\

斌、朵♫恋

≮回忆℡≯ ゃ.只想留住现在の 美好﹏.

Search: CodeRedII真的一去不复返了吗?

搜索
.clear

博文分类

  • 正在载入数据中...

最近发表

  • 正在载入数据中...

热门文章

  • 正在载入数据中...

随机文章

  • 正在载入数据中...

。◕‿◕。CodeRedII真的一去不复返了吗?。◕‿◕。

可视编辑 UBB编辑

斌、朵♫恋 » 入侵手法 » 。◕‿◕。CodeRedII真的一去不复返了吗?。◕‿◕。

    今天看到一则消息:“安全专家表示,肆虐互联网两个月的红色代码II已于九月三
十日夜半时刻步入衰亡期,从此将销声匿迹。”底气之所以这么足,不是因为世界上所
有的IIS都打了补丁,而是由CodeRedII本身决定的。原始版本的CodeRedII设定了一个
自杀条件:系统月份大于等于十月或年份大于等于2002年。那么如果有人稍微改一下呢?
何况可以改的还不仅限于时间。

############################################################################
#警告!以下提到的技术仅限于学习研究,请勿将改动后的CodeRedII释放到网络中。 #
#本文作者也不提供CodeRedII的原始版本及任何变种版本。                       #
#作者假设本文读者已读过CodeRedII的其它相关文章,有关细节不再重复。         #
############################################################################

1、在16进制地址0x00000308和0x00000309的"D207"(十进制数:2002)决定年份。
   改为"DA07"(十进制数:2015)。

2、在16进制地址0x00000317的"0A"(十进制数:10)决定月份。
   改为"0D"(十进制数:13):-D。

3、在16进制地址0x000001FD和0x000001FE的"0404"代表系统语言版本:中国台湾。
   可以改为"1104"(日本)。

4、在16进制地址0x00000205和0x00000206的"0408"代表系统语言版本:中国大陆。
   可以改为"6008"(印度)。

5、在16进制地址0x000007C1到0x000007E0之间为地址掩码表,如果全部用"F"填充,
   会使目标地址的选择完全随机。

6、在16进制地址0x000007F3的"7F"(十进制数:127)和0x000007F8的"E0"(十进
   制数:224)以这两个数字打头的IP地址永远不会受攻击。(127打头的是环回地
   址,当然要避免;224打头的是美国南加利福尼亚大学,为什么要设定这个数字
   呢?难道和程序的作者有什么关系?纯属瞎猜。)可以不改,也可改为我国常见
   的"CA"(十进制数:202)和"3D"(十进制数:61)。

7、在16进制地址0x00000292和0x00000293的"2C01"(十进制数:300)决定程序初
   始线程,改为"0100"(十进制数:1)。

8、在16进制地址0x0000028C和0x0000028D的"2C01"(十进制数:300)决定在特定
   语言版本下增加的线程,改为"E703"(十进制数:999)。

    假设我们改了步骤1、2、3、4、7、8,那么就会得到这样一个CodeRedII:永远
不会自杀,直到2015年,或者哪一年的13月。一般情况下只会开一个线程,如果遇到
印度或者日本的主机就会开1000个线程,哈哈哈哈。

    其实可以改动的东西还有很多,这里只是改了一些数据类型的代码,如果结合改
动可执行码,效果会更明显,当然难度也大一些。

« 关于IPV6的一些设置测试无法查看工作组计算机(找不到网上邻居)解决方法 »

.clear

Tags:        

分类:入侵手法 评论:0 浏览:
我要添加新评论
点击这里获取该日志的TrackBack引用地址
相关文章:
正在载入数据中...
Gravatar

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
.clear
.clear

Copyright ©2010 [HTTPS://Www.Db20061026.Top] Powered By [斌、朵♫恋] Version 1.0.0
闽ICP备15009937号

Powered By Z-Blog 1.8 Walle Build 100427 Designed by luheou & Made by Sunny(haphic) [Top]