入侵檢測(IDS)應該與操作系統綁定
[ 2007-03-25 03:35:20 | 作者: sun ]
黑客攻擊的目標主要是用戶終端,如果入侵檢測系統不能和操作系統內核很好地配合,那么產品再多,做得再好,也是治標不治本。
主流的入侵檢測方法有三種
通常,入侵檢測系統按照其工作原理主要分為三種類型:基于網絡的入侵檢測系統、基于主機的入侵檢測系統和分布式入侵檢測系統。其中前兩種應用得最廣泛,國內大多數的產品都是基于這樣的工作原理。基于網絡的入侵檢測系統檢測的數據來源于網絡中的數據包,與受保護網段內的主機無關,適用范圍比較廣,并且一般不影響網絡流量和受保護主機的性能;基于主機的入侵檢測系統檢測的數據來源于系統日志、審計記錄,與受保護主機的操作系統等有關,因此一般只適用保護特定的計算機。
分布式入侵檢測系統這種工作方式比較新,目前這種技術在例如ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源于網絡中的數據包,不同的是,它采用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子,該黑匣子相當于基于網絡的入侵檢測系統,只是沒有用戶操作界面。黑匣子用來監測其所在網段上的數據流,它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網絡數據,同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大,但對網絡流量有一定的影響。
在漏報率方面國內產品有待提高
現在國際上比較有名的入侵檢測系統有ISS公司的RealSecure、Enterasys公司的 Dragon等。他們將基于主機和基于網絡的入侵檢測技術基礎集成在一起,擴大了檢測的數據源,降低了漏報率,并且對于檢測針對主機的攻擊效果比較好。但是這種方法的實施難度特別大,還要考慮到網絡中不同計算機操作系統的差異,需要將數據格式進行轉換,以達到統一。這些產品系統性能相對比較穩定,特征知識庫更新速度比較快。
國內公司生產的入侵檢測系統也比較多,如上海復旦光華信息股份有限公司的光華S-Audit網絡入侵檢測與安全審計系統V3.0、常州遠東科技有限公司的“黑客煞星”、長沙天一銀河信息產業有限公司的“天一獵鷹入侵檢測系統(V1.0)、上海三零衛士信息安全有限公司的鷹眼網絡安全監測儀、上海金諾網安的KIDS Ver3.0等。它們的體系結構大同小異,性能相差不大,都能檢測到以下一些攻擊事件,如多數的掃描、嗅探、后門、病毒、拒絕服務、分布式拒絕服務、非授權訪問、欺騙等。由于它們大多是以誤用檢測的分析方法為主,因此有的漏報率相對高一些,特征知識庫更新速度相對也要慢一些。
入侵檢測應該與操作系統綁定
目前的入侵檢測產品的固有缺陷是,與操作系統結合程度不緊,這樣對于新出現的、比較隱秘的攻擊手法和技術,一般很難檢測出來,即使對于同一種攻擊手法和技術,如果變化復雜些,也很難發現。它們也不能確定黑客攻擊系統到了什么程度,如黑客現在的攻擊對系統是否造成了威脅,黑客現在擁有了系統哪個級別的權限,黑客是否控制了一個系統等。由于一般情況下,只要有攻擊,入侵檢測系統就會發出警報,這樣就可能被黑客利用,不停地發送具有攻擊特征的數據包,雖然這對被攻擊對象沒有什么危險,但能使入侵檢測系統淹沒在一片報警聲中,從而使入侵檢測系統失效。此外,它們還會對數據包的內容進行檢查,因此對于加密了的數據包,這部分功能就失效了。
由于計算機網絡出現的初衷是為了方便通信和交流,充分利用資源,在其發展之初沒考慮到安全方面的問題,因此在到了出現網絡安全事故時候,才開始采取補救措施,而這種補救是外加的,如現在流行的防火墻、入侵檢測系統等,很少涉及到通信協議的修改。操作系統出現之初,也很少考慮到安全,如操作系統的核心是內存管理、進程管理、文件管理,只是考慮如何有效地去管理資源,沒有加入被黑客攻擊時如何去應對這一部分功能。這就造成了在傳輸部分、終端部分存在很多安全隱患,由于整個系統龐大,不可避免地存在大量漏洞。由于黑客攻擊的目標主要是終端部分,因此入侵檢測系統最好能與操作系統內核結合起來,現在的lids在這方面進行了比較深入的研究,否則無論做得怎樣好,也是治標不治本。
數據分析的兩類常用方法
入侵檢測系統進行數據分析有兩種常用方法:誤用檢測、異常檢測。誤用檢測是將收集到的數據與預先確定的特征知識庫里的各種攻擊模式進行比較,如果發現有攻擊特征,則判斷有攻擊。特征知識庫是將已知的攻擊方法和技術的特征提取出來,來建立的一個知識庫。
異常檢測則是對收集到的數據進行統計分析。它首先假定所有的攻擊行為與正常行為不同,這樣發現與正常行為有不同時,則判斷存在攻擊。這需要建立正常行為的標準,如登錄時錯誤次數為多少時視為正常。
相比而言,誤用檢測的原理簡單,很容易配置,特征知識庫也容易擴充,但它存在一個致命的弱點——只能檢測到已知的攻擊方法和技術。異常檢測可以檢測出已知的和未知的攻擊方法和技術,問題是正常行為標準只能采用人工智能、機器學習算法等來生成,并且需要大量的數據和時間,同時,現在人工智能和機器學習算法仍處于研究階段。所以現在的入侵檢測系統大多采用誤用檢測的分析方法。
主流的入侵檢測方法有三種
通常,入侵檢測系統按照其工作原理主要分為三種類型:基于網絡的入侵檢測系統、基于主機的入侵檢測系統和分布式入侵檢測系統。其中前兩種應用得最廣泛,國內大多數的產品都是基于這樣的工作原理。基于網絡的入侵檢測系統檢測的數據來源于網絡中的數據包,與受保護網段內的主機無關,適用范圍比較廣,并且一般不影響網絡流量和受保護主機的性能;基于主機的入侵檢測系統檢測的數據來源于系統日志、審計記錄,與受保護主機的操作系統等有關,因此一般只適用保護特定的計算機。
分布式入侵檢測系統這種工作方式比較新,目前這種技術在例如ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源于網絡中的數據包,不同的是,它采用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子,該黑匣子相當于基于網絡的入侵檢測系統,只是沒有用戶操作界面。黑匣子用來監測其所在網段上的數據流,它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網絡數據,同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大,但對網絡流量有一定的影響。
在漏報率方面國內產品有待提高
現在國際上比較有名的入侵檢測系統有ISS公司的RealSecure、Enterasys公司的 Dragon等。他們將基于主機和基于網絡的入侵檢測技術基礎集成在一起,擴大了檢測的數據源,降低了漏報率,并且對于檢測針對主機的攻擊效果比較好。但是這種方法的實施難度特別大,還要考慮到網絡中不同計算機操作系統的差異,需要將數據格式進行轉換,以達到統一。這些產品系統性能相對比較穩定,特征知識庫更新速度比較快。
國內公司生產的入侵檢測系統也比較多,如上海復旦光華信息股份有限公司的光華S-Audit網絡入侵檢測與安全審計系統V3.0、常州遠東科技有限公司的“黑客煞星”、長沙天一銀河信息產業有限公司的“天一獵鷹入侵檢測系統(V1.0)、上海三零衛士信息安全有限公司的鷹眼網絡安全監測儀、上海金諾網安的KIDS Ver3.0等。它們的體系結構大同小異,性能相差不大,都能檢測到以下一些攻擊事件,如多數的掃描、嗅探、后門、病毒、拒絕服務、分布式拒絕服務、非授權訪問、欺騙等。由于它們大多是以誤用檢測的分析方法為主,因此有的漏報率相對高一些,特征知識庫更新速度相對也要慢一些。
入侵檢測應該與操作系統綁定
目前的入侵檢測產品的固有缺陷是,與操作系統結合程度不緊,這樣對于新出現的、比較隱秘的攻擊手法和技術,一般很難檢測出來,即使對于同一種攻擊手法和技術,如果變化復雜些,也很難發現。它們也不能確定黑客攻擊系統到了什么程度,如黑客現在的攻擊對系統是否造成了威脅,黑客現在擁有了系統哪個級別的權限,黑客是否控制了一個系統等。由于一般情況下,只要有攻擊,入侵檢測系統就會發出警報,這樣就可能被黑客利用,不停地發送具有攻擊特征的數據包,雖然這對被攻擊對象沒有什么危險,但能使入侵檢測系統淹沒在一片報警聲中,從而使入侵檢測系統失效。此外,它們還會對數據包的內容進行檢查,因此對于加密了的數據包,這部分功能就失效了。
由于計算機網絡出現的初衷是為了方便通信和交流,充分利用資源,在其發展之初沒考慮到安全方面的問題,因此在到了出現網絡安全事故時候,才開始采取補救措施,而這種補救是外加的,如現在流行的防火墻、入侵檢測系統等,很少涉及到通信協議的修改。操作系統出現之初,也很少考慮到安全,如操作系統的核心是內存管理、進程管理、文件管理,只是考慮如何有效地去管理資源,沒有加入被黑客攻擊時如何去應對這一部分功能。這就造成了在傳輸部分、終端部分存在很多安全隱患,由于整個系統龐大,不可避免地存在大量漏洞。由于黑客攻擊的目標主要是終端部分,因此入侵檢測系統最好能與操作系統內核結合起來,現在的lids在這方面進行了比較深入的研究,否則無論做得怎樣好,也是治標不治本。
數據分析的兩類常用方法
入侵檢測系統進行數據分析有兩種常用方法:誤用檢測、異常檢測。誤用檢測是將收集到的數據與預先確定的特征知識庫里的各種攻擊模式進行比較,如果發現有攻擊特征,則判斷有攻擊。特征知識庫是將已知的攻擊方法和技術的特征提取出來,來建立的一個知識庫。
異常檢測則是對收集到的數據進行統計分析。它首先假定所有的攻擊行為與正常行為不同,這樣發現與正常行為有不同時,則判斷存在攻擊。這需要建立正常行為的標準,如登錄時錯誤次數為多少時視為正常。
相比而言,誤用檢測的原理簡單,很容易配置,特征知識庫也容易擴充,但它存在一個致命的弱點——只能檢測到已知的攻擊方法和技術。異常檢測可以檢測出已知的和未知的攻擊方法和技術,問題是正常行為標準只能采用人工智能、機器學習算法等來生成,并且需要大量的數據和時間,同時,現在人工智能和機器學習算法仍處于研究階段。所以現在的入侵檢測系統大多采用誤用檢測的分析方法。
休閑聊天輕輕松松避開網絡木馬的攻擊
[ 2007-03-25 03:34:56 | 作者: sun ]
QQ的密碼、個人資料和聊天記錄能否安全成為至關重要的問題,為了有效地防止聊天記錄等本地信息的丟失和被竊,可以采取以下措施:
1.設置本地消息口令
首先按下鼠標右鍵,從QQ圖標上選擇“系統參數”,在“系統參數”中選擇“安全設置”標簽。接著選擇“啟用本地消息加密”,再依次輸入口令并確認口令即可。
同時為了保險一定要勾選“啟用本地消息加密口令提示”,設定提示問題和問題答案,按下“確定”使設定生效。在啟動QQ輸入賬號和密碼后,軟件還會要求輸入本地消息口令,否則不能進入。
2.避開木馬軟件的攻擊
當前網絡上可以找到很多盜取QQ密碼的木馬軟件,但這些木馬軟件一般只記錄號碼位數不超過9位數的QQ登錄密碼,可以針對這個特點,在登錄QQ的時候選擇“注冊向導”,在“使用已有的QQ號碼”中輸入的QQ號碼前加入一長串0,其位數與原有的QQ號位數相加超過9位數就可以,這樣的結果是既不影響正常的QQ登錄,又可以避開木馬軟件對QQ密碼的秘密監視了。
3.隱身登錄
首先找到以前成功登錄過的QQ,在“QQ用戶登錄”框中找到自己的號碼,選中下面“隱身登錄”前面的方框,你就可以隱身登錄了。
假如你是第一次在這臺電腦上登錄QQ,登錄成功后別人很容易獲取你的地址,最好馬上選擇“離線”,過一會兒你再選擇“隱身登錄”,這樣別人就找不到你的地址了。
4.設置“拒絕陌生人消息”
在“系統設置”的“基本設置”標簽里選擇“拒絕陌生人消息”。
5.使用“選擇代理服務器”
找一個代理服務器,然后在QQ中設置好,別人就只能看到這個代理服務器的IP地址了。
6.知己知彼,減少風險
黑客入侵要經過一套入侵的流程,包括查找IP、掃描通訊錄、作業系統分析、弱點分析、密碼破解等,總要花費一些時間。所以,滯留在網上的時間越長,黑客完成入侵程序植入的幾率就越大。所以沒有事情的時候不要掛網,以減少被黑的風險。
1.設置本地消息口令
首先按下鼠標右鍵,從QQ圖標上選擇“系統參數”,在“系統參數”中選擇“安全設置”標簽。接著選擇“啟用本地消息加密”,再依次輸入口令并確認口令即可。
同時為了保險一定要勾選“啟用本地消息加密口令提示”,設定提示問題和問題答案,按下“確定”使設定生效。在啟動QQ輸入賬號和密碼后,軟件還會要求輸入本地消息口令,否則不能進入。
2.避開木馬軟件的攻擊
當前網絡上可以找到很多盜取QQ密碼的木馬軟件,但這些木馬軟件一般只記錄號碼位數不超過9位數的QQ登錄密碼,可以針對這個特點,在登錄QQ的時候選擇“注冊向導”,在“使用已有的QQ號碼”中輸入的QQ號碼前加入一長串0,其位數與原有的QQ號位數相加超過9位數就可以,這樣的結果是既不影響正常的QQ登錄,又可以避開木馬軟件對QQ密碼的秘密監視了。
3.隱身登錄
首先找到以前成功登錄過的QQ,在“QQ用戶登錄”框中找到自己的號碼,選中下面“隱身登錄”前面的方框,你就可以隱身登錄了。
假如你是第一次在這臺電腦上登錄QQ,登錄成功后別人很容易獲取你的地址,最好馬上選擇“離線”,過一會兒你再選擇“隱身登錄”,這樣別人就找不到你的地址了。
4.設置“拒絕陌生人消息”
在“系統設置”的“基本設置”標簽里選擇“拒絕陌生人消息”。
5.使用“選擇代理服務器”
找一個代理服務器,然后在QQ中設置好,別人就只能看到這個代理服務器的IP地址了。
6.知己知彼,減少風險
黑客入侵要經過一套入侵的流程,包括查找IP、掃描通訊錄、作業系統分析、弱點分析、密碼破解等,總要花費一些時間。所以,滯留在網上的時間越長,黑客完成入侵程序植入的幾率就越大。所以沒有事情的時候不要掛網,以減少被黑的風險。
跨站點腳本XSS漏洞危害性
[ 2007-03-25 03:34:43 | 作者: sun ]
安全專家,開發人員或者商業從業人員都明白像SQL注入這樣高風險的漏洞的危害。例如,需要注入到存在SQL注入漏洞的應用程序中的xp_cmdshell,它就可以被用來示范攻擊者如何用SQL注入的方法,從運行微軟SQL Server的主機上獲得command prompt。此類范例的影響是看得見的,并且這些漏洞的危害也很明顯。
而跨站點腳本(XSS)就會麻煩的多,安全分析師很難給出看得見的范例來清楚說明該漏洞可能造成的后果。通常安全分析師通過注入像alert('xss')的JAVAScript代碼來說明XSS的危害,該代碼能夠導致應用程序顯示帶有“xss”字樣的彈出窗口。從技術角度來說,這種范例確實證明XSS漏洞的存在性,但是它沒有真實地反映XSS漏洞的危害性。為了找到自動給出XSS范例的工具或方法,我訪問了BeEF。它的站點聲稱:BeEF是瀏覽器發掘平臺。它的目的就是提供簡單的可集成的結構來實時示范瀏覽器以及XSS的危害。 這種模塊結構主要是用BeEF中現存的智能使模塊開發成為一個很簡單的過程。一些基本的功能有Keylogging以及Clipboard Theft。
BeEF是個基于PHP的網絡應用,它捕捉那些有XSS應用漏洞的用戶瀏覽器的請求。在你的機器上運行BeEF,然后用它發現受XSS影響,而通過XSS請求你的主機(有BeEF)上的資源的應用程序。一旦受害者的瀏覽器請求BeEF資源,BeEF將發出警告并允許你注入JavaScript代碼,執行JavaScript端口掃描(例如受害瀏覽器將發起掃描:在受害瀏覽器可能訪問的內網環境中進行的端口掃描酒有可能被攻擊者利用)等等。這個Flash指南很好地示范了BeEF。
同時,我的一個好朋友也在從事跟BeEF類似的工程。如果他決定對外公開一個可用的版本,我將在此發布。
=============================================
而跨站點腳本(XSS)就會麻煩的多,安全分析師很難給出看得見的范例來清楚說明該漏洞可能造成的后果。通常安全分析師通過注入像alert('xss')的JAVAScript代碼來說明XSS的危害,該代碼能夠導致應用程序顯示帶有“xss”字樣的彈出窗口。從技術角度來說,這種范例確實證明XSS漏洞的存在性,但是它沒有真實地反映XSS漏洞的危害性。為了找到自動給出XSS范例的工具或方法,我訪問了BeEF。它的站點聲稱:BeEF是瀏覽器發掘平臺。它的目的就是提供簡單的可集成的結構來實時示范瀏覽器以及XSS的危害。 這種模塊結構主要是用BeEF中現存的智能使模塊開發成為一個很簡單的過程。一些基本的功能有Keylogging以及Clipboard Theft。
BeEF是個基于PHP的網絡應用,它捕捉那些有XSS應用漏洞的用戶瀏覽器的請求。在你的機器上運行BeEF,然后用它發現受XSS影響,而通過XSS請求你的主機(有BeEF)上的資源的應用程序。一旦受害者的瀏覽器請求BeEF資源,BeEF將發出警告并允許你注入JavaScript代碼,執行JavaScript端口掃描(例如受害瀏覽器將發起掃描:在受害瀏覽器可能訪問的內網環境中進行的端口掃描酒有可能被攻擊者利用)等等。這個Flash指南很好地示范了BeEF。
同時,我的一個好朋友也在從事跟BeEF類似的工程。如果他決定對外公開一個可用的版本,我將在此發布。
=============================================
元旦期間,受銀行網點休假影響,許多市民可能選擇網上銀行辦理轉賬、付款等業務。不法分子乘機設套詐騙市民的私人信息。為此,滬上銀行提醒,元旦假期市民更要提防假網銀。
第一、在任何情況下,銀行是不會主動向用戶索取網上銀行賬戶、密碼的;
第二、對那些要求提供密碼、卡號或賬戶等信息的不明短信、電子郵件都要格外提防,切莫輕信;
第三、遇到可疑狀況,應及時打電話與銀行進行核實,不要輕易打開不認識的郵件,尤其是一些可執行文件等;
第四、每次登錄網銀,盡量選擇直接輸入網址登錄,不要從非銀行網站的鏈接間接訪問;最好選用數字證書(U盾等)登錄作為安全手段。
第一、在任何情況下,銀行是不會主動向用戶索取網上銀行賬戶、密碼的;
第二、對那些要求提供密碼、卡號或賬戶等信息的不明短信、電子郵件都要格外提防,切莫輕信;
第三、遇到可疑狀況,應及時打電話與銀行進行核實,不要輕易打開不認識的郵件,尤其是一些可執行文件等;
第四、每次登錄網銀,盡量選擇直接輸入網址登錄,不要從非銀行網站的鏈接間接訪問;最好選用數字證書(U盾等)登錄作為安全手段。
電腦反復中病毒的防范
[ 2007-03-25 03:34:19 | 作者: sun ]
在很多情況下,同一臺電腦經常會發生反復中同一種病毒的事件。比如,中了小郵差后剛殺完毒暫時沒事兒了,可過一段時間,病毒又不請自來。這就是所謂的“同一病毒的再感染”。 其實,如何防止病毒再感染是有一些小竅門的。
病毒再感染一般有兩個原因:一是病毒有了新的變種,二是沒有封堵住病毒的傳播途徑。對第一種原因,我們采用對殺毒軟件在線升級到最新版后,就可以完全解決;第二種原因常會在使用電腦的過程中引發以下多種情況。我們只要認真區別對待,就能解決病毒再感染的相關問題。
1. 系統、工具軟件的漏洞
很多病毒利用操作系統和網絡工具的漏洞進行傳播,比如求職信、小郵差、Bugbear等,它會利用微軟瀏覽器軟件的“Iframe”漏洞,即使用戶沒有打開郵件的附件,僅僅是點擊了郵件,病毒就會自動運行了。
2. 病毒偽裝,引誘用戶上當
這是大多數蠕蟲、木馬類病毒的常用手段。信件標題或是內容有引誘用戶打開附件的文字,利用聊天工具傳播藏有惡意代碼的網址等等。
3. 用戶安全意識不夠高
一些用戶為圖使用方便,對于密碼的管理過于簡單、過于松懈。比如將密碼保存到電腦里,使用一些有規律而且很簡單的密碼,如1234、abcd等,甚至空密碼,這樣就會給一些有猜密碼功能的病毒創造傳播的途徑。
4. 局域網管理的松懈
局域網里的所有電腦都可以互聯,非常隨意地使用共享資源,對共享資源的使用沒有設置相應的權限等。
5. 沒有共同防毒
朋友、家人、聯系人之間,如果只有少部分用戶在防毒,同樣會造成病毒的泛濫。
以上所有的這些因素都會造成病毒的再感染,在現實使用過程中我們經常只是在中毒后簡單地進行殺毒,而沒有阻斷病毒入侵的通道,這就會使我們經常遭受病毒的騷擾,還抱怨殺毒軟件不中用,嚴重影響正常工作。
現今的病毒可謂是“面面俱到”,部分惡性病毒,例如“Bugbear”,把能用上的傳播方法都捆綁于一身,極大增強了病毒傳染的效率。為了防止這類病毒的感染,不僅僅需要殺毒軟件廠商的高效工作,還需要互聯網用戶提高自身的防范意識。同樣防病毒只有部分人在做,或只是防住了病毒傳播的某一途徑,也達不到全面防毒的真正目的。所以,只有廣大用戶都提高了防毒的安全意識,堵住病毒傳染的所有途徑,才能真正的讓病毒無機可乘,無孔而入。
網絡安全趣談:七類黑客各有“黑招”
[ 2007-03-25 03:34:08 | 作者: sun ]
黑客原來也有分別,崆峒,峨嵋,少林,武當,七種黑客,你是哪一種?
惡作劇型:喜歡進入他人網站,以刪除某些文字或圖像、篡改網址、主頁信息來顯示自己的厲害,此做法多為增添笑話自娛或娛人。或者進入他人網站內,將其主頁內商品資料內容、價格作降價等大幅度修改,使消費者誤以為該公司的商品便宜廉價而大量訂購,從而產生Internet訂貨糾紛。
隱蔽攻擊型:躲在暗處以匿名身份對網絡發動攻擊,往往不易被人識破;或者干脆冒充網絡合法用戶,侵入網絡“行黑"。這種行為由于是在暗處實施的主動攻擊行為,因此對社會危害極大。
定時炸彈型:在實施時故意在網絡上布下陷阱,或故意在網絡維護軟件內安插邏輯炸彈或后門程序,在特定的時間或特定條件下,引發一系列具有連鎖反應性質的破壞行動,或干擾網絡正常運行或致使網絡完全癱瘓。此種黑客在原公司離職后,通過連線,在得知原公司Internet地址密碼的情形下,可從網上再次了解到原公司網絡密址及電子郵件中各項文件資料,進而大量截取原公司最新資料,作為不正當競爭之用。這類黑客是企業內部蛀蟲,其危害和影響巨大,有時幾乎導致企業的破產倒閉。而混在政府內的這類黑客,破壞性更大。
矛盾制造型:非法進入他人網絡,修改其電子郵件的內容或廠商簽約日期,進而破壞甲乙雙方交易,并借此方式了解雙方商談的報價價格,乘機介入其商品競爭。有些黑客還利用政府上網的機會,修改公眾信息,挑起社會矛盾。
職業殺手型:此種黑客以職業殺手著稱,經常以監控方式將他人網站內由國外傳來的資料迅速清除,使得原網站使用公司無法得知國外最新資料或訂單;或者將電腦病毒植入他人網絡內,使其網絡無法正常運行。更有甚者,進入軍事情報機關的內部網絡,干擾軍事指揮系統的正常工作,任意修改軍方首腦的指示和下級通過網絡傳遞到首腦機關的情報,篡改軍事戰略部署,導致部隊調防和軍事運輸上的障礙,達到干擾和摧毀國防軍事系統的目的。
竊密高手型:出于某些集團利益的需要或者個人的私利,利用高技術手段竊取網絡上的加密信息,使高度敏感信息泄密。或者竊取情報用于威脅利誘政府公職人員,導致內外勾結進一步干擾破壞內部網的運行。有關商業秘密的情報,一旦被黑客截獲,還可能引發局部地區或全球的經濟危機或政治動蕩。
業余愛好型:計算機愛好者受到好奇心驅使,往往在技術上追求精益求精,絲毫未感到自己的行為對他人造成的影響,屬于無意識攻擊行為。這種人可以幫助某些內部網堵塞漏洞和防止損失擴大。有些愛好者還能夠幫助政府部門修正網絡錯誤。
惡作劇型:喜歡進入他人網站,以刪除某些文字或圖像、篡改網址、主頁信息來顯示自己的厲害,此做法多為增添笑話自娛或娛人。或者進入他人網站內,將其主頁內商品資料內容、價格作降價等大幅度修改,使消費者誤以為該公司的商品便宜廉價而大量訂購,從而產生Internet訂貨糾紛。
隱蔽攻擊型:躲在暗處以匿名身份對網絡發動攻擊,往往不易被人識破;或者干脆冒充網絡合法用戶,侵入網絡“行黑"。這種行為由于是在暗處實施的主動攻擊行為,因此對社會危害極大。
定時炸彈型:在實施時故意在網絡上布下陷阱,或故意在網絡維護軟件內安插邏輯炸彈或后門程序,在特定的時間或特定條件下,引發一系列具有連鎖反應性質的破壞行動,或干擾網絡正常運行或致使網絡完全癱瘓。此種黑客在原公司離職后,通過連線,在得知原公司Internet地址密碼的情形下,可從網上再次了解到原公司網絡密址及電子郵件中各項文件資料,進而大量截取原公司最新資料,作為不正當競爭之用。這類黑客是企業內部蛀蟲,其危害和影響巨大,有時幾乎導致企業的破產倒閉。而混在政府內的這類黑客,破壞性更大。
矛盾制造型:非法進入他人網絡,修改其電子郵件的內容或廠商簽約日期,進而破壞甲乙雙方交易,并借此方式了解雙方商談的報價價格,乘機介入其商品競爭。有些黑客還利用政府上網的機會,修改公眾信息,挑起社會矛盾。
職業殺手型:此種黑客以職業殺手著稱,經常以監控方式將他人網站內由國外傳來的資料迅速清除,使得原網站使用公司無法得知國外最新資料或訂單;或者將電腦病毒植入他人網絡內,使其網絡無法正常運行。更有甚者,進入軍事情報機關的內部網絡,干擾軍事指揮系統的正常工作,任意修改軍方首腦的指示和下級通過網絡傳遞到首腦機關的情報,篡改軍事戰略部署,導致部隊調防和軍事運輸上的障礙,達到干擾和摧毀國防軍事系統的目的。
竊密高手型:出于某些集團利益的需要或者個人的私利,利用高技術手段竊取網絡上的加密信息,使高度敏感信息泄密。或者竊取情報用于威脅利誘政府公職人員,導致內外勾結進一步干擾破壞內部網的運行。有關商業秘密的情報,一旦被黑客截獲,還可能引發局部地區或全球的經濟危機或政治動蕩。
業余愛好型:計算機愛好者受到好奇心驅使,往往在技術上追求精益求精,絲毫未感到自己的行為對他人造成的影響,屬于無意識攻擊行為。這種人可以幫助某些內部網堵塞漏洞和防止損失擴大。有些愛好者還能夠幫助政府部門修正網絡錯誤。
通用排查 看清木馬藏身地
[ 2007-03-25 03:33:48 | 作者: sun ]
木馬取自古希臘神話的特洛伊木馬記,是一種基于遠程控制的黑客工具,具有很強的隱藏性和危害性。為了達到控制服務端主機的目的,木馬往往要采用各種手段達到激活自己,加載運行的目的。這里,我們簡要的介紹一下木馬通用的激活方式,它們的藏身地,并通過一些實例來讓您體會一下手動清除木馬的方法。
●在Win.ini中啟動木馬:
在Win.ini的[Windows]小節中有啟動命令“load=”和“run=”,在一般的情況下“=”后面是空的,如果后面跟有程序,比如:
run=C:\Windows ile.exe
load=C:\Windows ile.exe
則這個file.exe很有可能就是木馬程序。
●在Windows XP注冊表中修改文件關聯:
修改注冊表中的文件關聯是木馬常用的手段,如何修改的方法已在本系列的前幾文中有過闡述。舉個例子,在正常情況下txt文件的打開方式為Notepad.exe(記事本),但一旦感染了文件關聯木馬,則txt文件就變成條用木馬程序打開了。如著名的國產木馬“冰河”,就是將注冊表HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的鍵值項“默認”的鍵值“C:\Windows otepad.exe %1”修改為“C:\WindowsSystemSysexplr.exe”,這樣,當你雙擊一個txt文件時,原本應該用記事本打開的文件,現在就成了啟動木馬程序了。當然,不僅是txt 文件,其它類型的文件,如htm、exe、zip、com等文件也都是木馬程序的目標,要小心。
對這類木馬程序,只能檢查注冊表中的HKEY_CLASSES_ROOT中的文件類型shellopencommand子鍵分支,查看其值是否正常。
●在Windows XP系統中捆綁木馬文件:
實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,控制端用戶使用工具軟件將木馬文件和某一應用程序捆綁在一起,上傳到服務端覆蓋原有文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程序,木馬又會被重新安裝了。如果捆綁在系統文件上,則每次Windows XP啟動都會啟動木馬。
關閉注冊表,打開C:\Autoexec.bat文件,刪除如下兩行:
@echo off copy c:\sys.lon C:\WindowsStart MenuStartup Items
Del c:\win.reg
保存并關閉Autoexec.exe文件。
●IndocTrination v0.1-v0.11注冊表清除實例:
在注冊表中打開如下子鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once
將這些子鍵右邊窗口中的如下鍵值項刪除:
Msgsrv16=“Msgsrv16”,關閉注冊表后重啟Windows,刪除C:\WindowsSystemmsgserv16.exe文件。
●SubSeven-Introduction v1.8注冊表清除實例:
打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子鍵分支,在右窗口中查找到含有“C:\WindowsSystem.ini”的鍵值項數據,將它刪除。
打開Win.ini文件,將其中的“run=kernel16.dl”改為“run=”,保存并關閉Win.ini文件。
打開System.ini文件,將其中的“shell=explorer.exe kernel32.dl”改為“shell=explorer.exe”,保存并關閉System.ini文件,重啟Windows,刪除C:\Windowskernel16.dl文件。
●廣外女生注冊表清除實例:
退到MS-DOS模式下,刪除System目錄下的diagcfg.exe。由于該病毒關聯的是exe文件,因此,現在刪除它后Windows環境下任何exe文件都將無法運行。我們先找到Windows目錄下的注冊表編輯器“Regedit.exe”,將其改名為“Regedit.com”。
回到Windows模式下,運行“Regedit.com”。打開HKEY_CLASSES_ROOTexefileshellopencommand,將其默認值改為“%1 %*”,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的鍵值項“Diagnostic Configuration”。關閉注冊表。
回到Windows目錄,將“Regedit.com”改回“Regedit.exe”。
●Netbull(網絡公牛)注冊表清除實例:
該病毒在Windows 9X下:捆綁notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆綁:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打開:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun
在這些子鍵下刪除鍵值項“CheckDll.exe”=“C:\WindowsSystemCheckDll..exe”。
另外,要察看自己的機器是否中了該病毒,可以察看上面列出的文件,如果發現該文件長度發生變化(大約增加了40K左右),就刪除它們。然后點擊[開始]|[附件]|[系統工具]|[系統文件檢查器],在彈出的對話框中選擇“從安裝軟盤提取一個文件”,在框中填入要提取的文件(前面你刪除的),點“確定”,按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件,如realplay.exe、QQ等被捆綁上了,那就必須把這些文件刪除后重新安裝了。
●聰明基因注冊表清除實例:
刪除C:\Windows下的MBBManager.exe和Explore32.exe,再刪除C:\WindowsSystem下的editor.exe文件。如果服務端已經運行,則要先用進程管理軟件終止MBBManager.exe這個進程后才能將它刪除。
打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,刪除鍵值項“MainBroad BackManager”。將HKEY_CLASSES_ROOT xtfileshellopencommand的默認值改為“C:\WindowsNotepad.exe %1”,恢復txt文件關聯。將HKEY_CLASSES_ROOThlpfileshellopencommand的默認值改為“C:\Windowswinhlp32.exe %1”,恢復hlp文件關聯。
以上是一些比較典型的手動清除特洛伊木馬操作步驟,希望大家能在動手的過程中得到啟發,慢慢摸索木馬的藏身和激活規律,以達到以不變應萬變的境地。
安防策略 即時剖解防范DOS攻擊
[ 2007-03-25 03:33:36 | 作者: sun ]
意用戶越來越猖獗的今天,網絡中不再是風平浪靜,作為一名保衛計算機安全的管理人員,了解惡意用戶的攻擊手段與原理是必然的,知已知彼方能更好將安全系數提升至另一個境界,而DOS、DDOS攻擊類型方式的興起,也讓網管員再次忙活了起來……
DOS攻擊原理詳探
DOS攻擊可以使被攻擊目標達到無法正常訪問并不能面對用戶提供正常提供服務,其攻擊方式是一對一式的通常稱為點對點式,采用消耗資源、服務中止和物理破壞形式,但當被攻擊機器的性能優越于攻擊者機器時,DOS無明顯效果。此時分布式拒絕服務攻擊手法DDOS應運而生,此攻擊是在DOS基礎上利用大量計算機一起發動大規模攻擊,從而導至目標機資淅耗盡而崩潰,因為DDOS式攻擊可讓惡意用戶控制傀儡機進行跨機攻擊,隱匿性非常強,所以受害機往往很難查出真正發起攻擊的惡意用戶到底是來自那個地區,后果非常糟糕也十分可怕。
常見DOS攻擊及防范
目前網絡中流行的其DOS類攻擊有很多種,而下面的四種卻是惡意用戶最常用的攻擊手法,其危害大、操作相對簡單。
一、UDP Flood攻擊
此種攻擊方法也是讓目標機產生拒絕服務的手段之一,此UDP連接無需任何協議技持即可進行遠程數據傳輸,當惡意用戶向目標機發送4字節的數據包時,此時將會產生UDP淹沒攻擊,目標計算機接收數據包的應用程序,并進行等待確定,一但發現端口中不存在等待連接的應用程序,此時將產生一個目的地址無法連接的ICMP數據包發送給該偽造的源地址,隨著數據包往復發送的次數變多,此時目標機的處理能力慢慢變低,最終將導至計算機無法提供正常服務系統崩潰。
針對此種攻擊的網絡管理人員要充分利用硬件產品與計算機安全策略相互交錯運行,禁用或者過濾監控和響應服務,并過濾或禁用其它的UDP服務,對指定的UDP服務可以通過其代理機制來實行網絡訪問。
二、SYN FLOOD攻擊原理防法方案
此攻擊方法利用了TCP協議中三次握手中的缺憾,并因此為傳輸依據向目標主機發送大量偽造的TCP連接請求,重復一次又一次的SYN報文后依次中斷,讓目標機接收的連接請求保存在一個有限空間緩存隊列中,并越聚越多,從而使目標機出現CPU滿載運行與內存資源耗盡,無法及時回應并處理正常的服務請求,導至服務器不停地處理大量虛假SYN包 ,使堆棧溢出陷入崩潰邊緣,從而造成服務器的拒絕服務。
由于SYN Flood攻擊的效果取決于目標機上的半連接數,這個值等于SYN攻擊的頻度乘以SYN Timeout,所以通過縮短SYN Timeout時間以確定報文無效并丟棄該連接即可抵御,其修改方法如下:首先在計算機運行項里輸入regedit.exe調出注冊表項,并依次展開HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\parameters鍵值,并在右側窗體中建立DWORD值名為SynAttackProtect,設置其鍵值范圍為2(提示:此值減少SYN攻擊時采取的保護措施,0為無保護)并再次建立DWORD值命名為TcpMaxHalfOpen,此值的設置要根據實際情況進行設定,用以控制系統允許打開的半連接數,最后再次建立DWORD名為TcpMaxHalfOpenRetriec,此值決定系統于何種情況下自動打開SYN攻擊保護,修改注冊表鍵值將針對攻擊頻率不高的SYN Flood攻擊產生效果。
三、ICMP Flood攻擊原理及防法
ICMP攻擊是通過Ping產生的大量數據包,使目標計算機的CPU占用率滿載繼而當機,此類的攻擊方法更加簡單,惡意用戶只要在DOS窗體中輸入ping -t -l 65500 IP地址即可實現向目標計算機發送一個65500的ICMP報文,此時目標用戶即受到ICMP洪水攻擊,計算機因此逐漸變慢,從而死機。
用戶或管理人員可以通過在運行菜單中輸入regedit.exe調出注冊表,打開HKEY_LOCAL_Machine/System/CurrentControlSt/Services?TCPIP/Paramters鍵值并在其右窗口中創建DWORD鍵值命名為EnableICMPRedirects鍵值數為0,此時即可禁止計算機響應ICMP得定向報文,以達保護目的,而還有一種方法是通過修改注冊表禁止響應ICMP路由通告報文,來守護此類攻擊,依次打開注冊表如下鍵值HKEY_LOCAL_Machine/System/CurrentControlSt/Services?TCPIP/Paramters/Interfaces在右側窗體中創建DWORD值命名為PerformRouterDiscovery其鍵值為0即可停止響應。
DDOS攻擊
DDoS是英文Distributed Denial of Service的縮寫(網絡統稱為:分布式拒絕服務)。其原理是主攻擊利用所控制的N臺中間人計算機(傀儡主機)一起向目標機器發送大量看似合法的數據包,造成目標機網絡阻塞或服務器資源耗盡而導致拒絕服務產生,導至合法的網絡數據包被虛假的網絡數據包淹沒而無法到達主機,形成合法用戶無法正常訪問,也可以通過大量的攻擊數據包導至主機的CPU滿裁、內存耗盡造成目標機也無法對正常用戶提供網絡服務,威力更加龐大。
了解了DOS及DDOS的幾類攻擊手法后,那么用戶或管理人員如何才能做到有效地防備呢?首先要安裝專業抗DDOS防火墻,安裝完成對利用端口掃描軟件對本機進行掃描,發現高危端口時使用新建防火墻規則,對其進行攔截或過濾某些特定的數據包,在系統安全上要經常打上最新的安全補丁程序,建立備份機制刪除多余用戶,禁止不必要的網絡服務,并建立路由器、防火墻等負載均衡設備策略,當網絡被惡意用戶DDOS時最先崩潰的是路由器,此時當一臺路由器被攻擊死機時,另一臺則馬上進行工作,而內部計算機在其保護之下完好無損,崩潰的路由器經重啟很快便于能進入替補角色,從而最大程度的削減了DDOS的攻擊,做到防危滴漏!
防御后記
網絡用戶在以后的網絡中遇上此類攻擊,相信在了解其原理的情況下,能即時應對所發生的突發事件,在情節處理上要做到穩而不亂,忙而能靜的攻守原則,在硬件上下下功夫做好防火墻與策略的把關工作,定能大事化小小事化了
DOS攻擊原理詳探
DOS攻擊可以使被攻擊目標達到無法正常訪問并不能面對用戶提供正常提供服務,其攻擊方式是一對一式的通常稱為點對點式,采用消耗資源、服務中止和物理破壞形式,但當被攻擊機器的性能優越于攻擊者機器時,DOS無明顯效果。此時分布式拒絕服務攻擊手法DDOS應運而生,此攻擊是在DOS基礎上利用大量計算機一起發動大規模攻擊,從而導至目標機資淅耗盡而崩潰,因為DDOS式攻擊可讓惡意用戶控制傀儡機進行跨機攻擊,隱匿性非常強,所以受害機往往很難查出真正發起攻擊的惡意用戶到底是來自那個地區,后果非常糟糕也十分可怕。
常見DOS攻擊及防范
目前網絡中流行的其DOS類攻擊有很多種,而下面的四種卻是惡意用戶最常用的攻擊手法,其危害大、操作相對簡單。
一、UDP Flood攻擊
此種攻擊方法也是讓目標機產生拒絕服務的手段之一,此UDP連接無需任何協議技持即可進行遠程數據傳輸,當惡意用戶向目標機發送4字節的數據包時,此時將會產生UDP淹沒攻擊,目標計算機接收數據包的應用程序,并進行等待確定,一但發現端口中不存在等待連接的應用程序,此時將產生一個目的地址無法連接的ICMP數據包發送給該偽造的源地址,隨著數據包往復發送的次數變多,此時目標機的處理能力慢慢變低,最終將導至計算機無法提供正常服務系統崩潰。
針對此種攻擊的網絡管理人員要充分利用硬件產品與計算機安全策略相互交錯運行,禁用或者過濾監控和響應服務,并過濾或禁用其它的UDP服務,對指定的UDP服務可以通過其代理機制來實行網絡訪問。
二、SYN FLOOD攻擊原理防法方案
此攻擊方法利用了TCP協議中三次握手中的缺憾,并因此為傳輸依據向目標主機發送大量偽造的TCP連接請求,重復一次又一次的SYN報文后依次中斷,讓目標機接收的連接請求保存在一個有限空間緩存隊列中,并越聚越多,從而使目標機出現CPU滿載運行與內存資源耗盡,無法及時回應并處理正常的服務請求,導至服務器不停地處理大量虛假SYN包 ,使堆棧溢出陷入崩潰邊緣,從而造成服務器的拒絕服務。
由于SYN Flood攻擊的效果取決于目標機上的半連接數,這個值等于SYN攻擊的頻度乘以SYN Timeout,所以通過縮短SYN Timeout時間以確定報文無效并丟棄該連接即可抵御,其修改方法如下:首先在計算機運行項里輸入regedit.exe調出注冊表項,并依次展開HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\parameters鍵值,并在右側窗體中建立DWORD值名為SynAttackProtect,設置其鍵值范圍為2(提示:此值減少SYN攻擊時采取的保護措施,0為無保護)并再次建立DWORD值命名為TcpMaxHalfOpen,此值的設置要根據實際情況進行設定,用以控制系統允許打開的半連接數,最后再次建立DWORD名為TcpMaxHalfOpenRetriec,此值決定系統于何種情況下自動打開SYN攻擊保護,修改注冊表鍵值將針對攻擊頻率不高的SYN Flood攻擊產生效果。
三、ICMP Flood攻擊原理及防法
ICMP攻擊是通過Ping產生的大量數據包,使目標計算機的CPU占用率滿載繼而當機,此類的攻擊方法更加簡單,惡意用戶只要在DOS窗體中輸入ping -t -l 65500 IP地址即可實現向目標計算機發送一個65500的ICMP報文,此時目標用戶即受到ICMP洪水攻擊,計算機因此逐漸變慢,從而死機。
用戶或管理人員可以通過在運行菜單中輸入regedit.exe調出注冊表,打開HKEY_LOCAL_Machine/System/CurrentControlSt/Services?TCPIP/Paramters鍵值并在其右窗口中創建DWORD鍵值命名為EnableICMPRedirects鍵值數為0,此時即可禁止計算機響應ICMP得定向報文,以達保護目的,而還有一種方法是通過修改注冊表禁止響應ICMP路由通告報文,來守護此類攻擊,依次打開注冊表如下鍵值HKEY_LOCAL_Machine/System/CurrentControlSt/Services?TCPIP/Paramters/Interfaces在右側窗體中創建DWORD值命名為PerformRouterDiscovery其鍵值為0即可停止響應。
DDOS攻擊
DDoS是英文Distributed Denial of Service的縮寫(網絡統稱為:分布式拒絕服務)。其原理是主攻擊利用所控制的N臺中間人計算機(傀儡主機)一起向目標機器發送大量看似合法的數據包,造成目標機網絡阻塞或服務器資源耗盡而導致拒絕服務產生,導至合法的網絡數據包被虛假的網絡數據包淹沒而無法到達主機,形成合法用戶無法正常訪問,也可以通過大量的攻擊數據包導至主機的CPU滿裁、內存耗盡造成目標機也無法對正常用戶提供網絡服務,威力更加龐大。
了解了DOS及DDOS的幾類攻擊手法后,那么用戶或管理人員如何才能做到有效地防備呢?首先要安裝專業抗DDOS防火墻,安裝完成對利用端口掃描軟件對本機進行掃描,發現高危端口時使用新建防火墻規則,對其進行攔截或過濾某些特定的數據包,在系統安全上要經常打上最新的安全補丁程序,建立備份機制刪除多余用戶,禁止不必要的網絡服務,并建立路由器、防火墻等負載均衡設備策略,當網絡被惡意用戶DDOS時最先崩潰的是路由器,此時當一臺路由器被攻擊死機時,另一臺則馬上進行工作,而內部計算機在其保護之下完好無損,崩潰的路由器經重啟很快便于能進入替補角色,從而最大程度的削減了DDOS的攻擊,做到防危滴漏!
防御后記
網絡用戶在以后的網絡中遇上此類攻擊,相信在了解其原理的情況下,能即時應對所發生的突發事件,在情節處理上要做到穩而不亂,忙而能靜的攻守原則,在硬件上下下功夫做好防火墻與策略的把關工作,定能大事化小小事化了
木馬取自古希臘神話的特洛伊木馬記,是一種基于遠程控制的黑客工具,具有很強的隱藏性和危害性。為了達到控制服務端主機的目的,木馬往往要采用各種手段達到激活自己,加載運行的目的。這里,我們簡要的介紹一下木馬通用的激活方式,它們的藏身地,并通過一些實例來讓您體會一下手動清除木馬的方法。
●在Win.ini中啟動木馬:
在Win.ini的[Windows]小節中有啟動命令“load=”和“run=”,在一般的情況下“=”后面是空的,如果后面跟有程序,比如:
run=C:\Windows ile.exe
load=C:\Windows ile.exe
則這個file.exe很有可能就是木馬程序。
●在Windows XP注冊表中修改文件關聯:
修改注冊表中的文件關聯是木馬常用的手段,如何修改的方法已在本系列的前幾文中有過闡述。舉個例子,在正常情況下txt文件的打開方式為Notepad.exe(記事本),但一旦感染了文件關聯木馬,則txt文件就變成條用木馬程序打開了。如著名的國產木馬“冰河”,就是將注冊表HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的鍵值項“默認”的鍵值“C:\Windows otepad.exe %1”修改為“C:\WindowsSystemSysexplr.exe”,這樣,當你雙擊一個txt文件時,原本應該用記事本打開的文件,現在就成了啟動木馬程序了。當然,不僅是txt 文件,其它類型的文件,如htm、exe、zip、com等文件也都是木馬程序的目標,要小心。
對這類木馬程序,只能檢查注冊表中的HKEY_CLASSES_ROOT中的文件類型shellopencommand子鍵分支,查看其值是否正常。
●在Windows XP系統中捆綁木馬文件:
實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,控制端用戶使用工具軟件將木馬文件和某一應用程序捆綁在一起,上傳到服務端覆蓋原有文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程序,木馬又會被重新安裝了。如果捆綁在系統文件上,則每次Windows XP啟動都會啟動木馬。
關閉注冊表,打開C:\Autoexec.bat文件,刪除如下兩行:
@echo off copy c:\sys.lon C:\WindowsStart MenuStartup Items
Del c:\win.reg
保存并關閉Autoexec.exe文件。
●IndocTrination v0.1-v0.11注冊表清除實例:
在注冊表中打開如下子鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once
將這些子鍵右邊窗口中的如下鍵值項刪除:
Msgsrv16=“Msgsrv16”,關閉注冊表后重啟Windows,刪除C:\WindowsSystemmsgserv16.exe文件。
●SubSeven-Introduction v1.8注冊表清除實例:
打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子鍵分支,在右窗口中查找到含有“C:\WindowsSystem.ini”的鍵值項數據,將它刪除。
打開Win.ini文件,將其中的“run=kernel16.dl”改為“run=”,保存并關閉Win.ini文件。
打開System.ini文件,將其中的“shell=explorer.exe kernel32.dl”改為“shell=explorer.exe”,保存并關閉System.ini文件,重啟Windows,刪除C:\Windowskernel16.dl文件。
●廣外女生注冊表清除實例:
退到MS-DOS模式下,刪除System目錄下的diagcfg.exe。由于該病毒關聯的是exe文件,因此,現在刪除它后Windows環境下任何exe文件都將無法運行。我們先找到Windows目錄下的注冊表編輯器“Regedit.exe”,將其改名為“Regedit.com”。
回到Windows模式下,運行“Regedit.com”。打開HKEY_CLASSES_ROOTexefileshellopencommand,將其默認值改為“%1 %*”,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的鍵值項“Diagnostic Configuration”。關閉注冊表。
回到Windows目錄,將“Regedit.com”改回“Regedit.exe”。
●Netbull(網絡公牛)注冊表清除實例:
該病毒在Windows 9X下:捆綁notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆綁:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打開:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun
在這些子鍵下刪除鍵值項“CheckDll.exe”=“C:\WindowsSystemCheckDll..exe”。
另外,要察看自己的機器是否中了該病毒,可以察看上面列出的文件,如果發現該文件長度發生變化(大約增加了40K左右),就刪除它們。然后點擊[開始]|[附件]|[系統工具]|[系統文件檢查器],在彈出的對話框中選擇“從安裝軟盤提取一個文件”,在框中填入要提取的文件(前面你刪除的),點“確定”,按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件,如realplay.exe、QQ等被捆綁上了,那就必須把這些文件刪除后重新安裝了。
●聰明基因注冊表清除實例:
刪除C:\Windows下的MBBManager.exe和Explore32.exe,再刪除C:\WindowsSystem下的editor.exe文件。如果服務端已經運行,則要先用進程管理軟件終止MBBManager.exe這個進程后才能將它刪除。
打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,刪除鍵值項“MainBroad BackManager”。將HKEY_CLASSES_ROOT xtfileshellopencommand的默認值改為“C:\WindowsNotepad.exe %1”,恢復txt文件關聯。將HKEY_CLASSES_ROOThlpfileshellopencommand的默認值改為“C:\Windowswinhlp32.exe %1”,恢復hlp文件關聯。
以上是一些比較典型的手動清除特洛伊木馬操作步驟,希望大家能在動手的過程中得到啟發,慢慢摸索木馬的藏身和激活規律,以達到以不變應萬變的境地。
●在Win.ini中啟動木馬:
在Win.ini的[Windows]小節中有啟動命令“load=”和“run=”,在一般的情況下“=”后面是空的,如果后面跟有程序,比如:
run=C:\Windows ile.exe
load=C:\Windows ile.exe
則這個file.exe很有可能就是木馬程序。
●在Windows XP注冊表中修改文件關聯:
修改注冊表中的文件關聯是木馬常用的手段,如何修改的方法已在本系列的前幾文中有過闡述。舉個例子,在正常情況下txt文件的打開方式為Notepad.exe(記事本),但一旦感染了文件關聯木馬,則txt文件就變成條用木馬程序打開了。如著名的國產木馬“冰河”,就是將注冊表HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的鍵值項“默認”的鍵值“C:\Windows otepad.exe %1”修改為“C:\WindowsSystemSysexplr.exe”,這樣,當你雙擊一個txt文件時,原本應該用記事本打開的文件,現在就成了啟動木馬程序了。當然,不僅是txt 文件,其它類型的文件,如htm、exe、zip、com等文件也都是木馬程序的目標,要小心。
對這類木馬程序,只能檢查注冊表中的HKEY_CLASSES_ROOT中的文件類型shellopencommand子鍵分支,查看其值是否正常。
●在Windows XP系統中捆綁木馬文件:
實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,控制端用戶使用工具軟件將木馬文件和某一應用程序捆綁在一起,上傳到服務端覆蓋原有文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程序,木馬又會被重新安裝了。如果捆綁在系統文件上,則每次Windows XP啟動都會啟動木馬。
關閉注冊表,打開C:\Autoexec.bat文件,刪除如下兩行:
@echo off copy c:\sys.lon C:\WindowsStart MenuStartup Items
Del c:\win.reg
保存并關閉Autoexec.exe文件。
●IndocTrination v0.1-v0.11注冊表清除實例:
在注冊表中打開如下子鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once
將這些子鍵右邊窗口中的如下鍵值項刪除:
Msgsrv16=“Msgsrv16”,關閉注冊表后重啟Windows,刪除C:\WindowsSystemmsgserv16.exe文件。
●SubSeven-Introduction v1.8注冊表清除實例:
打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子鍵分支,在右窗口中查找到含有“C:\WindowsSystem.ini”的鍵值項數據,將它刪除。
打開Win.ini文件,將其中的“run=kernel16.dl”改為“run=”,保存并關閉Win.ini文件。
打開System.ini文件,將其中的“shell=explorer.exe kernel32.dl”改為“shell=explorer.exe”,保存并關閉System.ini文件,重啟Windows,刪除C:\Windowskernel16.dl文件。
●廣外女生注冊表清除實例:
退到MS-DOS模式下,刪除System目錄下的diagcfg.exe。由于該病毒關聯的是exe文件,因此,現在刪除它后Windows環境下任何exe文件都將無法運行。我們先找到Windows目錄下的注冊表編輯器“Regedit.exe”,將其改名為“Regedit.com”。
回到Windows模式下,運行“Regedit.com”。打開HKEY_CLASSES_ROOTexefileshellopencommand,將其默認值改為“%1 %*”,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的鍵值項“Diagnostic Configuration”。關閉注冊表。
回到Windows目錄,將“Regedit.com”改回“Regedit.exe”。
●Netbull(網絡公牛)注冊表清除實例:
該病毒在Windows 9X下:捆綁notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆綁:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打開:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun
在這些子鍵下刪除鍵值項“CheckDll.exe”=“C:\WindowsSystemCheckDll..exe”。
另外,要察看自己的機器是否中了該病毒,可以察看上面列出的文件,如果發現該文件長度發生變化(大約增加了40K左右),就刪除它們。然后點擊[開始]|[附件]|[系統工具]|[系統文件檢查器],在彈出的對話框中選擇“從安裝軟盤提取一個文件”,在框中填入要提取的文件(前面你刪除的),點“確定”,按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件,如realplay.exe、QQ等被捆綁上了,那就必須把這些文件刪除后重新安裝了。
●聰明基因注冊表清除實例:
刪除C:\Windows下的MBBManager.exe和Explore32.exe,再刪除C:\WindowsSystem下的editor.exe文件。如果服務端已經運行,則要先用進程管理軟件終止MBBManager.exe這個進程后才能將它刪除。
打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,刪除鍵值項“MainBroad BackManager”。將HKEY_CLASSES_ROOT xtfileshellopencommand的默認值改為“C:\WindowsNotepad.exe %1”,恢復txt文件關聯。將HKEY_CLASSES_ROOThlpfileshellopencommand的默認值改為“C:\Windowswinhlp32.exe %1”,恢復hlp文件關聯。
以上是一些比較典型的手動清除特洛伊木馬操作步驟,希望大家能在動手的過程中得到啟發,慢慢摸索木馬的藏身和激活規律,以達到以不變應萬變的境地。
菜鳥電腦安全防范技巧
[ 2007-03-25 03:33:10 | 作者: sun ]
大家好,今天是我第一次寫點東西給大家分享有點緊張。如果哪里寫的不對請高手給予指正。
今天我所講的一切都是關于個人計算機安全,也都是我所知道的知識。我想大家都有過這樣的經歷,我們都是研究HACK技術的,經常會有一少部分人會給我們下木馬病毒(損人不利己的事)!很多人都會黑某些WEB主機、攻擊/入侵對方計算機。但是做同樣的事情的也有別人,在我們攻擊別人的時候,也會有人在攻擊我們的電腦,我想那些人也不是吃素的,一般的殺毒軟件、防火墻,我想對他們來說也是可以輕松突破的。
畢竟世界上沒有絕對完美的防御。沒有什么電腦可以一點漏洞都沒有。所以我們大家都會入侵某某網站、個人計算機。但是相對于我們這方面的技術,欠缺的是防御自己計算機方面的方法與意識。今天我就把我個人知道的一些方法和知識寫出來,和大家一起分享。
安全軟件:殺毒軟件、防火墻、病毒木馬專殺軟件、流氓軟件清理類。(Windows系統上最好安裝上這些安全產品)
Windows 的系統更新對于計算機安全來說由為重要,系統更新一定要打開,以及時修補計算機漏洞。
必要的計算機設置,比如:關閉潛在危險的服務telnet、ftp、3389、netbios等;給管理員用戶設置一個強度密碼,不要使用弱口令;刪除其他無用的用戶帳號、禁用guest用戶、刪除默認共享 $admin $c\d\e\f $ipc。
還有一些安全常識,要知道:有些木馬病毒的隱藏性很好,而且事先一定做好了病毒免殺,所以不要把系統的安全全部放在殺毒軟件上,也不要過分依賴于軟件,要學會手動查殺計算機病毒木馬。一般來說計算機病毒木馬程序分為:鍵盤記錄、遠程控制、后門類等。因為殺毒軟件的隱藏性都很好,一般是加載到啟動項,這樣系統在下次啟動的時候就可以秘密的啟動病毒木馬程序。現在我要說一下病毒木馬的幾種啟動方式:加載到win.ini、注冊表啟動項、引導扇區,一般來說就算病毒木馬經過了免殺處理也就是:改變程序的入口點、插入進程技術等。使用病毒木馬專殺工具就可以很有效的清除病毒木馬程序。但是如果上面的方式都無法清除病毒木馬程序的話,你可以嘗試手動清理的方式,經常聽見大家說手動清理病毒木馬程序,但是有很多朋友還是不知道怎么清理。今天我就為大家介紹如何實現手動清理病毒木馬程序。有幾個病毒木馬程序隱藏的地方我先告訴大家:注冊表、引導扇區、win.ini、system32目錄等,都是病毒木馬程序隱藏的地方。一般來說首先要先刪除病毒木馬程序的啟動項,然后再刪除病毒木馬程序的源文件,清理一下引導扇區、內存就可以了。
入侵一般是沖著你電腦里的重要資料來的,或者是廣泛的入侵(大范圍掃描)。所以之前最好對自己電腦里的數據資料做加密處理,這樣才能有效的保護好你的資料不被其他人下載和閱讀。
還有就是大家最好都有些安全意識。比如你的電腦感染了木馬程序(這里指鍵盤記錄程序),首先你運行了某些程序之后大概過了幾分鐘之后你的程序突然掉了,那就不要在登陸帳號了,因為很有可能你的電腦已經感染了病毒木馬,感染這類木馬你也不需要太過擔心只要你不登陸帳號你也不怕什么的,有些木馬程序是全局范圍的,只要你在Windows上的text框輸入字符木馬程序都會記錄下來并發送出去。而有些木馬則是記錄指定程序的,你不運行指定程序的時候那木馬是不會工作的。
在你懷疑自己電腦感染了病毒木馬程序的時候首先你可以先用專殺工具查殺一便,也可以看看有沒有什么可疑進程在運行,有沒有開放可疑端口。一般隱藏好的木馬這兩點是不會暴露的。找到了可疑木馬病毒程序你可以在注冊表和計算機的系統盤搜索一下,把注冊表啟動項目刪除,再把分區內的源文件刪除。然后再檢測一下內存、引導扇區,應該沒問題了。
還有一些是針對黑客入侵,大家都知道HACK技術入侵之前要做的事情。先會掃描我們計算機是否存在漏洞,我們可以先用安全工具檢測一下自己的電腦是否也存在安全漏洞。比如默認共享要關閉、IPC共享、ADMIN共享。還有文件和打印機共享。此漏洞存在遠程緩沖區溢出漏洞。
系統管理員密碼最好是高強度密碼,千萬不要使用弱口令。遠程連接服務不需要的話也一定要關閉:telnet、ftp、3389之類的。
因為我不經常使用那些軟件,我的愛好是計算機編程。雖然我現在還在學習階段,也不經常用軟件。我建議大家不要過分依賴于軟件。有的人使用了好幾年的軟件最后還都不知道軟件實現的原理。
如果你要是學會了一門計算機語言那對你以后學習HACK技術會有很大幫助,只是會用工具、對黑客來說會有很大的局限性,做的事也很受限制。
再回到計算機防御上來說吧,防御好自己的計算機一點都不簡單,我上面所說的也只是針對一般性的入侵。但對于真正的黑客我想可能也是沒用的,我相信真正的黑客一定掌握著一種以上沒被發現的漏洞。因為他沒有公布所以很少人知道此漏洞。MS也不知道吧?
下面介紹一下常見的病毒木馬欺騙的方法,以提高大家的安全意識。
WEB掛馬,我想大家也都知道有些站點被黑客入侵以后首頁被掛上了木馬程序。只要用戶打開對應的頁面,木馬就會利用瀏覽器的漏洞自動下載并執行。(所以本地電腦最好把殺毒軟件的WEB監視功能打開)。
不要輕易接受陌生網友傳送過來的文件和圖片,軟件有可能被惡意捆綁木馬病毒程序。
盡量要去一些大型、專業的網站下載軟件,打開軟件之前要先查毒。
要禁得住誘惑!要知道天上沒掉餡餅的時候,不要輕易去點別人發給你的連接地址(地址很有可能已經被掛上了木馬病毒程序)。
因為現在大部分的漏洞也都是針對IE,如果不是很有必要就不要使用IE了,個人推薦使用Firefox瀏覽器。
把殺毒軟件的下載更新打開、或者定期下載殺毒軟件的更新補丁,以保持殺毒軟件的最新病毒庫。不然你的殺毒軟件就行同虛設。
一些病毒木馬在注冊表的啟動項鍵值:
1、HEKY_LOCAL_MACHINE\SOFTWAER\MICROSOFT\Windows\CURRENTVERSION\RUN
2、HKEY_CURRENT_USER\SOFTWAER\MICROSOFT\Windows\CURRENTVERSION\RUN
3、HKEY_USERS\.DEFAULT\SOFTWAER\MICROSOFT\Windows\CURRENTVERSION\RUN
今天我所講的一切都是關于個人計算機安全,也都是我所知道的知識。我想大家都有過這樣的經歷,我們都是研究HACK技術的,經常會有一少部分人會給我們下木馬病毒(損人不利己的事)!很多人都會黑某些WEB主機、攻擊/入侵對方計算機。但是做同樣的事情的也有別人,在我們攻擊別人的時候,也會有人在攻擊我們的電腦,我想那些人也不是吃素的,一般的殺毒軟件、防火墻,我想對他們來說也是可以輕松突破的。
畢竟世界上沒有絕對完美的防御。沒有什么電腦可以一點漏洞都沒有。所以我們大家都會入侵某某網站、個人計算機。但是相對于我們這方面的技術,欠缺的是防御自己計算機方面的方法與意識。今天我就把我個人知道的一些方法和知識寫出來,和大家一起分享。
安全軟件:殺毒軟件、防火墻、病毒木馬專殺軟件、流氓軟件清理類。(Windows系統上最好安裝上這些安全產品)
Windows 的系統更新對于計算機安全來說由為重要,系統更新一定要打開,以及時修補計算機漏洞。
必要的計算機設置,比如:關閉潛在危險的服務telnet、ftp、3389、netbios等;給管理員用戶設置一個強度密碼,不要使用弱口令;刪除其他無用的用戶帳號、禁用guest用戶、刪除默認共享 $admin $c\d\e\f $ipc。
還有一些安全常識,要知道:有些木馬病毒的隱藏性很好,而且事先一定做好了病毒免殺,所以不要把系統的安全全部放在殺毒軟件上,也不要過分依賴于軟件,要學會手動查殺計算機病毒木馬。一般來說計算機病毒木馬程序分為:鍵盤記錄、遠程控制、后門類等。因為殺毒軟件的隱藏性都很好,一般是加載到啟動項,這樣系統在下次啟動的時候就可以秘密的啟動病毒木馬程序。現在我要說一下病毒木馬的幾種啟動方式:加載到win.ini、注冊表啟動項、引導扇區,一般來說就算病毒木馬經過了免殺處理也就是:改變程序的入口點、插入進程技術等。使用病毒木馬專殺工具就可以很有效的清除病毒木馬程序。但是如果上面的方式都無法清除病毒木馬程序的話,你可以嘗試手動清理的方式,經常聽見大家說手動清理病毒木馬程序,但是有很多朋友還是不知道怎么清理。今天我就為大家介紹如何實現手動清理病毒木馬程序。有幾個病毒木馬程序隱藏的地方我先告訴大家:注冊表、引導扇區、win.ini、system32目錄等,都是病毒木馬程序隱藏的地方。一般來說首先要先刪除病毒木馬程序的啟動項,然后再刪除病毒木馬程序的源文件,清理一下引導扇區、內存就可以了。
入侵一般是沖著你電腦里的重要資料來的,或者是廣泛的入侵(大范圍掃描)。所以之前最好對自己電腦里的數據資料做加密處理,這樣才能有效的保護好你的資料不被其他人下載和閱讀。
還有就是大家最好都有些安全意識。比如你的電腦感染了木馬程序(這里指鍵盤記錄程序),首先你運行了某些程序之后大概過了幾分鐘之后你的程序突然掉了,那就不要在登陸帳號了,因為很有可能你的電腦已經感染了病毒木馬,感染這類木馬你也不需要太過擔心只要你不登陸帳號你也不怕什么的,有些木馬程序是全局范圍的,只要你在Windows上的text框輸入字符木馬程序都會記錄下來并發送出去。而有些木馬則是記錄指定程序的,你不運行指定程序的時候那木馬是不會工作的。
在你懷疑自己電腦感染了病毒木馬程序的時候首先你可以先用專殺工具查殺一便,也可以看看有沒有什么可疑進程在運行,有沒有開放可疑端口。一般隱藏好的木馬這兩點是不會暴露的。找到了可疑木馬病毒程序你可以在注冊表和計算機的系統盤搜索一下,把注冊表啟動項目刪除,再把分區內的源文件刪除。然后再檢測一下內存、引導扇區,應該沒問題了。
還有一些是針對黑客入侵,大家都知道HACK技術入侵之前要做的事情。先會掃描我們計算機是否存在漏洞,我們可以先用安全工具檢測一下自己的電腦是否也存在安全漏洞。比如默認共享要關閉、IPC共享、ADMIN共享。還有文件和打印機共享。此漏洞存在遠程緩沖區溢出漏洞。
系統管理員密碼最好是高強度密碼,千萬不要使用弱口令。遠程連接服務不需要的話也一定要關閉:telnet、ftp、3389之類的。
因為我不經常使用那些軟件,我的愛好是計算機編程。雖然我現在還在學習階段,也不經常用軟件。我建議大家不要過分依賴于軟件。有的人使用了好幾年的軟件最后還都不知道軟件實現的原理。
如果你要是學會了一門計算機語言那對你以后學習HACK技術會有很大幫助,只是會用工具、對黑客來說會有很大的局限性,做的事也很受限制。
再回到計算機防御上來說吧,防御好自己的計算機一點都不簡單,我上面所說的也只是針對一般性的入侵。但對于真正的黑客我想可能也是沒用的,我相信真正的黑客一定掌握著一種以上沒被發現的漏洞。因為他沒有公布所以很少人知道此漏洞。MS也不知道吧?
下面介紹一下常見的病毒木馬欺騙的方法,以提高大家的安全意識。
WEB掛馬,我想大家也都知道有些站點被黑客入侵以后首頁被掛上了木馬程序。只要用戶打開對應的頁面,木馬就會利用瀏覽器的漏洞自動下載并執行。(所以本地電腦最好把殺毒軟件的WEB監視功能打開)。
不要輕易接受陌生網友傳送過來的文件和圖片,軟件有可能被惡意捆綁木馬病毒程序。
盡量要去一些大型、專業的網站下載軟件,打開軟件之前要先查毒。
要禁得住誘惑!要知道天上沒掉餡餅的時候,不要輕易去點別人發給你的連接地址(地址很有可能已經被掛上了木馬病毒程序)。
因為現在大部分的漏洞也都是針對IE,如果不是很有必要就不要使用IE了,個人推薦使用Firefox瀏覽器。
把殺毒軟件的下載更新打開、或者定期下載殺毒軟件的更新補丁,以保持殺毒軟件的最新病毒庫。不然你的殺毒軟件就行同虛設。
一些病毒木馬在注冊表的啟動項鍵值:
1、HEKY_LOCAL_MACHINE\SOFTWAER\MICROSOFT\Windows\CURRENTVERSION\RUN
2、HKEY_CURRENT_USER\SOFTWAER\MICROSOFT\Windows\CURRENTVERSION\RUN
3、HKEY_USERS\.DEFAULT\SOFTWAER\MICROSOFT\Windows\CURRENTVERSION\RUN
