攻防实战:深入剖析最新IE7.0 0day漏洞利用代码
2008-12-16 13:42:01 来源:WEB开发网核心提示: 图2 运行IE7_0day.htm后出现安全警告提示说明:如果是普通用户,可以不单击上面的提示,攻防实战:深入剖析最新IE7.0 0day漏洞利用代码(3),从而避免下载病毒到本地,点击该标签栏,呵呵,病毒文件),然后点击“允许被封锁的内容”,下载文件
图2 运行IE7_0day.htm后出现安全警告提示
说明:
如果是普通用户,可以不单击上面的提示,从而避免下载病毒到本地。
点击该标签栏,然后点击“允许被封锁的内容”,下载文件,如图3所示。
图3 允许被封锁的内容
允许被封锁的内容后,IE会再弹出一个安全性警告,点击“是”后,代码就开始执行了,如图4所示。
图4 执行代码
3 监控文件运行情况
(1)监控IE7_0day.htm运行后文件运行情况
我们使用文件监控工具看看该网页做了那些事情。双击“FileMon.exe”我们可以看到漏洞溢出后,在C:Documents and SettingshurricaneLocal SettingsTemporary Internet Files以及C:Documents and SettingshurricaneLocal SettingsTemporary Internet FilesContent.IE56XUB49Q3生成了ko.exe和ko[1].exe文件,如图5所示。其文件下载路径均为:
http://www.baikec.cn/down/ko.exe(注意不要下载该文件运行,呵呵,病毒文件),这应该就是网页制作者挂马的地方了。
图 5 IE7_0day.htm下载木马文件到本地
(2)木马调用文件分析
更多精彩
赞助商链接