[Image:traffic.jpg]]<br />
:::*中毒電腦的網路攻擊行為<br />
::::1.第一步:進行 Arp 廣播,學習與記憶所處網段的 Arp Table 表<br />
::::2.第二步:對其他電腦進行 arp 攻擊,改掉 Default Gateway 卡號為自己的卡號(即圖中 packet '''No.250451''')<br />
:::[[Image:virus_packet.jpg]]<br />
<br />
:2.解決方法 : <br />
::*網路管理者<br />
:::從 router 查詢 arp table 查得實際中毒者,隔離<br />
:::Router#sh arp | inc 0000.1cd2.5fb2 (0000.1cd2.5fb2 中毒host的mac address)<br />
:::顯示的畫面:::[[Image:arp.jpg]]<br />
:::清除mac address的指令<br />
:::Router#clear arp <br />
::*使用者<br />
:::*關掉自動執行的功能<br />
::::(1)進控制台,點選「系統管理工具」<br />
::::[[Image:autorun01.JPG]]<br />
::::(2)點選「服務」<br />
::::[[Image:autorun02.JPG]]<br />
::::(3)找出「Shell Hardware Detection」,並點兩下<br />
::::[[Image:autorun03.JPG]]<br />
::::(4)將啟動類型改成「已停用」,服務狀態則點選「停止」,然後按下「套用」,「確定」之後離開<br />
::::[[Image:autorun04.JPG]]<br />
::::(5)注意事項:<br />
:::::*'''若光碟機內已經置入會 autorun 的光碟片時,電腦重開機後有可能還是會自動執行'''<br />
:::::*'''除上述情形之外,autorun 情形都可避免'''。<br />
:::*重灌系統,但是要注意是否隨身碟以及 D 槽也都己經中毒(通常都有, 不是只有C 碟)<br />
<br />
<br />
:3.網路上相關連結:<br />
::*[http://tw.myblog.yahoo.com/shu-wei/article?mid=2&sc=1 第一二型掃毒程式及說明]<br />
<br />
:4.相關 keyword:(例如:作業系統、應用系統服務...)<br />
::"LSASS" , "usb" , "木馬"<br />
<br />
[[category:資通安全]]<br />
[[category:lsass]]<br />
[[category:木馬]]<br />
[[category:usb]]</div>
Center25
https://wiki.cc.ncu.edu.tw/wikicc/index.php?title=%E6%AA%94%E6%A1%88:Arp.jpg&diff=529
檔案:Arp.jpg
2008-01-08T01:44:47Z
<p>Center25:</p>
<hr />
<div></div>
Center25
https://wiki.cc.ncu.edu.tw/wikicc/index.php?title=Lsass_%E6%9C%A8%E9%A6%AC&diff=528
Lsass 木馬
2008-01-08T01:44:11Z
<p>Center25:</p>
<hr />
<div>:1.問題描述 : <br />
::*近日宿網及校網流行一種 Usb 隨身碟木馬病毒,中毒者會擴及本機所有硬碟磁區,開啟autorun.inf,會汙染該網段所有電腦的ARP table,將所有client 瀏覽的網頁封包透過中毒者的機器出去,意在增加網路廣告瀏覽率以獲利。<br />
::*LSASS 中毒 會假冒gateway 攔截對外網頁瀏覽的封包,將網頁導向廣告色情站,同一區 subdomain 內的其他電腦會發生,對外的網頁連結 會亂跑,出現色情網站<br />
::*中毒者會出現的現象<br />
:::*命令提示字元下執行「dir /a」,顯示 C 槽、 D 槽或任何攜帶型儲存設備的根目錄下隱藏檔會出現的檔案<br />
::::1.「ntdeIet」型--大部分防毒軟體可以偵測的到<br />
:::::*有毒的檔案為 '''auto.exe'''、'''autorun.inf'''、'''ntdeIect.com'''<br />
::::2.「pagefile」型--截至 2007/12/20 為止,目前防毒軟體還偵測不到<br />
:::::*有毒的檔案為 '''autorun.inf'''、'''pagefile.pif'''<br />
:::::*pagefile.pif 檔有幾個特徵:<br />
::::::(1)檔案大小是 102400bytes 或 106496bytes,其中 102400bytes 是比較舊的病毒。<br />
::::::(2)檔案大小雖然都是 106496bytes,但 MD5 值仍有差異:<br />
:::::::*Type01:102400bytes MD5為 '''6d8280c2b3a8265efe330a50c7db8312'''<br />
:::::::*Type02:106496bytes MD5為 '''9f379c72192284ae6f94a5c7eb7f7891'''<br />
:::::::*Type03:106496bytes MD5為 '''d9224094e962f66f0822b20439ca12dd'''<br />
:::*ARP TABLE 表異常--中毒的電腦會學習整個網段的 ARP Table,以下是執行「arp -a」的結果<br />
:::[[Image:arp.jpg.png]]<br />
:::*mrtg流量圖異常--中毒者的 Inbound 與 Outbound 量"幾乎"一致<br />
:::[[Image:traffic.jpg]]<br />
:::*中毒電腦的網路攻擊行為<br />
::::1.第一步:進行 Arp 廣播,學習與記憶所處網段的 Arp Table 表<br />
::::2.第二步:對其他電腦進行 arp 攻擊,改掉 Default Gateway 卡號為自己的卡號(即圖中 packet '''No.250451''')<br />
:::[[Image:virus_packet.jpg]]<br />
<br />
:2.解決方法 : <br />
::*網路管理者<br />
:::從 router 查詢 arp table 查得實際中毒者,隔離<br />
:::Router#sh arp | inc 0000.1cd2.5fb2<br />
:::顯示的畫面:::[[Image:arp.jpg]]<br />
:::Router#clear arp <br />
::*使用者<br />
:::*關掉自動執行的功能<br />
::::(1)進控制台,點選「系統管理工具」<br />
::::[[Image:autorun01.JPG]]<br />
::::(2)點選「服務」<br />
::::[[Image:autorun02.JPG]]<br />
::::(3)找出「Shell Hardware Detection」,並點兩下<br />
::::[[Image:autorun03.JPG]]<br />
::::(4)將啟動類型改成「已停用」,服務狀態則點選「停止」,然後按下「套用」,「確定」之後離開<br />
::::[[Image:autorun04.JPG]]<br />
::::(5)注意事項:<br />
:::::*'''若光碟機內已經置入會 autorun 的光碟片時,電腦重開機後有可能還是會自動執行'''<br />
:::::*'''除上述情形之外,autorun 情形都可避免'''。<br />
:::*重灌系統,但是要注意是否隨身碟以及 D 槽也都己經中毒(通常都有, 不是只有C 碟)<br />
<br />
<br />
:3.網路上相關連結:<br />
::*[http://tw.myblog.yahoo.com/shu-wei/article?mid=2&sc=1 第一二型掃毒程式及說明]<br />
<br />
:4.相關 keyword:(例如:作業系統、應用系統服務...)<br />
::"LSASS" , "usb" , "木馬"<br />
<br />
[[category:資通安全]]<br />
[[category:lsass]]<br />
[[category:木馬]]<br />
[[category:usb]]</div>
Center25
https://wiki.cc.ncu.edu.tw/wikicc/index.php?title=Lsass_%E6%9C%A8%E9%A6%AC&diff=527
Lsass 木馬
2008-01-08T01:39:29Z
<p>Center25:</p>
<hr />
<div>:1.問題描述 : <br />
::*近日宿網及校網流行一種 Usb 隨身碟木馬病毒,中毒者會擴及本機所有硬碟磁區,開啟autorun.inf,會汙染該網段所有電腦的ARP table,將所有client 瀏覽的網頁封包透過中毒者的機器出去,意在增加網路廣告瀏覽率以獲利。<br />
::*LSASS 中毒 會假冒gateway 攔截對外網頁瀏覽的封包,將網頁導向廣告色情站,同一區 subdomain 內的其他電腦會發生,對外的網頁連結 會亂跑,出現色情網站<br />
::*中毒者會出現的現象<br />
:::*命令提示字元下執行「dir /a」,顯示 C 槽、 D 槽或任何攜帶型儲存設備的根目錄下隱藏檔會出現的檔案<br />
::::1.「ntdeIet」型--大部分防毒軟體可以偵測的到<br />
:::::*有毒的檔案為 '''auto.exe'''、'''autorun.inf'''、'''ntdeIect.com'''<br />
::::2.「pagefile」型--截至 2007/12/20 為止,目前防毒軟體還偵測不到<br />
:::::*有毒的檔案為 '''autorun.inf'''、'''pagefile.pif'''<br />
:::::*pagefile.pif 檔有幾個特徵:<br />
::::::(1)檔案大小是 102400bytes 或 106496bytes,其中 102400bytes 是比較舊的病毒。<br />
::::::(2)檔案大小雖然都是 106496bytes,但 MD5 值仍有差異:<br />
:::::::*Type01:102400bytes MD5為 '''6d8280c2b3a8265efe330a50c7db8312'''<br />
:::::::*Type02:106496bytes MD5為 '''9f379c72192284ae6f94a5c7eb7f7891'''<br />
:::::::*Type03:106496bytes MD5為 '''d9224094e962f66f0822b20439ca12dd'''<br />
:::*ARP TABLE 表異常--中毒的電腦會學習整個網段的 ARP Table,以下是執行「arp -a」的結果<br />
:::[[Image:arp.jpg.png]]<br />
:::*mrtg流量圖異常--中毒者的 Inbound 與 Outbound 量"幾乎"一致<br />
:::[[Image:traffic.jpg]]<br />
:::*中毒電腦的網路攻擊行為<br />
::::1.第一步:進行 Arp 廣播,學習與記憶所處網段的 Arp Table 表<br />
::::2.第二步:對其他電腦進行 arp 攻擊,改掉 Default Gateway 卡號為自己的卡號(即圖中 packet '''No.250451''')<br />
:::[[Image:virus_packet.jpg]]<br />
<br />
:2.解決方法 : <br />
::*網路管理者<br />
:::從 router 查詢 arp table 查得實際中毒者,隔離<br />
:::Router#sh arp | inc 0000.1cd2.5fb2<br />
:::顯示的畫面<br />
Internet 140.115.7.248 7 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.6.251 9 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.249 27 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.7.253 8 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.6.252 9 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.4.253 9 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.4.252 23 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.8.214 36 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.4.216 14 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.190.1 7 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.182 29 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.167 51 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.147 23 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.4.136 56 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.131 11 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.133 10 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.120 16 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.121 33 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.9.126 7 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.108 48 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.4.96 36 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.88 49 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.85 44 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.75 10 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.72 17 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.79 44 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.76 16 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.4.68 36 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.63 38 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.6.51 9 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.5.48 13 0000.1cd2.5fb2 ARPA Vlan3004<br />
Internet 140.115.6.52 9 0000.1cd2.5fb2 ARPA Vlan3004<br />
<br />
:::Router#clear arp <br />
::*使用者<br />
:::*關掉自動執行的功能<br />
::::(1)進控制台,點選「系統管理工具」<br />
::::[[Image:autorun01.JPG]]<br />
::::(2)點選「服務」<br />
::::[[Image:autorun02.JPG]]<br />
::::(3)找出「Shell Hardware Detection」,並點兩下<br />
::::[[Image:autorun03.JPG]]<br />
::::(4)將啟動類型改成「已停用」,服務狀態則點選「停止」,然後按下「套用」,「確定」之後離開<br />
::::[[Image:autorun04.JPG]]<br />
::::(5)注意事項:<br />
:::::*'''若光碟機內已經置入會 autorun 的光碟片時,電腦重開機後有可能還是會自動執行'''<br />
:::::*'''除上述情形之外,autorun 情形都可避免'''。<br />
:::*重灌系統,但是要注意是否隨身碟以及 D 槽也都己經中毒(通常都有, 不是只有C 碟)<br />
<br />
<br />
:3.網路上相關連結:<br />
::*[http://tw.myblog.yahoo.com/shu-wei/article?mid=2&sc=1 第一二型掃毒程式及說明]<br />
<br />
:4.相關 keyword:(例如:作業系統、應用系統服務...)<br />
::"LSASS" , "usb" , "木馬"<br />
<br />
[[category:資通安全]]<br />
[[category:lsass]]<br />
[[category:木馬]]<br />
[[category:usb]]</div>
Center25