Windows系統(tǒng)中從源頭防病毒另類高招
[ 2007-03-25 02:59:50 | 作者: sun ]
由于網絡和各種存儲設備的飛速發(fā)展,使得病毒傳播的幾率也大大的增加了。雖然可以通過安裝防病毒軟件和網絡防火墻來保護你的系統(tǒng),但是由于病毒技術的發(fā)展勢頭十分迅猛,甚至許多網頁中都包含了很多惡意代碼,如果用戶的防范意識不強的話,即使安裝了防病毒軟件也很容易“中招”。
筆者經過查閱微軟資料以及個人的使用經驗,總結出一套防范病毒的方法,希望能對大家有所幫助。
如果大家使用的是Windows2000/XP或2003操作系統(tǒng)的話,那么你可以嘗試一下以下的方法——從源頭上讓你的系統(tǒng)可以對病毒免疫。
首先全新安裝的操作系統(tǒng)(或者你能確認你當前使用的系統(tǒng)是無毒的),立即就打開:
“開始→程序→管理工具→計算機管理→本地用戶和組→用戶” ,把超級管理員密碼更改成十位數以上,并且盡量使用數字和大小寫字母相結合的密碼。然后再建立一個用戶,把它的密碼也設置成十位以上并且提升為超級管理員。這樣做的目的是為了雙保險:如果你忘記了其中一個密碼,還有使用另一個超管密碼登陸來挽回的余地,免得你被拒絕于系統(tǒng)之外;再者就是網上的黑客無法再通過猜測你系統(tǒng)超管密碼的方式遠程獲得你系統(tǒng)的控制權而進行破壞。接著再添加兩個用戶,比如用戶名分別為:nyh1、nyh2;并且指定他們屬于user組,好了,準備工作到這里就全部完成了,以后你除了必要的維護計算機外就不要使用超級管理員和nyh2登陸了。只使用nyh1登陸就可以了。
(建立新用戶時,默認為user組。如果要建立管理員用戶,在新建完用戶后,在“組”里面,點選Administrators組,點擊“添加”把這個帳號加入Administrators組中。)
登陸之后上網的時候找到IE,并為它建立一個快捷方式到桌面上,右鍵單擊快捷方式,選擇“以其他用戶方式運行”點確定!要上網的時候就點這個快捷方式,它會跟你要用戶名和密碼這時候你就輸入nyh2的用戶名和密碼!!!好了,現在你可以使用這個打開的窗口去上網了,可以隨你便去放心的瀏覽任何惡毒的、惡意的、網站跟網頁,而不必再擔心中招了!因為你當前的系統(tǒng)活動的用戶時nyh1。
而nyh2是不活動的用戶,我們使用這個不活動的用戶去上網時,無論多聰明的網站,通過IE得到的信息都將讓它都將以為這個nyh2就是你當前活動的用戶,如果它要在你瀏覽時用惡意代碼對你的系統(tǒng)搞搞破壞的話根本就時行不通的,即使能行通,那么被修改掉的僅僅時nyh2的一個配置文件罷了,而很多惡意代碼和病毒試圖通過nyh2進行的破壞活動卻都將失敗,因為nyh2根本就沒運行,怎么能取得系統(tǒng)的操作權呢??既然取不得,也就對你無可奈何了。而他們更不可能跨越用戶來操作,因為微軟得配置本來就是各用戶之間是獨立的,就象別人不可能跑到我家占據我睡覺用的床一樣,它們無法占據nyh1的位置!所以你只要能保證總是以這個nyh2用戶做代理來上網(但卻不要使用nyh2來登陸系統(tǒng),因為如果那樣的話,如果nyh2以前中過什么網頁病毒,那么在user2登陸的同時,他們極有可能被激活!),那么無論你中多少網頁病毒,全部都將是無法運行或被你當前的nyh1用戶加載的,所以你當前的系統(tǒng)將永遠無毒! 下面是建立IE快捷方式的步驟。
在桌面上點擊右鍵,選擇“新建——快捷方式”,在彈出的窗口中選擇IEXPLORE(位置在"C:Program FilesInternet ExplorerIEXPLORE.EXE"),點擊“下一步”完成。然后鼠標右鍵點擊該快捷方式,選擇“屬性”,再點擊“高級按鈕”,在以“其他用戶身份運行”前打上勾。
以后上網點擊IE的時候,會出現如下窗口,輸入nyh2和密碼即可。
不過總有疏忽的時候,萬一不小心接收了別人發(fā)來的病毒文件,或者從郵件中收到病毒文件,一個不小心中毒了怎么辦??
不用擔心,現在我們就可以來盡情的表演金蟬脫殼的技術了!
開始金蟬脫殼:
重新啟動計算機,使用超級管理員登陸——進入系統(tǒng)后什么程序都不要運行
你會驚奇的發(fā)現在的系統(tǒng)竟然表現的完全無毒!那就再好不過了,現在就立即就打開:
“開始→程序→管理工具→計算機管理→本地用戶和組→用戶” 吧!
把里面的nyh1和nyh2兩個用戶全刪掉吧,你只需要這么輕輕的一刪就可以了,那么以前隨著這兩個用戶而存在的病毒也就跟隨著這兩個用戶的消失而一起去長眠了——(好象是陪葬,呵呵!)。這么做過之后我保證你的Windows就象新裝的一個樣,任何系統(tǒng)文件和系統(tǒng)進程里都完全是沒有病毒的!
好!現在再重復開始的步驟從新建立nyh1和nyh2兩個用戶,讓他們復活吧。他們復活是復活了,但是曾跟隨了他們的病毒卻是沒這機會了,因為WindowsXP重新建立用戶的時候會重新分配給他們全新的配置,而這個配置是全新的也是不可能包含病毒的!!!建立完成之后立即注銷超級管理員,轉如使用nyh1登陸,繼續(xù)你象做的事吧,你會發(fā)現你的系統(tǒng)如同全新了!以上方法可以周而復始的用,再加上經常的去打微軟的補丁,幾乎可以永遠保證你的操作系統(tǒng)是無毒狀態(tài)!只要你能遵循以下兩條規(guī)則:
一、任何時間都不以超級管理員的身份登陸系統(tǒng)——除非你要進行系統(tǒng)級更新和維護、需要使用超級管理員身份的時候或是你需要添加和刪除用戶的時候。
二、必須使用超級管理員登陸的時候,保證不使用和運行任何除了操作系統(tǒng)自帶的工具和程序之外的任何東西,而且所有維護都只通過開始菜單里的選項來完成,甚至連使用資源管理器去瀏覽硬盤都不! 只做做用戶和系統(tǒng)的管理和維護就立即退出,而決不多做逗留!(這也是微軟的要求,微軟最了解自己的東東,他的建議是正確的。瀏覽硬盤的事,在其他用戶身份下你有大把的機會,在超級管理員的身份下還是不要了!!這應該事能完全作到的)。
總結
通過以上的方法應該能保證你的系統(tǒng)是安全的了,但是計算機技術的發(fā)展速度太快,系統(tǒng)和病毒的運行方式可能隨時都會革新,所以以上的方法也不能保證100%的絕對防毒。
筆者經過查閱微軟資料以及個人的使用經驗,總結出一套防范病毒的方法,希望能對大家有所幫助。
如果大家使用的是Windows2000/XP或2003操作系統(tǒng)的話,那么你可以嘗試一下以下的方法——從源頭上讓你的系統(tǒng)可以對病毒免疫。
首先全新安裝的操作系統(tǒng)(或者你能確認你當前使用的系統(tǒng)是無毒的),立即就打開:
“開始→程序→管理工具→計算機管理→本地用戶和組→用戶” ,把超級管理員密碼更改成十位數以上,并且盡量使用數字和大小寫字母相結合的密碼。然后再建立一個用戶,把它的密碼也設置成十位以上并且提升為超級管理員。這樣做的目的是為了雙保險:如果你忘記了其中一個密碼,還有使用另一個超管密碼登陸來挽回的余地,免得你被拒絕于系統(tǒng)之外;再者就是網上的黑客無法再通過猜測你系統(tǒng)超管密碼的方式遠程獲得你系統(tǒng)的控制權而進行破壞。接著再添加兩個用戶,比如用戶名分別為:nyh1、nyh2;并且指定他們屬于user組,好了,準備工作到這里就全部完成了,以后你除了必要的維護計算機外就不要使用超級管理員和nyh2登陸了。只使用nyh1登陸就可以了。
(建立新用戶時,默認為user組。如果要建立管理員用戶,在新建完用戶后,在“組”里面,點選Administrators組,點擊“添加”把這個帳號加入Administrators組中。)
登陸之后上網的時候找到IE,并為它建立一個快捷方式到桌面上,右鍵單擊快捷方式,選擇“以其他用戶方式運行”點確定!要上網的時候就點這個快捷方式,它會跟你要用戶名和密碼這時候你就輸入nyh2的用戶名和密碼!!!好了,現在你可以使用這個打開的窗口去上網了,可以隨你便去放心的瀏覽任何惡毒的、惡意的、網站跟網頁,而不必再擔心中招了!因為你當前的系統(tǒng)活動的用戶時nyh1。
而nyh2是不活動的用戶,我們使用這個不活動的用戶去上網時,無論多聰明的網站,通過IE得到的信息都將讓它都將以為這個nyh2就是你當前活動的用戶,如果它要在你瀏覽時用惡意代碼對你的系統(tǒng)搞搞破壞的話根本就時行不通的,即使能行通,那么被修改掉的僅僅時nyh2的一個配置文件罷了,而很多惡意代碼和病毒試圖通過nyh2進行的破壞活動卻都將失敗,因為nyh2根本就沒運行,怎么能取得系統(tǒng)的操作權呢??既然取不得,也就對你無可奈何了。而他們更不可能跨越用戶來操作,因為微軟得配置本來就是各用戶之間是獨立的,就象別人不可能跑到我家占據我睡覺用的床一樣,它們無法占據nyh1的位置!所以你只要能保證總是以這個nyh2用戶做代理來上網(但卻不要使用nyh2來登陸系統(tǒng),因為如果那樣的話,如果nyh2以前中過什么網頁病毒,那么在user2登陸的同時,他們極有可能被激活!),那么無論你中多少網頁病毒,全部都將是無法運行或被你當前的nyh1用戶加載的,所以你當前的系統(tǒng)將永遠無毒! 下面是建立IE快捷方式的步驟。
在桌面上點擊右鍵,選擇“新建——快捷方式”,在彈出的窗口中選擇IEXPLORE(位置在"C:Program FilesInternet ExplorerIEXPLORE.EXE"),點擊“下一步”完成。然后鼠標右鍵點擊該快捷方式,選擇“屬性”,再點擊“高級按鈕”,在以“其他用戶身份運行”前打上勾。
以后上網點擊IE的時候,會出現如下窗口,輸入nyh2和密碼即可。
不過總有疏忽的時候,萬一不小心接收了別人發(fā)來的病毒文件,或者從郵件中收到病毒文件,一個不小心中毒了怎么辦??
不用擔心,現在我們就可以來盡情的表演金蟬脫殼的技術了!
開始金蟬脫殼:
重新啟動計算機,使用超級管理員登陸——進入系統(tǒng)后什么程序都不要運行
你會驚奇的發(fā)現在的系統(tǒng)竟然表現的完全無毒!那就再好不過了,現在就立即就打開:
“開始→程序→管理工具→計算機管理→本地用戶和組→用戶” 吧!
把里面的nyh1和nyh2兩個用戶全刪掉吧,你只需要這么輕輕的一刪就可以了,那么以前隨著這兩個用戶而存在的病毒也就跟隨著這兩個用戶的消失而一起去長眠了——(好象是陪葬,呵呵!)。這么做過之后我保證你的Windows就象新裝的一個樣,任何系統(tǒng)文件和系統(tǒng)進程里都完全是沒有病毒的!
好!現在再重復開始的步驟從新建立nyh1和nyh2兩個用戶,讓他們復活吧。他們復活是復活了,但是曾跟隨了他們的病毒卻是沒這機會了,因為WindowsXP重新建立用戶的時候會重新分配給他們全新的配置,而這個配置是全新的也是不可能包含病毒的!!!建立完成之后立即注銷超級管理員,轉如使用nyh1登陸,繼續(xù)你象做的事吧,你會發(fā)現你的系統(tǒng)如同全新了!以上方法可以周而復始的用,再加上經常的去打微軟的補丁,幾乎可以永遠保證你的操作系統(tǒng)是無毒狀態(tài)!只要你能遵循以下兩條規(guī)則:
一、任何時間都不以超級管理員的身份登陸系統(tǒng)——除非你要進行系統(tǒng)級更新和維護、需要使用超級管理員身份的時候或是你需要添加和刪除用戶的時候。
二、必須使用超級管理員登陸的時候,保證不使用和運行任何除了操作系統(tǒng)自帶的工具和程序之外的任何東西,而且所有維護都只通過開始菜單里的選項來完成,甚至連使用資源管理器去瀏覽硬盤都不! 只做做用戶和系統(tǒng)的管理和維護就立即退出,而決不多做逗留!(這也是微軟的要求,微軟最了解自己的東東,他的建議是正確的。瀏覽硬盤的事,在其他用戶身份下你有大把的機會,在超級管理員的身份下還是不要了!!這應該事能完全作到的)。
總結
通過以上的方法應該能保證你的系統(tǒng)是安全的了,但是計算機技術的發(fā)展速度太快,系統(tǒng)和病毒的運行方式可能隨時都會革新,所以以上的方法也不能保證100%的絕對防毒。
小林透露微軟下iis漏洞與防止
[ 2007-03-25 02:59:35 | 作者: sun ]
今天動易系統(tǒng)的新漏洞導致了數千的服務器被黑(參考:動易最新漏洞的消息 ),也導致了這類安全漏洞的延伸,著名程序專家小林談到現在的win的服務器的時候無奈的說:微軟的IIS漏洞比沙子還多,又發(fā)現一個嚴重的漏洞,只要創(chuàng)建一個.asp后綴的目錄,其目錄下的所有文件都能執(zhí)行。 請使用iis的站長們注意。。。最好禁止創(chuàng)建包括.asp的目錄和上傳可疑文件。
比如創(chuàng)建一個 265.asp 目錄,里面放 265.jpg 都能當 asp 執(zhí)行。
比如 c:\inetpub\wwwroot\265.asp\265.jpg 這樣265.jpg內容是asp,但驗證的時候不知道,就中招了。只看后綴名也不可靠啊,以前不讓傳 .asp 后綴就相對安全了。。。現在不行了。
防止方法:禁止腳本、創(chuàng)建目錄,IIS目錄的安全性和用戶的權限控制結合就可以解決,把user歸屬到guest里
動易的全系列都有危險 ,別的只要設計發(fā)布系統(tǒng)的肯定都會。先臨時解決辦法貝,這個是微軟的漏洞 。其他也沒有好的辦法。
比如創(chuàng)建一個 265.asp 目錄,里面放 265.jpg 都能當 asp 執(zhí)行。
比如 c:\inetpub\wwwroot\265.asp\265.jpg 這樣265.jpg內容是asp,但驗證的時候不知道,就中招了。只看后綴名也不可靠啊,以前不讓傳 .asp 后綴就相對安全了。。。現在不行了。
防止方法:禁止腳本、創(chuàng)建目錄,IIS目錄的安全性和用戶的權限控制結合就可以解決,把user歸屬到guest里
動易的全系列都有危險 ,別的只要設計發(fā)布系統(tǒng)的肯定都會。先臨時解決辦法貝,這個是微軟的漏洞 。其他也沒有好的辦法。
推薦:常見惡意網頁中招現象及防范
[ 2007-03-25 02:59:15 | 作者: sun ]
1.禁止使用電腦
現象描述:盡管網絡流氓們用這一招的不多,但是一旦你中招了,后果真是不堪設想!瀏覽了含有這種惡意代碼的網頁其后果是:"關閉系統(tǒng)"、"運行"、"注銷"、注冊表編輯器、DOS程序、運行任何程序被禁止,系統(tǒng)無法進入"實模式"、驅動器被隱藏。
解決辦法:一般來說上述八大現象你都遇上了的話,基本上系統(tǒng)就給"廢"了,建議重裝。
2.格式化硬盤
現象描述:這類惡意代碼的特征就是利用IE執(zhí)行ActiveX的功能,讓你無意中格式化自己的硬盤。只要你瀏覽了含有它的網頁,瀏覽器就會彈出一個警告說"當前的頁面含有不安全的ctiveX,可能會對你造成危害",問你是否執(zhí)行。如果你選擇"是"的話,硬盤就會被快速格式化,因為格式化時窗口是最小化的,你可能根本就沒注意,等發(fā)現時已悔之晚矣。
解決辦法:除非你知道自己是在做什么,否則不要隨便回答"是"。該提示信息還可以被修改,如改成"Windows正在刪除本機的臨時文件,是否繼續(xù)",所以千萬要注意!此外,將計算機上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一個辦法。
3.下載運行木馬程序
現象描述:在網頁上瀏覽也會中木馬?當然,由于IE5.0本身的漏洞,使這樣的新式入侵手法成為可能,方法就是利用了微軟的可以嵌入exe文件的eml文件的漏洞,將木馬放在eml文件里,然后用一段惡意代碼指向它。上網者瀏覽到該惡意網頁,就會在不知不覺中下載了木馬并執(zhí)行,其間居然沒有任何提示和警告!
解決辦法:第一個辦法是升級您的IE5.0,IE5.0以上版本沒這毛病;此外,安裝瑞星2006、Norton等
病毒防火墻,它會把網頁木馬當作病毒迅速查截殺。
4. 注冊表的鎖定
現象描述:有時瀏覽了惡意網頁后系統(tǒng)被修改,想要用Regedit更改時,卻發(fā)現系統(tǒng)提示你沒有權限運行該程序,然后讓你聯(lián)系管理員。暈了!動了我的東西還不讓改,這是哪門子的道理!
解決辦法:能夠修改注冊表的又不止Regedit一個,找一個注冊表編輯器,例如:Reghance。將注冊表中的 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 下的DWORD值"DisableRegistryTools"鍵值恢復為"0",即可恢復注冊表。
5.默認主頁修改
現象描述:一些網站為了提高自己的訪問量和做廣告宣傳,利用IE的漏洞,將訪問者的IE不由分說地進行修改。一般改掉你的起始頁和默認主頁,為了不讓你改回去,甚至將IE選項中的默認主頁按鈕變?yōu)槭У幕疑2焕⑹蔷W絡流氓的一慣做風。
解決辦法:
(1).起始頁的修改。展開注冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main,在右半部分窗口中將"Start Page"的鍵值改為"about:blank"即可。同理,展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Main,在右半部分窗口中將"Start Page"的鍵值改為"about:blank"即可。
注意:有時進行了以上步驟后仍然沒有生效,估計是有程序加載到了啟動項的緣故,就算修改了,下次啟動時也會自動運行程序,將上述設置改回來,解決方法如下:
運行注冊表編輯器Regedit.exe,然后依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run主鍵,然后將下面的"registry.exe"子鍵(名字不固定)刪除,最后刪除硬盤里的同名可執(zhí)行程序。退出注冊編輯器,重新啟動計算機,問題就解決了。
(2).默認主頁的修改。運行注冊表編輯器,展開HKEY_LOCAL_MACHINE\Software\Microsoft\ Internet Explorer\Main\,將Default-Page-URL子鍵的鍵值中的那些惡意網站的網址改正,或者設置為IE的默認值。
(3).IE選項按鈕失效。運行注冊表編輯器,將HKEY_CURRENT_USER\Software\Policies\ Microsoft\Internet Explorer\Control Panel中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1全部改為"0",將HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值"homepage"的鍵值改為"0"。
6.篡改IE標題欄
現象描述:在系統(tǒng)默認狀態(tài)下,由應用程序本身來提供標題欄的信息。但是,有些網絡流氓為了達到廣告宣傳的目的,將串值"Windows Title"下的鍵值改為其網站名或更多的廣告信息,從而達到改變IE標題欄的目的。非要別人看他的東西,而且是通過非法的修改手段,除了"無恥"兩個字,再沒有其它形容詞了。
解決辦法:展開注冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\下,在右半部分窗口找到串值"Windows Title",將該串值刪除。重新啟動計算機。
7.篡改默認搜索引擎
現象描述:在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕,可以實現網絡搜索,被篡改后只要點擊那個搜索工具按鈕就會鏈接到網絡注氓想要你去的網站。
解決辦法:運行注冊表編輯器,依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\ Internet Explorer\Search\SearchAssistant,將CustomizeSearch及SearchAssistant的鍵值改為某個搜索引擎的網址即可。
8.IE右鍵修改
現象描述:有的網絡流氓為了宣傳的目的,將你的右鍵彈出的功能菜單進行了修改,并且加入了一些亂七八糟的東西,甚至為了禁止你下載,將IE窗口中單擊右鍵的功能都屏蔽掉。
解決辦法:
(1).右鍵菜單被修改。打開注冊表編輯器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt,刪除相關的廣告條文。
(2).右鍵功能失效。打開注冊表編輯器,展開到HKEY_CURRENT_USER\Software\Policies\ Microsoft\Internet Explorer\Restrictions,將其DWORD值"NoBrowserContextMenu"的值改為0。
9.篡改地址欄文字
現象描述:中招者的IE地址欄下方出現一些莫名其妙的文字和圖標,地址欄里的下拉框里也有大量的地址,并不是你以前訪問過的。
解決辦法:
(1).地址欄下的文字。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ToolBar下找到鍵值LinksFolderName,將其中的內容刪去即可。
(2).地址欄中無用的地址。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypeURLs中刪除無用的鍵值即可。
10.啟動時彈出對話框
現象描述:1.系統(tǒng)啟動時彈出對話框,通常是一些廣告信息,例如歡迎訪問某某網站等等。2.開機彈出網頁,通常會彈出很多窗口,讓你措手不及,惡毒一點的,可以重復彈出窗口直到死機。
解決辦法:
(1).彈出對話框。打開注冊表編輯器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Winlogon主鍵,然后在右邊窗口中找到"LegalNoticeCaption"和 "LegalNoticeText"這兩個字符串,刪除這兩個字符串就可以解決在啟動時出現提示框的現象了。
(2).彈出網頁。點擊"開始-運行-輸入msconfig",選擇"啟動",把里面后綴為url、html、htm的網址文件都勾掉。
11.IE窗口定時彈出
現象描述:中招者的機器每隔一段時間就彈出IE窗口,地址指向網絡流氓的個人主頁。不曉得是不是網絡流氓以為這樣你就會經常光顧?
解決辦法:點擊"開始-運行-輸入msconfig",選擇"啟動",把里面后綴為hta的都勾掉,重啟。
現象描述:盡管網絡流氓們用這一招的不多,但是一旦你中招了,后果真是不堪設想!瀏覽了含有這種惡意代碼的網頁其后果是:"關閉系統(tǒng)"、"運行"、"注銷"、注冊表編輯器、DOS程序、運行任何程序被禁止,系統(tǒng)無法進入"實模式"、驅動器被隱藏。
解決辦法:一般來說上述八大現象你都遇上了的話,基本上系統(tǒng)就給"廢"了,建議重裝。
2.格式化硬盤
現象描述:這類惡意代碼的特征就是利用IE執(zhí)行ActiveX的功能,讓你無意中格式化自己的硬盤。只要你瀏覽了含有它的網頁,瀏覽器就會彈出一個警告說"當前的頁面含有不安全的ctiveX,可能會對你造成危害",問你是否執(zhí)行。如果你選擇"是"的話,硬盤就會被快速格式化,因為格式化時窗口是最小化的,你可能根本就沒注意,等發(fā)現時已悔之晚矣。
解決辦法:除非你知道自己是在做什么,否則不要隨便回答"是"。該提示信息還可以被修改,如改成"Windows正在刪除本機的臨時文件,是否繼續(xù)",所以千萬要注意!此外,將計算機上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一個辦法。
3.下載運行木馬程序
現象描述:在網頁上瀏覽也會中木馬?當然,由于IE5.0本身的漏洞,使這樣的新式入侵手法成為可能,方法就是利用了微軟的可以嵌入exe文件的eml文件的漏洞,將木馬放在eml文件里,然后用一段惡意代碼指向它。上網者瀏覽到該惡意網頁,就會在不知不覺中下載了木馬并執(zhí)行,其間居然沒有任何提示和警告!
解決辦法:第一個辦法是升級您的IE5.0,IE5.0以上版本沒這毛病;此外,安裝瑞星2006、Norton等
病毒防火墻,它會把網頁木馬當作病毒迅速查截殺。
4. 注冊表的鎖定
現象描述:有時瀏覽了惡意網頁后系統(tǒng)被修改,想要用Regedit更改時,卻發(fā)現系統(tǒng)提示你沒有權限運行該程序,然后讓你聯(lián)系管理員。暈了!動了我的東西還不讓改,這是哪門子的道理!
解決辦法:能夠修改注冊表的又不止Regedit一個,找一個注冊表編輯器,例如:Reghance。將注冊表中的 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 下的DWORD值"DisableRegistryTools"鍵值恢復為"0",即可恢復注冊表。
5.默認主頁修改
現象描述:一些網站為了提高自己的訪問量和做廣告宣傳,利用IE的漏洞,將訪問者的IE不由分說地進行修改。一般改掉你的起始頁和默認主頁,為了不讓你改回去,甚至將IE選項中的默認主頁按鈕變?yōu)槭У幕疑2焕⑹蔷W絡流氓的一慣做風。
解決辦法:
(1).起始頁的修改。展開注冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main,在右半部分窗口中將"Start Page"的鍵值改為"about:blank"即可。同理,展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Main,在右半部分窗口中將"Start Page"的鍵值改為"about:blank"即可。
注意:有時進行了以上步驟后仍然沒有生效,估計是有程序加載到了啟動項的緣故,就算修改了,下次啟動時也會自動運行程序,將上述設置改回來,解決方法如下:
運行注冊表編輯器Regedit.exe,然后依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run主鍵,然后將下面的"registry.exe"子鍵(名字不固定)刪除,最后刪除硬盤里的同名可執(zhí)行程序。退出注冊編輯器,重新啟動計算機,問題就解決了。
(2).默認主頁的修改。運行注冊表編輯器,展開HKEY_LOCAL_MACHINE\Software\Microsoft\ Internet Explorer\Main\,將Default-Page-URL子鍵的鍵值中的那些惡意網站的網址改正,或者設置為IE的默認值。
(3).IE選項按鈕失效。運行注冊表編輯器,將HKEY_CURRENT_USER\Software\Policies\ Microsoft\Internet Explorer\Control Panel中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1全部改為"0",將HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值"homepage"的鍵值改為"0"。
6.篡改IE標題欄
現象描述:在系統(tǒng)默認狀態(tài)下,由應用程序本身來提供標題欄的信息。但是,有些網絡流氓為了達到廣告宣傳的目的,將串值"Windows Title"下的鍵值改為其網站名或更多的廣告信息,從而達到改變IE標題欄的目的。非要別人看他的東西,而且是通過非法的修改手段,除了"無恥"兩個字,再沒有其它形容詞了。
解決辦法:展開注冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\下,在右半部分窗口找到串值"Windows Title",將該串值刪除。重新啟動計算機。
7.篡改默認搜索引擎
現象描述:在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕,可以實現網絡搜索,被篡改后只要點擊那個搜索工具按鈕就會鏈接到網絡注氓想要你去的網站。
解決辦法:運行注冊表編輯器,依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\ Internet Explorer\Search\SearchAssistant,將CustomizeSearch及SearchAssistant的鍵值改為某個搜索引擎的網址即可。
8.IE右鍵修改
現象描述:有的網絡流氓為了宣傳的目的,將你的右鍵彈出的功能菜單進行了修改,并且加入了一些亂七八糟的東西,甚至為了禁止你下載,將IE窗口中單擊右鍵的功能都屏蔽掉。
解決辦法:
(1).右鍵菜單被修改。打開注冊表編輯器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt,刪除相關的廣告條文。
(2).右鍵功能失效。打開注冊表編輯器,展開到HKEY_CURRENT_USER\Software\Policies\ Microsoft\Internet Explorer\Restrictions,將其DWORD值"NoBrowserContextMenu"的值改為0。
9.篡改地址欄文字
現象描述:中招者的IE地址欄下方出現一些莫名其妙的文字和圖標,地址欄里的下拉框里也有大量的地址,并不是你以前訪問過的。
解決辦法:
(1).地址欄下的文字。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ToolBar下找到鍵值LinksFolderName,將其中的內容刪去即可。
(2).地址欄中無用的地址。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypeURLs中刪除無用的鍵值即可。
10.啟動時彈出對話框
現象描述:1.系統(tǒng)啟動時彈出對話框,通常是一些廣告信息,例如歡迎訪問某某網站等等。2.開機彈出網頁,通常會彈出很多窗口,讓你措手不及,惡毒一點的,可以重復彈出窗口直到死機。
解決辦法:
(1).彈出對話框。打開注冊表編輯器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Winlogon主鍵,然后在右邊窗口中找到"LegalNoticeCaption"和 "LegalNoticeText"這兩個字符串,刪除這兩個字符串就可以解決在啟動時出現提示框的現象了。
(2).彈出網頁。點擊"開始-運行-輸入msconfig",選擇"啟動",把里面后綴為url、html、htm的網址文件都勾掉。
11.IE窗口定時彈出
現象描述:中招者的機器每隔一段時間就彈出IE窗口,地址指向網絡流氓的個人主頁。不曉得是不是網絡流氓以為這樣你就會經常光顧?
解決辦法:點擊"開始-運行-輸入msconfig",選擇"啟動",把里面后綴為hta的都勾掉,重啟。
推薦:網絡防火墻與防范溢出策略(解決方案)
[ 2007-03-25 02:58:57 | 作者: sun ]
“溢出”一直以來都是很多黑帽子黑客最常用(或者說是最喜歡用)的手段之一,隨安全文化的逐步普及,大量的公開shellcode(“溢出”代碼)與溢出攻擊原理都可以隨意在各大的網絡安全網站中找得到,由此衍生了一系列的安全隱患...小黑黑使用它們來進行非法的攻擊、惡意程序員使用它們來制造蠕蟲等等...而網絡_blank">防火墻作為人們最喜歡的網絡安全“設施”之一,它又能如何“攔截”這一類型的攻擊呢?這就是今天小神與大伙一起討論的問題了。
寫這篇爛文時小神粗略地翻了一下CIW SP的教科書,5、6章節(jié)詳細的介紹了_blank">防火墻的種類、作用、優(yōu)略點等,但沒有提出關于使用_blank">防火墻來進行溢出防御的文章,這是為什么呢?大概是因為這樣吧:目前大多的防火墻系統(tǒng)都是針對包過濾規(guī)則進行安全防御的,這類型的_blank">防火墻再高也只能工作在傳輸層,而溢出程序的she llcode是放在應用層的,因此對這類攻擊就無能為力了。打個比方:前段時間比較火熱的IIS WEBDAV溢出漏洞,若黑客攻擊成功能直接得到ROOTSHELL(命令行管理員控制臺),它是在正常提供HTTP服務的情況下產生的溢出漏洞,若在不打補丁與手工處理的情況下一臺_blank">防火墻又能做到什么呢?相信你除了把訪問該服務器TCP80端口(提供正常地HTTP服務的情況下)的包過濾掉以外就什么都不會去做了,當然,這樣也會使你的HTTP服務無法正常地開放(等于沒有提供服務...)。下面就讓小神以這個漏洞為“論點&&題材”,說說自己的解決方案吧。
1)對希望保護的主機實行“單獨開放端口”訪問控制策略所謂“單獨開放端口”就是指只開放需要提供的端口,對于不需要提供服務的端口實行過濾策略。打個比方,現在我們需要保護一臺存在WebDAV缺陷的WEB服務器,如何能令它不被駭客入侵呢?答案是:在這臺WEB服務器的前端_blank">防火墻中加入一個“只允許其他機器訪問此機的TCP80端口”的包過濾規(guī)則(至于閣下的_blank">防火墻能否
實現這樣的規(guī)則就另當別論了)。加上這個規(guī)則又會有怎樣的效果呢?經常做入侵滲透測試的朋友應該比我還清楚遠程溢出的攻擊實施流程了吧?
①使用缺陷掃描器找到存在遠程溢出漏洞的主機-》②確認其版本號(如果有需要的話)-》③使用exploit(攻擊程序)發(fā)送shellcode-》④確認遠程溢出成功后使用NC或TELNET等程序連接被溢出主機的端口-》⑤得到SHELL
使用“單獨開放端口”策略的解決方案對整個遠程溢出過程所發(fā)生的前三步都是無能為力的,但來到第四步這個策略能有效地阻止駭客連上有缺陷主機的被溢出端口,從而切斷了駭客的惡意攻擊手段。
優(yōu)點:操作簡單,一般的網絡/系統(tǒng)管理員就能完成相關的操作。
缺點:對溢出后使用端口復用進行控制的EXPLOITS就無能為力了;對現實中的溢出后得到反向連接控制的EP LOITS也是無能為力;不能阻止D.o.S方面的溢出攻擊。
2)使用應用層_blank">防火墻系統(tǒng)
這里所謂的應用層并不是想特別指明該_blank">防火墻工作在應用層,而是想指明它能在應用層對數據進行處理。由于應用層的協(xié)議/服務種類比較多,因此針對應用層形式的_blank">防火墻就有一定的市場局限性了。就樓上所提到的案例而言我們可以使用處理HTTP協(xié)議的應用層_blank">防火墻對存在WebDAV缺陷的服務器訂制保護規(guī)則,保證服務器不收此類攻擊的影響。應用層中的HTTP協(xié)議_blank">防火墻系統(tǒng)不多,其中比較出名的有EEYE公司的SecureIIS,其使用方式就可謂是“弱智型”了,說說它的基本防御原理與特點吧。當服務端接受到一個發(fā)送至TCP80端口的數據包時首先就會將該包轉移至SecureIIS,SecureIIS就會對該包進行分析并解碼該包的應用層數據,將得到的數據與你本身定制的規(guī)則進行數據配對,一旦發(fā)現條件相符餓數值就會執(zhí)行規(guī)則所指定的相應操作。
優(yōu)點:能有效地切斷一些來自應用層的攻擊(如溢出、SQL注入等)。
缺點:因為需要安裝在服務器上,所以會占用一定的系統(tǒng)資源;(eeye公司本身并無開發(fā)該軟件的中文版本,所以一旦它受到POST行為發(fā)出的中文數據時就會自動認為是高位攻擊代碼,自動將其隔離,并進行相關的處理操作)。
樓上的兩種解決方法我比較推崇第二種,但其實還是有第三種解決方案的(大家不要或我為某產品賣廣告就好:)。
寫這篇爛文時小神粗略地翻了一下CIW SP的教科書,5、6章節(jié)詳細的介紹了_blank">防火墻的種類、作用、優(yōu)略點等,但沒有提出關于使用_blank">防火墻來進行溢出防御的文章,這是為什么呢?大概是因為這樣吧:目前大多的防火墻系統(tǒng)都是針對包過濾規(guī)則進行安全防御的,這類型的_blank">防火墻再高也只能工作在傳輸層,而溢出程序的she llcode是放在應用層的,因此對這類攻擊就無能為力了。打個比方:前段時間比較火熱的IIS WEBDAV溢出漏洞,若黑客攻擊成功能直接得到ROOTSHELL(命令行管理員控制臺),它是在正常提供HTTP服務的情況下產生的溢出漏洞,若在不打補丁與手工處理的情況下一臺_blank">防火墻又能做到什么呢?相信你除了把訪問該服務器TCP80端口(提供正常地HTTP服務的情況下)的包過濾掉以外就什么都不會去做了,當然,這樣也會使你的HTTP服務無法正常地開放(等于沒有提供服務...)。下面就讓小神以這個漏洞為“論點&&題材”,說說自己的解決方案吧。
1)對希望保護的主機實行“單獨開放端口”訪問控制策略所謂“單獨開放端口”就是指只開放需要提供的端口,對于不需要提供服務的端口實行過濾策略。打個比方,現在我們需要保護一臺存在WebDAV缺陷的WEB服務器,如何能令它不被駭客入侵呢?答案是:在這臺WEB服務器的前端_blank">防火墻中加入一個“只允許其他機器訪問此機的TCP80端口”的包過濾規(guī)則(至于閣下的_blank">防火墻能否
實現這樣的規(guī)則就另當別論了)。加上這個規(guī)則又會有怎樣的效果呢?經常做入侵滲透測試的朋友應該比我還清楚遠程溢出的攻擊實施流程了吧?
①使用缺陷掃描器找到存在遠程溢出漏洞的主機-》②確認其版本號(如果有需要的話)-》③使用exploit(攻擊程序)發(fā)送shellcode-》④確認遠程溢出成功后使用NC或TELNET等程序連接被溢出主機的端口-》⑤得到SHELL
使用“單獨開放端口”策略的解決方案對整個遠程溢出過程所發(fā)生的前三步都是無能為力的,但來到第四步這個策略能有效地阻止駭客連上有缺陷主機的被溢出端口,從而切斷了駭客的惡意攻擊手段。
優(yōu)點:操作簡單,一般的網絡/系統(tǒng)管理員就能完成相關的操作。
缺點:對溢出后使用端口復用進行控制的EXPLOITS就無能為力了;對現實中的溢出后得到反向連接控制的EP LOITS也是無能為力;不能阻止D.o.S方面的溢出攻擊。
2)使用應用層_blank">防火墻系統(tǒng)
這里所謂的應用層并不是想特別指明該_blank">防火墻工作在應用層,而是想指明它能在應用層對數據進行處理。由于應用層的協(xié)議/服務種類比較多,因此針對應用層形式的_blank">防火墻就有一定的市場局限性了。就樓上所提到的案例而言我們可以使用處理HTTP協(xié)議的應用層_blank">防火墻對存在WebDAV缺陷的服務器訂制保護規(guī)則,保證服務器不收此類攻擊的影響。應用層中的HTTP協(xié)議_blank">防火墻系統(tǒng)不多,其中比較出名的有EEYE公司的SecureIIS,其使用方式就可謂是“弱智型”了,說說它的基本防御原理與特點吧。當服務端接受到一個發(fā)送至TCP80端口的數據包時首先就會將該包轉移至SecureIIS,SecureIIS就會對該包進行分析并解碼該包的應用層數據,將得到的數據與你本身定制的規(guī)則進行數據配對,一旦發(fā)現條件相符餓數值就會執(zhí)行規(guī)則所指定的相應操作。
優(yōu)點:能有效地切斷一些來自應用層的攻擊(如溢出、SQL注入等)。
缺點:因為需要安裝在服務器上,所以會占用一定的系統(tǒng)資源;(eeye公司本身并無開發(fā)該軟件的中文版本,所以一旦它受到POST行為發(fā)出的中文數據時就會自動認為是高位攻擊代碼,自動將其隔離,并進行相關的處理操作)。
樓上的兩種解決方法我比較推崇第二種,但其實還是有第三種解決方案的(大家不要或我為某產品賣廣告就好:)。
小方法辨別電腦是否中毒
[ 2007-03-25 02:58:45 | 作者: sun ]
電腦中毒癥狀一覽
1.平時運行好端端的電腦,卻變得遲鈍起來,反應緩慢,出現藍屏甚至死機;
2.程序載入的時間變長。有些病毒能控制程序或系統(tǒng)的啟動程序,當系統(tǒng)剛開始啟動或是一個應用程序被載入時,這些病毒將執(zhí)行它們的動作,因此要花更多的時間來載入程序;
3.可執(zhí)行程序文件的大小改變了。正常情況下,這些程序應該維持固定的大小,但有些病毒會增加程序文件的大小;
4.對同樣一個簡單的工作,磁盤卻花了要長得多的時間才能完成。例如,原本儲存一頁的文字只需一秒,但感染病毒可能會花更多的時間來尋找未感染的文件;
5.沒有存取磁盤,但磁盤指示燈卻一直在亮。硬盤的指示燈無緣無故一直在亮著,意味著電腦可能受到病毒感染了;
6.開機后出現陌生的聲音、畫面或提示信息,以及不尋常的錯誤信息或亂碼。尤其是當這種信息頻繁出現時,表明你的系統(tǒng)可能已經中毒了;
7.系統(tǒng)內存或硬盤的容量突然大幅減少。有些病毒會消耗可觀的內存或硬盤容量,曾經執(zhí)行過的程序,再次執(zhí)行時,突然告訴你沒有足夠的內存可以利用,或者硬盤空間意外變小;
8.文件名稱、擴展名、日期、屬性等被更改過;
9.文件的內容改變或被加上一些奇怪的資料;
10.文件離奇消失。
(如果您的電腦有以上癥狀出現,請及時"就診")
如何預防電腦病毒
病毒的傳染無非是兩種方式:一是網絡,二是軟盤與光盤。如今由于電子郵件的盛行,通過互聯(lián)網傳遞的病毒要遠遠高于后者。
1、不要輕易下載小網站的軟件與程序。
2、不要光顧那些很誘惑人的小網站,因為這些網站很有可能就是網絡陷阱。
3、不要隨便打開某些來路不明的E-mail與附件程序。
4、安裝正版殺毒軟件公司提供的防火墻,并注意時時打開著。
5、不要在線啟動、閱讀某些文件,否則您很有可能成為網絡病毒的傳播者。
6、經常給自己發(fā)封E-mail,看看是否會收到第二封未屬標題及附帶程序的郵件。
對于軟盤,光盤傳染的病毒,不要隨便打開程序或安裝軟件。可以先復制到硬盤上,接著用殺毒軟件檢查一遍,再執(zhí)行安裝或打開命令。
1.平時運行好端端的電腦,卻變得遲鈍起來,反應緩慢,出現藍屏甚至死機;
2.程序載入的時間變長。有些病毒能控制程序或系統(tǒng)的啟動程序,當系統(tǒng)剛開始啟動或是一個應用程序被載入時,這些病毒將執(zhí)行它們的動作,因此要花更多的時間來載入程序;
3.可執(zhí)行程序文件的大小改變了。正常情況下,這些程序應該維持固定的大小,但有些病毒會增加程序文件的大小;
4.對同樣一個簡單的工作,磁盤卻花了要長得多的時間才能完成。例如,原本儲存一頁的文字只需一秒,但感染病毒可能會花更多的時間來尋找未感染的文件;
5.沒有存取磁盤,但磁盤指示燈卻一直在亮。硬盤的指示燈無緣無故一直在亮著,意味著電腦可能受到病毒感染了;
6.開機后出現陌生的聲音、畫面或提示信息,以及不尋常的錯誤信息或亂碼。尤其是當這種信息頻繁出現時,表明你的系統(tǒng)可能已經中毒了;
7.系統(tǒng)內存或硬盤的容量突然大幅減少。有些病毒會消耗可觀的內存或硬盤容量,曾經執(zhí)行過的程序,再次執(zhí)行時,突然告訴你沒有足夠的內存可以利用,或者硬盤空間意外變小;
8.文件名稱、擴展名、日期、屬性等被更改過;
9.文件的內容改變或被加上一些奇怪的資料;
10.文件離奇消失。
(如果您的電腦有以上癥狀出現,請及時"就診")
如何預防電腦病毒
病毒的傳染無非是兩種方式:一是網絡,二是軟盤與光盤。如今由于電子郵件的盛行,通過互聯(lián)網傳遞的病毒要遠遠高于后者。
1、不要輕易下載小網站的軟件與程序。
2、不要光顧那些很誘惑人的小網站,因為這些網站很有可能就是網絡陷阱。
3、不要隨便打開某些來路不明的E-mail與附件程序。
4、安裝正版殺毒軟件公司提供的防火墻,并注意時時打開著。
5、不要在線啟動、閱讀某些文件,否則您很有可能成為網絡病毒的傳播者。
6、經常給自己發(fā)封E-mail,看看是否會收到第二封未屬標題及附帶程序的郵件。
對于軟盤,光盤傳染的病毒,不要隨便打開程序或安裝軟件。可以先復制到硬盤上,接著用殺毒軟件檢查一遍,再執(zhí)行安裝或打開命令。
淺談高手是如何針對DDos部署防御措施的
[ 2007-03-25 02:58:34 | 作者: sun ]
ddos(distributed denial of service,分布式拒絕服務)攻擊的主要手段是通過大于管道處理能力的流量淹沒管道或通過超過處理能力的任務使系統(tǒng)癱瘓,所以理論上只要攻擊者能夠獲得比目標更強大的“動力”,目標是注定會被攻陷的。
對于ddos攻擊來說并沒有100%有效的防御手段。但是由于攻擊者必須付出比防御者大得多的資源和努力才能擁有這樣的“動力”,所以只要我們更好的了解ddos攻擊,積極部署防御措施,還是能夠在很大程度上緩解和抵御這類安全威脅的。
增強防御力
對抗ddos攻擊一個很重要的要素就是增強自身的防御能力。使用更大的帶寬及提升相關設備的性能是面對ddos攻擊最直接的處理方法。雖然這必定需要耗用一定的資源,但是對于那些將生存寄托于這些在線系統(tǒng)的企業(yè)來說,進行這種投入是具備足夠理由的。只是在執(zhí)行這類“硬性增幅”的時候,我們需要把握適度的原則。
因為我們的資源是有限的,如果增加100%的投入僅能在相關性能及ddos防御力上獲得10%的提升,明顯是一種得不償失的處理方式,畢竟這并不是我們僅有的選擇。而且攻擊者的資源同樣是有限的,在我們增加防御強度的同時,就意味著攻擊者必須集合比原來多得多的攻擊傀儡機來實施攻擊,并且會提高攻擊者暴露的風險。不過應該記住的是,真正有效的ddos防御并不是陷入與攻擊者“角力”的惡性循環(huán)當中,而是應該綜合各種方法,為攻擊者設置足夠的障礙。
目標系統(tǒng)處理
攻擊者的最終目標可能是一臺主機,也可能是一臺網絡設備。除了對其目標的硬件能力進行增強之外,我們同樣應該充分發(fā)揮系統(tǒng)自身的潛能,通過對目標系統(tǒng)的針對性處理,我們可以有效地放大現有資源的能量。最基本的任務是做好更新補丁的工作。特別是一些操作系統(tǒng)的通訊協(xié)議堆棧存在著問題,很容易成為拒絕服務攻擊的利用對象。因為利用漏洞實施拒絕服務攻擊相對于純粹的設施能力比拼要容易的多。如果不能保證消除明顯可被拒絕服務攻擊利用的漏洞,其它的防御工作將只能成為擺設。
好在現在各類系統(tǒng)的補丁更新速度還是比較令人滿意的,只要根據自身環(huán)境的情況注意對相關系統(tǒng)的補丁發(fā)布情況進行跟蹤就可以了。一些經常被使用的方法還包括限制連接隊列的長度以及減少處理延時等。前者可以緩解系統(tǒng)資源的耗盡,雖然不能完全避免“拒絕服務”的發(fā)生,但是至少在一定程度上降低了系統(tǒng)崩潰的可能性。而后者能夠加強系統(tǒng)的處理能力,通過減少延時,我們可以以更快的速度拋棄隊列里的等待的連接,而不是任其堆滿隊列;不過這種方法也不是在所有的情況下都有效,因為很多ddos的攻擊機制并不是建立在類似syn flood這樣以畸形連接淹沒隊列的方式之上。
縱深防御
攻擊者和目標通常并非直接相連,兩者之間要經過很多網絡節(jié)點才能進行通信。所以我們可以在受保護系統(tǒng)之前盡可能部署有效的屏障,以緩解系統(tǒng)的壓力。設置屏障最主要的工具就是_blank">防火墻,先進的_blank">防火墻產品能夠有效識別和處理數據包的深層內容,這樣有助于我們設置更加細致的過濾。
現在有很多_blank">防火墻產品集成了反ddos功能,進一步提高了對常見ddos攻擊包的識別能力。這樣的產品可以在很大程度上增強ddos防御能力,并且可以做到不對數據包進行完全檢查就可以發(fā)現“惡意行為”。這是非常有幫助的能力,因為如果判斷ddos攻擊所耗費的處理越少,就越不容易被耗盡處理能力,從而極大的增加攻擊者的成本。包括很多路由器產品在內的網絡設備都具備一些_blank">防火墻功能,我們應該盡可能充分的利用。
特別是路由器本身負責對數據流進行導向,應盡可能將其置于“前哨”位置。這樣既可以起到御敵于千里之外的作用,又可以靈活地將攻擊包導向到其它無害的位置甚至化攻擊于虛無。當然,攻擊者對這些防御層也會有或淺或深的體認,不會一味地以目標系統(tǒng)作為惟一的打擊點,他們很可能會在受到這些設施的阻撓之后轉而組織針對這些設施的攻擊,這就需要我們動態(tài)的對防御設施進行調整,隨機應變。
除了以上這些基礎的方法和工具之外,還有一些更高級的技巧可以利用,例如我們可以進行冗余設計,以在系統(tǒng)癱瘓于攻擊發(fā)生時有可以隨時啟用的應急機制;也可以部署一些陷阱部件,既可以用于吸引攻擊流量,也可以對攻擊者起到一定的迷惑作用。
知己者勝
其實在對我們進行安全防御時,最重要的因素之一是對系統(tǒng)的透徹了解。例如我們必須清楚地知道系統(tǒng)對外開放了哪些服務,哪些訪問是被禁止的。同時,當有ddos攻擊跡象發(fā)生的時候,我們也應該很好地判斷攻擊利用了系統(tǒng)的哪些處理機制。雖然我們已經聽過無數人無數次的重復“關閉不必要服務”,但顯然其重要性仍未被充分認知。
有時一個端口沒有開放我們就認為其處于安全狀態(tài),其實事實并非如此。很多時候,一些關閉的端口由于設計上的原因仍會響應某些查詢,這一點經常被ddos攻擊所利用。攻擊者通過向這些看似沉睡的端口發(fā)送海量的查詢耗盡目標系統(tǒng)的資源從而達到自己的目的。我們經常利用一個稱為shields up!!的基于web接口的工具檢查端口的真實狀態(tài),我們可以從http://www.grc.com/找到該工具的登入接口。
我們在一臺聯(lián)網的工作站上登錄其頁面并執(zhí)行all service ports檢測,返回的結果頁會列出從0到1055端口狀態(tài)的方格圖,綠色的小塊兒表示該端口處于安全的隱秘(stealth)狀態(tài),將不會對外界做出任何響應。如果小塊兒是代表危險的紅色,說明該端口處于開放狀態(tài)。而如果小塊兒是藍色的話,說明該端口處于關閉狀態(tài),雖然大部分程序無法使用這些端口,但不代表其絕對安全。通過類似的工具我們可以更透徹的了解我們暴露在網絡上的都是什么,也才能進行真正有效的處理,同時不會忽視存在的隱患。
對于ddos攻擊來說并沒有100%有效的防御手段。但是由于攻擊者必須付出比防御者大得多的資源和努力才能擁有這樣的“動力”,所以只要我們更好的了解ddos攻擊,積極部署防御措施,還是能夠在很大程度上緩解和抵御這類安全威脅的。
增強防御力
對抗ddos攻擊一個很重要的要素就是增強自身的防御能力。使用更大的帶寬及提升相關設備的性能是面對ddos攻擊最直接的處理方法。雖然這必定需要耗用一定的資源,但是對于那些將生存寄托于這些在線系統(tǒng)的企業(yè)來說,進行這種投入是具備足夠理由的。只是在執(zhí)行這類“硬性增幅”的時候,我們需要把握適度的原則。
因為我們的資源是有限的,如果增加100%的投入僅能在相關性能及ddos防御力上獲得10%的提升,明顯是一種得不償失的處理方式,畢竟這并不是我們僅有的選擇。而且攻擊者的資源同樣是有限的,在我們增加防御強度的同時,就意味著攻擊者必須集合比原來多得多的攻擊傀儡機來實施攻擊,并且會提高攻擊者暴露的風險。不過應該記住的是,真正有效的ddos防御并不是陷入與攻擊者“角力”的惡性循環(huán)當中,而是應該綜合各種方法,為攻擊者設置足夠的障礙。
目標系統(tǒng)處理
攻擊者的最終目標可能是一臺主機,也可能是一臺網絡設備。除了對其目標的硬件能力進行增強之外,我們同樣應該充分發(fā)揮系統(tǒng)自身的潛能,通過對目標系統(tǒng)的針對性處理,我們可以有效地放大現有資源的能量。最基本的任務是做好更新補丁的工作。特別是一些操作系統(tǒng)的通訊協(xié)議堆棧存在著問題,很容易成為拒絕服務攻擊的利用對象。因為利用漏洞實施拒絕服務攻擊相對于純粹的設施能力比拼要容易的多。如果不能保證消除明顯可被拒絕服務攻擊利用的漏洞,其它的防御工作將只能成為擺設。
好在現在各類系統(tǒng)的補丁更新速度還是比較令人滿意的,只要根據自身環(huán)境的情況注意對相關系統(tǒng)的補丁發(fā)布情況進行跟蹤就可以了。一些經常被使用的方法還包括限制連接隊列的長度以及減少處理延時等。前者可以緩解系統(tǒng)資源的耗盡,雖然不能完全避免“拒絕服務”的發(fā)生,但是至少在一定程度上降低了系統(tǒng)崩潰的可能性。而后者能夠加強系統(tǒng)的處理能力,通過減少延時,我們可以以更快的速度拋棄隊列里的等待的連接,而不是任其堆滿隊列;不過這種方法也不是在所有的情況下都有效,因為很多ddos的攻擊機制并不是建立在類似syn flood這樣以畸形連接淹沒隊列的方式之上。
縱深防御
攻擊者和目標通常并非直接相連,兩者之間要經過很多網絡節(jié)點才能進行通信。所以我們可以在受保護系統(tǒng)之前盡可能部署有效的屏障,以緩解系統(tǒng)的壓力。設置屏障最主要的工具就是_blank">防火墻,先進的_blank">防火墻產品能夠有效識別和處理數據包的深層內容,這樣有助于我們設置更加細致的過濾。
現在有很多_blank">防火墻產品集成了反ddos功能,進一步提高了對常見ddos攻擊包的識別能力。這樣的產品可以在很大程度上增強ddos防御能力,并且可以做到不對數據包進行完全檢查就可以發(fā)現“惡意行為”。這是非常有幫助的能力,因為如果判斷ddos攻擊所耗費的處理越少,就越不容易被耗盡處理能力,從而極大的增加攻擊者的成本。包括很多路由器產品在內的網絡設備都具備一些_blank">防火墻功能,我們應該盡可能充分的利用。
特別是路由器本身負責對數據流進行導向,應盡可能將其置于“前哨”位置。這樣既可以起到御敵于千里之外的作用,又可以靈活地將攻擊包導向到其它無害的位置甚至化攻擊于虛無。當然,攻擊者對這些防御層也會有或淺或深的體認,不會一味地以目標系統(tǒng)作為惟一的打擊點,他們很可能會在受到這些設施的阻撓之后轉而組織針對這些設施的攻擊,這就需要我們動態(tài)的對防御設施進行調整,隨機應變。
除了以上這些基礎的方法和工具之外,還有一些更高級的技巧可以利用,例如我們可以進行冗余設計,以在系統(tǒng)癱瘓于攻擊發(fā)生時有可以隨時啟用的應急機制;也可以部署一些陷阱部件,既可以用于吸引攻擊流量,也可以對攻擊者起到一定的迷惑作用。
知己者勝
其實在對我們進行安全防御時,最重要的因素之一是對系統(tǒng)的透徹了解。例如我們必須清楚地知道系統(tǒng)對外開放了哪些服務,哪些訪問是被禁止的。同時,當有ddos攻擊跡象發(fā)生的時候,我們也應該很好地判斷攻擊利用了系統(tǒng)的哪些處理機制。雖然我們已經聽過無數人無數次的重復“關閉不必要服務”,但顯然其重要性仍未被充分認知。
有時一個端口沒有開放我們就認為其處于安全狀態(tài),其實事實并非如此。很多時候,一些關閉的端口由于設計上的原因仍會響應某些查詢,這一點經常被ddos攻擊所利用。攻擊者通過向這些看似沉睡的端口發(fā)送海量的查詢耗盡目標系統(tǒng)的資源從而達到自己的目的。我們經常利用一個稱為shields up!!的基于web接口的工具檢查端口的真實狀態(tài),我們可以從http://www.grc.com/找到該工具的登入接口。
我們在一臺聯(lián)網的工作站上登錄其頁面并執(zhí)行all service ports檢測,返回的結果頁會列出從0到1055端口狀態(tài)的方格圖,綠色的小塊兒表示該端口處于安全的隱秘(stealth)狀態(tài),將不會對外界做出任何響應。如果小塊兒是代表危險的紅色,說明該端口處于開放狀態(tài)。而如果小塊兒是藍色的話,說明該端口處于關閉狀態(tài),雖然大部分程序無法使用這些端口,但不代表其絕對安全。通過類似的工具我們可以更透徹的了解我們暴露在網絡上的都是什么,也才能進行真正有效的處理,同時不會忽視存在的隱患。
深入解析并防范電腦蠕蟲病毒!
[ 2007-03-25 02:58:21 | 作者: sun ]
凡能夠引起計算機故障,破壞計算機數據的程序統(tǒng)稱為計算機病毒。所以從這個意義上說,蠕蟲也是一種病毒!網絡蠕蟲病毒,作為對互聯(lián)網危害嚴重的 一種計算機程序,其破壞力和傳染性不容忽視。與傳統(tǒng)的病毒不同,蠕蟲病毒以計算機為載體,以網絡為攻擊對象!本文中將蠕蟲病毒分為針對企業(yè)網絡和個人用戶2類,并從企業(yè)用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施!
...
閱讀全文...
...
閱讀全文...
通過HttpModule實現數據庫防注入
[ 2007-03-25 02:58:07 | 作者: sun ]
通過相應的關鍵字去識別是否有 Sql注入攻擊代碼
string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";
在下面的代碼中你要看以上面的定義, 其實就是定義要識別的關鍵字.
而我們處理請求一般都是通過 Request.QueryString / Request.Form 這兩種
我們可以專門寫一個類去處理這些請求, 但如果在每一個處理環(huán)節(jié)都載入這個類去做處理, 那太麻煩了.
如果寫一個ISAPI當然也能完成這個功能的實現, 但在.NET 中 HttpModule幫我們實現了類似于ISAPI Filter的功能, 所以改為通過 HttpModule 去處理這些事情是最好不過的啦.
我們現在要用到的只是里面的BeginRequest這個事件, 所以只需要注冊BeginRequest這個事件就可以了.
REM 過濾字符串
Dim strFilter As String = "and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare|&"
REM 分割后的過濾字符串數組
Dim strf() As String
Dim strTemp1, strTemp2 As String
strf = strFilter.Split("|")
If Request.RequestType = "GET" Then
For Each strTemp1 In Request.QueryString
For Each strTemp2 In strf
If InStr(LCase(strTemp1), LCase(strTemp2), CompareMethod.Text) Then
Response.Write("想干啥?別注我!有漏洞通知QQ:26242000")
Response.End()
End If
Next
Next
ElseIf Request.RequestType = "POST" Then
For Each strTemp1 In Request.Form
For Each strTemp2 In strf
If InStr(LCase(strTemp1), LCase(strTemp2), CompareMethod.Text) Then
Response.Write("想干啥?別注我!有漏洞通知QQ:26242000")
Response.End()
End If
Next
Next
End If
再來看看我在百度上找的sql防攻擊代碼
// @copyright S.Sams Lifexperience http://blog.8see.net/
using System;
namespace Theme.Services.Public
{
/// <summary>
/// SqlstrAny 的摘要說明。
/// </summary>
public class ProcessRequest
{
public ProcessRequest()
{
//
// TODO: 在此處添加構造函數邏輯
//
}
#region SQL注入式攻擊代碼分析
/// <summary>
/// 處理用戶提交的請求
/// </summary>
public void StartProcessRequest()
{
try
{
string getkeys = "";
string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();
if (System.Web.HttpContext.Current.Request.QueryString != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.QueryString.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
{
System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.End();
}
}
}
if (System.Web.HttpContext.Current.Request.Form != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.Form.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
{
System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.End();
}
}
}
}
catch
{
// 錯誤處理: 處理用戶提交信息!
}
}
/// <summary>
/// 分析用戶請求是否正常
/// </summary>
/// <param name="Str">傳入用戶提交數據</param>
/// <returns>返回是否含有SQL注入式攻擊代碼</returns>
private bool ProcessSqlStr(string Str)
{
bool ReturnValue = true;
try
{
if (Str != "")
{
string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";
string[] anySqlStr = SqlStr.Split('|');
foreach (string ss in anySqlStr)
{
if (Str.IndexOf(ss)>=0)
{
ReturnValue = false;
}
}
}
}
catch
{
ReturnValue = false;
}
return ReturnValue;
}
#endregion
}
}
// System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString(); 這個為用戶自定義錯誤頁面提示地址,
//在Web.Config文件時里面添加一個 CustomErrorPage 即可
//<!-- 防止SQL數據庫注入攻擊的出錯頁面自定義地址 -->
// <add key="CustomErrorPage" value="../Error.html" />
string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";
在下面的代碼中你要看以上面的定義, 其實就是定義要識別的關鍵字.
而我們處理請求一般都是通過 Request.QueryString / Request.Form 這兩種
我們可以專門寫一個類去處理這些請求, 但如果在每一個處理環(huán)節(jié)都載入這個類去做處理, 那太麻煩了.
如果寫一個ISAPI當然也能完成這個功能的實現, 但在.NET 中 HttpModule幫我們實現了類似于ISAPI Filter的功能, 所以改為通過 HttpModule 去處理這些事情是最好不過的啦.
我們現在要用到的只是里面的BeginRequest這個事件, 所以只需要注冊BeginRequest這個事件就可以了.
REM 過濾字符串
Dim strFilter As String = "and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare|&"
REM 分割后的過濾字符串數組
Dim strf() As String
Dim strTemp1, strTemp2 As String
strf = strFilter.Split("|")
If Request.RequestType = "GET" Then
For Each strTemp1 In Request.QueryString
For Each strTemp2 In strf
If InStr(LCase(strTemp1), LCase(strTemp2), CompareMethod.Text) Then
Response.Write("想干啥?別注我!有漏洞通知QQ:26242000")
Response.End()
End If
Next
Next
ElseIf Request.RequestType = "POST" Then
For Each strTemp1 In Request.Form
For Each strTemp2 In strf
If InStr(LCase(strTemp1), LCase(strTemp2), CompareMethod.Text) Then
Response.Write("想干啥?別注我!有漏洞通知QQ:26242000")
Response.End()
End If
Next
Next
End If
再來看看我在百度上找的sql防攻擊代碼
// @copyright S.Sams Lifexperience http://blog.8see.net/
using System;
namespace Theme.Services.Public
{
/// <summary>
/// SqlstrAny 的摘要說明。
/// </summary>
public class ProcessRequest
{
public ProcessRequest()
{
//
// TODO: 在此處添加構造函數邏輯
//
}
#region SQL注入式攻擊代碼分析
/// <summary>
/// 處理用戶提交的請求
/// </summary>
public void StartProcessRequest()
{
try
{
string getkeys = "";
string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();
if (System.Web.HttpContext.Current.Request.QueryString != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.QueryString.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
{
System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.End();
}
}
}
if (System.Web.HttpContext.Current.Request.Form != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.Form.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
{
System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.End();
}
}
}
}
catch
{
// 錯誤處理: 處理用戶提交信息!
}
}
/// <summary>
/// 分析用戶請求是否正常
/// </summary>
/// <param name="Str">傳入用戶提交數據</param>
/// <returns>返回是否含有SQL注入式攻擊代碼</returns>
private bool ProcessSqlStr(string Str)
{
bool ReturnValue = true;
try
{
if (Str != "")
{
string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";
string[] anySqlStr = SqlStr.Split('|');
foreach (string ss in anySqlStr)
{
if (Str.IndexOf(ss)>=0)
{
ReturnValue = false;
}
}
}
}
catch
{
ReturnValue = false;
}
return ReturnValue;
}
#endregion
}
}
// System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString(); 這個為用戶自定義錯誤頁面提示地址,
//在Web.Config文件時里面添加一個 CustomErrorPage 即可
//<!-- 防止SQL數據庫注入攻擊的出錯頁面自定義地址 -->
// <add key="CustomErrorPage" value="../Error.html" />
巧妙的搭建一個Windows下的蜜罐系統(tǒng)
[ 2007-03-25 02:57:52 | 作者: sun ]
搭建一個基于*nix系統(tǒng)的蜜罐網絡相對說來需要比較多系統(tǒng)維護和網絡安全知識的基礎,但是做一個windows系統(tǒng)的蜜罐(下面簡稱winpot)的門檻就比較低,而且大部分朋友都會M$的select & click :),今天我們就一起嘗試搭建一個windows下的蜜罐系統(tǒng)
由于win和*nix系統(tǒng)不一樣,我們很難使用有效的工具來完整的追蹤入侵者的行為,因為win下有各式各樣的遠程管理軟件(VNC,remote-anything),而對于這些軟件,大部分殺毒軟件是不查殺他們的,而我們也沒有象LIDS那樣強大的工具來控制Administrator的權限,相對而言,winpot的風險稍微大了點,而且需要花更加多的時間和精力去看管他,沒辦法,門檻低了,風險當然就會相對高了。
OK,開始
先介紹一下我們需要的軟件
vpc Virtual pc,他是一個虛擬操作系統(tǒng)的軟件,當然你也可以選擇vmware.
ActivePerl-5.8.0.805-MSWin32-x86.msi windows下的perl解析器
evtsys_exe.zip 一個把系統(tǒng)日志發(fā)送到log服務器的程序
comlog101.zip 一個用perl寫的偷偷記錄cmd.exe的程序,不會在進程列表中顯示,因為入侵者運行的的確是cmd.exe :)
Kiwi_Syslog_Daemon_7 一個很專業(yè)的日志服務器軟件
norton antivirus enterprise client 我最喜歡的殺毒軟件,支持win2k server。當然,如果你覺得其他的更加適合你,你有權選擇
ethereal-setup-0.9.8.exe Ethereal的windows版本,Ethereal是*nix下一個很出名的sniffer,當然,如果你已經在你的honeynet中布置好了
sniffer,這個大可不必了,但是本文主要還是針對Dvldr 蠕蟲的,而且ethereal的decode功能很強,用他來獲取irc MSG很不錯的
WinPcap_3_0_beta.exe ethereal需要他的支持。
md5sum.exe windows下用來進行md5sum校驗的工具
綠色警戒防火墻 對入侵者做限制
windows 2000 professional的ISO鏡象 用vpc虛擬操作系統(tǒng)的時候需要用到他
除了windows 2000 professional的ISO鏡象,本文涉及的所有程序都可以在鄭州大學網絡安全園下載的到
http://www.520hack.com
Dvldr蠕蟲簡介
他是一個利用windows 2000/NT弱口令的蠕蟲。該蠕蟲用所帶的字典暴力破解隨機生成的ip的機器,如果成功,則感染機器,并植入VNC修改版
本,并向一個irc列表匯報已經感染主機的信息,同時繼續(xù)向其他機器感染。可以訪問鄭州大學網絡安全園或者關于他更詳細的信息。
一:使用VPC安裝一個win2k pro,具體的安裝方法本文就省略了,打上所有的補丁,只留一個漏洞,就是dvldr蠕蟲需要的administrator的空
密碼。
二:安裝norton antivirus enterprise client,升級到最新的病毒庫,并啟動實時監(jiān)控
三:用cmdlog替換cmd.exe程序,把comlog101.zip解壓縮后有五個文件cmd.exe,cmd101.pl,COMLOG.txt,MD5.txt,README.txt,其中cmdlog.txt和
readme.txt都是說明文件,md5.txt包含這五個文件的md5校驗和的值,我們可以使用md5sum.exe工具來檢測一下他們是否遭受修改
D:comlog101>md5sum.exe *
md5sum.exe: .: Permission denied
md5sum.exe: ..: Permission denied
f86ba5ffaa8800a2efa9093d2f11ae6f *cmd.exe
484c4708c17b5a120cb08e40498fea5f *com101.pl
001a6f9ca5f6cf01a23076bad9c6261a *comlog.txt
121bf60bc53999c90c6405440567064b *md5.txt
eb574b236133e60c989c6f472f07827b *md5sum.exe
42605ecfa6fe0f446c915a41396a7266 *README.TXT
把這些數字和md5.txt的數字對比,如果出現不一致,就證明程序遭受修改,請勿使用并通知我
在校驗無誤之后,我們開始覆蓋系統(tǒng)的cmd.exe。先打開資源管理器-->工具-->文件夾選項-->查看,把"隱藏受保護的操作系統(tǒng)文件"的鉤去掉,
并選擇"顯示所有文件和文件夾"-->確定
然后去到C:WINNTsystem32dllcache目錄,并找到cmd.exe,并把他改名成cm_.exe,再把comlog101下的cmd.exe和com101.pl復制到這里,并把C
:WINNTsystem32下的cmd.exe也改成cm_.exe,同樣把comlog101目錄下的cmd.exe和com101.pl復制到這里。在這段時間,系統(tǒng)會提醒你系統(tǒng)
文件遭到修改,問你是否修復,選擇取消就可以了。然后在C:WINNTHelp目錄下建一個叫"Tutor"的目錄,這里是用來放cmd.exe的命令記錄的地方,當然你同樣可以修改com101.pl來選擇日志的存放位置。
現在我們運行cmd.exe,你會發(fā)現窗口一閃而過,這是因為我們還沒裝perl解析器。運行ActivePerl-5.8.0.805-MSWin32-x86.msi,一路next就OK了。
現在我們運行cmd.exe,這回我們可愛的cmd窗口就跳出來了,隨便敲幾個東西進去,然后去到C:WINNTHelpTutor目錄下,你就可以看到記錄了。為了避免記錄自己在cmd.exe的操作,我們可以把原來的cmd.exe改成另外一個名字來執(zhí)行。
四:安裝日志服務器,我們選擇Kiwi的Syslog Daemon 7是因為他夠專業(yè)并且有很多統(tǒng)計信息和支持產品,一路next并啟動服務即可。
netstat -an我們可以看到514端口
UDP 0.0.0.0:514 *:*
五:安裝evtsys_exe,解壓縮之后有兩個程序evtsys.exe和evtsys.dll,同樣需要檢測文件是否被修改
D:evtsys_exe>md5sum.exe *
md5sum.exe: .: Permission denied
md5sum.exe: ..: Permission denied
f5ba9453e12dc030b5e19f75c079fec2 *evtsys.dll
dcc02e429fbb769ea5d94a2ff0a14067 *evtsys.exe
eb574b236133e60c989c6f472f07827b *md5sum.exe
如果一切正常的話,執(zhí)行evtsys.exe /?
D:evtsys_exe>evtsys.exe /?
Usage: evtsys.exe -i|-u|-d [-h host] [-p port] [-q char]
-i Install service (安裝服務)
-u Uninstall service (卸載服務)
-d Debug: run as console program (以debug模式運行)
-h host Name of log host (日志服務器IP地址)
-p port Port number of syslogd (日志服務器端口,默認是514)
-q char Quote messages with character
Default port: 514
我們運行D:evtsys_exe>evtsys.exe -h 日志服務器IP -i來安裝服務
這樣你系統(tǒng)的應用程序日志,系統(tǒng)日志,安全日志都會發(fā)到日志服務器去了,這樣我們就可以更加真實的了解到系統(tǒng)的運行情況。
六:安裝WinPcap_3_0_beta.exe和ethereal-setup-0.9.8.exe
下面針對本案例大概的說說ethereal的使用
先啟動ethereal
capture->start
capture packets in promiscuous mode
不選這個,因為我們只需要得到本機的信息,不需要以混雜模式運行
filter
filter name:irc
string:ip host urip and tcp port 6667
只能有一條規(guī)則,但是可以使用邏輯符號
否定(`!' or `not')
交集(`&&' or `and')
并集(`||' or `or')
還有=,>=,+,&等等
更加詳細的設置請查看ethereal的manual
先自己測試一下sniffer是否工作
連接上IRC,并發(fā)言,我們可以看到一些結果
然后選擇一個記錄,并且按”follow tcp stream”就可以查看IRC的聊天內容了
七:安裝設置綠色警戒防火墻 關閉“進入請求通知”,開放共享,把所有的入侵檢測對策的“攔截”都改成“警告”,警告級別都改成“記錄”,我們主要是想了解一下大概的攻擊情況
接著打掃戰(zhàn)場,把你下載的軟件,臨時文件,歷史記錄,文檔的記錄全部刪除,但是別忘記用regsnap做個鏡象哦,最后再次開啟ethereal
現在剩下的就是等蠕蟲感染來了………………
由于win和*nix系統(tǒng)不一樣,我們很難使用有效的工具來完整的追蹤入侵者的行為,因為win下有各式各樣的遠程管理軟件(VNC,remote-anything),而對于這些軟件,大部分殺毒軟件是不查殺他們的,而我們也沒有象LIDS那樣強大的工具來控制Administrator的權限,相對而言,winpot的風險稍微大了點,而且需要花更加多的時間和精力去看管他,沒辦法,門檻低了,風險當然就會相對高了。
OK,開始
先介紹一下我們需要的軟件
vpc Virtual pc,他是一個虛擬操作系統(tǒng)的軟件,當然你也可以選擇vmware.
ActivePerl-5.8.0.805-MSWin32-x86.msi windows下的perl解析器
evtsys_exe.zip 一個把系統(tǒng)日志發(fā)送到log服務器的程序
comlog101.zip 一個用perl寫的偷偷記錄cmd.exe的程序,不會在進程列表中顯示,因為入侵者運行的的確是cmd.exe :)
Kiwi_Syslog_Daemon_7 一個很專業(yè)的日志服務器軟件
norton antivirus enterprise client 我最喜歡的殺毒軟件,支持win2k server。當然,如果你覺得其他的更加適合你,你有權選擇
ethereal-setup-0.9.8.exe Ethereal的windows版本,Ethereal是*nix下一個很出名的sniffer,當然,如果你已經在你的honeynet中布置好了
sniffer,這個大可不必了,但是本文主要還是針對Dvldr 蠕蟲的,而且ethereal的decode功能很強,用他來獲取irc MSG很不錯的
WinPcap_3_0_beta.exe ethereal需要他的支持。
md5sum.exe windows下用來進行md5sum校驗的工具
綠色警戒防火墻 對入侵者做限制
windows 2000 professional的ISO鏡象 用vpc虛擬操作系統(tǒng)的時候需要用到他
除了windows 2000 professional的ISO鏡象,本文涉及的所有程序都可以在鄭州大學網絡安全園下載的到
http://www.520hack.com
Dvldr蠕蟲簡介
他是一個利用windows 2000/NT弱口令的蠕蟲。該蠕蟲用所帶的字典暴力破解隨機生成的ip的機器,如果成功,則感染機器,并植入VNC修改版
本,并向一個irc列表匯報已經感染主機的信息,同時繼續(xù)向其他機器感染。可以訪問鄭州大學網絡安全園或者關于他更詳細的信息。
一:使用VPC安裝一個win2k pro,具體的安裝方法本文就省略了,打上所有的補丁,只留一個漏洞,就是dvldr蠕蟲需要的administrator的空
密碼。
二:安裝norton antivirus enterprise client,升級到最新的病毒庫,并啟動實時監(jiān)控
三:用cmdlog替換cmd.exe程序,把comlog101.zip解壓縮后有五個文件cmd.exe,cmd101.pl,COMLOG.txt,MD5.txt,README.txt,其中cmdlog.txt和
readme.txt都是說明文件,md5.txt包含這五個文件的md5校驗和的值,我們可以使用md5sum.exe工具來檢測一下他們是否遭受修改
D:comlog101>md5sum.exe *
md5sum.exe: .: Permission denied
md5sum.exe: ..: Permission denied
f86ba5ffaa8800a2efa9093d2f11ae6f *cmd.exe
484c4708c17b5a120cb08e40498fea5f *com101.pl
001a6f9ca5f6cf01a23076bad9c6261a *comlog.txt
121bf60bc53999c90c6405440567064b *md5.txt
eb574b236133e60c989c6f472f07827b *md5sum.exe
42605ecfa6fe0f446c915a41396a7266 *README.TXT
把這些數字和md5.txt的數字對比,如果出現不一致,就證明程序遭受修改,請勿使用并通知我
在校驗無誤之后,我們開始覆蓋系統(tǒng)的cmd.exe。先打開資源管理器-->工具-->文件夾選項-->查看,把"隱藏受保護的操作系統(tǒng)文件"的鉤去掉,
并選擇"顯示所有文件和文件夾"-->確定
然后去到C:WINNTsystem32dllcache目錄,并找到cmd.exe,并把他改名成cm_.exe,再把comlog101下的cmd.exe和com101.pl復制到這里,并把C
:WINNTsystem32下的cmd.exe也改成cm_.exe,同樣把comlog101目錄下的cmd.exe和com101.pl復制到這里。在這段時間,系統(tǒng)會提醒你系統(tǒng)
文件遭到修改,問你是否修復,選擇取消就可以了。然后在C:WINNTHelp目錄下建一個叫"Tutor"的目錄,這里是用來放cmd.exe的命令記錄的地方,當然你同樣可以修改com101.pl來選擇日志的存放位置。
現在我們運行cmd.exe,你會發(fā)現窗口一閃而過,這是因為我們還沒裝perl解析器。運行ActivePerl-5.8.0.805-MSWin32-x86.msi,一路next就OK了。
現在我們運行cmd.exe,這回我們可愛的cmd窗口就跳出來了,隨便敲幾個東西進去,然后去到C:WINNTHelpTutor目錄下,你就可以看到記錄了。為了避免記錄自己在cmd.exe的操作,我們可以把原來的cmd.exe改成另外一個名字來執(zhí)行。
四:安裝日志服務器,我們選擇Kiwi的Syslog Daemon 7是因為他夠專業(yè)并且有很多統(tǒng)計信息和支持產品,一路next并啟動服務即可。
netstat -an我們可以看到514端口
UDP 0.0.0.0:514 *:*
五:安裝evtsys_exe,解壓縮之后有兩個程序evtsys.exe和evtsys.dll,同樣需要檢測文件是否被修改
D:evtsys_exe>md5sum.exe *
md5sum.exe: .: Permission denied
md5sum.exe: ..: Permission denied
f5ba9453e12dc030b5e19f75c079fec2 *evtsys.dll
dcc02e429fbb769ea5d94a2ff0a14067 *evtsys.exe
eb574b236133e60c989c6f472f07827b *md5sum.exe
如果一切正常的話,執(zhí)行evtsys.exe /?
D:evtsys_exe>evtsys.exe /?
Usage: evtsys.exe -i|-u|-d [-h host] [-p port] [-q char]
-i Install service (安裝服務)
-u Uninstall service (卸載服務)
-d Debug: run as console program (以debug模式運行)
-h host Name of log host (日志服務器IP地址)
-p port Port number of syslogd (日志服務器端口,默認是514)
-q char Quote messages with character
Default port: 514
我們運行D:evtsys_exe>evtsys.exe -h 日志服務器IP -i來安裝服務
這樣你系統(tǒng)的應用程序日志,系統(tǒng)日志,安全日志都會發(fā)到日志服務器去了,這樣我們就可以更加真實的了解到系統(tǒng)的運行情況。
六:安裝WinPcap_3_0_beta.exe和ethereal-setup-0.9.8.exe
下面針對本案例大概的說說ethereal的使用
先啟動ethereal
capture->start
capture packets in promiscuous mode
不選這個,因為我們只需要得到本機的信息,不需要以混雜模式運行
filter
filter name:irc
string:ip host urip and tcp port 6667
只能有一條規(guī)則,但是可以使用邏輯符號
否定(`!' or `not')
交集(`&&' or `and')
并集(`||' or `or')
還有=,>=,+,&等等
更加詳細的設置請查看ethereal的manual
先自己測試一下sniffer是否工作
連接上IRC,并發(fā)言,我們可以看到一些結果
然后選擇一個記錄,并且按”follow tcp stream”就可以查看IRC的聊天內容了
七:安裝設置綠色警戒防火墻 關閉“進入請求通知”,開放共享,把所有的入侵檢測對策的“攔截”都改成“警告”,警告級別都改成“記錄”,我們主要是想了解一下大概的攻擊情況
接著打掃戰(zhàn)場,把你下載的軟件,臨時文件,歷史記錄,文檔的記錄全部刪除,但是別忘記用regsnap做個鏡象哦,最后再次開啟ethereal
現在剩下的就是等蠕蟲感染來了………………
修改注冊表清除黑客程序保證計算機安全
[ 2007-03-25 02:57:40 | 作者: sun ]
在網絡給我們的工作學習帶來極大方便的同時,病毒、木馬、后門以及黑客程序也嚴重影響著信息的安全。這些程序感染計算機的一個共同特點是在注冊表中寫入信息,來達到如自動運行、破壞和傳播等目的。以下是筆者在網上收集的,通過修改注冊表來對付病毒、木馬、后門以及黑客程序,保證個人計算機的安全。
1.清理訪問“網絡鄰居”后留下的字句信息
在HEKY_CURRENT_USER/Network/Recent下,刪除下面的主鍵。
2.取消登陸時自動撥號
在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Network/RealModeNet下修改右邊窗口中的“autologon”為“01 00 00 00 00”。
3.取消登錄時選擇用戶
已經刪除了所有用戶,但登錄時還要選擇用戶,我們要取消登錄時選擇用戶,就要在HKEY_LOCAL_MACHINENetworkLogon下,在右邊的窗口中,修改"UserProfiles"值為"0"。
4.隱藏上機用戶登錄的名字
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon下在右邊的窗口中新建字符串"DontDisplayLastUserName",設值為"1"。
5.預防Acid Battery v1.0木馬的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發(fā)現了“Explorer”鍵值,則說明中了YAI木馬,將它刪除。
6.預防YAI木馬的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發(fā)現了“Batterieanzeige”鍵值,則說明中了YAI木馬,將它刪除。
7.預防Eclipse 2000木馬的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發(fā)現了“bybt”鍵值,則將它刪除。然后在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下刪除右邊的鍵值“cksys”,重新啟動電腦。
8.預防BO2000的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發(fā)現了“umgr32.exe”鍵值,則說明中了BO2000,將它刪除。
9.預防愛蟲的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右邊窗口中如發(fā)現了“MSKernel32”鍵值,就將它刪除。
10.禁止出現IE菜單中“工具”欄里“interner選項”
把c:windowssystem下的名為inetcpl.cpl更名為inetcpl.old或則別的名字后就會出現禁止使用的情況把名字再換回來,就可以恢復使用。
11.預防BackDoor的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右邊窗口中如發(fā)現了“Notepad”鍵值,就將它刪除。
12.預防WinNuke的破壞
在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP下在右邊的窗口中新建或修改字符串“BSDUrgent”,設其值為0。
13.預防KeyboardGhost的破壞
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下如發(fā)現KG.EXE這一鍵值,就將它刪除,并查找KG.exe文件和kg.dat文件,將它們都刪除
14.查找NetSpy黑客程序
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下,在右邊的窗口中尋找鍵"NetSpy",如果存在,就說明已經裝有NetSpy黑客程序,把它刪除.
1.清理訪問“網絡鄰居”后留下的字句信息
在HEKY_CURRENT_USER/Network/Recent下,刪除下面的主鍵。
2.取消登陸時自動撥號
在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Network/RealModeNet下修改右邊窗口中的“autologon”為“01 00 00 00 00”。
3.取消登錄時選擇用戶
已經刪除了所有用戶,但登錄時還要選擇用戶,我們要取消登錄時選擇用戶,就要在HKEY_LOCAL_MACHINENetworkLogon下,在右邊的窗口中,修改"UserProfiles"值為"0"。
4.隱藏上機用戶登錄的名字
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon下在右邊的窗口中新建字符串"DontDisplayLastUserName",設值為"1"。
5.預防Acid Battery v1.0木馬的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發(fā)現了“Explorer”鍵值,則說明中了YAI木馬,將它刪除。
6.預防YAI木馬的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發(fā)現了“Batterieanzeige”鍵值,則說明中了YAI木馬,將它刪除。
7.預防Eclipse 2000木馬的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發(fā)現了“bybt”鍵值,則將它刪除。然后在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下刪除右邊的鍵值“cksys”,重新啟動電腦。
8.預防BO2000的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右邊窗口中如發(fā)現了“umgr32.exe”鍵值,則說明中了BO2000,將它刪除。
9.預防愛蟲的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右邊窗口中如發(fā)現了“MSKernel32”鍵值,就將它刪除。
10.禁止出現IE菜單中“工具”欄里“interner選項”
把c:windowssystem下的名為inetcpl.cpl更名為inetcpl.old或則別的名字后就會出現禁止使用的情況把名字再換回來,就可以恢復使用。
11.預防BackDoor的破壞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右邊窗口中如發(fā)現了“Notepad”鍵值,就將它刪除。
12.預防WinNuke的破壞
在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP下在右邊的窗口中新建或修改字符串“BSDUrgent”,設其值為0。
13.預防KeyboardGhost的破壞
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下如發(fā)現KG.EXE這一鍵值,就將它刪除,并查找KG.exe文件和kg.dat文件,將它們都刪除
14.查找NetSpy黑客程序
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下,在右邊的窗口中尋找鍵"NetSpy",如果存在,就說明已經裝有NetSpy黑客程序,把它刪除.
