2007年實現網絡安全要注意的七項舉措
[ 2007-03-25 03:21:23 | 作者: sun ]
我們時刻都面臨著網絡安全問題,每天都要防止惡意郵件的入侵,還要擔心系統遭受zero-day病毒的攻擊。除了來自外部的攻擊以外,還要考慮各種各樣來自內部的威脅,比如把感染了病毒的筆記本電腦拿到防火墻內部來使用。
面對如此壓力,我們應該采取什么樣的舉措才能讓2007年成為安全的一年?我們要防止重蹈過去的覆轍,不能把時間浪費在處理病毒泛濫帶來的可怕后果上,不能再使用大量的時間進行頭疼的系統清理。現在讓我來介紹一下我認為的應該采取的一些措施。
在這里我不會深入介紹近來在網絡安全領域中的一些概念,比如“unified threat management”或者“network admission control”,這是因為我們的焦點是七種措施而不是向大家推薦七種工具。比如,我認為加密解密的應用是一項重要的舉措,而不是把它當作一種工具來進行介紹。我只是介紹這種措施,相信大家針對各自不同的情況可以找到適合自己的相應工具。事實上目前這樣的工具,無論是商業工具還是開源工具都很多。
下面是我所列出的七項舉措,按照重要的程度進行排列。
1) 制定實施企業安全政策
2) 開展安全意識培訓
3) 經常開展信息安全自我評估
4) 進行有規律的公司自我評估
5) 在全公司范圍能應用加密解密技術
6) 估計、保護、管理和跟蹤所有公司資產
7) 考察和測試公司業務連續性和應急規劃
上面列出的這些舉措并不是全部,還有很多其他舉措我沒有列舉出來。我只列舉了上面七項措施是因為對它們的實施可以涵蓋了對大部分的風險的解除,如果你一一實施了這七項措施,那么很快就能看見自己的系統在網絡中安全性的提高。
下面對這七項舉措進行詳細地說明。
1) 制定實施企業安全政策
如果你的公司目前還沒有任何安全政策,那么現在是時候制定一部了。目前有很多非常好的安全政策模式可以直接拿來使用,大多數這樣的模式都是免費的,部分會收取很少的費用。這些模式中我最喜歡的是COBIT模式和ISO
27001/17799模式。前者是應用于電子商務領域的PCI模式,后者則是一個已經相當成熟的國際標準模式。這些模式都可以作為一個很好的開端,只要當你開始使用這些模式,但是很快你就會發現自己需要對它們進行具體化,擴充或者修改。這是為了讓公司中任何一個人都可以理解這些政策。一般而言,公司中的大部分都不是信息安全方面的專家,因此需要制定一套通俗易懂的政策,這些政策要考慮到公司中每一個部門的具體情況,而且要讓所有人都可以理解和執行。例如,如果是對于IT公司來說,把標準模式具體化,需要你的CIO來協助制定一套網絡安全政策。
如果覺得這些標準的模式對于你而言太紛繁復雜了,那么可以考慮從公司已有的安全政策開始。但是有一個原則,那就是這個政策必須覆蓋所有可能的行為,哪怕剛開始的時候這些政策總共只有一頁紙的內容,那么作為大綱它也必須包含基本的規則,讓所有的行為都有所依據。基本的規則需要包括類似于權限控制,密碼管理,災備恢復等等。舉個例子,你必須有一條政策來說明在突然事故中如何備份商業數據和客戶私人數據,如何為系統建立鏡像等等。
制定了安全政策之后還需要做哪些工作呢?你還需要同政策的執行者一起考慮這樣的問題,就是如果有人違反了這些政策該怎么辦?違反安全政策的行為是惡意的嗎?例如,政策中規定數據庫中數據是只允許察看的,如果有一個員工違反了這個政策,把數據庫中的記載雇員情況的數據拷貝出來,并且張貼在公共網站上。如果遇到這樣的問題,你該怎么辦?事實上類似這樣事件的發生,并不一定是源于惡意的泄漏機密,而是源自政策制定的不完整,沒有讓所有員工都了解這一政策,或者是沒有明確地規定違反政策所應該采取的措施。你應該讓所有的員工都了解這一政策并且明確規定違反這一政策的后果。
2) 開展安全意識培訓
我們無數次地看見這樣的事情,很多內部員工在不知情的情況下受到網絡上其他人的攻擊,比如網絡釣魚等,由此導致了公司內部數據的泄漏。比如一些員工喜歡瀏覽各種新聞網頁,或者使用即時消息工具聊天,他們都有可能成為受到攻擊的目標。他們可能不了解密碼的設置需要注意些什么,不知道為什么不能打開未知地址發來的郵件中的附件。你需要對公司員工進行這方面的培訓,指導他們正確使用公司的資源,保護公司的信息安全。
進行專門的課程培訓,讓這些培訓在輕松的環境下進行。結合實際情況介紹一些安全常識。比如,向他們介紹在使用即時通信工具的時候應該注意些什么。或者當你在做郵件日志記錄的時候往往需要按照一定的規范進行,這時候告訴員工們你都做了些什么樣的工作,以及為什么要這樣做。通過一些現實的例子來告訴他們在緊急情況下應該怎么辦。讓員工們理解為什么要求定期更換自己的密碼,為什么不能把自己的密碼寫在便箋紙上。
整理出一套常見的問題解答,同時采取其他一些獎勵措施,讓員工們時刻保持對信息安全的興趣,長此以往,能讓員工們在日常的工作中養成良好的遵守安全政策的習慣。這是我們的真正目標。
目前有很多進行專門安全意識培訓的公司,他們往往可以提供一些免費的資料,介紹了他們可以提供的培訓的內容。另外還有一些安全手冊一類的海報或者小卡片,可以隨意貼在辦公桌前,營造一個能時刻提醒員工信息安全重要性的環境。
3) 經常開展信息安全自我評估
你最近一次檢查防火墻和入侵防御系統(IPS)的補丁和更新是否完成是在什么時候?
大多數的入侵防御系統都可以自動更新,但是至少你要檢查系統地這項功能是被激活的。你是否檢查了是否存在入侵網絡的無線設備?每天有多少筆記本電腦會進出于公司?這些移動設備是否都使用了防火墻是否更新了病毒庫?等等。
MITRE 是由美國國土安全部資助的一個項目,用來繼續發展CVE系統(the Common Vulnerabilities and Exposures)。這個系統已經有八年歷史了,它已經被接受為跟蹤計算機和網絡設備缺陷的國際標準。可以以CVE的條款為依據,看看在你的所有機器中有多少至少包含一條CVE?有關CVE的詳細信息可以在美國國家標準與技術研究院(NIST)的網站上找到。NIST擁有一系列實用的指導系統安裝配置的條款,這些條款叫做STIGs,它們都被美國很多聯邦政府大量采用。
我們可以好好利用已有的這些資源。美國國防信息系統局(DISA)提供了面向公眾的直接對STIGs的訪問,在DISA的網站上可以注冊加入“STIG-News”郵件列表,這樣隨時能得到有關STIGs的最新信息。
你現在就可以開始研究一下STIG中有關windows服務器中的內容,檢查一下是否能夠對你的服務器提供一些原來你沒有考慮到的配置建議。當然,類似的服務器設置指導或者條款還有很多,事實上他們中間的任何一個都能夠給你足夠的幫助。
使用上面說到的這些條款來對自己的系統進行一下安全評估,你可以多少找到一些目前系統中存在的安全漏洞。記錄下這些漏洞,并且制定一個可行的計劃和步驟來彌補這些漏洞,增強網絡的安全性。網絡安全是一個過程而不是一個產品。因此需要不斷地通過自我評估發現問題,在不斷地解決問題的過程中實現網絡的安全。
4) 進行有規律的公司自我評估
現在公司中的各級主管,CEO,CFO和CIO們都承受著巨大的壓力。一方面因為他們需要管理越來越多的員工,需要保護系統的安全和信息的安全。同時他們還需要負責進行IT規章(IT
compliance)中要求的各方面記錄,以應付審核。現在很多公司針對這一問題請專門的顧問公司來協助解決。但是這些專門的顧問公司也不會承諾他們的工作一定可以通過審核。在這個問題上倒是沒有必要浪費額外的花銷去請顧問公司。
無論公司是否正在進行某個IT規章的審核,這些公司都應該先自己進行一下自我評估,熟悉那些影響公司日常組織工作的規范。這些規范包括銀行界使用的GLBA,健康和保險業使用的HIPAA,還有電子商務上使用的PCI等等。美國不同的州可能有自己不同的規范。比如在加利福尼亞州,如果某個系統被黑客攻破,那么被攻擊的公司必須把這些信息發布到他們的網站上。同時還規定,如果某些用戶的數據信息被身份不明的人訪問了,那么這些數據的管理者必須將此事通知數據信息的持有人,比如說用戶的姓名,賬號,駕照號碼,賬戶信息等。如果是美國聯邦政府所屬的機構,則必須遵守13231號總統令(Executive order 13231)。該規范要求這些機構保證信息系統暢通,包括應急通信能力以及相關物理設備配置等。
保證你的公司符合一定規范的第一步是記錄下為了保護數據所做的所有工作。這樣才能夠證明你已經遵循了必要的規范,使用了適當的工具,采取了正確的措施來對數據安全性進行了有效的保護。在經過一段時間對照各種規范進行有規律的自我檢查和評估之后,你就能發現暴露出的可以產生惡意攻擊的問題已經很少了。如果在這樣的情況下,你的網絡還是被黑客入侵導致數據丟失,至少這時你已經做了所有可以做的事情,并且已經把數據丟失可能造成的損失降低了最小的程度了。
5) 在全公司范圍能應用加密解密技術
在二次大戰的時候有一句流行語:“口風不緊船艦沉”。如果我們觀察一下所有的ID盜竊事件就能發現,發生這種事情大部分都是針對沒有進行加密保護的系統。以電子商務網站為例,它之所以能夠被攻擊,不僅僅因為系統本身具有一些公共的漏洞和缺陷,同時也因為電子商務公司沒有認識到數據加密的重要性。說到數據加密,簡單通過SSL保護會話數據是遠遠不夠的。
一般的電子商務網站的數據庫服務器是最招黑客們喜歡的。他們可以把用戶的數據偷出來在黑市上銷售,目前這是一個很大的市場。
首先要做的是檢查一下系統中所有可能的數據流通通道,包括即時消息傳遞,文件拷貝,電子郵件,在線會議系統。同時檢查所有數據處理的過程,包括數據創建,更改,刪除和恢復。另外我們需要考慮用戶的數據是怎么保存和保護的?僅僅靠數據備份是不夠的。
根據上面的問題,我們需要建立一套VPN,保證網絡外部與網絡內部的通信是通過一條加密管道的。另外在數據的保存上,可以加密所有的數據,從整個硬盤加密到電子郵件加密或者文件加密,當前存在很多現成的工具可以完成這些工作。
使用加密的方式保護數據不是一項輕松的工作,需要考慮密鑰的存儲和訪問等問題。比如某個用戶的密鑰和口令丟失了,那么系統必須可以為用戶頒發新的密鑰和口令,而且需要將使用原來密鑰加密的數據解密,然后使用新的密鑰加密。
你可能會發現你現在正在使用的系統就包括加密和解密的功能,你只需要簡單地在選項前面畫個勾就可以啟用這項功能。就像現在的筆記本一樣,如果筆記本丟失了,但是偷竊者沒有密碼或者密鑰,那么他不能獲取任何數據信息。如果有人竊聽VoIP的電話,事實上他聽不到任何有用的信息,因為在網絡上傳遞的數據都被加密了。
6) 估計、保護、管理和跟蹤公司中所有IT設備
你應該注意緊密跟蹤和檢查公司中所有的IT設備,包括VoIP電話系統、筆記本電腦、服務器和其他網絡設備。這些設備對于公司的價值可遠遠大于設備本身的價值。設想一下要是有人偷走了一臺公司的筆記本電腦,那么所損失的電腦上的數據需要花多大的代價才能彌補?或者萬一電腦上存放了公司的商業機密信息,造成的損失更是不可估量。
為公司的設備建立一個完整的清單,這個清單不但要列出所有的設備,更重要的是要列出這些設備的價值。比如一個文件服務器,他的價值不是簡單的3000美元,而是存放在它上面的代碼的價值,可能是20個人一年工作量的價值。
為所有的設備都建立起來這樣的價值清單之后,你就能夠很清楚地知道該如何更好地調配資源保護這些設備了。
7) 考察和測試公司業務連續性和應急規劃
公司業務的連續性就像是“讓燈一直亮著”,災備系統就像是說“當燈滅了的時候我們怎么辦?”,我們需要讓等持續亮著。
你需要經常性地測試一下,看公司業務的持續性怎么樣,災備計劃是不是能夠被很好地實施。這種測試最好每年都進行幾次,在非業務高峰的時候進行,比如周日晚上。
進行這樣的測試最好可以從一些常見問題的解決方案開始,讓員工們了解如果出現下面的情況該怎么辦。
a) 電源斷電
b) 路由器死機
c) 電話系統中斷
d) 互聯網中斷
e) 服務器掉線
f) 某一硬件設備故障
g) 某一應用程序崩潰
h) 網絡中出現可以被攻擊的漏洞
i) 空調故障
j) 自然災害
k) 流行感冒席卷全公司
=============================================
斷網斷腕 本土殺毒廠商發起自殘式反擊
[ 2007-03-25 03:21:06 | 作者: sun ]
中國臺灣海域發生地震,造成通訊光纜受損。諾頓、卡巴斯基等國外殺毒軟件由于升級服務器地處國外總部,病毒庫升級服務受阻。因勢利導,瑞星、金山、江民互有默契地導演了一場轟轟烈烈的“自殘式”反擊戰。
本報記者 竇毅北京報道 “傷敵1000,自損800”。臺灣地震導致國際海底光纜中斷,卻無意中給了身處外敵壓境威脅中的中國防病毒軟件廠商一次反擊的機會。
1月15日,瑞星發布2007版網絡殺毒軟件,宣告再度向企業級市場提供免費殺毒服務試用計劃。耐人尋味的是,此時距離其開放個人版免費試用僅僅兩周多一點兒時間。如此密集地發布產品對于這家國內老牌防病毒軟件企業而言相當少見。
在記者一再追問之下,瑞星市場部經理馬剛最終承認:原定網絡版發布在春節之后,而本次有意提前是為了利用斷網機遇,再一次圍剿國外的對手。
2006年12月26日晚8時,中國臺灣省海域發生地震,造成通訊光纜受損。諾頓、卡巴斯基等國外殺毒軟件由于升級服務器地處國外總部,病毒庫升級服務受阻。而偏在此時,熊貓燒香(又名:武漢男生)、MY123等大批惡性病毒、流氓軟件集中爆發,致使大批互聯網用戶遭受無安全防范軟件保護的尷尬。
因勢利導,瑞星、金山、江民互有默契地導演了一場轟轟烈烈的“自殘式”反擊戰。
驚魂72小時
記者了解到,斷網后次日——2006年12月27日一大早,瑞星、金山客服人員相繼接到大批客戶問詢電話,到28日兩家客服電話幾近被打爆的狀態。來電者除了一小部分瑞星、金山客戶外,更有大量是諾頓、卡巴斯基等國外殺毒廠商的用戶。
金山軟件副總裁毒霸負責人王全國回憶當時的場面:“很多用戶并不管自己使用的是哪個品牌的產品,出了問題挨家找殺毒軟件公司問罪。”此時在幾家專業的防病毒論壇網站上,也開始相繼增多各種尋求幫助的討論帖。
瑞星、金山內部各自迅速展開行動。瑞星副總裁毛一丁當時非常緊張:2006年12月27日起公司就開始進入緊急狀態,中午左右召開內部會議,并提出了幾套方案。而經過公司各部門反復討論和溝通,最終決定采用最為“極端”的方案——提供一個月免費的下載版軟件產品。
不過這套看似極具殺傷力的方案究竟能否見效?相當多的人心里并沒底。免費在殺毒領域的商戰中并不算是“創新”。俄羅斯卡巴斯基實驗室早在兩三年前就以轟轟烈烈的免費行為來“入侵”中國市場,搶走了大量的中國用戶。
2006年12月28日,瑞星技術部開始準備產品和服務器調試工作。由于考慮到免費將會造成流量迅速增大,一旦服務器和帶寬不足,造成“當機(死機)”,反而造成負面影響,不堪想象。公司為技術部門留下了一天時間去調整。
同時這一天,市場部準備對外發布的“免費”新聞稿。
此外不為人所知的是,瑞星還有專人時刻跟進了解電信部門對海底通訊光纜的修復信息,對于這一信息毛一丁等人相當緊張:因為一旦修復成功,免費方案需要立即停止,而如果29日發布免費后幾天之內便修復,對瑞星而言,也將是滅頂之災。
2006年12月29日一大早,通過新浪、搜狐等重要門戶網站將“一個月免費”的消息發出后,瑞星下載服務器開始接受來自四面八方的大批下載請求,下載量直線飛漲。
但少許興奮之后,毛一丁很快開始進入更高度的緊張狀態。由于新下載客戶大部分是沖著免費一個月而來的,這些用戶不會用手機為此充值10元的月使用費,瑞星網絡銷售業績直線下滑。1月15日毛一丁向記者表示:“當然很揪心了,畢竟是大把大把的錢全收不上來了。幸好再有不到兩周就結束。”
同時,瑞星還必須要安撫傳統光盤形式的渠道。盡管毛一丁表示“網絡免費對傳統光盤銷售渠道影響不大”,但據記者了解到,事實上并非完全如此。而且最關鍵的是銷售商開始恐慌,大批用戶開始習慣于網絡購買獲得瑞星后,光盤業務必然在免費事件后受到很大的影響。這樣的事情曾經在2003年“非典”期間發生過一次,大批用戶在習慣在線購買瑞星后,不再回到賣場購買光盤版產品了。
集體的冒險游戲
從2006年12月26日晚到29日清晨發布免費信息之間的近三天時間中,瑞星上上下下還有一項很重要的工作,那就是時刻盯著競爭對手的動作——諾頓、卡巴斯基這樣的外資病毒軟件廠商是瑞星的狙擊對象,而金山這樣的國內同道者是不是會有更狠的招數呢?
就在瑞星2006年12月29日清晨發布“免費一個月”的方案后,金山幾乎同時也發布了“免費37天”的方案,此外還推出了為預付費2006年12月的用戶自動延長一個月使用的承諾。如此計算,金山等于完全放棄了1月份的毒霸網絡服務的收入。王全國透露:公司的CEO雷軍親自拍板,整個毒霸銷售團隊咬牙接受現實。王全國估計損失可能會大于毒霸月銷售收入的15%。“熊貓燒香等大型惡意病毒泛濫,應該是殺毒軟件掙錢的最好機會。且光纜一斷,必然會有大量用戶購買國內殺毒產品。本來是一個發財日,最終全放棄了,損失可見有多大。”
瑞星、金山相繼免費后,2006年12月30日,江民被“逼”出手,開始提供免費一個月的殺毒軟件。之所以稱之為被逼,有知情人告訴記者:“做出免費舉措,江民遠比瑞星和金山要艱難。”江民剛剛在2006年9月將2007年江民KV軟件的全國銷售權拍賣,按省為單位,價高者以“買斷”方式固定金額拿走一省一年的銷售權。也就是說無論銷售出多少套都是一個價。隨著江民推出免費一個月,這些大代理的銷售不可避免地要受到很大影響。記者了解到,江民就此事與各省大代理的協調工作一直在繼續。
“整個過程中最擔心的就是網絡短時間即被恢復過來。”王全國說出自己的擔心:那時候,免費策略已經放出去收不回來了,而大量的諾頓、卡巴斯基用戶又不再需要轉換服務平臺了,最終結果可能是賠了夫人又折兵。
1月15日,電信運營商在承諾的修繕日期后未能如愿,并將通網時間延續到2月1日。可以想象的出,毛一丁、王全國二人心中必定大喜。瑞星樂觀估算免費一個月至少能新增“潛在用戶”1500萬。而金山透露,截至1月16日,毒霸2007下載數量已經從2006年12月26日的700萬猛增到1600萬。
新增用戶大部分都是原來的諾頓和卡巴斯基使用者。盡管這些新增用戶在網絡修復后,會有一部分用戶回到原來的軟件平臺上,但馬剛認為:還有相當多的用戶會更了解到國產軟件的好處。
臺灣地震斷網后,國內殺毒軟件廠商借機展開了一場冒險游戲。
本報記者 竇毅北京報道 “傷敵1000,自損800”。臺灣地震導致國際海底光纜中斷,卻無意中給了身處外敵壓境威脅中的中國防病毒軟件廠商一次反擊的機會。
1月15日,瑞星發布2007版網絡殺毒軟件,宣告再度向企業級市場提供免費殺毒服務試用計劃。耐人尋味的是,此時距離其開放個人版免費試用僅僅兩周多一點兒時間。如此密集地發布產品對于這家國內老牌防病毒軟件企業而言相當少見。
在記者一再追問之下,瑞星市場部經理馬剛最終承認:原定網絡版發布在春節之后,而本次有意提前是為了利用斷網機遇,再一次圍剿國外的對手。
2006年12月26日晚8時,中國臺灣省海域發生地震,造成通訊光纜受損。諾頓、卡巴斯基等國外殺毒軟件由于升級服務器地處國外總部,病毒庫升級服務受阻。而偏在此時,熊貓燒香(又名:武漢男生)、MY123等大批惡性病毒、流氓軟件集中爆發,致使大批互聯網用戶遭受無安全防范軟件保護的尷尬。
因勢利導,瑞星、金山、江民互有默契地導演了一場轟轟烈烈的“自殘式”反擊戰。
驚魂72小時
記者了解到,斷網后次日——2006年12月27日一大早,瑞星、金山客服人員相繼接到大批客戶問詢電話,到28日兩家客服電話幾近被打爆的狀態。來電者除了一小部分瑞星、金山客戶外,更有大量是諾頓、卡巴斯基等國外殺毒廠商的用戶。
金山軟件副總裁毒霸負責人王全國回憶當時的場面:“很多用戶并不管自己使用的是哪個品牌的產品,出了問題挨家找殺毒軟件公司問罪。”此時在幾家專業的防病毒論壇網站上,也開始相繼增多各種尋求幫助的討論帖。
瑞星、金山內部各自迅速展開行動。瑞星副總裁毛一丁當時非常緊張:2006年12月27日起公司就開始進入緊急狀態,中午左右召開內部會議,并提出了幾套方案。而經過公司各部門反復討論和溝通,最終決定采用最為“極端”的方案——提供一個月免費的下載版軟件產品。
不過這套看似極具殺傷力的方案究竟能否見效?相當多的人心里并沒底。免費在殺毒領域的商戰中并不算是“創新”。俄羅斯卡巴斯基實驗室早在兩三年前就以轟轟烈烈的免費行為來“入侵”中國市場,搶走了大量的中國用戶。
2006年12月28日,瑞星技術部開始準備產品和服務器調試工作。由于考慮到免費將會造成流量迅速增大,一旦服務器和帶寬不足,造成“當機(死機)”,反而造成負面影響,不堪想象。公司為技術部門留下了一天時間去調整。
同時這一天,市場部準備對外發布的“免費”新聞稿。
此外不為人所知的是,瑞星還有專人時刻跟進了解電信部門對海底通訊光纜的修復信息,對于這一信息毛一丁等人相當緊張:因為一旦修復成功,免費方案需要立即停止,而如果29日發布免費后幾天之內便修復,對瑞星而言,也將是滅頂之災。
2006年12月29日一大早,通過新浪、搜狐等重要門戶網站將“一個月免費”的消息發出后,瑞星下載服務器開始接受來自四面八方的大批下載請求,下載量直線飛漲。
但少許興奮之后,毛一丁很快開始進入更高度的緊張狀態。由于新下載客戶大部分是沖著免費一個月而來的,這些用戶不會用手機為此充值10元的月使用費,瑞星網絡銷售業績直線下滑。1月15日毛一丁向記者表示:“當然很揪心了,畢竟是大把大把的錢全收不上來了。幸好再有不到兩周就結束。”
同時,瑞星還必須要安撫傳統光盤形式的渠道。盡管毛一丁表示“網絡免費對傳統光盤銷售渠道影響不大”,但據記者了解到,事實上并非完全如此。而且最關鍵的是銷售商開始恐慌,大批用戶開始習慣于網絡購買獲得瑞星后,光盤業務必然在免費事件后受到很大的影響。這樣的事情曾經在2003年“非典”期間發生過一次,大批用戶在習慣在線購買瑞星后,不再回到賣場購買光盤版產品了。
集體的冒險游戲
從2006年12月26日晚到29日清晨發布免費信息之間的近三天時間中,瑞星上上下下還有一項很重要的工作,那就是時刻盯著競爭對手的動作——諾頓、卡巴斯基這樣的外資病毒軟件廠商是瑞星的狙擊對象,而金山這樣的國內同道者是不是會有更狠的招數呢?
就在瑞星2006年12月29日清晨發布“免費一個月”的方案后,金山幾乎同時也發布了“免費37天”的方案,此外還推出了為預付費2006年12月的用戶自動延長一個月使用的承諾。如此計算,金山等于完全放棄了1月份的毒霸網絡服務的收入。王全國透露:公司的CEO雷軍親自拍板,整個毒霸銷售團隊咬牙接受現實。王全國估計損失可能會大于毒霸月銷售收入的15%。“熊貓燒香等大型惡意病毒泛濫,應該是殺毒軟件掙錢的最好機會。且光纜一斷,必然會有大量用戶購買國內殺毒產品。本來是一個發財日,最終全放棄了,損失可見有多大。”
瑞星、金山相繼免費后,2006年12月30日,江民被“逼”出手,開始提供免費一個月的殺毒軟件。之所以稱之為被逼,有知情人告訴記者:“做出免費舉措,江民遠比瑞星和金山要艱難。”江民剛剛在2006年9月將2007年江民KV軟件的全國銷售權拍賣,按省為單位,價高者以“買斷”方式固定金額拿走一省一年的銷售權。也就是說無論銷售出多少套都是一個價。隨著江民推出免費一個月,這些大代理的銷售不可避免地要受到很大影響。記者了解到,江民就此事與各省大代理的協調工作一直在繼續。
“整個過程中最擔心的就是網絡短時間即被恢復過來。”王全國說出自己的擔心:那時候,免費策略已經放出去收不回來了,而大量的諾頓、卡巴斯基用戶又不再需要轉換服務平臺了,最終結果可能是賠了夫人又折兵。
1月15日,電信運營商在承諾的修繕日期后未能如愿,并將通網時間延續到2月1日。可以想象的出,毛一丁、王全國二人心中必定大喜。瑞星樂觀估算免費一個月至少能新增“潛在用戶”1500萬。而金山透露,截至1月16日,毒霸2007下載數量已經從2006年12月26日的700萬猛增到1600萬。
新增用戶大部分都是原來的諾頓和卡巴斯基使用者。盡管這些新增用戶在網絡修復后,會有一部分用戶回到原來的軟件平臺上,但馬剛認為:還有相當多的用戶會更了解到國產軟件的好處。
臺灣地震斷網后,國內殺毒軟件廠商借機展開了一場冒險游戲。
堵住日常操作易泄密的漏洞
[ 2007-03-25 03:20:55 | 作者: sun ]
進入Windows 9X/2000中的一切操作,無論是工作、學習或娛樂,自進入Windows系統開始,都將被Windows以及它所有的服務(程序)記錄在案,并保存在硬盤中,此項“功能”原本是系統設計者為了方便用戶而設置的,但會成為泄露您所進行的工作的漏洞。窺探者在您剛用過的計算機中查找一陣后,就會發現大量信息:已經被您刪除的收到和發出的郵件、您訪問過的Internet網站、搜索規則及您在網頁表單中輸入的數據。這些“記錄”可能會把您的“隱私”泄露,使您的信息安全受到威脅,這也許是您所不希望發生的。泄密的漏洞都在哪兒?
“運行”記錄
使用Windows 9X“開始”選單中的“運行”選單項運行程序或打開文件,退出后,“運行”中運行過的程序及所打開文件的路徑與名稱會被記錄下來,并在下次進入“運行”項時,在下拉列表框中顯示出來供選用。這些“記錄”會被窺視,需要清除。
通過修改注冊表項可以達到清除這些“記錄”的目的。首先通過Regedit進入注冊表編輯器,找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\RunMRU這時在右邊窗口將顯示出“運行”下拉列表顯示的文件名,如果您不想讓別人知道某些記錄的程序名,將它們刪除就可以了。具體方法是:用鼠標選中要刪除的程序,再選注冊表編輯口的“編輯”選單中的“刪除”項,“確認”即可。關閉計算機后,再啟動計算機,剛才刪除的項就不再顯示出來了。
“歷史” 記錄
用IE 5.X 瀏覽器瀏覽文件后,在Windows\History文件夾中將“自動”記錄最近數天(最多可記錄99天)的一切操作過程,包括去過什么網站、看過什么圖片等信息。這個文件夾相當獨特,不能進行備份,但會暴露您在網上的“行蹤”。不想讓他人知道您的“歷史”的話,記住刪除Windows\History文件夾中的一切。有兩種方法可以將“歷史”記錄刪除:
方法一,從資源管理器中進入該文件夾并刪除其中的所有文件;方法二,單擊“開始”→“設置”→“控制面板”→“Internet屬性”→“常規”標簽,在“網頁保存在歷史記錄中的天數”輸入框中敲入“0”→“應用”(或“清除歷史記錄”)按鈕。
“剪貼板”中的信息
剪貼板是Windows平臺上程序之間靜態交換“住處”的驛站,它是由Windows在內存中開辟的臨時存儲空間。不管什么時候剪切、復制和粘貼信息,在新的信息存入之前或是退出Windows之前,都一直保存著已有的“內容”信息。而且,Word 2000(包括Office 2000家族系列軟件)的“剪貼板”可以存儲12個“剪切”信息。所以,需要保守您的“秘密”的話,可不能忽略了“剪貼板”啊!
“文檔”選單
“開始”的“文檔”選單中,以快捷方式“保存”著您最近使用過的約15個文件(包括您剛從網上Download下來并打開過的文件)。通過它,我們可以迅速地訪問一段時間前編輯過的文檔。但對于那些使用計算機編輯個人文件或機密文件的朋友們來說,這種設置卻會向他人泄露自己的秘密。
清除方法:
單擊“開始”→“設置”→“任務欄和開始選單”,點擊“開始選單程序”欄目下的文檔項目的“清除”按鈕,就把“文檔”選單中的歷史記錄全部清除掉。若要不完全清除,從資源管理器中進入\windows\Recent文件夾,刪除需要刪除的項目即可。
“被挽救的文檔”
我們在使用Word 97/2000等Office軟件的過程中,有時會遇到“非法操作”提示,或是操作中機器突然掉電等一些意外情況,這樣,在硬盤中(一般是安裝Office軟件的分區的根目錄)或桌面上會冒出一些“被挽救的文檔”,這些“被挽救的文檔”,可能就是您剛剛編輯的文稿的全部或部分內容。所以,要提防“秘密”在此泄露:刪除它!
Office的“文件”選單
大家知道,使用Microsoft Office家族的Word、office/9.shtml target= _blank class= article >Excel等軟件進行工作后,會在“文件”選單中留下“記錄”,由于“工具”的“選項”中設置“列出最近所用文件數”的不同,“文件”選單“記錄”數也不同,但都會記錄下您最新的操作。不想讓他人知道的話,可按“Ctrl + Alt + -(減號)”鍵,光標會變成一個粗“減號”,打開“文件”選單后,用粗“減號”單擊需要刪除的文檔即可。也可在Word中單擊“工具”選單→“選項”→“常規”標簽→選擇“列出最近所有文件”選項,在其后的輸入框中輸入“0”,最后單擊“確定”按鈕。
Word 2000等Office 2000系列軟件的“打開”對話框新增了一個“歷史”按鈕,利用它可以快速打開最近使用過的數十個文檔。所以,此處也須提防。
Temp中的“物件”
我們常用的Word 97/2000和其他應用程序通常會臨時保存您的工作結果,以防止意外情況造成損失。即使您自己沒有保存正在處理的文件,許多程序也會保存已被您刪除、移動和復制的文本。這些“內容”被存放在\Windows\Temp目錄下。應定期刪除各種應用程序在\Windows\Temp文件夾中存儲的臨時文件,以清除上述這些零散的文本。還應刪除其子目錄中相應的所有文件。雖然很多文件的擴展名為TMP,但它們其實是完整的DOC文件、HTML文件,甚至是圖像文件。
還有,在Foxmail中打開郵件的“附件”,也會在\Windows\Temp文件夾中留下“備份”。所以,對于\Windows\Temp文件夾中近乎“純垃圾”的內容,一定不要忘記予以堅決地清除。
Foxmail的“廢件箱”
Foxmail 3.0 beta2及以后的版本,提供了和“回收站”類似的“廢件箱”,Foxmail在清除“廢件箱”中的郵件時并沒有真正將其從硬盤上刪除,而是像數據庫系統那樣只是打上刪除標記而已,只有用戶執行“壓縮”操作之后被刪除郵件才會被真正刪除,這就為窺視者提供了恢復被刪除郵件的可能。
所以,在公用計算機上使用 3.0 beta2及以后版本的Foxmail,記住把不需要的信件從“收件箱”清除時,按“Shift+Del”直接刪除,使其不轉入“廢件箱”,并對郵箱進行壓縮。
“日志”文件
存放在Windows目錄下的Schedlog.txt是“計劃任務”的“日志”,忠實地記錄了“以往計劃任務的執行情況”,以及您每次開機啟動Windows系統的“時刻”信息,可以用任何字處理軟件打開它。所以,您的“開機”及一些“任務”(程序)的執行信息,都會由此“暴露”。
要修改Schedlog.txt刪除您的“行蹤”記錄嗎?需要費一些周折,因為,用Windows系統下的任何編輯軟件都只能打開但不能做修改后保存。例如,“記事本”打開“Schedlog.txt”后,可以在屏幕上做添加、刪除等編輯操作,試圖將改動過的“Schedlog.txt”存盤時,系統提示“無法創建文件C:\Windows\Schedlog.txt,請確定路徑及文件名是否正確。”,按“確定”按鈕后,自行退出“記事本”。即使進入Windows的MS-DOS方式,用“Edit”編輯也不行!只能以純DOS方式啟動計算機,再去Del、Edit或……隨您的便,怎樣處置這個“Schedlog.txt”都成!
使用OICQ后
若是按默認目錄安裝,那么,在C:\Program Files\oicq\下可以看到許多賬號。雙擊進入任意一個賬號,可以看到.cfg的文件,那是本賬號的配置文件。還會有很多.msg文件,.msg文件的文件名就是您的OICQ的朋友的賬號。如果有Tempfiles.tmp文件,通常是其他人用“語音傳送”發來的聲音文件,Tempfiler.tmp通常是本賬號用戶發給其他人的聲音文件,可以用錄音機打開播放。
解決的辦法(很簡單,也很有效):
下網后刪除自己用的賬號目錄,尤其是在“網吧”。下次使用時選注冊向導,選“使用已有的OICQ號碼”,再逐步注冊就行。
曾訪問的網頁
為了加快瀏覽速度,IE會自動把您瀏覽過的網頁作為“臨時文件”,保存在\Windows\Temporary Internet Files 文件夾中,這些“記錄”文件會被MS IE Cache Explorer一類的程序一覽無遺。
解決辦法:
從資源管理器中進入該文件夾中,全選所有網頁,刪除即可。或者打開IE屬性,在“常規”欄目下單擊“Internet 臨時文件”項目的“刪除文件”按鈕(這種方法不太徹底,會留少許Cookies在目錄內)。如果瀏覽過的網頁較少且希望保留部分網頁時,在上述目錄中查找并刪除不想要的網頁即可。
“小甜餅”
Cookie翻譯為中文就是“小甜餅”。打開\Windows\Cookies,該目錄下有很多Cookies!這些“小甜餅”都是一些網站“白送”的,當您訪問這些網站時,它們便會自動記錄您所訪問的內容、瀏覽的網頁,并“儲存”在Cookies中,以便下次達到快速鏈接,加快瀏覽速度。\Windows\Cookies文件夾中的“數據”,類型如yyy@202.102.224.68![[1]](styles/default/images/smilies/1.gif)
,大都是:Windows用戶名+ @ + 域名或IP地址,并以文本文件形式保存。“小甜餅”多了,不但會撐破硬盤肚皮,而且會暴露您的行蹤。所以,不能貪圖“甜”,該舍棄的就要扔!
解決辦法:
將\Windows\Cookies文件夾中的文件(除系統自身所形成的“Index.dat"外),刪除掉。
瀏覽過的地址(URL)
下網后,按一下地址欄的下拉選單,已訪問過的站點無一遺漏盡在其中。怎么辦?用鼠標右鍵點擊桌面上的IE圖標,打開屬性,在“常規”欄目下點歷史記錄項目的“清除歷史記錄”。若只想清除部分記錄,單擊瀏覽器工具欄上的“歷史”按鈕,在右欄的地址歷史記錄中,用鼠標右鍵選中某一需要清除的地址或其下的一網頁,選取“刪除”。
注意,在Win 98/2000中,還有一處“隱藏”的“地址”欄,它同樣會記錄您曾去過的網址。該“地址”欄在“任務欄”上(在“任務欄”的空白處單擊鼠標右鍵→“工具欄” →選擇“地址”),在這個“地址”欄中輸入網址便能激活IE瀏覽器上網,輸入的網址就被記錄下來。還好,此處的“記錄”被放在Windows\History文件夾中,非常容易清除。在此說明的是,不要因為IE瀏覽器的“地址”欄和資源管理器的“地址”欄中沒“記錄”,就覺得“完事”了。
“撥號口令”
很多用戶喜歡讓Windows替他來記住口令,即建立撥號連接后,隨著“連接到”窗口的出現,輸入用戶名,再輸入登錄口令(即密碼),輸入時密碼以星號(“*”)的形式出現在口令欄中,在下面的“保存口令”前打勾,這樣每當出現“連接到”窗口時您就不必重復輸入用戶名和口令了。但是,使用Revelation 這個大小只有70kB的軟件可以輕松地得到您的密碼。為了安全起見,建議不要在“保存口令”前打勾了。
另外,在\Windows文件夾中 .PWL文件記錄著撥號上網的賬戶,注意刪除掉。
文檔的“屬性”信息
對于存儲在公用計算機的Word文檔,許多用戶采取設定“打開權限密碼”以防止未經授權用戶打開的辦法,來防止泄露有關該文檔的信息。但是,該文檔的“屬性”信息,會幫“倒忙”——泄密。
Word 97的“屬性”對話框包括“常規”、“摘要信息”、“統計信息”、“內容”和“自定義”五張選項卡。自動存儲到“摘要信息”選項卡上的信息有三項,“作者”、“單位”和安裝Word時輸入的用戶信息。第一次保存文檔時,將文檔中第一行的內容存放到“標題”框中(通常是您寫作的“題目”)。
查看文檔的“屬性”對話框,雖然依據文件名無法判斷出文檔的內容,但“摘要信息”選項卡“標題”框中(該文檔第一行)的內容,卻會泄露文檔的秘密。由于“打開權限密碼”只限制打開文檔,并不限制打開“屬性“對話框,所以,“標題”框是一個易被忽視的泄密漏洞。
堵住這個泄密漏洞的方法是:第一次保存文檔后,打開“屬性”對話框,將“摘要信息”選項卡上“標題”框中的內容刪除(“內容”選項卡上的內容就會自動刪除)即可。
ACDSee 32看圖程序的“記錄”
在默認的情況下,ACDSee 32看圖程序的歷史記錄是“隱藏”的。但若是這樣:單擊“工具”選單→“選項”→“瀏覽”標簽→選擇“顯示路徑框”,按“確定”按鈕,那么,您以前看過的圖片就會顯露。 ACDSee 32看圖程序的歷史記錄,在其“工具”欄的下方。清除方法是,用Regedit打開注冊表,展開左窗口的“HKEY_CURRENT_USER\Software\ACD Systems\ACDSee32”分支,再把ACDSee32主鍵對應的右窗口的“HistFileFilers”、“HistFindScope”和“HistPaths”三項內容刪除即可。
“收藏夾”中的記錄
大多數朋友上網時,常把喜愛的網址添加到“收藏夾”中,甚至設置為“允許脫機使用”,其優點當然是便于下次快速地進行瀏覽。但您的愛好和興趣就必然暴露給他人了。\Windows\Favorites文件夾,即是“收藏夾”的位置,要想清除“收藏夾”中的歷史記錄,只要進入它,選中目標文件,執行“刪除”操作即可。
“記事本”和“寫字板”中的記錄
記事本的歷史記錄保存與否,受制于Windows系統的設置。以Win 98為例,若保存,則僅存在于Win 98的“文檔”選單中,而寫字板的歷史記錄則同時存在于它的“文件”選單和Win 98的“文檔”選單中。
對于“文檔”中的記錄很容易清除,這里不再贅述。至于“寫字板”中的記錄,可用修改注冊表的方法來清除:用Regedit打開注冊表,展開“HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Applets\Wordpad\Recent FileList”分支,將其對應的主鍵值全部刪除,再重新啟動計算機,即可清除寫字板的“文件”選單中的歷史記錄。
“回收站”
“回收站”是已刪文件的暫時存放處。在“清空回收站”之前,存放在那里(回收站)的文件并沒有真正從硬盤上刪除。Windows操作系統,除了在“桌面”上放置一個圖標為灰色的“垃圾筒”外,在每個硬盤(分區)的根目錄下建立了一個隱藏屬性的文件夾——Recycled,這個“Recycled”子目錄(文件夾)就是回收站實際的位置所在。窺探者可以從“回收站”中恢復(還原)被刪除的文件,發現您的工作內容。所以,每次結束操作,離開計算機之前,要記住“清空回收站”。
其它地方
Windows的“附件”中的“畫圖”、“娛樂”用的“Windows Media Player ”等工具,其“文件”選單都蘊藏著豐富的記錄,不可小視。
WPS 97/2000、CCED 2000等字表處理軟件的“文件”選單,也飽含著最近編輯(或打開查看)的文件,同樣需要做清理。
好了,不再危言聳聽了!本文的介紹,只是希望給朋友們有所啟示:電腦應用中存在著一些“副”作用,需要引起足夠的注意,以更好、更安全地使電腦為我們服務。
“運行”記錄
使用Windows 9X“開始”選單中的“運行”選單項運行程序或打開文件,退出后,“運行”中運行過的程序及所打開文件的路徑與名稱會被記錄下來,并在下次進入“運行”項時,在下拉列表框中顯示出來供選用。這些“記錄”會被窺視,需要清除。
通過修改注冊表項可以達到清除這些“記錄”的目的。首先通過Regedit進入注冊表編輯器,找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\RunMRU這時在右邊窗口將顯示出“運行”下拉列表顯示的文件名,如果您不想讓別人知道某些記錄的程序名,將它們刪除就可以了。具體方法是:用鼠標選中要刪除的程序,再選注冊表編輯口的“編輯”選單中的“刪除”項,“確認”即可。關閉計算機后,再啟動計算機,剛才刪除的項就不再顯示出來了。
“歷史” 記錄
用IE 5.X 瀏覽器瀏覽文件后,在Windows\History文件夾中將“自動”記錄最近數天(最多可記錄99天)的一切操作過程,包括去過什么網站、看過什么圖片等信息。這個文件夾相當獨特,不能進行備份,但會暴露您在網上的“行蹤”。不想讓他人知道您的“歷史”的話,記住刪除Windows\History文件夾中的一切。有兩種方法可以將“歷史”記錄刪除:
方法一,從資源管理器中進入該文件夾并刪除其中的所有文件;方法二,單擊“開始”→“設置”→“控制面板”→“Internet屬性”→“常規”標簽,在“網頁保存在歷史記錄中的天數”輸入框中敲入“0”→“應用”(或“清除歷史記錄”)按鈕。
“剪貼板”中的信息
剪貼板是Windows平臺上程序之間靜態交換“住處”的驛站,它是由Windows在內存中開辟的臨時存儲空間。不管什么時候剪切、復制和粘貼信息,在新的信息存入之前或是退出Windows之前,都一直保存著已有的“內容”信息。而且,Word 2000(包括Office 2000家族系列軟件)的“剪貼板”可以存儲12個“剪切”信息。所以,需要保守您的“秘密”的話,可不能忽略了“剪貼板”啊!
“文檔”選單
“開始”的“文檔”選單中,以快捷方式“保存”著您最近使用過的約15個文件(包括您剛從網上Download下來并打開過的文件)。通過它,我們可以迅速地訪問一段時間前編輯過的文檔。但對于那些使用計算機編輯個人文件或機密文件的朋友們來說,這種設置卻會向他人泄露自己的秘密。
清除方法:
單擊“開始”→“設置”→“任務欄和開始選單”,點擊“開始選單程序”欄目下的文檔項目的“清除”按鈕,就把“文檔”選單中的歷史記錄全部清除掉。若要不完全清除,從資源管理器中進入\windows\Recent文件夾,刪除需要刪除的項目即可。
“被挽救的文檔”
我們在使用Word 97/2000等Office軟件的過程中,有時會遇到“非法操作”提示,或是操作中機器突然掉電等一些意外情況,這樣,在硬盤中(一般是安裝Office軟件的分區的根目錄)或桌面上會冒出一些“被挽救的文檔”,這些“被挽救的文檔”,可能就是您剛剛編輯的文稿的全部或部分內容。所以,要提防“秘密”在此泄露:刪除它!
Office的“文件”選單
大家知道,使用Microsoft Office家族的Word、office/9.shtml target= _blank class= article >Excel等軟件進行工作后,會在“文件”選單中留下“記錄”,由于“工具”的“選項”中設置“列出最近所用文件數”的不同,“文件”選單“記錄”數也不同,但都會記錄下您最新的操作。不想讓他人知道的話,可按“Ctrl + Alt + -(減號)”鍵,光標會變成一個粗“減號”,打開“文件”選單后,用粗“減號”單擊需要刪除的文檔即可。也可在Word中單擊“工具”選單→“選項”→“常規”標簽→選擇“列出最近所有文件”選項,在其后的輸入框中輸入“0”,最后單擊“確定”按鈕。
Word 2000等Office 2000系列軟件的“打開”對話框新增了一個“歷史”按鈕,利用它可以快速打開最近使用過的數十個文檔。所以,此處也須提防。
Temp中的“物件”
我們常用的Word 97/2000和其他應用程序通常會臨時保存您的工作結果,以防止意外情況造成損失。即使您自己沒有保存正在處理的文件,許多程序也會保存已被您刪除、移動和復制的文本。這些“內容”被存放在\Windows\Temp目錄下。應定期刪除各種應用程序在\Windows\Temp文件夾中存儲的臨時文件,以清除上述這些零散的文本。還應刪除其子目錄中相應的所有文件。雖然很多文件的擴展名為TMP,但它們其實是完整的DOC文件、HTML文件,甚至是圖像文件。
還有,在Foxmail中打開郵件的“附件”,也會在\Windows\Temp文件夾中留下“備份”。所以,對于\Windows\Temp文件夾中近乎“純垃圾”的內容,一定不要忘記予以堅決地清除。
Foxmail的“廢件箱”
Foxmail 3.0 beta2及以后的版本,提供了和“回收站”類似的“廢件箱”,Foxmail在清除“廢件箱”中的郵件時并沒有真正將其從硬盤上刪除,而是像數據庫系統那樣只是打上刪除標記而已,只有用戶執行“壓縮”操作之后被刪除郵件才會被真正刪除,這就為窺視者提供了恢復被刪除郵件的可能。
所以,在公用計算機上使用 3.0 beta2及以后版本的Foxmail,記住把不需要的信件從“收件箱”清除時,按“Shift+Del”直接刪除,使其不轉入“廢件箱”,并對郵箱進行壓縮。
“日志”文件
存放在Windows目錄下的Schedlog.txt是“計劃任務”的“日志”,忠實地記錄了“以往計劃任務的執行情況”,以及您每次開機啟動Windows系統的“時刻”信息,可以用任何字處理軟件打開它。所以,您的“開機”及一些“任務”(程序)的執行信息,都會由此“暴露”。
要修改Schedlog.txt刪除您的“行蹤”記錄嗎?需要費一些周折,因為,用Windows系統下的任何編輯軟件都只能打開但不能做修改后保存。例如,“記事本”打開“Schedlog.txt”后,可以在屏幕上做添加、刪除等編輯操作,試圖將改動過的“Schedlog.txt”存盤時,系統提示“無法創建文件C:\Windows\Schedlog.txt,請確定路徑及文件名是否正確。”,按“確定”按鈕后,自行退出“記事本”。即使進入Windows的MS-DOS方式,用“Edit”編輯也不行!只能以純DOS方式啟動計算機,再去Del、Edit或……隨您的便,怎樣處置這個“Schedlog.txt”都成!
使用OICQ后
若是按默認目錄安裝,那么,在C:\Program Files\oicq\下可以看到許多賬號。雙擊進入任意一個賬號,可以看到.cfg的文件,那是本賬號的配置文件。還會有很多.msg文件,.msg文件的文件名就是您的OICQ的朋友的賬號。如果有Tempfiles.tmp文件,通常是其他人用“語音傳送”發來的聲音文件,Tempfiler.tmp通常是本賬號用戶發給其他人的聲音文件,可以用錄音機打開播放。
解決的辦法(很簡單,也很有效):
下網后刪除自己用的賬號目錄,尤其是在“網吧”。下次使用時選注冊向導,選“使用已有的OICQ號碼”,再逐步注冊就行。
曾訪問的網頁
為了加快瀏覽速度,IE會自動把您瀏覽過的網頁作為“臨時文件”,保存在\Windows\Temporary Internet Files 文件夾中,這些“記錄”文件會被MS IE Cache Explorer一類的程序一覽無遺。
解決辦法:
從資源管理器中進入該文件夾中,全選所有網頁,刪除即可。或者打開IE屬性,在“常規”欄目下單擊“Internet 臨時文件”項目的“刪除文件”按鈕(這種方法不太徹底,會留少許Cookies在目錄內)。如果瀏覽過的網頁較少且希望保留部分網頁時,在上述目錄中查找并刪除不想要的網頁即可。
“小甜餅”
Cookie翻譯為中文就是“小甜餅”。打開\Windows\Cookies,該目錄下有很多Cookies!這些“小甜餅”都是一些網站“白送”的,當您訪問這些網站時,它們便會自動記錄您所訪問的內容、瀏覽的網頁,并“儲存”在Cookies中,以便下次達到快速鏈接,加快瀏覽速度。\Windows\Cookies文件夾中的“數據”,類型如yyy@202.102.224.68
,大都是:Windows用戶名+ @ + 域名或IP地址,并以文本文件形式保存。“小甜餅”多了,不但會撐破硬盤肚皮,而且會暴露您的行蹤。所以,不能貪圖“甜”,該舍棄的就要扔!
解決辦法:
將\Windows\Cookies文件夾中的文件(除系統自身所形成的“Index.dat"外),刪除掉。
瀏覽過的地址(URL)
下網后,按一下地址欄的下拉選單,已訪問過的站點無一遺漏盡在其中。怎么辦?用鼠標右鍵點擊桌面上的IE圖標,打開屬性,在“常規”欄目下點歷史記錄項目的“清除歷史記錄”。若只想清除部分記錄,單擊瀏覽器工具欄上的“歷史”按鈕,在右欄的地址歷史記錄中,用鼠標右鍵選中某一需要清除的地址或其下的一網頁,選取“刪除”。
注意,在Win 98/2000中,還有一處“隱藏”的“地址”欄,它同樣會記錄您曾去過的網址。該“地址”欄在“任務欄”上(在“任務欄”的空白處單擊鼠標右鍵→“工具欄” →選擇“地址”),在這個“地址”欄中輸入網址便能激活IE瀏覽器上網,輸入的網址就被記錄下來。還好,此處的“記錄”被放在Windows\History文件夾中,非常容易清除。在此說明的是,不要因為IE瀏覽器的“地址”欄和資源管理器的“地址”欄中沒“記錄”,就覺得“完事”了。
“撥號口令”
很多用戶喜歡讓Windows替他來記住口令,即建立撥號連接后,隨著“連接到”窗口的出現,輸入用戶名,再輸入登錄口令(即密碼),輸入時密碼以星號(“*”)的形式出現在口令欄中,在下面的“保存口令”前打勾,這樣每當出現“連接到”窗口時您就不必重復輸入用戶名和口令了。但是,使用Revelation 這個大小只有70kB的軟件可以輕松地得到您的密碼。為了安全起見,建議不要在“保存口令”前打勾了。
另外,在\Windows文件夾中 .PWL文件記錄著撥號上網的賬戶,注意刪除掉。
文檔的“屬性”信息
對于存儲在公用計算機的Word文檔,許多用戶采取設定“打開權限密碼”以防止未經授權用戶打開的辦法,來防止泄露有關該文檔的信息。但是,該文檔的“屬性”信息,會幫“倒忙”——泄密。
Word 97的“屬性”對話框包括“常規”、“摘要信息”、“統計信息”、“內容”和“自定義”五張選項卡。自動存儲到“摘要信息”選項卡上的信息有三項,“作者”、“單位”和安裝Word時輸入的用戶信息。第一次保存文檔時,將文檔中第一行的內容存放到“標題”框中(通常是您寫作的“題目”)。
查看文檔的“屬性”對話框,雖然依據文件名無法判斷出文檔的內容,但“摘要信息”選項卡“標題”框中(該文檔第一行)的內容,卻會泄露文檔的秘密。由于“打開權限密碼”只限制打開文檔,并不限制打開“屬性“對話框,所以,“標題”框是一個易被忽視的泄密漏洞。
堵住這個泄密漏洞的方法是:第一次保存文檔后,打開“屬性”對話框,將“摘要信息”選項卡上“標題”框中的內容刪除(“內容”選項卡上的內容就會自動刪除)即可。
ACDSee 32看圖程序的“記錄”
在默認的情況下,ACDSee 32看圖程序的歷史記錄是“隱藏”的。但若是這樣:單擊“工具”選單→“選項”→“瀏覽”標簽→選擇“顯示路徑框”,按“確定”按鈕,那么,您以前看過的圖片就會顯露。 ACDSee 32看圖程序的歷史記錄,在其“工具”欄的下方。清除方法是,用Regedit打開注冊表,展開左窗口的“HKEY_CURRENT_USER\Software\ACD Systems\ACDSee32”分支,再把ACDSee32主鍵對應的右窗口的“HistFileFilers”、“HistFindScope”和“HistPaths”三項內容刪除即可。
“收藏夾”中的記錄
大多數朋友上網時,常把喜愛的網址添加到“收藏夾”中,甚至設置為“允許脫機使用”,其優點當然是便于下次快速地進行瀏覽。但您的愛好和興趣就必然暴露給他人了。\Windows\Favorites文件夾,即是“收藏夾”的位置,要想清除“收藏夾”中的歷史記錄,只要進入它,選中目標文件,執行“刪除”操作即可。
“記事本”和“寫字板”中的記錄
記事本的歷史記錄保存與否,受制于Windows系統的設置。以Win 98為例,若保存,則僅存在于Win 98的“文檔”選單中,而寫字板的歷史記錄則同時存在于它的“文件”選單和Win 98的“文檔”選單中。
對于“文檔”中的記錄很容易清除,這里不再贅述。至于“寫字板”中的記錄,可用修改注冊表的方法來清除:用Regedit打開注冊表,展開“HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Applets\Wordpad\Recent FileList”分支,將其對應的主鍵值全部刪除,再重新啟動計算機,即可清除寫字板的“文件”選單中的歷史記錄。
“回收站”
“回收站”是已刪文件的暫時存放處。在“清空回收站”之前,存放在那里(回收站)的文件并沒有真正從硬盤上刪除。Windows操作系統,除了在“桌面”上放置一個圖標為灰色的“垃圾筒”外,在每個硬盤(分區)的根目錄下建立了一個隱藏屬性的文件夾——Recycled,這個“Recycled”子目錄(文件夾)就是回收站實際的位置所在。窺探者可以從“回收站”中恢復(還原)被刪除的文件,發現您的工作內容。所以,每次結束操作,離開計算機之前,要記住“清空回收站”。
其它地方
Windows的“附件”中的“畫圖”、“娛樂”用的“Windows Media Player ”等工具,其“文件”選單都蘊藏著豐富的記錄,不可小視。
WPS 97/2000、CCED 2000等字表處理軟件的“文件”選單,也飽含著最近編輯(或打開查看)的文件,同樣需要做清理。
好了,不再危言聳聽了!本文的介紹,只是希望給朋友們有所啟示:電腦應用中存在著一些“副”作用,需要引起足夠的注意,以更好、更安全地使電腦為我們服務。
揭秘熊貓燒香病毒肆虐內幕
[ 2007-03-25 03:20:42 | 作者: sun ]
新年伊始“熊貓燒香”病毒愈演愈烈
-“熊貓燒香”病毒檔案
追殺目標:Worm.WhBoy.h
中 文 名:“熊貓燒香”
病毒長度:可變
病毒類型:蠕蟲
危害等級:★★★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
典型表現:
“熊貓燒香”是一個由Delphi工具編寫的蠕蟲,終止大量的反病毒軟件和防火墻軟件進程。病毒會刪除擴展名為gho的文件,使用戶無法使用ghost軟件恢復操作系統。“熊貓燒香”感染系統的.exe、.com、.pif、.src、.html、.asp文件,添加病毒網址,導致用戶一打開這些網頁文件,IE就會自動連接到指定的病毒網址中下載病毒。在硬盤各個分區下生成文件autorun.inf和setup.exe,可以通過U盤和移動硬盤等方式進行傳播,并且利用Windows系統的自動播放功能來運行,搜索硬盤中的.exe可執行文件并感染,感染后的文件圖標變成“熊貓燒香”圖案。“熊貓燒香”還可以通過共享文件夾、系統弱口令等多種方式進行傳播。
日前,電腦用戶張先生氣憤地告訴記者:“今天早晨一打開電腦,我就快暈了。進入系統后,許多應用程序無法使用,重裝軟件后,不久又不能使用。更奇怪的是發現電腦中所有的.exe可執行文件全部變成小熊貓舉著三根香的模樣,而且系統運行異常緩慢,非常郁悶。”據記者從國內幾家殺毒公司了解到,近期,一個叫“熊貓燒香”(Worm.WhBoy.h)的病毒把電腦用戶折騰得苦不堪言。在人們心目中,“熊貓”這個國寶似乎不再可愛,而成了人人喊打的過街老鼠。據國內的病毒專家介紹,“熊貓燒香”蠕蟲不但對用戶系統進行破壞,導致大量應用軟件無法使用,而且還可刪除擴展名為gho的所有文件,造成用戶的系統備份文件丟失,從而無法進行系統恢復。此外,該病毒還能終止大量反病毒軟件進程,大大降低用戶系統的安全性。
三大原因導致“熊貓燒香”肆虐
近日,“熊貓燒香”病毒泛濫成災,已經到了天怒人怨的地步。據悉,由于多家著名網站遭到此類病毒攻擊而相繼被植入病毒。由于這些網站的瀏覽量非常大,致使此次“熊貓燒香”病毒的感染范圍非常廣。
據瑞星反病毒專家介紹,“熊貓燒香”其實是“尼姆亞”病毒的新變種,最早出現在2006年的11月。由于它一直在不停地進行變種,而且該病毒會在中毒電腦中所有的網頁文件尾部添加病毒代碼,因此,一旦一些網站編輯人員的電腦被該病毒感染,網站編輯在上傳網頁到網站后,就會導致所有瀏覽該網頁的計算機用戶也被感染上該病毒。
同時,據金山毒霸反病毒中心表示,“熊貓燒香”除了通過網站帶毒感染用戶之外,此病毒還會通過QQ最新漏洞傳播自身,通過網絡文件共享、默認共享、系統弱口令、U盤及移動硬盤等多種途徑傳播。而局域網中只要有一臺機器感染,就可以瞬間傳遍整個網絡,甚至在極短時間之內就可以感染幾千臺計算機,嚴重時可以導致網絡癱瘓。中毒癥狀表現為電腦中所有可執行的.exe文件都變成了一種怪異的圖案,該圖案顯示為“熊貓燒香”,繼而系統藍屏、頻繁重啟、硬盤數據被破壞等,嚴重的整個公司局域網內所有電腦會全部中毒。
對此,江民反病毒專家何公道分析認為:導致病毒快速傳播目前存在三大原因。一是大量的企業用戶使用國外殺毒軟件,而國外殺毒軟件對于此類國產病毒響應速度特別慢。二是由于被種植“熊貓燒香”病毒網站的點擊量的全球排名均在前300名之列,而當一部分網站編輯本身機器感染了病毒之后,當他們把受感染文件上傳到服務器后,訪問者點擊此類受感染網頁即中毒,因此,該病毒才會得以迅速傳播。三是其病毒具有極強的變種能力,僅從2006年11月至年底短短一個多月的時間,該病毒就變種將近30余次,因此在許多用戶疏于防范而沒有更新殺毒軟件時,該病毒即可借機迅速傳播。
新年伊始“熊貓燒香”破壞繼續加劇
據了解,江民科技發布的2006年計算機病毒疫情顯示,“熊貓燒香”(“威金”病毒變種)已成為2006年計算機病毒最大威脅。截至去年12月份,已有超過50萬臺計算機受此病毒感染,而受害企業用戶更是達到上千家,多數企業業務因此停頓,直接和間接損失無法估量,病毒疫情十分嚴重。
近日據記者從金山毒霸反病毒中心獲取的最新消息:“熊貓燒香”(Worm.WhBoy.h)病毒目前再次進入急速變種期,從元旦至今,僅半個多月,“熊貓燒香”變種數已高達50多個,并且其感染用戶的數量也在不斷擴大。據金山毒霸客戶服務中心初步統計,目前感染“熊貓燒香”病毒的個人用戶已經高達幾百萬,企業用戶感染數更是成倍上升。特別是在近一周內,金山毒霸客服中心有關熊貓燒香的日咨詢量已高達73%,而感染用戶主要以北京、廣州、上海等大型城市為主。
另據金山毒霸反病毒專家戴光劍指出,當前由于大部分感染了“熊貓燒香”的用戶只能被動下載一些相關的專殺工具或殺毒軟件進行查殺,而由于熊貓燒香變種多,傳播速度快,一旦用戶沒能及時升級殺毒軟件或專殺工具,查殺效果將大打折扣。所以如何徹底將“熊貓燒香”攔截于用戶的電腦之外,成為各大殺毒廠商目前急需解決的問題。
最全面的“熊貓燒香”整體解決方案
近期,“熊貓燒香”病毒無疑成了互聯網最熱門的關鍵字了,網上也能找到很多個有關熊貓燒香病毒的解決辦法。這些方法都顯得不盡完美,再加上熊貓的變種很多,有效性就更加大打折扣了。為此,記者通過對國內幾家殺毒軟件公司的采訪,整理出了一套相對完整的解決方案供大家參考。對于已經感染“熊貓燒香”病毒的用戶,可以采用以下幾種方式對該病毒進行查殺。
★金山
金山毒霸2007對“熊貓燒香”已經具備免疫能力,金山毒霸反病毒專家建議及時安裝正版金山毒霸并升級到最新版本進行查殺。在服務期內的毒霸用戶,將會通過金山毒霸的主動實時升級功能,自動升級到最新版本,實現對“熊貓燒香”的免疫。對于沒有安裝殺毒軟件的電腦用戶,可以登錄到tool.duba.net/zhuansha/253.shtml免費下載金山的“熊貓燒香”專殺工具。
★瑞星
安裝殺毒軟件和瑞星卡卡3.1的用戶,可將軟件升級,并在上網時打開網頁實時監控。同時,瑞星已經發布針對該病毒的專殺工具,并對該工具不斷升級。因此,沒有安裝殺毒軟件的用戶,還可以登錄it.rising.com.cn/Channels/Service/index.shtml免費下載使用“熊貓燒香”專殺工具。
★江民
江民建議已安裝江民殺毒軟件的用戶將殺毒軟件升級到最新病毒庫,并對電腦進行全盤查殺。未安裝殺毒軟件的用戶,也可登錄到www.jiangmin.com/download/zhuansha04.htm下載安裝江民“熊貓燒香”專殺工具,可以有效清除病毒和修復被感染文件。
五招遠離熊貓燒香騷擾
據金山毒霸反病毒中心表示,近期“熊貓燒香”的變種異常活躍,因此從目前至春節期間,該病毒還將會一直騷擾著電腦用戶。雖然用戶及時更新殺毒軟件病毒庫,并下載各殺毒軟件公司提供的專殺工具,即可對“熊貓燒香”病毒進行查殺,但是如果能做到防患于未然豈不更好。為此,記者在采訪中,還總結了以下五招預防措施,希望可以幫您遠離“熊貓燒香”病毒的騷擾。
1.立即檢查本機administrator組成員口令,一定要放棄簡單口令甚至空口令,安全的口令是字母數字特殊字符的組合,自己記得住,別讓病毒猜到就行。
修改方法:右鍵單擊我的電腦,選擇管理,瀏覽到本地用戶和組,在右邊的窗格中,選擇具備管理員權限的用戶名,單擊右鍵,選擇設置密碼,輸入新密碼就行。
2.利用組策略,關閉所有驅動器的自動播放功能。
步驟:單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置,管理模板,系統,在右邊的窗格中選擇關閉自動播放,該配置缺省是未配置,在下拉框中選擇所有驅動器,再選取已啟用,確定后關閉。最后,在開始,運行中輸入gpupdate,確定后,該策略就生效了。
3.修改文件夾選項,以查看不明文件的真實屬性,避免無意雙擊騙子程序中毒。
步驟:打開資源管理器(按windows徽標鍵+E),點工具菜單下文件夾選項,再點查看,在高級設置中,選擇查看所有文件,取消隱藏受保護的操作系統文件,取消隱藏文件擴展名。
4.時刻保持操作系統獲得最新的安全更新,不要隨意訪問來源不明的網站,特別是微軟的MS06-014漏洞,應立即打好該漏洞補丁。
同時,QQ、UC的漏洞也可以被該病毒利用,因此,用戶應該去他們的官方網站打好最新補丁。此外,由于該病毒會利用IE瀏覽器的漏洞進行攻擊,因此用戶還應該給IE打好所有的補丁。如果必要的話,用戶可以暫時換用Firefox、Opera等比較安全的瀏覽器。
5.啟用Windows防火墻保護本地計算機。同時,局域網用戶盡量避免創建可寫的共享目錄,已經創建共享目錄的應立即停止共享。
此外,對于未感染的用戶,病毒專家建議,不要登錄不良網站,及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦,同時上網時應采用“殺毒軟件+防火墻”的立體防御體系。
-“熊貓燒香”病毒檔案
追殺目標:Worm.WhBoy.h
中 文 名:“熊貓燒香”
病毒長度:可變
病毒類型:蠕蟲
危害等級:★★★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
典型表現:
“熊貓燒香”是一個由Delphi工具編寫的蠕蟲,終止大量的反病毒軟件和防火墻軟件進程。病毒會刪除擴展名為gho的文件,使用戶無法使用ghost軟件恢復操作系統。“熊貓燒香”感染系統的.exe、.com、.pif、.src、.html、.asp文件,添加病毒網址,導致用戶一打開這些網頁文件,IE就會自動連接到指定的病毒網址中下載病毒。在硬盤各個分區下生成文件autorun.inf和setup.exe,可以通過U盤和移動硬盤等方式進行傳播,并且利用Windows系統的自動播放功能來運行,搜索硬盤中的.exe可執行文件并感染,感染后的文件圖標變成“熊貓燒香”圖案。“熊貓燒香”還可以通過共享文件夾、系統弱口令等多種方式進行傳播。
日前,電腦用戶張先生氣憤地告訴記者:“今天早晨一打開電腦,我就快暈了。進入系統后,許多應用程序無法使用,重裝軟件后,不久又不能使用。更奇怪的是發現電腦中所有的.exe可執行文件全部變成小熊貓舉著三根香的模樣,而且系統運行異常緩慢,非常郁悶。”據記者從國內幾家殺毒公司了解到,近期,一個叫“熊貓燒香”(Worm.WhBoy.h)的病毒把電腦用戶折騰得苦不堪言。在人們心目中,“熊貓”這個國寶似乎不再可愛,而成了人人喊打的過街老鼠。據國內的病毒專家介紹,“熊貓燒香”蠕蟲不但對用戶系統進行破壞,導致大量應用軟件無法使用,而且還可刪除擴展名為gho的所有文件,造成用戶的系統備份文件丟失,從而無法進行系統恢復。此外,該病毒還能終止大量反病毒軟件進程,大大降低用戶系統的安全性。
三大原因導致“熊貓燒香”肆虐
近日,“熊貓燒香”病毒泛濫成災,已經到了天怒人怨的地步。據悉,由于多家著名網站遭到此類病毒攻擊而相繼被植入病毒。由于這些網站的瀏覽量非常大,致使此次“熊貓燒香”病毒的感染范圍非常廣。
據瑞星反病毒專家介紹,“熊貓燒香”其實是“尼姆亞”病毒的新變種,最早出現在2006年的11月。由于它一直在不停地進行變種,而且該病毒會在中毒電腦中所有的網頁文件尾部添加病毒代碼,因此,一旦一些網站編輯人員的電腦被該病毒感染,網站編輯在上傳網頁到網站后,就會導致所有瀏覽該網頁的計算機用戶也被感染上該病毒。
同時,據金山毒霸反病毒中心表示,“熊貓燒香”除了通過網站帶毒感染用戶之外,此病毒還會通過QQ最新漏洞傳播自身,通過網絡文件共享、默認共享、系統弱口令、U盤及移動硬盤等多種途徑傳播。而局域網中只要有一臺機器感染,就可以瞬間傳遍整個網絡,甚至在極短時間之內就可以感染幾千臺計算機,嚴重時可以導致網絡癱瘓。中毒癥狀表現為電腦中所有可執行的.exe文件都變成了一種怪異的圖案,該圖案顯示為“熊貓燒香”,繼而系統藍屏、頻繁重啟、硬盤數據被破壞等,嚴重的整個公司局域網內所有電腦會全部中毒。
對此,江民反病毒專家何公道分析認為:導致病毒快速傳播目前存在三大原因。一是大量的企業用戶使用國外殺毒軟件,而國外殺毒軟件對于此類國產病毒響應速度特別慢。二是由于被種植“熊貓燒香”病毒網站的點擊量的全球排名均在前300名之列,而當一部分網站編輯本身機器感染了病毒之后,當他們把受感染文件上傳到服務器后,訪問者點擊此類受感染網頁即中毒,因此,該病毒才會得以迅速傳播。三是其病毒具有極強的變種能力,僅從2006年11月至年底短短一個多月的時間,該病毒就變種將近30余次,因此在許多用戶疏于防范而沒有更新殺毒軟件時,該病毒即可借機迅速傳播。
新年伊始“熊貓燒香”破壞繼續加劇
據了解,江民科技發布的2006年計算機病毒疫情顯示,“熊貓燒香”(“威金”病毒變種)已成為2006年計算機病毒最大威脅。截至去年12月份,已有超過50萬臺計算機受此病毒感染,而受害企業用戶更是達到上千家,多數企業業務因此停頓,直接和間接損失無法估量,病毒疫情十分嚴重。
近日據記者從金山毒霸反病毒中心獲取的最新消息:“熊貓燒香”(Worm.WhBoy.h)病毒目前再次進入急速變種期,從元旦至今,僅半個多月,“熊貓燒香”變種數已高達50多個,并且其感染用戶的數量也在不斷擴大。據金山毒霸客戶服務中心初步統計,目前感染“熊貓燒香”病毒的個人用戶已經高達幾百萬,企業用戶感染數更是成倍上升。特別是在近一周內,金山毒霸客服中心有關熊貓燒香的日咨詢量已高達73%,而感染用戶主要以北京、廣州、上海等大型城市為主。
另據金山毒霸反病毒專家戴光劍指出,當前由于大部分感染了“熊貓燒香”的用戶只能被動下載一些相關的專殺工具或殺毒軟件進行查殺,而由于熊貓燒香變種多,傳播速度快,一旦用戶沒能及時升級殺毒軟件或專殺工具,查殺效果將大打折扣。所以如何徹底將“熊貓燒香”攔截于用戶的電腦之外,成為各大殺毒廠商目前急需解決的問題。
最全面的“熊貓燒香”整體解決方案
近期,“熊貓燒香”病毒無疑成了互聯網最熱門的關鍵字了,網上也能找到很多個有關熊貓燒香病毒的解決辦法。這些方法都顯得不盡完美,再加上熊貓的變種很多,有效性就更加大打折扣了。為此,記者通過對國內幾家殺毒軟件公司的采訪,整理出了一套相對完整的解決方案供大家參考。對于已經感染“熊貓燒香”病毒的用戶,可以采用以下幾種方式對該病毒進行查殺。
★金山
金山毒霸2007對“熊貓燒香”已經具備免疫能力,金山毒霸反病毒專家建議及時安裝正版金山毒霸并升級到最新版本進行查殺。在服務期內的毒霸用戶,將會通過金山毒霸的主動實時升級功能,自動升級到最新版本,實現對“熊貓燒香”的免疫。對于沒有安裝殺毒軟件的電腦用戶,可以登錄到tool.duba.net/zhuansha/253.shtml免費下載金山的“熊貓燒香”專殺工具。
★瑞星
安裝殺毒軟件和瑞星卡卡3.1的用戶,可將軟件升級,并在上網時打開網頁實時監控。同時,瑞星已經發布針對該病毒的專殺工具,并對該工具不斷升級。因此,沒有安裝殺毒軟件的用戶,還可以登錄it.rising.com.cn/Channels/Service/index.shtml免費下載使用“熊貓燒香”專殺工具。
★江民
江民建議已安裝江民殺毒軟件的用戶將殺毒軟件升級到最新病毒庫,并對電腦進行全盤查殺。未安裝殺毒軟件的用戶,也可登錄到www.jiangmin.com/download/zhuansha04.htm下載安裝江民“熊貓燒香”專殺工具,可以有效清除病毒和修復被感染文件。
五招遠離熊貓燒香騷擾
據金山毒霸反病毒中心表示,近期“熊貓燒香”的變種異常活躍,因此從目前至春節期間,該病毒還將會一直騷擾著電腦用戶。雖然用戶及時更新殺毒軟件病毒庫,并下載各殺毒軟件公司提供的專殺工具,即可對“熊貓燒香”病毒進行查殺,但是如果能做到防患于未然豈不更好。為此,記者在采訪中,還總結了以下五招預防措施,希望可以幫您遠離“熊貓燒香”病毒的騷擾。
1.立即檢查本機administrator組成員口令,一定要放棄簡單口令甚至空口令,安全的口令是字母數字特殊字符的組合,自己記得住,別讓病毒猜到就行。
修改方法:右鍵單擊我的電腦,選擇管理,瀏覽到本地用戶和組,在右邊的窗格中,選擇具備管理員權限的用戶名,單擊右鍵,選擇設置密碼,輸入新密碼就行。
2.利用組策略,關閉所有驅動器的自動播放功能。
步驟:單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置,管理模板,系統,在右邊的窗格中選擇關閉自動播放,該配置缺省是未配置,在下拉框中選擇所有驅動器,再選取已啟用,確定后關閉。最后,在開始,運行中輸入gpupdate,確定后,該策略就生效了。
3.修改文件夾選項,以查看不明文件的真實屬性,避免無意雙擊騙子程序中毒。
步驟:打開資源管理器(按windows徽標鍵+E),點工具菜單下文件夾選項,再點查看,在高級設置中,選擇查看所有文件,取消隱藏受保護的操作系統文件,取消隱藏文件擴展名。
4.時刻保持操作系統獲得最新的安全更新,不要隨意訪問來源不明的網站,特別是微軟的MS06-014漏洞,應立即打好該漏洞補丁。
同時,QQ、UC的漏洞也可以被該病毒利用,因此,用戶應該去他們的官方網站打好最新補丁。此外,由于該病毒會利用IE瀏覽器的漏洞進行攻擊,因此用戶還應該給IE打好所有的補丁。如果必要的話,用戶可以暫時換用Firefox、Opera等比較安全的瀏覽器。
5.啟用Windows防火墻保護本地計算機。同時,局域網用戶盡量避免創建可寫的共享目錄,已經創建共享目錄的應立即停止共享。
此外,對于未感染的用戶,病毒專家建議,不要登錄不良網站,及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦,同時上網時應采用“殺毒軟件+防火墻”的立體防御體系。
安全系列之Icesword簡明教程
[ 2007-03-25 03:20:30 | 作者: sun ]
IceSword,也稱為冰刀或者冰刃,有些地址簡稱IS,是USTC的PJF出品的一款系統診斷、清除利器。
清除流氓軟件工具無數,為什么稱之為第一利器呢,有如下的理由:
1)你是不是經常有文件刪不掉?如CNNIC或者3721的文件?
2)是不是經常有注冊表不讓你修改?如CNNIC的注冊表是它自動保護起來的
3)是不是經常有進程殺不掉,提示“無法完成”?
4)是不是瀏覽器有N多的插件?
5)是不是有一些程序運行的時候隱藏了進程和端口?
6) 是不是有一些流氓軟件的文件在資源管理器下看都看不到?
1、絕大多數所謂的進程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系統調用(前二者最終也用到此調用)來編寫,隨便一個ApiHook就可輕輕松松干掉它們,更不用說一些內核級后門了;極少數工具利用內核線程調度結構來查詢進程,這種方案需要硬編碼,不僅不同版本系統不同,打個補丁也可能需要升級程序,并且現在有人也提出過防止此種查找的方法。而IceSword的進程查找核心態方案是目前獨一無二的,并且充分考慮內核后門可能的隱藏手段,目前可以查出所有隱藏進程。
2、絕大多數工具查找進程路徑名也是通過Toolhlp32、psapi,前者會調用RtlDebug***函數向目標注入遠線程,后者會用調試api讀取目標進程內存,本質上都是對PEB的枚舉,通過修改PEB就輕易讓這些工具找不到北了。而IceSword的核心態方案原原本本地將全路徑展示,運行時剪切到其他路徑也會隨之顯示。
3、進程dll模塊與2的情況也是一樣,利用PEB的其他工具會被輕易欺騙,而IceSword不會弄錯(有極少數系統不支持,此時仍采用枚舉PEB)。
4、 IceSword的進程殺除強大且方便(當然也會有危險)。可輕易將選中的多個任意進程一并殺除。當然,說任意不確切,除去三個:idle進程、 System進程、csrss進程,原因就不詳述了。其余進程可輕易殺死,當然有些進程(如winlogon)殺掉后系統就崩潰了。
5、對于端口工具,網上的確有很多,不過網上隱藏端口的方法也很多,那些方法對IceSword可是完全行不通的。其實本想帶個防火墻動態查找,不過不想弄得太臃腫。這里的端口是指windows的IPv4 Tcpip協議棧所屬的端口,第三方協議棧或IPv6棧不在此列。
目前一些流氓軟件采取的手段無所不用其極:線程注入,進程隱藏,文件隱藏,驅動保護,普通用戶想把文件給刪了或者找出進程來,是非常困難的。有的是看到了,刪不掉,殺不掉,干著急,實在不行,還需要從另外的作系統去刪除文件。比如采取驅動保護的流氓軟件如CNNIC,雅虎助手之類,.sys驅動加載的時候,它過濾了文件和注冊表作,直接返回一個true,Windows提示文件刪了,但一看,它還在那里。象一些文件刪除工具如unclocker都無效。IceSword是目前所知唯一可以直接刪除這類已經加載的驅動和采取注冊表保護的工具。象清除CNNIC這類流氓軟件,不需要重啟也可以完成了。
IS采取了很多新穎的、內核級的方法和手段,關于它的技術細節不在本文討論之列,下面主要從使用者角度講一下它的主要功能:
■查看進程
包括運行進程的文件地址、各種隱藏的進程以及優先級。用它也可以輕易殺掉用任務管理器、Procexp等工具殺不掉的進程。還可以查看進程的線程、模塊信息,結束線程等。
■查看端口
類似于cport、ActivePort這類工具,顯示當前本地打開的端品以及相應的應用程序地址、名字。包括使用了各種手段隱藏端口的工具,在它下面,都一覽無余。
■內核模塊 加載到系統內和空間的PE模塊,一般都是驅動程序*.sys,可以看到各種已經加載的驅動。包括一些隱藏的驅動文件,如IS自身的IsDrv118.sys,這個在資源管理器里是看不見的。
■啟動組
Windows啟動組里面的相關方式,這個比較容易理解了。不過可惜的是沒有提示刪除功能,只能查看。
■服務
用于查看系統中的被隱藏的或未隱藏的服務,隱藏的服務以紅色顯示。提供對服務的作如啟動,停止,禁用等。
■SPI和BHO
這兩個是目前流氓軟件越來越看中的地方。SPI是服務提供接口,即所有Windows的網絡作都是通過這個接口發出和接收數據包的。很多流氓軟件把這個.dll替換掉,這樣就可以監視所有用戶訪問網絡的包,可以針對性投放一些廣告。如果不清楚的情況下,把這個.dll刪掉,會造成網絡無法使用,上不了網。LSPFix等工具就是針對這個功能的。BHO就更不用說了,瀏覽器的輔助插件,用戶啟動瀏覽器的時候,它就可以自動啟動,彈出廣告窗口什么的。這兩項僅提供查看的功能。
■SSDT (System Service Descriptor Table)
系統服務描述表,內核級后門有可能修改這個服務表,以截獲你系統的服務函數調用,特別是一些老的rootkit,像上面提到的ntrootkit通過這種hook實現注冊表、文件的隱藏。被修改的值以紅色顯示,當然有些安全程序也會修改,比如regmon。
■消息鉤子
若在dll中使用SetWindowsHookEx設置一全局鉤子,系統會將其加載入使用user32的進程中,因而它也可被利用為無進程木馬的進程注入手段。
■線程創建和線程終止監視
“監視進線程創建”將IceSword運行期間的進線程創建調用記錄在循環緩沖里,“監視進程終止”記錄一個進程被其它進程Terminate的情況。舉例說明作用:一個木馬或病毒進程運行起來時查看有沒有殺毒程序如norton的進程,有則殺之,若IceSword正在運行,這個作就被記錄下來,你可以查到是哪個進程做的事,因而可以發現木馬或病毒進程并結束之。再如:一個木馬或病毒采用多線程保護技術,你發現一個異常進程后結束了,一會兒它又起來了,你可用IceSword發現是什么線程又創建了這個進程,把它們一并殺除。中途可能會用到“設置”菜單項:在設置對話框中選中“禁止進線程創建”,此時系統不能創建進程或者線程,你安穩的殺除可疑進線程后,再取消禁止就可以了。
■注冊表Regedit有什么不足?
說起Regedit的不足就太多了,比如它的名稱長度限制,建一個全路徑名長大于255字節的子項看看(編程或用其他工具,比如 regedt32),此項和位于它后面的子鍵在regedit中顯示不出來;再如有意用程序建立的有特殊字符的子鍵regedit根本打不開。
IceSword中添加注冊表編輯并不是為了解決上面的問題,因為已經有了很多很好的工具可以代替Regedit。IceSword中的“注冊表”項是為了查找被木馬后門隱藏的注冊項而寫的,它不受目前任何注冊表隱藏手法的蒙蔽,真正可靠的讓你看到注冊表實際內容。
如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport這個鍵值,就是通過它來加載cndport.sys這個驅動文件的。通過Regedit你刪除會直接出錯,根本無法刪除。而用IS就可以輕易干掉。
■文件作
IS的文件作有點類似于資源管理器,雖然作起來沒有那么方便,但是它的獨到功能在于具備反隱藏、反保護的功能。還有對安全的副作用是本來 system32\config\SAM等文件是不能拷貝也不能打開的,但IceSword是可以直接拷貝的。類似于已經加載的驅動,如CNNIC的 cdnport.sys這個文件,目前只有IS可以直接把它刪除,其它無論什么方式,都無法破除驅動自身的保護。
即使對大多數有用的unlocker,CopyLock、KillBox都是無效的。利用Windows的系統還沒有完全加載的刪除機制,通過在 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下增加PendingFileRenameOperations,這個是所有刪除頑固文件工具的最后一招,但它也被驅動保護變得無效了。以前的情況就是需要重啟啟動到另外一個作系統下刪除。
----那幫做流氓軟件的可真是手段無所不用其及。
IceSword內部功能是十分強大的。可能您也用過很多類似功能的軟件,比如一些進程工具、端口工具,但是現在的系統級后門功能越來越強,一般都可輕而易舉地隱藏進程、端口、注冊表、文件信息,一般的工具根本無法發現這些“幕后黑手”。IceSword使用大量新穎的內核技術,使得這些后門躲無所躲.
IceSword大量采用新穎技術,有別于其他普通進程工具,比如IceSword就可以結束除Idle進程、System進程、csrss進程這三個進程外的所有進程,就這一點,其他同類軟件就是做不到的。當然有些進程也不是隨便可以結束的,如系統的winlogon.exe進程,一旦殺掉后系統就崩潰了,這些也需要注意。
清除流氓軟件工具無數,為什么稱之為第一利器呢,有如下的理由:
1)你是不是經常有文件刪不掉?如CNNIC或者3721的文件?
2)是不是經常有注冊表不讓你修改?如CNNIC的注冊表是它自動保護起來的
3)是不是經常有進程殺不掉,提示“無法完成”?
4)是不是瀏覽器有N多的插件?
5)是不是有一些程序運行的時候隱藏了進程和端口?
6) 是不是有一些流氓軟件的文件在資源管理器下看都看不到?
1、絕大多數所謂的進程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系統調用(前二者最終也用到此調用)來編寫,隨便一個ApiHook就可輕輕松松干掉它們,更不用說一些內核級后門了;極少數工具利用內核線程調度結構來查詢進程,這種方案需要硬編碼,不僅不同版本系統不同,打個補丁也可能需要升級程序,并且現在有人也提出過防止此種查找的方法。而IceSword的進程查找核心態方案是目前獨一無二的,并且充分考慮內核后門可能的隱藏手段,目前可以查出所有隱藏進程。
2、絕大多數工具查找進程路徑名也是通過Toolhlp32、psapi,前者會調用RtlDebug***函數向目標注入遠線程,后者會用調試api讀取目標進程內存,本質上都是對PEB的枚舉,通過修改PEB就輕易讓這些工具找不到北了。而IceSword的核心態方案原原本本地將全路徑展示,運行時剪切到其他路徑也會隨之顯示。
3、進程dll模塊與2的情況也是一樣,利用PEB的其他工具會被輕易欺騙,而IceSword不會弄錯(有極少數系統不支持,此時仍采用枚舉PEB)。
4、 IceSword的進程殺除強大且方便(當然也會有危險)。可輕易將選中的多個任意進程一并殺除。當然,說任意不確切,除去三個:idle進程、 System進程、csrss進程,原因就不詳述了。其余進程可輕易殺死,當然有些進程(如winlogon)殺掉后系統就崩潰了。
5、對于端口工具,網上的確有很多,不過網上隱藏端口的方法也很多,那些方法對IceSword可是完全行不通的。其實本想帶個防火墻動態查找,不過不想弄得太臃腫。這里的端口是指windows的IPv4 Tcpip協議棧所屬的端口,第三方協議棧或IPv6棧不在此列。
目前一些流氓軟件采取的手段無所不用其極:線程注入,進程隱藏,文件隱藏,驅動保護,普通用戶想把文件給刪了或者找出進程來,是非常困難的。有的是看到了,刪不掉,殺不掉,干著急,實在不行,還需要從另外的作系統去刪除文件。比如采取驅動保護的流氓軟件如CNNIC,雅虎助手之類,.sys驅動加載的時候,它過濾了文件和注冊表作,直接返回一個true,Windows提示文件刪了,但一看,它還在那里。象一些文件刪除工具如unclocker都無效。IceSword是目前所知唯一可以直接刪除這類已經加載的驅動和采取注冊表保護的工具。象清除CNNIC這類流氓軟件,不需要重啟也可以完成了。
IS采取了很多新穎的、內核級的方法和手段,關于它的技術細節不在本文討論之列,下面主要從使用者角度講一下它的主要功能:
■查看進程
包括運行進程的文件地址、各種隱藏的進程以及優先級。用它也可以輕易殺掉用任務管理器、Procexp等工具殺不掉的進程。還可以查看進程的線程、模塊信息,結束線程等。
■查看端口
類似于cport、ActivePort這類工具,顯示當前本地打開的端品以及相應的應用程序地址、名字。包括使用了各種手段隱藏端口的工具,在它下面,都一覽無余。
■內核模塊 加載到系統內和空間的PE模塊,一般都是驅動程序*.sys,可以看到各種已經加載的驅動。包括一些隱藏的驅動文件,如IS自身的IsDrv118.sys,這個在資源管理器里是看不見的。
■啟動組
Windows啟動組里面的相關方式,這個比較容易理解了。不過可惜的是沒有提示刪除功能,只能查看。
■服務
用于查看系統中的被隱藏的或未隱藏的服務,隱藏的服務以紅色顯示。提供對服務的作如啟動,停止,禁用等。
■SPI和BHO
這兩個是目前流氓軟件越來越看中的地方。SPI是服務提供接口,即所有Windows的網絡作都是通過這個接口發出和接收數據包的。很多流氓軟件把這個.dll替換掉,這樣就可以監視所有用戶訪問網絡的包,可以針對性投放一些廣告。如果不清楚的情況下,把這個.dll刪掉,會造成網絡無法使用,上不了網。LSPFix等工具就是針對這個功能的。BHO就更不用說了,瀏覽器的輔助插件,用戶啟動瀏覽器的時候,它就可以自動啟動,彈出廣告窗口什么的。這兩項僅提供查看的功能。
■SSDT (System Service Descriptor Table)
系統服務描述表,內核級后門有可能修改這個服務表,以截獲你系統的服務函數調用,特別是一些老的rootkit,像上面提到的ntrootkit通過這種hook實現注冊表、文件的隱藏。被修改的值以紅色顯示,當然有些安全程序也會修改,比如regmon。
■消息鉤子
若在dll中使用SetWindowsHookEx設置一全局鉤子,系統會將其加載入使用user32的進程中,因而它也可被利用為無進程木馬的進程注入手段。
■線程創建和線程終止監視
“監視進線程創建”將IceSword運行期間的進線程創建調用記錄在循環緩沖里,“監視進程終止”記錄一個進程被其它進程Terminate的情況。舉例說明作用:一個木馬或病毒進程運行起來時查看有沒有殺毒程序如norton的進程,有則殺之,若IceSword正在運行,這個作就被記錄下來,你可以查到是哪個進程做的事,因而可以發現木馬或病毒進程并結束之。再如:一個木馬或病毒采用多線程保護技術,你發現一個異常進程后結束了,一會兒它又起來了,你可用IceSword發現是什么線程又創建了這個進程,把它們一并殺除。中途可能會用到“設置”菜單項:在設置對話框中選中“禁止進線程創建”,此時系統不能創建進程或者線程,你安穩的殺除可疑進線程后,再取消禁止就可以了。
■注冊表Regedit有什么不足?
說起Regedit的不足就太多了,比如它的名稱長度限制,建一個全路徑名長大于255字節的子項看看(編程或用其他工具,比如 regedt32),此項和位于它后面的子鍵在regedit中顯示不出來;再如有意用程序建立的有特殊字符的子鍵regedit根本打不開。
IceSword中添加注冊表編輯并不是為了解決上面的問題,因為已經有了很多很好的工具可以代替Regedit。IceSword中的“注冊表”項是為了查找被木馬后門隱藏的注冊項而寫的,它不受目前任何注冊表隱藏手法的蒙蔽,真正可靠的讓你看到注冊表實際內容。
如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport這個鍵值,就是通過它來加載cndport.sys這個驅動文件的。通過Regedit你刪除會直接出錯,根本無法刪除。而用IS就可以輕易干掉。
■文件作
IS的文件作有點類似于資源管理器,雖然作起來沒有那么方便,但是它的獨到功能在于具備反隱藏、反保護的功能。還有對安全的副作用是本來 system32\config\SAM等文件是不能拷貝也不能打開的,但IceSword是可以直接拷貝的。類似于已經加載的驅動,如CNNIC的 cdnport.sys這個文件,目前只有IS可以直接把它刪除,其它無論什么方式,都無法破除驅動自身的保護。
即使對大多數有用的unlocker,CopyLock、KillBox都是無效的。利用Windows的系統還沒有完全加載的刪除機制,通過在 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下增加PendingFileRenameOperations,這個是所有刪除頑固文件工具的最后一招,但它也被驅動保護變得無效了。以前的情況就是需要重啟啟動到另外一個作系統下刪除。
----那幫做流氓軟件的可真是手段無所不用其及。
IceSword內部功能是十分強大的。可能您也用過很多類似功能的軟件,比如一些進程工具、端口工具,但是現在的系統級后門功能越來越強,一般都可輕而易舉地隱藏進程、端口、注冊表、文件信息,一般的工具根本無法發現這些“幕后黑手”。IceSword使用大量新穎的內核技術,使得這些后門躲無所躲.
IceSword大量采用新穎技術,有別于其他普通進程工具,比如IceSword就可以結束除Idle進程、System進程、csrss進程這三個進程外的所有進程,就這一點,其他同類軟件就是做不到的。當然有些進程也不是隨便可以結束的,如系統的winlogon.exe進程,一旦殺掉后系統就崩潰了,這些也需要注意。
共享成果:殺熊貓燒香100%成功絕招
[ 2007-03-25 03:20:15 | 作者: sun ]
瑞星1月14號以后的病毒庫都能殺,而且很靈。但瑞星的程序會被熊貓關掉。
殺毒具體方法(100%成功)。注意!一定要看完完整的一步再進行,因為一旦斷開,整步都要重做!
1、右鍵點擊托盤里的瑞星防火墻圖標,選擇“系統狀態”,然后馬上用右鍵點擊任務欄中的防火墻窗口按鈕,彈出窗口控制菜單,這樣就可以鎖住窗口,使其不被關閉。找出“熊貓”的進程,記下程序名。現在可以把菜單點掉了,你會發現瑞星的窗口馬上被關了。沒事,現在不管它。
2、打開“任務管理器”(Ctrl+Alt+Del)。在窗口出來時馬上點任務欄鎖住它,然后打開“進程”標簽(如果已經打開就跳過這一步)。然后按住標題欄鎖住它。準備一下,迅速松開標題欄,按下剛才找到的“熊貓”的首字母,再按住標題欄。重復數次,直到選中“熊貓”。松開標題欄,馬上按鍵盤上的“右鍵快捷鍵(右Ctrl左邊的那個畫著菜單的鍵)”、然后按“T”、“Y”,結束“熊貓”的進程樹!
3、至此,已經成功90%了,你可以稍稍放松一下。打開瑞星殺毒軟件和防火墻,升級到最新版本后(可能要重啟,重啟后只能重復1、2了,但如果你是1月14號以后的病毒庫就不用升級了),打開防火墻主程序的“啟動選項”,顯示所有啟動項(什么應用程序劫持項、驅動程序的),刪掉熊貓的鍵值。然后開著防火墻、監控中心進行整機殺毒!(包括引導區、內存、郵件。可以不斷網,因為病毒已經進不來了)。
4、殺完毒,看一看是不是幾百個“Worm.Nimaya.W”全在網頁里面?怪不得一開網際快車就重新中毒呢。重啟電腦,再來一遍開機掃描,確定無毒,電腦也就無毒了。
殺毒具體方法(100%成功)。注意!一定要看完完整的一步再進行,因為一旦斷開,整步都要重做!
1、右鍵點擊托盤里的瑞星防火墻圖標,選擇“系統狀態”,然后馬上用右鍵點擊任務欄中的防火墻窗口按鈕,彈出窗口控制菜單,這樣就可以鎖住窗口,使其不被關閉。找出“熊貓”的進程,記下程序名。現在可以把菜單點掉了,你會發現瑞星的窗口馬上被關了。沒事,現在不管它。
2、打開“任務管理器”(Ctrl+Alt+Del)。在窗口出來時馬上點任務欄鎖住它,然后打開“進程”標簽(如果已經打開就跳過這一步)。然后按住標題欄鎖住它。準備一下,迅速松開標題欄,按下剛才找到的“熊貓”的首字母,再按住標題欄。重復數次,直到選中“熊貓”。松開標題欄,馬上按鍵盤上的“右鍵快捷鍵(右Ctrl左邊的那個畫著菜單的鍵)”、然后按“T”、“Y”,結束“熊貓”的進程樹!
3、至此,已經成功90%了,你可以稍稍放松一下。打開瑞星殺毒軟件和防火墻,升級到最新版本后(可能要重啟,重啟后只能重復1、2了,但如果你是1月14號以后的病毒庫就不用升級了),打開防火墻主程序的“啟動選項”,顯示所有啟動項(什么應用程序劫持項、驅動程序的),刪掉熊貓的鍵值。然后開著防火墻、監控中心進行整機殺毒!(包括引導區、內存、郵件。可以不斷網,因為病毒已經進不來了)。
4、殺完毒,看一看是不是幾百個“Worm.Nimaya.W”全在網頁里面?怪不得一開網際快車就重新中毒呢。重啟電腦,再來一遍開機掃描,確定無毒,電腦也就無毒了。
服務器安全 防范拒絕服務攻擊妙招兒
[ 2007-03-25 03:19:57 | 作者: sun ]
目前網絡中有一種攻擊讓網絡管理員最為頭疼,那就是拒絕服務攻擊,簡稱DOS和DDOS。它是一種濫用資源性的攻擊,目的就是利用自身的資源通過一種放大或不對等的方式來達到消耗對方資源的目的。同一時刻很多不同的IP對服務器進行訪問造成服務器的服務失效甚至死機。
今天就筆者公司管理服務器的經驗為各位讀者介紹幾個簡單有效的防范拒絕服務攻擊的方法,雖然不能徹底防護,但在與DDOS的戰斗中可以最大限度降低損失。
1、如何發現攻擊
在服務器上可以通過CPU使用率和內存利用率簡單有效的查看服務器當前負載情況,如果發現服務器突然超負載運作,性能突然降低,這就有可能是受攻擊的征兆。不過也可能是正常訪問網站人數增加的原因。如何區分這兩種情況呢?按照下面兩個原則即可確定受到了攻擊。
(1)網站的數據流量突然超出平常的十幾倍甚至上百倍,而且同時到達網站的數據包分別來自大量不同的IP。
(2)大量到達的數據包(包括TCP包和UDP包)并不是網站服務連接的一部分,往往指向你機器任意的端口。比如你的網站是Web服務器,而數據包卻發向你的FTP端口或其它任意的端口。
2、BAN IP地址法
確定自己受到攻擊后就可以使用簡單的屏蔽IP的方法將DOS攻擊化解。對于DOS攻擊來說這種方法非常有效,因為DOS往往來自少量IP地址,而且這些IP地址都是虛構的偽裝的。在服務器或路由器上屏蔽攻擊者IP后就可以有效的防范DOS的攻擊。不過對于DDOS來說則比較麻煩,需要我們對IP地址分析,將真正攻擊的IP地址屏蔽。
不論是對付DOS還是DDOS都需要我們在服務器上安裝相應的防火墻,然后根據防火墻的日志分析來訪者的IP,發現訪問量大的異常IP段就可以添加相應的規則到防火墻中實施過濾了。
當然直接在服務器上過濾會耗費服務器的一定系統資源,所以目前比較有效的方法是在服務器上通過防火墻日志定位非法IP段,然后將過濾條目添加到路由器上。例如我們發現進行DDOS攻擊的非法IP段為211.153.0.0 255.255.0.0,而服務器的地址為61.153.5.1。那么可以登錄公司核心路由器添加如下語句的訪問控制列表進行過濾。
cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0,
這樣就實現了將211.153.0.0 255.255.0.0的非法IP過濾的目的。
小提示:在訪問控制列表中表示子網掩碼需要使用反向掩碼,也就是說0.0.255.255表示子網掩碼為255.255.0.0 。
3、增加SYN緩存法
上面提到的BAN IP法雖然可以有效的防止DOS與DDOS的攻擊但由于使用了屏蔽IP功能,自然會誤將某些正常訪問的IP也過濾掉。所以在遇到小型攻擊時不建議大家使用上面介紹的BAN IP法。我們可以通過修改SYN緩存的方法防御小型DOS與DDOS的攻擊。該方法在筆者所在公司收效顯著。
修改SY緩存大小是通過注冊表的相關鍵值完成的。我們將為各位讀者介紹在WINDOWS2003和2000中的修改方法。
(1)WIN2003下拒絕訪問攻擊的防范:
第一步:“開始->運行->輸入regedit”進入注冊表編輯器。
第二步:找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,在其下的有個SynAttackProtect鍵值。默認為0將其修改為1可更有效地防御SYN攻擊。
小提示:該參數可使TCP調整SYN-ACKS的重新傳輸。將SynAttackProtect設置為1時,如果系統檢測到存在SYN攻擊,連接響應的超時時間將更短。
第三步:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect鍵值,將其修改為0。該設置將禁止SYN攻擊服務器后強迫服務器修改網關從而使服務暫停。
第四步:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnablePMTUDiscovery鍵值,將其修改為0。這樣可以限定攻擊者的MTU大小,降低服務器總體負荷。
第五步:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime設置為300,000。將NoNameReleaseOnDemand
設置為1。
(2)WIN2000下拒絕訪問攻擊的防范:
在WIN2000下拒絕訪問攻擊的防范方法和2003基本相似,只是在設置數值上有些區別。我們做下簡單介紹。
第一步:將SynAttackProtect設置為2。
第二步:將EnableDeadGWDetect設置為0。
第三步:將EnablePMTUDiscovery設置為0。
第四步:將KeepAliveTime設置為300000。
第五步:將NoNameReleaseOnDemand設置為1。
總結:經過上面介紹的察覺攻擊法,BAN IP法和最后的修改注冊表法可以有效的防范DOS與DDOS的攻擊。不過由于DDOS攻擊的特點,實際上沒有一臺服務器能夠徹底防范它,即使安裝了專業的防范DDOS的硬件防火墻也不能百分之百的避免損失。今天介紹的幾個方法只是免費的防范手段,實際中能起到一定的效果。
今天就筆者公司管理服務器的經驗為各位讀者介紹幾個簡單有效的防范拒絕服務攻擊的方法,雖然不能徹底防護,但在與DDOS的戰斗中可以最大限度降低損失。
1、如何發現攻擊
在服務器上可以通過CPU使用率和內存利用率簡單有效的查看服務器當前負載情況,如果發現服務器突然超負載運作,性能突然降低,這就有可能是受攻擊的征兆。不過也可能是正常訪問網站人數增加的原因。如何區分這兩種情況呢?按照下面兩個原則即可確定受到了攻擊。
(1)網站的數據流量突然超出平常的十幾倍甚至上百倍,而且同時到達網站的數據包分別來自大量不同的IP。
(2)大量到達的數據包(包括TCP包和UDP包)并不是網站服務連接的一部分,往往指向你機器任意的端口。比如你的網站是Web服務器,而數據包卻發向你的FTP端口或其它任意的端口。
2、BAN IP地址法
確定自己受到攻擊后就可以使用簡單的屏蔽IP的方法將DOS攻擊化解。對于DOS攻擊來說這種方法非常有效,因為DOS往往來自少量IP地址,而且這些IP地址都是虛構的偽裝的。在服務器或路由器上屏蔽攻擊者IP后就可以有效的防范DOS的攻擊。不過對于DDOS來說則比較麻煩,需要我們對IP地址分析,將真正攻擊的IP地址屏蔽。
不論是對付DOS還是DDOS都需要我們在服務器上安裝相應的防火墻,然后根據防火墻的日志分析來訪者的IP,發現訪問量大的異常IP段就可以添加相應的規則到防火墻中實施過濾了。
當然直接在服務器上過濾會耗費服務器的一定系統資源,所以目前比較有效的方法是在服務器上通過防火墻日志定位非法IP段,然后將過濾條目添加到路由器上。例如我們發現進行DDOS攻擊的非法IP段為211.153.0.0 255.255.0.0,而服務器的地址為61.153.5.1。那么可以登錄公司核心路由器添加如下語句的訪問控制列表進行過濾。
cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0,
這樣就實現了將211.153.0.0 255.255.0.0的非法IP過濾的目的。
小提示:在訪問控制列表中表示子網掩碼需要使用反向掩碼,也就是說0.0.255.255表示子網掩碼為255.255.0.0 。
3、增加SYN緩存法
上面提到的BAN IP法雖然可以有效的防止DOS與DDOS的攻擊但由于使用了屏蔽IP功能,自然會誤將某些正常訪問的IP也過濾掉。所以在遇到小型攻擊時不建議大家使用上面介紹的BAN IP法。我們可以通過修改SYN緩存的方法防御小型DOS與DDOS的攻擊。該方法在筆者所在公司收效顯著。
修改SY緩存大小是通過注冊表的相關鍵值完成的。我們將為各位讀者介紹在WINDOWS2003和2000中的修改方法。
(1)WIN2003下拒絕訪問攻擊的防范:
第一步:“開始->運行->輸入regedit”進入注冊表編輯器。
第二步:找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,在其下的有個SynAttackProtect鍵值。默認為0將其修改為1可更有效地防御SYN攻擊。
小提示:該參數可使TCP調整SYN-ACKS的重新傳輸。將SynAttackProtect設置為1時,如果系統檢測到存在SYN攻擊,連接響應的超時時間將更短。
第三步:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect鍵值,將其修改為0。該設置將禁止SYN攻擊服務器后強迫服務器修改網關從而使服務暫停。
第四步:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnablePMTUDiscovery鍵值,將其修改為0。這樣可以限定攻擊者的MTU大小,降低服務器總體負荷。
第五步:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime設置為300,000。將NoNameReleaseOnDemand
設置為1。
(2)WIN2000下拒絕訪問攻擊的防范:
在WIN2000下拒絕訪問攻擊的防范方法和2003基本相似,只是在設置數值上有些區別。我們做下簡單介紹。
第一步:將SynAttackProtect設置為2。
第二步:將EnableDeadGWDetect設置為0。
第三步:將EnablePMTUDiscovery設置為0。
第四步:將KeepAliveTime設置為300000。
第五步:將NoNameReleaseOnDemand設置為1。
總結:經過上面介紹的察覺攻擊法,BAN IP法和最后的修改注冊表法可以有效的防范DOS與DDOS的攻擊。不過由于DDOS攻擊的特點,實際上沒有一臺服務器能夠徹底防范它,即使安裝了專業的防范DDOS的硬件防火墻也不能百分之百的避免損失。今天介紹的幾個方法只是免費的防范手段,實際中能起到一定的效果。
通過HttpModule實現數據庫防注入
[ 2007-03-25 03:19:44 | 作者: sun ]
通過相應的關鍵字去識別是否有 Sql注入攻擊代碼
string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";
在下面的代碼中你要看以上面的定義, 其實就是定義要識別的關鍵字.
而我們處理請求一般都是通過 Request.QueryString / Request.Form 這兩種
我們可以專門寫一個類去處理這些請求, 但如果在每一個處理環節都載入這個類去做處理, 那太麻煩了.
如果寫一個ISAPI當然也能完成這個功能的實現, 但在.NET 中 HttpModule幫我們實現了類似于ISAPI Filter的功能, 所以改為通過 HttpModule 去處理這些事情是最好不過的啦.
我們現在要用到的只是里面的BeginRequest這個事件, 所以只需要注冊BeginRequest這個事件就可以了.
REM 過濾字符串
Dim strFilter As String = "and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare|&"
REM 分割后的過濾字符串數組
Dim strf() As String
Dim strTemp1, strTemp2 As String
strf = strFilter.Split("|")
If Request.RequestType = "GET" Then
For Each strTemp1 In Request.QueryString
For Each strTemp2 In strf
If InStr(LCase(strTemp1), LCase(strTemp2), CompareMethod.Text) Then
Response.Write("想干啥?別注我!有漏洞通知QQ:26242000")
Response.End()
End If
Next
Next
ElseIf Request.RequestType = "POST" Then
For Each strTemp1 In Request.Form
For Each strTemp2 In strf
If InStr(LCase(strTemp1), LCase(strTemp2), CompareMethod.Text) Then
Response.Write("想干啥?別注我!有漏洞通知QQ:26242000")
Response.End()
End If
Next
Next
End If
再來看看我在百度上找的sql防攻擊代碼
// @copyright S.Sams Lifexperience http://blog.8see.net/
using System;
namespace Theme.Services.Public
{
/// <summary>
/// SqlstrAny 的摘要說明。
/// </summary>
public class ProcessRequest
{
public ProcessRequest()
{
//
// TODO: 在此處添加構造函數邏輯
//
}
#region SQL注入式攻擊代碼分析
/// <summary>
/// 處理用戶提交的請求
/// </summary>
public void StartProcessRequest()
{
try
{
string getkeys = "";
string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();
if (System.Web.HttpContext.Current.Request.QueryString != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.QueryString.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
{
System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.End();
}
}
}
if (System.Web.HttpContext.Current.Request.Form != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.Form.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
{
System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.End();
}
}
}
}
catch
{
// 錯誤處理: 處理用戶提交信息!
}
}
/// <summary>
/// 分析用戶請求是否正常
/// </summary>
/// <param name="Str">傳入用戶提交數據</param>
/// <returns>返回是否含有SQL注入式攻擊代碼</returns>
private bool ProcessSqlStr(string Str)
{
bool ReturnValue = true;
try
{
if (Str != "")
{
string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";
string[] anySqlStr = SqlStr.Split('|');
foreach (string ss in anySqlStr)
{
if (Str.IndexOf(ss)>=0)
{
ReturnValue = false;
}
}
}
}
catch
{
ReturnValue = false;
}
return ReturnValue;
}
#endregion
}
}
// System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString(); 這個為用戶自定義錯誤頁面提示地址,
//在Web.Config文件時里面添加一個 CustomErrorPage 即可
//<!-- 防止SQL數據庫注入攻擊的出錯頁面自定義地址 -->
// <add key="CustomErrorPage" value="../Error.html" />
string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";
在下面的代碼中你要看以上面的定義, 其實就是定義要識別的關鍵字.
而我們處理請求一般都是通過 Request.QueryString / Request.Form 這兩種
我們可以專門寫一個類去處理這些請求, 但如果在每一個處理環節都載入這個類去做處理, 那太麻煩了.
如果寫一個ISAPI當然也能完成這個功能的實現, 但在.NET 中 HttpModule幫我們實現了類似于ISAPI Filter的功能, 所以改為通過 HttpModule 去處理這些事情是最好不過的啦.
我們現在要用到的只是里面的BeginRequest這個事件, 所以只需要注冊BeginRequest這個事件就可以了.
REM 過濾字符串
Dim strFilter As String = "and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare|&"
REM 分割后的過濾字符串數組
Dim strf() As String
Dim strTemp1, strTemp2 As String
strf = strFilter.Split("|")
If Request.RequestType = "GET" Then
For Each strTemp1 In Request.QueryString
For Each strTemp2 In strf
If InStr(LCase(strTemp1), LCase(strTemp2), CompareMethod.Text) Then
Response.Write("想干啥?別注我!有漏洞通知QQ:26242000")
Response.End()
End If
Next
Next
ElseIf Request.RequestType = "POST" Then
For Each strTemp1 In Request.Form
For Each strTemp2 In strf
If InStr(LCase(strTemp1), LCase(strTemp2), CompareMethod.Text) Then
Response.Write("想干啥?別注我!有漏洞通知QQ:26242000")
Response.End()
End If
Next
Next
End If
再來看看我在百度上找的sql防攻擊代碼
// @copyright S.Sams Lifexperience http://blog.8see.net/
using System;
namespace Theme.Services.Public
{
/// <summary>
/// SqlstrAny 的摘要說明。
/// </summary>
public class ProcessRequest
{
public ProcessRequest()
{
//
// TODO: 在此處添加構造函數邏輯
//
}
#region SQL注入式攻擊代碼分析
/// <summary>
/// 處理用戶提交的請求
/// </summary>
public void StartProcessRequest()
{
try
{
string getkeys = "";
string sqlErrorPage = System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString();
if (System.Web.HttpContext.Current.Request.QueryString != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.QueryString.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
{
System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.End();
}
}
}
if (System.Web.HttpContext.Current.Request.Form != null)
{
for(int i=0;i<System.Web.HttpContext.Current.Request.Form.Count;i++)
{
getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
{
System.Web.HttpContext.Current.Response.Redirect (sqlErrorPage+"?errmsg=sqlserver&sqlprocess=true");
System.Web.HttpContext.Current.Response.End();
}
}
}
}
catch
{
// 錯誤處理: 處理用戶提交信息!
}
}
/// <summary>
/// 分析用戶請求是否正常
/// </summary>
/// <param name="Str">傳入用戶提交數據</param>
/// <returns>返回是否含有SQL注入式攻擊代碼</returns>
private bool ProcessSqlStr(string Str)
{
bool ReturnValue = true;
try
{
if (Str != "")
{
string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";
string[] anySqlStr = SqlStr.Split('|');
foreach (string ss in anySqlStr)
{
if (Str.IndexOf(ss)>=0)
{
ReturnValue = false;
}
}
}
}
catch
{
ReturnValue = false;
}
return ReturnValue;
}
#endregion
}
}
// System.Configuration.ConfigurationSettings.AppSettings["CustomErrorPage"].ToString(); 這個為用戶自定義錯誤頁面提示地址,
//在Web.Config文件時里面添加一個 CustomErrorPage 即可
//<!-- 防止SQL數據庫注入攻擊的出錯頁面自定義地址 -->
// <add key="CustomErrorPage" value="../Error.html" />
Windows系統中從源頭防病毒另類高招
[ 2007-03-25 03:19:32 | 作者: sun ]
由于網絡和各種存儲設備的飛速發展,使得病毒傳播的幾率也大大的增加了。雖然可以通過安裝防病毒軟件和網絡防火墻來保護你的系統,但是由于病毒技術的發展勢頭十分迅猛,甚至許多網頁中都包含了很多惡意代碼,如果用戶的防范意識不強的話,即使安裝了防病毒軟件也很容易“中招”。
筆者經過查閱微軟資料以及個人的使用經驗,總結出一套防范病毒的方法,希望能對大家有所幫助。
如果大家使用的是Windows2000/XP或2003操作系統的話,那么你可以嘗試一下以下的方法——從源頭上讓你的系統可以對病毒免疫。
首先全新安裝的操作系統(或者你能確認你當前使用的系統是無毒的),立即就打開:
“開始→程序→管理工具→計算機管理→本地用戶和組→用戶” ,把超級管理員密碼更改成十位數以上,并且盡量使用數字和大小寫字母相結合的密碼。然后再建立一個用戶,把它的密碼也設置成十位以上并且提升為超級管理員。這樣做的目的是為了雙保險:如果你忘記了其中一個密碼,還有使用另一個超管密碼登陸來挽回的余地,免得你被拒絕于系統之外;再者就是網上的黑客無法再通過猜測你系統超管密碼的方式遠程獲得你系統的控制權而進行破壞。接著再添加兩個用戶,比如用戶名分別為:nyh1、nyh2;并且指定他們屬于user組,好了,準備工作到這里就全部完成了,以后你除了必要的維護計算機外就不要使用超級管理員和nyh2登陸了。只使用nyh1登陸就可以了。
(建立新用戶時,默認為user組。如果要建立管理員用戶,在新建完用戶后,在“組”里面,點選Administrators組,點擊“添加”把這個帳號加入Administrators組中。)
登陸之后上網的時候找到IE,并為它建立一個快捷方式到桌面上,右鍵單擊快捷方式,選擇“以其他用戶方式運行”點確定!要上網的時候就點這個快捷方式,它會跟你要用戶名和密碼這時候你就輸入nyh2的用戶名和密碼!!!好了,現在你可以使用這個打開的窗口去上網了,可以隨你便去放心的瀏覽任何惡毒的、惡意的、網站跟網頁,而不必再擔心中招了!因為你當前的系統活動的用戶時nyh1。
而nyh2是不活動的用戶,我們使用這個不活動的用戶去上網時,無論多聰明的網站,通過IE得到的信息都將讓它都將以為這個nyh2就是你當前活動的用戶,如果它要在你瀏覽時用惡意代碼對你的系統搞搞破壞的話根本就時行不通的,即使能行通,那么被修改掉的僅僅時nyh2的一個配置文件罷了,而很多惡意代碼和病毒試圖通過nyh2進行的破壞活動卻都將失敗,因為nyh2根本就沒運行,怎么能取得系統的操作權呢??既然取不得,也就對你無可奈何了。而他們更不可能跨越用戶來操作,因為微軟得配置本來就是各用戶之間是獨立的,就象別人不可能跑到我家占據我睡覺用的床一樣,它們無法占據nyh1的位置!所以你只要能保證總是以這個nyh2用戶做代理來上網(但卻不要使用nyh2來登陸系統,因為如果那樣的話,如果nyh2以前中過什么網頁病毒,那么在user2登陸的同時,他們極有可能被激活!),那么無論你中多少網頁病毒,全部都將是無法運行或被你當前的nyh1用戶加載的,所以你當前的系統將永遠無毒! 下面是建立IE快捷方式的步驟。
在桌面上點擊右鍵,選擇“新建——快捷方式”,在彈出的窗口中選擇IEXPLORE(位置在"C:Program FilesInternet ExplorerIEXPLORE.EXE"),點擊“下一步”完成。然后鼠標右鍵點擊該快捷方式,選擇“屬性”,再點擊“高級按鈕”,在以“其他用戶身份運行”前打上勾。
以后上網點擊IE的時候,會出現如下窗口,輸入nyh2和密碼即可。
不過總有疏忽的時候,萬一不小心接收了別人發來的病毒文件,或者從郵件中收到病毒文件,一個不小心中毒了怎么辦??
不用擔心,現在我們就可以來盡情的表演金蟬脫殼的技術了!
開始金蟬脫殼:
重新啟動計算機,使用超級管理員登陸——進入系統后什么程序都不要運行
你會驚奇的發現在的系統竟然表現的完全無毒!那就再好不過了,現在就立即就打開:
“開始→程序→管理工具→計算機管理→本地用戶和組→用戶” 吧!
把里面的nyh1和nyh2兩個用戶全刪掉吧,你只需要這么輕輕的一刪就可以了,那么以前隨著這兩個用戶而存在的病毒也就跟隨著這兩個用戶的消失而一起去長眠了——(好象是陪葬,呵呵!)。這么做過之后我保證你的Windows就象新裝的一個樣,任何系統文件和系統進程里都完全是沒有病毒的!
好!現在再重復開始的步驟從新建立nyh1和nyh2兩個用戶,讓他們復活吧。他們復活是復活了,但是曾跟隨了他們的病毒卻是沒這機會了,因為WindowsXP重新建立用戶的時候會重新分配給他們全新的配置,而這個配置是全新的也是不可能包含病毒的!!!建立完成之后立即注銷超級管理員,轉如使用nyh1登陸,繼續你象做的事吧,你會發現你的系統如同全新了!以上方法可以周而復始的用,再加上經常的去打微軟的補丁,幾乎可以永遠保證你的操作系統是無毒狀態!只要你能遵循以下兩條規則:
一、任何時間都不以超級管理員的身份登陸系統——除非你要進行系統級更新和維護、需要使用超級管理員身份的時候或是你需要添加和刪除用戶的時候。
二、必須使用超級管理員登陸的時候,保證不使用和運行任何除了操作系統自帶的工具和程序之外的任何東西,而且所有維護都只通過開始菜單里的選項來完成,甚至連使用資源管理器去瀏覽硬盤都不! 只做做用戶和系統的管理和維護就立即退出,而決不多做逗留!(這也是微軟的要求,微軟最了解自己的東東,他的建議是正確的。瀏覽硬盤的事,在其他用戶身份下你有大把的機會,在超級管理員的身份下還是不要了!!這應該事能完全作到的)。
總結
通過以上的方法應該能保證你的系統是安全的了,但是計算機技術的發展速度太快,系統和病毒的運行方式可能隨時都會革新,所以以上的方法也不能保證100%的絕對防毒。
筆者經過查閱微軟資料以及個人的使用經驗,總結出一套防范病毒的方法,希望能對大家有所幫助。
如果大家使用的是Windows2000/XP或2003操作系統的話,那么你可以嘗試一下以下的方法——從源頭上讓你的系統可以對病毒免疫。
首先全新安裝的操作系統(或者你能確認你當前使用的系統是無毒的),立即就打開:
“開始→程序→管理工具→計算機管理→本地用戶和組→用戶” ,把超級管理員密碼更改成十位數以上,并且盡量使用數字和大小寫字母相結合的密碼。然后再建立一個用戶,把它的密碼也設置成十位以上并且提升為超級管理員。這樣做的目的是為了雙保險:如果你忘記了其中一個密碼,還有使用另一個超管密碼登陸來挽回的余地,免得你被拒絕于系統之外;再者就是網上的黑客無法再通過猜測你系統超管密碼的方式遠程獲得你系統的控制權而進行破壞。接著再添加兩個用戶,比如用戶名分別為:nyh1、nyh2;并且指定他們屬于user組,好了,準備工作到這里就全部完成了,以后你除了必要的維護計算機外就不要使用超級管理員和nyh2登陸了。只使用nyh1登陸就可以了。
(建立新用戶時,默認為user組。如果要建立管理員用戶,在新建完用戶后,在“組”里面,點選Administrators組,點擊“添加”把這個帳號加入Administrators組中。)
登陸之后上網的時候找到IE,并為它建立一個快捷方式到桌面上,右鍵單擊快捷方式,選擇“以其他用戶方式運行”點確定!要上網的時候就點這個快捷方式,它會跟你要用戶名和密碼這時候你就輸入nyh2的用戶名和密碼!!!好了,現在你可以使用這個打開的窗口去上網了,可以隨你便去放心的瀏覽任何惡毒的、惡意的、網站跟網頁,而不必再擔心中招了!因為你當前的系統活動的用戶時nyh1。
而nyh2是不活動的用戶,我們使用這個不活動的用戶去上網時,無論多聰明的網站,通過IE得到的信息都將讓它都將以為這個nyh2就是你當前活動的用戶,如果它要在你瀏覽時用惡意代碼對你的系統搞搞破壞的話根本就時行不通的,即使能行通,那么被修改掉的僅僅時nyh2的一個配置文件罷了,而很多惡意代碼和病毒試圖通過nyh2進行的破壞活動卻都將失敗,因為nyh2根本就沒運行,怎么能取得系統的操作權呢??既然取不得,也就對你無可奈何了。而他們更不可能跨越用戶來操作,因為微軟得配置本來就是各用戶之間是獨立的,就象別人不可能跑到我家占據我睡覺用的床一樣,它們無法占據nyh1的位置!所以你只要能保證總是以這個nyh2用戶做代理來上網(但卻不要使用nyh2來登陸系統,因為如果那樣的話,如果nyh2以前中過什么網頁病毒,那么在user2登陸的同時,他們極有可能被激活!),那么無論你中多少網頁病毒,全部都將是無法運行或被你當前的nyh1用戶加載的,所以你當前的系統將永遠無毒! 下面是建立IE快捷方式的步驟。
在桌面上點擊右鍵,選擇“新建——快捷方式”,在彈出的窗口中選擇IEXPLORE(位置在"C:Program FilesInternet ExplorerIEXPLORE.EXE"),點擊“下一步”完成。然后鼠標右鍵點擊該快捷方式,選擇“屬性”,再點擊“高級按鈕”,在以“其他用戶身份運行”前打上勾。
以后上網點擊IE的時候,會出現如下窗口,輸入nyh2和密碼即可。
不過總有疏忽的時候,萬一不小心接收了別人發來的病毒文件,或者從郵件中收到病毒文件,一個不小心中毒了怎么辦??
不用擔心,現在我們就可以來盡情的表演金蟬脫殼的技術了!
開始金蟬脫殼:
重新啟動計算機,使用超級管理員登陸——進入系統后什么程序都不要運行
你會驚奇的發現在的系統竟然表現的完全無毒!那就再好不過了,現在就立即就打開:
“開始→程序→管理工具→計算機管理→本地用戶和組→用戶” 吧!
把里面的nyh1和nyh2兩個用戶全刪掉吧,你只需要這么輕輕的一刪就可以了,那么以前隨著這兩個用戶而存在的病毒也就跟隨著這兩個用戶的消失而一起去長眠了——(好象是陪葬,呵呵!)。這么做過之后我保證你的Windows就象新裝的一個樣,任何系統文件和系統進程里都完全是沒有病毒的!
好!現在再重復開始的步驟從新建立nyh1和nyh2兩個用戶,讓他們復活吧。他們復活是復活了,但是曾跟隨了他們的病毒卻是沒這機會了,因為WindowsXP重新建立用戶的時候會重新分配給他們全新的配置,而這個配置是全新的也是不可能包含病毒的!!!建立完成之后立即注銷超級管理員,轉如使用nyh1登陸,繼續你象做的事吧,你會發現你的系統如同全新了!以上方法可以周而復始的用,再加上經常的去打微軟的補丁,幾乎可以永遠保證你的操作系統是無毒狀態!只要你能遵循以下兩條規則:
一、任何時間都不以超級管理員的身份登陸系統——除非你要進行系統級更新和維護、需要使用超級管理員身份的時候或是你需要添加和刪除用戶的時候。
二、必須使用超級管理員登陸的時候,保證不使用和運行任何除了操作系統自帶的工具和程序之外的任何東西,而且所有維護都只通過開始菜單里的選項來完成,甚至連使用資源管理器去瀏覽硬盤都不! 只做做用戶和系統的管理和維護就立即退出,而決不多做逗留!(這也是微軟的要求,微軟最了解自己的東東,他的建議是正確的。瀏覽硬盤的事,在其他用戶身份下你有大把的機會,在超級管理員的身份下還是不要了!!這應該事能完全作到的)。
總結
通過以上的方法應該能保證你的系統是安全的了,但是計算機技術的發展速度太快,系統和病毒的運行方式可能隨時都會革新,所以以上的方法也不能保證100%的絕對防毒。
黒客有什么可怕 設個陷阱來逮住他
[ 2007-03-25 03:19:20 | 作者: sun ]
如今網上黑客橫行,稍不留神就可能被黑客光顧,避如前段時間我們空間商的服務器就被入侵了,數據都被刪光了,所以要想在網上生存,做好安全措施是必不可少的。一般我們都只重視對機器進行安全設置,而往往忽略了被入侵后的信息收集問題,今天我就介紹三種讓黑客留下痕跡的方法,希望能對大家有所幫助。
一、利用“木馬”進行記錄
1.木馬簡介
這里要用到的是一個很特殊的dll木馬,它可以把通過終端登陸的用戶名、密碼,以及域信息記錄到指定文件中。不要以為這些信息沒什么用哦!有時候就得*這些零散的信息來找入侵的人。
在下載的壓縮包內,有三個文件:
SysGina32.dll--這個就是可以記錄用戶名和密碼的東東了。
Gina.exe--這是安裝DLL木馬用的程序,有了它后安裝起來就很方便了。
使用方法.txt--這個很熟悉吧!中文幫助文件哦!有什么不懂的可以查查。
2.安裝木馬
先把SysGina32.dll和Gina.exe放在同一目錄下,并將Gina.exe改名為svchost.exe(你也可以改成其它名字,為的是不讓黑客注意到),然后打開CMD,切換到保存這兩個文件的文件夾,輸入命令:svchost.exe -install,當出現“All Done,Gina setup success”信息時,安裝就成功了。
注意:
a.該木馬已被殺毒軟件查殺,所以安裝時請關閉殺毒軟件(不是關閉防火墻哦!),而且以后重啟時殺毒軟件不能一起啟動,以后殺一次毒重新裝一次該木馬。不過如果你能讓該木馬不被殺毒軟件的話,那就沒這么麻煩了。
b.為了不讓黑客發現我們設的陷阱,最好將Gina.exe文件改名,而且要改的藝術一點,比如上面我把它改成了“svchost.exe”,這樣就很難發現了,如果你改成了其它名字,安裝時命令就要換成“文件名.exe -install”。
c.SysGina32.dll和Gina.exe這兩個文件不一定要復制到系統安裝目錄的system32下,不過最好不要太引人注意,如果被黑客發現,那就可能適得其反了(木馬也會記下你的密碼的)。
d.如果出現的信息是“Found Exist Gina”,這說明你機器已經裝過該木馬了,此時鍵入“Y”覆蓋即可。
3.查看“蹤跡”
經過以上設置后,如果有人通過終端服務登錄你的機器,那么他的用戶名和密碼就會被記錄到“C:\WINNT\system32\GinaPwd.txt”這個文件中,打開這文件就可以看到入侵者的蹤跡了。由于該木馬也會記錄你的密碼,所以每次進入機器時,請先打開GinaPwd.txt這文件,把你的用戶名和密碼刪掉,順便查一下有沒有其它人登錄過。
4.刪除木馬
如果你的機器不幸被人中了該木馬,那么請按如下方法刪除:
先下載該木馬,在CMD下輸入命令:gina.exe -remove,當出現“ Gina Dll was removed success”時,就表示刪除成功了,接著重啟機器即可。
注意:如果你把gina.exe改名了,命令也要做相應改變:文件名.exe -
二、寫個批處理記錄黑客行蹤
1.認識批處理
對于批處理文件,你可以把它理解成批量完成你指定命令的文件,它的擴展名為 .bat 或 .cmd,只要在文本文件中寫入一些命令,并把它保存為.bat 或 .cmd格式,然后雙擊該文件,系統就會按文本文件中的命令逐條執行,這樣可以節省你許多的時間。
2.編寫批處理文件
打開記事本,然后輸入如下命令:
@echo off
date /t >>d:\3389.txt
attrib +s +h d:\3389.bat
attrib +s +h d:\3389.txt
time /t >>d:\3389.txt
netstat -an |find "ESTABLISHED" |find ":3389" >>d:\3389.txt
然后把文件保存為d:\3389.bat,這里我解釋一下命令的意思,date和time是用于獲取系統時間的,這樣可以讓你知道黑客在某天的某個時刻入侵。“attrib +s +h d:\3389.bat”和“attrib +s +h d:\3389.txt”這兩個命令是用來隱藏3389.bat和3389.txt這兩個文件的,因為在登錄時,由于會啟動d:\3389.bat這個文件,所以會有一個CMD窗口一閃而過,有經驗的黑客應該能判斷出這窗口是記錄用的,所以他可能會到處找這個記錄文件,用了以上兩個命令后,即使他用系統自帶的搜索功能以3389為關鍵字進行搜索,也找不到上面3389.bat和3389.txt這兩個文件,哈哈!很棒吧!至于“netstat -an |find "ESTABLISHED" |find ":3389" >>d:\3389.txt”這個命令則是記錄通過終端的連結狀況的,明白了吧!
接下來我們要讓系統啟動時自動運行d:\3389.bat這文件,我用的方法是修改注冊表,依次展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon,找到“Userinit”這個鍵值,這個鍵值默認為c:\WINNT\system32\userinit.exe,不知你注意到沒有,在最后有一個逗號,我們要利用的就是這逗號,比如我上面寫的3389.bat文件路徑為d:\3389.bat,那么我只要在逗號后面加上“d:\3389.bat”即可,這樣啟動時3389.bat這文件就會運行,選這個鍵值的原因是因為它隱蔽,如果是加在Run鍵值下的話是很容易被發現的。最后提醒一點,鍵值末尾的逗號別忘了加上去哦!
4.查看記錄
前面我們用了attrib命令把3389.bat和3389.txt這兩個文件隱藏起來,下面我們來讓它們重新顯示。
打開CMD,切換到保存這兩個文件的路徑,這里是切換到“d:\”目錄,輸入命令:attrib -s -h d:\3389.bat和attrib -s -h d:\3389.txt,這時再到d盤看看,是不是出現了?打開文件即可查看登錄情況,從中我們可以看出,10.51.5.36這IP連結到了我的3389端口(我的IP是10.51.5.35)。
三、記錄黑客動作
有了以上兩道防線,我們就能知道黑客的用戶名、密碼、以及入侵時的IP了,不過這樣好像還不夠,要是能知道黑客都干了些什么就更好了,下面我們再設置一個陷阱,這里要用到的工具是“計算機系統日志”。
該軟件的特色就是可以在后臺記錄所有運行過的程序和窗口名稱,并且有具體的時期,以及登錄的用戶名,很恐怖哦!下面咱們來設陷阱吧!
1.記錄日志
雙擊壓縮包內的主程序,點擊“軟件試用”進入主界面,在“日志文件保存路徑”處點擊“瀏覽”選擇保存路徑并進行命名,這里保存在c:\winnt\log.txt。然后鉤選“日志記錄隨計算機自動啟動”。
注意:
a.為了防止黑客找到記錄日志的文件,你可以用上面提到的命令:attrib +s +h c:\winnt\log.txt進行隱藏。
b.最好不要將這個記錄文件和上面的3389.txt放一個目錄下,這樣萬一被發現其中一個,不至于使另一個也一同被發現。
c.軟件在“任務管理器”的進程中顯示名稱為“syslog”,而且未注冊版本會在20分鐘后自動停止記錄,所以只能用來對付菜鳥黑客啦!而且還得先花點“銀子”,哈哈!
接下來在“程序密碼保護”處輸入一個復雜點的密碼,點擊“開始日志”。這時軟件會提醒你隱藏后的熱鍵為“Ctrl+Q”,請記住這個熱鍵,以后要喚出軟件時就得*它了。
2.查看動作
想知道這樣設置后記錄下來的東西是什么樣嗎?那就快來看看吧。怎么樣?對這種記錄結果你還滿意嗎?
以上就是我比較推薦的三種方法了,都非常的實用,你不妨也試試哦!
一、利用“木馬”進行記錄
1.木馬簡介
這里要用到的是一個很特殊的dll木馬,它可以把通過終端登陸的用戶名、密碼,以及域信息記錄到指定文件中。不要以為這些信息沒什么用哦!有時候就得*這些零散的信息來找入侵的人。
在下載的壓縮包內,有三個文件:
SysGina32.dll--這個就是可以記錄用戶名和密碼的東東了。
Gina.exe--這是安裝DLL木馬用的程序,有了它后安裝起來就很方便了。
使用方法.txt--這個很熟悉吧!中文幫助文件哦!有什么不懂的可以查查。
2.安裝木馬
先把SysGina32.dll和Gina.exe放在同一目錄下,并將Gina.exe改名為svchost.exe(你也可以改成其它名字,為的是不讓黑客注意到),然后打開CMD,切換到保存這兩個文件的文件夾,輸入命令:svchost.exe -install,當出現“All Done,Gina setup success”信息時,安裝就成功了。
注意:
a.該木馬已被殺毒軟件查殺,所以安裝時請關閉殺毒軟件(不是關閉防火墻哦!),而且以后重啟時殺毒軟件不能一起啟動,以后殺一次毒重新裝一次該木馬。不過如果你能讓該木馬不被殺毒軟件的話,那就沒這么麻煩了。
b.為了不讓黑客發現我們設的陷阱,最好將Gina.exe文件改名,而且要改的藝術一點,比如上面我把它改成了“svchost.exe”,這樣就很難發現了,如果你改成了其它名字,安裝時命令就要換成“文件名.exe -install”。
c.SysGina32.dll和Gina.exe這兩個文件不一定要復制到系統安裝目錄的system32下,不過最好不要太引人注意,如果被黑客發現,那就可能適得其反了(木馬也會記下你的密碼的)。
d.如果出現的信息是“Found Exist Gina”,這說明你機器已經裝過該木馬了,此時鍵入“Y”覆蓋即可。
3.查看“蹤跡”
經過以上設置后,如果有人通過終端服務登錄你的機器,那么他的用戶名和密碼就會被記錄到“C:\WINNT\system32\GinaPwd.txt”這個文件中,打開這文件就可以看到入侵者的蹤跡了。由于該木馬也會記錄你的密碼,所以每次進入機器時,請先打開GinaPwd.txt這文件,把你的用戶名和密碼刪掉,順便查一下有沒有其它人登錄過。
4.刪除木馬
如果你的機器不幸被人中了該木馬,那么請按如下方法刪除:
先下載該木馬,在CMD下輸入命令:gina.exe -remove,當出現“ Gina Dll was removed success”時,就表示刪除成功了,接著重啟機器即可。
注意:如果你把gina.exe改名了,命令也要做相應改變:文件名.exe -
二、寫個批處理記錄黑客行蹤
1.認識批處理
對于批處理文件,你可以把它理解成批量完成你指定命令的文件,它的擴展名為 .bat 或 .cmd,只要在文本文件中寫入一些命令,并把它保存為.bat 或 .cmd格式,然后雙擊該文件,系統就會按文本文件中的命令逐條執行,這樣可以節省你許多的時間。
2.編寫批處理文件
打開記事本,然后輸入如下命令:
@echo off
date /t >>d:\3389.txt
attrib +s +h d:\3389.bat
attrib +s +h d:\3389.txt
time /t >>d:\3389.txt
netstat -an |find "ESTABLISHED" |find ":3389" >>d:\3389.txt
然后把文件保存為d:\3389.bat,這里我解釋一下命令的意思,date和time是用于獲取系統時間的,這樣可以讓你知道黑客在某天的某個時刻入侵。“attrib +s +h d:\3389.bat”和“attrib +s +h d:\3389.txt”這兩個命令是用來隱藏3389.bat和3389.txt這兩個文件的,因為在登錄時,由于會啟動d:\3389.bat這個文件,所以會有一個CMD窗口一閃而過,有經驗的黑客應該能判斷出這窗口是記錄用的,所以他可能會到處找這個記錄文件,用了以上兩個命令后,即使他用系統自帶的搜索功能以3389為關鍵字進行搜索,也找不到上面3389.bat和3389.txt這兩個文件,哈哈!很棒吧!至于“netstat -an |find "ESTABLISHED" |find ":3389" >>d:\3389.txt”這個命令則是記錄通過終端的連結狀況的,明白了吧!
接下來我們要讓系統啟動時自動運行d:\3389.bat這文件,我用的方法是修改注冊表,依次展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon,找到“Userinit”這個鍵值,這個鍵值默認為c:\WINNT\system32\userinit.exe,不知你注意到沒有,在最后有一個逗號,我們要利用的就是這逗號,比如我上面寫的3389.bat文件路徑為d:\3389.bat,那么我只要在逗號后面加上“d:\3389.bat”即可,這樣啟動時3389.bat這文件就會運行,選這個鍵值的原因是因為它隱蔽,如果是加在Run鍵值下的話是很容易被發現的。最后提醒一點,鍵值末尾的逗號別忘了加上去哦!
4.查看記錄
前面我們用了attrib命令把3389.bat和3389.txt這兩個文件隱藏起來,下面我們來讓它們重新顯示。
打開CMD,切換到保存這兩個文件的路徑,這里是切換到“d:\”目錄,輸入命令:attrib -s -h d:\3389.bat和attrib -s -h d:\3389.txt,這時再到d盤看看,是不是出現了?打開文件即可查看登錄情況,從中我們可以看出,10.51.5.36這IP連結到了我的3389端口(我的IP是10.51.5.35)。
三、記錄黑客動作
有了以上兩道防線,我們就能知道黑客的用戶名、密碼、以及入侵時的IP了,不過這樣好像還不夠,要是能知道黑客都干了些什么就更好了,下面我們再設置一個陷阱,這里要用到的工具是“計算機系統日志”。
該軟件的特色就是可以在后臺記錄所有運行過的程序和窗口名稱,并且有具體的時期,以及登錄的用戶名,很恐怖哦!下面咱們來設陷阱吧!
1.記錄日志
雙擊壓縮包內的主程序,點擊“軟件試用”進入主界面,在“日志文件保存路徑”處點擊“瀏覽”選擇保存路徑并進行命名,這里保存在c:\winnt\log.txt。然后鉤選“日志記錄隨計算機自動啟動”。
注意:
a.為了防止黑客找到記錄日志的文件,你可以用上面提到的命令:attrib +s +h c:\winnt\log.txt進行隱藏。
b.最好不要將這個記錄文件和上面的3389.txt放一個目錄下,這樣萬一被發現其中一個,不至于使另一個也一同被發現。
c.軟件在“任務管理器”的進程中顯示名稱為“syslog”,而且未注冊版本會在20分鐘后自動停止記錄,所以只能用來對付菜鳥黑客啦!而且還得先花點“銀子”,哈哈!
接下來在“程序密碼保護”處輸入一個復雜點的密碼,點擊“開始日志”。這時軟件會提醒你隱藏后的熱鍵為“Ctrl+Q”,請記住這個熱鍵,以后要喚出軟件時就得*它了。
2.查看動作
想知道這樣設置后記錄下來的東西是什么樣嗎?那就快來看看吧。怎么樣?對這種記錄結果你還滿意嗎?
以上就是我比較推薦的三種方法了,都非常的實用,你不妨也試試哦!
