淺談TCP/IP篩選與IPSec 策略
[ 2007-03-25 02:43:53 | 作者: sun ]
配置 TCP/IP 安全:
1. 單擊開始,指向設置,單擊控制面板,然后雙擊網絡和撥號連接。
2. 右鍵單擊要在其上配置入站訪問控制的接口,然后單擊屬性。
3. 在選定的組件被這個連接所使用框中,單擊 Internet 協議 (TCP/IP),然后單擊屬性。
4. 在 Internet 協議 (TCP/IP) 屬性對話框中,單擊高級。
5. 單擊選項選項卡。
6. 單擊 TCP/IP 篩選,然后單擊屬性。
7. 選中啟用 TCP/IP 篩選(所有適配器)復選框。選中此復選框后,將對所有適配器啟用篩選,但您要逐個為適配器配置篩選器。同一篩選器并不適用于所有適配器。
8. 該窗口中一共有三列,分別標記為:
TCP 端口
UDP 端口
IP 協議在每一列中,都必須選擇下面的某個選項:
全部允許。如果要允許 TCP 或 UDP 通信的所有數據包,請保留全部允許處于選中狀態。
僅允許。如果只允許選定的 TCP 或 UDP 通信,請單擊僅允許,再單擊添加,然后在添加篩選器對話框中鍵入相應的端口。
如果要阻止所有 UDP 或 TCP 流量,請單擊僅允許,但不要在 UDP 端口或 TCP 端口列中添加任何端口號。如果您為 IP 協議選中了僅允許并排除了 IP 協議 6 和 17,并不能阻止 UDP 或 TCP 通信。
請注意,即使在 IP 協議列中選擇了僅允許而且不添加 IP 協議 1,也無法阻止 ICMP 消息。
“TCP/IP 篩選”只能篩選入站流量。此功能不影響出站流量,也不影響為接受來自出站請求的響應而創建的響應端口。如果需要更好地控制出站訪問,請使用 IPSec 策略或數據包篩選。
以下是關于IPSec 策略的官方說明
Internet 協議安全 (IPSec) 循序漸進指南
在進行IPSec完整性配置時,有兩個選項 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ,簡稱SHA1)。后者的安全度更高,但需要更多的 CPU資源,MD5使用128位散列算法,而SHA1使用的160位算法。
IPsec 認證協議
當兩個系統互相交換加密數據之前,需要相互對加密的數據包進行安全認定。這個安全認定成為安全協定(security association,簡稱SA)。在相互通信之前,兩個系統必須認定對同一SA。
因特網密鑰交換協議(Internet Key Exchange,簡稱IKE)管理著用于IPSec連接的 SA協議過程。IKE是因特網工程任務組(Internet Engineering Task Force,簡稱IETF)制定的關于安全協議和密鑰交換的標準方法。IKE的操作分兩階段:第一階段確保通信信道的安全,第二階段約定SA的操作。
為了建立IPSec通信,兩臺主機在SA協定之前必須互相認證,有三種認證方法:
Kerberos - Kerberos v5常用于Windows Server 2003,是其缺省認證方式。 Kerberos能在域內進行安全協議認證,使用時,它既對用戶的身份也對網絡服務進行驗證。Kerberos的優點是可以在用戶和服務器之間相互認證,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 認證的UNix環境系統之間提供認證服務。
公鑰證書 (PKI) - PKI用來對非受信域的成員,非Windows客戶,或者沒有運行Kerberos v5 認證協議的計算機進行認證,認證證書由一個作為證書機關(CA)系統簽署。
預先共享密鑰 -在預先共享密鑰認證中,計算機系統必須認同在IPSec策略中使用的一個共享密鑰 ,使用預先共享密鑰僅當證書和Kerberos無法配置的場合。
IPSec加密協議
IPSec提供三種主要加密方法,如下
數據加密標準 (DES 40位) - 該加密方法性能最好,但安全性較低。該 40位數據加密標準(Data Encryption Standard,簡稱DES)通常被稱為 安全套接字層(Secure Sockets Layer,簡稱SSL)。適用于數據安全性要求較低的場合。
數據加密標準 (DES 56位) - 通過IPSec策略,可以使用56位 DES的加密方法。1977年美國國家標準局公布了DES算法,它可以在通信過程中經常生成密鑰。該功能可防止因為一個DES密鑰被破譯而整個數據集的安全受到影響。但是在商業中被認為過時了,僅用于傳統的應用支持,有專門的硬件可以破譯標準的 56位密鑰。
3DES - IPSec策略可以選擇一個強大的加密算法3DES,其安全性比DES更高。3DES也使用了56位密鑰,但使用了三個。結果3DES成為 168位加密算法,用于諸如美國政府這樣的高機密的環境中。采用該策略的所有計算機將都遵守這樣的機制。
IPSec傳輸模式
IPSec可以在兩種不同的模式下運作:傳輸模式和隧道模式。這些模式指的是數據在網絡中是如何發送和加密的。在傳輸模式下,IPSec的保護貫穿全程:從源頭到目的地,被稱為提供終端到終端的傳輸安全性 。
隧道模式僅僅在隧道點或者網關之間加密數據。隧道模式提供了網關到網關的傳輸安全性。當數據在客戶和服務器之間傳輸時,僅當數據到達網關時才得到加密,其余路徑不受保護。一旦到達網關,就采用IPSec進行加密,等到達目的網關之后,數據包被解密和驗證,之后數據發送到不受保護的目的主機。隧道模式通常適用于數據必須離開安全的LAN或者WAN的范圍,且在諸如互聯網這樣的公共網絡中傳輸的場合。
我看了幾個朋友的服務器配置,每一個人都使用的是TCP/IP篩選對網站的訪問端口進行設定,這到沒什么關系,但對IPSec 策略最多也只設定封一下ICMP,別的都沒設定,出于安全考慮,這樣做不是很好,因為...
嘻嘻,我來做個比較
TCP/IP篩選只可只設定客戶端通過幾個固定的TCP或UDP端口進行對服務器的訪問,或限定IP訪問,每增加一次就要重啟服務器一次,只能適合比較小型訪問,原來我為了讓Serv_u能進行正常訪問,加了N個端口,累的要死(因為FTP軟件連接到FTP服務器的話,會隨機使用一些端口,因為設定問題,就看不到目錄了)...現在想起來也好笑.
IPSec 策略可設定即時生效,不用重啟服務器,可對端口或IP進行封鎖或訪問,可拒絕一些不安全端口的訪問,也可像TCP/IP篩選一樣只設定客戶端通過幾個固定的TCP或UDP端口進行對服務器的訪問,可選擇性要大很多,其中的許可比拒絕優先,這樣就可以設定優先通過某一些特定的IP,也可設定某個IP只能訪問某個端口之類的,只要你有想像力,哈哈,就很簡單了,這里我寫的都是一些知識,沒有寫操作步驟,因為操作很簡單,只要說一下原理,懂原理比操作更快
如安全方面的話,TCP/IP篩選會在注冊表中的
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/Tcpip/Parameters
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/Tcpip/Parameters
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/Tcpip/Parameters
中的EnableSecurityFilters值上設定,當為"EnableSecurityFilters"=dword:00000001,即TCP/IP篩選生效,當為"EnableSecurityFilters"=dword:00000000,即TCP/IP篩選失效,這樣就給我們一個漏洞了,用regedit -e導出以上三個鍵值,把EnableSecurityFilters值改成dword:00000000,regedit -s,嘻嘻,你設的再多也等于零
IPSec 策略就沒有這個安全隱患,上面還有IPSec 策略的一些加密說明,安全吧??!!而且IP策略可以備份為文件方便在不同的電腦上使用,不過2K和XP或2K3使用的不同,這點到是要注意一下
我給出兩個IPSec的策略
windows安全策略包v2.24plus
windows安全策略包服務器版
說明一下,這些設定只是針對端口或IP進行管理的,沒什么很高深的東西,而且有一些功能是無法進行設定的(如果什么都能設定的話,那還需要防火墻做什么),但這是WEB服務器的第一道關口,如果不設置好的話,后面很容易出問題的,我剛給出的只是一個例子,破TCP/IP篩選有幾種方法,這里就不好說明了,總結一下,TCP/IP篩選只是開胃菜,IPSec 策略是紅酒,防火墻是面包,防火墻是主菜(硬件級的),一樣也不能少,都要做好設定,那就這樣!
1. 單擊開始,指向設置,單擊控制面板,然后雙擊網絡和撥號連接。
2. 右鍵單擊要在其上配置入站訪問控制的接口,然后單擊屬性。
3. 在選定的組件被這個連接所使用框中,單擊 Internet 協議 (TCP/IP),然后單擊屬性。
4. 在 Internet 協議 (TCP/IP) 屬性對話框中,單擊高級。
5. 單擊選項選項卡。
6. 單擊 TCP/IP 篩選,然后單擊屬性。
7. 選中啟用 TCP/IP 篩選(所有適配器)復選框。選中此復選框后,將對所有適配器啟用篩選,但您要逐個為適配器配置篩選器。同一篩選器并不適用于所有適配器。
8. 該窗口中一共有三列,分別標記為:
TCP 端口
UDP 端口
IP 協議在每一列中,都必須選擇下面的某個選項:
全部允許。如果要允許 TCP 或 UDP 通信的所有數據包,請保留全部允許處于選中狀態。
僅允許。如果只允許選定的 TCP 或 UDP 通信,請單擊僅允許,再單擊添加,然后在添加篩選器對話框中鍵入相應的端口。
如果要阻止所有 UDP 或 TCP 流量,請單擊僅允許,但不要在 UDP 端口或 TCP 端口列中添加任何端口號。如果您為 IP 協議選中了僅允許并排除了 IP 協議 6 和 17,并不能阻止 UDP 或 TCP 通信。
請注意,即使在 IP 協議列中選擇了僅允許而且不添加 IP 協議 1,也無法阻止 ICMP 消息。
“TCP/IP 篩選”只能篩選入站流量。此功能不影響出站流量,也不影響為接受來自出站請求的響應而創建的響應端口。如果需要更好地控制出站訪問,請使用 IPSec 策略或數據包篩選。
以下是關于IPSec 策略的官方說明
Internet 協議安全 (IPSec) 循序漸進指南
在進行IPSec完整性配置時,有兩個選項 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ,簡稱SHA1)。后者的安全度更高,但需要更多的 CPU資源,MD5使用128位散列算法,而SHA1使用的160位算法。
IPsec 認證協議
當兩個系統互相交換加密數據之前,需要相互對加密的數據包進行安全認定。這個安全認定成為安全協定(security association,簡稱SA)。在相互通信之前,兩個系統必須認定對同一SA。
因特網密鑰交換協議(Internet Key Exchange,簡稱IKE)管理著用于IPSec連接的 SA協議過程。IKE是因特網工程任務組(Internet Engineering Task Force,簡稱IETF)制定的關于安全協議和密鑰交換的標準方法。IKE的操作分兩階段:第一階段確保通信信道的安全,第二階段約定SA的操作。
為了建立IPSec通信,兩臺主機在SA協定之前必須互相認證,有三種認證方法:
Kerberos - Kerberos v5常用于Windows Server 2003,是其缺省認證方式。 Kerberos能在域內進行安全協議認證,使用時,它既對用戶的身份也對網絡服務進行驗證。Kerberos的優點是可以在用戶和服務器之間相互認證,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 認證的UNix環境系統之間提供認證服務。
公鑰證書 (PKI) - PKI用來對非受信域的成員,非Windows客戶,或者沒有運行Kerberos v5 認證協議的計算機進行認證,認證證書由一個作為證書機關(CA)系統簽署。
預先共享密鑰 -在預先共享密鑰認證中,計算機系統必須認同在IPSec策略中使用的一個共享密鑰 ,使用預先共享密鑰僅當證書和Kerberos無法配置的場合。
IPSec加密協議
IPSec提供三種主要加密方法,如下
數據加密標準 (DES 40位) - 該加密方法性能最好,但安全性較低。該 40位數據加密標準(Data Encryption Standard,簡稱DES)通常被稱為 安全套接字層(Secure Sockets Layer,簡稱SSL)。適用于數據安全性要求較低的場合。
數據加密標準 (DES 56位) - 通過IPSec策略,可以使用56位 DES的加密方法。1977年美國國家標準局公布了DES算法,它可以在通信過程中經常生成密鑰。該功能可防止因為一個DES密鑰被破譯而整個數據集的安全受到影響。但是在商業中被認為過時了,僅用于傳統的應用支持,有專門的硬件可以破譯標準的 56位密鑰。
3DES - IPSec策略可以選擇一個強大的加密算法3DES,其安全性比DES更高。3DES也使用了56位密鑰,但使用了三個。結果3DES成為 168位加密算法,用于諸如美國政府這樣的高機密的環境中。采用該策略的所有計算機將都遵守這樣的機制。
IPSec傳輸模式
IPSec可以在兩種不同的模式下運作:傳輸模式和隧道模式。這些模式指的是數據在網絡中是如何發送和加密的。在傳輸模式下,IPSec的保護貫穿全程:從源頭到目的地,被稱為提供終端到終端的傳輸安全性 。
隧道模式僅僅在隧道點或者網關之間加密數據。隧道模式提供了網關到網關的傳輸安全性。當數據在客戶和服務器之間傳輸時,僅當數據到達網關時才得到加密,其余路徑不受保護。一旦到達網關,就采用IPSec進行加密,等到達目的網關之后,數據包被解密和驗證,之后數據發送到不受保護的目的主機。隧道模式通常適用于數據必須離開安全的LAN或者WAN的范圍,且在諸如互聯網這樣的公共網絡中傳輸的場合。
我看了幾個朋友的服務器配置,每一個人都使用的是TCP/IP篩選對網站的訪問端口進行設定,這到沒什么關系,但對IPSec 策略最多也只設定封一下ICMP,別的都沒設定,出于安全考慮,這樣做不是很好,因為...
嘻嘻,我來做個比較
TCP/IP篩選只可只設定客戶端通過幾個固定的TCP或UDP端口進行對服務器的訪問,或限定IP訪問,每增加一次就要重啟服務器一次,只能適合比較小型訪問,原來我為了讓Serv_u能進行正常訪問,加了N個端口,累的要死(因為FTP軟件連接到FTP服務器的話,會隨機使用一些端口,因為設定問題,就看不到目錄了)...現在想起來也好笑.
IPSec 策略可設定即時生效,不用重啟服務器,可對端口或IP進行封鎖或訪問,可拒絕一些不安全端口的訪問,也可像TCP/IP篩選一樣只設定客戶端通過幾個固定的TCP或UDP端口進行對服務器的訪問,可選擇性要大很多,其中的許可比拒絕優先,這樣就可以設定優先通過某一些特定的IP,也可設定某個IP只能訪問某個端口之類的,只要你有想像力,哈哈,就很簡單了,這里我寫的都是一些知識,沒有寫操作步驟,因為操作很簡單,只要說一下原理,懂原理比操作更快
如安全方面的話,TCP/IP篩選會在注冊表中的
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/Tcpip/Parameters
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/Tcpip/Parameters
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/Tcpip/Parameters
中的EnableSecurityFilters值上設定,當為"EnableSecurityFilters"=dword:00000001,即TCP/IP篩選生效,當為"EnableSecurityFilters"=dword:00000000,即TCP/IP篩選失效,這樣就給我們一個漏洞了,用regedit -e導出以上三個鍵值,把EnableSecurityFilters值改成dword:00000000,regedit -s,嘻嘻,你設的再多也等于零
IPSec 策略就沒有這個安全隱患,上面還有IPSec 策略的一些加密說明,安全吧??!!而且IP策略可以備份為文件方便在不同的電腦上使用,不過2K和XP或2K3使用的不同,這點到是要注意一下
我給出兩個IPSec的策略
windows安全策略包v2.24plus
windows安全策略包服務器版
說明一下,這些設定只是針對端口或IP進行管理的,沒什么很高深的東西,而且有一些功能是無法進行設定的(如果什么都能設定的話,那還需要防火墻做什么),但這是WEB服務器的第一道關口,如果不設置好的話,后面很容易出問題的,我剛給出的只是一個例子,破TCP/IP篩選有幾種方法,這里就不好說明了,總結一下,TCP/IP篩選只是開胃菜,IPSec 策略是紅酒,防火墻是面包,防火墻是主菜(硬件級的),一樣也不能少,都要做好設定,那就這樣!
讓Windows XP更安全的超級必殺技
[ 2007-03-25 02:43:36 | 作者: sun ]
[轉載]
大家使用Windows XP已經有很長一段時間了,對與Windows XP操作系統已經是非常熟悉了吧!有沒有總結出一些的經驗來與大家共享呢?下面筆者就把在使用Windows XP操作系統過程中積累的一些經驗共享出來,也便能讓你在使用Windows XP操作系統的過程中能快速上手。熟練的掌握XP的使用技巧就能更好的享受XP系統帶給你的強大功能。
1、恢復被破壞的Win XP系統文件
如果Windows XP的系統文件被病毒或其它原因破壞了,我們可以從Windows XP的安裝盤中恢復那些被破壞的文件。
具體方法:在Windows XP的安裝盤中搜索被破壞的文件,需要注意的是,文件名的最后一個字符用底線“_”代替,例如:如果要搜索“Notepad.exe”則需要用“Notepad.ex_”來進行搜索。
搜索到了之后,打開命令行模式(在“運行”中輸入“cmd”),然后輸入:“EXPAND 源文件的完整路徑 目標文件的完整路徑”。例如:EXPAND D:\SETUP\NOTEPAD.EX_ C:\Windows\NOTEPAD.EXE。有一點需要注意的是,如果路徑中有空格的話,那么需要把路徑用雙引號(英文引號)包括起來。
找到當然是最好的,但有時我們在Windows XP盤中搜索的時候找不到我們需要的文件。產生這種情況的一個原因是要找的文件是在“CAB”文件中。由于Windows XP把“CAB”當作一個文件夾,所以對于Windows XP系統來說,只需要把“CAB”文件右拖然后復制到相應目錄即可。
如果使用的是其他Windows平臺,搜索到包含目標文件名的“CAB”文件。然后打開命令行模式,輸入:“EXTRACT /L 目標位置 CAB文件的完整路徑”,例如:EXTRACT /L C:\Windows D:\I386\Driver.cab Notepad.exe。同前面一樣,如同路徑中有空格的話,則需要用雙引號把路徑包括起來。
2、拒絕“分組相似任務欄”
雖然Windows XP “分組相似任務欄按鈕”設置雖然可以讓你的任務欄少開窗口,保持干凈,但對于一些需要打開同類多個窗口的工作非常不便,。如你是經常用QQ這樣的通訊軟件和人在線聊天的話,如果有兩個以上的好友同時和你交談,你馬上會感到XP這種默認設置造成的不便 D D每次你想切換交談對象的時候,要先點擊組,然后彈出的菜單里再選要交談的好友,而且每個好友在組里顯示的都是一樣的圖標,談話對象多的時候,你可能要一個個的點擊來看到底剛才是誰回復了話,在等著你反應,而且選錯了一個,又得從組開始選,很麻煩。顯然地,這樣不如原來的開出幾個窗口,在任務欄里的各個小窗口點擊一次就可進行開始聊天。更改方法:點擊“開始→控制面板→外觀和主題→任務欄和‘開始’菜單”,在彈出的窗口內,將“分組相似任務欄按鈕”選項前面的鉤去掉。
3、通過注冊表卸載無用的動態鏈接
資源管理器經常在內存中留下無用的動態鏈接,為了消除這種現象,你可以打開注冊表編輯器,設置鍵值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\EXPlorer\AlwaysUnloadDLL=DWORD: 1將其設為0,這一功能就會被關閉。注意:為了讓設置生效,需要重新啟動計算機。
4、清除prefetch文件夾中的預讀文件
當Win XP使用一段時間后,預讀文件夾里的文件會變得很大,里面會有死鏈文件,這會減慢系統時間。建議:定期刪除這些文件。(Windows\prefetch)
5、Windows XP減肥法
以下方法為本人目前的winXP的減肥法,經過使用,覺得比較安全,效果明顯,至少可以減少300m空間。注意:不建議初學者使用。
刪除驅動備份: Windows\Driver cache\i386目錄下的Driver.cab文件(73MB) 但是以后我們每次安裝新硬件時必須插入Windows的安裝光盤。
刪除系統文件備份(一般不怎么用到的): 運行命令行sfc /purgecache
刪掉備用的dll文件: 只要你拷貝了安裝文件或者有安裝光盤,可以這樣做。Windows\system32\dllcache下文件(減去200——300mb)。
6、了解Win XP啟動時間
盡管Windows XP的啟動速度已經能讓我們感到滿意了,但微軟仍然為我們提供了一款用于了解的Windows XP啟動時具體所消耗啟動時間的小工具,以及查看CPU的使用率、Disk I/O等等,由于該工具用圖形的方式顯示出來,因此一目了然。工具可到此處下載。
7、恢復EXE文件關聯
EXE文件關聯出錯非常的麻煩,因為這種情況的出現多是由于病毒引起的,而殺毒軟件的主文件都是EXE文件,既然EXE文件關聯出錯,又怎能運行得了殺毒軟件呢?還好XP提供了安全模式下的命令行工具供我們使用,可以利用命令行工具來解決這個問題。
在安全模式下輸入:assoc<空格 >.exe=exefile<回車>,屏幕上將顯示“.exe=exefile”。現在關閉命令提示符窗口,按Ctrl+Alt+Del組合鍵調出“Windows安全”窗口,按“關機”按鈕后選擇“重新啟動”選項,按正常模式啟動Windows后,所有的EXE文件都能正常運行了!
8、讓Win XP能自動更新
當Windows 有了更新時,自動更新系統會提示你進行Windows的升級工作,當然這項功能會在上網之后才會有真正的效果。有一點可以肯定的就是,要想實現自動更新,系統必定會收集用戶的電腦信息,然后傳送到微軟站點,通過反饋信息來決定是否要進行升級工作。這項設置也是在“系統屬性”窗口,切換到“自動更新”選項卡可以看到這里有三個選擇,選了最后一個“關閉自動更新”,這樣系統就不會出現經常提示你進行自動更新了,如果你沒用正版的Windows XP操作系統,建議你關閉此功能,因為他可能會讓你在不知道的情況就把系統升級至Windows XP SP2版,這樣會造成系統的不穩定。
9、在Home版中安裝IIS
大家知道,Windows XP Home版不能安裝IIS或者PWS。按照一般的方法,你只能升級到XP Professional或者使用Windows 2000,不過只要略使手段,你就可以在Windows XP Home上安裝IIS了。
首先在“開始”菜單的“運行”中輸入“c:\Windows\inf\sysoc.inf”,系統會自動使用記事本打開sysoc.inf這個文件。在sysoc.inf中找到“[Components]”這一段,并繼續找到類似“iis=iis.dll,OcEntry,iis.inf,hide,7”的一行字,把這一行替換為“iis=iis2.dll,OcEntry,iis2.inf,,7”。之后保存并關閉。
把Windows 2000 Professional的光盤插入光驅,同時按下Shift鍵禁止光驅的自動運行。在運行中輸入“CMD”然后回車,打開命令行模式,在命令行下輸入下列的兩條命令,在每一行命令結束后回車(假設光驅是D盤):
EXPand d:\i386\iis.dl_ c:\Windows\system32\setup\iis2.dll
EXPand d:\i386\iis.in_ c:\Windows\inf\iis2.inf
這時,打開你的控制面板,并點擊“添加刪除程序”圖標,之后點擊“添加刪除Windows組件”。
請仔細看,在“開始”菜單中顯示的操作系統是Windows XP Home,但是經過修改,已經有了添加IIS的選項了。
然后你可以按照在Windows XP Professional或者Windows 2000中的方法添加IIS,在本例中我們只安裝了WWW服務。系統會開始復制文件,這需要一些時間。并且在這起見,請保持Windows 2000 Professional的光盤還在光驅中。
在安裝結束后,你可以打開“控制面板→性能和選項→管理工具”,“Internet信息服務管理”已經出現在那里。
如果你想要驗證IIS是否運行正常,而已打開IE,在地址欄中輸入“http://localhost”然后回車,如果能看到圖三的界面,那么你的IIS就全部正常運行了。
最后還有一點注意的:如果你在安裝過程中,系統需要你插入Window Whistler CD或者需要你提供exch_adsiisex.dll這個文件,那是因為你按照默認的選項安裝了IIS。要解決這個問題,只要在安裝IIS的時候先點擊“詳細信息”,然后取消對SMTP的選擇(即不要安裝SMTP服務器),那么復制文件的時候就不會需要那兩個文件了。
如果在你安裝的到圖1的位置后發現,已經顯示了Internet信息服務(IIS)的安裝項目,但是它們根本無法被選中,那很可能因為你使用的iis.dl_和iis.in_是從Windows XP Professional中取出的,只要換成Windows 2000 Professional中的就可以繼續正常安裝了。
經過驗證,WWW、FTP等幾個服務經過這樣的修改都可以在Windows XP Home上正常運行。
大家使用Windows XP已經有很長一段時間了,對與Windows XP操作系統已經是非常熟悉了吧!有沒有總結出一些的經驗來與大家共享呢?下面筆者就把在使用Windows XP操作系統過程中積累的一些經驗共享出來,也便能讓你在使用Windows XP操作系統的過程中能快速上手。熟練的掌握XP的使用技巧就能更好的享受XP系統帶給你的強大功能。
1、恢復被破壞的Win XP系統文件
如果Windows XP的系統文件被病毒或其它原因破壞了,我們可以從Windows XP的安裝盤中恢復那些被破壞的文件。
具體方法:在Windows XP的安裝盤中搜索被破壞的文件,需要注意的是,文件名的最后一個字符用底線“_”代替,例如:如果要搜索“Notepad.exe”則需要用“Notepad.ex_”來進行搜索。
搜索到了之后,打開命令行模式(在“運行”中輸入“cmd”),然后輸入:“EXPAND 源文件的完整路徑 目標文件的完整路徑”。例如:EXPAND D:\SETUP\NOTEPAD.EX_ C:\Windows\NOTEPAD.EXE。有一點需要注意的是,如果路徑中有空格的話,那么需要把路徑用雙引號(英文引號)包括起來。
找到當然是最好的,但有時我們在Windows XP盤中搜索的時候找不到我們需要的文件。產生這種情況的一個原因是要找的文件是在“CAB”文件中。由于Windows XP把“CAB”當作一個文件夾,所以對于Windows XP系統來說,只需要把“CAB”文件右拖然后復制到相應目錄即可。
如果使用的是其他Windows平臺,搜索到包含目標文件名的“CAB”文件。然后打開命令行模式,輸入:“EXTRACT /L 目標位置 CAB文件的完整路徑”,例如:EXTRACT /L C:\Windows D:\I386\Driver.cab Notepad.exe。同前面一樣,如同路徑中有空格的話,則需要用雙引號把路徑包括起來。
2、拒絕“分組相似任務欄”
雖然Windows XP “分組相似任務欄按鈕”設置雖然可以讓你的任務欄少開窗口,保持干凈,但對于一些需要打開同類多個窗口的工作非常不便,。如你是經常用QQ這樣的通訊軟件和人在線聊天的話,如果有兩個以上的好友同時和你交談,你馬上會感到XP這種默認設置造成的不便 D D每次你想切換交談對象的時候,要先點擊組,然后彈出的菜單里再選要交談的好友,而且每個好友在組里顯示的都是一樣的圖標,談話對象多的時候,你可能要一個個的點擊來看到底剛才是誰回復了話,在等著你反應,而且選錯了一個,又得從組開始選,很麻煩。顯然地,這樣不如原來的開出幾個窗口,在任務欄里的各個小窗口點擊一次就可進行開始聊天。更改方法:點擊“開始→控制面板→外觀和主題→任務欄和‘開始’菜單”,在彈出的窗口內,將“分組相似任務欄按鈕”選項前面的鉤去掉。
3、通過注冊表卸載無用的動態鏈接
資源管理器經常在內存中留下無用的動態鏈接,為了消除這種現象,你可以打開注冊表編輯器,設置鍵值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\EXPlorer\AlwaysUnloadDLL=DWORD: 1將其設為0,這一功能就會被關閉。注意:為了讓設置生效,需要重新啟動計算機。
4、清除prefetch文件夾中的預讀文件
當Win XP使用一段時間后,預讀文件夾里的文件會變得很大,里面會有死鏈文件,這會減慢系統時間。建議:定期刪除這些文件。(Windows\prefetch)
5、Windows XP減肥法
以下方法為本人目前的winXP的減肥法,經過使用,覺得比較安全,效果明顯,至少可以減少300m空間。注意:不建議初學者使用。
刪除驅動備份: Windows\Driver cache\i386目錄下的Driver.cab文件(73MB) 但是以后我們每次安裝新硬件時必須插入Windows的安裝光盤。
刪除系統文件備份(一般不怎么用到的): 運行命令行sfc /purgecache
刪掉備用的dll文件: 只要你拷貝了安裝文件或者有安裝光盤,可以這樣做。Windows\system32\dllcache下文件(減去200——300mb)。
6、了解Win XP啟動時間
盡管Windows XP的啟動速度已經能讓我們感到滿意了,但微軟仍然為我們提供了一款用于了解的Windows XP啟動時具體所消耗啟動時間的小工具,以及查看CPU的使用率、Disk I/O等等,由于該工具用圖形的方式顯示出來,因此一目了然。工具可到此處下載。
7、恢復EXE文件關聯
EXE文件關聯出錯非常的麻煩,因為這種情況的出現多是由于病毒引起的,而殺毒軟件的主文件都是EXE文件,既然EXE文件關聯出錯,又怎能運行得了殺毒軟件呢?還好XP提供了安全模式下的命令行工具供我們使用,可以利用命令行工具來解決這個問題。
在安全模式下輸入:assoc<空格 >.exe=exefile<回車>,屏幕上將顯示“.exe=exefile”。現在關閉命令提示符窗口,按Ctrl+Alt+Del組合鍵調出“Windows安全”窗口,按“關機”按鈕后選擇“重新啟動”選項,按正常模式啟動Windows后,所有的EXE文件都能正常運行了!
8、讓Win XP能自動更新
當Windows 有了更新時,自動更新系統會提示你進行Windows的升級工作,當然這項功能會在上網之后才會有真正的效果。有一點可以肯定的就是,要想實現自動更新,系統必定會收集用戶的電腦信息,然后傳送到微軟站點,通過反饋信息來決定是否要進行升級工作。這項設置也是在“系統屬性”窗口,切換到“自動更新”選項卡可以看到這里有三個選擇,選了最后一個“關閉自動更新”,這樣系統就不會出現經常提示你進行自動更新了,如果你沒用正版的Windows XP操作系統,建議你關閉此功能,因為他可能會讓你在不知道的情況就把系統升級至Windows XP SP2版,這樣會造成系統的不穩定。
9、在Home版中安裝IIS
大家知道,Windows XP Home版不能安裝IIS或者PWS。按照一般的方法,你只能升級到XP Professional或者使用Windows 2000,不過只要略使手段,你就可以在Windows XP Home上安裝IIS了。
首先在“開始”菜單的“運行”中輸入“c:\Windows\inf\sysoc.inf”,系統會自動使用記事本打開sysoc.inf這個文件。在sysoc.inf中找到“[Components]”這一段,并繼續找到類似“iis=iis.dll,OcEntry,iis.inf,hide,7”的一行字,把這一行替換為“iis=iis2.dll,OcEntry,iis2.inf,,7”。之后保存并關閉。
把Windows 2000 Professional的光盤插入光驅,同時按下Shift鍵禁止光驅的自動運行。在運行中輸入“CMD”然后回車,打開命令行模式,在命令行下輸入下列的兩條命令,在每一行命令結束后回車(假設光驅是D盤):
EXPand d:\i386\iis.dl_ c:\Windows\system32\setup\iis2.dll
EXPand d:\i386\iis.in_ c:\Windows\inf\iis2.inf
這時,打開你的控制面板,并點擊“添加刪除程序”圖標,之后點擊“添加刪除Windows組件”。
請仔細看,在“開始”菜單中顯示的操作系統是Windows XP Home,但是經過修改,已經有了添加IIS的選項了。
然后你可以按照在Windows XP Professional或者Windows 2000中的方法添加IIS,在本例中我們只安裝了WWW服務。系統會開始復制文件,這需要一些時間。并且在這起見,請保持Windows 2000 Professional的光盤還在光驅中。
在安裝結束后,你可以打開“控制面板→性能和選項→管理工具”,“Internet信息服務管理”已經出現在那里。
如果你想要驗證IIS是否運行正常,而已打開IE,在地址欄中輸入“http://localhost”然后回車,如果能看到圖三的界面,那么你的IIS就全部正常運行了。
最后還有一點注意的:如果你在安裝過程中,系統需要你插入Window Whistler CD或者需要你提供exch_adsiisex.dll這個文件,那是因為你按照默認的選項安裝了IIS。要解決這個問題,只要在安裝IIS的時候先點擊“詳細信息”,然后取消對SMTP的選擇(即不要安裝SMTP服務器),那么復制文件的時候就不會需要那兩個文件了。
如果在你安裝的到圖1的位置后發現,已經顯示了Internet信息服務(IIS)的安裝項目,但是它們根本無法被選中,那很可能因為你使用的iis.dl_和iis.in_是從Windows XP Professional中取出的,只要換成Windows 2000 Professional中的就可以繼續正常安裝了。
經過驗證,WWW、FTP等幾個服務經過這樣的修改都可以在Windows XP Home上正常運行。
巧妙利用三招保護局域網中的 IP 地址
[ 2007-03-25 02:43:23 | 作者: sun ]
局域網中IP地址被占用或篡改的情況時有發生,為你提供幾個實用招數。
停用網絡連接服務
要限制用戶隨意修改TCP/IP參數,最簡單的方法是讓用戶無法打開TCP/IP參數設置窗口。打開“開始”中“運行”輸入“services.msc”命令,選中“Network Connections”服務,右鍵單擊,從屬性中選擇其中的停用按鈕,將“啟動類型”選為“已禁用”,并確定。這樣,你如果從“開始”進入“網絡連接”里,就找不到“本地連接”圖標。這也會給自己網絡參數修改帶來麻煩,可以將“Plug and play”服務停用,就不影響你正常網絡訪問了
限制修改網絡參數法
修改注冊表的相關網絡鍵值就能實現。進入“運行”輸入“regedit”命令,打開注冊表編輯,確定在
HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network
分支上,在右側區域中,依次選擇“編輯”、“新建”、“Dword值”選項,將新建的Dword值命名為“NoNetSetup”,將其數值輸入為“1”,重新啟動電腦,系統就會提示無法進入網絡屬性設置窗口了。
隱藏本地連接圖標法
本地連接圖標與系統的Netcfgx.dll、Netshell.dll、Netman.dll這三個動態鏈接文件有關,一旦將這三個動態鏈接文件反注冊的話,那么本地連接圖標就會被自動隱藏起來了。在反注冊上面三個動態鏈接文件時,可以先打開系統運行框,并在其中輸入字符串命令“regsvr32 Netcfgx.dll/u”命令,單擊一下“確定”按鈕后,就能把Netcfgx.dll文件反注冊了。
停用網絡連接服務
要限制用戶隨意修改TCP/IP參數,最簡單的方法是讓用戶無法打開TCP/IP參數設置窗口。打開“開始”中“運行”輸入“services.msc”命令,選中“Network Connections”服務,右鍵單擊,從屬性中選擇其中的停用按鈕,將“啟動類型”選為“已禁用”,并確定。這樣,你如果從“開始”進入“網絡連接”里,就找不到“本地連接”圖標。這也會給自己網絡參數修改帶來麻煩,可以將“Plug and play”服務停用,就不影響你正常網絡訪問了
限制修改網絡參數法
修改注冊表的相關網絡鍵值就能實現。進入“運行”輸入“regedit”命令,打開注冊表編輯,確定在
HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network
分支上,在右側區域中,依次選擇“編輯”、“新建”、“Dword值”選項,將新建的Dword值命名為“NoNetSetup”,將其數值輸入為“1”,重新啟動電腦,系統就會提示無法進入網絡屬性設置窗口了。
隱藏本地連接圖標法
本地連接圖標與系統的Netcfgx.dll、Netshell.dll、Netman.dll這三個動態鏈接文件有關,一旦將這三個動態鏈接文件反注冊的話,那么本地連接圖標就會被自動隱藏起來了。在反注冊上面三個動態鏈接文件時,可以先打開系統運行框,并在其中輸入字符串命令“regsvr32 Netcfgx.dll/u”命令,單擊一下“確定”按鈕后,就能把Netcfgx.dll文件反注冊了。
Windows平臺內核級文件訪問_繞過安全軟件
[ 2007-03-25 02:42:53 | 作者: sun ]
背景
在windows平臺下,應用程序通常使用API函數來進行文件訪問,創建,打開,讀寫文件。從kernel32的CreateFile/ReadFile/WriteFile函數,到本地系統服務,再到FileSystem及其FilterDriver,經歷了很多層次。在每個層次上,都存在著安全防護軟件,病毒或者后門作監視或者過濾的機會。作為安全產品開發者,我們需要比別人走得更遠,因此我們需要一個底層的“windows平臺內核級文件訪問”的方法來確保我們能夠看到正確的干凈的文件系統。
直接訪問FSD的內核級別文件訪問
FSD(FileSystemDriver)層是文件API函數經過本地系統服務層(native API)最后到達的驅動層次。如果我們可以模仿操作系統,在我們自己的驅動程序里直接向FSD發送IRP,就可以繞過那些native API 和win32 API了,也就可以繞過設置在這些層次上面的API鉤子等監控措施。
文件的Create和Open
文件的Create和Open可以通過發送IRP_MJ_Create給FSD,或者調用IoCreateFile函數來完成。Create和Open的區別實際上在于IoCreateFile/IRP_MJ_Create的一個參數Disposition的取值。
通過發送IRP_MJ_Create給FSD的方法與此類似,可以參考IFSDDK document的IRP_MJ_Create說明。不同于上面方法的是需要自己創建一個FILE_OBJECT,好于上面方法的是這種方法不需要一個HANDLE,HANDLE是線程依賴的,FileObject則是線程無關。
文件的Read和Write
我們通過給FSD發送IRP_MJ_READ來讀取文件,給FSD發送IRP_MJ_WRITE來改寫文件。
如果我們是通過一個HANDLE來執行(如使用IoCreateFile打開的文件),就要先用ObReferenceObjectByHandle函數來獲得這個Handle對應的FileObject。我們只能給FileObject發送IRP。
之后我們使用IoAllocateIrp分配一個IRP。根據FileObject->DeviceObject->Flags的值,我們判斷目標文件系統使用什么樣的IO方式。
對每種不同的IO方式使用不同的地址傳遞方式。隨后我們填充IRP內的各個參數域,就可以發送IRP了。
接著要考慮如果IRP不能及時完成,會異步的返回的情況,我們安裝一個CompletionRoutine,在CompletionRoutine里面設置一個事件為已激活,通知我們的主線程讀取或者寫入操作已經完成。
現在可以發送IRP了。如果不采取特殊的措施的話,IRP發送目標是FileObject對應的DeviceObject。發送后,等待IRP的完成并且釋放資源,返回。
文件的Delete
Delete實際上是通過向FSD發送IRP_MJ_SET_INFORMATION的IRP,并把IrpSp->Parameters.SetFile.FileInformationClass設置為FileDispositionInformation,用一個FILE_DISPOSITION_INFORMATION結構填充buffer來執行的。
文件的Rename
類似于Delete,Rename是向FSD發送IRP_MJ_SET_INFORMATION的IRP,把IrpSp->Parameters.SetFile.FileInformationClass設置為FileRenameInformation,填充buffer為FILE_RENAME_INFORMATION結構。
綜上,于是我們可以在驅動里面通過發送IRP來直接訪問文件系統了,繞過了native API 和win32 API層次。
繞過文件系統過濾驅動和鉤子
有了以上的內容,我們目前可以直接給FSD發送請求操作文件。但是這還不夠,因為有很多的殺毒軟件或者監視工具使用FSD Filter Driver或者FSD Hook的辦法來監控文件操作
對付文件系統過濾驅動
文件系統過濾驅動Attach在正常的文件系統之上,監視和過濾我們的文件訪問。文件系統驅動棧就是由這一連串的Attach起來的過濾驅動組成。我們可以用IoGetRelatedDeviceObject這個函數來獲得一個FileObject對應的最底層的那個功能驅動對象(FDO)。但是這樣雖然繞過了那些過濾驅動,卻同時也繞過了正常的FSD如Ntfs/Fastfat,因為正常的FSD也是作為一個過濾驅動存在的。磁盤文件對象的對應的最底層的FDO是Ftdisk.sys,它已經因為過于底層而不能處理我們投遞的IRP請求。
其實正常的FSD信息存儲在一個Vpb結構中,我們可以使用IoGetBaseFileSystemDeviceObject這個未公開的內核函數來得到它。它就是我們發送IRP的目標了。
對付替換DispatchRoutine的FSD Hook
這是一種常用的FSD Hook方式。我們需要得到原本的DispatchRoutine,向原本的DispatchRoutine發送我們的IRP。這里提供一個思路:我們可以讀取原本FSD驅動的.INIT段或者.TEXT段,查找其DriverEntry函數,在它的DriverEntry函數中肯定設置了自己的DriverObject的各個DispatchRoutine。在這個函數中我們就能找到我們想要的DispatchRoutine的地址。只需要使用特征碼搜索的方法就可以搜索到這個值。
對付Inline Hook DispatchRoutine函數本身的FSD Hook
這種Hook方法比較狠毒,但不是非常常見于安全產品中,一般應用在木馬和rootkit上,比如我自己寫的rootkit。它沒有更改DriverObject里面的DispatchRoutine的函數指針,而是向函數開頭寫入匯編指令的JMP來跳轉函數。對付它的基本思路就是讀取存在磁盤上的FSD的文件,加載到內存一份干凈的備份,察看我們要調用的DispatchRoutine開頭的幾個字節和這個干凈備份是否一致。如果不一致,尤其是存在JMP,RET,INT3一類的匯編指令的時候,很可能就是存在了Inline Hook。(但要充分考慮重定位的情況。)如果存在Inline Hook,我們就把干凈的函數開頭拷貝過來覆蓋掉被感染的函數頭。然后在發送IRP,就不會被Inline Hook監視或篡改了。
在windows平臺下,應用程序通常使用API函數來進行文件訪問,創建,打開,讀寫文件。從kernel32的CreateFile/ReadFile/WriteFile函數,到本地系統服務,再到FileSystem及其FilterDriver,經歷了很多層次。在每個層次上,都存在著安全防護軟件,病毒或者后門作監視或者過濾的機會。作為安全產品開發者,我們需要比別人走得更遠,因此我們需要一個底層的“windows平臺內核級文件訪問”的方法來確保我們能夠看到正確的干凈的文件系統。
直接訪問FSD的內核級別文件訪問
FSD(FileSystemDriver)層是文件API函數經過本地系統服務層(native API)最后到達的驅動層次。如果我們可以模仿操作系統,在我們自己的驅動程序里直接向FSD發送IRP,就可以繞過那些native API 和win32 API了,也就可以繞過設置在這些層次上面的API鉤子等監控措施。
文件的Create和Open
文件的Create和Open可以通過發送IRP_MJ_Create給FSD,或者調用IoCreateFile函數來完成。Create和Open的區別實際上在于IoCreateFile/IRP_MJ_Create的一個參數Disposition的取值。
通過發送IRP_MJ_Create給FSD的方法與此類似,可以參考IFSDDK document的IRP_MJ_Create說明。不同于上面方法的是需要自己創建一個FILE_OBJECT,好于上面方法的是這種方法不需要一個HANDLE,HANDLE是線程依賴的,FileObject則是線程無關。
文件的Read和Write
我們通過給FSD發送IRP_MJ_READ來讀取文件,給FSD發送IRP_MJ_WRITE來改寫文件。
如果我們是通過一個HANDLE來執行(如使用IoCreateFile打開的文件),就要先用ObReferenceObjectByHandle函數來獲得這個Handle對應的FileObject。我們只能給FileObject發送IRP。
之后我們使用IoAllocateIrp分配一個IRP。根據FileObject->DeviceObject->Flags的值,我們判斷目標文件系統使用什么樣的IO方式。
對每種不同的IO方式使用不同的地址傳遞方式。隨后我們填充IRP內的各個參數域,就可以發送IRP了。
接著要考慮如果IRP不能及時完成,會異步的返回的情況,我們安裝一個CompletionRoutine,在CompletionRoutine里面設置一個事件為已激活,通知我們的主線程讀取或者寫入操作已經完成。
現在可以發送IRP了。如果不采取特殊的措施的話,IRP發送目標是FileObject對應的DeviceObject。發送后,等待IRP的完成并且釋放資源,返回。
文件的Delete
Delete實際上是通過向FSD發送IRP_MJ_SET_INFORMATION的IRP,并把IrpSp->Parameters.SetFile.FileInformationClass設置為FileDispositionInformation,用一個FILE_DISPOSITION_INFORMATION結構填充buffer來執行的。
文件的Rename
類似于Delete,Rename是向FSD發送IRP_MJ_SET_INFORMATION的IRP,把IrpSp->Parameters.SetFile.FileInformationClass設置為FileRenameInformation,填充buffer為FILE_RENAME_INFORMATION結構。
綜上,于是我們可以在驅動里面通過發送IRP來直接訪問文件系統了,繞過了native API 和win32 API層次。
繞過文件系統過濾驅動和鉤子
有了以上的內容,我們目前可以直接給FSD發送請求操作文件。但是這還不夠,因為有很多的殺毒軟件或者監視工具使用FSD Filter Driver或者FSD Hook的辦法來監控文件操作
對付文件系統過濾驅動
文件系統過濾驅動Attach在正常的文件系統之上,監視和過濾我們的文件訪問。文件系統驅動棧就是由這一連串的Attach起來的過濾驅動組成。我們可以用IoGetRelatedDeviceObject這個函數來獲得一個FileObject對應的最底層的那個功能驅動對象(FDO)。但是這樣雖然繞過了那些過濾驅動,卻同時也繞過了正常的FSD如Ntfs/Fastfat,因為正常的FSD也是作為一個過濾驅動存在的。磁盤文件對象的對應的最底層的FDO是Ftdisk.sys,它已經因為過于底層而不能處理我們投遞的IRP請求。
其實正常的FSD信息存儲在一個Vpb結構中,我們可以使用IoGetBaseFileSystemDeviceObject這個未公開的內核函數來得到它。它就是我們發送IRP的目標了。
對付替換DispatchRoutine的FSD Hook
這是一種常用的FSD Hook方式。我們需要得到原本的DispatchRoutine,向原本的DispatchRoutine發送我們的IRP。這里提供一個思路:我們可以讀取原本FSD驅動的.INIT段或者.TEXT段,查找其DriverEntry函數,在它的DriverEntry函數中肯定設置了自己的DriverObject的各個DispatchRoutine。在這個函數中我們就能找到我們想要的DispatchRoutine的地址。只需要使用特征碼搜索的方法就可以搜索到這個值。
對付Inline Hook DispatchRoutine函數本身的FSD Hook
這種Hook方法比較狠毒,但不是非常常見于安全產品中,一般應用在木馬和rootkit上,比如我自己寫的rootkit。它沒有更改DriverObject里面的DispatchRoutine的函數指針,而是向函數開頭寫入匯編指令的JMP來跳轉函數。對付它的基本思路就是讀取存在磁盤上的FSD的文件,加載到內存一份干凈的備份,察看我們要調用的DispatchRoutine開頭的幾個字節和這個干凈備份是否一致。如果不一致,尤其是存在JMP,RET,INT3一類的匯編指令的時候,很可能就是存在了Inline Hook。(但要充分考慮重定位的情況。)如果存在Inline Hook,我們就把干凈的函數開頭拷貝過來覆蓋掉被感染的函數頭。然后在發送IRP,就不會被Inline Hook監視或篡改了。
安全第一 識別文本型郵件附件欺騙方法
[ 2007-03-25 02:42:39 | 作者: sun ]
在眾多媒體的宣傳報道下,今天的我們都知道了不能輕易打開電子郵件里的可執行文件類的附件,但是顯然那些破壞活動的制造者們也看了那些警告防范的文章,他們開始玩一些新的把戲,讓您以為那些附件只不過是沒有危險的文本文件或是圖像文件等就是其手段之一。由于目前大多數人使用的是windows系列操作系統,windows的默認設置是隱藏已知文件擴展名的,而當你去點擊那個看上去很友善的文件,那些破壞性的東西就跳出來了。您可能說這我早就知道了,那么下面講述的.txt文件的新欺騙方法及原理您知道嗎?
假如您收到的郵件附件中有一個看起來是這樣的文件:QQ靚號放送.txt,您是不是認為它肯定是純文本文件?我要告訴您,不一定!它的實際文件名可以是QQ靚號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊表里是HTML文件關聯的意思。但是存成文件名的時候它并不會顯現出來,您看到的就是個.txt文件,這個文件實際上等同于QQ靚號放送.txt.html。那么直接打開這個文件為什么有危險呢?請看如果這個文件的內容如下:
您可能以為它會調用記事本來運行,可是如果您雙擊它,結果它卻調用了HTML來運行,并且自動在后臺開始格式化d盤,同時顯示“Windows is configuring the system。Plase do not interrupt this process。”這樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧?
欺騙實現原理:當您雙擊這個偽裝起來的.txt時候,由于真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就會以html文件的形式運行,這是它能運行起來的先決條件。
文件內容中的第2和第3行是它能夠產生破壞作用的關鍵所在。其中第3行是破壞行動的執行者,在其中可以加載帶有破壞性質的命令。那么第2行又是干什么的呢?您可能已經注意到了第2行里的“WSCript”,對!就是它導演了全幕,它是實際行動總指揮。
WScript全稱Windows Scripting Host,它是Win98新加進的功能, 是一種批次語言/自動執行工具——它所對應的程序“WScript.exe”是一個腳本語言解釋器,位于c:WINDOWS下,正是它使得腳本可以被執行,就象執行批處理一樣。在Windows Scripting Host腳本環境里,預定義了一些對象,通過它自帶的幾個內置對象,可以實現獲取環境變量、創建快捷方式、加載程序、讀寫注冊表等功能。
假如您收到的郵件附件中有一個看起來是這樣的文件:QQ靚號放送.txt,您是不是認為它肯定是純文本文件?我要告訴您,不一定!它的實際文件名可以是QQ靚號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊表里是HTML文件關聯的意思。但是存成文件名的時候它并不會顯現出來,您看到的就是個.txt文件,這個文件實際上等同于QQ靚號放送.txt.html。那么直接打開這個文件為什么有危險呢?請看如果這個文件的內容如下:
您可能以為它會調用記事本來運行,可是如果您雙擊它,結果它卻調用了HTML來運行,并且自動在后臺開始格式化d盤,同時顯示“Windows is configuring the system。Plase do not interrupt this process。”這樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧?
欺騙實現原理:當您雙擊這個偽裝起來的.txt時候,由于真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就會以html文件的形式運行,這是它能運行起來的先決條件。
文件內容中的第2和第3行是它能夠產生破壞作用的關鍵所在。其中第3行是破壞行動的執行者,在其中可以加載帶有破壞性質的命令。那么第2行又是干什么的呢?您可能已經注意到了第2行里的“WSCript”,對!就是它導演了全幕,它是實際行動總指揮。
WScript全稱Windows Scripting Host,它是Win98新加進的功能, 是一種批次語言/自動執行工具——它所對應的程序“WScript.exe”是一個腳本語言解釋器,位于c:WINDOWS下,正是它使得腳本可以被執行,就象執行批處理一樣。在Windows Scripting Host腳本環境里,預定義了一些對象,通過它自帶的幾個內置對象,可以實現獲取環境變量、創建快捷方式、加載程序、讀寫注冊表等功能。
知根知底 完全解析木馬駐留系統的方式
[ 2007-03-25 02:42:27 | 作者: sun ]
木馬病毒,我們大家都是非常的熟悉,這個病毒傳播危害大,那么它都通過那些方式傳播的你知道嗎?
第一招:利用系統啟動文件
1 注冊表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有關的子鍵
2 注冊表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有關的子鍵
3 注冊表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 鍵名為load的字符型數據
4 注冊表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 鍵名為load的字符型數據
第二招:關聯類型文件使木馬運行
在業內著名的木馬冰河就是這樣啟動的,它關聯的是exe類型的文件,方法如下:(以下方法是我在我的win2003中測試通過的)
注冊表 ClassRoot 下的.exe 文件打開方式為exefile,我們就找到exefile子鍵,然后exefile該鍵下有一個shell子鍵,在shell子鍵下有open子鍵,在open下有command子鍵,command里有default鍵,value為"%1" %* 我們把它改變為 木馬路徑 "%1" %* 就可以了
當然win2000 或 win98中是不一樣的 我剛才測試了 冰河作者看來也是心狠手辣啊
第三招:文件捆綁使木馬運行
捆綁和關聯文件不同,關聯是修改注冊表,但捆綁類似于病毒的“感染”,就是把木馬的進程感染到其他的執行文件上,業內著名木馬“網絡公牛 - Netbull”就是利用這種方法進行啟動。
網絡公牛服務端名稱newserver.exe,運行后自動脫殼到c:\windows\system\checkdll.exe目錄下,下次開機自動運行,同時服務端在運行時會自動捆綁以下文件:
win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe
winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe
并且自動搜索系統啟動項程序,捆綁之。比如qq.exe realplay.exe
除非把以上文件全部刪除,否則無法清除,但系統文件刪除后系統就無法正常運行,所以大多數人只能重裝系統。確實牛。
第四招: 進程保護
兩個木馬進程,互相監視,發現對方被關閉后啟動對方。技術其實不神秘,方法如下:
while (true)
{
System.Threading.Thread.Sleep(500);
//檢查對方進程是否關閉,關閉的話再打開。
}
第五招:巧用啟動文件夾
開始菜單的啟動文件夾內的文件在系統啟動后會隨系統啟動,假如將一個exe文件或exe文件的快捷方式復制到啟動文件夾內,太明顯,但設置隱藏屬性后不會被系統啟動。
有一個辦法,將啟動文件夾改名為啟動a,并將該文件隱藏,然后再新建一個啟動文件夾,將原啟動文件夾內的所有內容復制到新建的啟動文件夾,這樣就可以了。(其實系統還是會啟動原來的啟動文件夾內的內rogn,也就是現在被改為"啟動a"的文件夾,而現在我們新建的"啟動"文件夾只是一個擺設而已,因為在這里的"啟動a"對應著注冊表local_machine\software\microsoft\windows\currentversion\explorer\startmenu內的common startup鍵值,當我們更該原來系統的啟動文件夾的名字為"啟動a"的時候該鍵值也會改為“C:\Documents and Settings\All Users\開始\Programs\啟動a”)
另外可在local_machine\software\microsoft\windows\currentversion下建立RunServices子鍵來實現自啟動,和run不同,run是系統啟動后加載,runservices是系統登錄時就啟動
在系統根目錄下放置Explorer.exe文件,在Explorer.exe文件中去啟動正常的Explorer.exe文件,可以在C盤和D盤下都放上。
第一招:利用系統啟動文件
1 注冊表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有關的子鍵
2 注冊表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有關的子鍵
3 注冊表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 鍵名為load的字符型數據
4 注冊表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 鍵名為load的字符型數據
第二招:關聯類型文件使木馬運行
在業內著名的木馬冰河就是這樣啟動的,它關聯的是exe類型的文件,方法如下:(以下方法是我在我的win2003中測試通過的)
注冊表 ClassRoot 下的.exe 文件打開方式為exefile,我們就找到exefile子鍵,然后exefile該鍵下有一個shell子鍵,在shell子鍵下有open子鍵,在open下有command子鍵,command里有default鍵,value為"%1" %* 我們把它改變為 木馬路徑 "%1" %* 就可以了
當然win2000 或 win98中是不一樣的 我剛才測試了 冰河作者看來也是心狠手辣啊
第三招:文件捆綁使木馬運行
捆綁和關聯文件不同,關聯是修改注冊表,但捆綁類似于病毒的“感染”,就是把木馬的進程感染到其他的執行文件上,業內著名木馬“網絡公牛 - Netbull”就是利用這種方法進行啟動。
網絡公牛服務端名稱newserver.exe,運行后自動脫殼到c:\windows\system\checkdll.exe目錄下,下次開機自動運行,同時服務端在運行時會自動捆綁以下文件:
win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe
winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe
并且自動搜索系統啟動項程序,捆綁之。比如qq.exe realplay.exe
除非把以上文件全部刪除,否則無法清除,但系統文件刪除后系統就無法正常運行,所以大多數人只能重裝系統。確實牛。
第四招: 進程保護
兩個木馬進程,互相監視,發現對方被關閉后啟動對方。技術其實不神秘,方法如下:
while (true)
{
System.Threading.Thread.Sleep(500);
//檢查對方進程是否關閉,關閉的話再打開。
}
第五招:巧用啟動文件夾
開始菜單的啟動文件夾內的文件在系統啟動后會隨系統啟動,假如將一個exe文件或exe文件的快捷方式復制到啟動文件夾內,太明顯,但設置隱藏屬性后不會被系統啟動。
有一個辦法,將啟動文件夾改名為啟動a,并將該文件隱藏,然后再新建一個啟動文件夾,將原啟動文件夾內的所有內容復制到新建的啟動文件夾,這樣就可以了。(其實系統還是會啟動原來的啟動文件夾內的內rogn,也就是現在被改為"啟動a"的文件夾,而現在我們新建的"啟動"文件夾只是一個擺設而已,因為在這里的"啟動a"對應著注冊表local_machine\software\microsoft\windows\currentversion\explorer\startmenu內的common startup鍵值,當我們更該原來系統的啟動文件夾的名字為"啟動a"的時候該鍵值也會改為“C:\Documents and Settings\All Users\開始\Programs\啟動a”)
另外可在local_machine\software\microsoft\windows\currentversion下建立RunServices子鍵來實現自啟動,和run不同,run是系統啟動后加載,runservices是系統登錄時就啟動
在系統根目錄下放置Explorer.exe文件,在Explorer.exe文件中去啟動正常的Explorer.exe文件,可以在C盤和D盤下都放上。
經驗談:家庭用戶如何使用防火墻軟件
[ 2007-03-25 02:42:13 | 作者: sun ]
由于黑客泛濫,所以為了防止惡意攻擊,防火墻軟件應運而生。但是我們應該能夠正確使用防火墻軟件,讓它真正為我們服務。
防火墻都定義了安全級別,為了給不同需要的用戶不同的安全控制,但是很多用戶并不是特別懂這些,為了安全,就盲目的把安全級別調整到“高安全級”,認為安全級別越高越好。其實不是這樣。如果你的電腦太安全了,你會發現網絡游戲就無法啟動了,而且視頻程序也就無法訪問到網上的視頻文件了(這對于ADSL用戶是一個極大損失)。那么到底各種安全級別是什么意思呢?
低安全級:計算機將開放所有服務,但禁止互聯網上的機器訪問文件、打印機共享服務。適用于在局域網中的提供服務的用戶。這是自由度最大的安全級別,所以僅限于“網絡高手”使用。
中安全級:禁止訪問系統級別的服務( 如HTTP , FTP等)。局域網內部的機器只允許訪問文件、打印機共享服務。 使用動態規則管理,允許授權運行的程序開放的端口服務,比如網絡游戲或者視頻語音電話軟件提供的服務。而且能夠保證例如收發郵件和傳輸文件的一般用戶,所以一般這個安全級別是缺省值。
高安全級:系統會屏蔽掉向外部開放的所有端口;禁止訪問本機提供所有服務,對常見的木馬程序和攻擊進行攔截;提供嚴格控制的網絡訪問能力;適用于僅僅是上網瀏覽網頁的用戶。當然網絡游戲你就玩不了了。
另外,所有的安全級都會控制應用程序訪問網絡的權限。
防火墻都定義了安全級別,為了給不同需要的用戶不同的安全控制,但是很多用戶并不是特別懂這些,為了安全,就盲目的把安全級別調整到“高安全級”,認為安全級別越高越好。其實不是這樣。如果你的電腦太安全了,你會發現網絡游戲就無法啟動了,而且視頻程序也就無法訪問到網上的視頻文件了(這對于ADSL用戶是一個極大損失)。那么到底各種安全級別是什么意思呢?
低安全級:計算機將開放所有服務,但禁止互聯網上的機器訪問文件、打印機共享服務。適用于在局域網中的提供服務的用戶。這是自由度最大的安全級別,所以僅限于“網絡高手”使用。
中安全級:禁止訪問系統級別的服務( 如HTTP , FTP等)。局域網內部的機器只允許訪問文件、打印機共享服務。 使用動態規則管理,允許授權運行的程序開放的端口服務,比如網絡游戲或者視頻語音電話軟件提供的服務。而且能夠保證例如收發郵件和傳輸文件的一般用戶,所以一般這個安全級別是缺省值。
高安全級:系統會屏蔽掉向外部開放的所有端口;禁止訪問本機提供所有服務,對常見的木馬程序和攻擊進行攔截;提供嚴格控制的網絡訪問能力;適用于僅僅是上網瀏覽網頁的用戶。當然網絡游戲你就玩不了了。
另外,所有的安全級都會控制應用程序訪問網絡的權限。
保護你的系統仔細查看與比較關鍵進程
[ 2007-03-25 02:41:59 | 作者: sun ]
我們都知道進程是系統當前運行的執行程序,所以打開系統進程列表來查看哪些進程正在運行,通
過進程名及路徑判斷和比較是否有病毒是一種經常做的常規工作,如果懷疑病毒進程只要記下它的進程
名,結束該進程,然后刪除病毒程序即可。但是哪些是正常進程哪些不是正常的進程呢?
1 、查看進程的方法
A。用三鍵大法:按Ctrl+Alt+Del組合鍵,然后單擊“任務管理器”,打開“Windows 任務管理
器”,然后單擊“進程”標簽即可查看。
B。右擊任務條,打開任務管理器,然后看“進程”也可以。我常用的就是這個了。
2。進程的具體路徑
開始→程序→附件→系統工具→系統信息→軟件環境→正在運行的任務。是不是看到了。。
3。比較關鍵的進程
(1)Csrss.exe:這是子系統服務器進程,負責控制Windows創建或刪除線程以及16位的虛擬DOS環境。這個是不能關的。。
(2)Lsass.exe:管理IP安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。這個也不是能關的。。。
(3)Explorer.exe:資源管理器。這個知道是什么吧?你關一下試試看,呵呵。關了以后別怕啊。可以再在任務管理器中的新任務中再建一個。。。
(4)Smss.exe:這是一個會話管理子系統,負責啟動用戶會話。這個不能關的。。。
(5)Services.exe:系統服務的管理工具,包含很多系統服務。當然也不能關的。。
(6)system: Windows系統進程,當然不關。
(7)System Idle Process:這個進程是作為單線程運行在每個處理器上,并在系統不處理其它線程的時候分派處理器的時間。暈,這個大家一看就知道。
(8)Spoolsv.exe:管理緩沖區中的打印和傳真作業。不能關的。
(9)Svchost.exe:系統啟動的時候,Svchost.exe將檢查注冊表中的位置來創建需要加載的服務列表,如果多個Svchost.exe同時運行,則表明當前有多組服務處于活動狀態;多個DLL文件正在調用它。
WINXP一般是五個進程,記住!
(10)winlogon.exe: 管理用戶登錄,你關關試試看,重新啟動了不是??
(11)internat.exe這是什么東西?呵呵。輸入法了。
(12)taskmagr.exe這又是什么?就是任務管理器!
(13) systray.exe是哪兒冒出來的。什么東西。呵呵。右下角的小喇叭。
4。常見病毒的進程名
avserve.exe 震蕩波病毒的進程
java.exe、services.exe MyDoom 病毒的進程
svch0st.exe、expl0er、user32.exe 網銀大盜的進程
dllhost.exe 沖擊波病毒的進程
Avpcc.exe → 將死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 將死者病毒 Msgsvc.exe → 火鳳凰
Avserve.exe → 震蕩波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 惡鷹蠕蟲病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 將死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 將死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 將死者病毒 Netspy.exe → 網絡精靈
Checkdll.exe → 網絡公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 將死者病毒
Diagcfg.exe → 廣外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 將死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后門變種
Esafe.exe → 將死者病毒 Tftp.exe → 尼姆達病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 將死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 將死者病毒
Frw.exe → 將死者病毒 Vpcc.exe → 將死者病毒
Icload95.exe → 將死者病毒 Vpm.exe → 將死者病毒
Icloadnt.exe → 將死者病毒 Vsecomr.exe → 將死者病毒
Icmon.exe → 將死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 將死者病毒 Service.exe → Trinoo
Iexplore.exe → 惡郵差病毒 Setup.exe → 密碼病毒或Xanadu
Rpcsrv.exe → 惡郵差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS愛情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩獵者病毒 Spfw.exe → 瑞波變種PX
Runouce.exe → 中國黑客病毒 Svchost.exe (線程105) → 藍色代碼
Scanrew.exe → 傳奇終結者 Sysedit32.exe → SCKISS愛情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 傳奇叛逆 Syshelp.exe → 惡郵差病毒
Internet.exe → 傳奇幽靈 Sysprot.exe → Satans Back Door
Internet.exe → 網絡神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 壞透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 傳奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求職信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆達病毒 Taskbar → 密碼病毒 Frethem
Lockdown2000.exe → 將死者病毒 Taskmon.exe → 諾維格蠕蟲病毒
Taskmon32 → 傳奇黑眼睛 Tds2-98.exe → 將死者病毒
Tds2-Nt.exe → 將死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 將死者病毒 Vsstart.exe → 將死者病毒
Vw32.exe → 將死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 惡郵差病毒 Wink????.exe → 求職信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨無霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 惡郵差病毒
Winrpcsrv.exe → 惡郵差病毒 Winserv.exe → Softwarst
Wubsys.exe → 傳奇獵手 Winupdate.exe → Sckiss愛情森林
Winver.exe → Sckiss愛情森林 Winvnc.exe → 惡郵差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求職信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆達病毒
Zcn32.exe → Ambush Zonealarm.exe → 將死者病毒
注意:進程名為nvsvc32.exe,Drwtsn32.exe和Rundl32.exe是系統正常的進程外,其余的凡是帶
32數字你可要注意一下.這很可能就是病毒進程;Expiorer.exe → Acid Battery 你看它只和資源
管理器的EXPLORER一字之差,小心了;凡是1.EXE 2.exe 0.exe 之類一列不是好東西!當然我們
也要小心了例如魔波會利用SVCHOST進程(它是全大寫)可怕的··
5。如何處理可疑進程
(1).試驗法
將可疑進程結束后,通過“開始→搜索→文件或文件夾”,然后輸入可穎進程名作為關鍵字對硬盤進行
搜索,找到對應的程序后,記下它的路徑,將它移到U盤或軟盤上,然后對電腦上的軟件都運行一遍,
如果都能正常運行,說明這個進程是多余的或者是病毒,就算不是病毒把它刪了也可給系統減肥。如果
有軟件不能正常運行則要將它還原。
(2).搜索求救法
如果你對“不明進程”是否是病毒拿不定主意,可以把該進程的全名為關鍵字在百度或GOOGLE搜索
引擎上搜索,找它的相關資料看它是不是病毒,如果是則趕快刪除。
(3)軟件法
趕快到安全模式下去用殺毒軟件吧,當然必須是升級到最新殺軟!
過進程名及路徑判斷和比較是否有病毒是一種經常做的常規工作,如果懷疑病毒進程只要記下它的進程
名,結束該進程,然后刪除病毒程序即可。但是哪些是正常進程哪些不是正常的進程呢?
1 、查看進程的方法
A。用三鍵大法:按Ctrl+Alt+Del組合鍵,然后單擊“任務管理器”,打開“Windows 任務管理
器”,然后單擊“進程”標簽即可查看。
B。右擊任務條,打開任務管理器,然后看“進程”也可以。我常用的就是這個了。
2。進程的具體路徑
開始→程序→附件→系統工具→系統信息→軟件環境→正在運行的任務。是不是看到了。。
3。比較關鍵的進程
(1)Csrss.exe:這是子系統服務器進程,負責控制Windows創建或刪除線程以及16位的虛擬DOS環境。這個是不能關的。。
(2)Lsass.exe:管理IP安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。這個也不是能關的。。。
(3)Explorer.exe:資源管理器。這個知道是什么吧?你關一下試試看,呵呵。關了以后別怕啊。可以再在任務管理器中的新任務中再建一個。。。
(4)Smss.exe:這是一個會話管理子系統,負責啟動用戶會話。這個不能關的。。。
(5)Services.exe:系統服務的管理工具,包含很多系統服務。當然也不能關的。。
(6)system: Windows系統進程,當然不關。
(7)System Idle Process:這個進程是作為單線程運行在每個處理器上,并在系統不處理其它線程的時候分派處理器的時間。暈,這個大家一看就知道。
(8)Spoolsv.exe:管理緩沖區中的打印和傳真作業。不能關的。
(9)Svchost.exe:系統啟動的時候,Svchost.exe將檢查注冊表中的位置來創建需要加載的服務列表,如果多個Svchost.exe同時運行,則表明當前有多組服務處于活動狀態;多個DLL文件正在調用它。
WINXP一般是五個進程,記住!
(10)winlogon.exe: 管理用戶登錄,你關關試試看,重新啟動了不是??
(11)internat.exe這是什么東西?呵呵。輸入法了。
(12)taskmagr.exe這又是什么?就是任務管理器!
(13) systray.exe是哪兒冒出來的。什么東西。呵呵。右下角的小喇叭。
4。常見病毒的進程名
avserve.exe 震蕩波病毒的進程
java.exe、services.exe MyDoom 病毒的進程
svch0st.exe、expl0er、user32.exe 網銀大盜的進程
dllhost.exe 沖擊波病毒的進程
Avpcc.exe → 將死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 將死者病毒 Msgsvc.exe → 火鳳凰
Avserve.exe → 震蕩波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 惡鷹蠕蟲病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 將死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 將死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 將死者病毒 Netspy.exe → 網絡精靈
Checkdll.exe → 網絡公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 將死者病毒
Diagcfg.exe → 廣外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 將死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后門變種
Esafe.exe → 將死者病毒 Tftp.exe → 尼姆達病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 將死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 將死者病毒
Frw.exe → 將死者病毒 Vpcc.exe → 將死者病毒
Icload95.exe → 將死者病毒 Vpm.exe → 將死者病毒
Icloadnt.exe → 將死者病毒 Vsecomr.exe → 將死者病毒
Icmon.exe → 將死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 將死者病毒 Service.exe → Trinoo
Iexplore.exe → 惡郵差病毒 Setup.exe → 密碼病毒或Xanadu
Rpcsrv.exe → 惡郵差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS愛情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩獵者病毒 Spfw.exe → 瑞波變種PX
Runouce.exe → 中國黑客病毒 Svchost.exe (線程105) → 藍色代碼
Scanrew.exe → 傳奇終結者 Sysedit32.exe → SCKISS愛情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 傳奇叛逆 Syshelp.exe → 惡郵差病毒
Internet.exe → 傳奇幽靈 Sysprot.exe → Satans Back Door
Internet.exe → 網絡神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 壞透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 傳奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求職信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆達病毒 Taskbar → 密碼病毒 Frethem
Lockdown2000.exe → 將死者病毒 Taskmon.exe → 諾維格蠕蟲病毒
Taskmon32 → 傳奇黑眼睛 Tds2-98.exe → 將死者病毒
Tds2-Nt.exe → 將死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 將死者病毒 Vsstart.exe → 將死者病毒
Vw32.exe → 將死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 惡郵差病毒 Wink????.exe → 求職信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨無霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 惡郵差病毒
Winrpcsrv.exe → 惡郵差病毒 Winserv.exe → Softwarst
Wubsys.exe → 傳奇獵手 Winupdate.exe → Sckiss愛情森林
Winver.exe → Sckiss愛情森林 Winvnc.exe → 惡郵差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求職信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆達病毒
Zcn32.exe → Ambush Zonealarm.exe → 將死者病毒
注意:進程名為nvsvc32.exe,Drwtsn32.exe和Rundl32.exe是系統正常的進程外,其余的凡是帶
32數字你可要注意一下.這很可能就是病毒進程;Expiorer.exe → Acid Battery 你看它只和資源
管理器的EXPLORER一字之差,小心了;凡是1.EXE 2.exe 0.exe 之類一列不是好東西!當然我們
也要小心了例如魔波會利用SVCHOST進程(它是全大寫)可怕的··
5。如何處理可疑進程
(1).試驗法
將可疑進程結束后,通過“開始→搜索→文件或文件夾”,然后輸入可穎進程名作為關鍵字對硬盤進行
搜索,找到對應的程序后,記下它的路徑,將它移到U盤或軟盤上,然后對電腦上的軟件都運行一遍,
如果都能正常運行,說明這個進程是多余的或者是病毒,就算不是病毒把它刪了也可給系統減肥。如果
有軟件不能正常運行則要將它還原。
(2).搜索求救法
如果你對“不明進程”是否是病毒拿不定主意,可以把該進程的全名為關鍵字在百度或GOOGLE搜索
引擎上搜索,找它的相關資料看它是不是病毒,如果是則趕快刪除。
(3)軟件法
趕快到安全模式下去用殺毒軟件吧,當然必須是升級到最新殺軟!
切斷 Windows 服務器系統默認共享通道
[ 2007-03-25 02:41:46 | 作者: sun ]
在Windows服務器系統中,每當服務器啟動成功時,系統的C盤、D盤等都會被自動設置成隱藏共享,盡管通過這些默認共享可以讓服務器管理維護起來更方便一些;但在享受方便的同時,這些默認共享常常會被一些非法攻擊者利用,從而容易給服務器造成安全威脅。
如果你不想讓服務器輕易遭受到非法攻擊的話,就必須及時切斷服務器的默認共享“通道”。下面,本文就為大家推薦以下幾則妙招,以便讓你輕松禁止掉服務器的默認共享。
功能配置法
這種方法是通過Windows XP或Windows 2003系統中的msconfig命令,來實現切斷服務器默認共享“通道”目的的。使用該方法時,可以按照如下步驟來進行:
依次單擊“開始”/“運行”命令,在隨后出現的系統運行設置框中,輸入字符串命令“msconfig”,單擊“確定”按鈕后,打開一個標題為系統配置實用程序的設置窗口;
單擊該窗口中的“服務”選項卡,在其后打開的選項設置頁面中,找到其中的“Server”項目,并檢查該項目前面是否有勾號存在,要是有的話必須將其取消掉,最后單擊一下“確定”按鈕,以后重新啟動服務器系統時,服務器的C盤、D盤等就不會被自動設置成默認共享了。
小提示:盡管Windows 2000服務器系統沒有系統配置實用程序功能,但考慮到該系統的內核與Windows 2003系統內核比較接近,因此你可以將Windows 2003系統中的msconfig.exe文件和msconfig.chm文件直接復制到Windows 2000系統目錄中,以后你也可以在該系統的運行對話框中,直接啟動系統配置實用程序功能了。如果在啟動該功能的過程中,遇到有錯誤提示窗口彈出時,你可以不必理會,不停單擊“取消”按鈕就可以看到系統配置實用程序設置窗口了。
“強行”停止法
所謂“強行”停止法,其實就是借助Windows服務器的計算機管理功能,來對已經存在的默認共享文件夾,“強制”停止共享命令,以便讓其共享狀態取消,同時確保這些文件夾下次不能被自動設置成共享。在“強行”停止默認共享文件夾的共享狀態時,你可以按照下面的步驟來進行:
依次單擊“開始”/“運行”命令,在打開的系統運行設置框中,輸入字符串命令“compmgmt.msc”,單擊“確定”按鈕后,打開打開Windows服務器系統的“計算機管理”界面;
在該界面的左側列表區域中,用鼠標逐一展開“系統工具”、“共享文件夾”、“共享”文件夾,在對應“共享”文件夾右邊的子窗口中,你將會發現服務器系統中所有已被共享的文件文件夾都被自動顯示出來了,其中共享名稱后面帶有“$”符號的共享文件夾,就是服務器自動生成的默認共享文件夾;
要取消這些共享文件夾的共享狀態,你只要先用鼠標逐一選中它們,然后再用右鍵單擊之,在其后打開的快捷菜單中,選中“停止共享”選項,隨后屏幕上將打開一個如圖2所示的對話框,要求你確認一下是否真的想停止已經選擇的共享,此時你再單擊一下“是”按鈕,所有選中的默認共享文件夾的共享標志就會自動消失了,這表明它們的共享狀態已經被“強行”停止了,以后哪怕是重新啟動服務器系統,服務器的C盤、D盤也不會被自動設置成默認共享了。
逐一刪除法
所謂“逐一刪除法”,其實就是借助Windows服務器內置的“net share”命令,來將已經處于共享狀態的默認共享文件夾,一個一個地刪除掉(當然這里的刪除,僅僅表示刪除默認共享文件夾的共享狀態,而不是刪除默認文件夾中的內容),但該方法有一個致命的缺陷,就是無法實現“一勞永逸”的刪除效果,只要服務器系統重新啟動一下,默認共享文件夾又會自動生成了。在使用該方法刪除默認共享文件夾的共享狀態時,可以參考如下的操作步驟:
首先在系統的開始菜單中,執行“運行”命令,打開系統運行設置框,在該對話框中輸入字符串命令“cmd”后,再單擊“確定”按鈕,這樣Windows服務器系統就會自動切換到DOS命令行工作狀態;
然后在DOS命令行中,輸入字符串命令“net share c$ /del”,單擊回車鍵后,服務器中C盤分區的共享狀態就被自動刪除了;如果服務器中還存在D盤分區、E盤分區的話,你可以按照相同的辦法,分別執行字符串命令“net share d$ /del”、“net share e$ /del”來刪除它們的共享狀態;
此外,對應IP$、Admin$之類的默認共享文件夾,你們也可以執行字符串命令“net share ipc$ /del”、“net share admin$ /del”,來將它們的隱藏共享狀態取消,這樣的話非法攻擊者就無法通過這些隱藏共享“通道”,來隨意攻擊Windows服務器了。
“自動”刪除法
如果服務器中包含的隱藏共享文件夾比較多的話,依次通過“net share”命令來逐一刪除它們時,將顯得非常麻煩。其實,我們可以自行創建一個批處理文件,來讓服務器一次性刪除所有默認共享文件夾的共享狀態。在創建批處理文件時,只要打開類似記事本之類的文本編輯工具,并在編輯窗口中輸入下面的源代碼命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代碼輸入操作后,再依次單擊文本編輯窗口中的“文件”/“保存”菜單命令,在彈出的文件保存對話框中輸入文件名為“delshare.bat”,并設置好具體的保存路徑,再單擊一下“保存”按鈕,就能完成自動刪除默認共享文件夾的批處理文件創建工作了。以后需要刪除這些默認共享文件夾的共享狀態時,只要雙擊“delshare.bat”批處理文件,服務器系統中的所有默認共享“通道”就能被自動切斷
如果你不想讓服務器輕易遭受到非法攻擊的話,就必須及時切斷服務器的默認共享“通道”。下面,本文就為大家推薦以下幾則妙招,以便讓你輕松禁止掉服務器的默認共享。
功能配置法
這種方法是通過Windows XP或Windows 2003系統中的msconfig命令,來實現切斷服務器默認共享“通道”目的的。使用該方法時,可以按照如下步驟來進行:
依次單擊“開始”/“運行”命令,在隨后出現的系統運行設置框中,輸入字符串命令“msconfig”,單擊“確定”按鈕后,打開一個標題為系統配置實用程序的設置窗口;
單擊該窗口中的“服務”選項卡,在其后打開的選項設置頁面中,找到其中的“Server”項目,并檢查該項目前面是否有勾號存在,要是有的話必須將其取消掉,最后單擊一下“確定”按鈕,以后重新啟動服務器系統時,服務器的C盤、D盤等就不會被自動設置成默認共享了。
小提示:盡管Windows 2000服務器系統沒有系統配置實用程序功能,但考慮到該系統的內核與Windows 2003系統內核比較接近,因此你可以將Windows 2003系統中的msconfig.exe文件和msconfig.chm文件直接復制到Windows 2000系統目錄中,以后你也可以在該系統的運行對話框中,直接啟動系統配置實用程序功能了。如果在啟動該功能的過程中,遇到有錯誤提示窗口彈出時,你可以不必理會,不停單擊“取消”按鈕就可以看到系統配置實用程序設置窗口了。
“強行”停止法
所謂“強行”停止法,其實就是借助Windows服務器的計算機管理功能,來對已經存在的默認共享文件夾,“強制”停止共享命令,以便讓其共享狀態取消,同時確保這些文件夾下次不能被自動設置成共享。在“強行”停止默認共享文件夾的共享狀態時,你可以按照下面的步驟來進行:
依次單擊“開始”/“運行”命令,在打開的系統運行設置框中,輸入字符串命令“compmgmt.msc”,單擊“確定”按鈕后,打開打開Windows服務器系統的“計算機管理”界面;
在該界面的左側列表區域中,用鼠標逐一展開“系統工具”、“共享文件夾”、“共享”文件夾,在對應“共享”文件夾右邊的子窗口中,你將會發現服務器系統中所有已被共享的文件文件夾都被自動顯示出來了,其中共享名稱后面帶有“$”符號的共享文件夾,就是服務器自動生成的默認共享文件夾;
要取消這些共享文件夾的共享狀態,你只要先用鼠標逐一選中它們,然后再用右鍵單擊之,在其后打開的快捷菜單中,選中“停止共享”選項,隨后屏幕上將打開一個如圖2所示的對話框,要求你確認一下是否真的想停止已經選擇的共享,此時你再單擊一下“是”按鈕,所有選中的默認共享文件夾的共享標志就會自動消失了,這表明它們的共享狀態已經被“強行”停止了,以后哪怕是重新啟動服務器系統,服務器的C盤、D盤也不會被自動設置成默認共享了。
逐一刪除法
所謂“逐一刪除法”,其實就是借助Windows服務器內置的“net share”命令,來將已經處于共享狀態的默認共享文件夾,一個一個地刪除掉(當然這里的刪除,僅僅表示刪除默認共享文件夾的共享狀態,而不是刪除默認文件夾中的內容),但該方法有一個致命的缺陷,就是無法實現“一勞永逸”的刪除效果,只要服務器系統重新啟動一下,默認共享文件夾又會自動生成了。在使用該方法刪除默認共享文件夾的共享狀態時,可以參考如下的操作步驟:
首先在系統的開始菜單中,執行“運行”命令,打開系統運行設置框,在該對話框中輸入字符串命令“cmd”后,再單擊“確定”按鈕,這樣Windows服務器系統就會自動切換到DOS命令行工作狀態;
然后在DOS命令行中,輸入字符串命令“net share c$ /del”,單擊回車鍵后,服務器中C盤分區的共享狀態就被自動刪除了;如果服務器中還存在D盤分區、E盤分區的話,你可以按照相同的辦法,分別執行字符串命令“net share d$ /del”、“net share e$ /del”來刪除它們的共享狀態;
此外,對應IP$、Admin$之類的默認共享文件夾,你們也可以執行字符串命令“net share ipc$ /del”、“net share admin$ /del”,來將它們的隱藏共享狀態取消,這樣的話非法攻擊者就無法通過這些隱藏共享“通道”,來隨意攻擊Windows服務器了。
“自動”刪除法
如果服務器中包含的隱藏共享文件夾比較多的話,依次通過“net share”命令來逐一刪除它們時,將顯得非常麻煩。其實,我們可以自行創建一個批處理文件,來讓服務器一次性刪除所有默認共享文件夾的共享狀態。在創建批處理文件時,只要打開類似記事本之類的文本編輯工具,并在編輯窗口中輸入下面的源代碼命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代碼輸入操作后,再依次單擊文本編輯窗口中的“文件”/“保存”菜單命令,在彈出的文件保存對話框中輸入文件名為“delshare.bat”,并設置好具體的保存路徑,再單擊一下“保存”按鈕,就能完成自動刪除默認共享文件夾的批處理文件創建工作了。以后需要刪除這些默認共享文件夾的共享狀態時,只要雙擊“delshare.bat”批處理文件,服務器系統中的所有默認共享“通道”就能被自動切斷
家庭用戶如何使用防火墻軟件
[ 2007-03-25 02:41:32 | 作者: sun ]
由于黑客泛濫,所以為了防止惡意攻擊,防火墻軟件應運而生。但是我們應該能夠正確使用防火墻軟件,讓它真正為我們服務。
防火墻都定義了安全級別,為了給不同需要的用戶不同的安全控制,但是很多用戶并不是特別懂這些,為了安全,就盲目的把安全級別調整到“高安全級”,認為安全級別越高越好。其實不是這樣。如果你的電腦太安全了,你會發現網絡游戲就無法啟動了,而且視頻程序也就無法訪問到網上的視頻文件了(這對于ADSL用戶是一個極大損失)。那么到底各種安全級別是什么意思呢?
低安全級:計算機將開放所有服務,但禁止互聯網上的機器訪問文件、打印機共享服務。適用于在局域網中的提供服務的用戶。這是自由度最大的安全級別,所以僅限于“網絡高手”使用。
中安全級:禁止訪問系統級別的服務( 如HTTP , FTP等)。局域網內部的機器只允許訪問文件、打印機共享服務。 使用動態規則管理,允許授權運行的程序開放的端口服務,比如網絡游戲或者視頻語音電話軟件提供的服務。而且能夠保證例如收發郵件和傳輸文件的一般用戶,所以一般這個安全級別是缺省值。
高安全級:系統會屏蔽掉向外部開放的所有端口;禁止訪問本機提供所有服務,對常見的木馬程序和攻擊進行攔截;提供嚴格控制的網絡訪問能力;適用于僅僅是上網瀏覽網頁的用戶。當然網絡游戲你就玩不了了。
另外,所有的安全級都會控制應用程序訪問網絡的權限。
防火墻都定義了安全級別,為了給不同需要的用戶不同的安全控制,但是很多用戶并不是特別懂這些,為了安全,就盲目的把安全級別調整到“高安全級”,認為安全級別越高越好。其實不是這樣。如果你的電腦太安全了,你會發現網絡游戲就無法啟動了,而且視頻程序也就無法訪問到網上的視頻文件了(這對于ADSL用戶是一個極大損失)。那么到底各種安全級別是什么意思呢?
低安全級:計算機將開放所有服務,但禁止互聯網上的機器訪問文件、打印機共享服務。適用于在局域網中的提供服務的用戶。這是自由度最大的安全級別,所以僅限于“網絡高手”使用。
中安全級:禁止訪問系統級別的服務( 如HTTP , FTP等)。局域網內部的機器只允許訪問文件、打印機共享服務。 使用動態規則管理,允許授權運行的程序開放的端口服務,比如網絡游戲或者視頻語音電話軟件提供的服務。而且能夠保證例如收發郵件和傳輸文件的一般用戶,所以一般這個安全級別是缺省值。
高安全級:系統會屏蔽掉向外部開放的所有端口;禁止訪問本機提供所有服務,對常見的木馬程序和攻擊進行攔截;提供嚴格控制的網絡訪問能力;適用于僅僅是上網瀏覽網頁的用戶。當然網絡游戲你就玩不了了。
另外,所有的安全級都會控制應用程序訪問網絡的權限。
