七招全面圍剿“灰鴿子”
[ 2007-03-25 02:41:19 | 作者: sun ]
灰鴿子木馬引發的激烈論戰正在網絡安全界進行,電腦安全問題隨之受到網友們的高度關注。
金山公司公開指責灰鴿子工作室2007年2月底推出的“灰鴿子2007 beta2版本”隱蔽性更強,隱藏病毒的進程,所有盜取用戶信息的操作,遠程計算機的操作人員可能毫不知情。灰鴿子工作室則回應稱,灰鴿子遠程控制系列軟件產品在對外授權時,已經充分告知用戶要遵守中國法律法規的規定。
這場論戰仍在進行。不論結果如何,眼下如何保護保證自己的經濟不受損失,避免因為隱私外泄而受到敲詐,成為當務之急。
應對辦法——
途徑1:設置屏幕保密碼
保護電腦安全,不光是防陌生人,有時也要向同事保密。如果您不想在離開座位后,自己電腦里的東西被別人看光光的話,設置屏保密碼是個簡便的方式。
以WindowsXP系統來說,您只要在桌面的空白處右擊鼠標,從菜單中選擇“屬性”欄目,打開“顯示屬性”對話框,再點擊“屏幕保護程序”欄目即可。在這個窗口的“屏幕保護程序”下拉框中,任意選擇一種屏幕保護程序。隨后,您只要選中“在恢復時使用密碼保護”框,再單擊“應用”按鈕就可以了。
注意事項:需要提醒大家的是,在WinXP中無需您輸入具體的“密碼”,Windows在屏保運行后,會自動退出當前用戶登錄,退回到Windows登錄窗口。這時您作為這臺電腦的主人,只要輸入登錄Windows時的密碼就能夠使用Windows了。對于不知道您登錄密碼的人,自然只能“望機興嘆”了。
途徑2:及時下載補丁
除了殺毒軟件幫您防范入侵的黑客和病毒,Windows自身的網絡安全設置,也在幫您抵擋不懷好意的“入侵者”。不過,要想讓Windows能夠完全施展開拳腳,還要留意以下幾點。
首先,在IE瀏覽器的工具欄里,選擇“INTERNET選項”,單擊其中的“安全”一欄。此時在菜單里,單擊“自定義級別”,并在“重置自定義設置”選項里,選中“安全級—高”一欄,并單擊“確定”按鈕。
每當Windows自動升級時,系統總會提示下載了一些更新程序。這時,有些用戶由于擔心C盤空間不大,裝的程序太多容易拖慢系統速度,就不安裝這些更新程序和補丁。其實,這是不對的。有些Windows自身的漏洞極易成為黑客的攻擊重點。僅靠殺毒軟件,有時無法杜絕這些問題。
注意事項:對于C盤空間不大的用戶來說,建議您首先不要在桌面上放一些程序、文件、文檔,以免占用寶貴的C盤空間。另外,對于必須使用但又不是系統文件的程序、軟件,建議您把它們一律安裝到D盤或者E盤里,照樣可以正常使用。
途徑3:銀行數字證書隨身帶
如今,幾乎全部的網上銀行,在您支付款項時,都會用到數字證書。不過讓我們有些憂心的是,數字證書長期存在電腦硬盤里,一旦在您上網時有人通過某些病毒或黑客程序遠程操作、查詢您電腦里的相關內容,就可能備份您的銀行數字證書、竊取您的銀行賬號和密碼,并且趁您不使用電腦的時候,操控您的屏幕,劃走您的錢。
注意事項:建議您最好在開通您的銀行卡網上銀行功能時,按照各家銀行的提示操作步驟,把您的數字證書,導出存在U盤里,有些銀行則是直接向用戶出售存有數字證書的U盤。總之盡量不要把數字證書存在電腦硬盤里,以免被別人遠程控制。
途徑4:利用殺毒軟件體檢
正因為灰鴿子這類木馬在中毒電腦上了無痕跡,用戶往往無法判斷自己的電腦是否已經被植入木馬,反病毒專家介紹說,用戶可以通過使用升級到最新病毒庫的殺毒軟件來掃描自己的電腦。金山和瑞星等很多安全廠商此前都推出了灰鴿子專殺工具。此外,用戶還可以到安全廠商的官方網站上學習手動查殺。
注意事項:看殺毒軟件是否過期。“明明安了殺毒軟件,怎么又中招了”,這是當前不少電腦用戶的疑問。人們往往在安裝了殺毒軟件后,就以為一切都搞定了,自己的電腦“百毒不侵”了。需要提醒大家的是,安裝完殺毒軟件,一定要及時運行,并把各種選項的配置情況確認一下。如果軟件沒有開啟自動升級、掃描電子郵件、掃描壓縮文件內部等功能,一定要立即開啟;此外,新病毒變種頻出,建議您把殺毒軟件一定要配置為“最高防護級別”,這樣您上網時才會更加安全。
另外,即使開啟了自動升級功能,建議您也要經常手動更新一下自己的殺毒軟件,一旦發現廠商提供的病毒庫有所更新,就要及時跟進。另外,在殺毒軟件的使用上,一定要用正版。有時,一些盜版殺毒軟件本身就暗藏病毒。
注意事項:檢查您使用的殺毒軟件是否過期,使用盜版殺毒軟件(或者一個正版ID用在多臺計算機上),不能正常升級的,特別需要檢查。
途徑5:word加密
以Word 2000來說,如果您的文檔中有不想讓其他人看見的個人隱私,或者這個文件中涉及單位的機密信息,您就需要阻止別人查看自己的文檔了。需要對Word文檔進行加密。
首先打開這個需要加密的Word文檔。單擊“工具”欄里的“選項”一行。這時,會彈出一個菜單,您需要選擇“保存”這個欄目,然后分別在“打開權限密碼”和“修改權限密碼”這兩個空白欄中輸入您設置的任意密碼。輸入后,您需要單擊“確定”按鈕。這時,系統會再次彈出窗口,要您再次鍵入一遍“打開權限密碼”和“修改權限密碼”。分別單擊“確定”按鈕后,設定就完成了。
注意事項:您在關閉這個Word文檔時,記得還要單擊“是”,以便保存您剛才的一切操作。另外,要記住自己的密碼,以免忘了密碼后自己也進不去而耽誤事。
途徑6:設置登錄密碼
開機時輸對登錄密碼,才能使用這臺電腦,這是Windows自帶的重要安全設置,也是防范他人入侵自己個人空間的一大功能。對于WinXP來說,如果在安裝系統時您沒有設置密碼,也沒關系,這項功課還是可以補上的。
首先,您進入“我的電腦”,雙擊控制面板,選擇自己原本沒有密碼的那個用戶賬戶。接下來,您需要選擇“設定我的密碼”,鍵入一個至少8位的密碼,并再輸一遍,然后設定自己的密碼提示問題,最后按提示單擊“是”這個按鈕,就可以了。
注意事項:如果您所使用的電腦是單位公用的,您和您的同事也可以在同一臺電腦里分別設定自己不同的賬戶和登錄密碼,大家互不干擾。
途徑7:硬件加密一籮筐
除了軟加密,部分電腦還能夠通過先進的硬件,實現硬加密。
例如有些電腦就配備有先進的指紋系統,只有指紋符合者,才能啟用這臺電腦。還有的電腦具備了人臉識別功能,機主的相貌就是通行證。
同時,一些廠家還推出了各種電子安全鎖,通常是以U盤的形式存在。通過預先設置,只有插入這個U盤,電腦才能夠正常工作。
注意事項:當然,如果您希望啟用這些更加嚴密的安防措施,就需要額外破費一番了。
金山公司公開指責灰鴿子工作室2007年2月底推出的“灰鴿子2007 beta2版本”隱蔽性更強,隱藏病毒的進程,所有盜取用戶信息的操作,遠程計算機的操作人員可能毫不知情。灰鴿子工作室則回應稱,灰鴿子遠程控制系列軟件產品在對外授權時,已經充分告知用戶要遵守中國法律法規的規定。
這場論戰仍在進行。不論結果如何,眼下如何保護保證自己的經濟不受損失,避免因為隱私外泄而受到敲詐,成為當務之急。
應對辦法——
途徑1:設置屏幕保密碼
保護電腦安全,不光是防陌生人,有時也要向同事保密。如果您不想在離開座位后,自己電腦里的東西被別人看光光的話,設置屏保密碼是個簡便的方式。
以WindowsXP系統來說,您只要在桌面的空白處右擊鼠標,從菜單中選擇“屬性”欄目,打開“顯示屬性”對話框,再點擊“屏幕保護程序”欄目即可。在這個窗口的“屏幕保護程序”下拉框中,任意選擇一種屏幕保護程序。隨后,您只要選中“在恢復時使用密碼保護”框,再單擊“應用”按鈕就可以了。
注意事項:需要提醒大家的是,在WinXP中無需您輸入具體的“密碼”,Windows在屏保運行后,會自動退出當前用戶登錄,退回到Windows登錄窗口。這時您作為這臺電腦的主人,只要輸入登錄Windows時的密碼就能夠使用Windows了。對于不知道您登錄密碼的人,自然只能“望機興嘆”了。
途徑2:及時下載補丁
除了殺毒軟件幫您防范入侵的黑客和病毒,Windows自身的網絡安全設置,也在幫您抵擋不懷好意的“入侵者”。不過,要想讓Windows能夠完全施展開拳腳,還要留意以下幾點。
首先,在IE瀏覽器的工具欄里,選擇“INTERNET選項”,單擊其中的“安全”一欄。此時在菜單里,單擊“自定義級別”,并在“重置自定義設置”選項里,選中“安全級—高”一欄,并單擊“確定”按鈕。
每當Windows自動升級時,系統總會提示下載了一些更新程序。這時,有些用戶由于擔心C盤空間不大,裝的程序太多容易拖慢系統速度,就不安裝這些更新程序和補丁。其實,這是不對的。有些Windows自身的漏洞極易成為黑客的攻擊重點。僅靠殺毒軟件,有時無法杜絕這些問題。
注意事項:對于C盤空間不大的用戶來說,建議您首先不要在桌面上放一些程序、文件、文檔,以免占用寶貴的C盤空間。另外,對于必須使用但又不是系統文件的程序、軟件,建議您把它們一律安裝到D盤或者E盤里,照樣可以正常使用。
途徑3:銀行數字證書隨身帶
如今,幾乎全部的網上銀行,在您支付款項時,都會用到數字證書。不過讓我們有些憂心的是,數字證書長期存在電腦硬盤里,一旦在您上網時有人通過某些病毒或黑客程序遠程操作、查詢您電腦里的相關內容,就可能備份您的銀行數字證書、竊取您的銀行賬號和密碼,并且趁您不使用電腦的時候,操控您的屏幕,劃走您的錢。
注意事項:建議您最好在開通您的銀行卡網上銀行功能時,按照各家銀行的提示操作步驟,把您的數字證書,導出存在U盤里,有些銀行則是直接向用戶出售存有數字證書的U盤。總之盡量不要把數字證書存在電腦硬盤里,以免被別人遠程控制。
途徑4:利用殺毒軟件體檢
正因為灰鴿子這類木馬在中毒電腦上了無痕跡,用戶往往無法判斷自己的電腦是否已經被植入木馬,反病毒專家介紹說,用戶可以通過使用升級到最新病毒庫的殺毒軟件來掃描自己的電腦。金山和瑞星等很多安全廠商此前都推出了灰鴿子專殺工具。此外,用戶還可以到安全廠商的官方網站上學習手動查殺。
注意事項:看殺毒軟件是否過期。“明明安了殺毒軟件,怎么又中招了”,這是當前不少電腦用戶的疑問。人們往往在安裝了殺毒軟件后,就以為一切都搞定了,自己的電腦“百毒不侵”了。需要提醒大家的是,安裝完殺毒軟件,一定要及時運行,并把各種選項的配置情況確認一下。如果軟件沒有開啟自動升級、掃描電子郵件、掃描壓縮文件內部等功能,一定要立即開啟;此外,新病毒變種頻出,建議您把殺毒軟件一定要配置為“最高防護級別”,這樣您上網時才會更加安全。
另外,即使開啟了自動升級功能,建議您也要經常手動更新一下自己的殺毒軟件,一旦發現廠商提供的病毒庫有所更新,就要及時跟進。另外,在殺毒軟件的使用上,一定要用正版。有時,一些盜版殺毒軟件本身就暗藏病毒。
注意事項:檢查您使用的殺毒軟件是否過期,使用盜版殺毒軟件(或者一個正版ID用在多臺計算機上),不能正常升級的,特別需要檢查。
途徑5:word加密
以Word 2000來說,如果您的文檔中有不想讓其他人看見的個人隱私,或者這個文件中涉及單位的機密信息,您就需要阻止別人查看自己的文檔了。需要對Word文檔進行加密。
首先打開這個需要加密的Word文檔。單擊“工具”欄里的“選項”一行。這時,會彈出一個菜單,您需要選擇“保存”這個欄目,然后分別在“打開權限密碼”和“修改權限密碼”這兩個空白欄中輸入您設置的任意密碼。輸入后,您需要單擊“確定”按鈕。這時,系統會再次彈出窗口,要您再次鍵入一遍“打開權限密碼”和“修改權限密碼”。分別單擊“確定”按鈕后,設定就完成了。
注意事項:您在關閉這個Word文檔時,記得還要單擊“是”,以便保存您剛才的一切操作。另外,要記住自己的密碼,以免忘了密碼后自己也進不去而耽誤事。
途徑6:設置登錄密碼
開機時輸對登錄密碼,才能使用這臺電腦,這是Windows自帶的重要安全設置,也是防范他人入侵自己個人空間的一大功能。對于WinXP來說,如果在安裝系統時您沒有設置密碼,也沒關系,這項功課還是可以補上的。
首先,您進入“我的電腦”,雙擊控制面板,選擇自己原本沒有密碼的那個用戶賬戶。接下來,您需要選擇“設定我的密碼”,鍵入一個至少8位的密碼,并再輸一遍,然后設定自己的密碼提示問題,最后按提示單擊“是”這個按鈕,就可以了。
注意事項:如果您所使用的電腦是單位公用的,您和您的同事也可以在同一臺電腦里分別設定自己不同的賬戶和登錄密碼,大家互不干擾。
途徑7:硬件加密一籮筐
除了軟加密,部分電腦還能夠通過先進的硬件,實現硬加密。
例如有些電腦就配備有先進的指紋系統,只有指紋符合者,才能啟用這臺電腦。還有的電腦具備了人臉識別功能,機主的相貌就是通行證。
同時,一些廠家還推出了各種電子安全鎖,通常是以U盤的形式存在。通過預先設置,只有插入這個U盤,電腦才能夠正常工作。
注意事項:當然,如果您希望啟用這些更加嚴密的安防措施,就需要額外破費一番了。
phpbb2.0.12全路徑泄露漏洞
[ 2007-03-25 02:41:05 | 作者: sun ]
phpbb是強大的可升級的開放源代碼電子公告系統。最新的版本和低版本都存在路徑泄露問題。
測試方法:
論壇路徑/viewtopic.php?p=6&highlight=\[xiaohua]
將會出現下述文字:
Warning: Compilation failed: missing terminating ] for
character class at offset 20 in /home/nst/forum/viewtopic.php(1110) :
regexp code on line 1
問題代碼:
Here is the problem:
-----[ Start Vuln Code ] ------------------------------------
1106: if ($highlight_match)
1107: {
1108: // This was shamelessly 'borrowed' from volker at multiartstudio dot de
1109: // via php.net's annotated manual
1110: $message = str_replace('\"', '"', \
substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . \
$highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . \
"\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
1111: }
解決方法:
magic_quotes_gpc = On
magic_quotes_sybase = Off
在php.ini中同時設置為On
測試方法:
論壇路徑/viewtopic.php?p=6&highlight=\[xiaohua]
將會出現下述文字:
Warning: Compilation failed: missing terminating ] for
character class at offset 20 in /home/nst/forum/viewtopic.php(1110) :
regexp code on line 1
問題代碼:
Here is the problem:
-----[ Start Vuln Code ] ------------------------------------
1106: if ($highlight_match)
1107: {
1108: // This was shamelessly 'borrowed' from volker at multiartstudio dot de
1109: // via php.net's annotated manual
1110: $message = str_replace('\"', '"', \
substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . \
$highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . \
"\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
1111: }
解決方法:
magic_quotes_gpc = On
magic_quotes_sybase = Off
在php.ini中同時設置為On
推薦:系統關鍵進程的查看和比較
[ 2007-03-25 02:40:53 | 作者: sun ]
我們都知道進程是系統當前運行的執行程序,所以打開系統進程列表來查看哪些進程正在運行,通
過進程名及路徑判斷和比較是否有病毒是一種經常做的常規工作,如果懷疑病毒進程只要記下它的進程
名,結束該進程,然后刪除病毒程序即可。但是哪些是正常進程哪些不是正常的進程呢?
1 、查看進程的方法
A。用三鍵大法:按Ctrl+Alt+Del組合鍵,然后單擊“任務管理器”,打開“Windows 任務管理
器”,然后單擊“進程”標簽即可查看。
B。右擊任務條,打開任務管理器,然后看“進程”也可以。我常用的就是這個了。
2。進程的具體路徑
開始→程序→附件→系統工具→系統信息→軟件環境→正在運行的任務。是不是看到了。。
3。比較關鍵的進程
(1)Csrss.exe:這是子系統服務器進程,負責控制Windows創建或刪除線程以及16位的虛擬DOS環境。這個是不能關的。。
(2)Lsass.exe:管理IP安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。這個也不是能關的。。。
(3)Explorer.exe:資源管理器。這個知道是什么吧?你關一下試試看,呵呵。關了以后別怕啊。可以再在任務管理器中的新任務中再建一個。。。
(4)Smss.exe:這是一個會話管理子系統,負責啟動用戶會話。這個不能關的。。。
(5)Services.exe:系統服務的管理工具,包含很多系統服務。當然也不能關的。。
(6)system: Windows系統進程,當然不關。
(7)System Idle Process:這個進程是作為單線程運行在每個處理器上,并在系統不處理其它線程的時候分派處理器的時間。暈,這個大家一看就知道。
(8)Spoolsv.exe:管理緩沖區中的打印和傳真作業。不能關的。
(9)Svchost.exe:系統啟動的時候,Svchost.exe將檢查注冊表中的位置來創建需要加載的服務列表,如果多個Svchost.exe同時運行,則表明當前有多組服務處于活動狀態;多個DLL文件正在調用它。
WINXP一般是五個進程,記住!
(10)winlogon.exe: 管理用戶登錄,你關關試試看,重新啟動了不是??
(11)internat.exe這是什么東西?呵呵。輸入法了。
(12)taskmagr.exe這又是什么?就是任務管理器!
(13) systray.exe是哪兒冒出來的。什么東西。呵呵。右下角的小喇叭。
4。常見病毒的進程名
avserve.exe 震蕩波病毒的進程
java.exe、services.exe MyDoom 病毒的進程
svch0st.exe、expl0er、user32.exe 網銀大盜的進程
dllhost.exe 沖擊波病毒的進程
Avpcc.exe → 將死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 將死者病毒 Msgsvc.exe → 火鳳凰
Avserve.exe → 震蕩波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 惡鷹蠕蟲病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 將死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 將死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 將死者病毒 Netspy.exe → 網絡精靈
Checkdll.exe → 網絡公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 將死者病毒
Diagcfg.exe → 廣外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 將死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后門變種
Esafe.exe → 將死者病毒 Tftp.exe → 尼姆達病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 將死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 將死者病毒
Frw.exe → 將死者病毒 Vpcc.exe → 將死者病毒
Icload95.exe → 將死者病毒 Vpm.exe → 將死者病毒
Icloadnt.exe → 將死者病毒 Vsecomr.exe → 將死者病毒
Icmon.exe → 將死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 將死者病毒 Service.exe → Trinoo
Iexplore.exe → 惡郵差病毒 Setup.exe → 密碼病毒或Xanadu
Rpcsrv.exe → 惡郵差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS愛情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩獵者病毒 Spfw.exe → 瑞波變種PX
Runouce.exe → 中國黑客病毒 Svchost.exe (線程105) → 藍色代碼
Scanrew.exe → 傳奇終結者 Sysedit32.exe → SCKISS愛情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 傳奇叛逆 Syshelp.exe → 惡郵差病毒
Internet.exe → 傳奇幽靈 Sysprot.exe → Satans Back Door
Internet.exe → 網絡神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 壞透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 傳奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求職信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆達病毒 Taskbar → 密碼病毒 Frethem
Lockdown2000.exe → 將死者病毒 Taskmon.exe → 諾維格蠕蟲病毒
Taskmon32 → 傳奇黑眼睛 Tds2-98.exe → 將死者病毒
Tds2-Nt.exe → 將死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 將死者病毒 Vsstart.exe → 將死者病毒
Vw32.exe → 將死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 惡郵差病毒 Wink????.exe → 求職信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨無霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 惡郵差病毒
Winrpcsrv.exe → 惡郵差病毒 Winserv.exe → Softwarst
Wubsys.exe → 傳奇獵手 Winupdate.exe → Sckiss愛情森林
Winver.exe → Sckiss愛情森林 Winvnc.exe → 惡郵差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求職信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆達病毒
Zcn32.exe → Ambush Zonealarm.exe → 將死者病毒
注意:進程名為nvsvc32.exe,Drwtsn32.exe和Rundl32.exe是系統正常的進程外,其余的凡是帶
32數字你可要注意一下.這很可能就是病毒進程;Expiorer.exe → Acid Battery 你看它只和資源
管理器的EXPLORER一字之差,小心了;凡是1.EXE 2.exe 0.exe 之類一列不是好東西!當然我們
也要小心了例如魔波會利用SVCHOST進程(它是全大寫)可怕的··
5。如何處理可疑進程
(1).試驗法
將可疑進程結束后,通過“開始→搜索→文件或文件夾”,然后輸入可穎進程名作為關鍵字對硬盤進行
搜索,找到對應的程序后,記下它的路徑,將它移到U盤或軟盤上,然后對電腦上的軟件都運行一遍,
如果都能正常運行,說明這個進程是多余的或者是病毒,就算不是病毒把它刪了也可給系統減肥。如果
有軟件不能正常運行則要將它還原。
(2).搜索求救法
如果你對“不明進程”是否是病毒拿不定主意,可以把該進程的全名為關鍵字在百度或GOOGLE搜索
引擎上搜索,找它的相關資料看它是不是病毒,如果是則趕快刪除。
(3)軟件法
趕快到安全模式下去用殺毒軟件吧,當然必須是升級到最新殺軟!
過進程名及路徑判斷和比較是否有病毒是一種經常做的常規工作,如果懷疑病毒進程只要記下它的進程
名,結束該進程,然后刪除病毒程序即可。但是哪些是正常進程哪些不是正常的進程呢?
1 、查看進程的方法
A。用三鍵大法:按Ctrl+Alt+Del組合鍵,然后單擊“任務管理器”,打開“Windows 任務管理
器”,然后單擊“進程”標簽即可查看。
B。右擊任務條,打開任務管理器,然后看“進程”也可以。我常用的就是這個了。
2。進程的具體路徑
開始→程序→附件→系統工具→系統信息→軟件環境→正在運行的任務。是不是看到了。。
3。比較關鍵的進程
(1)Csrss.exe:這是子系統服務器進程,負責控制Windows創建或刪除線程以及16位的虛擬DOS環境。這個是不能關的。。
(2)Lsass.exe:管理IP安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。這個也不是能關的。。。
(3)Explorer.exe:資源管理器。這個知道是什么吧?你關一下試試看,呵呵。關了以后別怕啊。可以再在任務管理器中的新任務中再建一個。。。
(4)Smss.exe:這是一個會話管理子系統,負責啟動用戶會話。這個不能關的。。。
(5)Services.exe:系統服務的管理工具,包含很多系統服務。當然也不能關的。。
(6)system: Windows系統進程,當然不關。
(7)System Idle Process:這個進程是作為單線程運行在每個處理器上,并在系統不處理其它線程的時候分派處理器的時間。暈,這個大家一看就知道。
(8)Spoolsv.exe:管理緩沖區中的打印和傳真作業。不能關的。
(9)Svchost.exe:系統啟動的時候,Svchost.exe將檢查注冊表中的位置來創建需要加載的服務列表,如果多個Svchost.exe同時運行,則表明當前有多組服務處于活動狀態;多個DLL文件正在調用它。
WINXP一般是五個進程,記住!
(10)winlogon.exe: 管理用戶登錄,你關關試試看,重新啟動了不是??
(11)internat.exe這是什么東西?呵呵。輸入法了。
(12)taskmagr.exe這又是什么?就是任務管理器!
(13) systray.exe是哪兒冒出來的。什么東西。呵呵。右下角的小喇叭。
4。常見病毒的進程名
avserve.exe 震蕩波病毒的進程
java.exe、services.exe MyDoom 病毒的進程
svch0st.exe、expl0er、user32.exe 網銀大盜的進程
dllhost.exe 沖擊波病毒的進程
Avpcc.exe → 將死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 將死者病毒 Msgsvc.exe → 火鳳凰
Avserve.exe → 震蕩波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 惡鷹蠕蟲病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 將死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 將死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 將死者病毒 Netspy.exe → 網絡精靈
Checkdll.exe → 網絡公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 將死者病毒
Diagcfg.exe → 廣外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 將死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后門變種
Esafe.exe → 將死者病毒 Tftp.exe → 尼姆達病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 將死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 將死者病毒
Frw.exe → 將死者病毒 Vpcc.exe → 將死者病毒
Icload95.exe → 將死者病毒 Vpm.exe → 將死者病毒
Icloadnt.exe → 將死者病毒 Vsecomr.exe → 將死者病毒
Icmon.exe → 將死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 將死者病毒 Service.exe → Trinoo
Iexplore.exe → 惡郵差病毒 Setup.exe → 密碼病毒或Xanadu
Rpcsrv.exe → 惡郵差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS愛情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩獵者病毒 Spfw.exe → 瑞波變種PX
Runouce.exe → 中國黑客病毒 Svchost.exe (線程105) → 藍色代碼
Scanrew.exe → 傳奇終結者 Sysedit32.exe → SCKISS愛情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 傳奇叛逆 Syshelp.exe → 惡郵差病毒
Internet.exe → 傳奇幽靈 Sysprot.exe → Satans Back Door
Internet.exe → 網絡神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 壞透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 傳奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求職信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆達病毒 Taskbar → 密碼病毒 Frethem
Lockdown2000.exe → 將死者病毒 Taskmon.exe → 諾維格蠕蟲病毒
Taskmon32 → 傳奇黑眼睛 Tds2-98.exe → 將死者病毒
Tds2-Nt.exe → 將死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 將死者病毒 Vsstart.exe → 將死者病毒
Vw32.exe → 將死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 惡郵差病毒 Wink????.exe → 求職信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨無霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 惡郵差病毒
Winrpcsrv.exe → 惡郵差病毒 Winserv.exe → Softwarst
Wubsys.exe → 傳奇獵手 Winupdate.exe → Sckiss愛情森林
Winver.exe → Sckiss愛情森林 Winvnc.exe → 惡郵差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求職信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆達病毒
Zcn32.exe → Ambush Zonealarm.exe → 將死者病毒
注意:進程名為nvsvc32.exe,Drwtsn32.exe和Rundl32.exe是系統正常的進程外,其余的凡是帶
32數字你可要注意一下.這很可能就是病毒進程;Expiorer.exe → Acid Battery 你看它只和資源
管理器的EXPLORER一字之差,小心了;凡是1.EXE 2.exe 0.exe 之類一列不是好東西!當然我們
也要小心了例如魔波會利用SVCHOST進程(它是全大寫)可怕的··
5。如何處理可疑進程
(1).試驗法
將可疑進程結束后,通過“開始→搜索→文件或文件夾”,然后輸入可穎進程名作為關鍵字對硬盤進行
搜索,找到對應的程序后,記下它的路徑,將它移到U盤或軟盤上,然后對電腦上的軟件都運行一遍,
如果都能正常運行,說明這個進程是多余的或者是病毒,就算不是病毒把它刪了也可給系統減肥。如果
有軟件不能正常運行則要將它還原。
(2).搜索求救法
如果你對“不明進程”是否是病毒拿不定主意,可以把該進程的全名為關鍵字在百度或GOOGLE搜索
引擎上搜索,找它的相關資料看它是不是病毒,如果是則趕快刪除。
(3)軟件法
趕快到安全模式下去用殺毒軟件吧,當然必須是升級到最新殺軟!
ARP欺騙原理分析與安全防范
[ 2007-03-25 02:40:41 | 作者: sun ]
本來不打算寫這接下的一系列討論欺騙的文章(計劃中有arp欺騙、icmp欺騙、路由rip欺騙、ip地址欺騙等),這主要是自己有些擔心有些人會給網管增加日常工作量,但是想想還是寫的好,因為通常在你猛打完補丁后,你可能覺得你的系統安全了,但是,實際上,打補丁只是安全措施里的一個很基本的步驟而已,通常一個hacker要進入你的系統,他所要做的并不是你打補丁就可以避免的,象這些欺騙都要求你必須掌握相當的網絡底層知識和合理安排物理布線才可阻止得了的。特別是多種手法混用的時候,特別要說明的是:有些人往往以為會使用某些工具入侵就覺得自己是個hacker,呵呵。。其實,我認為這只是入門而已(有些是連門都找不到),通過本文,我想讓人們知道,一個hacker在真正入侵系統時,他并不是依靠別人寫的什么軟件的。更多是靠對系統和網絡的深入了解來達到這個目的。
我想我會盡可能將我知道的寫出來,同時也將盡可能把防止欺騙的解決辦法寫出來,當然,這只是我知道的而已,如果有失誤的地方,歡迎指正。呵呵。。
首先還是得說一下什么是ARP,如果你在UNIXShell下輸入arp-a(9x下也是),你的輸出看起來應該是這樣的:
程序代碼
Interface:xxx.xxx.xxx.xxx
InternetAddressPhysicalAddressType
xxx.xxx.xxx.xxx00-00-93-64-48-d2dynamic
xxx.xxx.xxx.xxx00-00-b4-52-43-10dynamic
...................
這里第一列顯示的是ip地址,第二列顯示的是和ip地址對應的網絡接口卡的硬件地址(MAC),第三列是該ip和mac的對應關系類型。
可見,arp是一種將ip轉化成以ip對應的網卡的物理地址的一種協議,或者說ARP協議是一種將ip地址轉化成MAC地址的一種協議,它靠維持在內存中保存的一張表來使ip得以在網絡上被目標機器應答。
為什么要將ip轉化成mac呢?呵呵。。解釋下去太多了,簡單的說,這是因為在tcp網絡環境下,一個ip包走到哪里,要怎么走是靠路由表定義,但是,當ip 包到達該網絡后,哪臺機器響應這個ip包卻是靠該ip包中所包含的mac地址來識別,也就是說,只有mac地址和該ip包中的mac地址相同的機器才會應答這個ip包(好象很多余,呵呵。。),因為在網絡中,每一臺主機都會有發送ip包的時候,所以,在每臺主機的內存中,都有一個arp-->mac的轉換表。通常是動態的轉換表(注意在路由中,該arp表可以被設置成靜態)。也就是說,該對應表會被主機在需要的時候刷新。這 捎諞姨謐油閔系拇涫強?8位的mac地址而決定的。
通常主機在發送一個ip包之前,它要到該轉換表中尋找和ip包對應的mac地址,如果沒有找到,該主機就發送一個ARP廣播包,看起來象這樣子:
“我是主機xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip為xxx.xxx.xxx.xx1的主機請報上你的mac來”
ip為xxx.xxx.xxx.xx1的主機響應這個廣播,應答ARP廣播為:
“我是xxx.xxx.xxx.xx1,我的mac為xxxxxxxxxx2”
于是,主機刷新自己的ARP緩存。然后發出該ip包。
了解這些常識后,現在就可以談在網絡中如何實現ARP欺騙了,可以看看這樣
一個例子:
一個入侵者想非法進入某臺主機,他知道這臺主機的火墻只對192.0.0.3(假設)這個ip開放23口(telnet),而他必須要使用telnet來進入這臺主機,所以他要這么做:
1、他先研究192.0.0.3這臺主機,發現這臺95的機器使用一個oob就可以讓他死掉。
2、于是,他送一個洪水包給192.0.0.3的139口,于是,該機器應包而死。
3、這時,主機發到192.0.0.3的ip包將無法被機器應答,系統開始更新自己的arp對應表。將192.0.0.3的項目搽去。
4、這段時間里,入侵者把自己的ip改成192.0.0.3
5、他發一個ping(icmp0)給主機,要求主機更新主機的arp轉換表。
6、主機找到該ip,然后在arp表中加如新的http://www.520hack.com對應關系。
7、火墻失效了,入侵的ip變成合法的mac地址,可以telnet了。
(好象很羅嗦,呵呵。。不過這是很典型的例子)
現在,假如該主機不只提供telnet,它還提供r命令(rsh,rcopy,rlogin等)那么,所有的安全約定將無效,入侵者可以放心的使用這臺主機的資源而不用擔心被記錄什么。
有人也許會說,這其實就是冒用ip嘛。。呵呵。。不錯,是冒用了ip,但決不是ip欺騙,ip欺騙的原理比這要復雜的多,實現的機理也完全不一樣。
上面就是一個ARP的欺騙過程,這是在同網段發生的情況,但是,提醒注意的是,利用交換集線器或網橋是無法阻止ARP欺騙的,只有路由分段是有效的阻止手段。(也就是ip包必須經過路由轉發。在有路由轉發的情況下,ARP欺騙如配合ICMP欺騙將對網絡造成極大的危害,從某種角度將,入侵者可以跨過路由監聽網絡中任何兩點的通訊,如果有裝火墻,請注意火墻有沒有提示過類似:某某IP是局域IP但從某某路由來等這樣的信息。詳細實施以后會討論到。)
在有路由轉發的情況下,發送到達路由的ip的主機其arp對應表中,ip的對應值是路由的mac。
比如:
我pingwww.nease.net后,那么在我主機中,http://www.520hack.com的IP對應項不是nease的mac而是我路由的mac。其ip也是我路由的IP.(有些網絡軟件通過交換路由ARP可以得到遠程IP的MAC)
有興趣做深入一步的朋友可以考慮這樣一種情況:
假設這個入侵者很不幸的從化學食堂出來后摔了一跤,突然想到:我要經過一個路由才可以走到那臺有火墻的主機!!!^^^^
于是這個不幸的入侵者開始坐下來痛苦的思考:
1、我的機器可以進入那個網段,但是,不是用192.0.0.3的IP
2、如果我用那個IP,就算那臺正版192.0.0.3的機器死了,那個網絡里的機器也不會把ip包丟到路由傳給我。
3、所以,我要騙主機把ip包丟到路由。
通過多種欺騙手法可以達到這個目的。所以他開始這樣做:
1、為了使自己發出的非法ip包能在網絡上活久一點,他開始修改ttl為下面的過程中可能帶來的問題做準備。他把ttl改成255.(ttl定義一個ip包如果在網絡上到不了主機后,在網絡上能存活的時間,改長一點在本例中有利于做充足的廣播)
2、他從貼身口袋中掏出一張軟盤,這張有體溫的軟盤中有他以前用sniffer時保存的各種ip包類型。3、他用一個合法的ip進入網絡,然后和上面一樣,發個洪水包讓正版的 192.0.0.3死掉,然后他用192.0.0.3進入網絡。
4、在該網絡的主機找不到原來的192.0.0.3的mac后,將更新自己的ARP對應表。于是他趕緊修改軟盤中的有關ARP廣播包的數據,然后對網絡廣播說“能響應 ip為192.0.0.3的mac是我”。
5、好了,現在每臺主機都知道了,一個新的MAC地址對應ip192.0.0.3,一個ARP欺騙完成了,但是,每臺主機都只會在局域網中找這個地址而根本就不會把發送給192.0.0.3的ip包丟給路由。于是他還得構造一個ICMP的重定向廣播。
6、他開始再修改軟盤中的有關ICMP廣播包的數據,然后發送這個包,告訴網絡中的主機:“到192.0.0.3的路由最短路徑不是局域網,而是路由,請主機重定向你們的路由路徑,把所有到192.0.0.3的ip包丟給路由哦。”
7、主機接受這個合理的ICMP重定向,于是修改自己的路由路徑,把對192.0.0.3的ip通訊都丟給路由器。
8、不幸的入侵者終于可以在路由外收到來自路由內的主機的ip包了,他可以開始telnet到主機的23口,用ip192.0.0.3.9、這個入侵者一把沖出芙蓉一(229),對著樓下來往的女生喊到:“一二一。。
呵呵。。他完成了。
注意,這只是一個典型的例子,在實際操作中要考慮的問題還不只這些。
現在想想,如果他要用的是sniffer會怎樣?
假如這個入侵者實在是倒霉(因為喊“一二一。。”而被女生痛毆),當他從地上爬起來后突然發現:其實我要經過好幾個路由才可以到那臺主機啊。。。。。這時他要怎么做?
呵呵。。。有興趣做更深入了解的朋友可以自己構思。通常入侵者是這樣做的:
1、苦思冥想六天六夜。。。。。
N、一把沖出芙蓉一(229),狂叫一聲,一頭栽向水泥馬路。可見,利用ARP欺騙,一個入侵者可以得到:
1、利用基于ip的安全性不足,冒用一個合法ip來進入主機。
2、逃過基于ip的許多程序的安全檢查,如NSF,R系列命令等。
甚至可以得到:
栽賬嫁禍給某人,讓他跳到黃河洗不清,永世不得超生。
那么,如何防止ARP欺騙呢?從我收集整理的資料中,我找出這幾條:(歡迎補充)
1、不要把你的網絡安全信任關系建立在ip基礎上或mac基礎上,(rarp同樣存在欺騙的問題),理想的關系應該建立在ip+mac基礎上。
2、設置靜態的mac-->ip對應表,不要讓主機刷新你設定好的轉換表。
3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。
4、使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被黑。
5、使用"proxy"代理ip的傳輸。
6、使用硬件屏蔽主機。設置好你的路由,確保ip地址能到達合法的路徑。(靜態配置路由ARP條目),注意,使用交換集線器和網橋無法阻止ARP欺騙。
7、管理員定期用響應的ip包中獲得一個rarp請求,然后檢查ARP響應的真實性。
8、管理員定期輪詢,檢查主機上的ARP緩存。
9、使用火墻連續監控網絡。注意有使用SNMP的情況下,ARP的欺騙有可能導致陷阱包丟失。
以下是我收集的資料,供做進一步了解ARP協議和掌握下次會說到的snifferonarpspoofing
ARP的緩存記錄格式:
每一行為:
IFIndex:PhysicalAddress:IPAddress:Type
其中:IFIndex為:
1乙太網
2實驗乙太網
3X.25
4ProteonProNET(TokenRing)
5混雜方式
6IEEE802.X
7ARC網
ARP廣播申請和應答結構
硬件類型:協議類型:協議地址長:硬件地址長:操作碼:發送機硬件地址:發送機IP地址:接受機硬件地址:接受機IP地址。
其中:協議類型為:512XEROXPUP
程序代碼
513PUP地址轉換
1536XEROXNSIDP
2048Internet協議(IP)
2049X.752050NBS
2051ECMA
2053X.25第3層
2054ARP
2055XNS
4096伯克利追蹤者
21000BBSSimnet
24577DECMOP轉儲/裝載
24578DECMOP遠程控制臺
24579DEC網IV段
24580DECLAT
24582DEC
32773HP探示器
32821RARP
32823AppleTalk
32824DEC局域網橋
如果你用過NetXRay,那么這些可以幫助你了解在細節上的ARP欺騙如何配合ICMP欺騙而讓一個某種類型的廣播包流入一個網絡。
我想我會盡可能將我知道的寫出來,同時也將盡可能把防止欺騙的解決辦法寫出來,當然,這只是我知道的而已,如果有失誤的地方,歡迎指正。呵呵。。
首先還是得說一下什么是ARP,如果你在UNIXShell下輸入arp-a(9x下也是),你的輸出看起來應該是這樣的:
程序代碼
Interface:xxx.xxx.xxx.xxx
InternetAddressPhysicalAddressType
xxx.xxx.xxx.xxx00-00-93-64-48-d2dynamic
xxx.xxx.xxx.xxx00-00-b4-52-43-10dynamic
...................
這里第一列顯示的是ip地址,第二列顯示的是和ip地址對應的網絡接口卡的硬件地址(MAC),第三列是該ip和mac的對應關系類型。
可見,arp是一種將ip轉化成以ip對應的網卡的物理地址的一種協議,或者說ARP協議是一種將ip地址轉化成MAC地址的一種協議,它靠維持在內存中保存的一張表來使ip得以在網絡上被目標機器應答。
為什么要將ip轉化成mac呢?呵呵。。解釋下去太多了,簡單的說,這是因為在tcp網絡環境下,一個ip包走到哪里,要怎么走是靠路由表定義,但是,當ip 包到達該網絡后,哪臺機器響應這個ip包卻是靠該ip包中所包含的mac地址來識別,也就是說,只有mac地址和該ip包中的mac地址相同的機器才會應答這個ip包(好象很多余,呵呵。。),因為在網絡中,每一臺主機都會有發送ip包的時候,所以,在每臺主機的內存中,都有一個arp-->mac的轉換表。通常是動態的轉換表(注意在路由中,該arp表可以被設置成靜態)。也就是說,該對應表會被主機在需要的時候刷新。這 捎諞姨謐油閔系拇涫強?8位的mac地址而決定的。
通常主機在發送一個ip包之前,它要到該轉換表中尋找和ip包對應的mac地址,如果沒有找到,該主機就發送一個ARP廣播包,看起來象這樣子:
“我是主機xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip為xxx.xxx.xxx.xx1的主機請報上你的mac來”
ip為xxx.xxx.xxx.xx1的主機響應這個廣播,應答ARP廣播為:
“我是xxx.xxx.xxx.xx1,我的mac為xxxxxxxxxx2”
于是,主機刷新自己的ARP緩存。然后發出該ip包。
了解這些常識后,現在就可以談在網絡中如何實現ARP欺騙了,可以看看這樣
一個例子:
一個入侵者想非法進入某臺主機,他知道這臺主機的火墻只對192.0.0.3(假設)這個ip開放23口(telnet),而他必須要使用telnet來進入這臺主機,所以他要這么做:
1、他先研究192.0.0.3這臺主機,發現這臺95的機器使用一個oob就可以讓他死掉。
2、于是,他送一個洪水包給192.0.0.3的139口,于是,該機器應包而死。
3、這時,主機發到192.0.0.3的ip包將無法被機器應答,系統開始更新自己的arp對應表。將192.0.0.3的項目搽去。
4、這段時間里,入侵者把自己的ip改成192.0.0.3
5、他發一個ping(icmp0)給主機,要求主機更新主機的arp轉換表。
6、主機找到該ip,然后在arp表中加如新的http://www.520hack.com對應關系。
7、火墻失效了,入侵的ip變成合法的mac地址,可以telnet了。
(好象很羅嗦,呵呵。。不過這是很典型的例子)
現在,假如該主機不只提供telnet,它還提供r命令(rsh,rcopy,rlogin等)那么,所有的安全約定將無效,入侵者可以放心的使用這臺主機的資源而不用擔心被記錄什么。
有人也許會說,這其實就是冒用ip嘛。。呵呵。。不錯,是冒用了ip,但決不是ip欺騙,ip欺騙的原理比這要復雜的多,實現的機理也完全不一樣。
上面就是一個ARP的欺騙過程,這是在同網段發生的情況,但是,提醒注意的是,利用交換集線器或網橋是無法阻止ARP欺騙的,只有路由分段是有效的阻止手段。(也就是ip包必須經過路由轉發。在有路由轉發的情況下,ARP欺騙如配合ICMP欺騙將對網絡造成極大的危害,從某種角度將,入侵者可以跨過路由監聽網絡中任何兩點的通訊,如果有裝火墻,請注意火墻有沒有提示過類似:某某IP是局域IP但從某某路由來等這樣的信息。詳細實施以后會討論到。)
在有路由轉發的情況下,發送到達路由的ip的主機其arp對應表中,ip的對應值是路由的mac。
比如:
我pingwww.nease.net后,那么在我主機中,http://www.520hack.com的IP對應項不是nease的mac而是我路由的mac。其ip也是我路由的IP.(有些網絡軟件通過交換路由ARP可以得到遠程IP的MAC)
有興趣做深入一步的朋友可以考慮這樣一種情況:
假設這個入侵者很不幸的從化學食堂出來后摔了一跤,突然想到:我要經過一個路由才可以走到那臺有火墻的主機!!!^^^^
于是這個不幸的入侵者開始坐下來痛苦的思考:
1、我的機器可以進入那個網段,但是,不是用192.0.0.3的IP
2、如果我用那個IP,就算那臺正版192.0.0.3的機器死了,那個網絡里的機器也不會把ip包丟到路由傳給我。
3、所以,我要騙主機把ip包丟到路由。
通過多種欺騙手法可以達到這個目的。所以他開始這樣做:
1、為了使自己發出的非法ip包能在網絡上活久一點,他開始修改ttl為下面的過程中可能帶來的問題做準備。他把ttl改成255.(ttl定義一個ip包如果在網絡上到不了主機后,在網絡上能存活的時間,改長一點在本例中有利于做充足的廣播)
2、他從貼身口袋中掏出一張軟盤,這張有體溫的軟盤中有他以前用sniffer時保存的各種ip包類型。3、他用一個合法的ip進入網絡,然后和上面一樣,發個洪水包讓正版的 192.0.0.3死掉,然后他用192.0.0.3進入網絡。
4、在該網絡的主機找不到原來的192.0.0.3的mac后,將更新自己的ARP對應表。于是他趕緊修改軟盤中的有關ARP廣播包的數據,然后對網絡廣播說“能響應 ip為192.0.0.3的mac是我”。
5、好了,現在每臺主機都知道了,一個新的MAC地址對應ip192.0.0.3,一個ARP欺騙完成了,但是,每臺主機都只會在局域網中找這個地址而根本就不會把發送給192.0.0.3的ip包丟給路由。于是他還得構造一個ICMP的重定向廣播。
6、他開始再修改軟盤中的有關ICMP廣播包的數據,然后發送這個包,告訴網絡中的主機:“到192.0.0.3的路由最短路徑不是局域網,而是路由,請主機重定向你們的路由路徑,把所有到192.0.0.3的ip包丟給路由哦。”
7、主機接受這個合理的ICMP重定向,于是修改自己的路由路徑,把對192.0.0.3的ip通訊都丟給路由器。
8、不幸的入侵者終于可以在路由外收到來自路由內的主機的ip包了,他可以開始telnet到主機的23口,用ip192.0.0.3.9、這個入侵者一把沖出芙蓉一(229),對著樓下來往的女生喊到:“一二一。。
呵呵。。他完成了。
注意,這只是一個典型的例子,在實際操作中要考慮的問題還不只這些。
現在想想,如果他要用的是sniffer會怎樣?
假如這個入侵者實在是倒霉(因為喊“一二一。。”而被女生痛毆),當他從地上爬起來后突然發現:其實我要經過好幾個路由才可以到那臺主機啊。。。。。這時他要怎么做?
呵呵。。。有興趣做更深入了解的朋友可以自己構思。通常入侵者是這樣做的:
1、苦思冥想六天六夜。。。。。
N、一把沖出芙蓉一(229),狂叫一聲,一頭栽向水泥馬路。可見,利用ARP欺騙,一個入侵者可以得到:
1、利用基于ip的安全性不足,冒用一個合法ip來進入主機。
2、逃過基于ip的許多程序的安全檢查,如NSF,R系列命令等。
甚至可以得到:
栽賬嫁禍給某人,讓他跳到黃河洗不清,永世不得超生。
那么,如何防止ARP欺騙呢?從我收集整理的資料中,我找出這幾條:(歡迎補充)
1、不要把你的網絡安全信任關系建立在ip基礎上或mac基礎上,(rarp同樣存在欺騙的問題),理想的關系應該建立在ip+mac基礎上。
2、設置靜態的mac-->ip對應表,不要讓主機刷新你設定好的轉換表。
3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。
4、使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被黑。
5、使用"proxy"代理ip的傳輸。
6、使用硬件屏蔽主機。設置好你的路由,確保ip地址能到達合法的路徑。(靜態配置路由ARP條目),注意,使用交換集線器和網橋無法阻止ARP欺騙。
7、管理員定期用響應的ip包中獲得一個rarp請求,然后檢查ARP響應的真實性。
8、管理員定期輪詢,檢查主機上的ARP緩存。
9、使用火墻連續監控網絡。注意有使用SNMP的情況下,ARP的欺騙有可能導致陷阱包丟失。
以下是我收集的資料,供做進一步了解ARP協議和掌握下次會說到的snifferonarpspoofing
ARP的緩存記錄格式:
每一行為:
IFIndex:PhysicalAddress:IPAddress:Type
其中:IFIndex為:
1乙太網
2實驗乙太網
3X.25
4ProteonProNET(TokenRing)
5混雜方式
6IEEE802.X
7ARC網
ARP廣播申請和應答結構
硬件類型:協議類型:協議地址長:硬件地址長:操作碼:發送機硬件地址:發送機IP地址:接受機硬件地址:接受機IP地址。
其中:協議類型為:512XEROXPUP
程序代碼
513PUP地址轉換
1536XEROXNSIDP
2048Internet協議(IP)
2049X.752050NBS
2051ECMA
2053X.25第3層
2054ARP
2055XNS
4096伯克利追蹤者
21000BBSSimnet
24577DECMOP轉儲/裝載
24578DECMOP遠程控制臺
24579DEC網IV段
24580DECLAT
24582DEC
32773HP探示器
32821RARP
32823AppleTalk
32824DEC局域網橋
如果你用過NetXRay,那么這些可以幫助你了解在細節上的ARP欺騙如何配合ICMP欺騙而讓一個某種類型的廣播包流入一個網絡。
專家建議網民無需恐慌灰鴿子病毒
[ 2007-03-25 02:40:26 | 作者: sun ]
熊貓燒香余熱未盡,一場病毒與非病毒之爭,上周起在金山與灰鴿子工作室之間展開。
金山總裁雷軍日前在接受媒體采訪時表示:“灰鴿子已不再是一個單純的病毒,其背后是一條制造病毒、販賣病毒、病毒培訓為一體的黑色產業鏈,從某種意義上講,灰鴿子的危害超出熊貓燒香十倍。”
記者發現病毒竟有自己網站
昨日,被稱為“灰鴿子病毒產業鏈之首”的灰鴿子工作室在官網上發表聲明稱:鑒于近日某殺毒軟件公司進行公關宣傳時,使用了灰鴿子字樣,使廣大網民誤以為本工作室的軟件產品具有病毒特征。為了避免公眾受到此類商業公關行為的誤導,澄清事實。灰鴿子工作室于2003年年初成立,定位于遠程控制、遠程管理、遠程監控軟件開發,主要產品為灰鴿子遠程控制系列軟件產品。灰鴿子工作室的軟件產品,均是商業化的遠程控制軟件,提供給網吧、企業用戶及個人用戶進行電腦軟件管理使用;上述軟件均已經取得國家頒布的計算機軟件著作權登記證書,受著作權法保護。當前受到媒體關注的灰鴿子病毒,并非灰鴿子工作室的產品。
記者在其官網除看到“灰鴿子專殺工具”外,還在其左側看到一欄“免責聲明”:本站無法鑒別判斷用戶使用軟件的用途,敬請用戶合法使用本站所提供的軟件。用戶一旦因非法使用本站軟件而違反國家法律法規,其造成的一切不良后果由行為人獨立承擔,本站概不負責也不承擔任何法律責任。
同行直指“灰鴿子”詭辯
針對灰鴿子工作室發布聲明,聲稱“灰鴿子是一款商業化的遠程控制軟件”等言論,金山卻認為,該聲明完全是混淆視聽、愚弄公眾的詭辯之詞。一位業內人士卻表示,隨著互聯網的興起及逐漸普及,病毒傳播已出現一個新的轉折點,通過網絡傳播的第二代病毒開始出現。其本質與基于文件的第一代病毒有很大差異,它的傳播基于網絡、郵件和瀏覽器,蠕蟲(worm)和木馬(Trojan horse)無疑是其中的典型代表。
不過目前業內多將“木馬”稱為惡意程序,它們是一些表面上看似有用的電腦軟件,實際上卻是危害計算機安全并導致嚴重破壞的程序。它可以成為別人控制這臺計算機的“后門”,從而竊取用戶的信息。在業界,一個被控制的電腦叫“肉雞”。在國內每“只”可賣到1元左右,這樣的“肉雞”可使用幾天;如果可以使用半個月以上,則可以賣到幾十元。對于病毒或惡意程序的制造者和“經紀人”而言,如果控制了幾十萬甚至上百萬臺這樣的“肉雞”,盈利空間是難以想象的。
權威聲音立即向公安機關報案
研究互聯網多年的于國富律師,昨日接受記者采訪時說道:“首先,在討論灰鴿子問題時,先要弄清楚什么是灰鴿子。據我所知,灰鴿子是很老的一段開源程序。有很多程序員在從事這段開源程序的開發和使用,有些人從它基礎上發展出了商業性的遠程控制軟件,另外一些人則從自身角度對其進行了某種程度的濫用。至于媒體報道的灰鴿子工作室,其商業性的遠程控制軟件,由于不具備自我復制、自我傳播的特性,顯然并不符合病毒的概念。”這類軟件的生產企業有很多,就連微軟生產的windows系統也有遠程控制類的模塊監控,但如果這個是違法的那微軟肯定不會做。
于國富認為:“軟件僅是一種工具,有人會用它做合法的事情,例如遠程辦公、遠程維護等。但也會有人用它做非法的事情,如果有網民不慎被植入了灰鴿子遠程監控程序,應該立即向公安機關報案,追究行為人的法律責任。實際上不管是中了木馬也好、遠程服務終端也好,有無對自己造成侵害,應由公安機關查處、判定。”
專家建議網民無需恐慌
瑞星和江民等反病毒廠商均對此提出異議,稱該病毒存在已久,目前并未大規模爆發。上周四,國家計算機病毒應急處理中心相關工作人員也表示,目前并未監測到“灰鴿子病毒”有大規模爆發的跡象。但也表示,他們注意到了網上的相關報道,也在密切關注此事。
昨日,一位來自殺毒軟件廠商的不愿透露姓名的反病毒工程師表示,近半年來并沒有監測到灰鴿子病毒的大面積爆發。其中一位告訴記者,從長期的檢測數據來看,這個遠程控制(木馬)軟件的感染量較大。目前80%以上遠程監控軟件因具備開后門的類似“木馬”的功能,因此除了被用來進行公司跨地區的遠程監控外,還有一些以牟利為目的的黑客用來盜取虛擬賬號及物品。“灰鴿子”只是其中的一種,只要平時注意計算機日常防護,及時升級殺毒軟件的病毒庫,就能有效地將之拒之門外。信報記者徐婭萍
業內說法灰鴿子產生6萬多變種
金山毒霸反病毒工程師李鐵軍接受記者采訪時說,大量網絡用戶因為灰鴿子提供的“遠程攝像頭控制”、“鍵盤記錄”的功能而丟失網游、網銀、QQ賬號及密碼,暴露大量個人隱私,造成了巨大損失。5年來,灰鴿子產生6萬多個變種。
據其介紹,一旦用戶電腦不幸感染,黑客或不法分子便可以通過控制程序隨時閱讀、復制、刪除用戶的文件,甚至是開關機、格式化磁盤等操作,可以說用戶的一舉一動都在黑客的監控之下,灰鴿子的使用者甚至可以連續捕獲遠程電腦屏幕,還能監控被控電腦上的攝像頭,自動開機(不開顯示器)并利用攝像頭錄像,拍下網友的隱私。
信報記者賀文華
【相關鏈接】如何手工檢測灰鴿子
一位業內人士在接受記者采訪時指出,既然該安全風險由來已久,也盡管危險級別不高,但如果有時間,建議沒有安裝或及時升級殺毒軟件的用戶通過以下3步進行自檢:
系統進入Windows啟動畫面前,按下F8鍵,選擇“Safe Mode”或“安全模式”即可。
第一步:打開“我的電腦”→選擇菜單“工具”→“文件夾選項”→點擊“查看”→取消“隱藏受保護的操作系統文件”前的對勾→在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”→點擊“確定”。
第二步:打開Windows的“搜索文件”→文件名稱輸入“_hook.dll”→搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。
第三步:經過搜索,在Windows目錄(不包含子目錄)下查找有沒有文件名以“_hook.dll”結尾的文件。
要清除灰鴿子只需要我們常用的殺毒軟件即可。如果遇到的變種不易被殺,清除2000/XP系統,步驟如下:
1.打開注冊表→點擊“開始”→“運行”并輸入“Regedit.exe”,點擊確定→打開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。
2.點擊菜單“編輯”→“查找”→“查找目標”輸入查出的被感染的文件名,點擊確定,就可以找到灰鴿子的服務項。
3.運行注冊表,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,將該項刪除即可。
金山總裁雷軍日前在接受媒體采訪時表示:“灰鴿子已不再是一個單純的病毒,其背后是一條制造病毒、販賣病毒、病毒培訓為一體的黑色產業鏈,從某種意義上講,灰鴿子的危害超出熊貓燒香十倍。”
記者發現病毒竟有自己網站
昨日,被稱為“灰鴿子病毒產業鏈之首”的灰鴿子工作室在官網上發表聲明稱:鑒于近日某殺毒軟件公司進行公關宣傳時,使用了灰鴿子字樣,使廣大網民誤以為本工作室的軟件產品具有病毒特征。為了避免公眾受到此類商業公關行為的誤導,澄清事實。灰鴿子工作室于2003年年初成立,定位于遠程控制、遠程管理、遠程監控軟件開發,主要產品為灰鴿子遠程控制系列軟件產品。灰鴿子工作室的軟件產品,均是商業化的遠程控制軟件,提供給網吧、企業用戶及個人用戶進行電腦軟件管理使用;上述軟件均已經取得國家頒布的計算機軟件著作權登記證書,受著作權法保護。當前受到媒體關注的灰鴿子病毒,并非灰鴿子工作室的產品。
記者在其官網除看到“灰鴿子專殺工具”外,還在其左側看到一欄“免責聲明”:本站無法鑒別判斷用戶使用軟件的用途,敬請用戶合法使用本站所提供的軟件。用戶一旦因非法使用本站軟件而違反國家法律法規,其造成的一切不良后果由行為人獨立承擔,本站概不負責也不承擔任何法律責任。
同行直指“灰鴿子”詭辯
針對灰鴿子工作室發布聲明,聲稱“灰鴿子是一款商業化的遠程控制軟件”等言論,金山卻認為,該聲明完全是混淆視聽、愚弄公眾的詭辯之詞。一位業內人士卻表示,隨著互聯網的興起及逐漸普及,病毒傳播已出現一個新的轉折點,通過網絡傳播的第二代病毒開始出現。其本質與基于文件的第一代病毒有很大差異,它的傳播基于網絡、郵件和瀏覽器,蠕蟲(worm)和木馬(Trojan horse)無疑是其中的典型代表。
不過目前業內多將“木馬”稱為惡意程序,它們是一些表面上看似有用的電腦軟件,實際上卻是危害計算機安全并導致嚴重破壞的程序。它可以成為別人控制這臺計算機的“后門”,從而竊取用戶的信息。在業界,一個被控制的電腦叫“肉雞”。在國內每“只”可賣到1元左右,這樣的“肉雞”可使用幾天;如果可以使用半個月以上,則可以賣到幾十元。對于病毒或惡意程序的制造者和“經紀人”而言,如果控制了幾十萬甚至上百萬臺這樣的“肉雞”,盈利空間是難以想象的。
權威聲音立即向公安機關報案
研究互聯網多年的于國富律師,昨日接受記者采訪時說道:“首先,在討論灰鴿子問題時,先要弄清楚什么是灰鴿子。據我所知,灰鴿子是很老的一段開源程序。有很多程序員在從事這段開源程序的開發和使用,有些人從它基礎上發展出了商業性的遠程控制軟件,另外一些人則從自身角度對其進行了某種程度的濫用。至于媒體報道的灰鴿子工作室,其商業性的遠程控制軟件,由于不具備自我復制、自我傳播的特性,顯然并不符合病毒的概念。”這類軟件的生產企業有很多,就連微軟生產的windows系統也有遠程控制類的模塊監控,但如果這個是違法的那微軟肯定不會做。
于國富認為:“軟件僅是一種工具,有人會用它做合法的事情,例如遠程辦公、遠程維護等。但也會有人用它做非法的事情,如果有網民不慎被植入了灰鴿子遠程監控程序,應該立即向公安機關報案,追究行為人的法律責任。實際上不管是中了木馬也好、遠程服務終端也好,有無對自己造成侵害,應由公安機關查處、判定。”
專家建議網民無需恐慌
瑞星和江民等反病毒廠商均對此提出異議,稱該病毒存在已久,目前并未大規模爆發。上周四,國家計算機病毒應急處理中心相關工作人員也表示,目前并未監測到“灰鴿子病毒”有大規模爆發的跡象。但也表示,他們注意到了網上的相關報道,也在密切關注此事。
昨日,一位來自殺毒軟件廠商的不愿透露姓名的反病毒工程師表示,近半年來并沒有監測到灰鴿子病毒的大面積爆發。其中一位告訴記者,從長期的檢測數據來看,這個遠程控制(木馬)軟件的感染量較大。目前80%以上遠程監控軟件因具備開后門的類似“木馬”的功能,因此除了被用來進行公司跨地區的遠程監控外,還有一些以牟利為目的的黑客用來盜取虛擬賬號及物品。“灰鴿子”只是其中的一種,只要平時注意計算機日常防護,及時升級殺毒軟件的病毒庫,就能有效地將之拒之門外。信報記者徐婭萍
業內說法灰鴿子產生6萬多變種
金山毒霸反病毒工程師李鐵軍接受記者采訪時說,大量網絡用戶因為灰鴿子提供的“遠程攝像頭控制”、“鍵盤記錄”的功能而丟失網游、網銀、QQ賬號及密碼,暴露大量個人隱私,造成了巨大損失。5年來,灰鴿子產生6萬多個變種。
據其介紹,一旦用戶電腦不幸感染,黑客或不法分子便可以通過控制程序隨時閱讀、復制、刪除用戶的文件,甚至是開關機、格式化磁盤等操作,可以說用戶的一舉一動都在黑客的監控之下,灰鴿子的使用者甚至可以連續捕獲遠程電腦屏幕,還能監控被控電腦上的攝像頭,自動開機(不開顯示器)并利用攝像頭錄像,拍下網友的隱私。
信報記者賀文華
【相關鏈接】如何手工檢測灰鴿子
一位業內人士在接受記者采訪時指出,既然該安全風險由來已久,也盡管危險級別不高,但如果有時間,建議沒有安裝或及時升級殺毒軟件的用戶通過以下3步進行自檢:
系統進入Windows啟動畫面前,按下F8鍵,選擇“Safe Mode”或“安全模式”即可。
第一步:打開“我的電腦”→選擇菜單“工具”→“文件夾選項”→點擊“查看”→取消“隱藏受保護的操作系統文件”前的對勾→在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”→點擊“確定”。
第二步:打開Windows的“搜索文件”→文件名稱輸入“_hook.dll”→搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。
第三步:經過搜索,在Windows目錄(不包含子目錄)下查找有沒有文件名以“_hook.dll”結尾的文件。
要清除灰鴿子只需要我們常用的殺毒軟件即可。如果遇到的變種不易被殺,清除2000/XP系統,步驟如下:
1.打開注冊表→點擊“開始”→“運行”并輸入“Regedit.exe”,點擊確定→打開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。
2.點擊菜單“編輯”→“查找”→“查找目標”輸入查出的被感染的文件名,點擊確定,就可以找到灰鴿子的服務項。
3.運行注冊表,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,將該項刪除即可。
簡簡單單,讓隱藏的程序“跳”出來
[ 2007-03-25 02:40:10 | 作者: sun ]
執行一個軟件,會雙擊其主程序。如果這個軟件在很深的一個文件夾里,我們就得一層一層得打開該文件夾,找出“隱藏”在深處的程序。為了方便,我們會為這些程序在桌面上建立一個快捷方式,但是因為方便而帶來的麻煩就是滿屏幕的快捷方式。
不知大家是否注意到,在“開始”菜單的“運行”中輸入“CMD”,會打開“命令提示符”,輸入“gpedit.msc”會打開“組策略”,這些程序都存在于較深的目錄中,我們只要在“運行”中輸入程序名就可以直接打開該程序,那是否可以讓別的程序也利用這樣的方法。在“運行”中直接輸入名稱就可以運行呢?
其實要讓程序實現這樣的功能很簡單,只需要改動一下“注冊表”就行了。在“運行”中輸入“regedit.exe”打開注冊表編輯器,來到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths”展開這項我們可以看到很多以程序的名稱命名的項目,在“運行”中直接輸入這些名稱就可以打開相應的程序。我們以最常用的軟件QQ為例,在“App Paths”下點右鍵,“新建→項”,將這個新建的項命名為“QQ.exe”,選中QQ.exe項后,在右邊的窗口中會出現一個默認的鍵值,雙擊這個默認得鍵值,在“數值數據”一欄中輸入QQ.exe的路徑,例如“D:\網絡\QQ2007\QQ.exe”,點確定后即可生效
我們在“運行”中輸入“QQ”,回車后QQ是不是正常運行了呢。其他程序都可以使用這個方法進行設置,讓我們和快捷方式說再見吧。
不知大家是否注意到,在“開始”菜單的“運行”中輸入“CMD”,會打開“命令提示符”,輸入“gpedit.msc”會打開“組策略”,這些程序都存在于較深的目錄中,我們只要在“運行”中輸入程序名就可以直接打開該程序,那是否可以讓別的程序也利用這樣的方法。在“運行”中直接輸入名稱就可以運行呢?
其實要讓程序實現這樣的功能很簡單,只需要改動一下“注冊表”就行了。在“運行”中輸入“regedit.exe”打開注冊表編輯器,來到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths”展開這項我們可以看到很多以程序的名稱命名的項目,在“運行”中直接輸入這些名稱就可以打開相應的程序。我們以最常用的軟件QQ為例,在“App Paths”下點右鍵,“新建→項”,將這個新建的項命名為“QQ.exe”,選中QQ.exe項后,在右邊的窗口中會出現一個默認的鍵值,雙擊這個默認得鍵值,在“數值數據”一欄中輸入QQ.exe的路徑,例如“D:\網絡\QQ2007\QQ.exe”,點確定后即可生效
我們在“運行”中輸入“QQ”,回車后QQ是不是正常運行了呢。其他程序都可以使用這個方法進行設置,讓我們和快捷方式說再見吧。
隱藏在Ghost系統背后可怕的陷阱
[ 2007-03-25 02:39:54 | 作者: sun ]
如今世面上和網上流行各種windowsxp系統萬能ghost安裝光盤和文件,使用起來也確實方便,安裝一個系統只需要恢復下ghost鏡像文件,裝點驅動,斷斷十多分鐘就完成了。但是各種萬能ghost版本系統光盤其中有精品,也有垃圾,更有暗留了后門的陷阱!
一、xp萬能ghost系統分析:
萬能ghost系統制作時,是在安裝成功后刪除windows自帶的多余文件,并且刪除硬件信息,然后進行系統封裝。如果在安裝前,制作者有意將某個系統文件替換成木馬后門,或者在系統中打開某些端口,開啟某些危險服務,留下某些空口令帳戶,那么制作出來的ghost系統就會存在各種安全漏洞。這些ghost系統流傳出去后使用這些系統的用戶可能被作者控制為肉雞。。。
二、ghost版系統常見漏洞一覽:
1:空密碼遠程桌面漏洞,可以用空密碼進行3389遠程登陸,可以遠程進行任務系統操作。用途利用3389漏洞刷q幣,盜取adsl密碼賬號等等。
2:隱藏共享漏洞,任何用戶都可以訪問共享,非默認的ipc$共享,可以發現共享權限為everyone完全控制。用途很多,guest組用戶也可以格式化你的硬盤。
3:administrator用戶密碼漏洞,不多做介紹了。
4:起用危險服務,在服務工具中可以發現很多危險服務都被打開,并且遠程選項卡中允許用戶遠程連接到此計算機被啟動。
5:防火墻作過手腳,在系統防火墻可看到默認未開啟允許通過的項目都被勾選。
6:流氓軟件與后門木馬,私自為用戶安裝很多流氓軟件。更恐怖的是將系統文件換成灰鴿子木馬!(并且現在有克隆系統文件版本信息的軟件,可以把木馬文件偽裝的外表上看上去和系統文件一樣包括標識大小標注等等!)
三、危險ghostxp系統版本檢測
目前已知有問題的版本列表如下:
1:番茄花園系列番茄花園windowsxpprosp2免激活版v2.8和2.9以及新版本
2:雨林木風系列雨林木風ghostwinxp2v2.0裝機版純凈會員版y1.7v1.85以及新版本
3:東海電腦公司版ghostxp_sp2電腦公司特別版v4.0v4.1v5.0v5.1v5.5以及新版本
大家可在系統屬性對話框中查看自己系統版本判斷是否存在問題,網上流傳的其他ghost系統版本也或多或少的存在如上的安全問題!請謹慎使用!
一、xp萬能ghost系統分析:
萬能ghost系統制作時,是在安裝成功后刪除windows自帶的多余文件,并且刪除硬件信息,然后進行系統封裝。如果在安裝前,制作者有意將某個系統文件替換成木馬后門,或者在系統中打開某些端口,開啟某些危險服務,留下某些空口令帳戶,那么制作出來的ghost系統就會存在各種安全漏洞。這些ghost系統流傳出去后使用這些系統的用戶可能被作者控制為肉雞。。。
二、ghost版系統常見漏洞一覽:
1:空密碼遠程桌面漏洞,可以用空密碼進行3389遠程登陸,可以遠程進行任務系統操作。用途利用3389漏洞刷q幣,盜取adsl密碼賬號等等。
2:隱藏共享漏洞,任何用戶都可以訪問共享,非默認的ipc$共享,可以發現共享權限為everyone完全控制。用途很多,guest組用戶也可以格式化你的硬盤。
3:administrator用戶密碼漏洞,不多做介紹了。
4:起用危險服務,在服務工具中可以發現很多危險服務都被打開,并且遠程選項卡中允許用戶遠程連接到此計算機被啟動。
5:防火墻作過手腳,在系統防火墻可看到默認未開啟允許通過的項目都被勾選。
6:流氓軟件與后門木馬,私自為用戶安裝很多流氓軟件。更恐怖的是將系統文件換成灰鴿子木馬!(并且現在有克隆系統文件版本信息的軟件,可以把木馬文件偽裝的外表上看上去和系統文件一樣包括標識大小標注等等!)
三、危險ghostxp系統版本檢測
目前已知有問題的版本列表如下:
1:番茄花園系列番茄花園windowsxpprosp2免激活版v2.8和2.9以及新版本
2:雨林木風系列雨林木風ghostwinxp2v2.0裝機版純凈會員版y1.7v1.85以及新版本
3:東海電腦公司版ghostxp_sp2電腦公司特別版v4.0v4.1v5.0v5.1v5.5以及新版本
大家可在系統屬性對話框中查看自己系統版本判斷是否存在問題,網上流傳的其他ghost系統版本也或多或少的存在如上的安全問題!請謹慎使用!
徹底保護你的網站不受RDS攻擊的威脅
[ 2007-03-25 02:39:41 | 作者: sun ]
最迅速和最徹底的取消對RDS的支持。(但是如果你確實需要RDS,那么你最好往下讀)
----------------------------------------------------------------------
-
----[ 1. 問題
RDS攻擊不是一個簡單的問題,雖然IIS 4.0存在許多各種各樣的安全漏洞,
但是微軟從來沒有為同一個安全漏洞發布過如此多的補丁程序,一共是發布了三個不同的補丁程序,但是RDS仍然存在問題。
所以我們需要的是真正掌握什么是RDS。然后你就會知道如何來自己修補
這個問題。這個問題從根本上說,是由于Jet 3.5允許調用VBA的shell()函數造成的。
該函數允許你執行外殼命令,具體的過程我想還是不詳細介紹了。
現在的問題是,IIS 4.0默認的情況下是安裝有MDAC 1.5的,它包含有RDS,
從而允許通過瀏覽器遠程訪問ODBC組件,具體的實現是通過一個位
于/msadc/msadcs.dll
的特定的dll文件來實現的。現在你應該可以明白,問題其實是由兩部分組成。其實還有個“第三者”,那就是跟隨RDS SDK包安裝附帶的例子程序組件VbBusObj,它可以允許你
饒過那些就是已經安裝了微軟發布的RDS補丁的情況。
下面將分別就上面三種情況做詳細的解決方案描述。
----[ 2. 解決方案
問題是目前有許多種方法來解決,同時這些方法還可以被不同的組合使用。
在這里盡量描述詳細。
-解決方案 #1: 移走cmd.exe (ULG推薦的補丁方法)
http://www.aviary-mag.com/News/Powerful_Exploit/ULG_Fix/ulg_fix.html
我推薦ULG的解決方法,雖然該方法仍然存在問題。因為雖然mdac.pl是使用了
cmd.exe
來實現RDS攻擊的,但是,要知道
CMD.EXE并不是RDS攻擊方法的唯一實現途徑
-解決方案 #2: 升級MDAC 1.5 到 2.0
MDAC 2.0將Jet 3.5升級到Jet 3.52。但是仍然存在VBA shell()攻擊問題(而這恰好是
RDS攻擊的必要條件),并且默認情況下還是支持使用RDS的。事實上,就是你刪除了RDS系統還是會重新安裝的,其中一些應該注意的事情是:
* 默認的Jet引擎變成了3.52 (仍然有安全漏洞)
* 允許自定義處理 (可以解決匿名RDS使用問題)
* 生成 Microsoft.Jet.OLEDB.3.51* 提供
注意這種解決方法,它的默認設置不是非常好。你需要修改注冊表來限制自定義使用RDS處理。注冊表中位置是:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataFactory\HandlerInfo\
Keyname: HandlerRequired
Value: DWORD:1 (safe) or 0 (unsafe)
推薦是將它的數值改成1。這其實也是使用微軟提供的補丁'handsafe.exe/.reg'完成的。
現在,你可以保護你的系統不被遠程RDS攻擊了,但是你仍然存在被ODBC其他方式攻擊的可能性,
包括Excel, Word, 和 Access木馬文件等。所以這個解決方案也有一些不足。
-解決方案 #3: 升級你的MDAC 1.5 到 2.1
MDAC 2.1 將Jet 3.5 升級到Jet 4.0引擎,這個引擎不存在RDS攻擊安全漏洞。
但是同時也印證了一個亙古不變的法則,東西越安全它的兼容性能也就越差,
由于3.5和4.0之間存在太大的差異,許多人不愿意為了這些兼容性能而升級。
因為一旦升級后許多現在正在使用的程序將完全不能夠使用。具體細節是:
* 默認的數據庫引擎為Jet 4.0 (沒有這個安全漏洞)
* 支持自定義處理 (可以禁止匿名使用RDS)
但是,自定義處理默認的情況下并不是使用的。你同樣需要象上面一樣來修改注冊表。
-解決方案 #4: 升級你的MDAC 1.5到2.0,然后再到2.1
現在,如果你是一個優秀的管理員,你應該保證你一直升級你的系統。如果你經常升級,就應該服從按順序升級的次序。雖然同樣你需要修改注冊表使
能'HandlerRequired'
,同樣由于使用了2.1的Jet 4.0(沒有漏洞)作為默認的數據庫引擎。但是由于你是通過
從2。0的升級,所以你將擁有Microsoft.Jet.OLEDB.3.51.
這意味著你的運用程序(包括RDS)對數據庫的調用情況都能夠被日志記錄下來。而那些
老版本的OLEDB是實現不了的。
你應該從注冊表中將老的hooks/providers數值去掉。一個方法是刪除下面的鍵值入口:
HKEY_CLASSES_ROOT\Microsoft.Jet.OLEDB.3.51
HKEY_CLASSES_ROOT\Microsoft.Jet.OLEDB.3.51Errors
但是,你仍然需要面對的問題是兼容性能問題。
-解決方案 #5: 安裝JetCopkg.exe (見微軟發布的安全公告MS99-030)
JetCopkg.exe是一個修改過的Jet 3.5引擎,它增強了更多的安全特性來防止被攻擊。
它主要是對注冊表中下列鍵值的修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Jet\3.5\engines\SandboxMode
它的值如下:
0 禁止一切
1 使能訪問ACCESS,但是禁止其它
2 禁止訪問ACCESS,但是使能其他
3 使能一切
(詳細的解釋可以參考
http://support.microsoft.com/support/kb/articles/q239/1/04.asp)
值得注意的是,默認的允許修改鍵值權限是不安全的。你必須只能夠讓有權限的
帳號才能夠修改該鍵值。不然該鍵值會帶來很多安全上的隱患。切記,切記。
只要將鍵值該成2或則3就可以將一切對RDS的攻擊拒絕了。所以,這個解決方案是最好的。
并且由于它仍然使用的是Jet 3.5引擎,所以你不用擔心兼容性能的問題。并且同時你還是可以
使用RDS的,雖然已經不能夠再使用RDS進行攻擊了,但是問題是匿名使用RDS還是會將你的數據庫中的信息給
泄露出去的。所以你需要對RDS有較深入的編程基礎,我可以建議你禁止使用RDS或則將ODBC升級到
MDAC 2.0,這樣你就可以只讓有權限的人才能夠使用RDS,而拒絕匿名用戶使用。
-解決方案 #6: 刪除/禁止RDS功能
就是我在本文最開始的位置提到的方法,刪除下面這個文件:
?:\Program Files\Common Files\System\Msadc\msadcs.dll
就是它提供了RDS的調用接口。下面是一些更詳細徹底清除RDS(如果你確信你的網站不需要該功能的話)的步驟:
* 從IIS控制臺刪除/msadc虛擬目錄
* 刪除下面的注冊表鍵值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\
ADCLaunch
* 刪除下面這個文件目錄
?:\Program Files\Common Files\System\Msadc
----[ 3. 情況
-情況 #1: 我確實需要RDS
首先你需要升級你的系統到MDAC 2.0。記住別忘了安裝JetCopkg,或者你直接升級到MDAC 2.1.
確保你修改了'HandlerRequired'注冊表中的數值,解釋見上。同時確保你已經刪除了所有的
RDS的例子程序。同時取消匿名帳號對/msadc目錄的訪問權限,而使用自定義帳號來進行處理。
詳細的步驟可以參考:
http://www.microsoft.com/Data/ado/rds/custhand.htm
-情況 #2:我還是想使用那些例子該怎么辦?
那么唯一的方法就是你必須禁止匿名帳號對RDS的訪問權限。但是例子中的
VbBusObjcls會跳過自定義
訪問的限制,如果例子是安裝在
?:\Program Files\Common Files\System\Msadc\Samples
的話,那么你應該按照下面的步驟來解決:
*刪除下面這個目錄下所有的東西
?:\Progam Files\Comman Files\System\Msadc\Samples
* 刪除注冊表中的鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\
ADCLaunch\VbBusObj.VbBusObjCls
----------------------------------------------------------------------
-
----[ 1. 問題
RDS攻擊不是一個簡單的問題,雖然IIS 4.0存在許多各種各樣的安全漏洞,
但是微軟從來沒有為同一個安全漏洞發布過如此多的補丁程序,一共是發布了三個不同的補丁程序,但是RDS仍然存在問題。
所以我們需要的是真正掌握什么是RDS。然后你就會知道如何來自己修補
這個問題。這個問題從根本上說,是由于Jet 3.5允許調用VBA的shell()函數造成的。
該函數允許你執行外殼命令,具體的過程我想還是不詳細介紹了。
現在的問題是,IIS 4.0默認的情況下是安裝有MDAC 1.5的,它包含有RDS,
從而允許通過瀏覽器遠程訪問ODBC組件,具體的實現是通過一個位
于/msadc/msadcs.dll
的特定的dll文件來實現的。現在你應該可以明白,問題其實是由兩部分組成。其實還有個“第三者”,那就是跟隨RDS SDK包安裝附帶的例子程序組件VbBusObj,它可以允許你
饒過那些就是已經安裝了微軟發布的RDS補丁的情況。
下面將分別就上面三種情況做詳細的解決方案描述。
----[ 2. 解決方案
問題是目前有許多種方法來解決,同時這些方法還可以被不同的組合使用。
在這里盡量描述詳細。
-解決方案 #1: 移走cmd.exe (ULG推薦的補丁方法)
http://www.aviary-mag.com/News/Powerful_Exploit/ULG_Fix/ulg_fix.html
我推薦ULG的解決方法,雖然該方法仍然存在問題。因為雖然mdac.pl是使用了
cmd.exe
來實現RDS攻擊的,但是,要知道
CMD.EXE并不是RDS攻擊方法的唯一實現途徑
-解決方案 #2: 升級MDAC 1.5 到 2.0
MDAC 2.0將Jet 3.5升級到Jet 3.52。但是仍然存在VBA shell()攻擊問題(而這恰好是
RDS攻擊的必要條件),并且默認情況下還是支持使用RDS的。事實上,就是你刪除了RDS系統還是會重新安裝的,其中一些應該注意的事情是:
* 默認的Jet引擎變成了3.52 (仍然有安全漏洞)
* 允許自定義處理 (可以解決匿名RDS使用問題)
* 生成 Microsoft.Jet.OLEDB.3.51* 提供
注意這種解決方法,它的默認設置不是非常好。你需要修改注冊表來限制自定義使用RDS處理。注冊表中位置是:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataFactory\HandlerInfo\
Keyname: HandlerRequired
Value: DWORD:1 (safe) or 0 (unsafe)
推薦是將它的數值改成1。這其實也是使用微軟提供的補丁'handsafe.exe/.reg'完成的。
現在,你可以保護你的系統不被遠程RDS攻擊了,但是你仍然存在被ODBC其他方式攻擊的可能性,
包括Excel, Word, 和 Access木馬文件等。所以這個解決方案也有一些不足。
-解決方案 #3: 升級你的MDAC 1.5 到 2.1
MDAC 2.1 將Jet 3.5 升級到Jet 4.0引擎,這個引擎不存在RDS攻擊安全漏洞。
但是同時也印證了一個亙古不變的法則,東西越安全它的兼容性能也就越差,
由于3.5和4.0之間存在太大的差異,許多人不愿意為了這些兼容性能而升級。
因為一旦升級后許多現在正在使用的程序將完全不能夠使用。具體細節是:
* 默認的數據庫引擎為Jet 4.0 (沒有這個安全漏洞)
* 支持自定義處理 (可以禁止匿名使用RDS)
但是,自定義處理默認的情況下并不是使用的。你同樣需要象上面一樣來修改注冊表。
-解決方案 #4: 升級你的MDAC 1.5到2.0,然后再到2.1
現在,如果你是一個優秀的管理員,你應該保證你一直升級你的系統。如果你經常升級,就應該服從按順序升級的次序。雖然同樣你需要修改注冊表使
能'HandlerRequired'
,同樣由于使用了2.1的Jet 4.0(沒有漏洞)作為默認的數據庫引擎。但是由于你是通過
從2。0的升級,所以你將擁有Microsoft.Jet.OLEDB.3.51.
這意味著你的運用程序(包括RDS)對數據庫的調用情況都能夠被日志記錄下來。而那些
老版本的OLEDB是實現不了的。
你應該從注冊表中將老的hooks/providers數值去掉。一個方法是刪除下面的鍵值入口:
HKEY_CLASSES_ROOT\Microsoft.Jet.OLEDB.3.51
HKEY_CLASSES_ROOT\Microsoft.Jet.OLEDB.3.51Errors
但是,你仍然需要面對的問題是兼容性能問題。
-解決方案 #5: 安裝JetCopkg.exe (見微軟發布的安全公告MS99-030)
JetCopkg.exe是一個修改過的Jet 3.5引擎,它增強了更多的安全特性來防止被攻擊。
它主要是對注冊表中下列鍵值的修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Jet\3.5\engines\SandboxMode
它的值如下:
0 禁止一切
1 使能訪問ACCESS,但是禁止其它
2 禁止訪問ACCESS,但是使能其他
3 使能一切
(詳細的解釋可以參考
http://support.microsoft.com/support/kb/articles/q239/1/04.asp)
值得注意的是,默認的允許修改鍵值權限是不安全的。你必須只能夠讓有權限的
帳號才能夠修改該鍵值。不然該鍵值會帶來很多安全上的隱患。切記,切記。
只要將鍵值該成2或則3就可以將一切對RDS的攻擊拒絕了。所以,這個解決方案是最好的。
并且由于它仍然使用的是Jet 3.5引擎,所以你不用擔心兼容性能的問題。并且同時你還是可以
使用RDS的,雖然已經不能夠再使用RDS進行攻擊了,但是問題是匿名使用RDS還是會將你的數據庫中的信息給
泄露出去的。所以你需要對RDS有較深入的編程基礎,我可以建議你禁止使用RDS或則將ODBC升級到
MDAC 2.0,這樣你就可以只讓有權限的人才能夠使用RDS,而拒絕匿名用戶使用。
-解決方案 #6: 刪除/禁止RDS功能
就是我在本文最開始的位置提到的方法,刪除下面這個文件:
?:\Program Files\Common Files\System\Msadc\msadcs.dll
就是它提供了RDS的調用接口。下面是一些更詳細徹底清除RDS(如果你確信你的網站不需要該功能的話)的步驟:
* 從IIS控制臺刪除/msadc虛擬目錄
* 刪除下面的注冊表鍵值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\
ADCLaunch
* 刪除下面這個文件目錄
?:\Program Files\Common Files\System\Msadc
----[ 3. 情況
-情況 #1: 我確實需要RDS
首先你需要升級你的系統到MDAC 2.0。記住別忘了安裝JetCopkg,或者你直接升級到MDAC 2.1.
確保你修改了'HandlerRequired'注冊表中的數值,解釋見上。同時確保你已經刪除了所有的
RDS的例子程序。同時取消匿名帳號對/msadc目錄的訪問權限,而使用自定義帳號來進行處理。
詳細的步驟可以參考:
http://www.microsoft.com/Data/ado/rds/custhand.htm
-情況 #2:我還是想使用那些例子該怎么辦?
那么唯一的方法就是你必須禁止匿名帳號對RDS的訪問權限。但是例子中的
VbBusObjcls會跳過自定義
訪問的限制,如果例子是安裝在
?:\Program Files\Common Files\System\Msadc\Samples
的話,那么你應該按照下面的步驟來解決:
*刪除下面這個目錄下所有的東西
?:\Progam Files\Comman Files\System\Msadc\Samples
* 刪除注冊表中的鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\
ADCLaunch\VbBusObj.VbBusObjCls
"熊貓燒香"告一段落 資深黑客為"灰鴿子"支招防毒
[ 2007-03-25 02:39:29 | 作者: sun ]
黑色產業鏈”說引發恐慌
沸沸揚揚的“熊貓燒香”病毒事件剛剛告一段落,一個名叫“灰鴿子”的病毒及其變種再次引發恐慌。金山公司總裁雷軍日前在接受媒體采訪時表示,“灰鴿子”背后是一條制造、販賣、培訓病毒為一體的“黑色產業鏈”。雷軍此言一出,立刻引發網民集體恐慌。
晨報記者昨日與上海信息化服務熱線反病毒工程師汪浩取得聯系,他介紹,“目前‘灰鴿子’的投訴情況尚不嚴重,據我們所知,金山公司發表此次言論,與金山公司網站被黑有關,瑞星、江民等殺毒軟件公司并未對該軟件特別重視。”據悉,從3月14日晚10時開始,不明身份黑客組成龐大的“計算機僵尸網絡”,向金山毒霸官方網站進行了瘋狂攻擊。事發3小時之后,毒霸官網才恢復正常。
金山公司公關部黃菁昨日下午告訴晨報記者,事發后,有一不明身份男子致電金山公司,自稱來自“灰鴿子工作室”,威脅金山公司程序員說“(追查)再進行下去后果自負”。隨后,金山公司發表了針對遠程控制軟件商“灰鴿子”病毒的有關言論,該工作室隨即在主頁聲明相關病毒與自己無關,認為金山公司言論屬“公關宣傳”。金山公司針對該聲明,撰文《四問“灰鴿子工作室”》進行反駁。
汪浩認為,引發這次糾紛和恐慌的病毒,并非“灰鴿子工作室”的商用軟件,而是黑客將相關軟件改成變種病毒,對金山公司網站發動攻擊。
上海網民16萬元網上被盜
上海某美資軟件公司總經理蔡中3月10日發現,自己的網上銀行賬戶中16萬余元人民幣不翼而飛。經查,被盜的款項全部被轉入云南的一個賬戶,后又被多次轉賬,目前已經“蒸發”在茫茫網海之中。有關部門認為,蔡中的電腦可能被人“安放”木馬病毒,通過“網絡后門”盜走了資金。
網絡銀行用戶在使用網銀時,均安裝了銀行方面提供的控件,但在“灰鴿子”等網絡木馬病毒泛濫的今天,控件到底能否徹底保證用戶財產的安全?昨日下午,晨報記者撥通滬上一家銀行信用卡服務熱線,客服小姐針對這一問題的回應是:銀行的安全控件并不能完全保證網銀的安全,“用戶需要就電腦殺毒軟件安裝的相關問題咨詢技術人員,保證自己的電腦不被病毒感染,否則就可能被人盜竊財產。”
客服小姐介紹,如果客戶財產被黑客盜走,公司會對資金去向進行查證,如果確定是因為病毒盜號原因造成用戶財產損失,“會給予用戶一定程度補償”。她沒有透露具體的補償金額比例。
黑客描述“灰鴿子”的厲害
昨日傍晚,資深黑客“冰刀”面對晨報記者,解析了“灰鴿子”之類木馬軟件的使用方法。“我曾經看過‘灰鴿子’的部分代碼,這個軟件在目前基本算是最厲害的木馬程序,其設計已經到了‘所見即所得’的水平,與最初的一邊‘黑’別人,一邊還要輸代碼的木馬程序有很大不同。”
“冰刀”演示說,“灰鴿子”客戶端(黑客使用端)界面的主要內容有遠程文件、控制命令、注冊表、命令廣播等部分,黑客可以每過一段時間就掃描網上的IP地址,看有多少電腦已經感染了“灰鴿子”木馬程序,然后就可以實現遠程控制功能。“幾乎就像在本地使用別人家的電腦一樣,可以實現復制、粘貼、修改、刪除等許多功能。我在本地可以看到被感染電腦的屏幕,并操縱對方的QQ程序。有一次我關掉了對方的QQ,對方居然又打開了QQ并輸入密碼,此時他的密碼立刻被我安裝的鍵盤記錄軟件傳了過來……用同樣的方法,可以盜取用戶的網絡銀行賬號等信息。”
“冰刀”經歷了網絡木馬病毒的全部發展進程,“目前的木馬程序已經比最初厲害了很多,而且種類繁多,只要一種病毒開放了代碼,很快就會被其他黑客修改成變種,最后變得不可收拾。這種情況的一個重要原因,就是各大院校學程序設計的畢業生越來越多,有些年輕人的一大興趣就是黑別人的機器!”
[黑客忠告]
多種措施防御“灰鴿子”
黑客“冰刀”介紹,用戶加強安全防范意識,必須了解病毒傳播機理。他針對“灰鴿子”的傳播方式,向晨報讀者提出了幾點防御木馬建議。
●操作系統打補丁
由于WINDOWSXP等操作系統存在許多漏洞,很容易被木馬發布者利用,因此,用戶必須及時下載操作系統補丁,這可以有效防范“灰鴿子”等木馬病毒。
●對殺毒軟件進行科學搭配
在目前的網絡環境下,一種殺毒軟件往往不能徹底防御網絡入侵。需要科學搭配殺毒軟件,目前比較有效的防毒軟件搭配是卡巴斯基+360安全衛士。
●調整IE選項
由于目前許多病毒通過IE瀏覽器的臨時文件傳播,應該把IE“internet選項”的安全、隱私防御級別調到最高。
●提高防范意識
用戶最好學習一定的計算機知識,并以此為基礎提高防范意識。感染病毒后,鼠標出現莫明其妙的移動、機器運行緩慢、出現彈出窗口,都要引起警惕。下載程序時,如果實際下載的文件大小只有幾十K,應該考慮這是否是病毒。
善于利用代碼實現對 IP 的訪問限制
[ 2007-03-25 02:39:14 | 作者: sun ]
這是以前用ASP寫的,本想改成ASP.net的給大家,后來想大家能看懂算法就行了。IP比對的關鍵是IP地址的線性化,下面就是代碼。
'可以進入的ip
'218.7.44.0 - 218.7.45.253
'61.180.240.0 - 61.180.240.253
'202.118.208.0 - 202.118.223.253
'
'218.7.44.0 3657903103
'218.7.45.253 3657903612
'
'61.180.240.0 1035268095
'61.180.240.253 1035268348
'
'202.118.208.0 3396784127
'202.118.223.253 3396788220
ip=request.servervariables("remote_addr")
sip=split(ip,".")
num=cint(sip(0))*256*256*256+cint(sip(1))*256*256+cint(sip(2))*256+cint(sip(3))-1
response.write(ip)
response.write("<br>")
if ((num>=3657903103 and num<=3657903612) or (num>=1035268095 and num<=1035268348)
or (num>=3396784127 and num<=3396788220)) then
response.write("抱歉,您的ip不合法!")
response.End()
else
response.write("您的ip合法")
end if
