打造安全的.mdb數據庫
[ 2007-03-25 04:06:14 | 作者: sun ]
什么是mdb數據庫呢?凡是有點制作網站經驗的網絡管理員都知道,目前使用“IIS+ASP+ACCESS”這套組合方式建立網站是最流行的,大多數中小型Internet網站都使用該“套餐”,但隨之而來的安全問題也日益顯著。其中最容易被攻擊者利用的莫過于mdb數據庫被非法下載了。
mdb數據庫是沒有安全防范的,只要入侵者猜測或者掃描到mdb數據庫的路徑后就可以使用下載工具輕松將其下載到本地硬盤,再結合暴力破解工具或一些超級破解工具可以輕松的查看里頭的數據庫文件內容,企業的隱私和員工的密碼從此不在安全。難道我們就沒有辦法加強mdb數據庫的安全嗎?難道即便我們只有一點點數據資料也要麻煩sql server或者oracle嗎?答案是否定的,本篇文章筆者將告訴大家打造安全的mdb數據庫文件的獨門秘訣。
一、危機起因:
一般情況下基于ASP構建的網站程序和論壇的數據庫的擴展名默認為mdb,這是很危險的。只要猜測出了數據庫文件的位置,然后在瀏覽器的地址欄里面輸入它的URL,就可以輕易地下載文件。就算我們對數據庫加上了密碼并且里面管理員的密碼也被MD5加密,被下載到本地以后也很容易被破解。畢竟目前MD5已經可以通過暴力來破解了。因此只要數據庫被下載了,那數據庫就沒有絲毫安全性可言了。
二、常用的補救方法:
目前常用的數據庫文件防止被非法下載的方法有以下幾種。
(1)把數據庫的名字進行修改,并且放到很深的目錄下面。比如把數據庫名修改為Sj6gf5.mdb,放到多級目錄中,這樣攻擊者想簡單地猜測數據庫的位置就很困難了。當然這樣做的弊端就是如果ASP代碼文件泄漏,那無論隱藏多深都沒有用了。
(2)把數據庫的擴展名修改為ASP或者ASA等不影響數據查詢的名字。但是有時候修改為ASP或者ASA以后仍然可以被下載,比如我們將其修改為ASP以后,直接在IE的地址欄里輸入網絡地址,雖然沒有提示下載但是卻在瀏覽器里出現了一大片亂碼。如果使用FlashGet或影音傳送帶等專業的下載工具就可以直接把數據庫文件下載下來。不過這種方法有一定的盲目性,畢竟入侵者不能確保該文件就一定是MDB數據庫文件修改擴展名的文件,但是對于那些有充足精力和時間的入侵者來說,可以將所有文件下載并全部修改擴展名來猜測。該方法的防范級別將大大降低。
三、筆者的旁門左道:
在筆者的測試過程中就遇到了ASP和ASA文件也會被下載的問題,所以經過研究發現了以下的方法。
如果在給數據庫的文件命名的時候,將數據庫文件命名為“#admin.asa”則可以完全避免用IE下載,但是如果破壞者猜測到了數據庫的路徑,用FlashGet還是可以成功地下載下來,然后把下載后的文件改名為“admin.mdb”,則網站秘密就將暴露。所以我們需要找到一種FlashGet無法下載的方法,但是如何才能讓他無法下載呢?大概是因為以前受到unicode漏洞攻擊的緣故,網站在處理包含unicode碼的鏈接的時候將會不予處理。所以我們可以利用unicode編碼(比如可以利用“%3C ”代替“<”等),來達到我們的目的。而FlashGet在處理包含unicode碼的鏈接的時候卻“自作聰明”地把unicode編碼做了對應的處理,比如自動把“%29”這一段unicode編碼形式的字符轉化成了“(”,所以你向FlashGet提交一個 http://127.0.0.1/xweb/data/%29xadminsxx.mdb的下載鏈接,它卻解釋成了http://127.0.0.1/xweb/data/(xadminsxx.mdb,看看我們上面的網址的地方和下面的重命名的地方是不同的,FlashGet把“%29xadminsxx.mdb”解釋為了“(xadminsxx.mdb”,當我們單擊“確定”按鈕進行下載的時候,它就去尋找一個名為“(xadminsxx.mdb”的文件。也就是說FlashGet給我們引入了歧途,它當然找不到,所以提示失敗了。
不過如果提示下載失敗,攻擊者肯定要想采取其他的攻擊方法。由此我們可以采用另一個防范的方法,既然FlashGet去找那個名為“(xadminsxx.mdb”的文件了,我們可以給它準備一個,我們給它做一個仿真的數據庫名為“(xadminsxx.mdb”,這樣當入侵者想下載文件的時候的的確確下載了一個數據庫回去,只不過這個數據庫文件是虛假的或者是空的,在他們暗自竊喜的時候,實際上最終的勝利是屬于我們的。
總結:
通過本次旁門左道保護MDB數據庫文件方法的介紹,我們可以明確兩點安全措施,一是迷惑法,也就是將黑客想得到的東西進行改變,例如改變MDB文件的文件名或者擴展名;二是替代法,也就是將黑客想得到的東西隱藏,用一個沒有實際意義的東西替代,這樣即使黑客成功入侵,拿到的也是一個虛假的信息,他們還會以為入侵成功而停止接下來的攻擊。
mdb數據庫是沒有安全防范的,只要入侵者猜測或者掃描到mdb數據庫的路徑后就可以使用下載工具輕松將其下載到本地硬盤,再結合暴力破解工具或一些超級破解工具可以輕松的查看里頭的數據庫文件內容,企業的隱私和員工的密碼從此不在安全。難道我們就沒有辦法加強mdb數據庫的安全嗎?難道即便我們只有一點點數據資料也要麻煩sql server或者oracle嗎?答案是否定的,本篇文章筆者將告訴大家打造安全的mdb數據庫文件的獨門秘訣。
一、危機起因:
一般情況下基于ASP構建的網站程序和論壇的數據庫的擴展名默認為mdb,這是很危險的。只要猜測出了數據庫文件的位置,然后在瀏覽器的地址欄里面輸入它的URL,就可以輕易地下載文件。就算我們對數據庫加上了密碼并且里面管理員的密碼也被MD5加密,被下載到本地以后也很容易被破解。畢竟目前MD5已經可以通過暴力來破解了。因此只要數據庫被下載了,那數據庫就沒有絲毫安全性可言了。
二、常用的補救方法:
目前常用的數據庫文件防止被非法下載的方法有以下幾種。
(1)把數據庫的名字進行修改,并且放到很深的目錄下面。比如把數據庫名修改為Sj6gf5.mdb,放到多級目錄中,這樣攻擊者想簡單地猜測數據庫的位置就很困難了。當然這樣做的弊端就是如果ASP代碼文件泄漏,那無論隱藏多深都沒有用了。
(2)把數據庫的擴展名修改為ASP或者ASA等不影響數據查詢的名字。但是有時候修改為ASP或者ASA以后仍然可以被下載,比如我們將其修改為ASP以后,直接在IE的地址欄里輸入網絡地址,雖然沒有提示下載但是卻在瀏覽器里出現了一大片亂碼。如果使用FlashGet或影音傳送帶等專業的下載工具就可以直接把數據庫文件下載下來。不過這種方法有一定的盲目性,畢竟入侵者不能確保該文件就一定是MDB數據庫文件修改擴展名的文件,但是對于那些有充足精力和時間的入侵者來說,可以將所有文件下載并全部修改擴展名來猜測。該方法的防范級別將大大降低。
三、筆者的旁門左道:
在筆者的測試過程中就遇到了ASP和ASA文件也會被下載的問題,所以經過研究發現了以下的方法。
如果在給數據庫的文件命名的時候,將數據庫文件命名為“#admin.asa”則可以完全避免用IE下載,但是如果破壞者猜測到了數據庫的路徑,用FlashGet還是可以成功地下載下來,然后把下載后的文件改名為“admin.mdb”,則網站秘密就將暴露。所以我們需要找到一種FlashGet無法下載的方法,但是如何才能讓他無法下載呢?大概是因為以前受到unicode漏洞攻擊的緣故,網站在處理包含unicode碼的鏈接的時候將會不予處理。所以我們可以利用unicode編碼(比如可以利用“%3C ”代替“<”等),來達到我們的目的。而FlashGet在處理包含unicode碼的鏈接的時候卻“自作聰明”地把unicode編碼做了對應的處理,比如自動把“%29”這一段unicode編碼形式的字符轉化成了“(”,所以你向FlashGet提交一個 http://127.0.0.1/xweb/data/%29xadminsxx.mdb的下載鏈接,它卻解釋成了http://127.0.0.1/xweb/data/(xadminsxx.mdb,看看我們上面的網址的地方和下面的重命名的地方是不同的,FlashGet把“%29xadminsxx.mdb”解釋為了“(xadminsxx.mdb”,當我們單擊“確定”按鈕進行下載的時候,它就去尋找一個名為“(xadminsxx.mdb”的文件。也就是說FlashGet給我們引入了歧途,它當然找不到,所以提示失敗了。
不過如果提示下載失敗,攻擊者肯定要想采取其他的攻擊方法。由此我們可以采用另一個防范的方法,既然FlashGet去找那個名為“(xadminsxx.mdb”的文件了,我們可以給它準備一個,我們給它做一個仿真的數據庫名為“(xadminsxx.mdb”,這樣當入侵者想下載文件的時候的的確確下載了一個數據庫回去,只不過這個數據庫文件是虛假的或者是空的,在他們暗自竊喜的時候,實際上最終的勝利是屬于我們的。
總結:
通過本次旁門左道保護MDB數據庫文件方法的介紹,我們可以明確兩點安全措施,一是迷惑法,也就是將黑客想得到的東西進行改變,例如改變MDB文件的文件名或者擴展名;二是替代法,也就是將黑客想得到的東西隱藏,用一個沒有實際意義的東西替代,這樣即使黑客成功入侵,拿到的也是一個虛假的信息,他們還會以為入侵成功而停止接下來的攻擊。
Windows服務器:切斷默認共享通道七招
[ 2007-03-25 04:05:59 | 作者: sun ]
在Windows服務器系統中,每當服務器啟動成功時,系統的C盤、D盤等都會被自動設置成隱藏共享,盡管通過這些默認共享可以讓服務器管理維護起來更方便一些;但在享受方便的同時,這些默認共享常常會被一些非法攻擊者利用,從而容易給服務器造成安全威脅。如果你不想讓服務器輕易遭受到非法攻擊的話,就必須及時切斷服務器的默認共享“通道”。下面,本文就為大家推薦以下幾則妙招,以便讓你輕松禁止掉服務器的默認共享。
功能配置法
這種方法是通過Windows XP或Windows 2003系統中的msconfig命令,來實現切斷服務器默認共享“通道”目的的。使用該方法時,可以按照如下步驟來進行:
依次單擊“開始”/“運行”命令,在隨后出現的系統運行設置框中,輸入字符串命令“msconfig”,單擊“確定”按鈕后,打開一個標題為系統配置實用程序的設置窗口;
單擊該窗口中的“服務”選項卡,在其后打開的如圖1所示的選項設置頁面中,找到其中的“Server”項目,并檢查該項目前面是否有勾號存在,要是有的話必須將其取消掉,最后單擊一下“確定”按鈕,以后重新啟動服務器系統時,服務器的C盤、D盤等就不會被自動設置成默認共享了。
小提示:盡管Windows 2000服務器系統沒有系統配置實用程序功能,但考慮到該系統的內核與Windows 2003系統內核比較接近,因此你可以將Windows 2003系統中的msconfig.exe文件和msconfig.chm文件直接復制到Windows 2000系統目錄中,以后你也可以在該系統的運行對話框中,直接啟動系統配置實用程序功能了。如果在啟動該功能的過程中,遇到有錯誤提示窗口彈出時,你可以不必理會,不停單擊“取消”按鈕就可以看到系統配置實用程序設置窗口了。
“強行”停止法
所謂“強行”停止法,其實就是借助Windows服務器的計算機管理功能,來對已經存在的默認共享文件夾,“強制”停止共享命令,以便讓其共享狀態取消,同時確保這些文件夾下次不能被自動設置成共享。在“強行”停止默認共享文件夾的共享狀態時,你可以按照下面的步驟來進行:
依次單擊“開始”/“運行”命令,在打開的系統運行設置框中,輸入字符串命令“compmgmt.msc”,單擊“確定”按鈕后,打開打開Windows服務器系統的“計算機管理”界面;
在該界面的左側列表區域中,用鼠標逐一展開“系統工具”、“共享文件夾”、“共享”文件夾,在對應“共享”文件夾右邊的子窗口中,你將會發現服務器系統中所有已被共享的文件文件夾都被自動顯示出來了,其中共享名稱后面帶有“$”符號的共享文件夾,就是服務器自動生成的默認共享文件夾;
要取消這些共享文件夾的共享狀態,你只要先用鼠標逐一選中它們,然后再用右鍵單擊之,在其后打開的快捷菜單中,選中“停止共享”選項,隨后屏幕上將打開一個如圖2所示的對話框,要求你確認一下是否真的想停止已經選擇的共享,此時你再單擊一下“是”按鈕,所有選中的默認共享文件夾的共享標志就會自動消失了,這表明它們的共享狀態已經被“強行”停止了,以后哪怕是重新啟動服務器系統,服務器的C盤、D盤也不會被自動設置成默認共享了。
逐一刪除法
所謂“逐一刪除法”,其實就是借助Windows服務器內置的“net share”命令,來將已經處于共享狀態的默認共享文件夾,一個一個地刪除掉(當然這里的刪除,僅僅表示刪除默認共享文件夾的共享狀態,而不是刪除默認文件夾中的內容),但該方法有一個致命的缺陷,就是無法實現“一勞永逸”的刪除效果,只要服務器系統重新啟動一下,默認共享文件夾又會自動生成了。在使用該方法刪除默認共享文件夾的共享狀態時,可以參考如下的操作步驟:
首先在系統的開始菜單中,執行“運行”命令,打開系統運行設置框,在該對話框中輸入字符串命令“cmd”后,再單擊“確定”按鈕,這樣Windows服務器系統就會自動切換到DOS命令行工作狀態;
然后在DOS命令行中,輸入字符串命令“net share c$ /del”,單擊回車鍵后,服務器中C盤分區的共享狀態就被自動刪除了;如果服務器中還存在D盤分區、E盤分區的話,你可以按照相同的辦法,分別執行字符串命令“net share d$ /del”、“net share e$ /del”來刪除它們的共享狀態;
此外,對應IP$、Admin$之類的默認共享文件夾,你們也可以執行字符串命令“net share ipc$ /del”、“net share admin$ /del”,來將它們的隱藏共享狀態取消,這樣的話非法攻擊者就無法通過這些隱藏共享“通道”,來隨意攻擊Windows服務器了。
“自動”刪除法
如果服務器中包含的隱藏共享文件夾比較多的話,依次通過“net share”命令來逐一刪除它們時,將顯得非常麻煩。其實,我們可以自行創建一個批處理文件,來讓服務器一次性刪除所有默認共享文件夾的共享狀態。在創建批處理文件時,只要打開類似記事本之類的文本編輯工具,并在編輯窗口中輸入下面的源代碼命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代碼輸入操作后,再依次單擊文本編輯窗口中的“文件”/“保存”菜單命令,在彈出的文件保存對話框中輸入文件名為“delshare.bat”,并設置好具體的保存路徑,再單擊一下“保存”按鈕,就能完成自動刪除默認共享文件夾的批處理文件創建工作了。以后需要刪除這些默認共享文件夾的共享狀態時,只要雙擊“delshare.bat”批處理文件,服務器系統中的所有默認共享“通道”就能被自動切斷了。
功能配置法
這種方法是通過Windows XP或Windows 2003系統中的msconfig命令,來實現切斷服務器默認共享“通道”目的的。使用該方法時,可以按照如下步驟來進行:
依次單擊“開始”/“運行”命令,在隨后出現的系統運行設置框中,輸入字符串命令“msconfig”,單擊“確定”按鈕后,打開一個標題為系統配置實用程序的設置窗口;
單擊該窗口中的“服務”選項卡,在其后打開的如圖1所示的選項設置頁面中,找到其中的“Server”項目,并檢查該項目前面是否有勾號存在,要是有的話必須將其取消掉,最后單擊一下“確定”按鈕,以后重新啟動服務器系統時,服務器的C盤、D盤等就不會被自動設置成默認共享了。
小提示:盡管Windows 2000服務器系統沒有系統配置實用程序功能,但考慮到該系統的內核與Windows 2003系統內核比較接近,因此你可以將Windows 2003系統中的msconfig.exe文件和msconfig.chm文件直接復制到Windows 2000系統目錄中,以后你也可以在該系統的運行對話框中,直接啟動系統配置實用程序功能了。如果在啟動該功能的過程中,遇到有錯誤提示窗口彈出時,你可以不必理會,不停單擊“取消”按鈕就可以看到系統配置實用程序設置窗口了。
“強行”停止法
所謂“強行”停止法,其實就是借助Windows服務器的計算機管理功能,來對已經存在的默認共享文件夾,“強制”停止共享命令,以便讓其共享狀態取消,同時確保這些文件夾下次不能被自動設置成共享。在“強行”停止默認共享文件夾的共享狀態時,你可以按照下面的步驟來進行:
依次單擊“開始”/“運行”命令,在打開的系統運行設置框中,輸入字符串命令“compmgmt.msc”,單擊“確定”按鈕后,打開打開Windows服務器系統的“計算機管理”界面;
在該界面的左側列表區域中,用鼠標逐一展開“系統工具”、“共享文件夾”、“共享”文件夾,在對應“共享”文件夾右邊的子窗口中,你將會發現服務器系統中所有已被共享的文件文件夾都被自動顯示出來了,其中共享名稱后面帶有“$”符號的共享文件夾,就是服務器自動生成的默認共享文件夾;
要取消這些共享文件夾的共享狀態,你只要先用鼠標逐一選中它們,然后再用右鍵單擊之,在其后打開的快捷菜單中,選中“停止共享”選項,隨后屏幕上將打開一個如圖2所示的對話框,要求你確認一下是否真的想停止已經選擇的共享,此時你再單擊一下“是”按鈕,所有選中的默認共享文件夾的共享標志就會自動消失了,這表明它們的共享狀態已經被“強行”停止了,以后哪怕是重新啟動服務器系統,服務器的C盤、D盤也不會被自動設置成默認共享了。
逐一刪除法
所謂“逐一刪除法”,其實就是借助Windows服務器內置的“net share”命令,來將已經處于共享狀態的默認共享文件夾,一個一個地刪除掉(當然這里的刪除,僅僅表示刪除默認共享文件夾的共享狀態,而不是刪除默認文件夾中的內容),但該方法有一個致命的缺陷,就是無法實現“一勞永逸”的刪除效果,只要服務器系統重新啟動一下,默認共享文件夾又會自動生成了。在使用該方法刪除默認共享文件夾的共享狀態時,可以參考如下的操作步驟:
首先在系統的開始菜單中,執行“運行”命令,打開系統運行設置框,在該對話框中輸入字符串命令“cmd”后,再單擊“確定”按鈕,這樣Windows服務器系統就會自動切換到DOS命令行工作狀態;
然后在DOS命令行中,輸入字符串命令“net share c$ /del”,單擊回車鍵后,服務器中C盤分區的共享狀態就被自動刪除了;如果服務器中還存在D盤分區、E盤分區的話,你可以按照相同的辦法,分別執行字符串命令“net share d$ /del”、“net share e$ /del”來刪除它們的共享狀態;
此外,對應IP$、Admin$之類的默認共享文件夾,你們也可以執行字符串命令“net share ipc$ /del”、“net share admin$ /del”,來將它們的隱藏共享狀態取消,這樣的話非法攻擊者就無法通過這些隱藏共享“通道”,來隨意攻擊Windows服務器了。
“自動”刪除法
如果服務器中包含的隱藏共享文件夾比較多的話,依次通過“net share”命令來逐一刪除它們時,將顯得非常麻煩。其實,我們可以自行創建一個批處理文件,來讓服務器一次性刪除所有默認共享文件夾的共享狀態。在創建批處理文件時,只要打開類似記事本之類的文本編輯工具,并在編輯窗口中輸入下面的源代碼命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代碼輸入操作后,再依次單擊文本編輯窗口中的“文件”/“保存”菜單命令,在彈出的文件保存對話框中輸入文件名為“delshare.bat”,并設置好具體的保存路徑,再單擊一下“保存”按鈕,就能完成自動刪除默認共享文件夾的批處理文件創建工作了。以后需要刪除這些默認共享文件夾的共享狀態時,只要雙擊“delshare.bat”批處理文件,服務器系統中的所有默認共享“通道”就能被自動切斷了。
重裝系統后要做十件大事
[ 2007-03-25 04:05:45 | 作者: sun ]
Windows系統是越用越慢,這是不爭的事實。因此,使用Windows就免不了要重新安裝系統。當然,重新安裝系統并不難,但是安裝完系統后你知道我們有多少事情必須要做嗎?這可容不得絲毫的松懈,一旦馬虎,將可能會導致前功盡棄,甚至有可能會造成數據丟失、信息泄密!
第1件大事:不要急著接入網絡
在安裝完成Windows后,不要立即把服務器接入網絡,因為這時的服務器還沒有打上各種補丁,存在各種漏洞,非常容易感染病毒和被入侵。 此時要加上沖擊波和震撼波補丁后并重新啟動再聯入互聯網。
第2件大事:給系統打補丁/安裝殺毒軟件
不用多說,沖擊波和震蕩波病毒的補丁是一定要打上的,如果你安裝了Windows XP SP2則不用再另行安裝。
Windows XP沖擊波(Blaster)病毒補丁
震蕩波(Sasser)病毒補丁安裝完系統后,一定要安裝反病毒軟件,同時將其更新到最新版本。
第3件大事:關閉系統還原
系統還原是Windows ME和Windows XP、Windows 2003中具有的功能,它允許我們將系統恢復到某一時間狀態,從而可以避免我們重新安裝操作系統。不過,有的人在執行系統還原后,發現除C盤外,其它的D盤、E盤都恢復到先前的狀態了,結果里面保存的文件都沒有了,造成了嚴重的損失!
這是由于系統還原默認是針對硬盤上所有分區而言的,這樣一旦進行了系統還原操作,那么所有分區的數據都會恢復。因此,我們必須按下Win+Break鍵,然后單擊“系統還原”標簽,取消“在所有驅動器上關閉系統還原”選項,然后選中D盤,單擊“設置”按鈕,在打開的窗口中選中“關閉這個驅動器上的系統還原”選項。
依次將其他的盤上的系統還原關閉即可。這樣,一旦系統不穩定,可以利用系統還原工具還原C盤上的系統,但同時其他盤上的文件都不會有事。
第4件大事:給Administrator打上密碼
可能有的人使用的是網上下載的萬能Ghost版來安裝的系統,也可能是使用的是Windows XP無人值守安裝光盤安裝的系統,利用這些方法安裝時極有可能沒有讓你指定Administrator密碼,或者Administrator的密碼是默認的123456或干脆為空。這樣的密碼是相當危險的,因此,在安裝完系統后,請右擊“我的電腦”,選擇“管理”,再選擇左側的“計算機管理(本地)→系統工具→本地用戶和組→用戶”,選中右側窗口中的Administrator,右擊,選擇“設置密碼”。
在打開窗口中單擊“繼續”按鈕,即可在打開窗口中為Administrator設置密碼。
另外,選擇“新用戶”,設置好用戶名和密碼,再雙擊新建用戶,單擊“隸屬于”標簽,將其中所有組(如果有)都選中,單擊下方的“刪除”按鈕。再單擊“添加”按鈕,然后再在打開窗口中單擊“高級”按鈕,接著單擊“立即查找”按鈕,找到PowerUser或User組,單擊“確定”兩次,將此用戶添加PowerUser或User組。注銷當前用戶,再以新用戶登錄可以發現系統快很多。
第5件大事:關閉默認共享
Windows安裝后,會創建一些隱藏共享,主要用于管理員遠程登錄時管理系統時使用,但對于個人用戶來說,這個很少用到,也不是很安全。所以,我們有必要要切斷這個共享:先在d:下新建一個disshare.bat文件,在其中寫上如下語句:
@echo off
net share C$/del
net share d$/del
netshare ipc$/del
net share admin$ /del
接下來,將d:disshare.bat拷貝到C:WINDOWSSystem32GroupPolicyUserScriptsLogon文件夾下。然后按下Win+R,輸入gpedit.msc,在打開窗口中依次展開“用戶配置→Windows設置→腳本(登錄/注銷)”文件夾,在右側窗格中雙擊“登錄”項,在彈出的窗口中,單擊“添加”命令,選中C:WINDOWSSystem32GroupPolicyUserScriptsLogon文件夾下的disshare.bat文件。
完成上述設置后,重新啟動系統,就能自動切斷Windows XP的默認共享通道了,如果你有更多硬盤,請在net share d$/del下自行添加,如net share e$/del、net share f$/del等。
第6件大事:啟用DMA傳輸模式
啟用DMA模式之后,計算機周邊設備(主要指硬盤)即可直接與內存交換數據,這樣能加快硬盤讀寫速度,提高數據傳輸速率:打開“設備管理器”,其中“IDE ATA/ATAPI 控制器”下有“主要 IDE 通道”和“次要 IDE 通道”,雙擊之,單擊“高級設置”,該對話框會列出目前IDE接口所連接設備的傳輸模式,單擊列表按鈕將“傳輸模式”設置為“DMA(若可用)”。重新啟動計算機即可生效。
第7件大事:啟用高級電源管理
有時候安裝Windows XP之前會發現沒有打開BIOS電源中的高級電源控制,安裝Windows XP后,關閉Windows時,電源不會自動斷開。這時,很多人選擇了重新打開BIOS中的高級電源控制,并重新安裝Windows XP。事實上,用不著這么麻煩,只要大家確認已經在BIOS中打開高級電源控制選項,再從http://www.yaguo.com/~mig25/acpi.exe下載并安裝這個程序,同時選擇ACPI Pc,一定不要選錯,否則重啟后可能無法進入Windows),并重新啟動電腦,電腦可能會重新搜索并自動重新安裝電腦的硬件,之后就可以使其支持高級電源控制了。
第8件大事:取消壓縮文件夾支持
單擊開始→運行,輸入“regsvr32 /u zipfldr.dll”回車,出現提示窗口“zipfldr.dll中的Dll UnrgisterServer成功”即可取消Windows XP的壓縮文件夾支持。另外,輸入regsvr32 shdocvw.dll可以取消“圖片和傳真”與圖片文件的關聯。
第9件大事:取消“磁盤空間不足”通知
當磁盤驅動器的容量少于200MB時Windows XP便會發出“磁盤空間不足”的通知,非常煩人。可以打開“注冊表編輯器”,定位到HKEY_CURRENT_USERSoftwareMi crosoftWindowsCurrentVersionPolicies Explorer,在“Explorer”上單擊右鍵,選擇右鍵菜單上的“新建”→“DWORD 值”,將這個值命名為“NoLowDiskSpaceChecks”,雙擊該值將其中的“數值數據”設為“1”。
第10件大事:啟用驗證碼
安裝SP2后,大多數用戶發現在訪問某些需要填寫驗證碼的地方,都無法顯示驗證碼圖片(顯示為一個紅色小叉),這是一個非常嚴重的Bug。解決辦法為:運行“Regedit”命令打開注冊表編輯器,依次定位到“[HKEY_ LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer Security]”,在窗口右邊新建一個名為“BlockXBM”的REG_ DWORD值,將其值設置為“0”(十六進制值)。
第1件大事:不要急著接入網絡
在安裝完成Windows后,不要立即把服務器接入網絡,因為這時的服務器還沒有打上各種補丁,存在各種漏洞,非常容易感染病毒和被入侵。 此時要加上沖擊波和震撼波補丁后并重新啟動再聯入互聯網。
第2件大事:給系統打補丁/安裝殺毒軟件
不用多說,沖擊波和震蕩波病毒的補丁是一定要打上的,如果你安裝了Windows XP SP2則不用再另行安裝。
Windows XP沖擊波(Blaster)病毒補丁
震蕩波(Sasser)病毒補丁安裝完系統后,一定要安裝反病毒軟件,同時將其更新到最新版本。
第3件大事:關閉系統還原
系統還原是Windows ME和Windows XP、Windows 2003中具有的功能,它允許我們將系統恢復到某一時間狀態,從而可以避免我們重新安裝操作系統。不過,有的人在執行系統還原后,發現除C盤外,其它的D盤、E盤都恢復到先前的狀態了,結果里面保存的文件都沒有了,造成了嚴重的損失!
這是由于系統還原默認是針對硬盤上所有分區而言的,這樣一旦進行了系統還原操作,那么所有分區的數據都會恢復。因此,我們必須按下Win+Break鍵,然后單擊“系統還原”標簽,取消“在所有驅動器上關閉系統還原”選項,然后選中D盤,單擊“設置”按鈕,在打開的窗口中選中“關閉這個驅動器上的系統還原”選項。
依次將其他的盤上的系統還原關閉即可。這樣,一旦系統不穩定,可以利用系統還原工具還原C盤上的系統,但同時其他盤上的文件都不會有事。
第4件大事:給Administrator打上密碼
可能有的人使用的是網上下載的萬能Ghost版來安裝的系統,也可能是使用的是Windows XP無人值守安裝光盤安裝的系統,利用這些方法安裝時極有可能沒有讓你指定Administrator密碼,或者Administrator的密碼是默認的123456或干脆為空。這樣的密碼是相當危險的,因此,在安裝完系統后,請右擊“我的電腦”,選擇“管理”,再選擇左側的“計算機管理(本地)→系統工具→本地用戶和組→用戶”,選中右側窗口中的Administrator,右擊,選擇“設置密碼”。
在打開窗口中單擊“繼續”按鈕,即可在打開窗口中為Administrator設置密碼。
另外,選擇“新用戶”,設置好用戶名和密碼,再雙擊新建用戶,單擊“隸屬于”標簽,將其中所有組(如果有)都選中,單擊下方的“刪除”按鈕。再單擊“添加”按鈕,然后再在打開窗口中單擊“高級”按鈕,接著單擊“立即查找”按鈕,找到PowerUser或User組,單擊“確定”兩次,將此用戶添加PowerUser或User組。注銷當前用戶,再以新用戶登錄可以發現系統快很多。
第5件大事:關閉默認共享
Windows安裝后,會創建一些隱藏共享,主要用于管理員遠程登錄時管理系統時使用,但對于個人用戶來說,這個很少用到,也不是很安全。所以,我們有必要要切斷這個共享:先在d:下新建一個disshare.bat文件,在其中寫上如下語句:
@echo off
net share C$/del
net share d$/del
netshare ipc$/del
net share admin$ /del
接下來,將d:disshare.bat拷貝到C:WINDOWSSystem32GroupPolicyUserScriptsLogon文件夾下。然后按下Win+R,輸入gpedit.msc,在打開窗口中依次展開“用戶配置→Windows設置→腳本(登錄/注銷)”文件夾,在右側窗格中雙擊“登錄”項,在彈出的窗口中,單擊“添加”命令,選中C:WINDOWSSystem32GroupPolicyUserScriptsLogon文件夾下的disshare.bat文件。
完成上述設置后,重新啟動系統,就能自動切斷Windows XP的默認共享通道了,如果你有更多硬盤,請在net share d$/del下自行添加,如net share e$/del、net share f$/del等。
第6件大事:啟用DMA傳輸模式
啟用DMA模式之后,計算機周邊設備(主要指硬盤)即可直接與內存交換數據,這樣能加快硬盤讀寫速度,提高數據傳輸速率:打開“設備管理器”,其中“IDE ATA/ATAPI 控制器”下有“主要 IDE 通道”和“次要 IDE 通道”,雙擊之,單擊“高級設置”,該對話框會列出目前IDE接口所連接設備的傳輸模式,單擊列表按鈕將“傳輸模式”設置為“DMA(若可用)”。重新啟動計算機即可生效。
第7件大事:啟用高級電源管理
有時候安裝Windows XP之前會發現沒有打開BIOS電源中的高級電源控制,安裝Windows XP后,關閉Windows時,電源不會自動斷開。這時,很多人選擇了重新打開BIOS中的高級電源控制,并重新安裝Windows XP。事實上,用不著這么麻煩,只要大家確認已經在BIOS中打開高級電源控制選項,再從http://www.yaguo.com/~mig25/acpi.exe下載并安裝這個程序,同時選擇ACPI Pc,一定不要選錯,否則重啟后可能無法進入Windows),并重新啟動電腦,電腦可能會重新搜索并自動重新安裝電腦的硬件,之后就可以使其支持高級電源控制了。
第8件大事:取消壓縮文件夾支持
單擊開始→運行,輸入“regsvr32 /u zipfldr.dll”回車,出現提示窗口“zipfldr.dll中的Dll UnrgisterServer成功”即可取消Windows XP的壓縮文件夾支持。另外,輸入regsvr32 shdocvw.dll可以取消“圖片和傳真”與圖片文件的關聯。
第9件大事:取消“磁盤空間不足”通知
當磁盤驅動器的容量少于200MB時Windows XP便會發出“磁盤空間不足”的通知,非常煩人。可以打開“注冊表編輯器”,定位到HKEY_CURRENT_USERSoftwareMi crosoftWindowsCurrentVersionPolicies Explorer,在“Explorer”上單擊右鍵,選擇右鍵菜單上的“新建”→“DWORD 值”,將這個值命名為“NoLowDiskSpaceChecks”,雙擊該值將其中的“數值數據”設為“1”。
第10件大事:啟用驗證碼
安裝SP2后,大多數用戶發現在訪問某些需要填寫驗證碼的地方,都無法顯示驗證碼圖片(顯示為一個紅色小叉),這是一個非常嚴重的Bug。解決辦法為:運行“Regedit”命令打開注冊表編輯器,依次定位到“[HKEY_ LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer Security]”,在窗口右邊新建一個名為“BlockXBM”的REG_ DWORD值,將其值設置為“0”(十六進制值)。
保護好我的文件 赤手空拳給文件加密
[ 2007-03-25 04:05:34 | 作者: sun ]
通常電腦上都有一些隱私文件需要加密或隱藏,不論是使用加密工具還是EFS,一旦遇到密碼丟失,或者文件損壞,重要數據將很難挽回,后果不堪設想。如果能夠不使用其他輔助軟件而只通過設置一些技巧就能達到加密的目的,那該多好,下面介紹幾個簡單的加密方法:
路徑的分隔符號文件夾加密法
加密:大家都知道在WINDOWS中不論是一個“\”還是兩個“\ ”符號都代表是路徑的分隔符號,比如“C:\WINDOWS\System..exe”的意思就是C分區中的WINDOWS文件夾中的System..exe文件,如果文件名中包含有“\”符號,就會把文件名分成“\”前的目錄部分和“\”后的文件名部分,WINDOWS無法打開這種含有“\”的文件,會提示出錯。
如果你想在“資源管理器”或“我的電腦”中再創建“S\”,WINDOWS會提示你“\”符號不能作為文件,文件夾的名字。但這類文件名在WINDOWS的命令行下卻是有效的。
為檢驗這個結論,我們可以在D:下建立一個Test目錄,點“開始/運行”,輸入“CMD”進入命令行方式,具體驗證過程如下:
C:\>d:(進入D盤)
D:\>CD test(進入TEST目錄)
D:\test>md s。。\(代表在test下建立S.目錄,系統沒有報錯,成功創建S.文件夾,不過在“資
源管理器”和“我的電腦”中打開這個文件夾都會報錯。為檢驗這個文件夾能否正常使用,我們可以再
拷貝一個文件123.log到test文件夾中)
D:\test>copy 123.log s..\(系統提示已復制1個文件,說明文件復制成功)
通過上面步驟我們成功隱藏了一個文件夾s..\,并拷貝一個文件123.log到這個文件夾中,無論你怎么設置使用“資源管理器”和“我的電腦”都是不可能打開這個文件夾看到里面的文件的。
提示:如果在建立文件夾時,我們建立的文件夾名為”s..\a”,就可以使文件夾完全隱藏,在任何地方都無法看見。
解密:由于我們無法直接打開這個文件夾,也無法看到里面的內容,為了使用,我們可以把里面的內容拷貝出來。具體操作是:
C:\>d:(進入D盤)
D:\>CD test(進入TEST目錄)
D:\test>copy s..\a\123.log(把123.log拷貝到當前目錄下,即可使用)
為方便使用,可以對本辦法進行改進,具體步驟如下:
C:\>d:(進入D盤)
D:\>CD test(進入TEST目錄)D:\test>md s..\(在TEXT下建立S.目錄)
D:\md s(在TEXT下建立S目錄)
D:\test>copy 123.log s..\(拷貝123.log到s..\內,此時無法打開s..\)
建立一個批處理jiami.bat放在TEXT目錄下,內容如下:
copys\*s.\*
del/qs\*
再建立一個jiemi.bat放在test目錄下,內容如下:
Copys.\*s\*
操作時,把要加密的文件都拷貝到S目錄里,運行jiami.bat,即可機密所有文件,要使用時運行jiemi.bat即可在S目錄下還原出所有文件。
DOS命令結合類表識符加解密文件夾法
加密:現在的操作系統越來越大,計算機內的程序沒有上萬也有上千,即使是文件夾也好多層,平時不小心忘了文件放哪,找起來也相當麻煩,如果我們能將要加密的文件夾依次拷貝轉移到一個多層目錄下,就能夠起到一定的保護作用,具體的操作步驟如下:
在D:下建立一個test目錄,在test目錄下再建立一個jm目錄,然后建立一個批處理文件jiami2.bat,內容如下:
Xcopy/y/s/ijmC:\winnt\system32\jm
Del/qjm\.
Pause
將需要加密的文件拷貝到d:\test\jm目錄下,執行jiami2.bat,文件就都躲到C:\WINNT\system32下了,由于c:\winnt和c:\winnt\system32都是系統文件夾,一般人不敢隨便打開,起到了一定的加密作用。
解密:要使用時,可使用批處理jiemi2.bat來實現,內容如下:
Xcopy/y/s/iC:\winnt\system32\jmjm
Pause
這種加密方法并沒有隱藏文件夾本身,如果有人不小心打開你的c:\winnt\system32,就有可能發現你的秘密,如何能做到不被其他人所識別呢?使用類表識符是一個好想法,當一個文件夾命名中包含類表識符時,文件夾將顯示為該類表識符所對應的文件類型圖表,并使用相應的關聯程序打開這個文件夾。
我們可以在桌面上新建一個文件夾,命名為s.wav.{00020C01—0000—0000—C000—000000000046},確定后,我們發現看到的是一個S.wav的WAV文件,雙擊,則啟動media player提示文件格式錯誤。如果我們把需要加密的文件夾為偽裝成wav文件,那么別人想要獲得我們的機密文件就是難上加難了。
這里給出加密批處理jiami3.bat的內容:
Xcopy /y /s /i jm C:winnt\jm.wav. {00020C01—0000—0000—C000—000000000046}
Del/qjm\.
Pause
解密批處理jiemi3.bat的內容:
Xcopy /y /s /I C:\winnt\jm.wav. {00020C01—0000—0000—C000—000000000046} jm
Pause
以上介紹的是兩種隱藏文件夾的方法,如果想隱藏一個文件,那就更簡單了,改個文件名,換個深一點的目錄,做成自解壓程序等,方法還有很多種。
路徑的分隔符號文件夾加密法
加密:大家都知道在WINDOWS中不論是一個“\”還是兩個“\ ”符號都代表是路徑的分隔符號,比如“C:\WINDOWS\System..exe”的意思就是C分區中的WINDOWS文件夾中的System..exe文件,如果文件名中包含有“\”符號,就會把文件名分成“\”前的目錄部分和“\”后的文件名部分,WINDOWS無法打開這種含有“\”的文件,會提示出錯。
如果你想在“資源管理器”或“我的電腦”中再創建“S\”,WINDOWS會提示你“\”符號不能作為文件,文件夾的名字。但這類文件名在WINDOWS的命令行下卻是有效的。
為檢驗這個結論,我們可以在D:下建立一個Test目錄,點“開始/運行”,輸入“CMD”進入命令行方式,具體驗證過程如下:
C:\>d:(進入D盤)
D:\>CD test(進入TEST目錄)
D:\test>md s。。\(代表在test下建立S.目錄,系統沒有報錯,成功創建S.文件夾,不過在“資
源管理器”和“我的電腦”中打開這個文件夾都會報錯。為檢驗這個文件夾能否正常使用,我們可以再
拷貝一個文件123.log到test文件夾中)
D:\test>copy 123.log s..\(系統提示已復制1個文件,說明文件復制成功)
通過上面步驟我們成功隱藏了一個文件夾s..\,并拷貝一個文件123.log到這個文件夾中,無論你怎么設置使用“資源管理器”和“我的電腦”都是不可能打開這個文件夾看到里面的文件的。
提示:如果在建立文件夾時,我們建立的文件夾名為”s..\a”,就可以使文件夾完全隱藏,在任何地方都無法看見。
解密:由于我們無法直接打開這個文件夾,也無法看到里面的內容,為了使用,我們可以把里面的內容拷貝出來。具體操作是:
C:\>d:(進入D盤)
D:\>CD test(進入TEST目錄)
D:\test>copy s..\a\123.log(把123.log拷貝到當前目錄下,即可使用)
為方便使用,可以對本辦法進行改進,具體步驟如下:
C:\>d:(進入D盤)
D:\>CD test(進入TEST目錄)D:\test>md s..\(在TEXT下建立S.目錄)
D:\md s(在TEXT下建立S目錄)
D:\test>copy 123.log s..\(拷貝123.log到s..\內,此時無法打開s..\)
建立一個批處理jiami.bat放在TEXT目錄下,內容如下:
copys\*s.\*
del/qs\*
再建立一個jiemi.bat放在test目錄下,內容如下:
Copys.\*s\*
操作時,把要加密的文件都拷貝到S目錄里,運行jiami.bat,即可機密所有文件,要使用時運行jiemi.bat即可在S目錄下還原出所有文件。
DOS命令結合類表識符加解密文件夾法
加密:現在的操作系統越來越大,計算機內的程序沒有上萬也有上千,即使是文件夾也好多層,平時不小心忘了文件放哪,找起來也相當麻煩,如果我們能將要加密的文件夾依次拷貝轉移到一個多層目錄下,就能夠起到一定的保護作用,具體的操作步驟如下:
在D:下建立一個test目錄,在test目錄下再建立一個jm目錄,然后建立一個批處理文件jiami2.bat,內容如下:
Xcopy/y/s/ijmC:\winnt\system32\jm
Del/qjm\.
Pause
將需要加密的文件拷貝到d:\test\jm目錄下,執行jiami2.bat,文件就都躲到C:\WINNT\system32下了,由于c:\winnt和c:\winnt\system32都是系統文件夾,一般人不敢隨便打開,起到了一定的加密作用。
解密:要使用時,可使用批處理jiemi2.bat來實現,內容如下:
Xcopy/y/s/iC:\winnt\system32\jmjm
Pause
這種加密方法并沒有隱藏文件夾本身,如果有人不小心打開你的c:\winnt\system32,就有可能發現你的秘密,如何能做到不被其他人所識別呢?使用類表識符是一個好想法,當一個文件夾命名中包含類表識符時,文件夾將顯示為該類表識符所對應的文件類型圖表,并使用相應的關聯程序打開這個文件夾。
我們可以在桌面上新建一個文件夾,命名為s.wav.{00020C01—0000—0000—C000—000000000046},確定后,我們發現看到的是一個S.wav的WAV文件,雙擊,則啟動media player提示文件格式錯誤。如果我們把需要加密的文件夾為偽裝成wav文件,那么別人想要獲得我們的機密文件就是難上加難了。
這里給出加密批處理jiami3.bat的內容:
Xcopy /y /s /i jm C:winnt\jm.wav. {00020C01—0000—0000—C000—000000000046}
Del/qjm\.
Pause
解密批處理jiemi3.bat的內容:
Xcopy /y /s /I C:\winnt\jm.wav. {00020C01—0000—0000—C000—000000000046} jm
Pause
以上介紹的是兩種隱藏文件夾的方法,如果想隱藏一個文件,那就更簡單了,改個文件名,換個深一點的目錄,做成自解壓程序等,方法還有很多種。
Php腳本木馬的高級防范
[ 2007-03-25 04:05:21 | 作者: sun ]
首先修改httpd.conf,如果你只允許你的php腳本程序在web目錄里操作,還可以修改httpd.conf文件限制php的操作路徑。比如你的web目錄是/usr/local/apache/htdocs,那么在httpd.conf里加上這么幾行:
php_admin_value open_basedir /usr/local/apache/htdocs
這樣,如果腳本要讀取/usr/local/apache/htdocs以外的文件將不會被允許,如果錯誤顯示打開的話會提示這樣的錯誤:
Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。
2、防止php木馬執行webshell
打開safe_mode, 在php.ini中設置 disable_functions= passthru,exec,shell_exec,system 二者選一即可,也可都選
3、防止php木馬讀寫文件目錄
在php.ini中的 disable_functions= passthru,exec,shell_exec,system 后面加上php處理文件的函數
主要有
fopen,mkdir,rmdir,chmod,unlink,dir
fopen,fread,fclose,fwrite,file_exists
closedir,is_dir,readdir.opendir
fileperms.copy,unlink,delfile
即成為
disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir ,fopen,fread,fclose,fwrite,file_exists ,closedir,is_dir,readdir.opendir ,fileperms.copy,unlink,delfile
ok,大功告成,php木馬拿我們沒轍了,遺憾的是這樣的話,利用文本數據庫的那些東西就都不能用了。
如果是在windos平臺下搭建的apache我們還需要注意一點,apache默認運行是system權限,這很恐怖,這讓人感覺很不爽.那我們就給apache降降權限吧。
net user apache fuckmicrosoft /add
net localgroup users apache /del
ok.我們建立了一個不屬于任何組的用戶apche。
我們打開計算機管理器,選服務,點apache服務的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,重啟apache服務,ok,apache運行在低權限下了。
實際上我們還可以通過設置各個文件夾的權限,來讓apache用戶只能執行我們想讓它能干的事情,給每一個目錄建立一個單獨能讀寫的用戶。這也是當前很多虛擬主機提供商的流行配置方法哦,不過這種方法用于防止這里就顯的有點大材小用了。
php_admin_value open_basedir /usr/local/apache/htdocs
這樣,如果腳本要讀取/usr/local/apache/htdocs以外的文件將不會被允許,如果錯誤顯示打開的話會提示這樣的錯誤:
Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。
2、防止php木馬執行webshell
打開safe_mode, 在php.ini中設置 disable_functions= passthru,exec,shell_exec,system 二者選一即可,也可都選
3、防止php木馬讀寫文件目錄
在php.ini中的 disable_functions= passthru,exec,shell_exec,system 后面加上php處理文件的函數
主要有
fopen,mkdir,rmdir,chmod,unlink,dir
fopen,fread,fclose,fwrite,file_exists
closedir,is_dir,readdir.opendir
fileperms.copy,unlink,delfile
即成為
disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir ,fopen,fread,fclose,fwrite,file_exists ,closedir,is_dir,readdir.opendir ,fileperms.copy,unlink,delfile
ok,大功告成,php木馬拿我們沒轍了,遺憾的是這樣的話,利用文本數據庫的那些東西就都不能用了。
如果是在windos平臺下搭建的apache我們還需要注意一點,apache默認運行是system權限,這很恐怖,這讓人感覺很不爽.那我們就給apache降降權限吧。
net user apache fuckmicrosoft /add
net localgroup users apache /del
ok.我們建立了一個不屬于任何組的用戶apche。
我們打開計算機管理器,選服務,點apache服務的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,重啟apache服務,ok,apache運行在低權限下了。
實際上我們還可以通過設置各個文件夾的權限,來讓apache用戶只能執行我們想讓它能干的事情,給每一個目錄建立一個單獨能讀寫的用戶。這也是當前很多虛擬主機提供商的流行配置方法哦,不過這種方法用于防止這里就顯的有點大材小用了。
推薦:網絡攻擊概述 幾類攻擊與防御手法
[ 2007-03-25 04:05:09 | 作者: sun ]
1、服務拒絕攻擊
服務拒絕攻擊企圖通過使你的服務計算機崩潰或把它壓跨來阻止你提供服務,服務拒絕攻擊是最容易實施的攻擊行為,主要包括:
死亡之ping (ping of death)
概覽:由于在早期的階段,路由器對包的最大尺寸都有限制,許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB,并且在對包的標題頭進行讀取之后,要根據該標題頭里包含的信息來為有效載荷生成緩沖區,當產生畸形的,聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時,就會出現內存分配錯誤,導致TCP/IP堆棧崩潰,致使接受方當機。
防御:現在所有的標準TCP/IP實現都已實現對付超大尺寸的包,并且大多數防火墻能夠自動過濾這些攻擊,包括:從windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻擊的能力。此外,對防火墻進行配置,阻斷ICMP以及任何未知協議,都講防止此類攻擊。
淚滴(teardrop)
概覽:淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重疊偏移的偽造分段時將崩潰。
防御:服務器應用最新的服務包,或者在設置防火墻時對分段進行重組,而不是轉發它們。
UDP洪水(UDP flood)
概覽:各種各樣的假冒攻擊利用簡單的TCP/IP服務,如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接,回復地址指向開著Echo服務的一臺主機,這樣就生成在兩臺主機之間的足夠多的無用數據流,如果足夠多的數據流就會導致帶寬的服務攻擊。
防御:關掉不必要的TCP/IP服務,或者對防火墻進行配置阻斷來自Internet的請求這些服務的UDP請求。
SYN洪水(SYN flood)
概覽:一些TCP/IP棧的實現只能等待從有限數量的計算機發來的ACK消息,因為他們只有有限的內存緩沖區用于創建連接,如果這一緩沖區充滿了虛假連接的初始信息,該服務器就會對接下來的連接停止響應,直到緩沖區里的連接企圖超時。在一些創建連接不受限制的實現里,SYN洪水具有類似的影響。
防御:在防火墻上過濾來自同一主機的后續連接。
未來的SYN洪水令人擔憂,由于釋放洪水的并不尋求響應,所以無法從一個簡單高容量的傳輸中鑒別出來。
Land攻擊
概覽:在Land攻擊中,一個特別打造的SYN包它的原地址和目標地址都被設置成某一個服務器地址,此舉將導致接受服務器向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息并創建一個空連接,每一個這樣的連接都將保留直到超時掉,對Land攻擊反應不同,許多UNIX實現將崩潰,NT變的極其緩慢(大約持續五分鐘)。
防御:打最新的補丁,或者在防火墻進行配置,將那些在外部接口上入站的含有內部源地址濾掉。(包括10域、127域、192.168域、172.16到172.31域)。
Smurf攻擊
概覽:一個簡單的smurf攻擊通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包來淹沒受害主機的方式進行,最終導致該網絡的所有主機都對此ICMP應答請求作出答復,導致網絡阻塞,比pingof death洪水的流量高出一或兩個數量級。更加復雜的Smurf將源地址改為第三方的受害者,最終導致第三方雪崩。
防御:為了防止黑客利用你的網絡攻擊他人,關閉外部路由器或防火墻的廣播地址特性。為防止被攻擊,在防火墻上設置規則,丟棄掉ICMP包。
Fraggle攻擊
概覽:Fraggle攻擊對Smurf攻擊作了簡單的修改,使用的是UDP應答消息而非ICMP。
防御:在防火墻上過濾掉UDP應答消息。
電子郵件炸彈
概覽:電子郵件炸彈是最古老的匿名攻擊之一,通過設置一臺機器不斷的大量的向同一地址發送電子郵件,攻擊者能夠耗盡接受者網絡的帶寬。
防御:對郵件地址進行配置,自動刪除來自同一主機的過量或重復的消息。
畸形消息攻擊
概覽:各類操作系統上的許多服務都存在此類問題,由于這些服務在處理信息之前沒有進行適當正確的錯誤校驗,在收到畸形的信息可能會崩潰。
防御:打最新的服務補丁。
2、利用型攻擊
利用型攻擊是一類試圖直接對你的機器進行控制的攻擊,最常見的有三種:
口令猜測
概覽:一旦黑客識別了一臺主機而且發現了基于NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號,成功的口令猜測能提供對機器控制。
防御:要選用難以猜測的口令,比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略,就進行鎖定。
特洛伊木馬
概覽:特洛伊木馬是一種或是直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功并取得管理員權限,安裝此程序的人就可以直接遠程控制目標系統。
最有效的一種叫做后門程序,惡意程序包括:NetBus、BackOrifice和BO2k,用于控制系統的良性程序如:netcat、VNC、pcAnywhere。理想的后門程序透明運行。
防御:避免下載可疑程序并拒絕執行,運用網絡掃描軟件定期監視內部主機上的監聽TCP服務。
緩沖區溢出
概覽:由于在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數,最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然后將該代碼綴在緩沖區有效載荷末尾,這樣當發生緩沖區溢出時,返回指針指向惡意代碼,這樣系統的控制權就會被奪取。
防御:利用SafeLib、tripwire這樣的程序保護系統,或者瀏覽最新的安全公告不斷更新操作系統。
3、信息收集型攻擊
信息收集型攻擊并不對目標本身造成危害,如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括:掃描技術、體系結構刺探、利用信息服務。
掃描技術
地址掃描
概覽:運用ping這樣的程序探測目標地址,對此作出響應的表示其存在。
防御:在防火墻上過濾掉ICMP應答消息。
端口掃描
概覽:通常使用一些軟件,向大范圍的主機連接一系列的TCP端口,掃描軟件報告它成功的建立了連接的主機所開的端口。
防御:許多防火墻能檢測到是否被掃描,并自動阻斷掃描企圖。
反響映射
概覽:黑客向主機發送虛假消息,然后根據返回“hostunreachable”這一消息特征判斷出哪些主機是存在的。目前由于正常的掃描活動容易被防火墻偵測到,黑客轉而使用不會觸發防火墻規則的常見消息類型,這些類型包括:RESET消息、SYN-ACK消息、DNS響應包。
防御:NAT和非路由代理服務器能夠自動抵御此類攻擊,也可以在防火墻上過濾“hostunreachable”ICMP應答。
慢速掃描
概覽:由于一般掃描偵測器的實現是通過監視某個時間楨里一臺特定主機發起的連接的數目(例如每秒10次)來決定是否在被掃描,這樣黑客可以通過使用掃描速度慢一些的掃描軟件進行掃描。
防御:通過引誘服務來對慢速掃描進行偵測。
體系結構探測
概覽:黑客使用具有已知響應類型的數據庫的自動工具,對來自目標主機的、對壞數據包傳送所作出的響應進行檢查。由于每種操作系統都有其獨特的響應方法(例NT和Solaris的TCP/IP堆棧具體實現有所不同),通過將此獨特的響應與數據庫中的已知響應進行對比,黑客經常能夠確定出目標主機所運行的操作系統。
防御:去掉或修改各種Banner,包括操作系統和各種應用服務的,阻斷用于識別的端口擾亂對方的攻擊計劃。
利用信息服務
DNS域轉換
概覽:DNS協議不對轉換或信息性的更新進行身份認證,這使得該協議被人以一些不同的方式加以利用。如果你維護著一臺公共的DNS服務器,黑客只需實施一次域轉換操作就能得到你所有主機的名稱以及內部IP地址。
防御:在防火墻處過濾掉域轉換請求。
Finger服務
概覽:黑客使用finger命令來刺探一臺finger服務器以獲取關于該系統的用戶的信息。
防御:關閉finger服務并記錄嘗試連接該服務的對方IP地址,或者在防火墻上進行過濾。
LDAP服務
概覽:黑客使用LDAP協議窺探網絡內部的系統和它們的用戶的信息。
防御:對于刺探內部網絡的LDAP進行阻斷并記錄,如果在公共機器上提供LDAP服務,那么應把LDAP服務器放入DMZ。
4、假消息攻擊
用于攻擊目標配置不正確的消息,主要包括:DNS高速緩存污染、偽造電子郵件。
DNS高速緩存污染
概覽:由于DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證,這就使得黑客可以將不正確的信息摻進來并把用戶引向黑客自己的主機。
防御:在防火墻上過濾入站的DNS更新,外部DNS服務器不應能更改你的內部服務器對內部機器的認識。
偽造電子郵件
概覽:由于SMTP并不對郵件的發送者的身份進行鑒定,因此黑客可以對你的內部客戶偽造電子郵件,聲稱是來自某個客戶認識并相信的人,并附帶上可安裝的特洛伊木馬程序,或者是一個引向惡意網站的連接。
防御:使用PGP等安全工具并安裝電子郵件證書。
服務拒絕攻擊企圖通過使你的服務計算機崩潰或把它壓跨來阻止你提供服務,服務拒絕攻擊是最容易實施的攻擊行為,主要包括:
死亡之ping (ping of death)
概覽:由于在早期的階段,路由器對包的最大尺寸都有限制,許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB,并且在對包的標題頭進行讀取之后,要根據該標題頭里包含的信息來為有效載荷生成緩沖區,當產生畸形的,聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時,就會出現內存分配錯誤,導致TCP/IP堆棧崩潰,致使接受方當機。
防御:現在所有的標準TCP/IP實現都已實現對付超大尺寸的包,并且大多數防火墻能夠自動過濾這些攻擊,包括:從windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻擊的能力。此外,對防火墻進行配置,阻斷ICMP以及任何未知協議,都講防止此類攻擊。
淚滴(teardrop)
概覽:淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重疊偏移的偽造分段時將崩潰。
防御:服務器應用最新的服務包,或者在設置防火墻時對分段進行重組,而不是轉發它們。
UDP洪水(UDP flood)
概覽:各種各樣的假冒攻擊利用簡單的TCP/IP服務,如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接,回復地址指向開著Echo服務的一臺主機,這樣就生成在兩臺主機之間的足夠多的無用數據流,如果足夠多的數據流就會導致帶寬的服務攻擊。
防御:關掉不必要的TCP/IP服務,或者對防火墻進行配置阻斷來自Internet的請求這些服務的UDP請求。
SYN洪水(SYN flood)
概覽:一些TCP/IP棧的實現只能等待從有限數量的計算機發來的ACK消息,因為他們只有有限的內存緩沖區用于創建連接,如果這一緩沖區充滿了虛假連接的初始信息,該服務器就會對接下來的連接停止響應,直到緩沖區里的連接企圖超時。在一些創建連接不受限制的實現里,SYN洪水具有類似的影響。
防御:在防火墻上過濾來自同一主機的后續連接。
未來的SYN洪水令人擔憂,由于釋放洪水的并不尋求響應,所以無法從一個簡單高容量的傳輸中鑒別出來。
Land攻擊
概覽:在Land攻擊中,一個特別打造的SYN包它的原地址和目標地址都被設置成某一個服務器地址,此舉將導致接受服務器向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息并創建一個空連接,每一個這樣的連接都將保留直到超時掉,對Land攻擊反應不同,許多UNIX實現將崩潰,NT變的極其緩慢(大約持續五分鐘)。
防御:打最新的補丁,或者在防火墻進行配置,將那些在外部接口上入站的含有內部源地址濾掉。(包括10域、127域、192.168域、172.16到172.31域)。
Smurf攻擊
概覽:一個簡單的smurf攻擊通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包來淹沒受害主機的方式進行,最終導致該網絡的所有主機都對此ICMP應答請求作出答復,導致網絡阻塞,比pingof death洪水的流量高出一或兩個數量級。更加復雜的Smurf將源地址改為第三方的受害者,最終導致第三方雪崩。
防御:為了防止黑客利用你的網絡攻擊他人,關閉外部路由器或防火墻的廣播地址特性。為防止被攻擊,在防火墻上設置規則,丟棄掉ICMP包。
Fraggle攻擊
概覽:Fraggle攻擊對Smurf攻擊作了簡單的修改,使用的是UDP應答消息而非ICMP。
防御:在防火墻上過濾掉UDP應答消息。
電子郵件炸彈
概覽:電子郵件炸彈是最古老的匿名攻擊之一,通過設置一臺機器不斷的大量的向同一地址發送電子郵件,攻擊者能夠耗盡接受者網絡的帶寬。
防御:對郵件地址進行配置,自動刪除來自同一主機的過量或重復的消息。
畸形消息攻擊
概覽:各類操作系統上的許多服務都存在此類問題,由于這些服務在處理信息之前沒有進行適當正確的錯誤校驗,在收到畸形的信息可能會崩潰。
防御:打最新的服務補丁。
2、利用型攻擊
利用型攻擊是一類試圖直接對你的機器進行控制的攻擊,最常見的有三種:
口令猜測
概覽:一旦黑客識別了一臺主機而且發現了基于NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號,成功的口令猜測能提供對機器控制。
防御:要選用難以猜測的口令,比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略,就進行鎖定。
特洛伊木馬
概覽:特洛伊木馬是一種或是直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功并取得管理員權限,安裝此程序的人就可以直接遠程控制目標系統。
最有效的一種叫做后門程序,惡意程序包括:NetBus、BackOrifice和BO2k,用于控制系統的良性程序如:netcat、VNC、pcAnywhere。理想的后門程序透明運行。
防御:避免下載可疑程序并拒絕執行,運用網絡掃描軟件定期監視內部主機上的監聽TCP服務。
緩沖區溢出
概覽:由于在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數,最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然后將該代碼綴在緩沖區有效載荷末尾,這樣當發生緩沖區溢出時,返回指針指向惡意代碼,這樣系統的控制權就會被奪取。
防御:利用SafeLib、tripwire這樣的程序保護系統,或者瀏覽最新的安全公告不斷更新操作系統。
3、信息收集型攻擊
信息收集型攻擊并不對目標本身造成危害,如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括:掃描技術、體系結構刺探、利用信息服務。
掃描技術
地址掃描
概覽:運用ping這樣的程序探測目標地址,對此作出響應的表示其存在。
防御:在防火墻上過濾掉ICMP應答消息。
端口掃描
概覽:通常使用一些軟件,向大范圍的主機連接一系列的TCP端口,掃描軟件報告它成功的建立了連接的主機所開的端口。
防御:許多防火墻能檢測到是否被掃描,并自動阻斷掃描企圖。
反響映射
概覽:黑客向主機發送虛假消息,然后根據返回“hostunreachable”這一消息特征判斷出哪些主機是存在的。目前由于正常的掃描活動容易被防火墻偵測到,黑客轉而使用不會觸發防火墻規則的常見消息類型,這些類型包括:RESET消息、SYN-ACK消息、DNS響應包。
防御:NAT和非路由代理服務器能夠自動抵御此類攻擊,也可以在防火墻上過濾“hostunreachable”ICMP應答。
慢速掃描
概覽:由于一般掃描偵測器的實現是通過監視某個時間楨里一臺特定主機發起的連接的數目(例如每秒10次)來決定是否在被掃描,這樣黑客可以通過使用掃描速度慢一些的掃描軟件進行掃描。
防御:通過引誘服務來對慢速掃描進行偵測。
體系結構探測
概覽:黑客使用具有已知響應類型的數據庫的自動工具,對來自目標主機的、對壞數據包傳送所作出的響應進行檢查。由于每種操作系統都有其獨特的響應方法(例NT和Solaris的TCP/IP堆棧具體實現有所不同),通過將此獨特的響應與數據庫中的已知響應進行對比,黑客經常能夠確定出目標主機所運行的操作系統。
防御:去掉或修改各種Banner,包括操作系統和各種應用服務的,阻斷用于識別的端口擾亂對方的攻擊計劃。
利用信息服務
DNS域轉換
概覽:DNS協議不對轉換或信息性的更新進行身份認證,這使得該協議被人以一些不同的方式加以利用。如果你維護著一臺公共的DNS服務器,黑客只需實施一次域轉換操作就能得到你所有主機的名稱以及內部IP地址。
防御:在防火墻處過濾掉域轉換請求。
Finger服務
概覽:黑客使用finger命令來刺探一臺finger服務器以獲取關于該系統的用戶的信息。
防御:關閉finger服務并記錄嘗試連接該服務的對方IP地址,或者在防火墻上進行過濾。
LDAP服務
概覽:黑客使用LDAP協議窺探網絡內部的系統和它們的用戶的信息。
防御:對于刺探內部網絡的LDAP進行阻斷并記錄,如果在公共機器上提供LDAP服務,那么應把LDAP服務器放入DMZ。
4、假消息攻擊
用于攻擊目標配置不正確的消息,主要包括:DNS高速緩存污染、偽造電子郵件。
DNS高速緩存污染
概覽:由于DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證,這就使得黑客可以將不正確的信息摻進來并把用戶引向黑客自己的主機。
防御:在防火墻上過濾入站的DNS更新,外部DNS服務器不應能更改你的內部服務器對內部機器的認識。
偽造電子郵件
概覽:由于SMTP并不對郵件的發送者的身份進行鑒定,因此黑客可以對你的內部客戶偽造電子郵件,聲稱是來自某個客戶認識并相信的人,并附帶上可安裝的特洛伊木馬程序,或者是一個引向惡意網站的連接。
防御:使用PGP等安全工具并安裝電子郵件證書。
一、 引言
特洛伊木馬是 Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名字。古希臘有大軍圍攻特洛伊城,逾年無法攻下。有人獻計制造一只高二丈的大木馬假裝作戰馬神,攻擊數天后仍然無功,遂留下木馬拔營而去。城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。到午夜時份,全城軍民盡入夢鄉,匿于木馬中的將士開秘門游繩而下,開啟城門及四處縱火,城外伏兵涌入,焚屠特洛伊城。后世稱這只木馬為"特洛伊木馬",現今計算機術語借用其名,意思是"一經進入,后患無窮"。特洛伊木馬原則上它和Laplink 、 PCanywhere 等程序一樣,只是一種遠程管理工具。而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒 (也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。
二、木馬攻擊原理
特洛伊木馬是一個程序,它駐留在目標計算機里,可以隨計算機自動啟動并在某一端口進行偵聽,在對接收的數據識別后,對目標計算機執行特定的操作。木馬,其實質只是一個通過端口進行通信的網絡客戶/服務程序。
1、基本概念:網絡客戶/服務模式的原理是一臺主機提供服務(服務器),另一臺主機接受服務(客戶機)。作為服務器的主機一般會打開一個默認的端口并進行監聽(Listen), 如果有客戶機向服務器的這一端口提出連接請求(Connect Request), 服務器上的相應程序就會自動運行,來應答客戶機的請求,這個程序稱為守護進程(UNIX的術語,不過已經被移植到了MS系統上)。對于特洛伊木馬,被控制端就成為一臺服務器,控制端則是一臺客戶機,G_server.exe是守護進程, G_client是客戶端應用程序。
2、程序實現:
可以使用VB或VC的Winsock控件來編寫網絡客戶/服務程序, 實現方法如下:
服務器端:
G_Server.LocalPort=7626(冰河的默認端口,可以改為別的值)
G_Server.Listen(等待連接)
客戶端:
G_Client.RemoteHost=ServerIP(設遠端地址為服務器地址)
G_Client.RemotePort=7626(設遠程端口為冰河的默認端口)
(在這里可以分配一個本地端口給G_Client, 如果不分配, 計算機將會自動分配一個)
G_Client.Connect(調用Winsock控件的連接方法)
一旦服務端接到客戶端的連接請求ConnectionRequest,就接受連接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客戶端用G_Client.SendData發送命令,而服務器在G_Server_DateArrive事件中接受并執行命令(幾乎所有的木馬功能都在這個事件處理程序中實現)
如果客戶斷開連接,則關閉連接并重新監聽端口
Private Sub G_Server_Close()
G_Server.Close (關閉連接)
G_Server.Listen(再次監聽)
End Sub
客戶端上傳一個命令,服務端解釋并執行命令。
3、實現木馬的控制功能
由于Win98開放了所有的權限給用戶,因此,以用戶權限運行的木馬程序幾乎可以控制一切,下面僅對木馬的主要功能進行簡單的概述, 主要是使用Windows API函數。
(1)遠程監控(控制對方鼠標、鍵盤,并監視對方屏幕)
keybd_event模擬一個鍵盤動作。
mouse_event模擬一次鼠標事件
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠標坐標系統中的一個絕對位置
MOUSEEVENTF_MOVE 移動鼠標
MOUSEEVENTF_LEFTDOWN 模擬鼠標左鍵按下
MOUSEEVENTF_LEFTUP 模擬鼠標左鍵抬起
MOUSEEVENTF_RIGHTDOWN 模擬鼠標右鍵按下
MOUSEEVENTF_RIGHTUP 模擬鼠標右鍵按下
dx,dy:MOUSEEVENTF_ABSOLUTE中的鼠標坐標
(2)記錄各種口令信息
keylog begin:將擊鍵記錄在一個文本文件里,同時還記錄執行輸入的窗口名
(3)獲取系統信息
a.取得計算機名 GetComputerName
b.更改計算機名 SetComputerName
c.當前用戶 GetUserName
d.系統路徑
Set FileSystem0bject = CreateObject("Scripting.FileSystemObject")(建立文件系統對象)
Set SystemDir = FileSystem0bject.getspecialfolder(1)(取系統目錄)
Set SystemDir = FileSystem0bject.getspecialfolder(0)(取Windows安裝目錄)
e.取得系統版本 GetVersionEx
f.當前顯示分辨率
Width = screen.Width\ screen.TwipsPerPixelX
Height= screen.Height \ screen.TwipsPerPixelY
(4)限制系統功能
a.遠程關機或重啟計算機,使用WinAPI中的如下函數可以實現:
ExitWindowsEx(UINT uFlags,DWORD dwReserved)
當uFlags=EWX_LOGOFF 中止進程,然后注銷
=EWX_SHUTDOWN 關掉系統但不關電源
=EWX_REBOOT 重新引導系統
=EWX_FORCE強迫中止沒有響應的進程
=EWX_POWERDOWN 關掉系統及關閉電源
b.鎖定鼠標,ClipCursor(lpRect As RECT)可以將指針限制到指定區域,或者用ShowCursor(FALSE)把鼠標隱藏起來也可以,RECT是定義的一個矩形。
c.讓對方掉線 RasHangUp
d.終止進程 ExitProcess
e.關閉窗口 利用FindWindow函數找到窗口并利用SendMessage函數關閉窗口
(5)遠程文件操作
刪除文件:File delete
拷貝文件:File copy
共享文件:Export list(列出當前共享的驅動器、目錄、權限及共享密碼)
(6)注冊表操作
在VB中只要Set RegEdit=CreateObject("WScript.Shell")就可以使用以下的注冊表功能:
刪除鍵值:RegEdit.RegDelete RegKey
增加鍵值:RegEdit.Write RegKey,RegValue
獲取鍵值:RegEdit.RegRead (Value)
三、特洛伊木馬隱身方法
木馬程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的只要把Form的Visible屬性設為False、ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為“系統服務”可以偽裝自己。當然它也會悄無聲息地啟動,木馬會在每次用戶啟動時自動裝載服務端,Windows系統啟動時自動加載應用程序的方法,“木馬”都會用上,如:啟動組、win.ini、system.ini、注冊表等等都是“木馬”藏身的好地方。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加載“木馬”程序的途徑,一般情況下,它們的等號后面什么都沒有,如果發現后面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上“木馬”了。當然你也得看清楚,因為好多“木馬”,如“AOL Trojan木馬”,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件。
在system.ini文件中,在[BOOT]下面有個“shell=文件名”。正確的文件名應該是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟著的那個程序就是“木馬”程序,就是說你已經中“木馬”了。
在注冊表中的情況最復雜,通過regedit命令打開注冊表編輯器,在點擊至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這里切記:有的“木馬”程序生成的文件很像系統自身文件,想通過偽裝蒙混過關,如“Acid Battery v1.0木馬”,它將注冊表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 鍵值改為Explorer=“C:\WINDOWS\expiorer.exe”,“木馬”程序與真正的Explorer之間只有“i”與“l”的差別。當然在注冊表中還有很多地方都可以隱藏“木馬”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目錄下都有可能,最好的辦法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木馬”程序的文件名,再在整個注冊表中搜索即可。
目前,除了上面介紹的隱身技術外,更新、更隱蔽的方法已經出現,那就是-驅動程序及動態鏈接庫技術。驅動程序及動態鏈接庫技術和一般的木馬不同,它基本上擺脫了原有的木馬模式-監聽端口,而采用替代系統功能的方法(改寫驅動程序或動態鏈接庫)。這樣做的結果是:系統中沒有增加新的文件(所以不能用掃描的方法查殺)、不需要打開新的端口(所以不能用端口監視的方法查殺)、沒有新的進程(所以使用進程查看的方法發現不了它,也不能用kill進程的方法終止它的運行)。在正常運行時木馬幾乎沒有任何的癥狀,而一旦木馬的控制端向被控端發出特定的信息后,隱藏的程序就立即開始運作。
四、 特洛伊木馬防御原理
知道了木馬的攻擊原理和隱身方法,我們就可以采取措施進行防御了。
1.端口掃描
端口掃描是檢查遠程機器有無木馬的最好辦法, 端口掃描的原理非常簡單, 掃描程序嘗試連接某個端口, 如果成功, 則說明端口開放,如果失敗或超過某個特定的時間(超時), 則說明端口關閉。但對于驅動程序/動態鏈接木馬, 掃描端口是不起作用的。
2.查看連接
查看連接和端口掃描的原理基本相同,不過是在本地機上通過netstat -a(或某個第三方程序)查看所有的TCP/UDP連接,查看連接要比端口掃描快,但同樣是無法查出驅動程序/動態鏈接木馬,而且僅僅能在本地使用。
3.檢查注冊表
上面在討論木馬的啟動方式時已經提到,木馬可以通過注冊表啟動(好像現在大部分的木馬都是通過注冊表啟動的,至少也把注冊表作為一個自我保護的方式),那么,我們同樣可以通過檢查注冊表來發現冰河在注冊表里留下的痕跡。
4.查找文件
查找木馬特定的文件也是一個常用的方法,木馬的一個特征文件是kernl32.exe,另一個是sysexlpr.exe,只要刪除了這兩個文件,木馬就已經不起作用了。如果你只是刪除了sysexlpr.exe而沒有做掃尾工作的話,可能會遇到一些麻煩-就是你的文本文件打不開了, sysexplr.exe是和文本文件關聯的,你還必須把文本文件跟notepad關聯上。
另外,對于驅動程序/動態鏈接庫木馬,有一種方法可以試試,使用Windows的"系統文件檢查器",通過"開始菜單"-"程序"-"附件"-"系統工具"-"系統信息"-"工具"可以運行"系統文件檢查器", 用“系統文件檢查器”可檢測操作系統文件的完整性,如果這些文件損壞,檢查器可以將其還原,檢查器還可以從安裝盤中解壓縮已壓縮的文件(如驅動程序)。如果你的驅動程序或動態鏈接庫在你沒有升級它們的情況下被改動了,就有可能是木馬(或者損壞了),提取改動過的文件可以保證你的系統安全和穩定。
五、結束語
只要你有一點點的疏忽,就有可能被人安裝了木馬。所以平時不要隨便從網站上下載軟件,不要隨便運行別人給的軟件,經常檢查自己的系統文件、注冊表、端口,經常去安全站點查看最新的木馬公告等等,提高自己的網絡安全意識,了解木馬的常見伎倆,這樣對于保證自己電腦的安全不無裨益。
特洛伊木馬是 Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名字。古希臘有大軍圍攻特洛伊城,逾年無法攻下。有人獻計制造一只高二丈的大木馬假裝作戰馬神,攻擊數天后仍然無功,遂留下木馬拔營而去。城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。到午夜時份,全城軍民盡入夢鄉,匿于木馬中的將士開秘門游繩而下,開啟城門及四處縱火,城外伏兵涌入,焚屠特洛伊城。后世稱這只木馬為"特洛伊木馬",現今計算機術語借用其名,意思是"一經進入,后患無窮"。特洛伊木馬原則上它和Laplink 、 PCanywhere 等程序一樣,只是一種遠程管理工具。而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒 (也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。
二、木馬攻擊原理
特洛伊木馬是一個程序,它駐留在目標計算機里,可以隨計算機自動啟動并在某一端口進行偵聽,在對接收的數據識別后,對目標計算機執行特定的操作。木馬,其實質只是一個通過端口進行通信的網絡客戶/服務程序。
1、基本概念:網絡客戶/服務模式的原理是一臺主機提供服務(服務器),另一臺主機接受服務(客戶機)。作為服務器的主機一般會打開一個默認的端口并進行監聽(Listen), 如果有客戶機向服務器的這一端口提出連接請求(Connect Request), 服務器上的相應程序就會自動運行,來應答客戶機的請求,這個程序稱為守護進程(UNIX的術語,不過已經被移植到了MS系統上)。對于特洛伊木馬,被控制端就成為一臺服務器,控制端則是一臺客戶機,G_server.exe是守護進程, G_client是客戶端應用程序。
2、程序實現:
可以使用VB或VC的Winsock控件來編寫網絡客戶/服務程序, 實現方法如下:
服務器端:
G_Server.LocalPort=7626(冰河的默認端口,可以改為別的值)
G_Server.Listen(等待連接)
客戶端:
G_Client.RemoteHost=ServerIP(設遠端地址為服務器地址)
G_Client.RemotePort=7626(設遠程端口為冰河的默認端口)
(在這里可以分配一個本地端口給G_Client, 如果不分配, 計算機將會自動分配一個)
G_Client.Connect(調用Winsock控件的連接方法)
一旦服務端接到客戶端的連接請求ConnectionRequest,就接受連接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客戶端用G_Client.SendData發送命令,而服務器在G_Server_DateArrive事件中接受并執行命令(幾乎所有的木馬功能都在這個事件處理程序中實現)
如果客戶斷開連接,則關閉連接并重新監聽端口
Private Sub G_Server_Close()
G_Server.Close (關閉連接)
G_Server.Listen(再次監聽)
End Sub
客戶端上傳一個命令,服務端解釋并執行命令。
3、實現木馬的控制功能
由于Win98開放了所有的權限給用戶,因此,以用戶權限運行的木馬程序幾乎可以控制一切,下面僅對木馬的主要功能進行簡單的概述, 主要是使用Windows API函數。
(1)遠程監控(控制對方鼠標、鍵盤,并監視對方屏幕)
keybd_event模擬一個鍵盤動作。
mouse_event模擬一次鼠標事件
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠標坐標系統中的一個絕對位置
MOUSEEVENTF_MOVE 移動鼠標
MOUSEEVENTF_LEFTDOWN 模擬鼠標左鍵按下
MOUSEEVENTF_LEFTUP 模擬鼠標左鍵抬起
MOUSEEVENTF_RIGHTDOWN 模擬鼠標右鍵按下
MOUSEEVENTF_RIGHTUP 模擬鼠標右鍵按下
dx,dy:MOUSEEVENTF_ABSOLUTE中的鼠標坐標
(2)記錄各種口令信息
keylog begin:將擊鍵記錄在一個文本文件里,同時還記錄執行輸入的窗口名
(3)獲取系統信息
a.取得計算機名 GetComputerName
b.更改計算機名 SetComputerName
c.當前用戶 GetUserName
d.系統路徑
Set FileSystem0bject = CreateObject("Scripting.FileSystemObject")(建立文件系統對象)
Set SystemDir = FileSystem0bject.getspecialfolder(1)(取系統目錄)
Set SystemDir = FileSystem0bject.getspecialfolder(0)(取Windows安裝目錄)
e.取得系統版本 GetVersionEx
f.當前顯示分辨率
Width = screen.Width\ screen.TwipsPerPixelX
Height= screen.Height \ screen.TwipsPerPixelY
(4)限制系統功能
a.遠程關機或重啟計算機,使用WinAPI中的如下函數可以實現:
ExitWindowsEx(UINT uFlags,DWORD dwReserved)
當uFlags=EWX_LOGOFF 中止進程,然后注銷
=EWX_SHUTDOWN 關掉系統但不關電源
=EWX_REBOOT 重新引導系統
=EWX_FORCE強迫中止沒有響應的進程
=EWX_POWERDOWN 關掉系統及關閉電源
b.鎖定鼠標,ClipCursor(lpRect As RECT)可以將指針限制到指定區域,或者用ShowCursor(FALSE)把鼠標隱藏起來也可以,RECT是定義的一個矩形。
c.讓對方掉線 RasHangUp
d.終止進程 ExitProcess
e.關閉窗口 利用FindWindow函數找到窗口并利用SendMessage函數關閉窗口
(5)遠程文件操作
刪除文件:File delete
拷貝文件:File copy
共享文件:Export list(列出當前共享的驅動器、目錄、權限及共享密碼)
(6)注冊表操作
在VB中只要Set RegEdit=CreateObject("WScript.Shell")就可以使用以下的注冊表功能:
刪除鍵值:RegEdit.RegDelete RegKey
增加鍵值:RegEdit.Write RegKey,RegValue
獲取鍵值:RegEdit.RegRead (Value)
三、特洛伊木馬隱身方法
木馬程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的只要把Form的Visible屬性設為False、ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為“系統服務”可以偽裝自己。當然它也會悄無聲息地啟動,木馬會在每次用戶啟動時自動裝載服務端,Windows系統啟動時自動加載應用程序的方法,“木馬”都會用上,如:啟動組、win.ini、system.ini、注冊表等等都是“木馬”藏身的好地方。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加載“木馬”程序的途徑,一般情況下,它們的等號后面什么都沒有,如果發現后面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上“木馬”了。當然你也得看清楚,因為好多“木馬”,如“AOL Trojan木馬”,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件。
在system.ini文件中,在[BOOT]下面有個“shell=文件名”。正確的文件名應該是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟著的那個程序就是“木馬”程序,就是說你已經中“木馬”了。
在注冊表中的情況最復雜,通過regedit命令打開注冊表編輯器,在點擊至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這里切記:有的“木馬”程序生成的文件很像系統自身文件,想通過偽裝蒙混過關,如“Acid Battery v1.0木馬”,它將注冊表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 鍵值改為Explorer=“C:\WINDOWS\expiorer.exe”,“木馬”程序與真正的Explorer之間只有“i”與“l”的差別。當然在注冊表中還有很多地方都可以隱藏“木馬”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目錄下都有可能,最好的辦法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木馬”程序的文件名,再在整個注冊表中搜索即可。
目前,除了上面介紹的隱身技術外,更新、更隱蔽的方法已經出現,那就是-驅動程序及動態鏈接庫技術。驅動程序及動態鏈接庫技術和一般的木馬不同,它基本上擺脫了原有的木馬模式-監聽端口,而采用替代系統功能的方法(改寫驅動程序或動態鏈接庫)。這樣做的結果是:系統中沒有增加新的文件(所以不能用掃描的方法查殺)、不需要打開新的端口(所以不能用端口監視的方法查殺)、沒有新的進程(所以使用進程查看的方法發現不了它,也不能用kill進程的方法終止它的運行)。在正常運行時木馬幾乎沒有任何的癥狀,而一旦木馬的控制端向被控端發出特定的信息后,隱藏的程序就立即開始運作。
四、 特洛伊木馬防御原理
知道了木馬的攻擊原理和隱身方法,我們就可以采取措施進行防御了。
1.端口掃描
端口掃描是檢查遠程機器有無木馬的最好辦法, 端口掃描的原理非常簡單, 掃描程序嘗試連接某個端口, 如果成功, 則說明端口開放,如果失敗或超過某個特定的時間(超時), 則說明端口關閉。但對于驅動程序/動態鏈接木馬, 掃描端口是不起作用的。
2.查看連接
查看連接和端口掃描的原理基本相同,不過是在本地機上通過netstat -a(或某個第三方程序)查看所有的TCP/UDP連接,查看連接要比端口掃描快,但同樣是無法查出驅動程序/動態鏈接木馬,而且僅僅能在本地使用。
3.檢查注冊表
上面在討論木馬的啟動方式時已經提到,木馬可以通過注冊表啟動(好像現在大部分的木馬都是通過注冊表啟動的,至少也把注冊表作為一個自我保護的方式),那么,我們同樣可以通過檢查注冊表來發現冰河在注冊表里留下的痕跡。
4.查找文件
查找木馬特定的文件也是一個常用的方法,木馬的一個特征文件是kernl32.exe,另一個是sysexlpr.exe,只要刪除了這兩個文件,木馬就已經不起作用了。如果你只是刪除了sysexlpr.exe而沒有做掃尾工作的話,可能會遇到一些麻煩-就是你的文本文件打不開了, sysexplr.exe是和文本文件關聯的,你還必須把文本文件跟notepad關聯上。
另外,對于驅動程序/動態鏈接庫木馬,有一種方法可以試試,使用Windows的"系統文件檢查器",通過"開始菜單"-"程序"-"附件"-"系統工具"-"系統信息"-"工具"可以運行"系統文件檢查器", 用“系統文件檢查器”可檢測操作系統文件的完整性,如果這些文件損壞,檢查器可以將其還原,檢查器還可以從安裝盤中解壓縮已壓縮的文件(如驅動程序)。如果你的驅動程序或動態鏈接庫在你沒有升級它們的情況下被改動了,就有可能是木馬(或者損壞了),提取改動過的文件可以保證你的系統安全和穩定。
五、結束語
只要你有一點點的疏忽,就有可能被人安裝了木馬。所以平時不要隨便從網站上下載軟件,不要隨便運行別人給的軟件,經常檢查自己的系統文件、注冊表、端口,經常去安全站點查看最新的木馬公告等等,提高自己的網絡安全意識,了解木馬的常見伎倆,這樣對于保證自己電腦的安全不無裨益。
教你識破十種電子郵件詐騙術
[ 2007-03-25 04:04:41 | 作者: sun ]
一、提供商業機會
這些電子郵件通常都宣稱,你可以不必花太多時間或金錢就能賺得優渥之報酬,或聲稱可提供一個網際網路相關事業的賺錢途徑。這些郵件大都有一長串的承諾,但卻很少提及詳細內容,而這些可能是非法多層次傳銷業者所偽裝之商業機會。
二、提供'大宗電子郵件'商機
這些詐騙者在電子郵件中宣稱,他可以出售電子郵件地址名單,內容數以百萬筆,以提供你寄出自己的'大宗電子郵件'給這些人而交易獲利;有些則宣稱可提供自動送出電子郵件給成千上萬收信者的電腦軟體,或宣稱可提供代你寄出大宗郵件的服務;有的則僅是告訴你可以用這種方法賺到許多錢。不過實際上傳送'大宗電子郵件'可能違反網際網路服務提供業者(ISP)之規定,而所謂的軟體也可能因ISP業者的封鎖,只用一次就無法再使用。目前臺灣已有類似的受害案例出現。
三、連鎖信函
你是否曾有這種經驗?收到一封好友或素未謀面的陌生人來信,告訴你他最近如何如何的不順,結果因為寫了這封'幸運函'后,變得多幸運;并且要你像他一樣,將這封'幸運函'繼續傳播給更多的人。而且,信中還告訴你,如果你不理會這封信,你將會遭受到多大的災厄,如果你把這封信傳播出去,將有多大的幸運降臨。這種老式的連鎖信函(即幸運函)出現在電子郵件中是很自然的事,只是原來的'幸運'被改成了'財富'在這些電子郵件中,你會被要求寄出小額的金錢給名單上的四或五個人,同時把名單中第一個人的名字換上你自己的名字,再把修正后的電子郵件寄出給名單上的這些人,然后就等其他人'寄錢給你',你將收到一筆可觀的財富。但幾乎所有參加連鎖信函的人都會損失他們的金錢。
四、家庭代工騙局
從報紙廣告到電子郵件廣告,這些家庭代工騙局都使用同一技倆。業者通常會宣稱有很好的工作機會,而要求應征者做某一加工或組合工作,而這種詐騙方式通常需要先投資金錢在設備或材料上,并花相當多的時間生產某一公司答應要買回的產品上。但當你花了金錢及投入時間去完成加工組合產品,你可能發現促銷者聲稱你的作品并未達到他們的'品質標準',而拒絕付錢給你。
五、健身及瘦身減肥騙局
這些電子郵件中聲稱,他有能讓你不必運動或改變日常飲食,就可減輕體重的藥丸,可融化脂肪細胞使身體吸收的草藥秘方,及治療陽萎與禿頭掉發等,這都是充斥電子郵件信箱的詐騙術之一。這些廣告通常都有某些消費者'證實'十分有效,或一些從你從未聽過的'外國著名醫學專家'所做的證詞,而且使用如'科技大突破 '、'奇跡般的痊愈'、'獨一無二的產品'、'秘方'及'祖傳秘方'等之廣告用語。事實上,這些'秘方'產品可能使你花錢又傷身。
六、不勞而獲的所得
有些電子郵件宣稱他們有目前最時髦的快速致富方式,如在世界貨幣市場上套匯賺取無止境的利潤;這些簡訊中通常都描述著各種輕松賺錢的機會。而實際情形是,如果這些方法真的有效,這些人為什么不趕快去賺錢,還要在網路上打廣告,找人一起'賺錢'呢?
七、免費贈品
有些電子郵件宣稱免費提供價值不菲的物品,如電腦、大哥大或其他高價值電子產品,但這些贈品贈獎郵件會要求你先繳交一筆'行政費用'--如'郵寄包裝費用 '或'15%的所得稅'-或其他費用;當你付了這些費用后,獎品可能永遠不會來,也可能獎品只是外面夜市或地攤上的便宜貨,價值不及其所宣的十分之一,而你所交的'郵寄費'或'所得稅'遠比獎品價值還高。有的贈品贈獎郵件則要你先付費加入成為俱樂部會員,然后你將被告知,如果要得到免費獎品,你必需引介一定人數加入成為俱樂部會員。但幾乎所有的所得都歸于領頭促銷者,很少或幾乎沒有任何所得可歸于付費參加的消費者。
八、投資機會
這種投資詐騙方式通常會在電子郵件中承諾可觀的高投資報酬率且宣稱沒有任何風險,以吸引投資消費大眾。這些信函中對投資本身描述模糊,但卻強調高報酬率。他們會聲稱,公司與高層有財務關系,他們有私人管道可通內線消息,保證該項投資一定成功,或宣稱在一段時間后他們會買回該項投資。事實上,他們是利用后加入者的錢支付給較早加入者,使先加入者相信投資方法確實有效,而鼓勵他們投資更多。而最后,因為沒有足夠的錢來繼續刺激收入,整個投資計劃終將失敗,損失的仍是一般投資人。
九、以寬松條件保證獲得貸款或信用卡
就像報紙小廣告一樣,這些電子郵件宣稱可提供不需任何條件的小額貸款、汽車質押貸款或房屋二胎貸款,或是聲稱,不管你個人以往信用如何,保證可以取得免擔保信用卡。通常,詐騙者會宣稱這些資金是由'海外銀行提供',或是'主婦集資',而實際上可能只是騙局,或根本就是由地下錢莊所作之廣告,利率永遠高得嚇人,而且可能有黑道在背后主事。而當你提供資料申請信用卡后,信用卡可能永遠到不了你的手上,而你卻可能因別人冒用'你的'信用卡而背負一身債。有時候他們會要你吸收'會員',號稱可提供你賺錢的機會,目的就是要你吸收更多人受騙上當。
十、渡假村廣告或旅游獎品促銷
你可能會收到一些電子郵件,恭喜你'中獎',可以用非常吸引人的價格獲得一次不可思議的渡假旅游,或說你已經被'特別篩詢,可以獲得電視、錄影機、高級音響,條件是請你與你的配偶一起去聽一次為你們'特別安排'的渡假旅游說明會,這也是充滿電子郵件信箱的騙術之一。通常,這類的騙術是,你會被要求先以信用卡刷下一堆帳單,預定你的行程,或你會被以緊迫釘人,聽四、五個小時以上疲勞轟炸的'說明會'方式,以信用卡分期付款,買下某一渡假村的權利。但是,實際上你所預訂的郵輪可能看起來像港口的拖船,旅館住宿設備可能是普通的,而你如果想升級,則可能必需要付更多的錢。依照你想要的時間安排行程也可能需要額外的費用,渡假村也能是一個普通的旅館或與世隔絕的小村落。
這些詐騙型態實際上都可能在平面媒體或以其他方式出現過,如公平會以往曾處分過的家庭代工及旅游渡假村廣告,只是現在轉換成利用網際網路傳播,其行為更加隱秘,也較不容易發現郵寄的來源或廣告主。公平會建議,民眾在使用網際網路時,應該慎防這些騙術,如果有發現這些不法行為,立即向相關單位舉發,如果是涉及詐財或吸金行為,可向公安部門(網絡犯罪防治中心)檢舉,而若有涉及不公平競爭行為之不實廣告或非法多層次傳銷行為,可向工商局檢舉,工商局只要接獲檢舉,一定會嚴查到底。
淺談安全掃描軟件的檢測技術
[ 2007-03-25 04:04:28 | 作者: sun ]
安全掃描通常采用兩種策略,第一種是被動式策略,第二種是主動式策略。所謂被動式策略就是基于主機之上,對系統中不合適的設置,脆弱的口令以及其他同安全規則抵觸的對象進行檢查;而主動式策略是基于網絡的,它通過執行一些腳本文件模擬對系統進行攻擊的行為并記錄系統的反應,從而發現其中的漏洞。利用被動式策略掃描稱為系統安全掃描,利用主動式策略掃描稱為網絡安全掃描。
一、目前安全掃描主要涉及的檢測技術
相信讀者已經對安全掃描有了一個初步的認識,這里進一步介紹安全掃描的四種檢測技術:
① 基于應用的檢測技術,它采用被動的,非破壞性的辦法檢查應用軟件包的設置,發現安全漏洞。
② 基于主機的檢測技術,它采用被動的,非破壞性的辦法對系統進行檢測。通常,它涉及到系統的內核,文件的屬性,操作系統的補丁等問題。這種技術還包括口令解密,把一些簡單的口令剔除。因此,這種技術可以非常準確的定位系統的問題,發現系統的漏洞。它的缺點是與平臺相關,升級復雜。
③ 基于目標的漏洞檢測技術,它采用被動的,非破壞性的辦法檢查系統屬性和文件屬性,如數據庫,注冊號等。通過消息文摘算法,對文件的加密數進行檢驗。這種技術的實現是運行在一個閉環上,不斷地處理文件,系統目標,系統目標屬性,然后產生檢驗數,把這些檢驗數同原來的檢驗數相比較。一旦發現改變就通知管理員。
④ 基于網絡的檢測技術,它采用積極的,非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對系統進行攻擊的行為,然后對結果進行分析。它還針對已知的網絡漏洞進行檢驗。網絡檢測技術常被用來進行穿透實驗和安全審記。這種技術可以發現一系列平臺的漏洞,也容易安裝。但是,它可能會影響網絡的性能。
優秀的安全掃描產品應該是綜合了以上4種方法的優點,最大限度的增強漏洞識別的精度。
二、安全掃描在企業部署安全策略中處于重要地位
從前面的介紹可以看出安全掃描在維護計算機安全方面起到的重要作用,但僅僅裝備安全掃描軟件是不夠的。
現有的信息安全產品中主要包括以下幾個部分(安全掃描屬于評估部分):防火墻,反病毒,加強的用戶認證,訪問控制和認證,加密,評估,記錄報告和預警,安全固化的用戶認證,認證,物理安全。這樣,在部署安全策略時,有許多其它的安全基礎設施要考慮進來,如防火墻,病毒掃描器,認證與識別產品,訪問控制產品,加密產品,虛擬專用網等等。如何管理這些設備,是安全掃描系統和入侵偵測軟件(入侵偵測軟件往往包含在安全掃描系統中)的職責。通過監視事件日志,系統受到攻擊后的行為和這些設備的信號,作出反應。這樣,安全掃描系統就把這些設備有機地結合在一起。因此,而安全掃描是一個完整的安全解決方案中的一個關鍵部分,在企業部署安全策略中處于非常重要的地位。
大家可能已經注意到防火墻和安全掃描的同時存在,這是因為防火墻是不夠的。防火墻充當了外部網和內部網的一個屏障,但是并不是所有的外部訪問都是通過防火墻的。比如,一個未經認證的調制解調器把內部網連到了外部網,就對系統的安全構成了威脅。此外,安全威脅往往并不全來自外部,很大一部分來自內部。另外,防火墻本身也很有可能被黑客攻破。
結合了入侵偵測功能后,安全掃描系統具有以下功能:
① 協調了其它的安全設備;
② 使枯燥的系統安全信息易于理解,告訴了你系統發生的事情;
③ 跟蹤用戶進入,在系統中的行為和離開的信息;
④ 可以報告和識別文件的改動;
⑤ 糾正系統的錯誤設置;
⑥ 識別正在受到的攻擊;
⑦ 減輕系統管理員搜索最近黑客行為的負擔;
⑧ 使得安全管理可由普通用戶來負責;
⑨ 為制定安全規則提供依據。不過必須注意,安全掃描系統不是萬能的。首先,它不能彌補由于認證機制薄弱帶來的問題,不能彌補由于協議本身的問題;此外,它也不能處理所有的數據包攻擊,當網絡繁忙時它也分析不了所有的數據流;當受到攻擊后要進行調查,離不開安全專家的參與。
三、網絡安全和系統安全主要薄弱環節
要正確部署安全策略、有針對性的使用安全掃描產品,有必要了解一下安全的主要薄弱環節在哪里。下面提到的三個問題是產生安全漏洞的主要原因:
① 軟件自身安全性差。很多軟件在設計時忽略或者很少考慮安全性問題,考慮了安全性的軟件產品也往往因為開發人員缺乏安全培訓、沒有安全經驗而造成了安全漏洞。這樣產生的安全漏洞分為兩類:第一類,是由于操作系統本省設計缺陷帶來的安全漏洞,這類漏洞將被運行在該系統上的應用程序所繼承;第二類是應用軟件程序的安全漏洞。第二類漏洞更為常見,更需要得到廣泛的關注。
② 安全策略不當。保證系統安全不是僅僅使用個別安全工具就能做到的,需要在對網絡進行總體分析的前提下制定安全策略,并且用一系列的安全軟件來實現一個完整的安全解決方案。常見的錯誤例子是使用了防火墻而忽略了掃描系統,或者相反。
③ 人員缺乏安全意識。前面闡述的一切都是在技術層面上對網絡安全進行分析和討論,所有這一切都需要人來完成。保證系統的安全,僅靠安全軟件是不夠的,同時要注重安全管理人才的培養,提高安全防范意識,最終做到安全有效的防范。而當前人員安全意識的培養還遠遠不夠,在現在的網絡環境中,絕大多數漏洞存在的原因在于管理員對系統進行了錯誤的配置,或者沒有及時的升級系統軟件到最新的版本。
四、安全掃描技術的發展趨勢
安全掃描軟件從最初的專門為UNIX系統編寫的一些只具有簡單功能的小程序,發展到現在,已經出現了多個運行在各種操作系統平臺上的、具有復雜功能的商業程序。今后的發展趨勢,我們認為有以下幾點:
① 使用插件(plugin)或者叫做功能模塊技術。每個插件都封裝一個或者多個漏洞的測試手段,主掃描程序通過調用插件的方法來執行掃描。僅僅是添加新的插件就可以使軟件增加新功能,掃描更多漏洞。在插件編寫規范公布的情況下,用戶或者第三方公司甚至可以自己編寫插件來擴充軟件的功能。同時這種技術使軟件的升級維護都變得相對簡單,并具有非常強的擴展性。
② 使用專用腳本語言。這其實就是一種更高級的插件技術,用戶可以使用專用腳本語言來擴充軟件功能。這些腳本語言語法通常比較簡單易學,往往用十幾行代碼就可以定制一個簡單的測試,為軟件添加新的測試項。腳本語言的使用,簡化了編寫新插件的編程工作,使擴充軟件功能的工作變得更加容易,也更加有趣。
③ 由安全掃描程序到安全評估專家系統。最早的安全掃描程序只是簡單的把各個掃描測試項的執行結果羅列出來,直接提供給測試者而不對信息進行任何分析處理。而當前較成熟的掃描系統都能夠將對單個主機的掃描結果整理,形成報表,能夠并對具體漏洞提出一些解決方法,但對網絡的狀況缺乏一個整體的評估,對網絡安全沒有系統的解決方案。未來的安全掃描系統,應該不但能夠掃描安全漏洞,還能夠智能化的協助網絡信息系統管理人員評估本網絡的安全狀況,給出安全建議,成為一個安全評估專家系統。
五、用戶選擇安全掃描產品應注意的問題
談到這里,也許有些計算機安全管理人員開始考慮購買一套安全掃描系統,那么,購買此類產品需要考慮哪些方面呢?我們認為以下幾點是要注意的:
① 升級問題。由于當今應用軟件功能日趨復雜化、軟件公司在編寫軟件時很少考慮安全性等等多種原因,網絡軟件漏洞層出不窮,這使優秀的安全掃描系統必須有良好的可擴充性和迅速升級的能力。因此,在選擇產品時,首先要注意產品是否能直接從因特網升級、升級方法是否能夠被非專業人員掌握,同時要注意產品制造者有沒有足夠的技術力量來保證對新出現漏洞作出迅速的反應。
② 可擴充性。對具有比較深厚的網絡知識,并且希望自己擴充產品功能的用戶來說,應用了功能模塊或插件技術的產品應該是首選。
③ 全面的解決方案。前面已經指出,網絡安全管理需要多種安全產品來實現,僅僅使用安全掃描系統是難以保證網絡的安全的。選擇安全掃描系統,要考慮產品制造商能否提供包括防火墻、網絡監控系統等完整產品線的全面的解決方案。
④ 人員培訓。前面已經分析過,網絡安全中人是薄弱的一環,許多安全因素是與網絡用戶密切相關的,提高本網絡現有用戶、特別是網絡管理員的安全意識對提高網絡安全性能具有非同尋常的意義。因此,在選擇安全掃描產品時,要考慮制造商有無能力提供安全技術培訓。
有關安全掃描的知識就談到這里,希望能夠有助于讀者增加安全知識、提高安全意識,在大家的共同的努力下,加強我國的網絡安全建設。
一、目前安全掃描主要涉及的檢測技術
相信讀者已經對安全掃描有了一個初步的認識,這里進一步介紹安全掃描的四種檢測技術:
① 基于應用的檢測技術,它采用被動的,非破壞性的辦法檢查應用軟件包的設置,發現安全漏洞。
② 基于主機的檢測技術,它采用被動的,非破壞性的辦法對系統進行檢測。通常,它涉及到系統的內核,文件的屬性,操作系統的補丁等問題。這種技術還包括口令解密,把一些簡單的口令剔除。因此,這種技術可以非常準確的定位系統的問題,發現系統的漏洞。它的缺點是與平臺相關,升級復雜。
③ 基于目標的漏洞檢測技術,它采用被動的,非破壞性的辦法檢查系統屬性和文件屬性,如數據庫,注冊號等。通過消息文摘算法,對文件的加密數進行檢驗。這種技術的實現是運行在一個閉環上,不斷地處理文件,系統目標,系統目標屬性,然后產生檢驗數,把這些檢驗數同原來的檢驗數相比較。一旦發現改變就通知管理員。
④ 基于網絡的檢測技術,它采用積極的,非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對系統進行攻擊的行為,然后對結果進行分析。它還針對已知的網絡漏洞進行檢驗。網絡檢測技術常被用來進行穿透實驗和安全審記。這種技術可以發現一系列平臺的漏洞,也容易安裝。但是,它可能會影響網絡的性能。
優秀的安全掃描產品應該是綜合了以上4種方法的優點,最大限度的增強漏洞識別的精度。
二、安全掃描在企業部署安全策略中處于重要地位
從前面的介紹可以看出安全掃描在維護計算機安全方面起到的重要作用,但僅僅裝備安全掃描軟件是不夠的。
現有的信息安全產品中主要包括以下幾個部分(安全掃描屬于評估部分):防火墻,反病毒,加強的用戶認證,訪問控制和認證,加密,評估,記錄報告和預警,安全固化的用戶認證,認證,物理安全。這樣,在部署安全策略時,有許多其它的安全基礎設施要考慮進來,如防火墻,病毒掃描器,認證與識別產品,訪問控制產品,加密產品,虛擬專用網等等。如何管理這些設備,是安全掃描系統和入侵偵測軟件(入侵偵測軟件往往包含在安全掃描系統中)的職責。通過監視事件日志,系統受到攻擊后的行為和這些設備的信號,作出反應。這樣,安全掃描系統就把這些設備有機地結合在一起。因此,而安全掃描是一個完整的安全解決方案中的一個關鍵部分,在企業部署安全策略中處于非常重要的地位。
大家可能已經注意到防火墻和安全掃描的同時存在,這是因為防火墻是不夠的。防火墻充當了外部網和內部網的一個屏障,但是并不是所有的外部訪問都是通過防火墻的。比如,一個未經認證的調制解調器把內部網連到了外部網,就對系統的安全構成了威脅。此外,安全威脅往往并不全來自外部,很大一部分來自內部。另外,防火墻本身也很有可能被黑客攻破。
結合了入侵偵測功能后,安全掃描系統具有以下功能:
① 協調了其它的安全設備;
② 使枯燥的系統安全信息易于理解,告訴了你系統發生的事情;
③ 跟蹤用戶進入,在系統中的行為和離開的信息;
④ 可以報告和識別文件的改動;
⑤ 糾正系統的錯誤設置;
⑥ 識別正在受到的攻擊;
⑦ 減輕系統管理員搜索最近黑客行為的負擔;
⑧ 使得安全管理可由普通用戶來負責;
⑨ 為制定安全規則提供依據。不過必須注意,安全掃描系統不是萬能的。首先,它不能彌補由于認證機制薄弱帶來的問題,不能彌補由于協議本身的問題;此外,它也不能處理所有的數據包攻擊,當網絡繁忙時它也分析不了所有的數據流;當受到攻擊后要進行調查,離不開安全專家的參與。
三、網絡安全和系統安全主要薄弱環節
要正確部署安全策略、有針對性的使用安全掃描產品,有必要了解一下安全的主要薄弱環節在哪里。下面提到的三個問題是產生安全漏洞的主要原因:
① 軟件自身安全性差。很多軟件在設計時忽略或者很少考慮安全性問題,考慮了安全性的軟件產品也往往因為開發人員缺乏安全培訓、沒有安全經驗而造成了安全漏洞。這樣產生的安全漏洞分為兩類:第一類,是由于操作系統本省設計缺陷帶來的安全漏洞,這類漏洞將被運行在該系統上的應用程序所繼承;第二類是應用軟件程序的安全漏洞。第二類漏洞更為常見,更需要得到廣泛的關注。
② 安全策略不當。保證系統安全不是僅僅使用個別安全工具就能做到的,需要在對網絡進行總體分析的前提下制定安全策略,并且用一系列的安全軟件來實現一個完整的安全解決方案。常見的錯誤例子是使用了防火墻而忽略了掃描系統,或者相反。
③ 人員缺乏安全意識。前面闡述的一切都是在技術層面上對網絡安全進行分析和討論,所有這一切都需要人來完成。保證系統的安全,僅靠安全軟件是不夠的,同時要注重安全管理人才的培養,提高安全防范意識,最終做到安全有效的防范。而當前人員安全意識的培養還遠遠不夠,在現在的網絡環境中,絕大多數漏洞存在的原因在于管理員對系統進行了錯誤的配置,或者沒有及時的升級系統軟件到最新的版本。
四、安全掃描技術的發展趨勢
安全掃描軟件從最初的專門為UNIX系統編寫的一些只具有簡單功能的小程序,發展到現在,已經出現了多個運行在各種操作系統平臺上的、具有復雜功能的商業程序。今后的發展趨勢,我們認為有以下幾點:
① 使用插件(plugin)或者叫做功能模塊技術。每個插件都封裝一個或者多個漏洞的測試手段,主掃描程序通過調用插件的方法來執行掃描。僅僅是添加新的插件就可以使軟件增加新功能,掃描更多漏洞。在插件編寫規范公布的情況下,用戶或者第三方公司甚至可以自己編寫插件來擴充軟件的功能。同時這種技術使軟件的升級維護都變得相對簡單,并具有非常強的擴展性。
② 使用專用腳本語言。這其實就是一種更高級的插件技術,用戶可以使用專用腳本語言來擴充軟件功能。這些腳本語言語法通常比較簡單易學,往往用十幾行代碼就可以定制一個簡單的測試,為軟件添加新的測試項。腳本語言的使用,簡化了編寫新插件的編程工作,使擴充軟件功能的工作變得更加容易,也更加有趣。
③ 由安全掃描程序到安全評估專家系統。最早的安全掃描程序只是簡單的把各個掃描測試項的執行結果羅列出來,直接提供給測試者而不對信息進行任何分析處理。而當前較成熟的掃描系統都能夠將對單個主機的掃描結果整理,形成報表,能夠并對具體漏洞提出一些解決方法,但對網絡的狀況缺乏一個整體的評估,對網絡安全沒有系統的解決方案。未來的安全掃描系統,應該不但能夠掃描安全漏洞,還能夠智能化的協助網絡信息系統管理人員評估本網絡的安全狀況,給出安全建議,成為一個安全評估專家系統。
五、用戶選擇安全掃描產品應注意的問題
談到這里,也許有些計算機安全管理人員開始考慮購買一套安全掃描系統,那么,購買此類產品需要考慮哪些方面呢?我們認為以下幾點是要注意的:
① 升級問題。由于當今應用軟件功能日趨復雜化、軟件公司在編寫軟件時很少考慮安全性等等多種原因,網絡軟件漏洞層出不窮,這使優秀的安全掃描系統必須有良好的可擴充性和迅速升級的能力。因此,在選擇產品時,首先要注意產品是否能直接從因特網升級、升級方法是否能夠被非專業人員掌握,同時要注意產品制造者有沒有足夠的技術力量來保證對新出現漏洞作出迅速的反應。
② 可擴充性。對具有比較深厚的網絡知識,并且希望自己擴充產品功能的用戶來說,應用了功能模塊或插件技術的產品應該是首選。
③ 全面的解決方案。前面已經指出,網絡安全管理需要多種安全產品來實現,僅僅使用安全掃描系統是難以保證網絡的安全的。選擇安全掃描系統,要考慮產品制造商能否提供包括防火墻、網絡監控系統等完整產品線的全面的解決方案。
④ 人員培訓。前面已經分析過,網絡安全中人是薄弱的一環,許多安全因素是與網絡用戶密切相關的,提高本網絡現有用戶、特別是網絡管理員的安全意識對提高網絡安全性能具有非同尋常的意義。因此,在選擇安全掃描產品時,要考慮制造商有無能力提供安全技術培訓。
有關安全掃描的知識就談到這里,希望能夠有助于讀者增加安全知識、提高安全意識,在大家的共同的努力下,加強我國的網絡安全建設。
禁用Scripting Host防范網頁黑手
[ 2007-03-25 04:04:15 | 作者: sun ]
來自網絡的攻擊手段越來越多了,一些惡意網頁會利用軟件或系統操作平臺等的安全漏洞,通過執行嵌入在網頁HTML超文本標記語言內的Java Applet小應用程序、javaScript腳本語言程序、ActiveX軟件部件交互技術支持可自動執行的代碼程序,強行修改用戶操作系統的注冊表及系統實用配置程序,從而達到非法控制系統資源、破壞數據、格式化硬盤、感染木馬程序的目的。
目前來自網頁黑手的攻擊分為兩種:一種是通過編輯的腳本程序修改IE瀏覽器;另外一種是直接破壞Windows系統。前者一般會修改IE瀏覽器的標題欄、默認主頁等,關于此方面的文章比較多。下面就來介紹一些針對破壞Windows系統的網頁黑手的防范方法。
黑手之一 格式化硬盤
這是一種非常危險的網頁黑手,它會通過IE執行ActiveX部件并調用Format.com或Deltree.exe將硬盤格式化或者刪除文件夾。在感染此類破壞程序后,會出現一個信息提示框,提示:“當前的頁面含有不完全的ActiveX,可能會對你造成危害,是否執行?yes,no”,如果單擊“是”,那么硬盤就會被迅速格式化,而這一切都是在后臺運行的,不易被察覺。
防范的方法是:將本機的Format.com或Deltree.exe命令改名字。另外,對于莫名出現的提示問題,不要輕易回答“是”。可以按下[Ctrl+Alt+Del]組合鍵在彈出的“關閉程序”窗口中,將不能確認的進程中止執行。
黑手之二 耗盡系統資源
這種網頁黑手會執行一段Java Script代碼并產生一個死循環,以至不斷消耗本機系統資源,最后導致系統死機。它們會出現在一些惡意網站或者郵件的附件中,只要打開附件程序后,屏幕上就會出現無數個IE窗口,最后只有重新啟動計算機。
防范的方法是:不要輕易進入不了解的網站,也不要隨便打開陌生人發來的E-mail中的附件,比如擴展名是VBS、HTML、HTM、DOC、EXE的文件。
黑手之三 非法讀取文件
此類黑手會通過對ActiveX、JavaScript和WebBrowser control的調用來達到對本地文件進行讀取。它還可以利用瀏覽器漏洞實現對本地文件的讀取,避免此類攻擊可以關閉禁用瀏覽器的JavaScript功能。
黑手之四 獲取控制權限
此類黑手會利用IE執行Actives時候發生,雖然說IE提供對于“下載已簽名的ActiveX控件”進行提示的功能,但是惡意攻擊代碼會繞過IE,在無需提示的情況下下載和執行ActiveX控件程序,而這時惡意攻擊者就會取得對系統的控制權限。如果要屏蔽此類黑手,可以打開注冊表編輯器,然后展開如下分支:
解決方法是在注冊表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下為Active Setup controls創建一個基于CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新鍵值下創建一個REG_DWORD 類型的鍵Compatibility,并設定鍵值為0x00000400即可。
對于來自網上的種種攻擊,在提高防范意識的同時,還需做好預防工作。
1.設定安全級別
鑒于很多攻擊是通過包含有惡意腳本實現攻擊,可以提高IE的級別。在IE中執行“工具/Internet選項”命令,然后選擇“安全”選項卡,選擇“Internet”后單擊[自定義級別]按鈕,在“安全設置”對話框中,將“ActiveX控件和插件”、“腳本”中的相關選項全部選擇“禁用”,另外設定安全級別為“高”。需要注意的是,如果選擇了“禁用”,一些需要使用ActiveX和腳本的網站可能無法正常顯示。
2.過濾指定網頁
對于一些包含有惡意代碼的網頁,可以將其屏蔽,執行“工具/Internet選項”命令,選擇內容選項卡,在“分級審查”中單擊[啟用]按鈕,打開“分級審查”對話框,選擇“許可站點”選項卡,輸入需要屏蔽網址,然后單擊[從不]按鈕,再單擊[確定]按鈕。
3.卸載或升級WSH
有些利用VBScript編制的病毒、蠕蟲病毒,比如 “I LOVE YOU”和“Newlove”,它們都包含了一個以 VBS為后綴名的附件,打開附件后,用戶就會被感染。這些病毒會利用Windows內嵌的 Windows Scripting Host 即WSH進行啟動和運行。也就是說,如果將WSH禁用,隱藏在VB腳本中的病毒就無法被激活了。
在Windows 98中禁用WSH,打開“添加/刪除”程序,選擇“Windows 設置/附件”,并單擊“詳細資料”,取消“Windows Scripting Host”選項,完成后單擊[確定]按鈕即可。
在Windows 2000中禁用WSH的方法是,雙擊“我的電腦”圖標,然后執行“工具/文件夾選項”命令,選擇“文件類型”選項卡,找到“VBS VBScript Script File”選項,并單擊[刪除]按鈕,最后單擊[確定]即可。
另外,還可以升級WSH 5.6,IE瀏覽器可以被惡意腳本修改,就是因為IE 5.5以前版本中的WSH允許攻擊者利用JavaScript中的Getobject函數以及htmlfilr ActiveX對象讀取瀏覽者的注冊表,可以在http://www.microsoft.com/下載最新版本的WSH。
4.禁用遠程注冊表服務
在Windows 2000/XP中,可以點擊“控制面板/管理工具/服務”,用鼠標右鍵單擊“Remote Registry”,然后在彈出的快捷方式中選擇“屬性”命令,在“常規”選項卡中單擊[停止]按鈕,這樣可以攔截部分惡意腳本代碼。
5.安裝防火墻和殺毒軟件
安裝防火墻和殺毒軟件可以攔截部分惡意代碼程序,比如可以安裝瑞星殺毒軟件。
