“廣外女生”是什么啊?
關于廣外女生被割喉事件的介紹
事件概括
12月20日晚上,廣東外語外貿大學一女學生在操場上鍛煉身體時遇害。校方表示,嫌疑人尚未被抓獲。目前,警方正在加緊調查中。
詳細內容
廣東外語外貿大學12月21日凌晨發布通報稱,12月20日晚10時許,我校北校區操場與13棟學生宿舍之間區域發生人員不幸身亡事件。經確認,為我校繼教(公開)學院2015級進修學員。目前,警方正在加緊調查中。
有網帖稱遇害時,該女子剛跑完步,在操場上壓腿。
校方發布的通知:
相關法律介紹
故意殺人罪如何認定
1、相約自殺。指相互約定自愿共同自殺的行為。因行為人均不具有故意剝奪他人生命的行為,所以對其中自殺未逞的,一般不能認為是故意殺人罪;但是,如果行為人受托而將對方殺死,繼而自殺未逞的,應構成故意殺人罪,量刑時可考慮從輕處罰;以相約自殺為名,誘騙他人自殺的,則應按故意殺人罪論處。
2、致人自殺。既由于行為人先前所實施的行為,而引起他人自殺結果的發生。對此,應區別三種情況分別處理:
(1)行為人的先前行為是正當的或只是一般錯誤、一般違法行為,他人自殺的主要原因是由于自殺者本人的心胸過于狹窄,這時不存在犯罪問題;
(2)行為人先前實施了嚴重違法行為,結果致被害人自殺身亡的,可把致人自殺的結果作為一個嚴重情節考慮,將先前嚴重違法行為上升為犯罪處理。如當眾辱罵他人,致其當即自殺的,可對辱罵者以侮辱罪論處;
(3)行為人先前實施某種犯罪行為,引起被害人自殺的,只要行為人對這種自殺結果沒有故意,應按其先前的犯罪行為定罪,而將自殺結果作為量刑時考慮的一個從重或選擇較重法定刑處罰的情節。
3、逼迫或誘騙他人自殺,即行為人希望自殺人死亡,但為了掩人耳目,逃避罪責,自己不直接動手,而是通過自己的逼迫、誘騙行為促使自殺者自己動手殺死自己,即借助自殺者自己之手達到行為人欲殺死自殺者的目的。行為人的行為與結果之間存在刑法上的因果關系。關鍵應查明行為人是否確實有刻意追求自殺者死亡的故意,并且其行為在特定環境下是否足以導致他人實施自殺的行為,兩者缺一,則就不宜認定為構成本罪。
4、教唆、幫助他人自殺。應當以故意殺人罪論處,但考慮到在教唆、幫助自殺中,自殺者的行為往往起決定作用,因此,應根據案情從寬處罰。如果行為人的行為不很積極,作用不大,主觀愿望出于善意,這時可不以犯罪論處。但是,教唆精神病人或未成年人自殺,由于自殺者限于精神狀態或年齡因素對于自殺缺乏正確的認識和意志控制能力,對此,不僅要以本罪論處,而且還不能從輕或減輕處罰。
故意殺人罪立案標準是什么?
1、犯本罪的,處死刑、無期徒刑或者10年以上有期徒刑。屬于情節嚴重的,應當判處死刑或者無期徒刑。如出于圖財、奸淫、對正義行為進行報復、毀滅罪證、嫁禍他人、暴力干涉婚姻自由等卑劣動機而殺人;利用烈火焚燒、長期凍餓、逐漸肢解等極端殘酷的手段殺人;殺害特定對象如與之朝夕相處的親人,著名的政治家、軍事家、知名人士等,造成社會強烈震動、影響惡劣的殺人;產生諸如多人死亡,導致被害人親人精神失常等嚴重后果的殺人;民憤極大如犯罪人惡貫滿盈,群眾強烈要求處死的故意殺人;等等。
2、犯本罪,情節較輕的,處3年以上10年以下有期徒刑。根據司法實踐,主要包括:
(1)防衛過當的故意殺人;
(2)義憤殺人,即被害人惡貫滿盈,其行為已達到讓人難以忍受的程度而其私自處死,一般是父母對于不義的兒子實施這種行為;
(3)激情殺人,即本無任何殺人故意,但在被害人的刺激、挑逗下而失去理智,失控而將他人殺死,其必須具備以下條件:
其一,必須是因被害人嚴重過錯而引起行為人的情緒強烈波動;
其二,行為人在精神上受到強烈刺激,一時失去理智,喪失或減弱了自己的辨認能力和自我控制能力;
其三,必須是在激憤的精神狀態下當場實施。
(4)受囑托殺人,即基于被害人的請求、自愿而幫助其自殺;
(5)幫助他人自殺的殺人;
(6)生母溺嬰,即出于無力撫養、顧及臉面等不太惡劣的主觀動機而將親生嬰兒殺死。如果是因為重男輕女的思想作怪,發現所生的是女兒而加以溺殺的,其主觀動機極為卑劣,則不能以本罪的情節較輕情況論處。
廣外女生木馬的介紹
廣外女生木馬(Trojan.GWGirls10a.192000)類似灰鴿子,是在灰鴿子之后,2001年左右出現的遠程監控工具。1這個木馬是廣東外語外貿大學“廣外女生”網絡小組的作品,并因此得名。它可以運行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已經安裝Winsock2.0的Win95/97上。與以往的木馬相比,它具有體積更小、隱藏更為巧妙的特點。
關于廣外 男女生..
廣外女生木馬的WIN2000中文版查殺教程
1.RegSnap v2.80 監視注冊表以及系統文件變化的最好工具
2.fport v1.33 查看程序所打開的端口的工具
3.FileInfo v2.45a 查看文件類型的工具
4.ProcDump v1.6.2 脫殼工具
5.IDA v4.0.4 反匯編工具 一切工具準備就緒了,開始分析這個木馬。一般的木馬的服務器端一旦運行之后都會對注冊表以及系統文件做一些手腳,所以我們在分析之前就要先對注冊表以及系統文件做一個備份。
首先打開RegSnap,從file菜單選new,然后點OK。這樣就對當前的注冊表以及系統文件做了一個記錄,一會兒如果木馬修改了其中某項,我們就可以分析出來了。備份完成之后把它存為Regsnp1.rgs。
然后就在電腦上運行“廣外女生”的服務器端,不要害怕,因為已經做了比較詳細的備份了,它做的手腳都可以照原樣改回來的。雙擊gdufs.exe,然后等一小會兒。如果你正在運行著“天網防火墻”或“金山毒霸”的話,應該發現這兩個程序自動退出了,很奇怪嗎?且聽我們后面的分析。假設現在木馬就已經駐留在我們的系統中了。我們來看一看它究竟對我們的做了哪些操作。重新打開RegSnap,從file菜單選new,然后點OK,把這次的snap結果存為Regsnp2.rgs。
從RegSnap的file菜單選擇Compare,在First snapshot中選擇打開Regsnp1.rgs,在Second snapshot中選擇打開Regsnp2.rgs,并在下面的單選框中選中Show modifiedkey names and key values。然后按OK按鈕,這樣RegSnap就開始比較兩次記錄又什么區別了,當比較完成時會自動打開分析結果文件Regsnp1-Regsnp2.htm。
看一下Regsnp1-Regsnp2.htm,注意其中的:
Summary info:
Deleted keys: 0
Modified keys: 15
New keys : 1
意思就是兩次記錄中,沒有刪除注冊表鍵,修改了15處注冊表,新增加了一處注冊表。再看看后邊的:
File list in C:\WINNT\System32\*.*
Summary info:
Deleted files: 0
Modified files: 0
New files : 1
New files
diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12
--------------
Total positions: 1
這一段話的意思就是,在C:\WINNT\System32\目錄下面新增加了一個文件diagcfg.exe,這個文件非常可疑,因為我們在比較兩次系統信息之間只運行了“廣外女生”這個木馬,所以我們有理由相信diagcfg.exe就是木馬留在系統中的后門程序。不信的話你打開任務管理器看一下,會發現其中有一個DIAGCFG.EXE的進程,這就是木馬的原身。但這個時候千萬不要刪除DIAGCFG.EXE,否則系統就無法正常運行了。
木馬一般都會在注冊表中設置一些鍵值以便以后在系統每次重新啟動時能夠自動運行。我們再來看看Regsnp1-Regsnp2.htm中哪些注冊表項發生了變化,憑借經驗應該注意到下面這條了:
HKEY_LOCAL_MACHINE\SOFTWARE\Class\exefile\shell\open\command\@
Old value: String: %1 %*
New value: String: C:\WINNT\System32\DIAGCFG.EXE %1 %*
這個鍵值由原來的%1 %*被修改為了C:\WINNT\System32\DIAGCFG.EXE %1 %*,因為其中包含了木馬程序DIAGCFG.EXE所以最為可疑。那么這個注冊表項有什么作用呢?
它就是運行可執行文件的格式,被改成C:\WINNT\System32\DIAGCFG.EXE %1 %*之后每次再運行任何可執行文件時都要先運行C:\WINNT\System32\DIAGCFG.EXE這個程序。
原來這個木馬就是通過這里做了手腳,使自己能夠自動運行,它的啟動方法與一般普通木馬不太一樣,一般的木馬是在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
鍵里增加一個鍵值,使自己能夠自啟動,但這種方法被殺毒軟件所熟知了,所以很容易被查殺。而“廣外女生”這個木馬就比較狡猾,它把啟動項設在了另外的位置。
現在已經掌握了這個木馬的駐留位置以及在注冊表中的啟動項,還有重要的一點就是還要找出它到底監聽了哪個端口。使用fport可以輕松的實現這一點。在命令行中運行fport.exe,可以看到:
1176 DIAGCFG -> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 注意這行!!!
可以清楚的看到,木馬程序監聽在TCP的6267號端口上了。我們到目前為止就可以說掌握了“廣外女生”這個木馬在我們系統中的全部動作了,現在我們可以輕而易舉的查殺它了。 經過前面的分析已經了解了“廣外女生”這種木馬的工作方式,現在我們就來清除它。下面就是徹底清除“廣外女生”的方法,注意:這個步驟的次序不能顛倒,否則可能無法完全清除掉此木馬。
1.按“開始”菜單,選擇“運行”,輸入regedit,按確定。打開下面鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Class\exefile\shell\open\command\,但是先不要修改,因為如果這時就修改注冊表的話,DIAGCFG.EXE進程仍然會立刻把它改回來的。
2.打開“任務管理器”,找到DIAGCFG.EXE這個進程,選中它,按“結束進程”來關掉這個進程。注意,一定不要先關進程再打開注冊表管理器,否則執行regedit.exe時就又會啟動DIAGCFG.EXE。
3.把HKEY_LOCAL_MACHINE\SOFTWARE\Class\exefile\shell\open\command\的鍵值由原來的C:\WINNT\System32\DIAGCFG.EXE %1 %*改為%1 %*。
4.這時就可以刪除C:\WINNT\System32\目錄下的DIAGCFG.EXE了。切記萬萬不可首先刪除這個文件,否則的話就無法再系統中運行任何可執行文件了。由于我們下面還打算進一步深入分析這個木馬,所以現在不刪除它,而是把它拷貝到其他的目錄以便研究。 已經知道了“廣外女生”的基本工作原理、啟動流程以及如何徹底清除它了,但是還有一點我們沒有徹底弄清楚,那就是它是如何對付“天網防火墻”或“金山毒霸”的。要深入了解這一點,我們必須要去看“廣外女生”的代碼,這個木馬并沒有公布源代碼,但是我們仍然可以通過反匯編它來看個究竟。
“廣外女生”的服務器端只有96K,顯然是使用了壓縮軟件進行了加殼的,我們首先就要確定它到底加了什么殼。通過使用FileInfo這個小工具就可以偵測出來。現在我們就把前面分析過的那個DIAGCFG.EXE復制到FileInfo的目錄下,然后在命令行下fi.exe,然后按回車,就會顯示:
FileInfo就已經檢測出DIAGCFG.EXE是使用了ASPack v1.06b進行加殼。知道了它的加密方法我們就可以使用ProcDump來把它脫殼了。
運行ProcDump,點擊Unpack按鈕,因為我們要脫ASPack v1.06b的殼,所以就在其中選中Aspack<108,然后按OK。這時它會讓你打開要脫殼的文件,我們就選DIAGCFG.EXE,打開。然后稍微等幾秒種后按“確定”,ProcDump就會把DIAGCFG.EXE脫殼,然后會出個對話框要你把脫殼過的文件存盤,我們就把它存為gwns.exe。
注意:這時候,木馬又在你的系統上運行了一次,所以必須按照前面的清除步驟重新把它清除掉。由于前面已經寫過清除方法,這里就不再贅述了。
好了,現在已經得到了這個木馬加殼前的原始文件了,看看脫殼過的gwns.exe,有194k之大,比原來的程序大了一倍還多,這就是加殼軟件的功勞了。現在就可以使用反匯編程序對其進行反匯編,然后看它的匯編程序代碼了。
就用IDA來反匯編它,順便說一句,這個IDA是個超強的反匯編工具,是cracker以及Windows hacker所必備的工具。下面我們就來看看部分反匯編過的代碼:
木馬首先加載了kernel32.dll,然后利用GetProcAddress來得到RegisterServiceProcess這個API的地址,木馬首先需要把自己注冊為系統服務,這樣在Win9x下運行時就不容易被任務管理器發現。然后它會GetCommandLineA來得到運行參數,如果參數是可執行文件的話就調用Winexec來運行。
然后木馬會查找snfw.exe和kav9x.exe的進程,也就是“天網防火墻”或“金山毒霸”的進程,然后將其殺掉。
下面就是修改木馬的注冊表啟動項,即HKEY_LOCAL_MACHINE\SOFTWARE\Class\exefile\shell\open\command\項,使其能夠在每次系統重新啟動時能夠自行啟動。接下來木馬就會初始化Winsock dll,綁定端口,等待木馬客戶端的連接。 截止目前為止,我們已經完成了對“廣外女生”這個木馬程序的全部分析過程,了解了木馬的啟動、運行機制。當然,我寫本文的目的并不是簡單的介紹“廣外女生”這一種木馬,而是通過對這個具有典型意義的木馬的詳細分析,來向大家介紹對一般木馬的分析方法。利用本文的分析方法,你完全對任何一種未知的木馬品種進行分析。最后我們再來總結一下對木馬分析的方法及步驟:
首先對系統注冊表以及系統文件進行備份,然后運行木馬服務器端,再對運行過木馬的注冊表以及系統文件進行記錄,利用注冊表分析工具對兩次記錄結果進行比較,這樣就可以了解木馬在系統中做了哪些手腳。利用fport來查看木馬監聽端口。然后利用所獲取的信息做出木馬的清除方法。
如果想要對木馬進行深入的分析,還應該對木馬服務器端進行脫殼、反匯編。這樣就可以完全掌握木馬的任何動作,當然,這需要你對匯編語言有相當的掌握程度以及一定的耐心,因為冗長的匯編代碼不是一般的新手所能完全閱讀的。
如果還想進一步分析木馬報文格式的話,就用sniffer對木馬的端口進行監聽,然后進行比較分析,這種分析方法比較復雜。
本文發布于:2023-02-28 18:58:00,感謝您對本站的認可!
本文鏈接:http://www.newhan.cn/zhishi/a/167759247750443.html
版權聲明:本站內容均來自互聯網,僅供演示用,請勿用于商業和其他非法用途。如果侵犯了您的權益請與我們聯系,我們將在24小時內刪除。
本文word下載地址:廣外女生(廣外女生墜樓).doc
本文 PDF 下載地址:廣外女生(廣外女生墜樓).pdf
| 留言與評論(共有 0 條評論) |
