[原创]无共享符的共享及网页共享恶意代码

注意：谨以此文章献给我的父亲和母亲，感谢他们对我多年来的养育之恩。

原创声明：
中国暗域网络技术资讯站原创文章，作者 冰血封情<EvilOctal>，转载劳烦著名出处。

拙笔正文：
近些年来，我国网络发展迅速，不知不觉恶意网页的技术也越来越高，从最开始的网页脚本简单改动系统注册表到而今的*.dll文件实现每次启动修改系统。更高深的技术我们不说，单单一个共享硬盘就够毒辣的了，所以才有这篇拙文。高手们可以跳过不用看了：）
众所周知，在系统中共享一个文件或文件夹乃至分区，一般的共享都会有个小手拖住你所共享的文件夹或分区。如果我们成功入侵对方的系统后，给对方加上这样的共享，那么很明显是很容易被发现的。可是要是给他加上个标题上所说的‘无共享符的共享’，可就没那么容易被发现了！那么我们今天就来看看传统的隐藏共享和无共享符的共享的区别。
基础前奏：经过多次的尝试之后，冰血总结了如下几个共享后注册表的键值区别：一、普通共享的建制内容，这样的共享，是很容易被发现的，就是有小手的那种：）。二、‘$’（读‘串’）字符共享。这种共享的特性很多书都说过了，其中最具特色的是在‘网络邻居’中看不到你所共享的分区或者文件夹，这里冰血封情就不在赘述，下面我门请出我们今天的主角，无共享符的共享。炮制过程如下：
1、 启动注册表编辑器（这要是不会的话就可以去跳楼了），依次展开如下键值[HKEY_LOCAL_MACHINE\softwareMi-crosoft\Windows\CurrentVersion\Network\Lanman\C$]（什么？没有？自己建啊！），这里最后一个‘C$’是共享名，起什么都可以，有没有‘$’都一样，因为后面我们是直接通过键值属性完成设置的……
2、 在右边的窗口中点击右键，按图3方式新建键值，Flags(0x00000302(770))、Parm1enc(长度为零的二进制) 、Parm2enc(长度为零的二进制)、Path(键值为你想共享的分区)、Type（默认）、Remark（默认）。
3、 关闭注册表编辑器，按F5刷新系统，必要的时候可以选择注销或重新启动：）然后‘网络邻居’中，在地址栏键入‘共享计算机名C$’（不含引号）。看看该扇区是不是可以正常访问了？：）而且是完全访问的权限哦……现在你去看看那个没有小手托起的你设置的扇区的‘属性’-‘共享’。没有说共享了？？对！！这就是‘无共享符的共享’。
那么刚才我们说的是实现的过程，真正的入侵您不一定能这样直接方便的修改远程主机的注册表编辑器，那么我们可以编辑一个REG脚本轻松实现，脚本内容如下：将以上文字复制保存为‘所有文件’，‘*.reg’，使用的时候只要想办法导入对方注册表就可以了，至于怎么让对方运行它，看看下面！
实战内容：
现在我们来看看恶意网页是怎样实现，一下给出共享网页浏览者硬盘的恶意代码核心部分。
以下内容为程序代码:那么只要你把核心代码部分的注册表键值做些简单的修改。就可以实现恐怖的一幕了：）
安全防范：
检查上述注册表键，发现问题立刻将它删除！
就是把HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanMan下面的“RWC$”删掉。也可以把windowssystem下面的Vserver.vxd（可能会造成系统不能正常工作！）删掉，再把HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxD下的Vserver键值删掉。然后通过如下设置避免悲剧重演！
　　1、将IE“工具→Internet选项→安全→Internet区域的安全级别设为“高”
　　2、IE设置中将ActiveX插件和控件、Java脚本等全部禁止。（该操作可能会造成一些正常使用ActiveX的网站无法浏览）
　　3、对于Windows98，请打开C:WINDOWSJAVAPackagesCVLV1NBB.ZIP，把其中的“ActiveXComponent.class”删掉；对于WindowsMe用户，请打开C:WINDOWSJAVAPackages5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”删掉。删除这个组件不会影响到你正常浏览网页的。
　　4、安装网络防火墙，推荐Norton2001，KVW3000或者更高版本。
今天就说到这里，再见了。

灌水广告：
——文章原创由 中国暗域网络 及 邪恶八进制 冰血封情<EvilOctal>
——Be powered by Hackway Power of Cn & EvilOctal Security Group EvilOctal
——欢迎访问 www.HackWay.net & www.EvilOctal.com