剖析ActiveX挂马：以安装的名义入侵

goodluck

<div><font size="2">　　</font></div><div><font size="2">　　</font></div><div><font size="2">　　曾几何时， 利用ActiveX是流氓软件“行凶”的主要技术手段之一，如今流氓软件大多都已经作古了，可ActiveX并没有退出人们的视野，网页挂马看上了它，于是ActiveX挂马流行起来，成为了重要的几种挂马方式之一。　　</font></div><div><font size="2">　　</font></div><div><font size="2">　　北岸团队张贵岭：资深安全工程师，从事安全行业十余年。</font></div><p><font size="2">　　ActiveX是微软开发的。微软的程序员似乎把世界想象得太过于善良，认为没有人会用ActiveX作恶。当年恶意软件流行的时期，一家名为“XX宝贝视频聊天室”的网站就曾利用色诱的方式，诱惑用户主动安装网站的ActiveX视频聊天控件。</font></p><p><font size="2">　　该ActiveX控件不仅会主动跟踪用户网络信息，而且还有弹出广告、上传用户Word文档等流氓行为。当利用ActiveX作恶的流氓软件越 来越多后，微软在IE7中就忍痛添加了关于ActiveX认证的措施。如今所有的ActiveX在IE7中都会先屏蔽，而不再像当初一样主动弹出安装窗 口。</font></p><p><font size="2">　　小百科：ActiveX是Microsoft对于一系列策略性面向对象程序技术和工具的称呼，ActiveX控件在使用时需要安装。</font></p><p><font size="2">　<strong>　谁捧红了ActiveX挂马?</strong></font></p><p><font size="2">　　在流氓软件野蛮生长的那几年，流氓软件也如同各路山贼土匪一样，往往会因为争夺用户电脑中的重要位置而发生火拼，于是许多用来制造病毒的技术被 应用到了这些流氓软件身上。后来病毒也开始向流氓软件取经，流氓软件使用的一些技术也被病毒拿来使用，ActiveX挂马应该是病毒从流氓软件身上学习的 最彻底的技术。</font></p><p><font size="2">　　小百科：许多浏览器在支持ActiveX方面并不如IE来得积极，虽然Firefox、网景等浏览器都在不同程度上支持ActiveX，但是ActiveX出现问题最多的仍然是IE浏览器。</font></p><p><font size="2">　　ActiveX会被挂马者利用，其实主要问题在于它的认证机制。早期，如果一个网站上有需要安装ActiveX才能够看到的东西，那么在你访问 该网站的时候，相关的ActiveX会反复地弹出提示要求你安装它，许多用户往往会因为各种原因点击“确定”，允许ActiveX控件安装。</font></p><p><font size="2">　　这就如同你走在马路上，有一群人说自己原意跟你交朋友，这些人在你面前一一经过，你可以选择点头同意或者摇头否定，凡是你点头同意的人都可以成为你的朋友，他们可以自由进出你的家。恐怖的是，有些人在成为你朋友之后，你才发现他是个小偷或者无赖流氓。</font></p><p><font size="2">　　目前利用ActiveX挂马主要有两种形式，一种是利用正常程序的ActiveX漏洞进行溢出挂马，另外一种则是直接编写恶意的ActiveX 木马程序，将恶意的木马程序伪装成看似有某项功能的ActiveX控件，欺骗用户安装。接下来的案例中我们将会为大家演示黑客如何利用ActiveX挂 马。</font></p><p><font size="2">　　<strong>ActiveX挂马攻防实录</strong></font></p><p><font size="2">　　方法1：通过漏洞挂马</font></p><p><font size="2">　　攻</font></p><p><font size="2">　　黑客利用ActiveX进行网页挂马，最常见的方法就是利用那些有漏洞的ActiveX控件进行挂马，通过用户系统内已有的ActiveX控件的触发，让木马在不知不觉中植入用户的电脑。</font></p><p><font size="2">　　其中利用软件ActiveX漏洞发动攻击的著名例子有Flash和RealPlayer的ActiveX漏洞挂马程序，这些软件的ActiveX漏洞都曾经造成了极大的危害，特别是RealPlayer至今仍然有黑客在使用它的ActiveX漏洞进行挂马。</font></p><p><font size="2">　　下面以DjVu ActiveX控件漏洞为例讲解挂马的具体步骤，首先将恶意代码输入到写字板中，然后另存为任意的HTML文件，然后利用IFRAME代码将生成的 HTML文件嵌入到正常的网页中，此时输入网址打开含有DjVu ActiveX控件漏洞的网页，本机的计算器程序就会被触发开启。而黑客通常不会这么善良，他们会将Shellcode代码修改成下载指定恶意程序的代 码，然后让用户在打开相关网站后中招。</font></p><p><font size="2">　　小百科：DjVu ActiveX控件是用于压缩图形文件的工具，它在处理超长的ImageURL属性参数时会出现溢出。</font></p><p><font size="2">　　防</font></p><p><font size="2">　　对于利用

26ck31

很不错啊

楼主工作顺利，继往开来！

26ck31

外逃的贪官们已被抓回了一大批但还有一些心存侥幸的家 伙在想办法顶

期待~~

顶一个先

小七哥

贝克汉姆在一场比赛里踢出了一百个香蕉球都被对手奋不顾身的往自家的球门里顶

罗金

顶

第一次见得那么COOL

良思俊旭

不是吧

太叔

我在努力中

蓝雪

HOHO~~~~~~

燕宫

不得不顶

26ck31

好美.谢谢!祝你快乐

tceui

我来看看 这个能用吧！