译者 | 陈峻
作为一种中介式接口的应用程序编程接口(API),是一组允许软件组件彼此交互的协议。他通常可以将基础架构与运行在其上面的应用程序分离开来,并抽象出系统之间的不同功能。同时,API也能够让软件团队通过重用代码的方式,来简化开发。
随着API在现代业务中的优势和用例的不断增加,由其固有的弱点所带来了各种安全风险也逐渐引起了开发界的重视。下面,我将和您深入探讨与API漏洞相关的各种风险,同时通过介绍各种常见的API安全实践,以构建出API安全机制。
一、什么是API安全性?
作为一组服务,API实现了一个程序与另一个外部、或内部程序之间的通信。在谈论API安全性时,我们通常指的是保护应用程序的后端服务,其中包括数据库、用户管理系统、以及与数据存储交互的其他组件。因此,API安全性常常包含了采用多种工具和实践,来保护技术栈的完整性,进而防止恶意攻击者访问到敏感的信息,或执行各种违规操作。
不幸的是,虽然API是现代应用程序的关键部分,但它们也是攻击者访问敏感信息的常见目标入口。随着API越来越成为攻击的众矢之的,我们有必要在构建API时,了解第三方应用程序是如何通过接口传输敏感数据的,并在此基础上,通过部署API的安全措施,来协助安全团队评估风险,并提高服务的整体安全态势。
二、API漏洞风险
由于API往往是可以被公开访问的,因此它们自然也成为了窃取应用程序逻辑、用户凭据、信用卡号等敏感信息的常见途径。通常,攻击者会利用API端点中的漏洞,以跨站点脚本和代码注入等方式,获得针对目标系统的未经授权的访问、以及其他网络形式的攻击。
目前,业界比较公认的在线Web应用程序安全项目(Open Web Application Security Project,OWASP),针对常见的Web API十大漏洞,发布了基于各类风险的说明与建议。在此,我将和您重点讨论如下方面:
失效的用户身份验证(Broken User Authentication):由于API需要依赖那些被嵌入到调用中的会话令牌,令牌已对客户端进行身份验证,因此如果未能在API中实施多因素身份验证和基于凭据的登录,而仅靠基本的密码验证的话,这样的验证机制显然是不足的。攻击者可以轻松地通过冒充合法用户的身份,来迫使API错误地允许他们访问到令牌。而且,对于那些长期存在的令牌而言,还会导致攻击者能够长期驻留并损害系统。
失效的对象级授权(Broken Object Level Authorization):在API中,对象级授权是一种代码级的控制机制,可用于验证对象的访问。而对于那些存在着对象级授权漏洞的API而言,外部用户可以将自己的资源ID,替换为其他用户的资源ID。据此,攻击者能够访问到指定的用户资源,进而未经授权地访问到敏感数据。
资源缺乏和速率受限(Lack of Resource and Rate Limiting):当API不限制来自特定客户端的请求数量和频率时,它们可能会被迫进行每秒大量的调用。同时,API客户端也可以一次性请求访问多个资源与记录,从而使得应用 服务器 为了立即给多个请求提供服务,而出现过载。这种由于客户端的单次过多请求,而阻碍服务器处理正常请求的能力,便是常见的拒绝服务(DoS)攻击。此外,缺乏速率的限制还会引发攻击者,对于身份验证端点开展暴力破解式的攻击。
批量分配(Mass Assignment):批量分配的漏洞发生在自动将用户的输入传递给对象、或程序变量的API时。虽然此项功能简化了代码的开发,但一些用户可以通过初始化和覆盖服务器端的变量,从而危及到应用程序的安全。也就是说,攻击者主要会通过在伪造请求时,猜测和提供额外的对象属性,来达到该目的。此外,他们还可以通过阅读应用程序的相关文档、或识别出允许其修改服务器端对象的弱API端点。
安全错误配置(Security Misconfigurations):各种安全错误配置都会对API构成不同的威胁,其中包括:
(1)详细的错误消息(Verbose error messages):一些API会发送包含着栈跟踪和描述性系统信息的错误消息,让接收者能够了解到应用程序是在后台如何工作的。
(2)错误配置的HTTP标头(Misconfigured HTTP Headers):标头会暴露出安全漏洞,攻击者可以利用此类漏洞,去窃取数据,并执行更深层次的复杂攻击。
(3)非必要的HTTP方法和服务(Unnecessary HTTP methods and services):如果管理员未能关闭不必要的服务,那么恶意攻击者便可以使用不同的HTTP方法,去修改已发布的内容与资源。
(4)不安全的默认配置(Insecure default configurations):API往往会与第三方依赖项相关联。不过,在默认情况下,此类关联是不安全的,需要我们通过增强安全态势,来应对由此扩大的攻击面。
三、API安全性的优秀实践
下面我将给出各项有助于缓解API攻击的优秀实践:
1.使用节流和速率限制
您可以设置一个临时状态,以评估每个API请求,并通过使用反垃圾邮件措施、以及防止滥用等措施,来抵御拒绝服务攻击。在实施限流的过程中,您可以重点考虑的因素包括:每个用户应该允许占用多少数据、以及何时应该实施限制。
此外,在某些API中,开发人员可以设置“软”速率限制,允许客户端在较短的时间内临时超出请求限制。由于可以处理同步和异步请求,因此设置超时成为了最直接的避免DoS和蛮力攻击、以及管理REST API安全性的实践之一。例如:各种编程语言都可以通过队列库目录来管理请求队列。其中,请求队列库能够支持已创建的可接受最大请求数的API,并且将其余的请求放入等待队列中。
2.扫描API漏洞
为了保持API服务的持续安全性,启用自动化扫描、漏洞识别、以及在软件生命周期的各阶段及时弥补各种漏洞是至关重要的。自动化的扫描工具通过将应用程序的配置与已知漏洞数据库进行比较,实现了安全漏洞的自动检测。
3.对REST API实施HTTPS/TLS
在实践过程中,我们需要针对每个API实现完整性、机密性和真实性。而作为一种安全协议,HTTPS和传输层安全(Transport Layer Security,TLS)可被用于在Web浏览器和服务器之间传输经过加密的数据,并在传输中保护身份验证凭据。安全团队应当考虑使用双向验证的客户端证书方式,为敏感数据和服务提供额外的保护。
此外,在构建安全的REST API时,开发人员不但应当避免因为直接将HTTP重定向到HTTPS处,而可能破坏API客户端的安全性;而且应当采取适当的措施,来转移各种跨域资源共享(Cross-Origin Resource Sharing,CORS)和JSONP请求,毕竟两者往往具有跨域调用的各种基本漏洞。
4.限制HTTP方法
REST API允许Web应用执行各种类型的HTTP(动词)操作。不过,由于HTTP上的数据是未经加密的,一旦我们使用此类HTTP操作,则可能会被某些攻击向量拦截和利用到。作为一种优秀实践,我们应该禁止本质上已被证明极其不安全的HTTP方法(如:GET、PUT、DELETE、以及POST等)。如果无法完全禁止此类使用的话,安全团队也应当采用相应的策略,以严苛的允许列表形式,来审查此类方法的使用,进而拒绝所有与列表不匹配的请求。
当然,我也推荐您使用RESTful API身份验证的各项优秀实践,来确保请求的客户端只能在操作、记录和资源集合上,使用指定的HTTP方法。
5.实施充分的输入验证
原则上,我们不应当盲目地信任API客户端提供的各种数据,毕竟身份验证服务器最终可能会执行那些来自未经授权的用户或应用服务的恶意脚本。虽然客户端的验证已经能够给出交互式的错误指示、以及可接受的用户输入建议,但是,安全团队仍然需要在服务器端实施输入验证机制,以防止有害数据的输入,并避免不同类型的XSS和SQL注入攻击。
6.使用API网关
API网关能够有效地将客户端接口与后端的API集合相分离,提供集中式的资源,以实现API服务的一致性、可用性和可扩展性。同时,网关也能够充当反向代理,协调所有API调用所需的资源,并在身份验证后,返回适当的结果。在实践中,我们可以通过API管理平台,来处理各种遥测(Telemetry)、速率限制、以及用户认证等标准化功能,以维护内部服务之间的安全性。
译者介绍
陈峻 (Julian Chen),IDC.NET社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验;持续以博文、专题和译文等形式,分享前沿技术与新知;经常以线上、线下等方式,开展信息安全类培训与授课。
中了灰鸽子怎么办? 急
灰鸽子手工清除方法注意:为防止误操作,清除前一定要做好备份。 手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。 灰鸽子的运行原理灰鸽子木马分两部分:客户端和服务端。 黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。 服务端文件的名字默认为G_,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。 种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载…… G_运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_和G_Server_到windows目录下。 G_、G_和G_Server_三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_的文件用来记录键盘操作。 注意,G_这个名称并不固定,它是可以定制的,比如当定制服务端文件名为时,生成的文件就是、和A_。 Windows目录下的G_文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_和G_Server_并自动退出。 G_文件实现后门功能,与控制端客户端进行通信;G_Server_则通过拦截API调用来隐藏病毒。 因此,中毒后,我们看不到病毒文件,也看不到灰鸽子()作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。 尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。 如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。 这个时候,就需要手工杀掉灰鸽子。 手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。 灰鸽子的运行原理灰鸽子木马分两部分:客户端和服务端。 黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。 服务端文件的名字默认为G_,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。 种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……G_运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_和G_Server_到windows目录下。 G_、G_和G_Server_三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_的文件用来记录键盘操作。 注意,G_这个名称并不固定,它是可以定制的,比如当定制服务端文件名为时,生成的文件就是、和A_。 Windows目录下的G_文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_和G_Server_并自动退出。 G_文件实现后门功能,与控制端客户端进行通信;G_Server_则通过拦截API调用来隐藏病毒。 因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。 随着灰鸽子服务端文件的设置不同,G_Server_有时候附在的进程空间中,有时候则是附在所有进程中。 灰鸽子的手工检测由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。 此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。 但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。 从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_”结尾的文件。 通过这一点,我们可以较为准确手工检测出灰鸽子木马。 由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。 进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。 1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。 打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。 2、打开Windows的“搜索文件”,文件名称输入“_”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。 3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_的文件。 4、根据灰鸽子原理分析我们知道,如果Game_是灰鸽子的文件,则在操作系统安装目录下还会有和文件。 打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的文件。 经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。 灰鸽子的手工清除 经过上面的分析,清除灰鸽子就很容易了。 清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。 一、清除灰鸽子的服务 2000/XP系统: 1、打开注册表编辑器(点击“开始”-》“运行”,输入“”,确定。 ),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。 2、点击菜单“编辑”-》“查找”,“查找目标”输入“”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。 3、删除整个Game_Server项。 98/me系统:在9X下,灰鸽子启动项只有一个,因此清除更为简单。 运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为的一项,将项删除即可。 二、删除灰鸽子程序文件删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的、、Game_以及文件,然后重新启动计算机。 至此,灰鸽子已经被清除干净。 小结本文给出了一个手工检测和清除灰鸽子的通用方法,适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。 同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。 当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时,最好找有经验的朋友帮忙解决。 同时随着瑞星杀毒软件2005版产品发布,杀毒软件查杀未知病毒的能力得到了进一步提高。 经过瑞星公司研发部门的不断努力,灰鸽子病毒可以被安全有效地自动清除,需要用户手动删除它的机会也将越来越少。 病毒注册的服务项。 随着灰鸽子服务端文件的设置不同,G_Server_有时候附在的进程空间中,有时候则是附在所有进程中。
如何预防网络漏洞产生
软件和系统无法避免会出现漏洞。 一说起漏洞,有人就会感到气愤,认为被坑了。 其实不然,漏洞的产生是不可避免的。 有了漏洞,我们就应该去补救。 本文就以漏洞的形成与防治为题,简单的为大家介绍。 漏洞的形成大型软件、系统的编写,并不是一两个人就能完成的,而是需要许许多多程序员共同完成。 那么,他们是怎么工作的呢?他们是将一个软件或系统分成若干板块,分工编写,然后再汇总,测试。 最后,修补,发布。 有人或许会问,为什么最后要修补呢?其实,这就是一个重要的环节。 前面讲到要讲软件、系统分成若干板块,分工编写。 问题就出在分工编写这个环节:世界上总找不到思维一样的人,所以有时不免会出现种种问题,且不说“几不管”的中间地带,就是在软件汇总时,为了测试方便,程序员总会留有后门;在测试以后再进行修补……这些后门,如果一旦疏忽(或是为某种目的故意留下),或是没有发现,软件发布后自然而然就成了漏洞。 还值得一提的就是若干板块之间的空隙,这里很容易出现连程序员的都没想到的漏洞!还有,“几不管”地带,也正是漏洞的温床!如果,在软件发布前没能及时发现,就为不法之徒提供了便利。 漏洞的另一形成温床就是网络协议!网络协议有TCP、UDP、ICMP、IGMP等。 其实,他们本来的用途是好的,但却被别人用于不乏的活动:例如,ICMP本来是用于寻找网络相关信息,后来却被用于网络嗅探和攻击;TCP本来是用于网络传输,后来却被用于泄漏用户信息……漏洞的温床实在太多了,有时并不能完全怪程序员,因为有些东西连他们也无能为力啊!漏洞的防治有了漏洞就要补!否则,日后的受害者可能就是自己。 例如,微软就是著名的漏洞王!他同时也是著名的补丁王!有这样一句话:微软的补丁,谁人能及!Windows实在太大,太复杂了,所以漏洞多也是可以原谅的。 更何况,全世界最精锐的黑客部队的也喜欢将矛头直指Windows,可悲啊!补漏洞方法主要有两类:一、本身补救。 这种补漏洞方法主要是靠厂商的补丁或者是禁用某项服务来补救。 也就是说,靠软件或系统本身来补救。 二、借助补救。 这种补漏洞方法主要是靠第三者完成,就是靠别的软件来进行补救。 我们用得最广泛的就是反病毒软件和网络防火墙。 软件的补救必须要有目的的补救,不能盲目的补。 在补救前,我们可以借助别的软件来测试。 例如,查找网络漏洞,可以用嗅探器;查找反病毒软件的查毒漏洞,可以通过网络上提供的病毒压缩包等。 漏洞是客观存在的,它是随软件和系统的产生的,是不可避免的。 关键就在于补救,补救得好,软件或系统的性能将大大提高!努力吧,同志们。
灰鸽子远程控制什么用
灰鸽子的运行原理灰鸽子木马分两部分:客户端和服务端。 黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成一个服务端程序。 服务端文件的名字默认为G_,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。 种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……由于灰鸽子病毒变种繁多,其文件名也很多变,近来发现的以()类型居多,不易对付,在被感染的系统%Windows%目录下生成三个病毒文件,分别是 G_,G_,G_Server_。 G_运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_和G_Server_到windows目录下。 G_、G_和G_Server_三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_的文件用来记录键盘操作。 同时注意,G_这个名称并不固定,它是可以定制的,比如当定制服务端文件名为时,生成的文件就是、和A_。 Windows目录下的G_文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_和G_Server_并自动退出。 G_文件实现后门功能,与控制端客户端进行通信;G_Server_则通过拦截API调用来隐藏病毒。 因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。 随着灰鸽子服务端文件的设置不同,G_Server_有时候附在的进程空间中,有时候则是附在所有进程中。 灰鸽子病毒其特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件灰鸽子的手工检测由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。 此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。 但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。 从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_”结尾的文件。 通过这一点,我们可以较为准确手工检测出灰鸽子木马。 由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。 进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键,在出现的启动选项菜单中,选择“安全模式”。 1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。 打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。 2、打开Windows的“搜索文件”,文件名称输入“*_”,搜索位置选择Windows的安装目录(默认98/xp为C:\\windows,2k/NT为C:\\Winnt)。 3、经过搜索,在Windows目录(不包含子目录)下发现了一个名为G_Server_的文件。 4、根据灰鸽子原理分析我们知道,G_Server_是灰鸽子的文件,则在操作系统安装目录下还会有G_和G_文件。 打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的G_文件。 [以上的我试过,但唔知系米我唔识操作,所以根本我都揾唔到,后黎我下咗个WINDOWS木马清道夫,扫描硬盘,咁就揾到晒所有嘅木马文件] 经过这几步操作基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。 灰鸽子的手工清除经过上面的分析,清除灰鸽子就很容易了。 清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。 注意:此操作需在安全模式下进行,为防止误操作,清除前一定要做好备份。 一、清除灰鸽子的服务 2000/XP系统:1、打开注册表编辑器(点击“开始”-》“运行”,输入“”,确定。 ),打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 注册表项。 2、点击菜单“编辑”-》“查找”,“查找目标”输入“G_”,点击确定,我们就可以找到灰鸽子的服务项.3、删除整个G_键值所在的服务项。 [呢个都系,可能真系我唔识操作,所以根本就都揾唔到,于是我用咗一个低B嘅方法,就系照住清道夫搜出黎嘅文件名来查找,竟然俾我揾到.呵呵~~`揾唔到果D即系无注册项,所以直接入去文件删除就得了]98/me系统:在9X下,灰鸽子启动项只有一个,因此清除更为简单。 运行注册表编辑器,打开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run项,立即可以看到名为G_的一项,将G_项删除即可。 二、删除灰鸽子程序文件删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的G_、G_、G_server_以及G_文件,然后重新启动计算机。 至此,灰鸽子已经被清除干净。 附:其实现在大部分的杀毒软件还是可以帮助查杀灰鸽子病毒的,本人使用的是瑞星杀毒软件并已经更新至最新版本,在正常模式下,瑞星查杀了除G_文件外的所有文件,其实本人并没有指望瑞星能够全部查杀,但瑞星实际上给我帮了一个大忙,就是帮我确定了所中灰鸽子病毒的类型,我在使用瑞星查杀时查杀了G_、G_server_和G_这三个文件以及由前两个文件释放的附在其他进程下的文件,这就让我确定了剩下的那个文件必然是G_,于是重新启动计算机进入安全模式,首先要设置Windows显示所有文件。 打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。 然后打开Windows的“搜索文件”,因为确定病毒文件为G_,但同时出于保险起见,在搜索中输入G_server*.*进行搜索,并选择所有分区,在C:\\windows目录下发现了G_,但令我惊讶的是竟然在D盘发现了这个文件的副本,其属性同样的隐藏的,所以建议大家在搜索时搜索所有分区,然后删除即可!
更多详情: 请到确实黑客里面有详细内容 8 3
发表评论