[转帖]让盗号木马失去作用

gb112

让盗号木马失去作用

现在说说这种方法的原理，经常玩盗号木马的朋友都知道，现在的木马不管采用的隐藏和记录方式有多先进，但是马儿通知主人的方式一般还是采用发送邮件。我们可以先给自己中个木马，打开IRIS之类的嗅探器，然后登陆自己的帐号，通过抓包可以发现木马发送的信件到下马者的信箱，但是在数据包中是从本地机子上的一个端口发送到目标信箱smtp服务器的端口，smtp默认端口就是25.

      根据这些我们可以假设，阻止本机不去和任何机子的25端口建立连接，那么盗号木马的作用就发挥不出来了，也就不用担心号被盗了。

     这里以win2000和XP为列来讲解。打开“控制面版——管理工具——本地安全策略”，左边有个“IP安全策略”，，右键点击“IP安全策略”，选择“创建IP安全策略”，便来到了“欢迎使用IP安全策略向导”，直接下一步，来到设置IP安全策略名字的地方。名称和描述随便你设置，然后点“下一步”，按照默认点下一步。接着弹出一个警告“只有当这个规则在一台为域成员的机器上 Kerberos 才有效。这台机器不是一个域成员。您想继续并保留这些规则的属性吗?”直接点“是”，然后点：完成“，这样一个策略就制作出来，现在可以编辑策略属性了。

    在这里我们来设置IP过滤规则，点”添加“来到”创建IP安全规则向导“，点下一步：开始创建，一切和刚才一样，默认一直点”下一步。连接几个下一步就来到了IP筛选器列表界面。。点“添加”建立一个新的筛选器，写上新的筛选器的名字和说明，然后点“添加”进入“IP筛选器的向导：，直接”下一步“。我们在源地址选择”我的IP地址“，下一步选择目标地址为”任何IP地址“，选择IP协议类型为”TCP“，然后设置IP协议端口，上面设置任意端口，下面选择”到此端口：然后甜25，点“完成”就OK了。

     这时已经添加了一个筛选器，直接关闭来到“IP筛选器列表”，点中我们刚才的“禁止连接25”的筛选器，然后下一步来给筛选器设置操作类型。点击添加，同样是个向导，点“下一步”按照向导给这个新操作起个名字，比如“阻止25端口”，然后下一步，来到“筛选器操作行为”我们点“阻止”，然后下一步并完成。之后回到筛选器操作界面就可以看见我们刚才创建的阻止25端口的任务了，选中点“下一步”并且完成，就完成了这次的设置了。   如下图


在图中可以看到我们刚才所设置的筛选器的操作行为，选中操作然后关闭，睁个步骤就完成了。不过现在还没有完全完成，我们要执行这个策略，否则他就无撒发挥作用了。我们在“本地安全策略”中找到刚才设置的策略，有键选中：选择“指派”。我们设置的策略就开始执行了。




     接着我们来实验一下，登陆自己的帐号继续抓包，或许还可以抓到木马仍然发送数据到邮箱，但是打开邮箱却收不到信了，因为这个操作已经被禁止了。

网路游侠

[emb6]

zhuoyuededao

还是要注意杀马啊，毕竟留个马在机器里不好~~[emb6]