十分鐘看懂360系統診斷日志
[ 2007-03-25 03:30:59 | 作者: sun ]
寫在前面
當確定一個系統可能存在問題的時候,首先要做的,就是找出系統的問題所在,這個時候我們就需要來“看懂”系統診斷日志,找出原因所在,然后再來做相應清除。雖然現在有很多的流氓清除軟件,但跟殺毒軟件一樣,他們永遠是跟著流氓軟件后面在奔跑,當這個流氓是一個新出來的時候,必須要經過以下步驟:
廠商拿到樣本——>分析——>加入特征碼/病毒行為——>更新病毒特征庫——用戶下載——>查殺成功
所以有時不得以,我們需要自己來診斷一下,當然,這個診斷遠沒有想象的那么難。目前比較常用的診斷工具有Hijackthis,360safe,SRENG等幾個軟件。360safe經過幾次升級,借鑒了Hijackthis的日志項,目前已經做得很完善了。本篇文章最早2006/10/10發于360官方的緊急救援區并長期置頂,今天把它拿過來,作為對我的BLOG的一個補充。
很多網絡新手對于360的掃描日志看不懂,或者看了之后不知道怎么處理,請花5分鐘來了解一下,比你發了日志等待別人來解答強,要他救,更要自救。其實很多作很簡單的:
使用方法:
確定可疑項——文件粉碎器刪除相應文件——重啟——用360修復注冊表殘留值
以下面這篇貼子為例:
http://bbs.360safe.com/viewthread.php?tid=11221&extra=page%3D1
這個日志其實最主要看6項:
02,瀏覽器輔助對象★★★★★
這個是最需要關注的重點之一。瀏覽器輔助對象(BHO),本來是IE提供其它程序擴展瀏覽器的功能所開放的接口,在瀏覽器啟動的時候,自動加載。這個是幾乎所有流氓廣告軟件的“兵家必爭之地”。一般情況下,它可能有很多個,如:
O2-BHNTIECatcherClass-{C56CB6B0-0D96-11D6-8C65-B2868B609932}-C:\ProgramFiles\Xi\NetTransport2\NTIEHelper.dll
在這一項中,我們一般看最后面一行,那個.dll文件的位置,這里是C:\ProgramFiles\Xi\NetTransport2\NTIEHelper.dll就是這個ie模塊對應的文件,從對應文件目錄或者文件名上我們可以分辨這個模塊到底是干什么用的—NetTransport是下載工具影音傳送帶,那么這一項就應該沒問題。
如果你看到這個目錄不認識,那就需要注意了。尤其注意這個.dll是位于temp目錄或者windows/system32目錄下,那就基本可以肯定是有問題的了,如示例文章的日志中,這兩個都有肯定有問題的:
O2-未知-BH(ShowBarExClass)-[cn5940barModule]-{15953528-6C01-481A-8DB4-01888FB85B7D}-C:\WINDOWS\system32\CN5940~1.DLL
O2-未知-BH(IPCUSmartLinkClass)-[MicrosoftInternetExplorerExtension]-{A5352191-32C0-4EDB-B265-382F576C32FF}-C:\WINDOWS\system32\IPCUHelper2.dll
處理建議:
方法一:在360里——修復——全面診斷——瀏覽器輔助對象,選中之后進行修復。可以多試幾次。
方法二:用Autoruns或者hijackthis這兩個工具(www.nslog.cn)
04,自啟動項★★★★★
歷來自啟動項是所有木馬/病毒/流氓軟件的“兵家必爭之地”。當一個流氓軟件入侵和被安裝到用戶機器之后,必然要想辦法讓用戶下次啟動計算機的時候,自身還可以運行。方法有多種,放到自啟動是最常用最根本的一招。Windows的自啟動有十多個地方,常用的如注冊表、INI文件,啟動組等。Hijackthis會把所有的自啟動列出來。包括名稱和運行的文件名。
如示例文章中的這個,一共有六項都有問題:
O4-高危險-HKLM\..\Run:[SoundMam][懷疑為惡意程序或病毒,請使用殺毒軟件進行查殺。]C:\WINDOWS\system32\SVOHOST.exe
O4-未知-HKLM\..\Run:[IEUpdates][]C:\WINDOWS\system32\Updates.exe
O4-未知-HKCU\..\Run:[updatereal][]C:\WINDOWS\realupdate.exeother
O4-未知-HKCU\..\Run:[daemon][Microsoft基礎類應用程序]C:\WINDOWS\daemon.exe
O4-未知-HKCU\..\Run:[wow][]C:\WINDOWS\system32\Launcher.exe
O4-未知-HKCU\..\Run:[zz][]C:\WINDOWS\system32\intenet.exe
O4-高危險-HKCU\..\Run:[rx][疑為惡意程序或病毒。]C:\WINDOWS\system32\explore.exe
處理建議:
對于一般用戶,我給出的建議是除了C:\windows\system32\ctfmon.exe這個輸入法指示器,其它的除非你知道是自己安裝的程序如(C:\programfiles\tencent\qq\qq.exe),其它的一律刪除。
如果修復了,它又偷偷出現,那么基本就肯定有問題(一般流氓軟件都會有這種自我修復、保護的功能)。對應懷疑是流氓軟件的,相應的.exe也要先刪除了。
360里——修復——啟動項,選中后進行修復,可以多做幾次。
023,系統服務★★★★
系統服務是另外一個流氓軟件越來越重視的地方。一般Windows系統的服務在這里不會顯示出來。只有第三方安裝的服務才會顯示出來。所有顯示的,都需要留心。
如示例文章中的三項都有問題:
O23-未知-Service:NetSys[管理系統網絡連接,您可以查看系統網絡連接。]-C:\WINDOWS\system32\NetSys.exe
O23-未知-Service:NetWorkLogon[支持網絡上計算機遠程登陸事件。如果此服務被停用,網絡登陸將不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。]-rundll32.exe
O23-未知-Service:NetWorkLogons[支持網絡上計算機遠程登陸事件。如果此服務被停用,網絡登陸將不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。]-rundll32.exe
處理建議:
如果知道是自己安裝的如MySQL,Apahce這類可以不管,其它的服務一般會冒充,起一個類似于很象正常的名字,如Windowsupdatas,NTServices,等。我的建議是所有你不清楚的,全部刪掉。尤其.exe的可執行路徑位于windows,System32目錄下的。(system32目錄下的rundll32.exe除外,這個.exe文件不要刪除,直接把服務刪除便可)
360里——修復——系統服務,選中后進行修復,可以多做幾次。
也可以在CMD窗口(開始——運行——cmd.exe)下輸入:
scdelete"服務名"來刪除一個服務。
[b]——如果360修復之后它又出現了,那么便先用頑固文件刪除工具把相應的.exe給刪除掉(見置底的),重啟一下,然后再修復。
010,WinsockLSP“瀏覽器綁架”
這個是近來新出現的“相當”有惡意的流氓軟件形徑,如果用戶把相關的文件刪掉,會造成用戶計算機無法訪問網絡!
LSP全稱為“WindowsSocketLayeredServiceProvider”(分層服務提供商),這是Winsock2.0才有的功能。通俗一點來說,它是Windows所有底層網絡Socket通信需要經過的一個大門。而流氓軟件在這個地方把自己的軟件加進去了,這樣就可以截取所有用戶訪問網絡的數據包,可以針對性地投放廣告,獲取用戶訪問習慣——想一想,當你訪問一個網絡的時候,所有數據都被一只大眼睛盯著看,是什么感覺?而當用戶如果不清楚刪除這個.dll文件,那么就會造成用戶不能訪問網絡。
如示例中有問題的:
O10-未知-WinsockLSP:[][{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\RICHED40.dll
O10-未知-WinsockLSP:[][{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\RICHED40.dll
O10-未知-WinsockLSP:[][{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\RICHED40.dll
(正確的應該是system32\mswsock.dll和rsvpsp.dll這兩個。)
處理建議:
方法一:先刪除對應的.dll文件,然后在360里——修復——修復LSP連接。
方法二:先刪除對應的.dll文件,然后下載Lsp-fix( http://www.cexx.org/lspfix.htm )這個工具
方法三:先刪除對應的.dll文件,然后重裝TCP/IP協議:
http://hi.baidu.com/nslog/blog/item/c478d5f942b94359242df26f.html
*****************************************************************************************
以下為360衛士2.0以后版本新增加的,對系統診斷也很有幫助,只建議高級用戶診斷使用:
2006年12月20更新
*****************************************************************************************
040,系統進程加載項
現在有一些流氓軟件升級之后,不是通過BHO或者Services來加載,沒有一個獨立的可執行程序,那樣很容易被發覺。它們就通過注入到系統進程空間(如exploer.exe資源管理器),把自己變為正常系統的一部分,這樣只要你開了資源管理器,它就在后臺運行著了。如下面的:
O40-Explorer.EXE--C:\WINDOWS\system32\dllwm.dll--55125f396efcc0ce7e3f4522669d8cdb
O40-Explorer.EXE--C:\WINDOWS\system32\dms.dll--d2b55c379eeabef0b8925dc8e9a1a58e
360會顯示所有沒有經常Windows簽名的.dll文件,即非微軟官方的,這些都是可疑的以及重點查處的對象(當然,不是說100%有問題)
處理建議:
必須要
刪除對應的.dll文件,刪除辦法有幾種:
1、用文件粉碎器
2、用unlocker
3、試著到安全模式下刪除
041,系統驅動
系統驅動是Windows系統最底層的,它沒有進程,沒有可執行文件,是通過在drivers目錄下的.sys文件來體現。也是所有流氓軟件用得最高的一招,象前段時間流行的MY123,飄雪以及幾個大流氓:CNNIC,MyIEHelper等,因為采取種種保護策略,所以一般用戶很難處理,如下面這個:
O41-csysiymq-csysiymq-C:\WINDOWS\system32\drivers\csysiymq.sys-(running)---
.O41-dtscsi-dtscsi-C:\WINDOWS\system32\drivers\dtscsi.sys-(running)---
O41-IBMPMDRV-IBMPMDRV-C:\WINDOWS\system32\drivers\ibmpmdrv.sys-(running)---7514f26bd730a23b4dcd0f51cd007add
360會顯示所有沒有經過Windows簽名的驅動文件作為分析參考的依據,同樣的道理,這里面也有非常多的其它正常軟件,如瑞星,卡巴等,這里的處理要求高一點,需要有一定的經驗。如果上面幾項都處理完了,還有主頁被改,彈窗口等現象,就需要考察這里了。
處理建議:
必須要
刪除對應的.sys文件,刪除辦法有幾種:
1、用文件粉碎器
2、用unlocker
3、試著到安全模式下刪除
以上所有修復不成功的,一般都流氓軟件有自我保護功能,可以用下面的辦法:
1、用頑固文件刪除工具,請參考:
http://bbs.360safe.com/viewthread.php?tid=9432&extra=page%3D1
2、找出流氓軟件的驅動保護:
http://hi.baidu.com/nslog/blog/item/c08cbefb2c6b5c224f4aea91.html
其它參考:
360safe安全衛士下載
http://www.360safe.com
Hijackthis瀏覽器劫持日志精解
http://hi.baidu.com/nslog/blog/item/b208922f52cb04381e30895f.html
清除流氓軟件的第一利器(IceSword)
http://hi.baidu.com/nslog/blog/item/14bc35dbac337866d1164e21.html
WinXP/2000/2003下如何重裝TCP/IP協議
http://hi.baidu.com/nslog/blog/item/c478d5f942b94359242df26f.html [/b]
當確定一個系統可能存在問題的時候,首先要做的,就是找出系統的問題所在,這個時候我們就需要來“看懂”系統診斷日志,找出原因所在,然后再來做相應清除。雖然現在有很多的流氓清除軟件,但跟殺毒軟件一樣,他們永遠是跟著流氓軟件后面在奔跑,當這個流氓是一個新出來的時候,必須要經過以下步驟:
廠商拿到樣本——>分析——>加入特征碼/病毒行為——>更新病毒特征庫——用戶下載——>查殺成功
所以有時不得以,我們需要自己來診斷一下,當然,這個診斷遠沒有想象的那么難。目前比較常用的診斷工具有Hijackthis,360safe,SRENG等幾個軟件。360safe經過幾次升級,借鑒了Hijackthis的日志項,目前已經做得很完善了。本篇文章最早2006/10/10發于360官方的緊急救援區并長期置頂,今天把它拿過來,作為對我的BLOG的一個補充。
很多網絡新手對于360的掃描日志看不懂,或者看了之后不知道怎么處理,請花5分鐘來了解一下,比你發了日志等待別人來解答強,要他救,更要自救。其實很多作很簡單的:
使用方法:
確定可疑項——文件粉碎器刪除相應文件——重啟——用360修復注冊表殘留值
以下面這篇貼子為例:
http://bbs.360safe.com/viewthread.php?tid=11221&extra=page%3D1
這個日志其實最主要看6項:
02,瀏覽器輔助對象★★★★★
這個是最需要關注的重點之一。瀏覽器輔助對象(BHO),本來是IE提供其它程序擴展瀏覽器的功能所開放的接口,在瀏覽器啟動的時候,自動加載。這個是幾乎所有流氓廣告軟件的“兵家必爭之地”。一般情況下,它可能有很多個,如:
O2-BHNTIECatcherClass-{C56CB6B0-0D96-11D6-8C65-B2868B609932}-C:\ProgramFiles\Xi\NetTransport2\NTIEHelper.dll
在這一項中,我們一般看最后面一行,那個.dll文件的位置,這里是C:\ProgramFiles\Xi\NetTransport2\NTIEHelper.dll就是這個ie模塊對應的文件,從對應文件目錄或者文件名上我們可以分辨這個模塊到底是干什么用的—NetTransport是下載工具影音傳送帶,那么這一項就應該沒問題。
如果你看到這個目錄不認識,那就需要注意了。尤其注意這個.dll是位于temp目錄或者windows/system32目錄下,那就基本可以肯定是有問題的了,如示例文章的日志中,這兩個都有肯定有問題的:
O2-未知-BH(ShowBarExClass)-[cn5940barModule]-{15953528-6C01-481A-8DB4-01888FB85B7D}-C:\WINDOWS\system32\CN5940~1.DLL
O2-未知-BH(IPCUSmartLinkClass)-[MicrosoftInternetExplorerExtension]-{A5352191-32C0-4EDB-B265-382F576C32FF}-C:\WINDOWS\system32\IPCUHelper2.dll
處理建議:
方法一:在360里——修復——全面診斷——瀏覽器輔助對象,選中之后進行修復。可以多試幾次。
方法二:用Autoruns或者hijackthis這兩個工具(www.nslog.cn)
04,自啟動項★★★★★
歷來自啟動項是所有木馬/病毒/流氓軟件的“兵家必爭之地”。當一個流氓軟件入侵和被安裝到用戶機器之后,必然要想辦法讓用戶下次啟動計算機的時候,自身還可以運行。方法有多種,放到自啟動是最常用最根本的一招。Windows的自啟動有十多個地方,常用的如注冊表、INI文件,啟動組等。Hijackthis會把所有的自啟動列出來。包括名稱和運行的文件名。
如示例文章中的這個,一共有六項都有問題:
O4-高危險-HKLM\..\Run:[SoundMam][懷疑為惡意程序或病毒,請使用殺毒軟件進行查殺。]C:\WINDOWS\system32\SVOHOST.exe
O4-未知-HKLM\..\Run:[IEUpdates][]C:\WINDOWS\system32\Updates.exe
O4-未知-HKCU\..\Run:[updatereal][]C:\WINDOWS\realupdate.exeother
O4-未知-HKCU\..\Run:[daemon][Microsoft基礎類應用程序]C:\WINDOWS\daemon.exe
O4-未知-HKCU\..\Run:[wow][]C:\WINDOWS\system32\Launcher.exe
O4-未知-HKCU\..\Run:[zz][]C:\WINDOWS\system32\intenet.exe
O4-高危險-HKCU\..\Run:[rx][疑為惡意程序或病毒。]C:\WINDOWS\system32\explore.exe
處理建議:
對于一般用戶,我給出的建議是除了C:\windows\system32\ctfmon.exe這個輸入法指示器,其它的除非你知道是自己安裝的程序如(C:\programfiles\tencent\qq\qq.exe),其它的一律刪除。
如果修復了,它又偷偷出現,那么基本就肯定有問題(一般流氓軟件都會有這種自我修復、保護的功能)。對應懷疑是流氓軟件的,相應的.exe也要先刪除了。
360里——修復——啟動項,選中后進行修復,可以多做幾次。
023,系統服務★★★★
系統服務是另外一個流氓軟件越來越重視的地方。一般Windows系統的服務在這里不會顯示出來。只有第三方安裝的服務才會顯示出來。所有顯示的,都需要留心。
如示例文章中的三項都有問題:
O23-未知-Service:NetSys[管理系統網絡連接,您可以查看系統網絡連接。]-C:\WINDOWS\system32\NetSys.exe
O23-未知-Service:NetWorkLogon[支持網絡上計算機遠程登陸事件。如果此服務被停用,網絡登陸將不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。]-rundll32.exe
O23-未知-Service:NetWorkLogons[支持網絡上計算機遠程登陸事件。如果此服務被停用,網絡登陸將不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。]-rundll32.exe
處理建議:
如果知道是自己安裝的如MySQL,Apahce這類可以不管,其它的服務一般會冒充,起一個類似于很象正常的名字,如Windowsupdatas,NTServices,等。我的建議是所有你不清楚的,全部刪掉。尤其.exe的可執行路徑位于windows,System32目錄下的。(system32目錄下的rundll32.exe除外,這個.exe文件不要刪除,直接把服務刪除便可)
360里——修復——系統服務,選中后進行修復,可以多做幾次。
也可以在CMD窗口(開始——運行——cmd.exe)下輸入:
scdelete"服務名"來刪除一個服務。
[b]——如果360修復之后它又出現了,那么便先用頑固文件刪除工具把相應的.exe給刪除掉(見置底的),重啟一下,然后再修復。
010,WinsockLSP“瀏覽器綁架”
這個是近來新出現的“相當”有惡意的流氓軟件形徑,如果用戶把相關的文件刪掉,會造成用戶計算機無法訪問網絡!
LSP全稱為“WindowsSocketLayeredServiceProvider”(分層服務提供商),這是Winsock2.0才有的功能。通俗一點來說,它是Windows所有底層網絡Socket通信需要經過的一個大門。而流氓軟件在這個地方把自己的軟件加進去了,這樣就可以截取所有用戶訪問網絡的數據包,可以針對性地投放廣告,獲取用戶訪問習慣——想一想,當你訪問一個網絡的時候,所有數據都被一只大眼睛盯著看,是什么感覺?而當用戶如果不清楚刪除這個.dll文件,那么就會造成用戶不能訪問網絡。
如示例中有問題的:
O10-未知-WinsockLSP:[][{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\RICHED40.dll
O10-未知-WinsockLSP:[][{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\RICHED40.dll
O10-未知-WinsockLSP:[][{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\RICHED40.dll
(正確的應該是system32\mswsock.dll和rsvpsp.dll這兩個。)
處理建議:
方法一:先刪除對應的.dll文件,然后在360里——修復——修復LSP連接。
方法二:先刪除對應的.dll文件,然后下載Lsp-fix( http://www.cexx.org/lspfix.htm )這個工具
方法三:先刪除對應的.dll文件,然后重裝TCP/IP協議:
http://hi.baidu.com/nslog/blog/item/c478d5f942b94359242df26f.html
*****************************************************************************************
以下為360衛士2.0以后版本新增加的,對系統診斷也很有幫助,只建議高級用戶診斷使用:
2006年12月20更新
*****************************************************************************************
040,系統進程加載項
現在有一些流氓軟件升級之后,不是通過BHO或者Services來加載,沒有一個獨立的可執行程序,那樣很容易被發覺。它們就通過注入到系統進程空間(如exploer.exe資源管理器),把自己變為正常系統的一部分,這樣只要你開了資源管理器,它就在后臺運行著了。如下面的:
O40-Explorer.EXE--C:\WINDOWS\system32\dllwm.dll--55125f396efcc0ce7e3f4522669d8cdb
O40-Explorer.EXE--C:\WINDOWS\system32\dms.dll--d2b55c379eeabef0b8925dc8e9a1a58e
360會顯示所有沒有經常Windows簽名的.dll文件,即非微軟官方的,這些都是可疑的以及重點查處的對象(當然,不是說100%有問題)
處理建議:
必須要
刪除對應的.dll文件,刪除辦法有幾種:
1、用文件粉碎器
2、用unlocker
3、試著到安全模式下刪除
041,系統驅動
系統驅動是Windows系統最底層的,它沒有進程,沒有可執行文件,是通過在drivers目錄下的.sys文件來體現。也是所有流氓軟件用得最高的一招,象前段時間流行的MY123,飄雪以及幾個大流氓:CNNIC,MyIEHelper等,因為采取種種保護策略,所以一般用戶很難處理,如下面這個:
O41-csysiymq-csysiymq-C:\WINDOWS\system32\drivers\csysiymq.sys-(running)---
.O41-dtscsi-dtscsi-C:\WINDOWS\system32\drivers\dtscsi.sys-(running)---
O41-IBMPMDRV-IBMPMDRV-C:\WINDOWS\system32\drivers\ibmpmdrv.sys-(running)---7514f26bd730a23b4dcd0f51cd007add
360會顯示所有沒有經過Windows簽名的驅動文件作為分析參考的依據,同樣的道理,這里面也有非常多的其它正常軟件,如瑞星,卡巴等,這里的處理要求高一點,需要有一定的經驗。如果上面幾項都處理完了,還有主頁被改,彈窗口等現象,就需要考察這里了。
處理建議:
必須要
刪除對應的.sys文件,刪除辦法有幾種:
1、用文件粉碎器
2、用unlocker
3、試著到安全模式下刪除
以上所有修復不成功的,一般都流氓軟件有自我保護功能,可以用下面的辦法:
1、用頑固文件刪除工具,請參考:
http://bbs.360safe.com/viewthread.php?tid=9432&extra=page%3D1
2、找出流氓軟件的驅動保護:
http://hi.baidu.com/nslog/blog/item/c08cbefb2c6b5c224f4aea91.html
其它參考:
360safe安全衛士下載
http://www.360safe.com
Hijackthis瀏覽器劫持日志精解
http://hi.baidu.com/nslog/blog/item/b208922f52cb04381e30895f.html
清除流氓軟件的第一利器(IceSword)
http://hi.baidu.com/nslog/blog/item/14bc35dbac337866d1164e21.html
WinXP/2000/2003下如何重裝TCP/IP協議
http://hi.baidu.com/nslog/blog/item/c478d5f942b94359242df26f.html [/b]
漏洞分類及進一步發掘
[ 2007-03-25 03:30:46 | 作者: sun ]
漏洞是一個永遠的童話。實現劫富濟貧的英雄夢想,實現打破技術壟斷的自由藍圖,發現漏洞的人,利用漏洞的人,修補漏洞的人,喜歡漏洞的人,害怕漏洞的人就象這個多彩的世界一樣,他們構成了計算機網絡安全世界永遠的角色!
現在很多口必稱漏洞,把漏洞的利用當自己的絕招和寶貝,其實漏洞是什么,我們或許存在著很多誤解。下面結合相關資料和我個人的理解,我們今天就講講什么是漏洞,這個十分基本的問題。
1、什么是漏洞
專業上講漏洞是在硬件、軟件、協議的具體實現或系統安全策略上(主要是人為)存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。但是,其實這是一個綱目,很多書上定義都不同,這里算是比較全面的。怎么理解呢,還是有例子來說吧,這幾十年來,漏洞太多了,不能一一說。
2、漏洞的狹義范圍
漏洞會影響到很大范圍的軟硬件設備,包括作系統本身及其支撐軟件,網絡客戶和服務器軟件,網絡路由器和安全防火墻等。怎么理解呢,就是在這些不同的軟硬件設備中都可能存在不同的安全漏洞問題。
3、漏洞的廣義范圍
這里的漏洞是指所有威脅到計算機信息安全的事物。包括人員、硬件、軟件、程序、數據。
4、漏洞的長久性
漏洞問題是與時間緊密相關的。一個系統從發布的那一天起,隨著用戶的深入使用,系統中存在的漏洞會被不斷暴露出來,這些早先被發現的漏洞也會不斷被系統供應商發布的補丁軟件修補,或在以后發布的新版系統中得以糾正。而在新版系統糾正了舊版本中具有漏洞的同時,也會引入一些新的漏洞和錯誤。因而隨著時間的推移,舊的漏洞會不斷消失,新的漏洞會不斷出現。漏洞問題也會長期存在。
5、漏洞的隱蔽性
系統安全漏洞是指可以用來對系統安全造成危害,系統本身具有的,或設置上存在的缺陷。總之,漏洞是系統在具體實現中的錯誤。比如在建立安全機制中規劃考慮上的缺陷,作系統和其他軟件編程中的錯誤,以及在使用該系統提供的安全機制時人為的配置錯誤等。
系統安全漏洞是在系統具體實現和具體使用中產生的錯誤,但并不是系統中存在的錯誤都是安全漏洞。只有能威脅到系統安全的錯誤才是漏洞。許多錯誤在通常情況下并不會對系統安全造成危害,只有被人在某些條件下故意使用時才會影響系統安全。
6、漏洞的必然被發現性
漏洞雖然可能最初就存在于系統當中,但一個漏洞并不是自己出現的,必須要有人發現。在實際使用中,用戶會發現系統中存在錯誤,而入侵者會有意利用其中的某些錯誤并使其成為威脅系統安全的工具,這時人們會認識到這個錯誤是一個系統安全漏洞。系統供應商會盡快發布針對這個漏洞的補丁程序,糾正這個錯誤。這就是系統安全漏洞從被發現到被糾正的一般過程。
系統攻擊者往往是安全漏洞的發現者和使用者,要對于一個系統進行攻擊,如果不能發現和使用系統中存在的安全漏洞是不可能成功的。對于安全級別較高的系統尤其如此。
系統安全漏洞與系統攻擊活動之間有緊密的關系。因而不該脫離系統攻擊活動來談論安全漏洞問題。廣泛的攻擊存在,才使漏洞存在必然被發現性。
7、為什么要緊跟最新的計算機系統及其安全問題的最新發展動態
脫離具體的時間和具體的系統環境來討論漏洞問題是毫無意義的。只能針對目標系統的作系統版本、其上運行的軟件版本以及服務運行設置等實際環境來具體談論其中可能存在的漏洞及其可行的解決辦法。
同時應該看到,對漏洞問題的研究必須要跟蹤當前最新的計算機系統及其安全問題的最新發展動態。這一點如同對計算機病毒發展問題的研究相似。如果在工作中不能保持對新技術的跟蹤,就沒有談論系統安全漏洞問題的發言權,既使是以前所作的工作也會逐漸失去價值。
你喜歡漏洞,你討厭也好。它永遠存在,做到了"不以物喜,不以己悲",實現了"愛她就愛她的靈魂----自由,平等,共享,創新"。 同時它也證明了這個世界沒有絕對的安全,如果世界上永遠存在計算機存在軟件,那么它又將證明什么叫永恒。童話里有永恒的虛假的美, 而漏洞是永恒的真實的童話。
一、不同角度看安全漏洞的分類
對一個特定程序的安全漏洞可以從多方面進行分類。
1、從用戶群體分類
●大眾類軟件的漏洞。如Windows的漏洞、IE的漏洞等等。
●專用軟件的漏洞。如Oracle漏洞、Apache漏洞等等。
2、從數據角度看分為
●能讀按理不能讀的數據,包括內存中的數據、文件中的數據、用戶輸入的數據、數據庫中的數據、網絡上傳輸的數據等等。
●能把指定的內容寫入指定的地方(這個地方包括文件、內存、數據庫等)
●輸入的數據能被執行(包括按機器碼執行、按Shell代碼執行、按SQL代碼執行等等)
3、從作用范圍角度看分為
●遠程漏洞,攻擊者可以利用并直接通過網絡發起攻擊的漏洞。這類漏洞危害極大,攻擊者能隨心所欲的通過此漏洞操作他人的電腦。并且此類漏洞很容易導致蠕蟲攻擊,在Windows。
●本地漏洞,攻擊者必須在本機擁有訪問權限前提下才能發起攻擊的漏洞。比較典型的是本地權限提升漏洞,這類漏洞在Unix系統中廣泛存在,能讓普通用戶獲得最高管理員權限。
4、從觸發條件上看可以分為
●主動觸發漏洞,攻擊者可以主動利用該漏洞進行攻擊,如直接訪問他人計算機。
●被動觸發漏洞,必須要計算機的操作人員配合才能進行攻擊利用的漏洞。比如攻擊者給管理員發一封郵件,帶了一個特殊的jpg圖片文件,如果管理員打開圖片文件就會導致看圖軟件的某個漏洞被觸發,從而系統被攻擊,但如果管理員不看這個圖片則不會受攻擊。
5、從操作角度看可分為
●文件操作類型,主要為操作的目標文件路徑可被控制(如通過參數、配置文件、環境變量、符號鏈接燈),這樣就可能導致下面兩個問題:
◇寫入內容可被控制,從而可偽造文件內容,導致權限提升或直接修改重要數據(如修改存貸數據),這類漏洞有很多,如歷史上Oracle TNS LOG文件可指定漏洞,可導致任何人可控制運行Oracle服務的計算機;
◇內容信息可被輸出,包含內容被打印到屏幕、記錄到可讀的日志文件、產生可被用戶讀的core文件等等,這類漏洞在歷史上Unix系統中的crontab子系統中出現過很多次,普通用戶能讀受保護的shadow文件;
●內存覆蓋,主要為內存單元可指定,寫入內容可指定,這樣就能執行攻擊者想執行的代碼(緩沖區溢出、格式串漏洞、PTrace漏洞、歷史上Windows2000的硬件調試寄存器用戶可寫漏洞)或直接修改內存中的機密數據。
●邏輯錯誤,這類漏洞廣泛存在,但很少有范式,所以難以查覺,可細分為:
◇條件競爭漏洞(通常為設計問題,典型的有Ptrace漏洞、廣泛存在的文件操作時序競爭)
◇策略錯誤,通常為設計問題,如歷史上FreeBSD的Smart IO漏洞。
◇算法問題(通常為設計問題或代碼實現問題),如歷史上微軟的Windows 95/98的共享口令可輕易獲取漏洞。
◇設計的不完善,如TCP/IP協議中的3步握手導致了SYN FLOOD拒絕服務攻擊。
◇實現中的錯誤(通常為設計沒有問題,但編碼人員出現了邏輯錯誤,如歷史上博彩系統的偽隨機算法實現問題)
●外部命令執行問題,典型的有外部命令可被控制(通過PATH變量,輸入中的SHELL特殊字符等等)和SQL注入問題。
6、從時序上看可分為
●已發現很久的漏洞:廠商已經發布補丁或修補方法,很多人都已經知道。這類漏洞通常很多人已經進行了修補,宏觀上看危害比較小。
●剛發現的漏洞:廠商剛發補丁或修補方法,知道的人還不多。相對于上一種漏洞其危害性較大,如果此時出現了蠕蟲或傻瓜化的利用程序,那么會導致大批系統受到攻擊。
●0day:還沒有公開的漏洞,在私下交易中的。這類漏洞通常對大眾不會有什么影響,但會導致攻擊者瞄準的目標受到精確攻擊,危害也是非常之大。
二、不同角度看待漏洞利用
如果一個缺陷不能被利用來干“原本”不能干的事(安全相關的),那么就不能被稱為安全漏洞,所以安全漏洞必然和漏洞利用緊密聯系在一起。
漏洞利用的視角有:
●數據視角:訪問本來不可訪問的數據,包括讀和寫。這一條通常是攻擊者的核心目的,而且可造成非常嚴重的災難(如銀行數據可被人寫)。
●權限視角:主要為權限繞過或權限提升。通常權限提升都是為了獲得期望的數據操作能力。
●可用性視角:獲得對系統某些服務的控制權限,這可能導致某些重要服務被攻擊者停止而導致拒絕服務攻擊。
●認證繞過:通常利用認證系統的漏洞而不用受權就能進入系統。通常認證繞過都是為權限提升或直接的數據訪問服務的。
●代碼執行角度:主要是讓程序將輸入的內容作為代碼來執行,從而獲得遠程系統的訪問權限或本地系統的更高權限。這個角度是SQL注入、內存指針游戲類漏洞(緩沖區溢出、格式串、整形溢出等等)等的主要驅動。這個角度通常為繞過系統認證、權限提升、數據讀取作準備的。
三、漏洞發掘方法
首先必須清除安全漏洞是軟件BUG的一個子集,一切軟件測試的手段都對安全漏洞發掘實用。現在”黑客“用的各種漏洞發掘手段里有模式可循的有:
●fuzz測試(黑盒測試),通過構造可能導致程序出現問題的方式構造輸入數據進行自動測試。
●源碼審計(白盒測試),現在有了一系列的工具都能協助發現程序中的安全BUG,最簡單的就是你手上最新版本的C語言編譯器。
●IDA反匯編審計(灰盒測試),這和上面的源碼審計非常類似,唯一不同的是很多時候你能獲得軟件,但你無法拿到源碼來審計,但IDA是一個非常強大的反匯編平臺,能讓你基于匯編碼(其實也是源碼的等價物)進行安全審計。
●動態跟蹤分析,就是記錄程序在不同條件下執行的全部和安全問題相關的操作(如文件操作),然后分析這些操作序列是否存在問題,這是競爭條件類漏洞發現的主要途徑之一,其他的污點傳播跟蹤也屬于這類。
●補丁比較,廠商的軟件出了問題通常都會在補丁中解決,通過對比補丁前后文件的源碼(或反匯編碼)就能了解到漏洞的具體細節。
以上手段中無論是用哪種都涉及到一個關鍵點:需要通過人工分析來找到全面的流程覆蓋路徑。分析手法多種多樣,有分析設計文檔、分析源碼、分析反匯編代碼、動態調試程序等。
四、漏洞等級評定
考察漏洞的危害性應該緊密的和利用該漏洞帶來的危害相關,并不是通常大家認識的所有緩沖區溢出漏洞都是高危漏洞。以遠程漏洞為例,比較好的劃分方法為:
1 可遠程獲取OS、應用程序版本信息。
2 開放了不必要或危險得服務,可遠程獲取系統敏感信息。
3 可遠程進行受限的文件、數據讀取。
4 可遠程進行重要或不受限文件、數據讀取。
5 可遠程進行受限文件、數據修改。
6 可遠程進行受限重要文件、數據修改。
7 可遠程進行不受限得重要文件、數據修改,或對普通服務進行拒絕服務攻擊。
8 可遠程以普通用戶身份執行命令或進行系統、網絡級的拒絕服務攻擊。
9 可遠程以管理用戶身份執行命令(受限、不太容易利用)。
10 可遠程以管理用戶身份執行命令(不受限、容易利用)。
本地漏洞幾乎都是導致代碼執行,歸入上面的10分制可以為:
遠程主動觸發代碼執行(如IE的漏洞)。
遠程被動觸發代碼執行(如Word漏洞/看圖軟件漏洞)。
五、DEMO
一個防火墻隔離(只允許運維部的人訪問)的網絡里運行一臺Unix服務器;操作系統中只有root用戶和oracle用戶可登陸,操作系統中運行了Apache(nobody權限)、Oracle(oracle用戶權限)等服務。
一個攻擊者的目的是修改Oracle數據庫中的帳單表的數據。
其可能的攻擊步驟為:
●1.接入運維部的網絡,獲得一個運維部的IP地址從而能通過防火墻訪問被保護的Unix服務器。
●2.利用Apache服務的某遠程緩沖區溢出漏洞直接獲得一個nobody權限的shell訪問。
●3.利用操作系統某suid程序的漏洞將自己的權限提升到root權限。
●4.用Oracle的sysdba登陸進入數據庫(本地登陸不需要密碼)。
●5.修改目標表的數據。
以上5個過程分析下來為:
●第1步:認證繞過
●第2步:遠程漏洞、代碼執行(機器碼)、認證繞過
●第3步:權限提升、認證繞過
●第4步:認證繞過
●第5步:數據寫
現在很多口必稱漏洞,把漏洞的利用當自己的絕招和寶貝,其實漏洞是什么,我們或許存在著很多誤解。下面結合相關資料和我個人的理解,我們今天就講講什么是漏洞,這個十分基本的問題。
1、什么是漏洞
專業上講漏洞是在硬件、軟件、協議的具體實現或系統安全策略上(主要是人為)存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。但是,其實這是一個綱目,很多書上定義都不同,這里算是比較全面的。怎么理解呢,還是有例子來說吧,這幾十年來,漏洞太多了,不能一一說。
2、漏洞的狹義范圍
漏洞會影響到很大范圍的軟硬件設備,包括作系統本身及其支撐軟件,網絡客戶和服務器軟件,網絡路由器和安全防火墻等。怎么理解呢,就是在這些不同的軟硬件設備中都可能存在不同的安全漏洞問題。
3、漏洞的廣義范圍
這里的漏洞是指所有威脅到計算機信息安全的事物。包括人員、硬件、軟件、程序、數據。
4、漏洞的長久性
漏洞問題是與時間緊密相關的。一個系統從發布的那一天起,隨著用戶的深入使用,系統中存在的漏洞會被不斷暴露出來,這些早先被發現的漏洞也會不斷被系統供應商發布的補丁軟件修補,或在以后發布的新版系統中得以糾正。而在新版系統糾正了舊版本中具有漏洞的同時,也會引入一些新的漏洞和錯誤。因而隨著時間的推移,舊的漏洞會不斷消失,新的漏洞會不斷出現。漏洞問題也會長期存在。
5、漏洞的隱蔽性
系統安全漏洞是指可以用來對系統安全造成危害,系統本身具有的,或設置上存在的缺陷。總之,漏洞是系統在具體實現中的錯誤。比如在建立安全機制中規劃考慮上的缺陷,作系統和其他軟件編程中的錯誤,以及在使用該系統提供的安全機制時人為的配置錯誤等。
系統安全漏洞是在系統具體實現和具體使用中產生的錯誤,但并不是系統中存在的錯誤都是安全漏洞。只有能威脅到系統安全的錯誤才是漏洞。許多錯誤在通常情況下并不會對系統安全造成危害,只有被人在某些條件下故意使用時才會影響系統安全。
6、漏洞的必然被發現性
漏洞雖然可能最初就存在于系統當中,但一個漏洞并不是自己出現的,必須要有人發現。在實際使用中,用戶會發現系統中存在錯誤,而入侵者會有意利用其中的某些錯誤并使其成為威脅系統安全的工具,這時人們會認識到這個錯誤是一個系統安全漏洞。系統供應商會盡快發布針對這個漏洞的補丁程序,糾正這個錯誤。這就是系統安全漏洞從被發現到被糾正的一般過程。
系統攻擊者往往是安全漏洞的發現者和使用者,要對于一個系統進行攻擊,如果不能發現和使用系統中存在的安全漏洞是不可能成功的。對于安全級別較高的系統尤其如此。
系統安全漏洞與系統攻擊活動之間有緊密的關系。因而不該脫離系統攻擊活動來談論安全漏洞問題。廣泛的攻擊存在,才使漏洞存在必然被發現性。
7、為什么要緊跟最新的計算機系統及其安全問題的最新發展動態
脫離具體的時間和具體的系統環境來討論漏洞問題是毫無意義的。只能針對目標系統的作系統版本、其上運行的軟件版本以及服務運行設置等實際環境來具體談論其中可能存在的漏洞及其可行的解決辦法。
同時應該看到,對漏洞問題的研究必須要跟蹤當前最新的計算機系統及其安全問題的最新發展動態。這一點如同對計算機病毒發展問題的研究相似。如果在工作中不能保持對新技術的跟蹤,就沒有談論系統安全漏洞問題的發言權,既使是以前所作的工作也會逐漸失去價值。
你喜歡漏洞,你討厭也好。它永遠存在,做到了"不以物喜,不以己悲",實現了"愛她就愛她的靈魂----自由,平等,共享,創新"。 同時它也證明了這個世界沒有絕對的安全,如果世界上永遠存在計算機存在軟件,那么它又將證明什么叫永恒。童話里有永恒的虛假的美, 而漏洞是永恒的真實的童話。
一、不同角度看安全漏洞的分類
對一個特定程序的安全漏洞可以從多方面進行分類。
1、從用戶群體分類
●大眾類軟件的漏洞。如Windows的漏洞、IE的漏洞等等。
●專用軟件的漏洞。如Oracle漏洞、Apache漏洞等等。
2、從數據角度看分為
●能讀按理不能讀的數據,包括內存中的數據、文件中的數據、用戶輸入的數據、數據庫中的數據、網絡上傳輸的數據等等。
●能把指定的內容寫入指定的地方(這個地方包括文件、內存、數據庫等)
●輸入的數據能被執行(包括按機器碼執行、按Shell代碼執行、按SQL代碼執行等等)
3、從作用范圍角度看分為
●遠程漏洞,攻擊者可以利用并直接通過網絡發起攻擊的漏洞。這類漏洞危害極大,攻擊者能隨心所欲的通過此漏洞操作他人的電腦。并且此類漏洞很容易導致蠕蟲攻擊,在Windows。
●本地漏洞,攻擊者必須在本機擁有訪問權限前提下才能發起攻擊的漏洞。比較典型的是本地權限提升漏洞,這類漏洞在Unix系統中廣泛存在,能讓普通用戶獲得最高管理員權限。
4、從觸發條件上看可以分為
●主動觸發漏洞,攻擊者可以主動利用該漏洞進行攻擊,如直接訪問他人計算機。
●被動觸發漏洞,必須要計算機的操作人員配合才能進行攻擊利用的漏洞。比如攻擊者給管理員發一封郵件,帶了一個特殊的jpg圖片文件,如果管理員打開圖片文件就會導致看圖軟件的某個漏洞被觸發,從而系統被攻擊,但如果管理員不看這個圖片則不會受攻擊。
5、從操作角度看可分為
●文件操作類型,主要為操作的目標文件路徑可被控制(如通過參數、配置文件、環境變量、符號鏈接燈),這樣就可能導致下面兩個問題:
◇寫入內容可被控制,從而可偽造文件內容,導致權限提升或直接修改重要數據(如修改存貸數據),這類漏洞有很多,如歷史上Oracle TNS LOG文件可指定漏洞,可導致任何人可控制運行Oracle服務的計算機;
◇內容信息可被輸出,包含內容被打印到屏幕、記錄到可讀的日志文件、產生可被用戶讀的core文件等等,這類漏洞在歷史上Unix系統中的crontab子系統中出現過很多次,普通用戶能讀受保護的shadow文件;
●內存覆蓋,主要為內存單元可指定,寫入內容可指定,這樣就能執行攻擊者想執行的代碼(緩沖區溢出、格式串漏洞、PTrace漏洞、歷史上Windows2000的硬件調試寄存器用戶可寫漏洞)或直接修改內存中的機密數據。
●邏輯錯誤,這類漏洞廣泛存在,但很少有范式,所以難以查覺,可細分為:
◇條件競爭漏洞(通常為設計問題,典型的有Ptrace漏洞、廣泛存在的文件操作時序競爭)
◇策略錯誤,通常為設計問題,如歷史上FreeBSD的Smart IO漏洞。
◇算法問題(通常為設計問題或代碼實現問題),如歷史上微軟的Windows 95/98的共享口令可輕易獲取漏洞。
◇設計的不完善,如TCP/IP協議中的3步握手導致了SYN FLOOD拒絕服務攻擊。
◇實現中的錯誤(通常為設計沒有問題,但編碼人員出現了邏輯錯誤,如歷史上博彩系統的偽隨機算法實現問題)
●外部命令執行問題,典型的有外部命令可被控制(通過PATH變量,輸入中的SHELL特殊字符等等)和SQL注入問題。
6、從時序上看可分為
●已發現很久的漏洞:廠商已經發布補丁或修補方法,很多人都已經知道。這類漏洞通常很多人已經進行了修補,宏觀上看危害比較小。
●剛發現的漏洞:廠商剛發補丁或修補方法,知道的人還不多。相對于上一種漏洞其危害性較大,如果此時出現了蠕蟲或傻瓜化的利用程序,那么會導致大批系統受到攻擊。
●0day:還沒有公開的漏洞,在私下交易中的。這類漏洞通常對大眾不會有什么影響,但會導致攻擊者瞄準的目標受到精確攻擊,危害也是非常之大。
二、不同角度看待漏洞利用
如果一個缺陷不能被利用來干“原本”不能干的事(安全相關的),那么就不能被稱為安全漏洞,所以安全漏洞必然和漏洞利用緊密聯系在一起。
漏洞利用的視角有:
●數據視角:訪問本來不可訪問的數據,包括讀和寫。這一條通常是攻擊者的核心目的,而且可造成非常嚴重的災難(如銀行數據可被人寫)。
●權限視角:主要為權限繞過或權限提升。通常權限提升都是為了獲得期望的數據操作能力。
●可用性視角:獲得對系統某些服務的控制權限,這可能導致某些重要服務被攻擊者停止而導致拒絕服務攻擊。
●認證繞過:通常利用認證系統的漏洞而不用受權就能進入系統。通常認證繞過都是為權限提升或直接的數據訪問服務的。
●代碼執行角度:主要是讓程序將輸入的內容作為代碼來執行,從而獲得遠程系統的訪問權限或本地系統的更高權限。這個角度是SQL注入、內存指針游戲類漏洞(緩沖區溢出、格式串、整形溢出等等)等的主要驅動。這個角度通常為繞過系統認證、權限提升、數據讀取作準備的。
三、漏洞發掘方法
首先必須清除安全漏洞是軟件BUG的一個子集,一切軟件測試的手段都對安全漏洞發掘實用。現在”黑客“用的各種漏洞發掘手段里有模式可循的有:
●fuzz測試(黑盒測試),通過構造可能導致程序出現問題的方式構造輸入數據進行自動測試。
●源碼審計(白盒測試),現在有了一系列的工具都能協助發現程序中的安全BUG,最簡單的就是你手上最新版本的C語言編譯器。
●IDA反匯編審計(灰盒測試),這和上面的源碼審計非常類似,唯一不同的是很多時候你能獲得軟件,但你無法拿到源碼來審計,但IDA是一個非常強大的反匯編平臺,能讓你基于匯編碼(其實也是源碼的等價物)進行安全審計。
●動態跟蹤分析,就是記錄程序在不同條件下執行的全部和安全問題相關的操作(如文件操作),然后分析這些操作序列是否存在問題,這是競爭條件類漏洞發現的主要途徑之一,其他的污點傳播跟蹤也屬于這類。
●補丁比較,廠商的軟件出了問題通常都會在補丁中解決,通過對比補丁前后文件的源碼(或反匯編碼)就能了解到漏洞的具體細節。
以上手段中無論是用哪種都涉及到一個關鍵點:需要通過人工分析來找到全面的流程覆蓋路徑。分析手法多種多樣,有分析設計文檔、分析源碼、分析反匯編代碼、動態調試程序等。
四、漏洞等級評定
考察漏洞的危害性應該緊密的和利用該漏洞帶來的危害相關,并不是通常大家認識的所有緩沖區溢出漏洞都是高危漏洞。以遠程漏洞為例,比較好的劃分方法為:
1 可遠程獲取OS、應用程序版本信息。
2 開放了不必要或危險得服務,可遠程獲取系統敏感信息。
3 可遠程進行受限的文件、數據讀取。
4 可遠程進行重要或不受限文件、數據讀取。
5 可遠程進行受限文件、數據修改。
6 可遠程進行受限重要文件、數據修改。
7 可遠程進行不受限得重要文件、數據修改,或對普通服務進行拒絕服務攻擊。
8 可遠程以普通用戶身份執行命令或進行系統、網絡級的拒絕服務攻擊。
9 可遠程以管理用戶身份執行命令(受限、不太容易利用)。
10 可遠程以管理用戶身份執行命令(不受限、容易利用)。
本地漏洞幾乎都是導致代碼執行,歸入上面的10分制可以為:
遠程主動觸發代碼執行(如IE的漏洞)。
遠程被動觸發代碼執行(如Word漏洞/看圖軟件漏洞)。
五、DEMO
一個防火墻隔離(只允許運維部的人訪問)的網絡里運行一臺Unix服務器;操作系統中只有root用戶和oracle用戶可登陸,操作系統中運行了Apache(nobody權限)、Oracle(oracle用戶權限)等服務。
一個攻擊者的目的是修改Oracle數據庫中的帳單表的數據。
其可能的攻擊步驟為:
●1.接入運維部的網絡,獲得一個運維部的IP地址從而能通過防火墻訪問被保護的Unix服務器。
●2.利用Apache服務的某遠程緩沖區溢出漏洞直接獲得一個nobody權限的shell訪問。
●3.利用操作系統某suid程序的漏洞將自己的權限提升到root權限。
●4.用Oracle的sysdba登陸進入數據庫(本地登陸不需要密碼)。
●5.修改目標表的數據。
以上5個過程分析下來為:
●第1步:認證繞過
●第2步:遠程漏洞、代碼執行(機器碼)、認證繞過
●第3步:權限提升、認證繞過
●第4步:認證繞過
●第5步:數據寫
三步堵死SQL注入漏洞
[ 2007-03-25 03:30:30 | 作者: sun ]
SQL注入是什么?
許多網站程序在編寫時,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼(一般是在瀏覽器地址欄進行,通過正常的www端口訪問),根據程序返回的結果,獲得某些想得知的數據,這就是所謂的SQL Injection,即SQL注入。
網站的惡夢——SQL注入
SQL注入通過網頁對網站數據庫進行修改。它能夠直接在數據庫中添加具有管理員權限的用戶,從而最終獲得系統管理員權限。黑客可以利用獲得的管理員權限任意獲得網站上的文件或者在網頁上加掛木馬和各種惡意程序,對網站和訪問該網站的網友都帶來巨大危害。
防御SQL注入有妙法
第一步:很多新手從網上下載SQL通用防注入系統的程序,在需要防范注入的頁面頭部用 來防止別人進行手動注入測試(。
可是如果通過SQL注入分析器就可輕松跳過防注入系統并自動分析其注入點。然后只需要幾分鐘,你的管理員賬號及密碼就會被分析出來。
第二步:對于注入分析器的防范,筆者通過實驗,發現了一種簡單有效的防范方法。首先我們要知道SQL注入分析器是如何工作的。在操作過程中,發現軟件并不是沖著“admin”管理員賬號去的,而是沖著權限(如flag=1)去的。這樣一來,無論你的管理員賬號怎么變都無法逃過檢測。
第三步:既然無法逃過檢測,那我們就做兩個賬號,一個是普通的管理員賬號,一個是防止注入的賬號,為什么這么說呢?筆者想,如果找一個權限最大的賬號制造假象,吸引軟件的檢測,而這個賬號里的內容是大于千字以上的中文字符,就會迫使軟件對這個賬號進行分析的時候進入全負荷狀態甚至資源耗盡而死機。下面我們就來修改數據庫吧。
1.對表結構進行修改。將管理員的賬號字段的數據類型進行修改,文本型改成最大字段255(其實也夠了,如果還想做得再大點,可以選擇備注型),密碼的字段也進行相同設置。
2.對表進行修改。設置管理員權限的賬號放在ID1,并輸入大量中文字符(最好大于100個字)。
3.把真正的管理員密碼放在ID2后的任何一個位置(如放在ID549上)。
我們通過上面的三步完成了對數據庫的修改。
這時是不是修改結束了呢?其實不然,要明白你做的ID1賬號其實也是真正有權限的賬號,現在計算機處理速度那么快,要是遇上個一定要將它算出來的軟件,這也是不安全的。我想這時大多數人已經想到了辦法,對,只要在管理員登錄的頁面文件中寫入字符限制就行了!就算對方使用這個有上千字符的賬號密碼也會被擋住的,而真正的密碼則可以不受限制。
許多網站程序在編寫時,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼(一般是在瀏覽器地址欄進行,通過正常的www端口訪問),根據程序返回的結果,獲得某些想得知的數據,這就是所謂的SQL Injection,即SQL注入。
網站的惡夢——SQL注入
SQL注入通過網頁對網站數據庫進行修改。它能夠直接在數據庫中添加具有管理員權限的用戶,從而最終獲得系統管理員權限。黑客可以利用獲得的管理員權限任意獲得網站上的文件或者在網頁上加掛木馬和各種惡意程序,對網站和訪問該網站的網友都帶來巨大危害。
防御SQL注入有妙法
第一步:很多新手從網上下載SQL通用防注入系統的程序,在需要防范注入的頁面頭部用 來防止別人進行手動注入測試(。
可是如果通過SQL注入分析器就可輕松跳過防注入系統并自動分析其注入點。然后只需要幾分鐘,你的管理員賬號及密碼就會被分析出來。
第二步:對于注入分析器的防范,筆者通過實驗,發現了一種簡單有效的防范方法。首先我們要知道SQL注入分析器是如何工作的。在操作過程中,發現軟件并不是沖著“admin”管理員賬號去的,而是沖著權限(如flag=1)去的。這樣一來,無論你的管理員賬號怎么變都無法逃過檢測。
第三步:既然無法逃過檢測,那我們就做兩個賬號,一個是普通的管理員賬號,一個是防止注入的賬號,為什么這么說呢?筆者想,如果找一個權限最大的賬號制造假象,吸引軟件的檢測,而這個賬號里的內容是大于千字以上的中文字符,就會迫使軟件對這個賬號進行分析的時候進入全負荷狀態甚至資源耗盡而死機。下面我們就來修改數據庫吧。
1.對表結構進行修改。將管理員的賬號字段的數據類型進行修改,文本型改成最大字段255(其實也夠了,如果還想做得再大點,可以選擇備注型),密碼的字段也進行相同設置。
2.對表進行修改。設置管理員權限的賬號放在ID1,并輸入大量中文字符(最好大于100個字)。
3.把真正的管理員密碼放在ID2后的任何一個位置(如放在ID549上)。
我們通過上面的三步完成了對數據庫的修改。
這時是不是修改結束了呢?其實不然,要明白你做的ID1賬號其實也是真正有權限的賬號,現在計算機處理速度那么快,要是遇上個一定要將它算出來的軟件,這也是不安全的。我想這時大多數人已經想到了辦法,對,只要在管理員登錄的頁面文件中寫入字符限制就行了!就算對方使用這個有上千字符的賬號密碼也會被擋住的,而真正的密碼則可以不受限制。
新手看招:網絡服務器安全維護技巧
[ 2007-03-25 03:30:21 | 作者: sun ]
這篇文章是本人對平時對服務器網絡安全的一些接觸而總結下來的一些心得,是一些基本的常識,適合入門級的服務器管護人員閱讀,希望不會在老資歷的技術員面前見笑。
首先,我們可以分析一下,對網絡服務器的惡意網絡行為包括兩個方面:一是惡意的攻擊行為,如拒絕服務攻擊,網絡病毒等等,這些行為旨在消耗服務器資源,影響服務器的正常運作,甚至服務器所在網絡的癱瘓;另外一個就是惡意的入侵行為,這種行為更是會導致服務器敏感信息泄露,入侵者更是可以為所欲為,肆意破壞服務器。所以我們要保證網絡服務器的安全可以說就是盡量減少網絡服務器受這兩種行為的影響。
基于windows做操作系統的服務器在中國市場的份額以及國人對該操作系統的了解程度,我在這里談談個人對維護windows網絡服務器安全的一些個人意見。
如何避免網絡服務器受網上那些惡意的攻擊行為。
(一) 構建好你的硬件安全防御系統
選用一套好的安全系統模型。一套完善的安全模型應該包括以下一些必要的組件:防火墻、入侵檢測系統、路由系統等。
防火墻在安全系統中扮演一個保安的角色,可以很大程度上保證來自網絡的非法訪問以及數據流量攻擊,如拒絕服務攻擊等;入侵檢測系統則是扮演一個監視器的角色,監視你的服務器出入口,非常智能地過濾掉那些帶有入侵和攻擊性質的訪問。
(二) 選用英文的操作系統
要知道,windows畢竟美國微軟的東西,而微軟的東西一向都是以Bug 和 Patch多而著稱,中文版的Bug遠遠要比英文版多,而中文版的補丁向來是比英文版出的晚,也就是說,如果你的服務器上裝的是中文版的windows系統,微軟漏洞公布之后你還需要等上一段時間才能打好補丁,也許黑客、病毒就利用這段時間入侵了你的系統。
如何防止網絡服務器不被黑客入侵:
首先,作為一個黑客崇拜者,我想說一句,世界上沒有絕對安全的系統。我們只可以盡量避免被入侵,最大的程度上減少傷亡。
(一) 采用NTFS文件系統格式
大家都知道,我們通常采用的文件系統是FAT或者FAT32,NTFS是微軟Windows NT內核的系列操作系統支持的、一個特別為網絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。NTFS文件系統里你可以為任何一個磁盤分區單獨設置訪問權限。把你自己的敏感信息和服務信息分別放在不同的磁盤分區。這樣即使黑客通過某些方法獲得你的服務文件所在磁盤分區的訪問權限,還需要想方設法突破系統的安全設置才能進一步訪問到保存在其他磁盤上的敏感信息。
(二)做好系統備份
常言道,“有備無患”,雖然誰都不希望系統突然遭到破壞,但是不怕一萬,就怕萬一,作好服務器系統備份,萬一遭破壞的時候也可以及時恢復。
(三)關閉不必要的服務,只開該開的端口
關閉那些不必要開的服務,做好本地管理和組管理。Windows系統有很多默認的服務其實沒必要開的,甚至可以說是危險的,比如:默認的共享遠程注冊表訪問(Remote Registry Service),系統很多敏感的信息都是寫在注冊表里的,如pcanywhere的加密密碼等。
關閉那些不必要的端口。一些看似不必要的端口,確可以向黑客透露許多操作系統的敏感信息,如windows 2000 server默認開啟的IIS服務就告訴對方你的操作系統是windows 2000。69端口告訴黑客你的操作系統極有可能是linux或者unix系統,因為69是這些操作系統下默認的tftp服務使用的端口。對端口的進一步訪問,還可以返回該服務器上軟件及其版本的一些信息,這些對黑客的入侵都提供了很大的幫助。此外,開啟的端口更有可能成為黑客進入服務器的門戶。
總之,做好TCP/IP端口過濾不但有助于防止黑客入侵,而且對防止病毒也有一定的幫助。
(四)軟件防火墻、殺毒軟件
雖然我們已經有了一套硬件的防御系統,但是“保鏢”多幾個也不是壞事。
(五)開啟你的事件日志
雖然開啟日志服務雖然說對阻止黑客的入侵并沒有直接的作用,但是通過他記錄黑客的行蹤,我們可以分析入侵者在我們的系統上到底做過什么手腳,給我們的系統到底造成了哪些破壞及隱患,黑客到底在我們的系統上留了什么樣的后門,我們的服務器到底還存在哪些安全漏洞等等。如果你是高手的話,你還可以設置密罐,等待黑客來入侵,在他入侵的時候把他逮個正著。
識別常見Web應用安全漏洞 有效防止入侵
[ 2007-03-25 03:30:08 | 作者: sun ]
在Internet大眾化及Web技術飛速演變的今天,在線安全所面臨的挑戰日益嚴峻。伴隨著在線信息和服務的可用性的提升,以及基子Web的攻擊和破壞的增長,安全風險達到了前所未有的高度。由于眾多安全工作集中在網絡本身上面,Web應用程序幾乎被遺忘了。也許這是因為應用程序過去常常是在一臺計算機上運行的獨立程序,如果這臺計算機安全的話,那么應用程序就是安全的。如今,情況大不一樣了,Web應用程序在多種不同的機器上運行:客戶端、Web服務器、數據庫服務器和應用服務器。而且,因為他們一般可以讓所有的人使用,所以這些應用程序成為了眾多攻擊活動的后臺旁路。
由于Web服務器提供了幾種不同的方式將請求轉發給應用服務器,并將修改過的或新的網頁發回給最終用戶,這使得非法闖入網絡變得更加容易。
而且,許多程序員不知道如何開發安全的應用程序。他們的經驗也許是開發獨立應用程序或Intranet Web應用程序,這些應用程序沒有考慮到在安全缺陷被利用時可能會出現災難性后果。
其次,許多Web應用程序容易受到通過服務器、應用程序和內部已開發的代碼進行的攻擊。這些攻擊行動直接通過了周邊防火墻安全措施,因為端口80或443(SSL,安全套接字協議層)必須開放,以便讓應用程序正常運行。Web應用程序攻擊包括對應用程序本身的DoS(拒絕服務)攻擊、改變網頁內容以及盜走企業的關鍵信息或用戶信息等。
總之,Web應用攻擊之所以與其他攻擊不同,是因為它們很難被發現,而且可能來自任何在線用戶,甚至是經過驗證的用戶。迄今為止,該方面尚未受到重視,因為企業用戶主要使用防火墻和入侵檢測解決方案來保護其網絡的安全,而防火墻和入侵檢測解決方案發現不了Web攻擊行動。
常見的Web應用安全漏洞
下面將列出一系列通常會出現的安全漏洞,并且簡單解釋一下這些漏洞是如何產生的。
已知弱點和錯誤配置
已知弱點包括Web應用使用的操作系統和第三方應用程序中的所有程序錯誤或者可以被利用的漏洞。這個問題也涉及到錯誤配置,包含有不安全的默認設置或管理員沒有進行安全配置的應用程序。一個很好的例子就是你的Web服務器被配置成可以讓任何用戶從系統上的任何目錄路徑通過,這樣可能會導致泄露存儲在Web服務器上的一些敏感信息,如口令、源代碼或客戶信息等。
隱藏字段
在許多應用中,隱藏的HTML格式字段被用來保存系統口令或商品價格。盡管其名稱如此,但這些字段并不是很隱蔽的,任何在網頁上執行“查看源代碼”的人都能看見。許多Web應用允許惡意的用戶修改HTML源文件中的這些字段,為他們提供了以極小成本或無需成本購買商品的機會。這些攻擊行動之所以成功,是因為大多數應用沒有對返回網頁進行驗證;相反,它們認為輸入數據和輸出數據是一樣的。
后門和調試漏洞
開發人員常常建立一些后門并依靠調試來排除應用程序的故障。在開發過程中這樣做可以,但這些安全漏洞經常被留在一些放在Internet上的最終應用中。一些常見的后門使用戶不用口令就可以登錄或者訪問允許直接進行應用配置的特殊URL。
跨站點腳本編寫
一般來說,跨站點編寫腳本是將代碼插入由另一個源發送的網頁之中的過程。利用跨站點編寫腳本的一種方式是通過HTML格式,將信息帖到公告牌上就是跨站點腳本編寫的一個很好范例。惡意的用戶會在公告牌上帖上包含有惡意的JavaScript代碼的信息。當用戶查看這個公告牌時,服務器就會發送HTML與這個惡意的用戶代碼一起顯示。客戶端的瀏覽器會執行該代碼,因為它認為這是來自Web服務器的有效代碼。
參數篡改
參數篡改包括操縱URL字符串,以檢索用戶以其他方式得不到的信息。訪問Web應用的后端數據庫是通過常常包含在URL中的SQL調用來進行的。惡意的用戶可以操縱SQL代碼,以便將來有可能檢索一份包含所有用戶、口令、信用卡號的清單或者儲存在數據庫中的任何其他數據。
由于Web服務器提供了幾種不同的方式將請求轉發給應用服務器,并將修改過的或新的網頁發回給最終用戶,這使得非法闖入網絡變得更加容易。
而且,許多程序員不知道如何開發安全的應用程序。他們的經驗也許是開發獨立應用程序或Intranet Web應用程序,這些應用程序沒有考慮到在安全缺陷被利用時可能會出現災難性后果。
其次,許多Web應用程序容易受到通過服務器、應用程序和內部已開發的代碼進行的攻擊。這些攻擊行動直接通過了周邊防火墻安全措施,因為端口80或443(SSL,安全套接字協議層)必須開放,以便讓應用程序正常運行。Web應用程序攻擊包括對應用程序本身的DoS(拒絕服務)攻擊、改變網頁內容以及盜走企業的關鍵信息或用戶信息等。
總之,Web應用攻擊之所以與其他攻擊不同,是因為它們很難被發現,而且可能來自任何在線用戶,甚至是經過驗證的用戶。迄今為止,該方面尚未受到重視,因為企業用戶主要使用防火墻和入侵檢測解決方案來保護其網絡的安全,而防火墻和入侵檢測解決方案發現不了Web攻擊行動。
常見的Web應用安全漏洞
下面將列出一系列通常會出現的安全漏洞,并且簡單解釋一下這些漏洞是如何產生的。
已知弱點和錯誤配置
已知弱點包括Web應用使用的操作系統和第三方應用程序中的所有程序錯誤或者可以被利用的漏洞。這個問題也涉及到錯誤配置,包含有不安全的默認設置或管理員沒有進行安全配置的應用程序。一個很好的例子就是你的Web服務器被配置成可以讓任何用戶從系統上的任何目錄路徑通過,這樣可能會導致泄露存儲在Web服務器上的一些敏感信息,如口令、源代碼或客戶信息等。
隱藏字段
在許多應用中,隱藏的HTML格式字段被用來保存系統口令或商品價格。盡管其名稱如此,但這些字段并不是很隱蔽的,任何在網頁上執行“查看源代碼”的人都能看見。許多Web應用允許惡意的用戶修改HTML源文件中的這些字段,為他們提供了以極小成本或無需成本購買商品的機會。這些攻擊行動之所以成功,是因為大多數應用沒有對返回網頁進行驗證;相反,它們認為輸入數據和輸出數據是一樣的。
后門和調試漏洞
開發人員常常建立一些后門并依靠調試來排除應用程序的故障。在開發過程中這樣做可以,但這些安全漏洞經常被留在一些放在Internet上的最終應用中。一些常見的后門使用戶不用口令就可以登錄或者訪問允許直接進行應用配置的特殊URL。
跨站點腳本編寫
一般來說,跨站點編寫腳本是將代碼插入由另一個源發送的網頁之中的過程。利用跨站點編寫腳本的一種方式是通過HTML格式,將信息帖到公告牌上就是跨站點腳本編寫的一個很好范例。惡意的用戶會在公告牌上帖上包含有惡意的JavaScript代碼的信息。當用戶查看這個公告牌時,服務器就會發送HTML與這個惡意的用戶代碼一起顯示。客戶端的瀏覽器會執行該代碼,因為它認為這是來自Web服務器的有效代碼。
參數篡改
參數篡改包括操縱URL字符串,以檢索用戶以其他方式得不到的信息。訪問Web應用的后端數據庫是通過常常包含在URL中的SQL調用來進行的。惡意的用戶可以操縱SQL代碼,以便將來有可能檢索一份包含所有用戶、口令、信用卡號的清單或者儲存在數據庫中的任何其他數據。
解決IE被惡意修改方法總結
[ 2007-03-25 03:29:56 | 作者: sun ]
經常聽到別人說自己電腦的IE被惡意修改了,我也曾經經常遇到過,做事做的好好,突然蹦出個網頁實在是郁悶到極點啊。后來我就在網上亂搜一通,簡單總結了下他們的方法特在此版塊發給新手門,尤其是玩黑的!
大概有下面幾種解決方法吧。
一、修改IE工具欄
在一般情況下,IE首頁的修改可以通過IE工具欄里的“工具”-“Internet選項”-“常規”-“主頁”功能模塊來實現。
在彈出的窗口里,用戶只要在“可更改主頁”的地址欄中輸入自己經常使用的網址然后再點擊下面的“使用當前頁”按鈕就可以將其設為自己的IE首頁了;如果是點擊了“使用默認頁”則一般會使IE首頁調整為微軟中國公司的主頁;至于“使用空白頁”選項則是讓IE首頁顯示為“about:blank”字樣的空白頁,這樣便于輸入網址。
二、修改注冊表
很多情況下,由于受了惡意程序的控制,或中了木馬病毒,上面的方法根本不奏效,甚至有時候,“可更改主頁”的地址欄都變成了灰色,無法再進行調整;有時候,即使你把網址改回來了,再開啟IE瀏覽器,那個惡意網址又跑回來了。 實在是頭大~~如果這樣的話,最通常的辦法就是修改注冊表文件。
我們首先啟動Windows的注冊表編輯器,具體方法是點擊Windows界面左下角的“開始”按鈕,再選擇“運行”,在彈出的對話框中輸入“regedit”就可以進入注冊表編輯器了。
IE首頁的注冊表文件是放在:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page下的,而這個子鍵的鍵值就是IE首頁的網址。以筆者的電腦為例,鍵值是http://www.hao123.com,它是可以修改的,用戶可以改為自己常用的網址,或是改為“about: blank”,即空白頁。這樣,你重啟IE就可以看到效果了。
如果這種方法也不能奏效,那就是因為一些病毒或是流氓軟件在你的電腦里面安裝了一個自運行程序,就算你通過修改注冊表恢復了IE首頁,但是你一重新啟動電腦,這個程序就會自動運行再次篡改。
這時候,我們需要對注冊表文件進行更多的修改,運行“regedit”,然后依次展開HKEY_LOCAL_
MACHINE\Software\Microsoft\Windows\Current Version\Run主鍵,然后將其下的不知明的啟動子鍵值刪除,然后對應刪除其不知明的自運行程序文件,最后從IE選項中重新設置起始頁就好了。
除了上面的情況外,有些IE被改了首頁后,即使設置了“使用默認頁”仍然無效,這是因為IE起始頁的默認頁也被篡改啦。對于這種情況,我們同樣可以通過修改注冊表來解決,運行“regedit”展開:HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\
Default_Page_URL子鍵,然后將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了,或者設置為IE的默認值。
三、使用IE修復軟件
雖然修改注冊表的方法十分有效,但是對于一般的電腦用戶來說較為專業,而且編輯過程中也涉及到了比較多的英語。因此,我們在這里介紹大家使用一些專門的修復工具。
一般來說,IE修復工具有兩大類。一是商業機構提供的輔助性工具,如瑞星注冊表修復工具、3721的上網助手中附帶的IE修復專家、超級兔子中的IE修復工具等等,這些軟件大多捆綁在商業軟件或是工具軟件中,有些還需要付費才能夠使用。其特點是,功能強大,建議經濟實力較強的用戶使用。
其中瑞星的注冊表修復工具是可以免費單獨下載的,具體的使用辦法可以參考這些軟件的幫助文件。
還有一點就是看系統啟動項在運行里輸入msconfig 查看啟動項,你在這里可以查到每次開機時訪問的網站URL地址,還有一種是在啟動欄中有一個連接到本機的連接,該連接有可能是連接到一個*.js的文件,查找時要細心,左邊的選勾去掉后,再按照路徑把*.JS文件刪除,然后重新啟動系統就可以了。
大概有下面幾種解決方法吧。
一、修改IE工具欄
在一般情況下,IE首頁的修改可以通過IE工具欄里的“工具”-“Internet選項”-“常規”-“主頁”功能模塊來實現。
在彈出的窗口里,用戶只要在“可更改主頁”的地址欄中輸入自己經常使用的網址然后再點擊下面的“使用當前頁”按鈕就可以將其設為自己的IE首頁了;如果是點擊了“使用默認頁”則一般會使IE首頁調整為微軟中國公司的主頁;至于“使用空白頁”選項則是讓IE首頁顯示為“about:blank”字樣的空白頁,這樣便于輸入網址。
二、修改注冊表
很多情況下,由于受了惡意程序的控制,或中了木馬病毒,上面的方法根本不奏效,甚至有時候,“可更改主頁”的地址欄都變成了灰色,無法再進行調整;有時候,即使你把網址改回來了,再開啟IE瀏覽器,那個惡意網址又跑回來了。 實在是頭大~~如果這樣的話,最通常的辦法就是修改注冊表文件。
我們首先啟動Windows的注冊表編輯器,具體方法是點擊Windows界面左下角的“開始”按鈕,再選擇“運行”,在彈出的對話框中輸入“regedit”就可以進入注冊表編輯器了。
IE首頁的注冊表文件是放在:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page下的,而這個子鍵的鍵值就是IE首頁的網址。以筆者的電腦為例,鍵值是http://www.hao123.com,它是可以修改的,用戶可以改為自己常用的網址,或是改為“about: blank”,即空白頁。這樣,你重啟IE就可以看到效果了。
如果這種方法也不能奏效,那就是因為一些病毒或是流氓軟件在你的電腦里面安裝了一個自運行程序,就算你通過修改注冊表恢復了IE首頁,但是你一重新啟動電腦,這個程序就會自動運行再次篡改。
這時候,我們需要對注冊表文件進行更多的修改,運行“regedit”,然后依次展開HKEY_LOCAL_
MACHINE\Software\Microsoft\Windows\Current Version\Run主鍵,然后將其下的不知明的啟動子鍵值刪除,然后對應刪除其不知明的自運行程序文件,最后從IE選項中重新設置起始頁就好了。
除了上面的情況外,有些IE被改了首頁后,即使設置了“使用默認頁”仍然無效,這是因為IE起始頁的默認頁也被篡改啦。對于這種情況,我們同樣可以通過修改注冊表來解決,運行“regedit”展開:HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\
Default_Page_URL子鍵,然后將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了,或者設置為IE的默認值。
三、使用IE修復軟件
雖然修改注冊表的方法十分有效,但是對于一般的電腦用戶來說較為專業,而且編輯過程中也涉及到了比較多的英語。因此,我們在這里介紹大家使用一些專門的修復工具。
一般來說,IE修復工具有兩大類。一是商業機構提供的輔助性工具,如瑞星注冊表修復工具、3721的上網助手中附帶的IE修復專家、超級兔子中的IE修復工具等等,這些軟件大多捆綁在商業軟件或是工具軟件中,有些還需要付費才能夠使用。其特點是,功能強大,建議經濟實力較強的用戶使用。
其中瑞星的注冊表修復工具是可以免費單獨下載的,具體的使用辦法可以參考這些軟件的幫助文件。
還有一點就是看系統啟動項在運行里輸入msconfig 查看啟動項,你在這里可以查到每次開機時訪問的網站URL地址,還有一種是在啟動欄中有一個連接到本機的連接,該連接有可能是連接到一個*.js的文件,查找時要細心,左邊的選勾去掉后,再按照路徑把*.JS文件刪除,然后重新啟動系統就可以了。
老話新說:iexplore.exe是進程還是病毒
[ 2007-03-25 03:29:45 | 作者: sun ]
iexplore.exe是Microsoft Internet Explorer的主程序。這個微軟Windows應用程序讓你在網上沖浪,和訪問本地Interanet網絡。這不是純粹的系統程序,但是如果終止它,可能會導致不可知的問題。iexplore.exe同時也是Avant網絡瀏覽器的一部分,這是一個免費的基于Internet Explorer的瀏覽器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒,該病毒會終止你的反病毒軟件,和一些Windows系統工具,該進程的安全等級是建議刪除。
這個東西可以說是病毒,也可以說不是病毒。
因為微軟的瀏覽器就是IEXPLORE.EXE,但是它一般情況隨系統被安裝在C:\Program Files\Internet Explorer下面。那么,如果發現這個文件是在這個目錄下面的,一般情況不是病毒,當然,不包括已經被感染了的情況;還有一種情況,就是IEXPLORE.EXE在C:\WINDOWS\system32\下面,那么這個十有八九都是病毒。
系統進程--偽裝的病毒 iexplore.exe
Trojan.PowerSpider.ac 破壞方法:密碼解霸V8.10。又稱“密碼結巴”。偷用戶各種密碼,包含:游戲密碼、局域網密碼、騰訊QQ賬號和密碼、POP3 密碼、Win9x緩存密碼及撥號賬號等等。這個木馬所偷密碼的范圍很廣,對廣大互聯網用戶的潛在威脅也巨大。
現象:
1、系統進程中有iexplore.exe運行,注意,是小寫字母;
2、搜索該程序iexplore.exe,不是位于C盤下的PROGRAMME文件夾,而是WINDOWS32文件夾。
解決辦法:
1、到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全刪除之。
2、到注冊表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion \\Run “mssysint”= iexplore.exe,刪除其鍵值。
安全防范 防止黑客入侵ADSL的一些技巧
[ 2007-03-25 03:29:34 | 作者: sun ]
隨著各地ADSL網絡的蓬勃發展,實現永久連接、隨時在線已不再是遙遠的夢,但是,我們必須明白,永久連入Internet同樣也意味著遭受入侵的可能性大大增加。知己知彼,方能百戰不殆,讓我們了解一下黑客入侵ADSL用戶的方法和防范手段吧。
黑客入侵ADSL用戶的方法
在很多地方都是包月制的,這樣的話,黑客就可以用更長的時間進行端口以及漏洞的掃描,甚至采用在線暴力破解的方法盜取密碼,或者使用嗅探工具守株待兔般等待對方自動把用戶名和密碼送上門。
要完成一次成功的網絡攻擊,一般有以下幾步。第一步就是要收集目標的各種信息,為了對目標進行徹底分析,必須盡可能收集攻擊目標的大量有效信息,以便最后分析得到目標的漏洞列表。分析結果包括:操作系統類型,操作系統的版本,打開的服務,打開服務的版本,網絡拓撲結構,網絡設備,防火墻。
黑客掃描使用的主要是TCP/IP堆棧指紋的方法。實現的手段主要是三種:
1.TCP ISN采樣:尋找初始化序列規定長度與特定的OS是否匹配。
2.FIN探測:發送一個FIN包(或者是任何沒有ACK或SYN標記的包)到目標的一個開放的端口,然后等待回應。許多系統會返回一個RESET(復位標記)。
3.利用BOGUS標記:通過發送一個SYN包,它含有沒有定義的TCP標記的TCP頭,利用系統對標記的不同反應,可以區分一些操作系統。
4.利用TCP的初始化窗口:只是簡單地檢查返回包里包含的窗口長度,根據大小來唯一確認各個操作系統。
掃描技術雖然很多,原理卻很簡單。這里簡單介紹一下掃描工具Nmap(Network mapper)。這號稱是目前最好的掃描工具,功能強大,用途多樣,支持多種平臺,靈活機動,方便易用,攜帶性強,留跡極少;不但能掃描出TCP/UDP端口,還能用于掃描/偵測大型網絡。
注意這里使用了一些真實的域名,這樣可以讓掃描行為看起來更具體。你可以用自己網絡里的名稱代替其中的addresses/names。你最好在取得允許后再進行掃描,否則后果可要你自己承擔哦。
nmap -v target.example.com
這個命令對target.example.com上所有的保留TCP端口做了一次掃描,-v表示用詳細模式。
nmap -sS -O target.example.com/24
這個命令將開始一次SYN的半開掃描,針對的目標是target.example.com所在的C類子網,它還試圖確定在目標上運行的是什么操作系統。這個命令需要管理員權限,因為用到了半開掃描以及系統偵測。
發動攻擊的第二步就是與對方建立連接,查找登錄信息。現在假設通過掃描發現對方的機器建立有IPC$。IPC$是共享“命名管道”的資源,它對于程序間的通訊很重要,在遠程管理計算機和查看計算機的共享資源時都會用到。利用IPC$,黑客可以與對方建立一個空連接(無需用戶名和密碼),而利用這個空連接,就可以獲得對方的用戶列表。
第三步,使用合適的工具軟件登錄。打開命令行窗口,鍵入命令:net use 222.222.222.222ipc$ “administrator” /user:123456
這里我們假設administrator的密碼是123456。如果你不知道管理員密碼,還需要找其他密碼破解工具幫忙。登錄進去之后,所有的東西就都在黑客的控制之下了。
防范方法
因為ADSL用戶一般在線時間比較長,所以安全防護意識一定要加強。每天上網十幾個小時,甚至通宵開機的人不在少數吧,而且還有人把自己的機器做成Web或者ftp服務器供其他人訪問。日常的防范工作一般可分為下面的幾個步驟來作。
步驟一,一定要把Guest帳號禁用。有很多入侵都是通過這個帳號進一步獲得管理員密碼或者權限的。如果不想把自己的計算機給別人當玩具,那還是禁止的好。打開控制面板,雙擊“用戶和密碼”,選擇“高級”選項卡。單擊“高級”按鈕,彈出本地用戶和組窗口。在Guest帳號上面點擊右鍵,選擇屬性,在“常規”頁中選中“帳戶已停用”。
步驟二,停止共享。Windows 2000安裝好之后,系統會創建一些隱藏的共享。點擊開始→運行→cmd,然后在命令行方式下鍵入命令“net share”就可以查看它們。網上有很多關于IPC入侵的文章,都利用了默認共享連接。要禁止這些共享,打開管理工具→計算機管理→共享文件夾→共享,在相應的共享文件夾上按右鍵,點“停止共享”就行了。
步驟三,盡量關閉不必要的服務,如Terminal Services、IIS(如果你沒有用自己的機器作Web服務器的話)、RAS(遠程訪問服務)等。還有一個挺煩人的Messenger服務也要關掉,否則總有人用消息服務發來網絡廣告。打開管理工具→計算機管理→服務和應用程序→服務,看見沒用的就關掉。
步驟四,禁止建立空連接。在默認的情況下,任何用戶都可以通過空連接連上服務器,枚舉帳號并猜測密碼。我們必須禁止建立空連接,方法有以下兩種:
(1)修改注冊表:
HKEY_Local_MachineSystemCurrent-ControlSetControlLSA
下,將DWORD值RestrictAnonymous的鍵值改成1。
(2)修改Windows 2000的本地安全策略:
設置“本地安全策略→本地策略→選項”中的RestrictAnonymous(匿名連接的額外限制)為“不容許枚舉SAM賬號和共享”。
步驟五,如果開放了Web服務,還需要對IIS服務進行安全配置:
(1) 更改Web服務主目錄。右鍵單擊“默認Web站點→屬性→主目錄→本地路徑”,將“本地路徑”指向其他目錄。
(2) 刪除原默認安裝的Inetpub目錄。
(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
(4) 刪除不必要的IIS擴展名映射。方法是:右鍵單擊“默認Web站點→屬性→主目錄→配置”,打開應用程序窗口,去掉不必要的應用程序映射。如不用到其他映射,只保留.asp、.asa即可。
(5) 備份IIS配置。可使用IIS的備份功能,將設定好的IIS配置全部備份下來,這樣就可以隨時恢復IIS的安全配置。
不要以為這樣就萬事大吉,微軟的操作系統我們又不是不知道,bug何其多,所以一定要把微軟的補丁打全。
最后,建議大家選擇一款實用的防火墻。比如Network ICE Corporation公司出品的Black ICE。它的安裝和運行十分簡單,就算對網絡安全不太熟悉也沒有關系,使用缺省的配置就能檢測絕大多數類型的黑客攻擊。對于有經驗的用戶,還可以選擇“Tools”中的“Advanced Firewall Settings”,來針對特定的IP地址或者UDP的特定端口進行接受或拒絕配置,以達到特定的防御效果。
教你防黑之小心防范RM,WMV木馬的方法
[ 2007-03-25 03:29:23 | 作者: sun ]
(一)RM、RMVB文件中加入木馬的方式
Helix Producer Plus是一款圖形化的專業流媒體文件制作工具,這款軟件把其他格式的文件轉換成RM或RMVB格式,也可以對已存在的RM文件進行重新編輯,在編輯的同時,我們可以把事先準備好的網頁木馬插入其中。這樣只要一打開這個編輯好的媒體文件,插入在其中的網頁木馬也會隨之打開,甚至還能控制網頁木馬打開的時間,讓網頁木馬更隱蔽。
(二)WMV、WMA文件中加入木馬的方式
對于WMA、WMV文件,是利用其默認的播放器Windows Media Player的“Microsoft Windows媒體播放器數字權限管理加載任意網頁漏洞”來插入木馬。當播放已經插入木馬的惡意文件時,播放器首先會彈出一個提示窗口,說明此文件經過DRM加密需要通過URL驗證證書,而這個URL就是事先設置好的網頁木馬地址,當用戶點擊“是”進行驗證時,種馬便成功了。和RM文件種馬一樣,在WMV文件中插入木馬我們還需要一樣工具――WMDRM打包加密器,這是一款可以對WMA、WMV進行DRM加密的文件,軟件本身是為了保護媒體文件的版權,但在攻擊者手中,便成了黑客的幫兇。
(三)防御方法
1.看影片之前,用Helix Producer Plus 9的rmevents.exe清空了影片的剪輯信息,這樣就不會出現指定時間打開指定窗口的事件了。(適合RM木馬)
2.升級所有的IE補丁,畢竟RM木馬實際上也是靠IE漏洞執行的。(適合RM木馬)
3.用網絡防火墻屏蔽RealPlayer對網絡的訪問權限。(適合RM木馬)
4.換其他播放器,如:夢幻鼎點播放器、暴風影音、Mplayer等。(適合兩款木馬)
5.及時升級殺毒軟件的病毒庫,升級兩個媒體播放軟件的補丁。(適合兩款木馬)
ARP協議的缺陷及ARP欺騙的防范
[ 2007-03-25 03:29:12 | 作者: sun ]
一、ARP協議工作原理
在TCP/IP協議中,每一個網絡結點是用IP地址標識的,IP地址是一個邏輯地址。而在以太網中數據包是靠48位MAC地址(物理地址)尋址的。因此,必須建立IP地址與MAC地址之間的對應(映射)關系,ARP協議就是為完成這個工作而設計的。
TCP/IP協議棧維護著一個ARP cache表,在構造網絡數據包時,首先從ARP表中找目標IP對應的MAC地址,如果找不到,就發一個ARP request廣播包,請求具有該IP地址的主機報告它的MAC地址,當收到目標IP所有者的ARP reply后,更新ARP cache。ARP cache有老化機制。
二、ARP協議的缺陷
ARP協議是建立在信任局域網內所有結點的基礎上的,它很高效,但卻不安全。它是無狀態的協議,不會檢查自己是否發過請求包,也不管(其實也不知道)是否是合法的應答,只要收到目標MAC是自己的ARP reply包或arp廣播包(包括ARP request和ARP reply),都會接受并緩存。這就為ARP欺騙提供了可能,惡意節點可以發布虛假的ARP報文從而影響網內結點的通信,甚至可以做“中間人”。
三、常見ARP欺騙形式
1、假冒ARP reply包(單播)
XXX,I have IP YYY and my MAC is ZZZ!
2、假冒ARP reply包(廣播)
Hello everyone! I have IP YYY and my MAC is ZZZ!
向所有人散布虛假的IP/MAC
3、假冒ARP request(廣播)
I have IP XXX and my MAC is YYY.
Who has IP ZZZ? tell me please!
表面為找IP ZZZ的MAC,實際是廣播虛假的IP、MAC映射(XXX,YYY)
4、假冒ARP request(單播)
已知IP ZZZ的MAC
Hello IP ZZZ! I have IP XXX and my MAC is YYY.
5、假冒中間人
欺騙主機(MAC為MMM)上啟用包轉發
向主機AAA發假冒ARP Reply:
AAA,I have IP BBB and my MAC is MMM,
向主機BBB發假冒ARP Reply:
BBB,I have IP AAA and my MAC is MMM
由于ARP Cache的老化機制,有時還需要做周期性連續欺騙。
四、ARP欺騙的防范
1、運營商可采用Super VLAN或PVLAN技術
所謂Super VLAN也叫VLAN聚合,這種技術在同一個子網中化出多個Sub VLAN,而將整個IP子網指定為一個VLAN聚合(Super VLAN),所有的Sub VLAN都使用Super VLAN的默認網關IP地址,不同的Sub VLAN仍保留各自獨立的廣播域。子網中的所有主機只能與自己的默認網關通信。如果將交換機或IP DSLAM設備的每個端口化為一個Sub VLAN,則實現了所有端口的隔離,也就避免了ARP欺騙。Super VLAN的例子參見:
http://publish.it168.com/2004/0316/200403160005101.shtml
PVLAN即私有VLAN(Private VLAN) ,PVLAN采用兩層VLAN隔離技術,只有上層VLAN全局可見,下層VLAN相互隔離。如果將交換機或IP DSLAM設備的每個端口化為一個(下層)VLAN,則實現了所有端口的隔離。
PVLAN的例子參見:
http://network.51cto.com/art/200509/3644.htm
PVLAN和SuperVLAN技術都可以實現端口隔離,但實現方式、出發點不同。PVLAN是為了節省VLAN,而SuperVlan的初衷是節省IP地址。
2、單位局域網可采用IP與MAC綁定
在PC上IP+MAC綁,網絡設備上IP+MAC+端口綁。但不幸的是Win 98/me、未打arp補丁的win 2000/xp sp1(現在大多都已經打過了)等系統 使用arp -s所設置的靜態ARP項還是會被ARP欺騙所改變。
如果網絡設備上只做IP+MAC綁定,其實也是不安全的,假如同一二層下的某臺機器發偽造的arp reply(源ip和源mac都填欲攻擊的那臺機子的)給網關,還是會造成網關把流量送到欺騙者所連的那個(物理)端口從而造成網絡不通。
對于采用了大量傻瓜交換機的局域網,用戶自己可以采取支持arp過濾的防火墻等方法。推薦Look ‘n’Stop防火墻,支持arp協議規則自定義。
最后就是使用ARPGuard啦(才拉到正題上),但它只是保護主機和網關間的通訊。
五、ARPGuard的原理
ARPGuard可以保護主機和網關的通訊不受ARP欺騙的影響。
1、第一次運行(或檢測到網關IP改變)時獲取網關對應的MAC地址,將網卡信息、網關IP、網關MAC等信息保存到配置文件中,其他時候直接使用配置文件。
2、移去原默認路由(當前網卡的)
3、產生一個隨機IP,將它添加成默認網關。
4、默認網關IP 和網關的MAC綁定(使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表項)
5、周期性檢測ARP Cache中原默認網關(不是隨機IP那個) 網關的MAC在ARP Cache的值是否被改寫,若被改寫就報警。
6、針對有些攻擊程序只給網關設備(如路由器或三層交換機)發欺騙包的情況。由于此時本機ARP Cache中網關MAC并未被改變,因此只有主動防護,即默認每秒發10個ARP reply包來維持網關設備的ARP Cache(可選)
7、程序結束時恢復默認網關和路由。
值得說明的是程序中限定了發包間隔不低于100ms,主要是怕過量的包對網絡設備造成負擔。如果你遭受的攻擊太猛烈,你也可以去掉這個限制,設定一個更小的數值,保證你的通訊正常。
附ARPGuard 源碼:http://allyesno.gbaopan.com/files/580c66c8b1fa438285f20a5c2d208b6e.gbp
在TCP/IP協議中,每一個網絡結點是用IP地址標識的,IP地址是一個邏輯地址。而在以太網中數據包是靠48位MAC地址(物理地址)尋址的。因此,必須建立IP地址與MAC地址之間的對應(映射)關系,ARP協議就是為完成這個工作而設計的。
TCP/IP協議棧維護著一個ARP cache表,在構造網絡數據包時,首先從ARP表中找目標IP對應的MAC地址,如果找不到,就發一個ARP request廣播包,請求具有該IP地址的主機報告它的MAC地址,當收到目標IP所有者的ARP reply后,更新ARP cache。ARP cache有老化機制。
二、ARP協議的缺陷
ARP協議是建立在信任局域網內所有結點的基礎上的,它很高效,但卻不安全。它是無狀態的協議,不會檢查自己是否發過請求包,也不管(其實也不知道)是否是合法的應答,只要收到目標MAC是自己的ARP reply包或arp廣播包(包括ARP request和ARP reply),都會接受并緩存。這就為ARP欺騙提供了可能,惡意節點可以發布虛假的ARP報文從而影響網內結點的通信,甚至可以做“中間人”。
三、常見ARP欺騙形式
1、假冒ARP reply包(單播)
XXX,I have IP YYY and my MAC is ZZZ!
2、假冒ARP reply包(廣播)
Hello everyone! I have IP YYY and my MAC is ZZZ!
向所有人散布虛假的IP/MAC
3、假冒ARP request(廣播)
I have IP XXX and my MAC is YYY.
Who has IP ZZZ? tell me please!
表面為找IP ZZZ的MAC,實際是廣播虛假的IP、MAC映射(XXX,YYY)
4、假冒ARP request(單播)
已知IP ZZZ的MAC
Hello IP ZZZ! I have IP XXX and my MAC is YYY.
5、假冒中間人
欺騙主機(MAC為MMM)上啟用包轉發
向主機AAA發假冒ARP Reply:
AAA,I have IP BBB and my MAC is MMM,
向主機BBB發假冒ARP Reply:
BBB,I have IP AAA and my MAC is MMM
由于ARP Cache的老化機制,有時還需要做周期性連續欺騙。
四、ARP欺騙的防范
1、運營商可采用Super VLAN或PVLAN技術
所謂Super VLAN也叫VLAN聚合,這種技術在同一個子網中化出多個Sub VLAN,而將整個IP子網指定為一個VLAN聚合(Super VLAN),所有的Sub VLAN都使用Super VLAN的默認網關IP地址,不同的Sub VLAN仍保留各自獨立的廣播域。子網中的所有主機只能與自己的默認網關通信。如果將交換機或IP DSLAM設備的每個端口化為一個Sub VLAN,則實現了所有端口的隔離,也就避免了ARP欺騙。Super VLAN的例子參見:
http://publish.it168.com/2004/0316/200403160005101.shtml
PVLAN即私有VLAN(Private VLAN) ,PVLAN采用兩層VLAN隔離技術,只有上層VLAN全局可見,下層VLAN相互隔離。如果將交換機或IP DSLAM設備的每個端口化為一個(下層)VLAN,則實現了所有端口的隔離。
PVLAN的例子參見:
http://network.51cto.com/art/200509/3644.htm
PVLAN和SuperVLAN技術都可以實現端口隔離,但實現方式、出發點不同。PVLAN是為了節省VLAN,而SuperVlan的初衷是節省IP地址。
2、單位局域網可采用IP與MAC綁定
在PC上IP+MAC綁,網絡設備上IP+MAC+端口綁。但不幸的是Win 98/me、未打arp補丁的win 2000/xp sp1(現在大多都已經打過了)等系統 使用arp -s所設置的靜態ARP項還是會被ARP欺騙所改變。
如果網絡設備上只做IP+MAC綁定,其實也是不安全的,假如同一二層下的某臺機器發偽造的arp reply(源ip和源mac都填欲攻擊的那臺機子的)給網關,還是會造成網關把流量送到欺騙者所連的那個(物理)端口從而造成網絡不通。
對于采用了大量傻瓜交換機的局域網,用戶自己可以采取支持arp過濾的防火墻等方法。推薦Look ‘n’Stop防火墻,支持arp協議規則自定義。
最后就是使用ARPGuard啦(才拉到正題上),但它只是保護主機和網關間的通訊。
五、ARPGuard的原理
ARPGuard可以保護主機和網關的通訊不受ARP欺騙的影響。
1、第一次運行(或檢測到網關IP改變)時獲取網關對應的MAC地址,將網卡信息、網關IP、網關MAC等信息保存到配置文件中,其他時候直接使用配置文件。
2、移去原默認路由(當前網卡的)
3、產生一個隨機IP,將它添加成默認網關。
4、默認網關IP 和網關的MAC綁定(使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表項)
5、周期性檢測ARP Cache中原默認網關(不是隨機IP那個) 網關的MAC在ARP Cache的值是否被改寫,若被改寫就報警。
6、針對有些攻擊程序只給網關設備(如路由器或三層交換機)發欺騙包的情況。由于此時本機ARP Cache中網關MAC并未被改變,因此只有主動防護,即默認每秒發10個ARP reply包來維持網關設備的ARP Cache(可選)
7、程序結束時恢復默認網關和路由。
值得說明的是程序中限定了發包間隔不低于100ms,主要是怕過量的包對網絡設備造成負擔。如果你遭受的攻擊太猛烈,你也可以去掉這個限制,設定一個更小的數值,保證你的通訊正常。
附ARPGuard 源碼:http://allyesno.gbaopan.com/files/580c66c8b1fa438285f20a5c2d208b6e.gbp
